微軟TMG 2010工做組環境獨立服務器陣列配置-2

三、建立TMG獨立服務器陣列

1）、配置陣列服務器集合

TMG陣列內的任何一臺服務器均可以做爲管理陣列服務器。這裏咱們指定TMG01做爲陣列管理服務器。

加入到TMG陣列，首先須要在陣列管理服務器TMG01上配置陣列服務器集合，把TMG02服務器的IP地址加入到陣列服務器集合，這樣TMG02才具備訪問TMG01配置存儲服務器的權限。

在TMG01服務器上編輯陣列服務器集合，定位到「Forefront TMG（TMG01）」，點擊「防火牆策略」，在右側欄中，點擊「工具箱」—「網絡對象」—「計算機集」，依次打開「複製配置存儲服務器」和「陳列服務器」將要加入陳列的TMG02服務器的IP地址，添加到複製配置存儲服務器和陳列服務器中。

工具箱—網絡對象—計算機集中的複製配置存儲服務器

工具箱—網絡對象---計算機集中的陣列服務器

完成以上配置後，還能夠在「工具箱」—「網絡對象」—「計算機集」—「遠程管理計算機」

中添加用於遠程管理Forefront TMG服務器的計算機IP地址。

2）、導入陣列服務器通信證書

在TMG控制檯中定位到「Forefront TMG（TMG01）」—「系統」節點，點擊右側欄的「安裝服務器證書」，在安裝服務器證書嚮導中，指定前面咱們申請的TMG01.contoso.com證書存放位置，並輸入證書導出時設置的密碼，點擊「肯定」，來完成證書導入操做。

同時咱們能夠驗證證書是否正確導入

首先打開mmc，添加證書管理單元

這裏要選擇「服務帳戶」，點擊下一步

在選擇一個在本地計算機上管理的服務帳戶中，選擇「ISASTGCTRL」服務帳戶

在證書控制檯中展開證書節點，查看「我的」—「 證書」中是否已正確導入TMG01.contoso.com證書。

同時確認下TMG01和TMG02兩臺服務器服務帳戶的「ISASTGCTRL」的「受信任的根證書頒發機構」中是否存在CA根證書。

3）、配置TMG陣列

在Forefront TMG管理控制檯中，定位到「Forefront TMG（TMG01）」節點，在右側欄的「任務」窗格中單擊「配置陳列屬性」

在「分配角色」選項卡中，確認Administrator賬戶已添加到「容許訪問配置存儲並監視陳列的用戶和組」中，而且「角色」設置爲「Forefront TMG陳列管理員」。

而後將TMG02加入到現有陣列

在TMG02上打開TMG控制檯，定位到「Forefront TMG（TMG02），在右側欄選擇「加入陣列」。

點擊下一步

選擇「加入由指定陣列成員管理的獨立陣列」

輸入TMG01的FQDN或IP地址，選擇「使用此賬戶進行鏈接」，而且鍵入前面添加的陳列管理員賬戶名及密碼，這裏咱們使用Administrator帳戶及密碼

注：也可以使用當前用戶登陸用戶的身份憑據鏈接TMG01上的配置存儲服務器，確保TMG02上的登陸用戶有足夠權限。

前面咱們已經安裝好CA根證書，選擇「此服務器上已安裝CA證書」

在「正在完成加入陳列嚮導」頁，單擊「完成」按鈕。加入陳列完成以後，單擊「肯定」按鈕。

返回TMG控制檯，再次定位到「Forcefront TMG（TMG01）」，在右側欄中點擊「配置陣列屬性」

這時TMG01陣列屬性中會增長一個「憑據」選項卡，切換到該選項卡，選擇「使用此帳戶進行身份驗證（僅工做組配置）」，而後點擊「設置帳戶」，輸入用戶名及密碼，這裏仍然使用administrator的用戶名及密碼

而後切換到「分配角色」選項卡，在「容許監視此陣列的用戶（鏡像帳戶）」中，點擊「添加」，添加Administrator帳戶爲鏡像帳戶，並分配「Forcefront TMG陣列管理員」角色

最後應用設置

4）、驗證TMG陣列

加入TMG陳列後，進入Forefront TMG控制檯，定位到Forefront TMG（TMG01）下的「系統」列，而後點擊窗口中的「服務器」選項卡，在這裏能夠看到陳列中服務器的名稱、主機ID、建立時間、CARP負載系統等；服務器的狀態圖標爲綠色，表示服務器訪問配置存儲服務器正常。若是服務器的狀態爲紅色，表示服務器訪問配置存儲服務器異常。

而後定位到「監視」列，點擊窗口中的「配置」選項卡，查看陣列中TMG服務器的配置狀態；服務器的狀態顯示爲綠色已同步，表示TMG服務器之間通信正常。若是服務器的狀態爲紅色未同步，表示TMG服務器之間通信異常，須要檢查TMG通信的證書是否配置正確。

5）、爲TMG陳列配置負載平衡NLB

TMG陳列配置負載平衡須要將Forefront TMG的「內部」與「外部」網絡分別啓用網絡負載平衡並設置負載平衡的IP地址。

在Forefront TMG管理控制檯中，定位到「Forefront TMG（TMG01）」—「網絡鏈接」節點，在右側欄的「任務」窗格中單擊「啓用網絡負載平衡集成」

針對TMG服務器的內部網絡和外部網絡分別設置虛擬IP地址：

內部網絡的NLB設置

羣集操做模式的區別請參考Exchange中關於NLB的說明，此處咱們採用多播模式。

Exchange NLB參考：http://shubao.blog.51cto.com/401810/1272564

多播模式通常須要在交換機或者路由器上作VIP和VMAC(多播虛擬二層mac地址)的綁定

外部網絡的NLB設置

因爲咱們的TMG中配置有多個外部網絡地址，當啓用NLB時，須要將其餘IP地址添加到NLB的附加VIP中。

啓用NLB之後，TMG服務器上全部的第二IP若是不作配置，都會被刪除。咱們須要把他們都變成虛擬VIP，這樣在兩臺TMG上都能看到。

點擊「完成」關閉網絡負載平衡集成嚮導。

彈出NLB配置提示，點擊「肯定」

最後點擊應用設置

選擇保存更改，並重啓動服務，點擊「肯定」完成

再次定位到Forcefront TMG（TMG01）下的「監視」列，點擊窗口中的「配置」選項卡，查看陣列中TMG服務器的配置狀態，直到狀態顯示爲「已同步」，表示NLB配置完成。

切換到「服務」選項卡，檢查TMG服務器上的網絡負載平衡服務狀態

注：若是服務器狀態或者服務狀態異常，能夠經過「警報」選項卡查看緣由。

最後檢查網絡配置，能夠看到系統會本身將虛擬IP地址添加到TCP/IP配置中

另外能夠經過禁用TMG服務器的相關網卡來檢測TMG陣列的NLB是否能起到負載平衡的做用。

6）、完成以上配置後，還須要修改TMG的Web偵聽器的網絡設置，將偵聽器偵聽的外部網絡地址更換爲羣集NLB地址。固然初期建議將原有地址和羣集NLB地址同時配置，待確認陣列沒問題後再刪除原地址。