双线两台连接服务器配置

如果你的网络有多条出口线路，例如，大多数的单位分别有电信与联通的出口。在这种情况下，网络规划的原则是让电信线路的用户，以电信的地址访问View桌面；而网通线路的用户则以网通的地址访问View桌面。每个“View安全服务器”只能指定一个外网的IP地址。所以，对于有两个不同出口的View桌面，则需要配置两个View安全服务器。

图4 双线出口的View桌面拓扑

图4是这个配置的简单拓扑图，其中的防火墙是采用的Forefront TMG 2010，这个TMG配置有3个网卡，一个网卡设置110.249.253.163的IP地址，另一个网卡设置110.249.253.164的IP地址（在实际的生产环境中，在此应该配置另一个出口线路的IP地址），第三个网卡用于局域网，设置为172.16.17.254的IP地址。

说明：在这个示例中，用的是同一网段的两个公网的IP地址，而在实际的生产环境中，这两个公网的IP地址应该是不同网段的IP地址，具有不同的网关。

图5 编辑连接服务器设置

两 个View安 全服务器的IP地址分别 是172.16.17.51、172.16.17.52，View 连接服务器的IP地址是172.16.17.53。在本示例中，发布到Internet的View桌面使用两个域名，分别是dx.heuet.com，解析到110.249.253.163。另一个域名是wt.heuet.com，解析到110.249.253.164。如果你的域名支持DNS智能解析，也可以采用一个域名例如 view.heuet.com，并将该域名指向110.249.253.163与110.249.253.164这两个IP地址。本示例中相关计算机名称、域名、IP地址如表2所示。

View连接服务器与安全服务器配置

在安装好1台View连接服务器、2台安全服务器之后，登录View Administrator，配置View连接服务器及安全服务器。主要步骤如下。

1.登 录ViewAdministrator，在“View配置→服务器”清单中，在“连接服务器”选项卡中，单击“编辑”按钮，在“编辑View连接服务器设置”对话框，在“标记”文本框中为View连接服务器设置一个标记，如vcs，View连接服务器为局域网用户提供服务的，配置截图如图5所示，设置之后单击“确定”按钮。

注意：在输入IP地址及端口时，以及用到的冒号（：）都应该是英文半角字符，不能使用中文或全角字符。

选中“使用安全加密链路连接计算机”，在“外部URL”中输入当前View连接服务器的DNS名称，在此 为https://vcs.heuet.com:443，在此必须要使用域名。

表2 双线View桌面相关域名与IP地址

选中“PCoIP安全网关”，在“PCoIP外部URL”中输入连接服务器的IP地址，在本示例为172.16.17.53:4172。

选 中“使 用Blast安全网关对计算机进行HTML Access”， 在“Blast外 部URL”中以View连接服务器域名方式输入，本示例为https://vcs.heuet.com:8443。

2.返回到ViewAdministrator， 在“安 全服务器”中，列出了当前系统中安装的安全服务器，在此有两个安全服务器，需要一一修改配置。先选中security1的安全服务器，单击“编辑”按钮。

3.在“编辑安全服务器-View”对话框中，在“HTTP（S）安全加密链路”选项中，以域名的方式，输入发布到Internet的域名及端口。

图6 编辑View安全服务器

图7 第二个安全服务器

如果你的域名支持DNS智能解析，你采用了一个域名，则这两个安全服务器都采用同一个域名，例 如view.heuet.com，则在此输入https://view.heuet.com:443。如果你采用的是两个域名，例如dx.heuet.com与wt.heuet.com，如果第一个安全服务器对应dx.heuet.com，则输 入https://dx.heuet.com:443。

在“PCoIP安全网关”选项中，以IP地址的方式，输入外部URL，在本示例中为110.249.253.163:4172。

在“Blast安全网关”选项中，以域名的方式输入，在本示例中为https://view.heuet.com:8443。此域名要与“外部URL”的域名相同。设置之后，单击“确定”按钮（如图6）。

说明：在图6中，在“HTTP（S）安全加密链路”选项中，输入的是https://view.heuet.com:8442，在此采用的是8442而不是443端口，是因为我们这个示例中采用的是Forefront TMG防火墙并采用SSL Web站点转发的原因。如果你使用的是普通的路由器，路由器到内网IP采用的是443端口的映射，则可以采用443端口。

4.返回到ViewAdministrator，修改第二个安全服务器的对外域名、IP地址。

在“HTTP（S）安全加密链路”选项中，输入https://view.heuet.com:443或https://wt.heuet.com:443。

在“PCoIP安全网关”选项中，以IP地址的方式，输入外部URL，在本示例中为110.249.253.164:4172。

在“Blast安全网关”选项中，以域名的方式输入，在本示例中为https://view.heuet.com:8443或https://wt.heuet.com:8443（如 图7）。同样，在本示例中因为采用的是Forefront TMG防火墙的原因，外部URL的端口换成8442。

在Forefront TMG中发布View安全服务器

对于发布双线View桌面，我们需要理解如下的关系：

Internet用户以“view.heuet.com”访问View桌面，该域名要解析成110.249.253.163与164；或者Internet用户访问dx.heuet.com解析成110.249.253.163；访问wt.heuet.com解析成110.249.253.164。

对于防火墙来说，需要将110.249.253.163的TCP的 443端 口、TCP与UDP的4172端口、8443端口映射到第一台View安全服务器的地址172.16.17.51；需要将110.249.253.164的TCP的443端口、TCP与UDP的4172端口、8443端口映射到第一台View安全服务器的地址172.16.17.52。

对于局域网用户，则需要访问vcs.heuet.com，该域名解析到172.16.17.53。

图8 证书不匹配造成身份验证失败

图9 选择服务器

在本示例中，以防火墙是Forefront TMG为例进行介绍。

说明：在Forefront TMG作外部防火墙时，因为可以对443端口以“域名”的方式，进行多次映射，所以要为Forefront TMG申请“通配符证书，在本示例中为*.heuet.com”，但这个证书映射到安全服务器的证书为view.heuet.com，这会导致使用Horizon View Client使用443进行转发时失败（如图8）。 为了解决这个问题，我们除了将443端口以view.heuet.com映射到172.16.17.51与172.16.17.52之外，为View安全服务器指定了另一个端口8442，这样，在进行验证验证时使用8442（端口一对一映射，直接使用View安全服务器证书进行验证），不存在通配符证书的验证问题。如果你是使用普通的路由器，并且采用端口映射的方式，可以使用443而不是使用本示例中的另一个端口8442即可。当然，如果你的Forefront TMG专门为安全服务器配置，不采用通配符证书，并且直接使用443端口进行映射，也不需要修改端口为8442。

1.映射8443与4172端口

登 录Forefront TMG防火墙，将TCP的8442端口、TCP与 UDP的 4172端 口、8443端口映射到View安全服务器的地址，本例为172.16.17.51、172.16.17.52，主要步骤如下（本文以Forefront TMG 2010防火墙为例介绍）。

在Forefront TMG控制台中，右击“防火墙策略”，选择“新建→非Web服务器协议发布规则”。在“欢迎使用新建服务器发布规则向导”对话框中，为规则设置个名称，在此设置为“view.heuet.com_163->172.16.17.51”。

在“选择服务器”对话框中，设置要发布的服务器地址，在此设置View安全服务器的地址172.16.17.51（如图 9）。在“选择协议”对话框中，单击“新建”按钮，图10所示为8442、4172端口新建协议。

在“欢迎使用新建协议定义向导”对话框中，设置协议名称，在此设置名称为View-4172_8443，表示新建协议使用端口4172与8443。在“首要连接信息”对话框，单击“新建”按钮，添加协议类型为TCP、方向为“入站”的4172、8443协议，添加协议类型为UDP、方向为“接收发送”的4172协议。

返回到“选择协议”对话框，选择前文创建的协议。在“网络侦听器IP地址”对话框中，选择“外部”，单击“地址”，在弹出的“外部 网络侦听器 IP选择”对话框中，将110.249.253.163添加到“选择的IP地址”列表中（如图11）。进行此项设置，表示将110.249.253.163映射到172.16.17.51。在“正在完成新建服务器发布规则向导”对话框，单击“完成”按钮。

图10 新建协议

图11 选择侦听器地址

之后参照上面的步骤，为另一个服务器，创建服务器发布规则，将110.249.253.164映射到172.16.17.52，这些不一一介绍。

2.映射8442到安全服务器的443端口

参照上面的步骤，新建规则，将TCP的8442转发到172.16.17.51的443端口，主要步骤如下（下面只介绍不同的地方，相同地方则不再介绍）。

新建非Web服务器发布规则，设置规则名称 为“view_163:8442->172.16.17.51:443”。新 建一个协议，设置协议端口范围为8442～8442、协议类型为TCP、方向为入站。在“选择协议”对话框中，选择新建的协议，单击“端口”按钮，在弹出的“端口”对话框中，在“发布的服务器端口”选项中，选中“将请求发送到发布的服务器上的此端口”单选按钮，修改端口为443。

在“网 络侦听器IP地址”对话框，选择“外部”，同样选择绑定110.249.253.163的IP地址。之后参照上面的步骤，为另一个服务器，创建服务器发布规则，将110.249.253.164映射到172.16.17.52，这些不一一介绍。

3.创建SSL侦听器

如果在你的Forefront TMG中，TCP的 443端口要“复用”，即443端口除了发布View桌面，还用于其他Web服务器的身份验证，则需要创建“网站发布规则”。如果443端口只用于View桌面，则可以依照前面的内容，创建“非Web服务器协议发布规则”，将“HTTPS服务器”发布到172.16.17.52（同样绑定110.249.253.164的IP地址）。本文介绍“网站发布规则”。

（1）在Forefront TMG控制台中，在“防火墙策略”节点中，在右侧的“工具箱”选项卡中，单击“新建”菜单，选择“Web侦听器”命令（如图 12）。

（2）在“欢迎使用新建Web侦听器向导”对话框，在“Web侦听器名称”文本框中，为新建的Web侦听器设置一个名称，在本示例中为“SSL Web-164”。

（3）在“客户端连接安全设置”对话框，单击“需要与客户端建立SSL安全连接”单选框。

（4） 在“Web侦听器IP地址”对话框选择“外部”，单击“选择IP地址”，在弹出的“外部网络侦听器 IP选择”对话框中，选择110.249.253.164。

（5）在“侦听器SSL证书”对话框，单击“选择证书”按钮，弹出“选择证书”对话框，从列表中选择一个证书，在本示例中，该证书为*.heuet.com，这是一个“通配符”证书。

图12 新建Web侦听器

图13 选择侦听器

说明：你需要申请一个名为*.heuet.com的服务器证书，并且保存在“计算机存储”而不是“用户存储”中。

（6）在“选择Web侦听器”对话框中，选择新建的Web侦听器（如图13）。

（7）在“身份验证设置”对话框，在“选择客户端将如何向Forefront TMG提供凭据”下拉列表中选择“无身份验证”。

（8）在“正在完成新建Web侦听器向导”对话框，单击“完成”按钮，创建侦听器完成。

之后参照上面的步骤，为另一个服务器，创建侦听器，侦听地址是110.249.253.163，这些不再一一介绍。

4.创建Web服务器发布规则

在完成SSL Web侦听器创建后，就可以发布SSL Web站点了，步骤如下。

（1）在Forefront TMG控制台中，右击“防火墙策略”，在弹出的快捷菜单中选择“新建→网站发布规则”， 在“欢迎使用新建Web发布规则向导”对话框，为Web发布规则设置一个名称，在此为“view.heuet.com->172.16.17.52”。

（3）在“发布类型”对话框选择“发布单个网站或负载平衡器”。

（4）在“服务器连接安全”对话框，选择“使用SSL连接到发布的Web服务器或服务器场”示。

（5）在“内部发布详细信息”对话框，输入内部站点名称 view.heuet.com，并选中“使用计算机名称或IP地址连接到发布的服务器”，并指定服务器的IP地址为172.16.17.52。

（6）在“公共名称细节”对话框，输入公共名称view.heuet.com。

（7）在“选择Web侦听器”对话框，选择“SSL Web-164”。

（8）其他选择默认值，直到发布规则创建完成，最后单击“应用”按钮，让设置生效。

之后参照上面的步骤，为另一个服务器，创建服务器发布规则，将110.249.253.163映 射到172.16.17.51，这些不一一介绍。全部配置完成之后如图14所示。

为TMG选择出口线路

在做了端口映射之后，还需要修改Forefront TMG的网络规则， 让172.16.17.51的出口使用110.249.253.163，让172.16.17.52的出口使用110.249.253.164，这样才能实现从外网到内网地址的双向映射（即Internet的用户，从那个公网的地址进来，服务器返回的时候，返回的出口也是这个出口的IP地址）。

在Microsoft Forefront TMG 2010中，可以通过创建网络访问规则、并指定NAT转换地址的方法解决，步骤如下。

图14 设置完成

图15 安全服务器1出口IP地址

1.在Microsoft Forefront TMG 2010中，打开Forefront TMG控制台，右击“网络连接”，在弹出的快捷菜单中选择“新建→网络规则”。

2.在“网络规则名称”页，为新建的规则设置一个名称，例如“172.16.17.51->110.249.253.163”。

3.在“网络通讯源”页，新建计算机规则元素，为“View安全服务器1”添加 “计算机”实体，该计算机对应的IP地址为172.16.17.51，然后将添加到规则源

4.在“网络通讯目标”页，添加“外部”。在“网络关系”页，选择“网络地址转换”。在“NAT地址选择”页，选择“使用指定的IP地址”，并且选择要为“View安全服务器1”指定的出口IP地址，在本示例中为110.249.253.163。

5.在“正在完成新建网络规则向导”页，选择“完成”。

之后参照上面的内容，添 加172.16.17.52到110.249.253.164的出口规则，这些不一一介绍。

然后定位到“网络连接→网络规则”页，如果新添加的规则在“Internet访问”规则后面，则将其移动到“Internet访问规则”前面，因为在“Internet访问规则”中的“内部”包括了View安全服务器的地。

配置完成之后，在172.1 6.1 7.5 1与172.16.17.52的计算机上，打开IE浏览器，登录www.ip138.com，可以看到这两台机器显示的IP地址分别 是110.249.253.163和110.249.253.164（如 图15）。

经过上述设置，View桌面（Internet用户）即不会出现“黑屏”的现象。