引言

　　微软的Forefront UAG目前发布了RC1版。它是微软智能应用程序网关(Forefront IAG)的接棒者，可以帮助用户扩展Forefront TMG 2010的功能。UAG允许配置SSL VPN及Windows Server 2008 R2的直接访问功能。同时，也对Forefront TMG基本的网络服务器发布功能进行了扩展。利用IAG，用户可以创建自己的、用于发布的门户网站，即UAG中所谓的“Trunk”。Forefront UAG的发布功能之一是类似于Outlook Web App及Outlook Anywhere的Exchange发布功能，同时，也可以将SharePoint Server服务发布到互联网上。

　　Forefront UAG的主要特点：

　　•远程访问

　　•应用智能

　　•安全和访问控制

　　•前端和后端认证

　　系统需求组件需求

　　处理器2,66 Ghz 或更高双核CPU

　　内存推荐至少8 GB内存

　　硬盘30 GB

　　组件需求

　　处理器2,66 Ghz 或更高双核CPU

　　内存推荐至少8 GB内存

　　硬盘30 GB

　　组件需求

　　处理器2,66 Ghz 或更高双核CPU

　　内存推荐至少8 GB内存

　　硬盘30 GB

　　表1: Forefront UAG系统需求

　　软件和部署需求

　　服务器

　　Forefront UAG可以安装在运行Windows Server 2008 R2标准版或Windows Server 2008 R2 X64位企业版的计算机。

　　阵列

　　如果要部署多Forefront UAG服务器阵列，安装Forefront UAG之前，加入阵列的每台服务器都必须作为域成员进行安装。

　　网络适配器

　　Forefront UAG必须安装在至少有两个网络适配器的计算机上。

　　其他应用程序

　　安装Forefront UAG的计算机应该安装干净的Windows Server 2008，不得安装其它应用程序。

　　默认安装

　　默认情况下，Forefront UAG 安装过程中同时安装Forefront TMG。

　　权限

　　安装Forefront UAG时，用户在本地服务器上必须有管理员权限。同时，用户还必须是Forefront UAG服务器所属域的域用户。

　　安装

　　下载UAG RC版后，开始安装过程。首先审查软硬件需求，并检查部署清单。

　　图1:安装UAG

　　安装完成后，从UAG管理控制台启动入门向导。借助入门向导，用户可以完成一些基本的网络配置，如UAG网卡设置及UAG服务器拓扑。Forefront UAG可以作为一个独立的服务器安装，也可安装到UAG阵列，以提供高可用性和更好的性能。

　　图2: 入门向导

　　网络适配器的设置非常重要。它可以通知UAG哪块网卡连接内部(受信) 网络，哪块网卡连接外部(不受信任)网络。

　　图3: 确定网络适配器

　　入门向导的设置完成后，在创建一个新Trunk之前，可以进行高级设置。下图为Forefront UAG安装期间安装的服务。

　　图4:安装的UAG和TMG服务

　　UAG网关激活监视器

　　Forefront UAG提供了一个显示配置活动性的激活监视器。该功能可以监测阵列管理激活时UAG阵列成员的状态。激活监视器位于“开始”菜单中的Forefront UAG选项。

　　图5: UAG 激活监视器

　　Forefront UAG配置控制台

　　UAG配置控制台允许使用默认，以及建立新的Trunk。控制台访问可分为三个节点，分别称为：

　　•HTTP连接

　　•HTTPS连接

　　•直接访问

　　HTTP和HTTPS连接节点用于创建新Trunk(在TMG中亦称作“发布规则”)，以发布类似于Exchange Server 2010中的Outlook Web这样的服务或其他应用程序。

　　直接访问节点用于创建Windows Server 2008直接访问Trunk。

　　图6: UAG图形用户界面

　　进行默认配置时，可以使用管理设置。这时，可以像配置身份认证服务器、授权服务器、网络策略服务器(NPS ，Network Policy Servers)、负载均衡一样进行配置。用户在这里对设置所做的更改或创建的对象，在创建新Trunk时可以使用。

　　图7: 高级UAG 管理

　　如下图所示，UAG支持很多目录服务，如Netscape LDAP服务器、Novell目录服务等。

　　图8: UAG身份认证及授权设置

　　网络负载均衡设置

　　UAG提供了自身的网络负载均衡配置。同Forefront TMG中集成的网络负载均衡功能一样，UAG的网络负载均衡功能工作于底层操作系统NLB功能之上。

　　图9: UAG中的网络负载均衡功能

　　门户网站发布

　　本文示例中，创建了一个新的Exchange Server 2010 Outlook Web应用程序(在Exchange Server的早期版本中称为OWA)门户网站。该向导大大简化了新门户网站的创建过程，下面看一下向导创建的门户网站的设置。第一页显示了门户网站的基本设置，如公共主机名、IP地址及使用的HTTPS端口。

　　图10: UAG OWA Trunk设置

　　用户在Trunk设置界面点击“确认”，将会看到相对Forefront TMG，UAG用户拥有更多的权限。UAG提供了更加详细的、几乎所有与Outlook Web App有关的配置选项。例如，可以配置当前连接到Outlook Web App服务器的最大并发数，并且可以配置URL的详细检查及URL设置。在“应用程序自定义”选项卡，还可以为最终用户定制门户网站体验。

　　图11: UAG trunk详细设置

　　Forefront UAG最强大的功能之一是终端访问设置。该功能允许用户从众多策略中选择特定的策略，而这些策略使用户可以细粒度访问门户网站，更具体地说，访问操作系统或特定的应用程序功能。用户可以在UAG中创建自己的策略和表达式，Forefront UAG基于这些策略为访问门户网站的客户端提供访问权限。

　　图12: 高级策略设置

　　新门户网站Trunk创建完成后，UAG的设置保存在TMG配置存储器中，在UAG激活监视器中可以查看到这一配置。与UAG中门户网站Trunk的配置相对应，Forefront TMG中也创建了一些新的防火墙策略。如下图所示：

　　图13: 在TMG中创建防火墙规则

　　直接访问

　　UAG中的直接访问配置窗口看起来类似于Windows Server 2008 R2的直接访问管理控制台，因此对于体验过Windows Server 2008 R2配置的管理员来讲，在UAG中配置直接访问非常简单。

　　图14: UAG直接访问配置对话框

　　结语

　　本文概要介绍了微软的新产品Forefront UAG的安装和配置过程，并重点介绍了发布ES10 Outlook Web App功能的步骤。Forefront UAG具有许多全新的增强功能，可用来安全地发布微软的服务和来自其他厂商的产品。

　　注：本文操作基于Forefront UAG RC版，RTM版上架时，有些信息可能会有所改动。