客户背景：

客户是有着150多个门店的二手房中介公司，在每个门店有着4-10台左右的电脑，公司有着自己的人事系统、出租、出售房源的登记、查找、交易系统。为了进行房源的登录、查找、交易等，公司专门开发了一台管理B/S架构的管理系统，通过网络进行管理，而服务器中托管于机房的，由于业务量的增加，服务器速度很不稳定，为了解决这个问题，公司准备新购买一台服务器，同时准备采用虚拟化技术，将网站及数据库放置于虚拟机中。同时在虚拟机前安装Forefront TMG 2010软件防火墙，增加安全性。另外，在Forefront TMG发布网站时，可以增加"时间限制"，只让各门店在每天早晨7点到晚上9点能浏览后台网站，其他时间则不能浏览业务网站。

解决方法：

在本方案中，需要用到3个合法的IP地址，有两个电信的IP地址、1个联通的IP地址，其中1个电信的IP地址配置在VMware ESXi主机上，用于管理，另外1个电信及1个联通的IP地址，配置在Forefront TMG的虚拟机中，用于业务网站（由TMG转发到由其保护的后台网站虚拟机中）。

在本方案中，我们为服务器安装VMware ESXi 5.1的系统，之所以不用5.5的版本是由于在vSphere Client中，只能管理虚拟机硬件版本为9的虚拟机，不能修改虚拟硬件版本为10的虚拟机。但在vSphere Client 5.5客户端中，可以将VMware ESXi 5.5的虚拟机升级到虚拟硬件版本10，这样使用传统的客户端将不能修改该虚拟机配置，只能使用vSphere Web Client，但vSphere Web Client需要vCenter Server的支持，在只有一台VMware ESXi时，使用vCenter Server意义不大。对于大多数的用户来说，在单台VMware ESXi时，使用VMware ESXi 5.1与5.5，区别不大。

服务器上安装VMware ESXi

在Dell、HP等较新型号的服务器上安装VMware ESXi 5.x时，需要使用VMware公司专门为这些服务器定制的版本，如果使用通用版本，则会提示找不到网卡，造成安装失败，如下图。

目前VMware公司专门为Dell定制的5.x版本有5.0、5.1、5.5系列，文件名分别为VMware-VMvisor-Installer- 5.0.0-504890.x86_64-Dell_Customized_RecoveryCD_A04.iso、VMware-VMvisor- Installer-5.1.0.update01-1065491.x86_64- Dell_Customized_RecoveryCD_A00.iso、VMware-VMvisor-Installer- 5.5.0-1331820.x86_64-Dell_Customized_A01.iso，大小分别为293M、308M、327MB。VMware 专门为HP定制的5.x版本有5.1及5.5，文件名分别为VMware-ESXi-5.1.0-799733-HP-5.32.5.iso、 VMware-ESXi-5.5.0-1331820-HP-5.71.3-Sep2013.iso，大小分别为316M到342M，下载之后的文件名、 大小如图所示。

如果是IBM或其他的服务器，则使用VMware官方的安装程序（文件名为VMware-VMvisor-Installer- 5.1.0-799733.x86_64.iso、大小为300M或VMware-VMvisor-Installer- 5.5.0-1331820.x86_64.iso、大小为325M）安装即可。不能将HP或Dell的安装镜像用于其他的服务器（可能有的时候也可以， 但有的时候会有提示这是某某服务器专用版本，不适合当前的服务器）。

在选择了正确的镜像之后，可以通过刻录光盘、使用启动U盘加载对应的 ISO镜像（例如使用"电脑店U盘启动工具"制作的启动U盘，只要将VMware ESXi安装光盘镜像放在启动U盘的DND文件夹中，当U盘启动后，选择搜索DND目录中的启动文件，并选择对应的版本启动即可）、或者通过配置TFTP 服务器从网络引导安装，或者使用服务器的管理工具，例如HP的iLO、IBM的IMM等加载镜像，或者使用KVM加载镜像。无论使用何种方式，启动 VMware ESXi之后，将系统安装在上一节所规划创建的30GB分区上即可，这些不再介绍。在安装完VMware ESXi之后，按F2进入控制台，先暂时为ESXi设置一个管理地址，例如192.168.222.250，在搬去机房前暂时使用这个地址进行管理、配置，等配置完成之后，再修改为机房分配的地址。

根据图7-88所规划的，服务器的第1、2块网卡连接电信的网线，第3、4块网卡连接网通的网线。而直接通过Internet远程管理的地址亦是一个电信的 地址，另2个地址将用来Forefront TMG的虚拟机。所以在设置暂时的管理地址192.168.222.250时，选择管理网卡为第1、2网卡。

【说明】由于服务器有4块网卡，所以每2个网卡作为一组，共分两组。在将服务器托管到机房后，只要在第1、2网卡中的其中一个连接到电信交换机上，将第3、4网卡其中一个连接到网通交换机即可。

在安装配置好VMware ESXi管理地址之后，在"配置→网络"中，修改第1个标准交换机vSwitch0的"虚拟机端口组"为dx（表示"电信"的意思）；然后添加第2个标准 交换机（绑定第3、第4块网卡），修改虚拟机端口组为wt（表示"网通"的意思）；添加第3个标准交换机（不使用网卡），修改虚拟机端口组为lan，如图下图所示。

之后，在"配置→存储器"中，将第2个逻辑分区添加到VMware ESXi本地存储中，并修改两个存储的名称，安装系统的则命名为OS，存储数据的则为Data，如图下所示。

最后，浏览Data数据存储，在该存储中创建ISO的文件夹，并上传Windows Server 2008 R2、Forefront TMG 2010、SQL Server 2008 R2等安装镜像到该存储中，以方便后期的管理使用，如下图所示。

【说明】在连接管理VMware ESXi时，强烈建议管理工作站与服务器之间使用千兆网络连接，如果没有千兆的交换机，使用带有千兆网卡的工作站，使用一条"直通"的网线连接服务器与工作站也可。

准备Windows 2008 R2的模板虚拟机

在本方案中，由于服务器配置较高，另外，所有的系统（Forefront TMG及中介管理系统），都是运行在Windows Server 2008 R2操作系统中，故本方案中所使用的虚拟机安装的都是Windows Server 2008 R2操作系统。为了方便后期的管理，可以创建一个名为WS08R2-TP的虚拟机，在该虚拟机中安装操作系统、并升级到最新的补丁，等所有补丁升级完成、 安装后必备常用软件（压缩解压缩、输入法等），运行sysprep并关闭虚拟机，并从虚拟机"清单"中清除这个虚拟机，以后复制该虚拟机硬盘作为模板使用即可。下面我们简要介绍这些内容，主要步骤如下。

（1）创建Windows Server 2008 R2的虚拟机。使用vSphere Client登录到VMware ESXi，创建名为WS08R2-TP的虚拟机，为该虚拟机分配2个CPU（虚拟插槽数为2，这与为其分配1个插槽、每插槽2个内核是不同的）、2GB内 存、虚拟机网卡为lan、虚拟硬盘为60GB精简配置，如图7-103所示。另外，在"虚拟机配置→选项→高级→内存/CPU热挺拔"中，选中"为此虚拟 机启用内存热添加"及"仅为此虚拟机启用CPU热添加"的配置，如图7-104所示。对于Windows Server 2008 R2、Windows Server 2012等虚拟机，可以启用内存及CPU的热添加功能，即虚拟机正在运行的时候可以添加CPU插槽的数量及内存的数量。

（2）之后启动该虚拟机并安装Windows Server 2008 R2操作系统，在安装的时候将硬盘划分为一个分区，安装系统之后安装VMware Tools、使用KMS激活系统，并安装WinRAR及其他必须的软件，以及进行必要的配置（例如登录前不需要按Ctrl+Alt+Del、取消增强IE 配置等，这些不一一介绍）。最后使用"Windows Update"，更新系统到最新，如下图所示。更新系统完成之后，重新启动计算机。再次执行Windows Update，直到所有的补丁更新完成。

（3）最后进入命令提示窗口，进入c:\windows\system32\sysprep文件夹执行sysprep /generalize，在"关机选项"选择"关机"，如下图所示，至此Windows Server 2008 R2模板虚拟机准备完成。

（4）当系统工具执行完成后，Windows Server 2008 R2的模板虚拟机关机，在vSphere Client中，右击WS08R2-TP虚拟机，选择"从清单中移除"，如下图所示。这样该虚拟机将不会再显示在清单中。

（5）如果以后需要再次使用该虚拟机，例如等过段时间，系统有新的补丁时，可以浏览存储，选择WS08R2-TP的文件夹，在右侧窗格中右击 WS08R2-TP.vmx，选择"添加到清单"，如下图所示，之后根据向导操作，就可以将该虚拟机添加到清单中，可以继续使用。

配置Forefront TMG虚拟机

在配置好Windows Server 2008 R2的"模板"虚拟机之后，就可以从这个模板"复制"出两个或多个Windows Server 2008 R2，并用来配置Forefront TMG及管理系统虚拟机。首先介绍配置Forefront TMG虚拟机的步骤，主要过程如下。

（1）创建名为TMG2010的虚拟机，为 虚拟机分配8GB内存、CPU为4个插槽、每个插槽2个内核（相当于8个CPU）、3块网卡（分别使用dx、wt、lan),添加两个硬盘，其中第一个硬 盘为从WS08R2-TP复制过来的模板硬盘，第2个硬盘为一个200GB的新的虚拟硬盘，如下图所示。然后对照图7-104的配置，为该虚拟机 启动内存与CPU的热添加。

（2）启动TMG2010的虚拟机，进入"网络设置"，分别将连接电信、联通标准交换机的网卡改为dx、wt，将另一个连接"模拟内网"交换机的网卡改为lan，然后设置对应的IP地址、子网掩码、网关及DNS，如下图所示。

（3）设置之后使用ping命令检查连通性，如果暂时不能连接到外网，只要分清连接"电信"与"联通"的虚拟交换机绑定到虚拟机的那个网卡即可，你可以通过修改虚拟机的设置，暂时"断开"某个虚拟机网卡，然后再在虚拟机中查看网络属性来确认，如下图所示。

（4）之后修改虚拟机设置，加载Forefront TMG 2010安装光盘镜像到虚拟机中，安装Forefront TMG 2010，在安装的时候，将Forefront TMG 2010安装在第2个硬盘中。Forefront TMG的安装本文不做过多介绍。

（5）在安装Forefront TMG之后，在"网络连接→ISP冗余"中，配置ISP冗余，并设置为"带故障转移功能的负载平衡"模式，如下图所示。

（6）在"防火墙策略"中，根据提前规划好的设置，配置Forefront TMG策略，并发布管理系统到Internet，以及发布"远程桌面"用于远程管理，这些不一一介绍，如下图所示。

（7）在"入侵防御系统"中，启用并配置"网络检查系统（NIS）"，如下图所示。

配置管理系统虚拟机

在配置好Forefront TMG之后，创建管理系统虚拟机，在本示例中，设置虚拟机名称为"Web-Site-222.1"，为该虚拟机分配16GB内存、8个虚拟CPU、1个 lan网卡、2个硬盘（其中第1个硬盘为复制的WS08R2-TP模板虚拟机硬盘、第2个硬盘为数据盘，该磁盘用来安装配置管理系统，为该磁盘划分 500GB空间），如下图所示。同样也为该虚拟机启用CPU与内存的热添加功能。

启动该虚拟机，在该虚拟机中安装配置管理系统，这些不一一介绍，下图是管理系统工作时的CPU与内存负载，从图中可以看到为虚拟机分配的内存与CPU较为合适。

用户测试与服务器的远程管理

经过上述设置，各门店用户可以根据自己的接入方式（联通或电信线路），使用联通或电信地方访问中介管理系统。而系统管理员则可以有两种方式管理远程的服务器，一种是使用vSphere Client，直接登录VMware ESXi设置的公网地址管理，另一种是使用远程桌面连接，连接到TMG 2010的公网地址（联通与电信地址各有一个）进行管理，这些则不一一介绍。