gOxiA 所在的公司前段时间进行了并网，将办公室网络与机房主干网进行了联结！至此，访问互联网的速度得到了质的提升。而办公室内的 Windows Small Business Server 2011 Standard（SBS2011）服务器不再需要通过 Smart Host 进行邮件的外发处理，而可以直接使用机房的公网IP。但是随即也引发了一些问题！因为前端部署有 TMG 服务器，而外网多个 IP 都绑定在 TMG 的外部网卡上（用于服务发布），默认情况下内网用户都会经由 TMG 的 Primary IP 进行 NAT 访问，因为业务需求 TMG 开放了内网 SMTP 的访问权限，那么此时就会出现安全问题。

        因为邮件服务器与其他用户使用同一个 Primary IP 访问 Internet，那么一些用户的访问行为可能会影响邮件服务器的信用等级！该如何为特定的计算机或网络集指定 NAT 呢？！gOxiA 就此问题曾咨询了 Microsoft Partner Support，获得的解决方案是需要部署 Exchange Edge，但是对于 SBS 来讲此解决方案并不合适，后来向 China MVP 的 MailList（NDA） 发送了求助邮件，获得了一个简单可行的解决办法！

        在 ISA/TMG 中我们可以利用网络规则来为特定资源指定 NAT 地址，这样 gOxiA 便可以为 SBS2011 单独指定一个 NAT IP，与办公室上网所用默认的 Primary IP 分离，从而保证了服务器的安全。为此，需要打开 TMG 控制器进行配置。

• 在左侧的“控制台树”中展开“Forefront TMG”，并切换至“网络连接”
• 在中间的内容窗体中点击“网络规则选项卡”
• 在任务窗体中点击“创建网络规则”
• 跟随向导执行操作，创建一个名为“SBS2011 to Internet”的网络规则
• 在网络通讯源中添加一个“计算机”源，其中计算机源就是 SBS2011
• 在网络通讯目标中添加“外部”
• 在网络关系中选择“网络地址转换”
• 在 NAT 地址选择中选择“使用指定的 IP 地址”，为 SBS2011 指定专用的 NAT IP
• 最后完成操作

        至此，配置操作即告完成。现在我们可以服务器上访问 ip138 网站看看识别的 NAT IP 是否为指定的地址。最后感谢 王春海 和 刘力科 两位 MVP 提供的帮助！