Instalación y configuración de Microsoft Forefront TMG para acceso de OWA seguro

En este documento veremos una de las instalaciones más cotidianas a la hora de desplegar una instalación de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante el acceso de OWA (o los servicios necesarios) seguro a través de un host TMG en la red DMZ. Realizaremos la instalación de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que sólo se le conectará mediante HTTPS desde Internet y éste sólo se conectará al servidor Exchange con el rol HUB (o array CAS).

En este documento veremos una situación típica, tenemos ya una DMZ e introduciremos en ella un host en el que instalaremos Microsoft Forefront Threat Management Gateway 2010 con una pata ethernet en la que le entrarán peticiones desde el exterior (Red Internet) y él trasladará al interior (Red LAN). En este documento se permitirán las conexiones de OWA (Outlook Web App) desde el exterior y las redirigiremos al array que tenemos de los servidores de Acceso de Cliente (CAS Array bajo NLB), si no tenemos un cluster de este tipo lo reenviaremos contra nuestro servidor Exchange con el rol de Acceso de Cliente.

Instalación de Microsoft Forefront TMG 2010,

Tenemos un equipo ya listo en la DMZ, al que simplemente le hemos instalado Windows y configurado un nombre de equipo, dirección IP del rango DMZ (sin configurar DNS’s, ni meter en dominio, con las entradas en el archivo ‘hosts’ correspondientes…). Introducimos el DVD de Microsoft Forefront Threat Management Gateway 2010 y en el autorun seleccionamos “Ejecutar la herramienta de preparación”

Comenzará un asistente para preparar el equipo local con todos los requisitos necesarios y nos los instalará, “Siguiente”,

“Acepto los términos de licencia” & “Siguiente”

Marcamos la primera opción “Servicios y Administración de Forefront TMG” & “Siguiente”,

… lo dicho esperamos unos minutos mientras nos instala y configura las características necesarias…

Seleccionamos “Iniciar el Asistente para la instalación de Forefront TMG” & “Finalizar”,

Y comenzaría el asistente de instalación de TMG, “Siguiente”,

“Acepto los términos del contrato de licencia” & “Siguiente”,

Indicamos los datos necesarios, así como el número de serie, “Siguiente”,

Seleccionamos el path de instalación (por defecto %ProgramFiles%Microsoft Forefront Threat Management Gateway), “Siguiente”,

Indicaremos en este momento que rango IP pertenece a la ‘red interna’, pulsamos “Agregar…”

Agregamos lo que nos interese, o el adaptador dedicado o el rango IP de la DMZ, para ello “Agregar intervalo…”,

Indicamos el rango de la DMZ, IP inicial a IP final, “Aceptar”,

“Aceptar”,

“Siguiente”,

Deberemos tener en cuenta que los servicios especificados se reiniciarán (por si los estamos usando en producción),

Y listo para comenzar la instalación!

… esperamos un buen rato…

Y ya tendremos el nuevo ISA instalado! mantenemos marcada la opción “Iniciar la Administración de Forefront TMG cuando se cierre el asistente” & “Finalizar”,

En el asistente de introducción configuraremos primero las opciones de red de nuestro equipo, pulsamos en “Configurar opciones de red”,

“Siguiente”,

En mi situación actual tengo una pata de red por lo que sólo puedo seleccionar “Adaptador de red único”, las demás opciones serían a utilizar en diferentes situaciones o con otros fines, en mi caso simplemente realizaré el traspaso seguro de conexiones exteriores al interior para utilizar OWA, Outlook Anywhere… “Siguiente”,

Nos mostrará el adaptador de red del equipo con su configuración de red, comprobamos que es correcto “Siguiente”,

Listo, confirmamos con “Finalizar”,

Ok, “Configurar opciones del sistema”

Breve asistente para modificar si consideramos necesarias algunas opciones del servidor,

Comprobamos que todo es correcto & “Siguiente”,

“Finalizar”,

Finalmente acabamos con el asistente “Definir opciones de implementación”,

“Siguiente”,

Deberemos indicar “Usar el servicio Microsoft Update para buscar actualizaciones” para mantener actualizado el Forefront TMG, “Siguiente”,

Configuramos el licenciamiento y temas de actualizaciones de TMG, “Siguiente”,

Si queremos partifipar el el programa de mejora y experiencia… “No” & “Siguiente”,

Si queremos enviar a Microsoft informes de uso de malware, etc… “Ninguno” & “Siguiente”,

Por fin, listo “Finalizar”,

Cerramos el asistente, si queremos podemos utilizar el asistente para acceso Web y poder tener conectividad con el TMG o lo configuraremos posteriormente.

Generando un certificado para OWA,

Antes de configurar TMG deberemos tener un certificado válido para el uso de OWA, por lo que necesitamos desde Exchange generar una solicitud de certificado, posteriormente con una CA válida generar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarlo al servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en los equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello será imprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo que necesitaremos abrir una MMC y agregar el complemento ‘Certificados’ y de ‘cuenta de equipo local’, desde ahí podremos exportar/importar certificados, necesitaremos realizarlo en ‘Personal’ y obviamente tener el certificado de la CA (Certificate Authority – Entidad de emisora de certificados) en ‘Entidades de certificación raíz de confianza’.

Bueno, comenzamos, desde la Consola de administración de Exchange > “Configuración del servidor” > “Nuevo certificado de intercambio…”

Indicamos el nombre del certificado, “Siguiente”,

“Siguiente”,

Indicamos el/los servicios que queramos que tenga el certificado, para ello deberemos indicar los nombres de dominios que necesitaremos para OWA, ActiveSync, Outlook Anywhere… en mi caso siempre será el mismo nombre de dominio para todo, lo indicamos & “Siguiente”,

Confirmamos que el nombre de dominio es correcto & “Siguiente”,

Indicamos los datos del certificado: Organización, Unidad de organización, País o región, Ciudad o localidad, Estado o provincia y donde dejaremos la solicitud del certificado. “Siguiente”,

“Nuevo” para generar la solicitud del certificado,

“Finalizar”,

Ahora deberemos ir a una entidad emisora de certificados y presentarle la solicitud que acabamos de generar, obtendremos un certificado para un servidor web listo para ser usado, podremos usar CA’s públicas (recomendado) o utilizar la CA de Microsoft de nuestra red.

Una vez tenemos ya el certificado generado lo importamos, continuamos donde estábamos sobre el mismo servidor que hemos realizado la solicitud pulsamos sobre el ‘certificado’ > “Completar solicitud pendiente…”

Seleccionamos el certificado desde “Examinar” & “Completar”,

“Finalizar”,

Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a un servicio de Exchange, en nuestro caso será para OWA, por lo que lo asignaremos al servicio de IIS. Sobre el certificado > “Asignar servicios a certificado…”

Indicamos el nombre del servidor Exchange que se verá afectado & “Siguiente”

Indicamos “Internet Information Services” & “Siguiente”,

“Asignar”,

Y listo!

Todo esto será necesario tenerlo listo antes de configurar TMG, una vez lo tengamos, lo dicho anteriormente, debemos instalar este certificado en el servidor TMG (en la cuenta de equipo) y el de la CA si fuera necesario.

Configuración de Microsoft Forefront TMG 2010 para dar acceso a OWA,

En esta parte del documento veremos cómo permitir el uso de OWA desde el exterior de nuestra organización al interior de forma segura, abrimos la consola de administración de Forefront TMG, vamos a “Directiva de firewall” > “Publicar acceso de cliente web de Exchange”

Indicamos un nombre a la regla, “Siguiente”,

Indicamos la versión de Exchange que tenemos en la organización y marcamos “Outlook Web Access”, “Siguiente”,

“Publicar un único sitio web o equilibrio de carga” si tenemos un solo servidor con el rol de Acceso de Cliente o tenemos un array de CAS, “Siguiente”,

Indicamos cómo queremos que se conecte el TMG al servidor de acceso de cliente, marcamos la primera opción “Usar SSL”, “Siguiente”,

Indicamos el nombre interno del sitio de nuestro (nuestro CAS), si no resuelve el TMG por nombre debemos indicar la dirección IP del servidor que tiene OWA, “Siguiente”,

Indicamos que acepte solicitudes sólo para el nombre de dominio público que utilizaremos para que accedan desde el exterior y lo introducimos, “Siguiente”,

Creamos una escucha de web para indicar qué solicitudes escucharemos del exterior, “Nueva…”,

Indicamos el nombre de escucha de la web & “Siguiente”,

Marcamos “Requerir conexiones seguras SSL con los clientes” & “Siguiente”,

Indicamos la red de escucha que utilizaremos (en este caso al disponer sólo de un adaptador ethernet me daría igual, así que seleccionamos ‘Interna’). “Siguiente”,

Seleccionamos el certificado que hemos generado anteriormente en el servidor de Acceso de Cliente “Seleccionar certificado…”

Seleccionamos el único que tendremos & “Seleccionar”. Si aquí no nos sale ningún certificado deberemos comprobar, que tenemos el certificado instalado en la cuenta de equipo, que tenemos su clave privada y que conocemos/confiamos en toda la ruta de certificación.

Indicamos la autenticación que necesitemos y la forma que el TMG validará contra nuestros controladores de dominio (ojo de depende de la forma deberemos permitir dicho tráfico de este equipo al DC de la red), “Siguiente”,

Desmarcamos SSO (Single Sign On) & “Siguiente”,

“Finalizar”,

Continuamos con la regla de TMG, “Siguiente”,

Indicamos la autenticación para validarse con el servidor de OWA, es recomendado configurar ‘Autenticación básica’ que va en texto plano pero ya hemos establecido una sesión SSL por lo que iría cifrada. “Siguiente”

Deberemos por lo tanto en las propiedades de ‘owa’ configurar el mismo método de autenticación (en la Consola de Administración de Exchange > “Configuración del servidor” > “Acceso de cliente” > Pestaña “Outlook Web App”).

Indicamos los usuarios a los que se aplicará la regla, “Siguiente”,

Y finalizamos la regla con “Finalizar”,

Aplicamos los cambios en TMG…

Y podremos comprobar desde el exterior si tenemos los mapeos de puertos (a nivel de firewall) bien configurados cómo podremos acceder a OWA desde el exterior a través del servidor TMG de forma segura!
confirmamos como el portal de OWA indica que estamos ‘protegidos por Microsoft Forefront Threat Management Gateway’.


Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!

Últimos Posts de: Héctor Herrero (ver todos)