Aquest procediment és molt útil i segur, serveix perquè els nostres clients Outlook 2003 es puguin connectar al nostre servidor MS Exchange 2003 via web, utilitzant el port 80 o el 443 (en mode segur) utilitzant Outlook des d'Internet, des de casa/seu hotel/oficina… i així no haver d'utilitzar OWA. Per a això necessitarem instal·lar una CA, un component, modificacions del registre i res més.

Comencem, lo primero de todo es instalar el servidor de Certificados o ‘Certification Authority’. Per a això, anem a Inici > Panell de Control > Agregar o Treure Programes > Agregar o Quitar components de Windows. Seleccionem 'Serveis de Certificats’ y nos saltará esta pantalla. Nos indica que no podremos cambiar el nombre del PC o del dominio para que siga funcionando correctamente esta CA.

Diem que 'Sí'.

Escollim la primera opció i següent.

Aquí deberemos de poner el nombre del servidor Futuro de Autoridad de Certificados (CA).

Següent.

Sí

Esperem un minut o així, caldrà el CD de MS Windows 2003.

Una vez finalizada la instalación del CA, entramos en las propiedades del ‘Default Web Site’. Para ello abrimos la consola de IIS y botón derecho encima del ‘Sitio Web’, ens posem a la pestanya 'Seguretat de Directori’ i punxem a 'Certificat de Servidor’

Crear un nuevo certificado y siguiente.

Primera opción y Siguiente.

Ponemos un nombre descriptivo y Siguiente.

Dos campos a rellenar y Siguiente.

Aquí deberemos de poner el nombre al que accederemos para que se carge perfectamente el certificado; jo poso www.bujarra.com perquè és la forma a la qual accediré a RPC des d'internet (HTTP o HTTPS), així que el certificat es carregarà perfectament per a aquest 'domini'. Si també volem que des de la LAN s'accedeixi al RPC fent servir aquest certificat donarem d'alta aquest nom d'amfitrió al servidor DNS i que apunti a la IP on està el servidor IIS, en el meu cas crec l'host’ 'www’ i que apunti al PC 'bujarra01’ (el servidor de MS Exchange/IIS).

Omplim la localització

Desem el fitxer en aquesta ruta. Següent.

Següent,

Finalitzar,

Obrim un Internet Explorer i accedim a http://nombreservidorCA/certsrv i cliquem a 'Request a certificate'.

Cliquem a 'advanced certificate request'’

Cliquem a 'Submit a certificate request by using a base-64-encoded CMC or PKCS' #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.’

Ahora deberemos de abrir el fichero donde hemos guardado la solicitud del certificado, per defecte: c:certreq.txt. Còpiem tot el text i el tanquem.

Pegamos el texto en la web. I després seleccionem la plantilla del certificat, ha de ser 'Servidor Web’ i punxem a 'Submit'.

Seleccionamos ‘Base 64 encoded i 'Download'. Guardem el certificat en C:certnew.cer

Volvemos a las propiedades del sitio web y pinchamos en ‘Certificado de Servidor’

Següent

Procesamos el certificado pendiente de instalar y siguiente.

Escogemos este último y siguiente.

Seleccionamos el puerto seguro (per defecte 443), següent.

Següent,

Finalitzar…

Pulsamos esta vez en el botón ‘Editar’.

Marcamos el check de ‘Requerir canal seguro’ y el de ‘Requerir encriptación de 128-bits’ i OK,

Ahora instalamos el componente “RPC sobre el proxy HTTPS”, per a això: “Inici > Panell de Control > Agregar o Treure Programes > Agregar o Quitar components de Windows. Y lo seleccionamos dentro de “Servicios de red”, Acceptem.

Volvemos a la consola del IIS, i anem a “Sitios web” > “Sitio web predeterminado” > Propiedades en “Rpc” > Pestanya “Seguridad de directorios” > Pulsamos sobre el botón Modificar de “Autenticación y control de acceso”, y habilitamos los checks de “Habilitar el acceso anónimo” i el de “Autenticació bàsica”, Acceptem.

Ahora en la misma pestaña de “Seguridad de directorios”, pulsamos sobre el botón Modificar de “Comunicaciones seguras” y habilitamos los checks de “Requerir canal seguro (SSL)” y “Requerir cifrado de 128 bits”, Aceptamos y cerramos.

Si no tenemos SP1 o SP2 de Exchange: Habría que editar el registro manualmente,

Val, ahora un poco de registro: si no tenemos estra entrada crearla:

Ahora esta:

Esta también la tendréis lo más seguro… sino, la creáis, eh!

Esta tiene su miga, en HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpcRpcProxy, sería MODIFICAR una existente llamada “VALIDPORTS”, se quita el contenido y se pone lo siguiente:

En mi ejemplo, seria: bujarra01:6001-6002;bujarra01.bujarra.com:6001-6002;bujarra016004;bujarra01.bujarra.com:6004

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters sería crear una cadena multipe con este nombre: “NSPI interface protocol sequences” y este contenido, como en el ejemplo de la imagen: ncacn_http:6004 y Acceptar.

Si tenemos SP1 o SP2 de Exchange 2003 instal·lat: Simplement, con que vayamos a la consola de Exchange y habilitemos su función bastaría,

Abrimos la consola “System Center”, vamos hasta las propiedades del servidor Exchange, y veremos que hay una pestaña llamada “RPC-HTTP”, marquem el check de “” y habría que reiniciar el servidor de Exchange para que los cambios surjan efecto.

Configuración en la parte cliente –> Outlook 2003,

Val, esto tendrías que hacerlo en los PC’s que quieran que accedan de esta forma al Outlook, recuerda que en el firewall tienes que abrir el puerto 443 y mapearlo a este servidor Exchange/IIS.

Así que creamos un Perfíl de Outlook para probarlo (o configurarlo de forma definitiva), ya sabes, Panell de Control > Correo > Agregar Perfíl nuevo. Seleccionem la primera opció, “Agregar una nueva cuenta de correo electrónico” y Siguiente.

La primera opció “Servidor de Microsoft Exchange” y Siguiente

Ponemos el nombre público del servidor Exchange/IIS, como se supone que ahora estamos en ‘Internet’ accederemos a su nombre DNS o a su IP pública, se entiende que eso, que el servidor IIS/Exchange tiene una conexion a internet con una IP pública o nombre público (DNS) y con el puerto 443 mapeado a la IP privada de este server. Bo, el que s' ha dit, ponemos servidor y usuario, i posem sobre “Más configuraciones..”, si por lo que sea no nos abre a la primera, li donem a “Reintentar la conexion”, puede ser un fallo de comunicaciones. Y muy importante desmarcamos el check de “Usar modo de intercambio en caché”.

En la pestaña de Conexión marcamos el check de “Connectar amb el bústia d’Exchange utilitzant HTTP”, i posem sobre “Configuració de proxy d’Exchange…”, a la pantalla nova escrivim de nou el nom DNS o la IP pública del servidor (en el meu cas de nou www.bujarra.com), marquem el check de “Connectar utilitzant només SSL) i ambdós checks perquè es connecti amb HTTP i després amb TCP/IP i Acceptem.

Jo a la pestanya de Seguretat solc marcar que sempre em demani contrasenya per obrir l’Outlook, més que res perquè quan obro Outlook no estic autenticat al domini i em demanarà contrasenya i a més per temes de seguretat, opcional. Amb això ja estaria la part client finalitzada, ara només queda fer proves i que tot vagi bé.

Testar que funciona bé,

Per comprovar que tot va bé i que l’Outlook (client) es connecta bé a l’Exchange (servidor) vía HTTPS podemos ejecutar un comando y comprobar como se comporta.

Inici > Executar: “outlook /rcpdiag” y Acceptar.

Y mientras abre Outlook podremos ver las conexiones que está abriendo nuestro Outlook, y siempre que ponga TCP/IP estará perfecto. Eso sí, si la velocidad entre el cliente y el servidor es mala, dale a Reintentar la conexión cuando te lo pida y todo irá bien.