Configurar un servidor Microsoft Exchange 2003 como servidor Front-End
Lo interesante en una organización es tener un acceso desde el exterior seguro, para eso se usan las DMZ, y lógicamente no vamos a meter un servidor de Exchange en ella con sus buzones, ya que los usuarios no deben acceder desde la LAN a la DMZ. Lo que se hace es crear uno o varios servidores que hagan de Front-End en la DMZ que tengan Exchange, pero sólo para las conexiones exteriores, le entraría el tráfico SMTP y HTTP/HTTPS para los usuarios desde internet puedan ver el correo por OWA. En este paso, crearemos un servidor Front-End y vemos cómo se configuraría. Se supone que en la LAN ya tendremos nuestro(s) servidor(es) con los buzones de MS Exchange a los que se acceden desde la LAN con clientes de correo tipo MS Outlook.
Este sería el aspecto idóneo de una DMZ con Exchanges, uno en la DMZ que sólo es accesible desde el exterior y sólo se usa para leer el correo vía OWA (con HTTPS), y con el SMTP redireccionado de la DMZ a la LAN. El servidor de almacén de buzones estaría en la LAN con todos los clientes.
Para configurar cual queremos que sea el FrontEnd, tenemos que abrir la consola de “Administrador del Sistema de Exchange”, y sobre el servidor que querramos que sea el Front-end botón derecho > “Propiedades”.
Sólo debemos marcar el check de “Este es un servidor de aplicaciones para usuario”, aceptamos.
Habría que reiniciar para que los cambios surjan efecto, o lógicamente reiniciar estos servicios a mano.
Cómo adicional, sería interesante, tener un cluster de ambos servidores, el que es Front-End y el de Back-End, además de asegurar el tráfico de OWA con HTTPS.
Crear un clúster de servidores de Back-End – AKI
Crear un clúster de servidores de Front-End – AKI
Asegurar OWA por HTTPS – AKI
Habría que recordar los puertos que hay que tener abiertos entre la DMZ y la LAN:
80 TCP o 443 TCP – Para HTTP o HTTPS
25 TCP – SMTP
691 TCP – Link State-Algorithm Routing
389 TCP + 389 UDP – LDAP al Directorio Activo.
3268 TCP – Catálogo Global al Directorio Activo
88 TCP + 88 UDP – Autenticación Kerberos
53 TCP + 53 UDP – Resolución de nombres DNS
143 TCP – Opcional: IMAP
110 TCP – Opcional: POP
993 TCP – Opcional: SSL IMAP Seguro
995 TCP – Opcional: SSL POP Seguro
Y entre Internet y la DMZ:
80 TCP o 443 TCP – Para HTTP o HTTPS
25 TCP – SMTP