Instal·lació i configuració de Microsoft Forefront TMG per a accés d'OWA segur

Print Friendly, PDF i correu electrònic

En este documento veremos una de las instalaciones más quotidianas a la hora de desplegar una instalación de Microsoft Exchange Server 2010 e asegurar la seva connectivitat desde el exterior mediante l'accés de OWA (o los servicios necesarios) seguro a través de un host TMG en la red DMZ. Realizaremos la instalación de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que sólo se le connectará mediante HTTPS des d'Internet y éste sólo se conectará al servidor Exchange con el rol HUB (o array CAS).

En este documento veremos una situación típica, tenemos ya una DMZ e introduciremos en ella un host en el que instalaremos Microsoft Forefront Threat Management Gateway 2010 con una pata ethernet en la que le entrarán peticiones desde el exterior (Red Internet) y él trasladará al interior (Xarxa LAN). En este documento se permitirán las conexiones de OWA (Outlook Web App) desde el exterior y las redirigiremos al array que tenemos de los servidores de Acceso de Cliente (CAS Array bajo NLB), si no tenemos un cluster de este tipo lo reenviaremos contra nuestro servidor Exchange con el rol de Acceso de Cliente.

Instalación de Microsoft Forefront TMG 2010,

Tenemos un equipo ya listo en la DMZ, al que simplemente le hemos instalado Windows y configurado un nombre de equipo, dirección IP del rango DMZ (sin configurar DNS''s, ni meter en dominio, con las entradas en el archivo 'hosts’ correspondientes…). Introducimos el DVD de Microsoft Forefront Threat Management Gateway 2010 y en el autorun seleccionamos “Ejecutar la herramienta de preparación”

Comenzará un asistente para preparar el equipo local con todos los requisits necessaris i nos los instalará, “Següent”,

“Accepto los términos de licencia” & “Següent”

Marcamos la primera opció “Servicios y Administración de Forefront TMG” & “Següent”,

… ho diem, un minut mentre instal·lem i configura les característiques necessàries…

Seleccionem “Iniciar el Asistente para la instalación de Forefront TMG” & “Finalitzar”,

Y comenzaría el asistente de instalación de TMG, “Següent”,

“Accepto els termes del contracte de llicència” & “Següent”,

Indicamos los dades necessàries, així com el número de sèrie, “Següent”,

Seleccionem el path d'instal·lació (per defecte %ProgramFiles%Microsoft Forefront Threat Management Gateway), “Següent”,

Indicarem en aquest moment quin rang IP pertany a la 'xarxa interna', posem “Agregar…”

Afegim el que ens interessi, o l'adaptador dedicat o el rang IP de la DMZ, per a això “Afegir interval…”,

Indiquem el rang de la DMZ, IP inicial a IP final, “Acceptar”,

“Acceptar”,

“Següent”,

Hem de tenir en compte que els serveis especificats es reiniciaran (per si els estem utilitzant en producció),

I llest per començar la instal·lació!

… esperem una bona estona…

I ja tindrem el nou ISA instal·lat! mantenim marcada l'opció “Iniciar l'Administració de Forefront TMG quan es tanqui l'assistent” & “Finalitzar”,

En l'assistent d'introducció configuraremos primer les opcions de red de nuestro equip, posem en “Configurar opciones de red”,

“Següent”,

En mi situació actual tengo una pata de red por lo que sólo puedo seleccionar “Adaptador de red único”, les demás opcions serían a utilitzar en diferents situacions o amb altres fines, en el meu cas simplement realizé el traspaso seguro de conexiones exteriores al interior per utilitzar OWA, Outlook Anywhere… “Següent”,

Nos mostrará el adaptador de red del equipo con su configuración de red, comprobamos que es correct “Següent”,

Llist, confirmamos con “Finalitzar”,

Ok, “Configurar opciones del sistema”

Breve asistente para modificar si consideramos necessàrias algunas opciones del servidor,

Comprovem que tot és correcte & “Següent”,

“Finalitzar”,

Finalment acabamos con el asistente “Definir opciones de implementación”,

“Següent”,

Deberemos indicar “Usar el servei Microsoft Update para buscar actualizaciones” para mantener actualizado el Forefront TMG, “Següent”,

Configuramos el licenciamiento y temes de actualizaciones de TMG, “Següent”,

Si volem participar el programa de mejora y experiencia… “No” & “Següent”,

Si volem enviar a Microsoft informes de uso de malware, etc.… “Ninguno” & “Següent”,

Per fi, llest “Finalitzar”,

Cerramos el asistente, si volem utilitzar l'assistent per a accés Web i poder tenir connectivitat amb el TMG o lo configuraremos posteriorment.

Generando un certificado para OWA,

Antes de configurar TMG deberemos tener un certificat vàlid per a l'ús d'OWA, per lo que necessitem des Exchange generar una sol·licitud de certificado, posteriormente con una CA válida generar el certificado, importarlo en el servidor que hemos realizado la sol·licitud de certificado y assignarlo al servei de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en los equipos que necessitemos, sean otros servidores Exchange o en el propio TMG, para ello serà imprescindible que usemos los certificados ubicats de cada equipo y no los del usuario; por lo que necesitaremos abrir una MMC i agregar el complemento 'Certificados’ y de 'compte de equipo local', desde ahí podremos exportar/importar certificados, necesitaremos realizarlo en 'Personal’ y obviamente tener el certificado de la CA (Certificate Authority – Entidad de emisora de certificados) en 'Entidades de certificación raíz de confianza'.

Bo, comencem, des de la Consola de administración de Exchange > “Configuración del servidor” > “Nuevo certificado de intercambi…”

Indicamos el nombre del certificado, “Següent”,

“Següent”,

Indicamos el/los serveis que volem que tenga el certificado, per això hauríem d'indicar els nombres de dominis que necessitarem per OWA, ActiveSync, Outlook Anywhere… en el meu cas sempre serà el mateix nombre de domini per a tot, lo indicamos & “Següent”,

Confirmamos que el nombre de dominio es correct & “Següent”,

Indicamos los datos del certificado: Organització, Unidad de organización, País o región, Ciudad o localidad, Estado o provincia y donde deixarem la sol·licitud del certificado. “Següent”,

“Nou” per generar la sol·licitud del certificado,

“Finalitzar”,

Ara hauríem d'ir a una entitat emisora de certificats i presentar la sol·licitud que acabamos de generar, obtendremos un certificat para un servidor web listo para ser usado, podremos usar CA's públicas (recomanat) o utilitzar la CA de Microsoft de nuestra red.

Una vez tenemos ya el certificado generado lo importamos, continuem on estem sobre el mateix servidor que hem realitzat la sol·licitud pulsant sobre el 'certificado’ > “Completar solicitud pendiente…”

Seleccionamos el certificat desde “Examinar” & “Completar”,

“Finalitzar”,

Una vez tenemos el certificado instalado de forma correcta (i confiem en la seva CA) hem assignarlo a un servei de Exchange, en el nostre cas serà para OWA, por lo que asignarem al servei de IIS. Sobre el certificado > “Assignar serveis a certificado…”

Indicamos el nombre del servidor Exchange que se afectarà & “Següent”

Indiquem “Internet Information Services” & “Següent”,

“Assignar”,

I llest!

Tot esto serà necesario tenerlo listo antes de configurar TMG, una vez lo tengamos, lo dicho anteriormente, hem d'instal·lar aquest certificat en el servidor TMG (en la compte de equipo) y el de la CA si fuera necesario.

Configuración de Microsoft Forefront TMG 2010 para dar accés a OWA,

En esta part del documento verem com permetre l'ús d'OWA des de l'exterior de la nostra organització al interior de forma segura, abrimos la consola de administración de Forefront TMG, anem a “Directiva de firewall” > “Publicar acceso de cliente web de Exchange”

Indicamos un nombre a la regla, “Següent”,

Indicamos la versió de Exchange que tenemos en la organización y marcamos “Outlook Web Access”, “Següent”,

“Publicar un únic lloc web o equilibri de càrrega” si tenim un sol servidor amb el rol d'Accés de Client o tenim un array de CAS, “Següent”,

Indiquem com volem que es connecti el TMG al servidor d'accés de client, marcamos la primera opció “Usar SSL”, “Següent”,

Indiquem el nom intern del lloc del nostre (nostre CAS), si el TMG no resol per nom hem d'indicar l'adreça IP del servidor que té OWA, “Següent”,

Indiquem que accepti sol·licituds només pel nom de domini públic que utilitzarem perquè accedeixin des de l'exterior i el introduïm, “Següent”,

Creem una escolta web per indicar quines sol·licituds escoltarem des de l'exterior, “Nova…”,

Indiquem el nom de l'escolta web & “Següent”,

Marquem “Requerir connexions segures SSL amb els clients” & “Següent”,

Indiquem la xarxa d'escolta que utilitzarem (en aquest cas, com que només disposem d'un adaptador ethernet, no em faria cap diferència, així que seleccionem 'Interna'). “Següent”,

Seleccionem el certificat que hem generat anteriorment al servidor d'Accés de Client “Seleccionar certificat…”

Seleccionem l'únic que tindrem & “Seleccionar”. Si aquí no ens apareix cap certificat, haurem de comprovar, que tenim el certificat instal·lat al compte d'equip, que tenim la seva clau privada i que coneixem/confiem en tota la ruta de certificació.

Indiquem l'autenticació que necessitem i la manera com el TMG validarà contra els nostres controladors de domini (Compte, depenent de la forma haurem de permetre aquest tràfic d'aquest equip al DC de la xarxa), “Següent”,

Desmarquem SSO (Single Sign On) & “Següent”,

“Finalitzar”,

Continuamos con la regla de TMG, “Següent”,

Indicamos la autenticación para validarse con el servidor de OWA, es recomendado configurar 'Autenticación básica’ que va en text plano pero ya hem establert una sesión SSL por lo que iría cifrada. “Següent”

Deberemos por lo tanto en las propiedades de 'owa’ configurar el mateix método de autenticación (en la Consola de Administración de Exchange > “Configuración del servidor” > “Accés de client” > Pestanya “Outlook Web App”).

Indicamos los usuaris a los que se aplicarà la regla, “Següent”,

Y finalitzamos la regla con “Finalitzar”,

Aplicamos los canvis en TMG…

I podrem comprovar des de l'exterior si tenim els mapes de puertos (a nivell de firewall) bien configurados cómo podremos accedir a OWA des del exterior a través del servidor TMG de forma segura!
confirmamos com el portal de OWA indica que estamos 'protegits por Microsoft Forefront Threat Management Gateway'.


Posts recomanats

Inicis de sessió amb SmartCard al Directori Actiu
Llegir
Nou Teams a Citrix
Llegir
VPN amb Citrix NetScaler III - Autenticació amb certificats
Llegir
VPN amb Citrix NetScaler II - Requerint certificats per accedir
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Usant VMware vMA

8 de November de 2010

Configurando Outlook Anywhere en Microsoft Exchange 2010

22 de November de 2010