Installieren und Konfigurieren von Microsoft Forefront TMG für den sicheren Zugriff auf OWA

In diesem Dokument werden wir eine der täglichen Installationen sehen bei der Bereitstellung einer Server-Installation von Microsoft Exchange 2010 und gewährleisten Konnektivität von außen durch OWA Zugriff (oder Dienstleistungen erforderlich) Sicherheit durch einen Host TMG in dem DMZ-Netzwerk. Wir werden die Installation von Microsoft Forefront TMG ausführen (Threat Management Gateway) ehemaliger ISA Server auf einem Computer in der DMZ, die Sie nur über HTTPS von Internet verbinden, und dies wird nur auf den Exchange-Server mit der HUB Rolle verbinden (CAS-Array).

In diesem Dokument sehen wir eine typische Situation, wir haben bereits eine DMZ und einführen darin einen Host, Microsoft Forefront Threat Management Gateway installieren 2010 mit einem Ethernet-Beine, in dem er von außen kommen ersucht (Rotes Internet) und er zog nach innen (Red LAN). Dieses Dokument OWA-Verbindungen erlaubt sind (Outlook Web App) von außen und leiten wir das Array von Client Access Server (CAS Array unter NLB), wenn wir einen Cluster dieser Art haben wir reship es gegen unsere Exchange-Server mit dem Client Access Rolle.

Installation von Microsoft Forefront TMG 2010,

Wir haben ein Team bereit, in der DMZ, zu denen installiert und Windows-Computernamen wir gerade konfigurierten, IP-Adressbereich DMZ (DNS Sünde konfigurieren, ni Meter en dominio, mit Einträgen in der Datei hosts’ entsprechend…). Introducimos el DVD de Microsoft Forefront Threat Management Gateway 2010 und die automatische Ausführung ausgewählte “Run Preparation Tool”

Es wird ein Assistent starten Sie das Team vor Ort mit allen notwendigen Anforderungen vorzubereiten und wir werden sie installieren, “folgende”,

“Ich akzeptiere die Lizenzbedingungen” & “folgende”

Ich markierte die erste Option “Dienstleistungen und Forefront TMG-Verwaltung” & “folgende”,

… Ich sagte, als wir ein paar Minuten gewartet, die notwendigen Funktionen zu installieren und konfigurieren…

wählen “Starten Sie die Installation von Forefront TMG” & “zum Abschluss bringen”,

Und starten Sie den Installationsassistenten TMG, “folgende”,

“Ich akzeptiere die Bedingungen der Lizenzvereinbarung” & “folgende”,

Wir stellen hiermit die notwendigen Daten, und die Seriennummer, “folgende”,

Wählen Sie den Installationspfad (por defecto% Programfiles% Microsoft Forefront Threat Management Gateway), “folgende”,

Geben Sie an dieser Stelle, dass die IP-Bereich zu dem internen Netzwerk "gehört, Presse “hinzufügen…”

Wir fügen, was uns interessiert, oder der dedizierte Adapter oder IP-Bereich der DMZ, für sie “In Intervall…”,

Wir geben den Bereich der DMZ, IP inicial eine IP endgültig, “akzeptieren”,

“akzeptieren”,

“folgende”,

Wir nehmen zur Kenntnis, dass die angegebenen Dienste neu gestartet werden (denn wenn wir in der Produktion verwenden),

Und bereit, die Installation zu starten!

… Wir erwarten eine gute Zeit…

Und da wir installiert die neue ISA! Wir halten die Option markiert “Starten Sie Forefront TMG-Verwaltung, wenn der Assistent schließt” & “zum Abschluss bringen”,

Im ersten Eintrag Assistenten Netzwerkeinstellungen unseres Teams konfiguriert, klicken Sie auf “konfigurieren des Netzwerkes”,

“folgende”,

In meiner Situation habe ich ein Bein Netzwerk, so kann ich nur wählen “Einzel-Netzwerkadapter”, andere Optionen würden in verschiedenen Situationen oder für andere Zwecke verwendet werden,, in meinem Fall werde ich nur sichere Übertragung von externen Verbindungen machen innerhalb OWA zu verwenden,, Outlook Anywhere… “folgende”,

Wir werden den Netzwerkadapter Computer mit Netzwerkkonfiguration zeigen, Wir überprüfen, ob es richtig ist, “folgende”,

bereit, bestätigen Sie mit “zum Abschluss bringen”,

OK, “Konfigurieren von Systemoptionen”

Short-Assistent einige Optionen zu ändern, wenn für notwendig erachtet, Server,

Wir prüfen, ob alles korrekt ist & “folgende”,

“zum Abschluss bringen”,

Schließlich beenden wir mit dem Assistenten oben “Definieren Bereitstellungsoptionen”,

“folgende”,

wir zeigen “Verwenden Sie die Microsoft Update-Service für Updates suchen” Um fortzufahren Forefront TMG aktualisiert, “folgende”,

Wir konfigurieren Lizenzierung und gibt TMG-Updates, “folgende”,

Wenn wir wollen, das Programm zur Verbesserung und Erfahrung partifipar… “Nein” & “folgende”,

Wenn wir Berichte an Microsoft Malware mit, etc… “keiner” & “folgende”,

schließlich, bereit “zum Abschluss bringen”,

Wir schließen den Assistenten, Wenn wir die Assistenten für die Web-Zugriff verwenden und Verbindungen müssen TMG konfigurieren oder später.

Erzeugen eines Zertifikats für OWA,

Bevor TMG Konfiguration haben wir ein gültiges Zertifikat für OWA verwenden, so müssen wir von Exchange eine Zertifikatsanforderung zu erzeugen,, erzeugt dann ein gültiges CA-Zertifikat, Importieren auf dem Server, der die Zertifikatsanforderung gemacht und weist es IIS-Dienst. Wir exportieren dieses Zertifikat in PFX-Format (mit einem privaten Schlüssel) und importieren Sie sie auf den Computern, die brauchen, besitzen sind andere Exchange-Server oder TMG, denn es ist wichtig, dass wir lokale Zertifikate der einzelnen Teams und nicht die der Benutzer verwenden; so müssen wir eine MMC öffnen und das Snap ‚Zertifikate hinzufügen’ und ‚lokale Computerkonto‘, von dort aus können Sie Export / Import-Zertifikate, Wir müssen es in ‚Personal tun’ und hat offensichtlich das Zertifikat der CA (Zertifizierungsstelle – Entity-Zertifikat) auf ‚Stammzertifizierungsstellen vertraut‘.

gut, wir begonnen, von der Managementkonsole von Exchange > “Server-Konfiguration” > “Neues Zertifikat Börsen…”

Geben Sie den Namen des Zertifikats, “folgende”,

“folgende”,

Wir zeigen die / Dienstleistungen, die wir das Zertifikat haben wollen, Um dies zu tun zeigen wir die Domain-Namen, die auf OWA müssen, ActiveSync, Outlook Anywhere… in meinem Fall immer die gleiche Domain-Namen für alle, wir angegeben & “folgende”,

Wir bestätigen, dass der Domain-Name korrekt ist & “folgende”,

Wir zeigen die Zertifikatsdaten: Organisation, Organisationseinheit, Land oder Region, Stadt oder Gemeinde, Staat oder Provinz und wo wir die Zertifikatsanforderung verlassen. “folgende”,

“neu” die Zertifikat-Anforderung zu generieren,

“zum Abschluss bringen”,

Jetzt gehen wir zu einer Zertifizierungsstelle und legt die Anforderung nur erzeugt, Wir erhalten ein Zertifikat für einen Webserver einsatzbereit, wir können CA öffentlichen verwenden (empfohlen) oder verwenden Sie das Netz Microsoft unser Netzwerk.

Nachdem wir bereits generierte Zertifikat importiert es, wir weitermachen, wo wir auf dem gleichen Server waren wir die Anfrage klicken Sie auf das ‚Zertifikat gemacht haben’ > “Vollständige ausstehende Anfrage…”

Wählen Sie das Zertifikat aus “prüfen” & “komplett”,

“zum Abschluss bringen”,

Sobald wir das Zertifikat korrekt installiert (und vertrauen Sie Ihrem CA) wir weisen Sie es einen Exchange-Dienst, in unserem Fall wird es für OWA sein, so wird es den IIS-Dienst zuweisen. Auf dem Zertifikat > “Vergeben Services Zertifikat…”

Geben Sie die Exchange-Servernamen, die betroffen sein werden & “folgende”

angezeigt “Internet-Informationsdienste” & “folgende”,

“zuweisen”,

und bereit!

All dies müssen sie bereit, bevor TMG Konfiguration, sobald Sie haben, was oben gesagt, Dieses Zertifikat muss auf dem TMG-Server installiert werden (in dem Computerkonto) und AC falls erforderlich.

Konfigurieren von Microsoft Forefront TMG 2010 um den Zugang zu OWA,

In diesem Teil des Dokuments werden wir sehen, wie die Verwendung von OWA von außerhalb unserer Organisation innerhalb sicherer ermöglichen, Öffnen Sie die Management-Konsole von Forefront TMG, lassen Sie uns “Firewall Policy” > “Post Web Client Access von Exchange”

Wir angegebenen einen Namen für die Regel, “folgende”,

Wir geben die Version von Exchange haben wir in der Organisation und Marke “Outlook Web Access”, “folgende”,

“Veröffentlichen eine einzelne Website oder Lastenausgleich” wenn wir einen einzigen Server mit der Client Access Rolle oder haben eine Reihe von CAS, “folgende”,

Wir zeigen, wie wir auf dem Server TMG Client Access verbinden möchten, wir markiert die erste Option “Verwendung von SSL”, “folgende”,

Geben Sie den internen Namen unserer Seite, (unsere CAS), wenn nicht den Namen auflösen TMG muss die IP-Adresse des Servers angeben OWA, “folgende”,

Wir weisen auf akzeptieren nur Anfragen für öffentlichen Domain-Namen für den Zugriff von außen zu bedienen und einführen, “folgende”,

Wir schaffen einen Weblistener, um anzuzeigen, welche Anwendungen die außerhalb hören, “neu…”,

Geben Sie den Namen auf die Bahn des Zuhörens & “folgende”,

Markierung “SSL erforderlich gesicherte Verbindungen mit Clients” & “folgende”,

Indicate wird das Beobachtungs- und Informationsnetz nutzen (in diesem Fall hat einen Ethernet-Adapter nur würde Ich mag, so wählen Sie 'Internal'). “folgende”,

Wir wählen das Zertifikat wir früher im Client Access Server erzeugt “Wählen Sie Zertifikat…”

Wir wählen die, die wir & “wählen”. Wenn wir hier nicht verlassen, werden wir sehen kein Zertifikat, wir haben das Zertifikat auf dem Computerkonto installiert, wir haben Ihren privaten Schlüssel und wir wissen / vertrauen alle Zertifizierungspfad.

Authentifizierung zeigen, dass wir benötigen und wie die TMG validiert gegen unsere Domänencontroller (Auge hängt davon ab, wie wir solchen Verkehr dieses Gerät zu Gleichstromnetz ermöglichen), “folgende”,

abgewählten SSO (Einmalige Anmeldung) & “folgende”,

“zum Abschluss bringen”,

Wir werden weiterhin TMG regieren, “folgende”,

Wir zeigen die Authentifizierung auf dem OWA-Server anmelden, Es wird empfohlen, ‚Basis-Authentifizierung einstellen’ das heißt im Klartext, aber bereits eine SSL-Sitzung eingerichtet verschlüsselt, so würde. “folgende”

Wir haben daher in den Eigenschaften von ‚owa’ die gleiche Authentifizierungsmethode konfigurieren (in der Exchange-Verwaltungskonsole > “Server-Konfiguration” > “Client Access” > Wimper “Outlook Web App”).

Benutzer anzeigen, dass die Regel gilt, “folgende”,

Und wir am Ende die Regel mit “zum Abschluss bringen”,

TMG gelten Änderungen…

Und wir können von außen sehen, ob wir Portzuordnungen (a nivel de Firewall) gut konfiguriert, wie wir OWA von außen durch die TMG-Server zugreifen können sicher!
Wir haben bestätigt, wie OWA-Portal zeigt an, dass wir ‚geschützt durch Microsoft Forefront Threat Management Gateway‘ werden.


Letzte Artikel von Hector Herrero (Alle anzeigen)