Instalación y configuración de Microsoft Forefront TMG para acceso de OWA seguro

Inprimatzeko Lagunkoa, PDF eta Email

En este documento veremos una de las instalaciones más cotidianas a la hora de desplegar una instalación de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante el acceso de OWA (o los servicios necesarios) seguro a través de un host TMG en la red DMZ. Realizaremos la instalación de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que sólo se le conectará mediante HTTPS desde Internet y éste sólo se conectará al servidor Exchange con el rol HUB (o array CAS).

Dokumentu honetan egoera tipiko bat aztertuko dugu, Dagoen DMZ bat dugu eta horretan host bat sartuko dugu, non Microsoft Forefront Threat Management Gateway instalatuko dugun 2010 Ethernet bidezko konekzio bat izango du kanpotik etorritako eskaerak jasotzeko (Internet Sarea) eta horiek barnera eramango ditu (LAN Sarea). Dokumentu honetan OWA konekzioak onartuko dira (Outlook Web App) kanpotik etorritakoak gure bezero sarbide zerbitzarien array-era bidaliko ditugu (CAS Array NLB azpian), halako kluster bat ez badugu, gure Exchange zerbitzariaren kontra birbidaliko ditugu, Bezero Sarbide rolarekin.

Microsoft Forefront TMG instalazioa 2010,

DMZ batean dagoen ekipo bat dugu prestatuta, bertan soilik Windows instalatu diogu eta ekipo izen bat konfiguratu, DMZ tarteko IP helbidea (ez DNS konfiguratu, ezta domeinuan sartu, ‘hosts’ fitxategian dauden sarrerak’ dagokionak…). Sartu Microsoft Forefront Threat Management Gateway DVD-a 2010 eta autorunean aukeratu “Prestaketa tresna exekutatzea”

Tokiko ekipamendua beharrezko baldintza guztiekin prestatzeko laguntzailea hasiko da eta horiek instalatuko dizkigu, “Hurrengoa”,

“Lizentzia-baldintzak onartzen ditut” & “Hurrengoa”

Marcamos la primera opción “Forefront TMG Zerbitzuak eta Kudeaketa” & “Hurrengoa”,

… Aipatutako moduan, itxaroten dugu minutu batzuk beharrezko ezaugarriak instalatu eta konfiguratzen dituen bitartean…

Aukeratzen dugu “Forefront TMG Instalazio Laguntzaileari Hasi” & “Amaitu”,

Eta TMG instalazio laguntzailea hasiko litzateke, “Hurrengoa”,

“Lizentziaren kontratuaren baldintzak onartzen ditut” & “Hurrengoa”,

Beharrezko datuak ematen ditugu, serie zenbakia bezala, “Hurrengoa”,

Seleccionamos el path de instalación (defektuz %ProgramFiles%Microsoft Forefront Threat Management Gateway), “Hurrengoa”,

Orain adieraziko dugu zein IP tarte den 'barne sarea', Sakatu “Agregar…”

Gehitzen dugu gure interesekoa, edo egokitzaile dedikatua edo DMZ-ren IP tartea, horretarako “Tartea gehitu…”,

DMZ-ren tartea adierazten dugu, Hasierako IPtik Amaierako IPra, “Onartu”,

“Onartu”,

“Hurrengoa”,

Kontuan izan behar dugu zehaztutako zerbitzuak berrabiaraziko direla (produksioan erabiltzen baditugu),

Eta prest instalazioa hasteko!

… Itxaron denbora ona…

Eta orain ISA berria instalatuta izango dugu! Aukera markatuta mantentzen dugu “Itxi denean Forefront TMG Kudeaketa hastea” & “Amaitu”,

Sarrera-laguntzailean lehenik eta behin gure taldearen sare-aukerak konfiguratzearen bidez hasiko gara, sustatu “Sare-aukerak konfiguratu”,

“Hurrengoa”,

Uneko egoeran sareko hanka bat dutenez, beraz bakarrik aukera dezaket “Sare-egokitzaile bakarra”, beste aukera guztiak egoera desberdinetan edo beste helburuetarako erabiliko lirateke, Nire kasuan, kanpoko konexioak barnera modu seguru batean pasatzeko egingo dut OWA erabiltzeko, Outlook Anywhere… “Hurrengoa”,

Taldearen sare-egokitzailea bere sare-konfigurazioarekin erakutsiko digu, egokia dela egiaztatzen dugu “Hurrengoa”,

Listo, berretsi egiten dugu “Amaitu”,

Ados, “Sistema-aukerak konfiguratu”

Laguntzaile laburra zerbitzariaren zenbait aukera beharrezkotzat baditugu aldatu ahal izateko,

Denak ondo daudela egiaztatzen dugu & “Hurrengoa”,

“Amaitu”,

Finalmente acabamos con el asistente “Definir opciones de implementación”,

“Hurrengoa”,

Deberemos indicar “Usar el servicio Microsoft Update para buscar actualizaciones” para mantener actualizado el Forefront TMG, “Hurrengoa”,

Configuramos el licenciamiento y temas de actualizaciones de TMG, “Hurrengoa”,

Si queremos partifipar el programa de mejora y experiencia… “Ez” & “Hurrengoa”,

Si queremos enviar a Microsoft informes de uso de malware, eta abar… “Ez batere” & “Hurrengoa”,

Por fin, prest “Amaitu”,

Cerramos el asistente, si queremos podemos utilizar el asistente para acceso Web y poder tener conectividad con el TMG o lo configuraremos posteriormente.

Generando un certificado para OWA,

Antes de configurar TMG deberemos tener un certificado válido para el uso de OWA, por lo que necesitamos desde Exchange generar una solicitud de certificado, posteriormente con una CA válida generar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarlo al servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en los equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello será imprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo que necesitaremos abrir una MMC y agregar el complemento 'Certificados’ y de 'cuenta de equipo local', desde ahí podremos exportar/importar certificados, necesitaremos realizarlo en 'Personal’ y obviamente tener el certificado de la CA (Ziurtagiri-emailea – Entidad de emisora de certificados) en 'Entidades de certificación raíz de confianza'.

Onena, comenzamos, Exchange Kudeaketa Kontsolatik > “Zerbitzariaren ezarpena” > “Truke-ziurtagiri berria…”

Ziurtagiriaren izena adierazten dugu, “Hurrengoa”,

“Hurrengoa”,

Ziurtagiriak izan dezan nahi ditugun zerbitzuak adierazten ditugu, Horretarako, OWArako behar ditugun domeinu-izenak adierazi beharko ditugu, ActiveSync, Outlook Anywhere… Nire kasuan, beti izango da domeinu-izen bera guztientzat, Adierazten dugu & “Hurrengoa”,

Ziurtagiriaren izena zuzena dela baieztatzen dugu & “Hurrengoa”,

Ziurtagiriaren datuak adierazten ditugu: Antolaketa, Antolaketa-unitatea, Herrialdea edo eskualdea, Hiria edo toki bat, Estatua edo probintzia eta ziurtagiriaren eskaera non utziko dugun. “Hurrengoa”,

“Berria” Ziurtagiriaren eskaera sortzeko,

“Amaitu”,

Ahora deberemos ir a una entidad emisora de certificados y presentarle la solicitud que acabamos de generar, obtendremos un certificado para un servidor web listo para ser usado, podremos usar CA's públicas (gomendatua) o utilizar la CA de Microsoft de nuestra red.

Una vez tenemos ya el certificado generado lo importamos, continuamos donde estábamos sobre el mismo servidor que hemos realizado la solicitud pulsamos sobre el 'certificado’ > “Completar solicitud pendiente…”

Seleccionamos el certificado desde “Examinar” & “Completar”,

“Amaitu”,

Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a un servicio de Exchange, en nuestro caso será para OWA, por lo que lo asignaremos al servicio de IIS. Sobre el certificado > “Asignar servicios a certificado…”

Exchange zerbitzariaren izena adierazten dugu, eta horrek eragina izango du & “Hurrengoa”

Indicamos “Internet Information Services” & “Hurrengoa”,

“Asignar”,

eta prest!

Hori guztia prest izatea beharrezkoa izango da TMG konfiguratu aurretik, behin hori dugunean, aurretik esandakoa, TMG zerbitzarian ziurtagiri hau instalatu behar dugu (taldearen kontuan) eta CA-rena beharrezkoa izanez gero.

Microsoft Forefront TMG konfigurazioa 2010 OWAko sarbidea emateko,

Dokumentu honen zatian ikusiko dugu nola posible dezakegun OWA erabiltzea gure erakundetik kanpotik barrura modu seguruan, Forefront TMG administrazio kontsola irekitzen dugu, vamos a “Suebaki politika” > “Exchange web bezero sarbidea argitaratu”

Arauri izen bat adierazten diogu, “Hurrengoa”,

Antzematen dugu gure erakundean dagoen Exchange bertsioa eta markatzen dugu “Outlook Web Access”, “Hurrengoa”,

“Webgune bakarra argitaratu edo karga orekatzea” baldin eta klienteentzako sarbidearen rola duen zerbitzari bakarra badugu edo CAS array bat badugu, “Hurrengoa”,

Adierazten dugu nola nahi dugun TMGk klienterik sarbideko zerbitzarira konektatu, lehen aukera aukeratzen dugu “SSL erabili”, “Hurrengoa”,

Adierazten dugu gure gunearen barne izena (gure CAS), TMGk izenaren bidez ez badu ebazten, OWA duen zerbitzariaren IP helbidea adierazi behar dugu, “Hurrengoa”,

Adierazten dugu bakarrik onartzen dituela erabiliko dugun domeinu publikoko izenerako eskaerak kanpotik sartzeko eta sartzen dugu, “Hurrengoa”,

Web entzule bat sortzen dugu kanpotik jasoko ditugun eskaerak adierazteko, “Berria…”,

Web-entzun izena adierazten dugu & “Hurrengoa”,

Marcamos “Bezeroekin SSL konexio seguruak eskatzea” & “Hurrengoa”,

Erabiliko dugun entzun sareta adierazten dugu (kasu honetan, ethernet egokigailu bakarra daukagunez, berdin dit, beraz, 'Barnekoa' hautatzen dugu). “Hurrengoa”,

Bezeroaren Sarbide zerbitzarian lehenago sortu genuen ziurtagiria hautatzen dugu “Ziurtagiria hautatu…”

Bakarra hautatzen dugu & “Hautatu”. Hemen ez badago ziurtagiririk, egiaztatu behar dugu, ziurtagiria ekipoko kontuan instalatuta dagoela, bere gako pribatua dugula eta ziurtagiri bide osoari buruz ezagutza/kontua dugula.

Indicamos la autenticación que necesitemos y la forma que el TMG validará contra nuestros controladores de dominio (ojo de depende de la forma deberemos permitir dicho tráfico de este equipo al DC de la red), “Hurrengoa”,

Desmarcamos SSO (Single Sign On) & “Hurrengoa”,

“Amaitu”,

Continuamos con la regla de TMG, “Hurrengoa”,

Indicamos la autenticación para validarse con el servidor de OWA, es recomendado configurar 'Autenticación básica’ que va en texto plano, pero ya hemos establecido una sesión SSL por lo que iría cifrada. “Hurrengoa”

Deberemos por lo tanto en las propiedades de 'owa’ configurar el mismo método de autenticación (en la Consola de Administración de Exchange > “Zerbitzariaren ezarpena” > “Acceso de cliente” > Pestaña “Outlook Web App”).

Indicamos los usuarios a los que se aplicará la regla, “Hurrengoa”,

Eta azkenik araua amaitzen dugu “Amaitu”,

Aldaketak TMG-n aplikatzen ditugu…

Eta kanpotik egiaztatu ahal izango dugu portuen mapaketak ondo konfiguratuak dauden ala ez (suebakien mailan) nola sar gaitezkeen OWAra kanpotik TMG zerbitzariaren bidez modu seguruan!
egiaztatzen dugu OWAko atariak adierazten duela 'Microsoft Forefront Threat Management Gateway-k babestuta gaude'.


Izenburuko mezuak

VPN Citrix NetScaler II-rekin - sartutako ziurtagiriak eskatzen
Irakurri
VPN Citrix NetScaler III-rekin - Ziurtagiriekin autentifikazioa
Irakurri
Citrix-en Talde Berri
Irakurri
SmartCardekin saio hasierak Zuzendaritza Aktiboan
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

Usando VMware vMA

8 Azaroan 2010

Configurando Outlook Anywhere en Microsoft Exchange 2010

22 Azaroan 2010