Instalação e configuração do Microsoft Forefront TMG para acesso seguro ao OWA

Impressão amigável, PDF & E-mail

En este documento veremos una de las instalações más quotidianas a la hora de desplegar una instalação de Microsoft Exchange Server 2010 e garantir a sua conectividade desde o exterior mediante o acesso de OWA (o los servicios necesarios) seguro a través de un host TMG en la red DMZ. Realizaremos la instalación de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que sólo se le conectará mediante HTTPS desde Internet y éste sólo se conectará al servidor Exchange con el rol HUB (o array CAS).

Neste documento veremos uma situação típica, já temos uma DMZ e vamos introduzir nela um host no qual instalaremos o Microsoft Forefront Threat Management Gateway 2010 com uma porta Ethernet por onde chegarão pedidos do exterior (Rede Internet) e ele irá transferir para o interior (Red LAN). Neste documento serão permitidas as ligações de OWA (Outlook Web App) a partir do exterior e nós iremos redirecioná-las para o array que temos de servidores de Acesso de Cliente (CAS Array sob NLB), se não tivermos um cluster deste tipo, iremos reenviar para o nosso servidor Exchange com o papel de Acesso de Cliente.

Instalação do Microsoft Forefront TMG 2010,

Temos um equipamento já pronto na DMZ, ao qual simplesmente instalámos o Windows e configurámos um nome de equipamento, endereço IP do intervalo DMZ (não configurar DNS, nem colocar no domínio, com as entradas no ficheiro 'hosts'’ correspondentes…). Introduzimos o DVD do Microsoft Forefront Threat Management Gateway 2010 e no autorun selecionamos “Executar a ferramenta de preparação”

Começará um assistente para preparar o equipamento local com todos os requisitos necessários e irá instalá-los, “Seguinte”,

“Acepto los términos de licencia” & “Seguinte”

Marcamos a primeira opção “Serviços e Administração do Forefront TMG” & “Seguinte”,

… como dito, esperamos alguns minutos enquanto nos instala e configura as funcionalidades necessárias…

Selecionar “Iniciar o Assistente para a instalação do Forefront TMG” & “Fim”,

E iniciaria o assistente de instalação do TMG, “Seguinte”,

“Aceito os termos do contrato de licença” & “Seguinte”,

Indicamos os dados necessários, bem como o número de série, “Seguinte”,

Selecione o caminho de instalação (por defeito %ProgramFiles%Microsoft Forefront Threat Management Gateway), “Seguinte”,

Indicaremos neste momento que intervalo de IP pertence à 'rede interna', Pressionado “Adicionar…”

Adicionamos o que nos interessar, ou o adaptador dedicado ou o intervalo de IP da DMZ, por isso “Adicionar intervalo…”,

Indicamos o intervalo da DMZ, IP inicial a IP final, “Aceitar”,

“Aceitar”,

“Seguinte”,

Deveremos ter em conta que os serviços especificados serão reiniciados (caso os estejamos a usar em produção),

E está pronto para começar a instalação!

… esperamos um bom bocado…

E já teremos o novo ISA instalado! mantemos assinalada a opção “Iniciar a Administração do Forefront TMG quando o assistente for fechado” & “Fim”,

En el asistente de introducción configuraremos primero las opciones de red de nuestra equipa, Clique em “Configurar opciones de red”,

“Seguinte”,

En mi situation actual tengo una pata de red por lo que sólo puedo seleccionar “Adaptador de red único”, las demás opções serían a utilizar en diferentes situações o con outras fines, no meu caso simplesmente realizé o traspaso seguro de conexiones exteriores al interior para utilizar OWA, Outlook Anywhere… “Seguinte”,

Nos mostrará el adaptador de red del equipo con su configuração de red, verificamos que está correto “Seguinte”,

Pronto, confirmamos con “Fim”,

Okey, “Configurar opciones del sistema”

breve asistente para modificar si consideramos necesarias algunas opciones del servidor,

Verificamos que tudo está correto & “Seguinte”,

“Fim”,

Finalmente acabamos com el asistente “Definir opções de implementação”,

“Seguinte”,

Deveremos indicar “Usar o serviço Microsoft Update para procurar atualizações” para manter o Forefront TMG atualizado, “Seguinte”,

Configuramos o licenciamento e questões de atualizações do TMG, “Seguinte”,

Se quisermos participar no programa de melhoria e experiência… “Não” & “Seguinte”,

Se quisermos enviar à Microsoft relatórios de utilização de malware, etc… “Nenhum” & “Seguinte”,

Finalmente, pronto “Fim”,

Fechamos o assistente, se quisermos podemos utilizar o assistente para acesso Web e poder ter conectividade com o TMG ou configurá-lo posteriormente.

Gerando um certificado para OWA,

Antes de configurar o TMG deveremos ter um certificado válido para o uso do OWA, pelo que precisamos, a partir do Exchange, gerar um pedido de certificado, posteriormente con una CA válida generar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarlo al servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en los equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello será imprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo que necesitaremos abrir uma MMC y agregar el complemento 'Certificados’ y de 'cuenta de equipo local', desde ahí podremos exportar/importar certificados, necesitaremos realizarlo en 'Personal’ y obviamente tener el certificado de la CA (Autoridade Certificadora – Entidad de emisora de certificados) en 'Entidades de certificación raíz de confianza'.

Poço, Começou, desde a Consola de Administração de Exchange > “Configuração do servidor” > “Novo certificado de intercâmbio…”

Indicamos o mesmo nome do certificado, “Seguinte”,

“Seguinte”,

Indicamos el/los servicios que queramos que tenga el certificado, para ello deberemos indicar los nombres de domínios que precisamos para OWA, ActiveSync, Outlook Anywhere… no meu caso será sempre o mesmo nome de domínio para todo, lo indicamos & “Seguinte”,

Confirmamos que el nombre de domínio es correcto & “Seguinte”,

Indicamos los datos del certificado: Organização, Unidad de organización, País o region, Ciudad o localidade, Estado o provincia y donde dejaremos la solicitud del certificado. “Seguinte”,

“Novo” para gerar la solicitud del certificado,

“Fim”,

Agora deberemos ir a uma entidade emisora de certificados e apresentar a solicitação que acabamos de gerar, obtendremos un certificado para un servidor web listo para ser usado, podremos usar CA’s públicas (recomendado) o utilizar la CA de Microsoft de nuestra red.

Una vez tenemos ya el certificado generado lo importamos, continuamos donde estábamos sobre el mismo servidor que hemos realizado la solicitud pulsamos sobre el ‘certificado’ > “Completar solicitud pendiente…”

Seleccionamos el certificado desde “Examinar” & “Completar”,

“Fim”,

Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a un servicio de Exchange, en nuestro caso será para OWA, por lo que lo asignaremos al servicio de IIS. Sobre el certificado > “Asignar servicios a certificado…”

Indicamos el nombre del servidor Exchange que se verá afectado & “Seguinte”

Indicar “Internet Information Services” & “Seguinte”,

“Asignar”,

E é isso!

Todo esto será necesario tenerlo listo antes de configurar TMG, una vez lo tengamos, O que foi dito acima, devemos instalar este certificado no servidor TMG (en la cuenta de equipo) y el de la CA si fuera necesario.

Configuración de Microsoft Forefront TMG 2010 para dar acesso a OWA,

En esta parte del documento veremos como permitir o uso de OWA desde o exterior da nossa organização ao interior de forma segura, abrimos la consola de administración de Forefront TMG, Nós vamos “Directiva de firewall” > “Publicar acesso de cliente web de Exchange”

Indicamos um nome à regra, “Seguinte”,

Indicamos la versión de Exchange que tenemos en la organización y marcamos “Outlook Web Access”, “Seguinte”,

“Publicar un único sitio web o equilíbrio de carga” se tivermos apenas um servidor com o papel de Acesso de Cliente ou tivermos um array de CAS, “Seguinte”,

Indicamos como queremos que o TMG se conecte ao servidor de acesso de cliente, marcamos a primeira opção “Usar SSL”, “Seguinte”,

Indicamos o nome interno do site do nosso (nosso CAS), se o TMG não resolver pelo nome devemos indicar o endereço IP do servidor que tem OWA, “Seguinte”,

Indicamos que aceite pedidos apenas para o nome de domínio público que iremos usar para que acedam do exterior e introduzimo-lo, “Seguinte”,

Criamos uma escuta web para indicar que pedidos iremos ouvir do exterior, “Novo…”,

Indicamos o nome da escuta web & “Seguinte”,

Assinalar “Exigir ligações seguras SSL com os clientes” & “Seguinte”,

Indicamos la red de escucha que utilizaremos (en este caso al disponer sólo de un adaptador ethernet me daría igual, assim que selecionamos 'Interna'). “Seguinte”,

Selecionamos o certificado que hemos gerado anteriormente no servidor de Acesso de Cliente “Seleccionar certificado…”

Selecionamos o único que tendremos & “Seleccionar”. Se aqui não nos sale nenhum certificado devemos verificar, que tenemos el certificado instalado en la cuenta de equipo, que temos su clave privada y que conocemos/confiamos en toda la ruta de certificación.

Indicamos la autenticación que necesitemos y la forma que el TMG validará contra os nossos controladores de domínio (ojo de depende de la forma deberemos permitir dicho tráfico de este equipo al DC de la red), “Seguinte”,

Desmarcamos SSO (Single Sign On) & “Seguinte”,

“Fim”,

Continuamos con la regla de TMG, “Seguinte”,

Indicamos la autenticación para validarse con el servidor de OWA, es recomendado configurar 'Autenticación básica’ que va en texto plano pero ya hemos estabelecido una sesión SSL por lo que iría cifrada. “Seguinte”

Deberemos por lo tanto en las propiedades de 'owa’ configurar el mismo método de autenticación (en la Consola de Administración de Exchange > “Configuração do servidor” > “Acesso de cliente” > Pestanas “Outlook Web App”).

Indicamos los usuarios a los que se aplicará la regla, “Seguinte”,

Y finalizamos la regla con “Fim”,

Aplicamos los cambios en TMG…

Y podremos comprobar desde el exterior si tenemos los mapeos de puertos (a nível de firewall) bien configurados cómo podremos acceder a OWA desde el exterior a través do servidor TMG de forma segura!
confirmamos como el portal de OWA indica que estamos 'protegidos por Microsoft Forefront Threat Management Gateway'.


Postagens recomendadas

VPN com Citrix NetScaler III - Autenticação com certificados
Ler
VPN com Citrix NetScaler II - Exigir certificados para acessar
Ler
Novas equipes na Citrix
Ler
Logins de SmartCard no Active Directory
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Usando o VMware vMA

8 Novembro 2010

Configurando Outlook Anywhere en Microsoft Exchange 2010

22 Novembro 2010