exchange 2010

53
Exchange 2010 Configurando Outlook Anywhere en Microsoft Exchange 2010 En este post veremos cómo habilitar en Microsoft Exchange Server 2010, Outlook Anywhere (anteriormente llamado RPC sobre HTTPS), con el fin de conectarnos desde el exterior con nuestros Outlook vía HTTPS, una configuración ideal para aquellas personas con dispositivos móviles que usan Outlook, realizaremos una conexión segura vía SSL a nuestro servidor o array de Acceso de Cliente, con esto evitaremos realizar conexiones con VPN para abrir el Outlook. Si no queremos publicar nuestros servidores CAS directamente a Internet, configuraremos un servidor TMG que nos haga el traspaso. Desde la consola de administración de Exchange, “Configuración del servidor” > “Acceso de cliente” > “Habilitar Outlook Anywhere…”

Upload: rilmar

Post on 23-Jul-2015

384 views

Category:

Documents


5 download

TRANSCRIPT

Page 1: Exchange 2010

Exchange 2010

Configurando Outlook Anywhere en Microsoft Exchange 2010

En este post veremos cómo habilitar en Microsoft Exchange Server 2010, Outlook Anywhere (anteriormente llamado RPC sobre HTTPS), con el fin de conectarnos desde el exterior con nuestros Outlook vía HTTPS, una configuración ideal para aquellas personas con dispositivos móviles que usan Outlook, realizaremos una conexión segura vía SSL a nuestro servidor o array de Acceso de Cliente, con esto evitaremos realizar conexiones con VPN para abrir el Outlook. Si no queremos publicar nuestros servidores CAS directamente a Internet, configuraremos un servidor TMG que nos haga el traspaso.

Desde la consola de administración de Exchange, “Configuración del servidor” > “Acceso de cliente” > “Habilitar Outlook Anywhere…”

Page 2: Exchange 2010

Indicamos el nombre público del servidor al que se conectarán, lo normal llamarlo igual que el array de CAS que tengamos en la red (si es que lo tenemos) e indicamos un método de autenticación de cliente, o autenticación básica (texto plano, pero va con conexión SSL) o autenticación NTLM & “Habilitar”,

Page 3: Exchange 2010

Ok, pulsamos en “Finalizar”. Ahora configuraremos para el acceso a este servidor o al array que pertenezca acceso externo desde nuestros firewalls mediante HTTPS. Deberemos especificar además el certificado que utilizará, lo normal es que ya lo tengamos configurado para OWA con un certificado válido de una CA de confianza, en caso contrario necesitaríamos dicho certificado en el equipo cliente.

Page 4: Exchange 2010

En Outlook, a la hora de crear el perfil de Exchange, deberemos indicar en la pestaña “Conexión” que utilizaremos Outlook en cualquier lugar marcando “Conectar con Microsoft Exchange utilizando HTTP”, pulsamos en “Configuración de proxy de Exchange…”. Si nuestro perfil de Exchange ya existe, directamente lo podremos modificar.

Page 5: Exchange 2010

indicamos la URL que utilizaremos para conectarnos desde el exterior, marcamos “Conectar utilizando sólo SSL” para forzar conexión segura y marcaremos “En redes lentas, conectar utilizando HTTP primero y después conectar utilizando TCP/IP”, además de configurar el método de autenticación que escogimos al principio. Si queremos probar que efectivamente nos funciona, podemos fornzar a utilizarlo desde la propia LAN marcando “En redes rápidas, conectar utilizando HTTP primero y después conectar utilizando TCP/IP”. Claro que esto lo podremos realizar también desde directivas GPO desde nuestro Directorio Activo. “Aceptar”,

Para probar podemos abrir el Outlook con el parámetro de diagnostico “outlook /rpcdiag”…

Page 6: Exchange 2010

Y comprobar que la conexión se nos establece de forma correcta y mediante HTTPS!

Page 7: Exchange 2010

Instalación y configuración de Microsoft Forefront TMG para acceso de OWA seguro18 de Noviembre de 2010

En este documento veremos una de las instalaciones más cotidianas a la hora de desplegar una instalación de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante el acceso de OWA (o los servicios necesarios) seguro a través de un host TMG en la red DMZ. Realizaremos la instalación de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que sólo se le conectará mediante HTTPS desde Internet y éste sólo se conectará al servidor Exchange con el rol HUB (o array CAS).

En este documento veremos una situación típica, tenemos ya una DMZ e introduciremos en ella un host en el que instalaremos Microsoft Forefront Threat Management Gateway 2010 con una pata ethernet en la que le entrarán peticiones desde el exterior (Red Internet) y él trasladará al interior (Red LAN). En este documento se permitirán las conexiones de OWA (Outlook Web App) desde el exterior y las redirigiremos al array que tenemos de los servidores de Acceso de Cliente (CAS Array bajo NLB), si no tenemos un cluster de este tipo lo reenviaremos contra nuestro servidor Exchange con el rol de Acceso de Cliente.

Instalación de Microsoft Forefront TMG 2010,

Page 8: Exchange 2010

Tenemos un equipo ya listo en la DMZ, al que simplemente le hemos instalado Windows y configurado un nombre de equipo, dirección IP del rango DMZ (sin configurar DNS’s, ni meter en dominio, con las entradas en el archivo ‘hosts’ correspondientes…). Introducimos el DVD de Microsoft Forefront Threat Management Gateway 2010 y en el autorun seleccionamos “Ejecutar la herramienta de preparación”

Comenzará un asistente para preparar el equipo local con todos los requisitos necesarios y nos los instalará, “Siguiente”,

Page 9: Exchange 2010

“Acepto los términos de licencia” & “Siguiente”

Marcamos la primera opción “Servicios y Administración de Forefront TMG” & “Siguiente”,

Page 10: Exchange 2010

… lo dicho esperamos unos minutos mientras nos instala y configura las características necesarias…

Seleccionamos “Iniciar el Asistente para la instalación de Forefront TMG” & “Finalizar”,

Page 11: Exchange 2010

Y comenzaría el asistente de instalación de TMG, “Siguiente”,

“Acepto los términos del contrato de licencia” & “Siguiente”,

Page 12: Exchange 2010

Indicamos los datos necesarios, así como el número de serie, “Siguiente”,

Seleccionamos el path de instalación (por defecto %ProgramFiles%\Microsoft Forefront Threat Management Gateway), “Siguiente”,

Page 13: Exchange 2010

Indicaremos en este momento que rango IP pertenece a la ‘red interna’, pulsamos “Agregar…”

Agregamos lo que nos interese, o el adaptador dedicado o el rango IP de la DMZ, para ello “Agregar intervalo…”,

Page 14: Exchange 2010

Indicamos el rango de la DMZ, IP inicial a IP final, “Aceptar”,

“Aceptar”,

Page 15: Exchange 2010

“Siguiente”,

Deberemos tener en cuenta que los servicios especificados se reiniciarán (por si los estamos usando en producción),

Page 17: Exchange 2010

Y ya tendremos el nuevo ISA instalado! mantenemos marcada la opción “Iniciar la Administración de Forefront TMG cuando se cierre el asistente” & “Finalizar”,

En el asistente de introducción configuraremos primero las opciones de red de nuestro equipo, pulsamos en “Configurar opciones de red”,

Page 18: Exchange 2010

“Siguiente”,

En mi situación actual tengo una pata de red por lo que sólo puedo seleccionar “Adaptador de red único”, las demás opciones serían a utilizar en diferentes situaciones

Page 19: Exchange 2010

o con otros fines, en mi caso simplemente realizaré el traspaso seguro de conexiones exteriores al interior para utilizar OWA, Outlook Anywhere… “Siguiente”,

Nos mostrará el adaptador de red del equipo con su configuración de red, comprobamos que es correcto “Siguiente”,

Page 20: Exchange 2010

Listo, confirmamos con “Finalizar”,

Ok, “Configurar opciones del sistema”

Page 21: Exchange 2010

Breve asistente para modificar si consideramos necesarias algunas opciones del servidor,

Comprobamos que todo es correcto & “Siguiente”,

“Finalizar”,

Page 22: Exchange 2010

Finalmente acabamos con el asistente “Definir opciones de implementación”,

“Siguiente”,

Page 23: Exchange 2010

Deberemos indicar “Usar el servicio Microsoft Update para buscar actualizaciones” para mantener actualizado el Forefront TMG, “Siguiente”,

Configuramos el licenciamiento y temas de actualizaciones de TMG, “Siguiente”,

Page 24: Exchange 2010

Si queremos partifipar el el programa de mejora y experiencia… “No” & “Siguiente”,

Si queremos enviar a Microsoft informes de uso de malware, etc… “Ninguno” & “Siguiente”,

Page 25: Exchange 2010

Por fin, listo “Finalizar”,

Cerramos el asistente, si queremos podemos utilizar el asistente para acceso Web y poder tener conectividad con el TMG o lo configuraremos posteriormente.

Page 26: Exchange 2010

Generando un certificado para OWA,

Antes de configurar TMG deberemos tener un certificado válido para el uso de OWA, por lo que necesitamos desde Exchange generar una solicitud de certificado, posteriormente con una CA válida generar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarlo al servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en los equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello será imprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo que necesitaremos abrir una MMC y agregar el complemento ‘Certificados’ y de ‘cuenta de equipo local’, desde ahí podremos exportar/importar certificados, necesitaremos realizarlo en ‘Personal’ y obviamente tener el certificado de la CA (Certificate Authority - Entidad de emisora de certificados) en ‘Entidades de certificación raíz de confianza’.

Bueno, comenzamos, desde la Consola de administración de Exchange > “Configuración del servidor” > “Nuevo certificado de intercambio…”

Page 28: Exchange 2010

Indicamos el/los servicios que queramos que tenga el certificado, para ello deberemos indicar los nombres de dominios que necesitaremos para OWA, ActiveSync, Outlook Anywhere… en mi caso siempre será el mismo nombre de dominio para todo, lo indicamos & “Siguiente”,

Confirmamos que el nombre de dominio es correcto & “Siguiente”,

Page 29: Exchange 2010

Indicamos los datos del certificado: Organización, Unidad de organización, País o región, Ciudad o localidad, Estado o provincia y donde dejaremos la solicitud del certificado. “Siguiente”,

“Nuevo” para generar la solicitud del certificado,

Page 30: Exchange 2010

“Finalizar”,

Ahora deberemos ir a una entidad emisora de certificados y presentarle la solicitud que acabamos de generar, obtendremos un certificado para un servidor web listo para ser usado, podremos usar CA’s públicas (recomendado) o utilizar la CA de Microsoft de nuestra red.

Page 31: Exchange 2010

Una vez tenemos ya el certificado generado lo importamos, continuamos donde estábamos sobre el mismo servidor que hemos realizado la solicitud pulsamos sobre el ‘certificado’ > “Completar solicitud pendiente…”

Seleccionamos el certificado desde “Examinar” & “Completar”,

Page 32: Exchange 2010

“Finalizar”,

Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a un servicio de Exchange, en nuestro caso será para OWA, por lo que lo asignaremos al servicio de IIS. Sobre el certificado > “Asignar servicios a certificado…”

Indicamos el nombre del servidor Exchange que se verá afectado & “Siguiente”

Page 34: Exchange 2010

Y listo!

Todo esto será necesario tenerlo listo antes de configurar TMG, una vez lo tengamos, lo dicho anteriormente, debemos instalar este certificado en el servidor TMG (en la cuenta de equipo) y el de la CA si fuera necesario.

Configuración de Microsoft Forefront TMG 2010 para dar acceso a OWA,

En esta parte del documento veremos cómo permitir el uso de OWA desde el exterior de nuestra organización al interior de forma segura, abrimos la consola de administración de Forefront TMG, vamos a “Directiva de firewall” > “Publicar acceso de cliente web de Exchange”

Page 36: Exchange 2010

Indicamos la versión de Exchange que tenemos en la organización y marcamos “Outlook Web Access”, “Siguiente”,

“Publicar un único sitio web o equilibrio de carga” si tenemos un solo servidor con el rol de Acceso de Cliente o tenemos un array de CAS, “Siguiente”,

Page 37: Exchange 2010

Indicamos cómo queremos que se conecte el TMG al servidor de acceso de cliente, marcamos la primera opción “Usar SSL”, “Siguiente”,

Page 38: Exchange 2010

Indicamos el nombre interno del sitio de nuestro (nuestro CAS), si no resuelve el TMG por nombre debemos indicar la dirección IP del servidor que tiene OWA, “Siguiente”,

Indicamos que acepte solicitudes sólo para el nombre de dominio público que utilizaremos para que accedan desde el exterior y lo introducimos, “Siguiente”,

Page 39: Exchange 2010

Creamos una escucha de web para indicar qué solicitudes escucharemos del exterior, “Nueva…”,

Page 40: Exchange 2010

Indicamos el nombre de escucha de la web & “Siguiente”,

Marcamos “Requerir conexiones seguras SSL con los clientes” & “Siguiente”,

Page 41: Exchange 2010

Indicamos la red de escucha que utilizaremos (en este caso al disponer sólo de un adaptador ethernet me daría igual, así que seleccionamos ‘Interna’). “Siguiente”,

Page 42: Exchange 2010

Seleccionamos el certificado que hemos generado anteriormente en el servidor de Acceso de Cliente “Seleccionar certificado…”

Seleccionamos el único que tendremos & “Seleccionar”. Si aquí no nos sale ningún certificado deberemos comprobar, que tenemos el certificado instalado en la cuenta de equipo, que tenemos su clave privada y que conocemos/confiamos en toda la ruta de certificación.

Page 43: Exchange 2010

Indicamos la autenticación que necesitemos y la forma que el TMG validará contra nuestros controladores de dominio (ojo de depende de la forma deberemos permitir dicho tráfico de este equipo al DC de la red), “Siguiente”,

Page 45: Exchange 2010

“Finalizar”,

Continuamos con la regla de TMG, “Siguiente”,

Page 46: Exchange 2010

Indicamos la autenticación para validarse con el servidor de OWA, es recomendado configurar ‘Autenticación básica’ que va en texto plano pero ya hemos establecido una sesión SSL por lo que iría cifrada. “Siguiente”

Page 47: Exchange 2010

Deberemos por lo tanto en las propiedades de ‘owa’ configurar el mismo método de autenticación (en la Consola de Administración de Exchange > “Configuración del servidor” > “Acceso de cliente” > Pestaña “Outlook Web App”).

Page 49: Exchange 2010

Y finalizamos la regla con “Finalizar”,

Aplicamos los cambios en TMG…

Y podremos comprobar desde el exterior si tenemos los mapeos de puertos (a nivel de firewall) bien configurados cómo podremos acceder a OWA desde el exterior a través del servidor TMG de forma segura!confirmamos como el portal de OWA indica que estamos ‘protegidos por Microsoft Forefront Threat Management Gateway’.

Page 50: Exchange 2010