Instalación y configuración de Microsoft Forefront TMG para acceso de OWA seguro En este documento veremos una de las instalaciones más cotidianas a la hora de desplegar una instalación de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante el acceso de OWA (o los servicios necesarios) seguro a través de un host TMG en la red DMZ. Realizaremos la instalación de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que sólo se le conectará mediante HTTPS desde Internet y éste sólo se conectará al servidor Exchange con el rol HUB (o array CAS).
Transcript
Instalación y configuración de Microsoft Forefront TMG para acceso de OWA seguro
En este documento veremos una de las instalaciones más cotidianas a la hora de desplegar una instalación de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante el acceso de OWA (o los servicios necesarios) seguro a través de un host TMG en la red DMZ. Realizaremos la instalación de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que sólo se le conectará mediante HTTPS desde Internet y éste sólo se conectará al servidor Exchange con el rol HUB (o array CAS).
En este documento veremos una situación típica, tenemos ya una DMZ e introduciremos en ella un host en el que instalaremos Microsoft Forefront Threat Management Gateway 2010 con una pata ethernet en la que le entrarán peticiones desde el exterior (Red Internet) y él trasladará al interior (Red LAN). En este documento se permitirán las conexiones de OWA (Outlook Web App) desde el exterior y las redirigiremos al array que tenemos de los servidores de Acceso de Cliente (CAS Array bajo NLB), si no tenemos un cluster de este tipo lo reenviaremos contra nuestro servidor Exchange con el rol de Acceso de Cliente.
Tenemos un equipo ya listo en la DMZ, al que simplemente le hemos instalado Windows y configurado un nombre de equipo, dirección IP del rango DMZ (sin configurar DNS’s, ni meter en dominio, con las entradas en el archivo ‘hosts’ correspondientes…). Introducimos el DVD de Microsoft Forefront Threat Management Gateway 2010 y en el autorun seleccionamos “Ejecutar la herramienta de preparación”
Y ya tendremos el nuevo ISA instalado! mantenemos marcada la opción “Iniciar la Administración de Forefront TMG cuando se cierre el asistente” & “Finalizar”,
En mi situación actual tengo una pata de red por lo que sólo puedo seleccionar “Adaptador de red único”, las demás opciones serían a utilizar en diferentes situaciones o con otros fines, en mi caso simplemente realizaré el traspaso seguro de conexiones exteriores al interior para utilizar OWA, Outlook Anywhere… “Siguiente”,
Cerramos el asistente, si queremos podemos utilizar el asistente para acceso Web y poder tener conectividad con el TMG o lo configuraremos posteriormente.
Generando un certificado para OWA,
Antes de configurar TMG deberemos tener un certificado válido para el uso de OWA, por lo que necesitamos desde Exchange generar una solicitud de certificado, posteriormente con una CA válida generar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarlo al servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en los equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello será imprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo que necesitaremos abrir una MMC y agregar el complemento ‘Certificados’ y de ‘cuenta de equipo local’, desde ahí podremos exportar/importar certificados, necesitaremos realizarlo en ‘Personal’ y obviamente tener el certificado de la CA (Certificate Authority – Entidad de emisora de certificados) en ‘Entidades de certificación raíz de confianza’.
Indicamos el/los servicios que queramos que tenga el certificado, para ello deberemos indicar los nombres de dominios que necesitaremos para OWA, ActiveSync, Outlook Anywhere… en mi caso siempre será el mismo nombre de dominio para todo, lo indicamos & “Siguiente”,
Confirmamos que el nombre de dominio es correcto & “Siguiente”,
Indicamos los datos del certificado: Organización, Unidad de organización, País o región, Ciudad o localidad, Estado o provincia y donde dejaremos la solicitud del certificado. “Siguiente”,
“Nuevo” para generar la solicitud del certificado,
“Finalizar”,
Ahora deberemos ir a una entidad emisora de certificados y presentarle la solicitud que acabamos de generar, obtendremos un certificado para un servidor web listo para ser usado, podremos usar CA’s públicas (recomendado) o utilizar la CA de Microsoft de nuestra red.
Una vez tenemos ya el certificado generado lo importamos, continuamos donde estábamos sobre el mismo servidor que hemos realizado la solicitud pulsamos sobre el ‘certificado’ > “Completar solicitud pendiente…”
Seleccionamos el certificado desde “Examinar” & “Completar”,
Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a un servicio de Exchange, en nuestro caso será para OWA, por lo que lo asignaremos al servicio de IIS. Sobre el certificado > “Asignar servicios a certificado…”
Todo esto será necesario tenerlo listo antes de configurar TMG, una vez lo tengamos, lo dicho anteriormente, debemos instalar este certificado en el servidor TMG (en la cuenta de equipo) y el de la CA si fuera necesario.
Configuración de Microsoft Forefront TMG 2010 para dar acceso a OWA,
En esta parte del documento veremos cómo permitir el uso de OWA desde el exterior de nuestra organización al interior de forma segura, abrimos la consola de administración de Forefront TMG, vamos a “Directiva de firewall” > “Publicar acceso de cliente web de Exchange”
Indicamos la versión de Exchange que tenemos en la organización y marcamos “Outlook Web Access”, “Siguiente”,
“Publicar un único sitio web o equilibrio de carga” si tenemos un solo servidor con el rol de Acceso de Cliente o tenemos un array de CAS, “Siguiente”,
Indicamos el nombre interno del sitio de nuestro (nuestro CAS), si no resuelve el TMG por nombre debemos indicar la dirección IP del servidor que tiene OWA, “Siguiente”,
Indicamos que acepte solicitudes sólo para el nombre de dominio público que utilizaremos para que accedan desde el exterior y lo introducimos, “Siguiente”,
Marcamos “Requerir conexiones seguras SSL con los clientes” & “Siguiente”,
Indicamos la red de escucha que utilizaremos (en este caso al disponer sólo de un adaptador ethernet me daría igual, así que seleccionamos ‘Interna’). “Siguiente”,
Seleccionamos el certificado que hemos generado anteriormente en el servidor de Acceso de Cliente “Seleccionar certificado…”
Seleccionamos el único que tendremos & “Seleccionar”. Si aquí no nos sale ningún certificado deberemos comprobar, que tenemos el certificado instalado en la cuenta de equipo, que tenemos su clave privada y que conocemos/confiamos en toda la ruta de certificación.
Indicamos la autenticación que necesitemos y la forma que el TMG validará contra nuestros controladores de dominio (ojo de depende de la forma deberemos permitir dicho tráfico de este equipo al DC de la red), “Siguiente”,
Indicamos la autenticación para validarse con el servidor de OWA, es recomendado configurar ‘Autenticación básica’ que va en texto plano pero ya hemos establecido una sesión SSL por lo que iría cifrada. “Siguiente”
Deberemos por lo tanto en las propiedades de ‘owa’ configurar el mismo método de autenticación (en la Consola de Administración de Exchange > “Configuración del servidor” > “Acceso de cliente” > Pestaña “Outlook Web App”).
Y podremos comprobar desde el exterior si tenemos los mapeos de puertos (a nivel de firewall) bien configurados cómo podremos acceder a OWA desde el exterior a través del servidor TMG de forma segura! confirmamos como el portal de OWA indica que estamos ‘protegidos por Microsoft Forefront Threat Management Gateway’.
