• Home

  • Documents

  • bujarra.com-Instalacin_y_configuracin_de_Microsoft_Forefront_TMG_para_acceso_de_OWA_seguro.pdf
39
 Instalación y configuración de Microsoft Forefront TMG para acceso de OWA seguro bujarra.com/instalacion-y-configuracion-de-microsoft-forefront-tmg-para-acceso-de-owa-seguro/ Héctor Herrero Hermida En este documento veremos una de las instalaciones más cotidianas a la hora de desplegar una instalación de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante el acceso de OWA (o los servicios necesarios) seguro a través de un host TMG en la red DMZ. Realizaremos la instalación de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que sólo se le conectará mediante HTTPS desde Internet y éste sólo se conectará al servidor Exchange con el rol HUB (o array CAS). En este documento veremos una situación típica, tenemos ya una DMZ e introduciremos en ella un host en el que instalaremos Microsoft Forefront Threat Management Gateway 2010 con una pata ethernet en la que le entrarán peticiones desde el exterior (Red Internet) y él trasladará al interior (Red LAN). En este documento se permitirán las conexiones de OWA (Outlook Web App) desde el exterior y las redirigiremos al array que tenemos de los servidores de  Acceso de Cliente (CAS Array bajo NLB), si no tenemos un cluster de este tipo lo reenviaremos contra nuestro servidor Exchange con el rol de Acceso de Cliente. Instalación de Microsoft Forefront TMG 2010,

bujarra.com-Instalacin_y_configuracin_de_Microsoft_Forefront_TMG_para_acceso_de_OWA_seguro.pdf

Embed Size (px)

Citation preview

  • Instalacin y configuracin de Microsoft Forefront TMGpara acceso de OWA seguro

    bujarra.com /instalacion-y-configuracion-de-microsoft-forefront-tmg-para-acceso-de-owa-seguro/

    Hctor Herrero Hermida

    En este documento veremos una de las instalaciones ms cotidianas a la hora de desplegar unainstalacin de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante elacceso de OWA (o los servicios necesarios) seguro a travs de un host TMG en la red DMZ.Realizaremos la instalacin de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISAServer en un equipo de la DMZ al que slo se le conectar mediante HTTPS desde Internet y ste slo seconectar al servidor Exchange con el rol HUB (o array CAS).

    En este documento veremosuna situacin tpica, tenemosya una DMZ e introduciremosen ella un host en el queinstalaremos MicrosoftForefront Threat ManagementGateway 2010 con una pataethernet en la que le entrarnpeticiones desde el exterior(Red Internet) y l trasladaral interior (Red LAN). En estedocumento se permitirn lasconexiones de OWA (OutlookWeb App) desde el exterior ylas redirigiremos al array quetenemos de los servidores deAcceso de Cliente (CAS Arraybajo NLB), si no tenemos uncluster de este tipo loreenviaremos contra nuestroservidor Exchange con el rolde Acceso de Cliente.

    Instalacin de Microsoft Forefront TMG 2010,

  • Tenemos un equipo ya listoen la DMZ, al quesimplemente le hemosinstalado Windows yconfigurado un nombre deequipo, direccin IP del rangoDMZ (sin configurar DNSs, nimeter en dominio, con lasentradas en el archivo hostscorrespondientes).Introducimos el DVD deMicrosoft Forefront ThreatManagement Gateway 2010 yen el autorun seleccionamosEjecutar la herramienta depreparacin

    Comenzar un asistente parapreparar el equipo local contodos los requisitosnecesarios y nos losinstalar, Siguiente,

    Acepto los trminos delicencia & Siguiente

    Marcamos la primera opcinServicios y Administracin deForefront TMG & Siguiente,

    lo dicho esperamos unosminutos mientras nos instala yconfigura las caractersticasnecesarias

    Seleccionamos Iniciar elAsistente para la instalacinde Forefront TMG &Finalizar,

    Y comenzara el asistente de instalacin de TMG, Siguiente,

    Acepto los trminos del contrato de licencia & Siguiente,

    Indicamos los datos necesarios, as como el nmero de serie, Siguiente,

    Seleccionamos el path de instalacin (por defecto %ProgramFiles%Microsoft Forefront ThreatManagement Gateway), Siguiente,

    Indicaremos en este momento que rango IP pertenece a la red interna, pulsamos Agregar

    Agregamos lo que nos interese, o el adaptador dedicado o el rango IP de la DMZ, para ello Agregarintervalo,

  • Indicamos el rango de laDMZ, IP inicial a IP final,Aceptar,

    Aceptar,

    Siguiente,

    Deberemos tener en cuentaque los serviciosespecificados se reiniciarn(por si los estamos usando enproduccin),

    Y listo para comenzar lainstalacin!

    esperamos un buen rato

    Y ya tendremos el nuevo ISAinstalado! mantenemosmarcada la opcin Iniciar laAdministracin de ForefrontTMG cuando se cierre elasistente & Finalizar,

    En el asistente deintroduccin configuraremosprimero las opciones de redde nuestro equipo, pulsamosen Configurar opciones dered,

    Siguiente,

    En mi situacin actual tengouna pata de red por lo queslo puedo seleccionarAdaptador de red nico, lasdems opciones seran a utilizar en diferentes situaciones o con otros fines, en mi caso simplementerealizar el traspaso seguro de conexiones exteriores al interior para utilizar OWA, Outlook AnywhereSiguiente,

    Nos mostrar el adaptador de red del equipo con su configuracin de red, comprobamos que es correctoSiguiente,

    Listo, confirmamos con Finalizar,

    Ok, Configurar opciones del sistema

    Breve asistente para modificar si consideramos necesarias algunas opciones del servidor,

    Comprobamos que todo es correcto & Siguiente,

  • Finalizar,

    Finalmente acabamos con elasistente Definir opciones deimplementacin,

    Siguiente,

    Deberemos indicar Usar elservicio Microsoft Updatepara buscar actualizacionespara mantener actualizado elForefront TMG, Siguiente,

    Configuramos ellicenciamiento y temas deactualizaciones de TMG,Siguiente,

    Si queremos partifipar el elprograma de mejora yexperiencia No &Siguiente,

    Si queremos enviar aMicrosoft informes de uso demalware, etc Ninguno &Siguiente,

    Por fin, listo Finalizar,

    Cerramos el asistente, siqueremos podemos utilizar elasistente para acceso Web ypoder tener conectividad conel TMG o lo configuraremosposteriormente.

    Generando un certificadopara OWA,

    Antes de configurar TMG deberemos tener un certificado vlido para el uso de OWA, por lo quenecesitamos desde Exchange generar una solicitud de certificado, posteriormente con una CA vlidagenerar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarloal servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo enlos equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello serimprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo quenecesitaremos abrir una MMC y agregar el complemento Certificados y de cuenta de equipo local,desde ah podremos exportar/importar certificados, necesitaremos realizarlo en Personal y obviamentetener el certificado de la CA (Certificate Authority Entidad de emisora de certificados) en Entidades decertificacin raz de confianza.

    Bueno, comenzamos, desde la Consola de administracin de Exchange > Configuracin del servidor >

  • Nuevo certificado de intercambio

    Indicamos el nombre delcertificado, Siguiente,

    Siguiente,

    Indicamos el/los servicios quequeramos que tenga elcertificado, para ellodeberemos indicar losnombres de dominios quenecesitaremos para OWA,ActiveSync, OutlookAnywhere en mi casosiempre ser el mismonombre de dominio para todo,lo indicamos & Siguiente,

    Confirmamos que el nombrede dominio es correcto &Siguiente,

    Indicamos los datos delcertificado: Organizacin,Unidad de organizacin, Paso regin, Ciudad o localidad,Estado o provincia y dondedejaremos la solicitud delcertificado. Siguiente,

    Nuevo para generar lasolicitud del certificado,

    Finalizar,

    Ahora deberemos ir a unaentidad emisora decertificados y presentarle lasolicitud que acabamos degenerar, obtendremos uncertificado para un servidor web listo para ser usado, podremos usar CAs pblicas (recomendado) outilizar la CA de Microsoft de nuestra red.

    Una vez tenemos ya el certificado generado lo importamos, continuamos donde estbamos sobre elmismo servidor que hemos realizado la solicitud pulsamos sobre el certificado > Completar solicitudpendiente

    Seleccionamos el certificado desde Examinar & Completar,

    Finalizar,

    Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a

  • un servicio de Exchange, en nuestro caso ser para OWA, por lo que lo asignaremos al servicio de IIS.Sobre el certificado >Asignar servicios acertificado

    Indicamos el nombre delservidor Exchange que sever afectado & Siguiente

    Indicamos InternetInformation Services &Siguiente,

    Asignar,

    Y listo!

    Todo esto ser necesariotenerlo listo antes deconfigurar TMG, una vez lotengamos, lo dichoanteriormente, debemosinstalar este certificado en elservidor TMG (en la cuentade equipo) y el de la CA sifuera necesario.

    Configuracin de MicrosoftForefront TMG 2010 paradar acceso a OWA,

    En esta parte del documentoveremos cmo permitir el usode OWA desde el exterior denuestra organizacin alinterior de forma segura,abrimos la consola deadministracin de ForefrontTMG, vamos a Directiva defirewall > Publicar acceso decliente web de Exchange

    Indicamos un nombre a la regla, Siguiente,

    Indicamos la versin de Exchange que tenemos en la organizacin y marcamos Outlook Web Access,Siguiente,

    Publicar un nico sitio web o equilibrio de carga si tenemos un solo servidor con el rol de Acceso deCliente o tenemos un array de CAS, Siguiente,

    Indicamos cmo queremos que se conecte el TMG al servidor de acceso de cliente, marcamos la primeraopcin Usar SSL, Siguiente,

  • Indicamos el nombre interno del sitio de nuestro (nuestro CAS), si no resuelve el TMG por nombredebemos indicar la direccinIP del servidor que tieneOWA, Siguiente,

    Indicamos que aceptesolicitudes slo para elnombre de dominio pblicoque utilizaremos para queaccedan desde el exterior y lointroducimos, Siguiente,

    Creamos una escucha deweb para indicar qusolicitudes escucharemos delexterior, Nueva,

    Indicamos el nombre deescucha de la web &Siguiente,

    Marcamos Requerir conexionesseguras SSL con los clientes &Siguiente,

    Indicamos la red de escucha queutilizaremos (en este caso al disponerslo de un adaptador ethernet me daraigual, as que seleccionamos Interna).Siguiente,

    Seleccionamos el certificado que hemosgenerado anteriormente en el servidorde Acceso de Cliente Seleccionarcertificado

    Seleccionamos el nico que tendremos& Seleccionar. Si aqu no nos saleningn certificado deberemoscomprobar, que tenemos el certificadoinstalado en la cuenta de equipo, quetenemos su clave privada y queconocemos/confiamos en toda la ruta decertificacin.

    Indicamos la autenticacin que necesitemos y la forma que el TMG validar contra nuestroscontroladores de dominio (ojo de depende de la forma deberemos permitir dicho trfico de este equipo alDC de la red), Siguiente,

    Desmarcamos SSO (Single Sign On) & Siguiente,

    Finalizar,

  • Continuamos con la regla de TMG, Siguiente,

    Indicamos la autenticacin para validarse conel servidor de OWA, es recomendadoconfigurar Autenticacin bsica que va entexto plano pero ya hemos establecido unasesin SSL por lo que ira cifrada. Siguiente

    Deberemos por lo tanto en las propiedades deowa configurar el mismo mtodo deautenticacin (en la Consola de Administracinde Exchange > Configuracin delservidor > Acceso de cliente >Pestaa Outlook Web App).

    Indicamos los usuarios a los que seaplicar la regla, Siguiente,

    Y finalizamos la regla con Finalizar,

    Aplicamos los cambios en TMG

    Y podremos comprobar desde el exteriorsi tenemos los mapeos de puertos (anivel de firewall) bien configurados cmopodremos acceder a OWA desde elexterior a travs del servidor TMG deforma segura! confirmamos como elportal de OWA indica que estamosprotegidos por Microsoft ForefrontThreat Management Gateway.

    Posts relacionados:

  • Instalacin y configuracin de Microsoft Forefront TMG para acceso de OWA seguroPosts relacionados:


הצגת מלחמת העצמאות באתר של מט"ח

הצגת מלחמת העצמאות באתר של מט"ח

Documents
Русско-латинский словарь

Русско-латинский словарь

Documents
Клиентизм

Клиентизм

Documents
Minne hävisivät soneran rahat

Minne hävisivät soneran rahat

Documents
phone

phone

Documents
PLANTILLA PROYECTO DE INVERSION

PLANTILLA PROYECTO DE INVERSION

Documents
Honorários nova ponte sor

Honorários nova ponte sor

Documents
БОРБЕНИ АВИОНИ КОМПАНИЈЕ СУХОЈ

БОРБЕНИ АВИОНИ КОМПАНИЈЕ СУХОЈ

Documents
Erste DOH2006 - prijava poreza na dohodak

Erste DOH2006 - prijava poreza na dohodak

Documents
SHMEIWSEIS-MMF2

SHMEIWSEIS-MMF2

Documents
לאומיות וחברת המידע

לאומיות וחברת המידע

Documents
Šolski spis: Glista

Šolski spis: Glista

Documents
Active Partner List (International)

Active Partner List (International)

Documents
Курcовой проект по переходным процессам

Курcовой проект по переходным процессам

Documents
Άσκηση1 4

Άσκηση1 4

Documents
תורכיה והאיחוד האירופי

תורכיה והאיחוד האירופי

Documents
עבודת סיום וירולוגיה

עבודת סיום וירולוגיה

Documents
英文的金玉良言

英文的金玉良言

Documents
расписание электричек Москва-Железка

расписание электричек Москва-Железка

Documents
Γιάννης Χοντζέας - Για την ιστορία των Βαλκανίων

Γιάννης Χοντζέας - Για την ιστορία των Βαλκανίων

Documents
Бандеровщина

Бандеровщина

Documents
Antoni Gaudi arhitectura

Antoni Gaudi arhitectura

Documents
1학년1학기

1학년1학기

Documents
Ianos-animalbiblio

Ianos-animalbiblio

Documents
מוטיבציה בעבודה

מוטיבציה בעבודה

Documents
העצמת בני משפחה של חולי אלצהיימר

העצמת בני משפחה של חולי אלצהיימר

Documents
cisco사례분석

cisco사례분석

Documents
BIBLIOGRAFIA

BIBLIOGRAFIA

Documents
Puntuación PAEF,s

Puntuación PAEF,s

Documents
French Final - Study Sheet

French Final - Study Sheet

Documents