Instalacin y configuracin de Microsoft Forefront TMG para acceso de OWA seguroPublicadonoviembre 18, 2010|PorHctor Herrero Hermida En este documento veremos una de las instalaciones ms cotidianas a la hora de desplegar una instalacin de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante el acceso de OWA (o los servicios necesarios) seguro a travs de un host TMG en la red DMZ. Realizaremos la instalacin de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA Server en un equipo de la DMZ al que slo se le conectar mediante HTTPS desde Internet y ste slo se conectar al servidor Exchange con el rol HUB (o array CAS).

En este documento veremos una situacin tpica, tenemos ya una DMZ e introduciremos en ella un host en el que instalaremos Microsoft Forefront Threat Management Gateway 2010 con una pata ethernet en la que le entrarn peticiones desde el exterior (Red Internet) y l trasladar al interior (Red LAN). En este documento se permitirn las conexiones de OWA (Outlook Web App) desde el exterior y las redirigiremos al array que tenemos de los servidores de Acceso de Cliente (CAS Array bajo NLB), si no tenemos un cluster de este tipo lo reenviaremos contra nuestro servidor Exchange con el rol de Acceso de Cliente.Instalacin de Microsoft Forefront TMG 2010,

Tenemos un equipo ya listo en la DMZ, al que simplemente le hemos instalado Windows y configurado un nombre de equipo, direccin IP del rango DMZ (sin configurar DNSs, ni meter en dominio, con las entradas en el archivo hosts correspondientes). Introducimos el DVD de Microsoft Forefront Threat Management Gateway 2010 y en el autorun seleccionamos Ejecutar la herramienta de preparacin

Comenzar un asistente para preparar el equipo local con todos los requisitos necesarios y nos los instalar, Siguiente,

Acepto los trminos de licencia & Siguiente

Marcamos la primera opcin Servicios y Administracin de Forefront TMG & Siguiente,

lo dicho esperamos unos minutos mientras nos instala y configura las caractersticas necesarias

Seleccionamos Iniciar el Asistente para la instalacin de Forefront TMG & Finalizar,

Y comenzara el asistente de instalacin de TMG, Siguiente,

Acepto los trminos del contrato de licencia & Siguiente,

Indicamos los datos necesarios, as como el nmero de serie, Siguiente,

Seleccionamos el path de instalacin (por defecto %ProgramFiles%Microsoft Forefront Threat Management Gateway), Siguiente,

Indicaremos en este momento que rango IP pertenece a la red interna, pulsamos Agregar

Agregamos lo que nos interese, o el adaptador dedicado o el rango IP de la DMZ, para ello Agregar intervalo,

Indicamos el rango de la DMZ, IP inicial a IP final, Aceptar,

Aceptar,

Siguiente,

Deberemos tener en cuenta que los servicios especificados se reiniciarn (por si los estamos usando en produccin),

Y listo para comenzar la instalacin!

esperamos un buen rato

Y ya tendremos el nuevo ISA instalado! mantenemos marcada la opcin Iniciar la Administracin de Forefront TMG cuando se cierre el asistente & Finalizar,

En el asistente de introduccin configuraremos primero las opciones de red de nuestro equipo, pulsamos en Configurar opciones de red,

Siguiente,

En mi situacin actual tengo una pata de red por lo que slo puedo seleccionar Adaptador de red nico, las dems opciones seran a utilizar en diferentes situaciones o con otros fines, en mi caso simplemente realizar el traspaso seguro de conexiones exteriores al interior para utilizar OWA, Outlook Anywhere Siguiente,

Nos mostrar el adaptador de red del equipo con su configuracin de red, comprobamos que es correcto Siguiente,

Listo, confirmamos con Finalizar,

Ok, Configurar opciones del sistema

Breve asistente para modificar si consideramos necesarias algunas opciones del servidor,

Comprobamos que todo es correcto & Siguiente,

Finalizar,

Finalmente acabamos con el asistente Definir opciones de implementacin,

Siguiente,

Deberemos indicar Usar el servicio Microsoft Update para buscar actualizaciones para mantener actualizado el Forefront TMG, Siguiente,

Configuramos el licenciamiento y temas de actualizaciones de TMG, Siguiente,

Si queremos partifipar el el programa de mejora y experiencia No & Siguiente,

Si queremos enviar a Microsoft informes de uso de malware, etc Ninguno & Siguiente,

Por fin, listo Finalizar,

Cerramos el asistente, si queremos podemos utilizar el asistente para acceso Web y poder tener conectividad con el TMG o lo configuraremos posteriormente.Generando un certificado para OWA,Antes de configurar TMG deberemos tener un certificado vlido para el uso de OWA, por lo que necesitamos desde Exchange generar una solicitud de certificado, posteriormente con una CA vlida generar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarlo al servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en los equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello ser imprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo que necesitaremos abrir una MMC y agregar el complemento Certificados y de cuenta de equipo local, desde ah podremos exportar/importar certificados, necesitaremos realizarlo en Personal y obviamente tener el certificado de la CA (Certificate Authority Entidad de emisora de certificados) en Entidades de certificacin raz de confianza.

Bueno, comenzamos, desde la Consola de administracin de Exchange > Configuracin del servidor > Nuevo certificado de intercambio

Indicamos el nombre del certificado, Siguiente,

Siguiente,

Indicamos el/los servicios que queramos que tenga el certificado, para ello deberemos indicar los nombres de dominios que necesitaremos para OWA, ActiveSync, Outlook Anywhere en mi caso siempre ser el mismo nombre de dominio para todo, lo indicamos & Siguiente,

Confirmamos que el nombre de dominio es correcto & Siguiente,

Indicamos los datos del certificado: Organizacin, Unidad de organizacin, Pas o regin, Ciudad o localidad, Estado o provincia y donde dejaremos la solicitud del certificado. Siguiente,

Nuevo para generar la solicitud del certificado,

Finalizar,Ahora deberemos ir a una entidad emisora de certificados y presentarle la solicitud que acabamos de generar, obtendremos un certificado para un servidor web listo para ser usado, podremos usar CAs pblicas (recomendado) o utilizar la CA de Microsoft de nuestra red.

Una vez tenemos ya el certificado generado lo importamos, continuamos donde estbamos sobre el mismo servidor que hemos realizado la solicitud pulsamos sobre el certificado > Completar solicitud pendiente

Seleccionamos el certificado desde Examinar & Completar,

Finalizar,

Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a un servicio de Exchange, en nuestro caso ser para OWA, por lo que lo asignaremos al servicio de IIS. Sobre el certificado > Asignar servicios a certificado

Indicamos el nombre del servidor Exchange que se ver afectado & Siguiente

Indicamos Internet Information Services & Siguiente,

Asignar,

Y listo!Todo esto ser necesario tenerlo listo antes de configurar TMG, una vez lo tengamos, lo dicho anteriormente, debemos instalar este certificado en el servidor TMG (en la cuenta de equipo) y el de la CA si fuera necesario.Configuracin de Microsoft Forefront TMG 2010 para dar acceso a OWA,

En esta parte del documento veremos cmo permitir el uso de OWA desde el exterior de nuestra organizacin al interior de forma segura, abrimos la consola de administracin de Forefront TMG, vamos a Directiva de firewall > Publicar acceso de cliente web de Exchange

Indicamos un nombre a la regla, Siguiente,

Indicamos la versin de Exchange que tenemos en la organizacin y marcamos Outlook Web Access, Siguiente,

Publicar un nico sitio web o equilibrio de carga si tenemos un solo servidor con el rol de Acceso de Cliente o tenemos un array de CAS, Siguiente,

Indicamos cmo queremos que se conecte el TMG al servidor de acceso de cliente, marcamos la primera opcin Usar SSL, Siguiente,

Indicamos el nombre interno del sitio de nuestro (nuestro CAS), si no resuelve el TMG por nombre debemos indicar la direccin IP del servidor que tiene OWA, Siguiente,

Indicamos que acepte solicitudes slo para el nombre de dominio pblico que utilizaremos para que accedan desde el exterior y lo introducimos, Siguiente,

Creamos una escucha de web para indicar qu solicitudes escucharemos del exterior, Nueva,

Indicamos el nombre de escucha de la web & Siguiente,

Marcamos Requerir conexiones seguras SSL con los clientes & Siguiente,

Indicamos la red de escucha que utilizaremos (en este caso al disponer slo de un adaptador ethernet me dara igual, as que seleccionamos Interna). Siguiente,

Seleccionamos el certificado que hemos generado anteriormente en el servidor de Acceso de Cliente Seleccionar certificado

Seleccionamos el nico que tendremos & Seleccionar. Si aqu no nos sale ningn certificado deberemos comprobar, que tenemos el certificado instalado en la cuenta de equipo, que tenemos su clave privada y que conocemos/confiamos en toda la ruta de certificacin.

Indicamos la autenticacin que necesitemos y la forma que el TMG validar contra nuestros controladores de dominio (ojo de depende de la forma deberemos permitir dicho trfico de este equipo al DC de la red), Siguiente,

Desmarcamos SSO (Single Sign On) & Siguiente,

Finalizar,

Continuamos con la regla de TMG, Siguiente,

Indicamos la autenticacin para validarse con el servidor de OWA, es recomendado configurar Autenticacin bsica que va en texto plano pero ya hemos establecido una sesin SSL por lo que ira cifrada. Siguiente

Deberemos por lo tanto en las propiedades de owa configurar el mismo mtodo de autenticacin (en la Consola de Administracin de Exchange > Configuracin del servidor > Acceso de cliente > Pestaa Outlook Web App).

Indicamos los usuarios a los que se aplicar la regla, Siguiente,

Y finalizamos la regla con Finalizar,

Aplicamos los cambios en TMG

Y podremos comprobar desde el exterior si tenemos los mapeos de puertos (a nivel de firewall) bien configurados cmo podremos acceder a OWA desde el exterior a travs del servidor TMG de forma segura!confirmamos como el portal de OWA indica que estamos protegidos por Microsoft Forefront Threat Management Gateway.