7 errores que no querrás cometer trabajando con Exchange


Descarga gratis el ebook y accede a material exclusivo, 
actualizaciones y novedades sobre Exchange.
 
 

Cómo publicar Exchange 2010 con TMG en DMZ – Parte 2

Continuamos con la segunda parte del artículo “Cómo publicar Exchange 2010 con TMG en DMZ”. En la primer parte definimos el escenario a utilizar, vimos requerimientos a nivel de firewall, certificados y configuración de autenticación. En esta entrada vamos a comenzar con los asistentes de configuración, comenzando por la creación del web listener y siguiendo por la publicación de los distintos servicios a utilizar.

En la siguiente figura se ve el escenario planteado en la primer parte:

como publicar exchange 2010 en DMZ con TMG

Creación de Web Listener

Lo primero que vamos a hacer en este punto es configurar un Web Listener con el certificado exportado previamente del servidor de Exchange.

Para esto seguir los pasos a continuación:

1. Hacer clic en Firewall Policy y a la derecha en Toolbox, expandir Network Objets y hacer clic en Web Listeners

2. Hacer clic en NewWeb Listener

3. Escribir nombre para el listener, ej: “Exchange 2010 Listener

4. En Client Connection Security, seleccionar la opción predeterminada “Require SSL secured connections with clients” y hacer clic en Next

Nuevo Web Listener para Exchange

5. En Web Listener IP Addresses, seleccionar “All Networks (and Local Host)” y hacer clic en Next

como publicar exchange 2010 con TMG

6. En Listener SSL Certificates, hacer clic en Select Certificate y seleccionar el certificado exportado del servidor de Exchange. Hacer clic en Select y luego en Next

como publicar exchange 2010 con TMG

7. En Authentication Settings, seleccionar HTML Form Authentication y en los radio buttons de selección de método de validación de credenciales, hacer clic en LDAP (Active Directory)

como publicar exchange con TMG

8. En Single Sign On Setting, dejar marcada la opción de “Enable SSO for web sites published with this web listener” y escribir el nombre FQDN del dominio en “SSO domain name

como publicar exchange con TMG

9. Hacer clic en Next y Finish para finalizar con el asistente.

Publicación de servicios web

A partir de este momento podemos proceder con la publicación de los servicios.

El primer servicio que vamos a publicar es el de OWA, para esto seguir los pasos a continuación:

1. En Firewall Policy, hacer clic derecho y seleccionar NewExchange Web Client Access Publishing Rule

2. En nombre de la regla escribir algo descriptivo, ejemplo Exchange 2010 – OWA y hacer clic en Next

3. En Exchange Version, seleccionar Exchange Server 2010 y marcar la opción de Outlook Web Access, hacer clic en Next

Publicación de OWA en TMG 2010

4. Seleccionar Publish a single Web site or load balancer y hacer clic en Next

5. En Server Connection Security, dejar la opción predeterminada y hacer clic en Next

6. En la ventana de Internal Publishing Details, ingresar en Internal site name el nombre que se utilizaría para llegar al servidor de Exchange. Este nombre debe estar incluido en el certificado. Una opción muy común es la de utilizar el archivo Hosts para poner el mismo nombre externo resolviéndose a la IP privada del servidor de Exchange. Ej: webmail.dominio.com

como publicar exchange en DMZ con TMG

7. En Public Name Details, dejar seleccionada la opción de “This domain name (type below):” y en public name escribir el nombre tal cual se usaría desde afuera, ej: webmail.dominio.com (este registro debe existir en el DNS externo).

como publicar exchange 2010 en DMZ con TMG

8. En Select Web Listener, seleccionar el Web Listener que creamos en un punto anterior y hacer clic en Edit

9. En el tab de Connections marcar las siguientes opciones:

    • Enable HTTP connections on port: 80
    • Redirect all traffic from HTTP to HTTPS

10. Hacer clic en Ok y hacer Next

como publicar exchange 2010 en DMZ con TMG

11. En Authentication Delegation, seleccionar la opción de Basic Authentication. De este modo es como el TMG va a delegar la autenticación, para que esto funcione correctamente, la configuración de OWA y ECP en Exchange 2010 deben tener la opción de Forms deshabilitada y la autenticación básica habilitada.

como publicar exchange 2010 en DMZ con TMG

12. En User Sets, dejar la opción de todos los usuarios autenticados y hacer clic en Next y Finish.

13. Repetir el procedimiento desde el punto número 2 para los siguientes servicios (seleccionando en el punto 3 el servicio correspondiente):

    • Exchange ActiveSync
    • Outlook Anywhere

Por último nos está faltando la regla de Autodiscover, no hay un wizard para esta por lo que vamos a copiar la de OWA y posteriormente modificar algunas de las opciones:

1. Hacer clic derecho – Copy sobre la regla de OWA

2. Modificar el nombre de la regla a por ejemplo: Exchange 2010 – Autodiscover

3. Ir a las propiedades de la regla y modificar lo siguiente:

    • Authentication Delegation: “No delegation, but client may authenticate directly”
    • Paths: /Autodiscover/*
    • Users: All Users
    • Public Name: Autodiscover.dominio.com

En cualquiera de los casos, dentro de las propiedades de la regla tienen un botón abajo a la izquierda que se llama “Test Rule”, esto nos viene muy bien para validar el funcionamiento.

No es algo inusual en cuanto al acceso a OWA que hayan usuarios que no puedan ingresar porque olvidan que la url comienza por HTTPS o que al final tienen que poner /OWA, por lo que vamos a generar la siguiente regla de redirección:

1. Hacer clic derecho – Copy sobre la regla de OWA

2. Renombrar a por ejemplo – Exchange 2010 – Redirección OWA

3. Ir a las propiedades de la regla y modificar lo siguiente:

    • Action: Deny – Seleccionar Redirect HTTP requests to this Web page: (ingresar la url completa de OWA, Ej: https://webmail.dominio.com/owa
    • Paths: / (debe quedar solo esto)
    • Bridging: Redirect request to SSL port: 443
    • Users: All Users
    • Authentication Delegation: No delegation, but client may authenticate directly

Regla de redirección de OWA - TMG 2010

4. Mover el orden de las reglas para que la de redirección tenga mayor prioridad que la de OWA.

Finalmente tenemos todos los servicios publicados, en consola tendríamos que tener 5 reglas, siendo 4 para servicios y una para redirección. Si bien existen varias formas de generar la publicación de servicios de Exchange, por ejemplo utilizando una granja de servidores o TMG en array, en líneas generales el procedimiento acá detallado podría adaptarse a cualquier escenario específico con muy pocas modificaciones.

Por más info sobre publicación de Exchange 2010 les dejo el siguiente artículo: http://www.microsoft.com/en-us/download/details.aspx?id=8946

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Registrarse