Client Access

21/10/2014 · Por Daniel Núñez Banega · Leave a Comment ·

Una vez instalado el certificado para Exchange 2013 y teniendo en cuenta el tiempo que involucra el proceso de solicitud, especialmente cuando se trata de una entidad emisora publica es recomendable realizar un respaldo y almacenarlo en un lugar seguro.

El respaldo de este certificado nos sería de utilidad frente a cualquiera de los siguientes escenarios:

Caso de reinstalación o reconstrucción del servidor
Cuando tengo alta disponibilidad y debo instalar el mismo certificado en varios servidores

13/10/2014 · Por Daniel Núñez Banega · 31 Comments ·

En la primer parte vimos sobre el certificado predeterminado, la problemática asociada a utilizar este certificado y líneas generales para generar uno nuevo para Exchange 2013 / 2016.

En esta parte vemos el procedimiento para las siguientes tareas:

1. Generar una nueva solicitud de certificado en Exchange 2013 / 2016

2. (Opcional) Procesar la solicitud con una entidad certificadora interna

3. Completar una solicitud de certificado pendiente

4. Habilitar servicios de Exchange asociados al certificado

1. Generar el CSR (Certificate Signing Request)

Para generar la solicitud de certificado utilizando el EAC (Exchange Admin Center) de Exchange:

1. Ingresar al EAC: “HTTPS://ServidorCAS/ECP”

2. Hacer clic en Servidores y luego Certificados

Nota: El certificado auto firmado con el que interactúan los clientes es el que se llama Microsoft Exchange. Los otros 2 se recomienda no modificarlos.

3. Hacer clic en “+” y seleccionar Crear una solicitud para un certificado desde una entidad de certificación:

4. Especificar un nombre descriptivo y hacer clic en Siguiente:

5. Si es una solicitud para certificado de tipo comodín (wildcard) activar la casilla, de lo contrario hacer clic en siguiente:

6. Hacer clic en Examinar y seleccionar el servidor donde realizar la solicitud:

7. Seleccionar los servicios en uso y definir los nombres a utilizar en el certificado. Dentro de los nombres debemos incluir los utilizados en la configuración de los directorios virtuales, servicios web en general y autodiscover:

Nota: En general conviene utilizar lo que se conoce como Split DNS de tal forma de utilizar los mismos nombres interna y externamente minimizando la cantidad a incluir en el certificado. De cualquier modo esto depende de cada escenario específico, hay varios factores que pueden afectar los nombres que se deben incluir.

8. En información de la organización completar cada uno de los campos y hacer clic en Siguiente:

9. Especificar una ruta UNC válida para guardar la solicitud. Ej: \\servidor\c$\temp\cert.req

10. Finalizar el asistente y verificar que la solicitud figure como Pedido Pendiente:

A partir de este momento estaríamos en condiciones de enviar la solicitud sea a una entidad certificadora interna o a una externa.

2. Procesar la solicitud con una entidad certificadora

En caso de procesar el certificado con una CA interna, continuar el procedimiento de lo contrario ir directamente al punto 3:

1. Abrir Internet Explorer (u otro navegador) y escribir la URL de la entidad certificadora: Https://CA/Certsrv

2. En la ventana de bienvenida hacer clic en Request a Certificate y luego en advanced certificate request

3. Hacer clic en Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file…

4. Abrir con el bloc de notas el archivo con extensión REQ y copiamos todo el texto

5. En la ventana de Submit a Certificate Request, en el cuadro de Saved Request pegamos el texto del REQ. En Certificate Template seleccionamos Web Server y hacemos clic en Submit

6. Seleccionar Base 64 encoded y clic en Download certificate

7. Guardar el archivo .CER

3. Completar la solicitud pendiente en Exchange 2013 / 2016

Con el archivo devuelto por la entidad certificadora procedemos a completar la solicitud pendiente:

1. Ir al EAC – Servidores – Certificados. Hacer clic en completo (completar solicitud)

2. En Completar pedido pendiente ingresar la ruta al archivo CER (la extensión puede variar) utilizando el formato UNC (\\servidor\recurso). Aceptar para finalizar

4. Habilitar el certificado a nivel de servicios de Exchange 2013 / 2016

Para utilizar el nuevo certificado primero debemos habilitar servicios:

1. En el EAC – Servidores – Certificados, seleccionamos el certificado y hacemos clic en Modificar (el icono que parece un lápiz)

2. Seleccionar los servicios que deseamos utilizar. Por ejemplo si los clientes utilizan únicamente OWA, Outlook Anywhere, MAPI/HTTPS y Activesync con seleccionar IIS es suficiente. Guardar los cambios.

Luego de esto los clientes Outlook no deberían presentar más ventanas relacionadas a certificados y si vamos por OWA y hacemos clic sobre el certificado deberíamos ver algo similar a la siguiente imagen:

En la parte 3 vamos a ver mejores prácticas asociadas al manejo de certificados en Exchange 2013 / 2016 y algunos errores comunes de configuración.

Por información sobre respaldo y restauración de certificados en Exchange ver los siguientes artículos:

Por más información teórica y práctica sobre configuración de Exchange y Certificados, ver el siguiente recurso para miembros VIP del sitio (videos de entrenamiento):

Configuración de Acceso de clientes y certificados en Exchange

06/05/2014 · Por Daniel Núñez Banega · 2 Comments ·

De forma predeterminada al instalar el rol de Client Access de Exchange 2010 se crea un certificado auto firmado (self signed) que incluye el nombre de host y FQDN del servidor. Si bien este certificado nos puede ser útil para validar el funcionamiento general, este no es el ideal para un entorno productivo.

Pages: 1 2

18/03/2014 · Por Daniel Núñez Banega · 3 Comments ·

Una situación frecuente al utilizar OWA es que los usuarios olviden poner HTTPS o especificar el directorio virtual “/OWA” al final de la dirección. Por este motivo la idea de este artículo es ver como simplificar la URL de acceso en Exchange 2010 o 2013, puntualmente como redireccionar las conexiones de HTTP a HTTPS y como hacer para que toda consulta que llegue al sitio web predeterminado de Exchange vaya automáticamente al directorio virtual del OWA.

Si bien hay muchas formas de lograr el requerimiento (por ejemplo con TMG), en este caso vamos a utilizar IIS (Internet Information Services) en el propio servidor de Exchange.

Nota: A partir de Exchange 2013 CU6 en adelante, existe una redirección automática hacia el directorio virtual de OWA. Es decir que si el requerimiento es que cuando un usuario ingrese https://mail.empresa.com sea redireccionado a https://mail.empresa.com/owa no hay necesidad de hacer ninguna modificación.

30/12/2013 · Por Daniel Núñez Banega · Leave a Comment ·

Si bien este evento se puede presentar en distintos productos, pienso que los más comunes serían OCS, Lync o Exchange (independientemente de la versión).

En este caso tomé captura de un evento que se me ha presentado en infinidad de clientes al querer sincronizar un dispositivo con ActiveSync, el error completo es el siguiente:

Exchange ActiveSync doesn’t have sufficient permissions to create the “”CN=..,DC=..,dc=..” container under Active Directory user “Active Directory operation failed or denied.

Active Directory response: 00000005: SecErr: DSID-XXXXXXX, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0”…

30/12/2013 · Por Daniel Núñez Banega · 2 Comments ·

Se me ha presentado en varias ocasiones la situación donde un cliente reporta que luego de instalar un rollup o service pack para Exchange 2010 la pagina de OWA queda en blanco como se muestra en la siguiente figura:

Cómo respaldar un certificado en Exchange 2013?

Client Access

1. Generar el CSR (Certificate Signing Request)

2. Procesar la solicitud con una entidad certificadora

3. Completar la solicitud pendiente en Exchange 2013 / 2016

4. Habilitar el certificado a nivel de servicios de Exchange 2013 / 2016

Footer

Sobre los cursos

Contáctanos

Servicios

Información