Cómo publicar Exchange 2010 con TMG en DMZ

En este artículo vamos a ver como publicar los servicios de Exchange 2010 utilizando un servidor TMG 2010 ubicado en DMZ.

Si bien hay varios escenarios posibles, tanto desde el punto de vista del tipo de DMZ a utilizar, disponibilidad del servicio, autenticación, etc, en este caso en particular nos vamos a enfocar en un modelo de DMZ de 3 patas compuesto por los siguientes elementos:

En la red de DMZ:

  • 1 servidor TMG 2010 SP2 en grupo de trabajo con una sola tarjeta de red

En la red interna:

  • 1 servidor Exchange 2010 con los roles de una instalación típica
  • 1 controlador de dominio Windows 2003 o posterior con certificado instalado para LDAPS

El escenario entonces sería el siguiente:

Exchange 2010 - TMG en DMZ

La idea sería que los usuarios que acceden desde Internet no lleguen directamente a la red interna, sino que pasen por DMZ y el TMG funcione como proxy reverso para estas conexiones.

Servicios a publicar en TMG

  • Outlook Anywhere
  • ActiveSync
  • OWA
  • Autodiscover

Se entiende que estos servicios ya se encuentran configurados en el servidor de Exchange.

Certificados

Los requerimientos a nivel de certificados incluyen lo siguiente:

  • 1 en el controlador de dominio emitido por una CA interna
  • 1 en el servidor Exchange con todos los nombres en uso. Este idealmente sería emitido por una CA pública

El certificado instalado en Exchange es el que vamos a utilizar para publicar los servicios en TMG, por lo que a continuación lo que debemos hacer es exportar junto a su llave privada este certificado. Por más info sobre como realizar esta tarea ver el siguiente artículo: https://aprendiendoexchange.com/habilitar-importar-exportar-certificado-en-exchange-2010

TMG

En el servidor de TMG vamos a utilizar la versión Standard del producto y realizar una instalación típica que incluya tanto los servicios como la consola administrativa. No voy a entrar en el detalle de instalación, pero les dejo un link por si quieren más info: http://technet.microsoft.com/en-us/library/cc441445.aspx

Una vez finalizado el setup procedemos a realizar las siguientes tareas:

  • Importar la llave pública de la CA interna (para confiar en el certificado del controlador de dominio)
  • Importar el certificado que exportamos anteriormente del servidor de Exchange. Adicionalmente importar la raíz emisora y las intermedias de la CA pública.

Dado que el servidor TMG no estará unido al dominio vamos a manejar la autenticación utilizando LDAPS, para esto debemos permitir el tráfico hacia el puerto 636 TCP del controlador de dominio de la red interna.

Para el caso de los servicios de Exchange, necesitamos que se habilite en el firewall interno el ingreso de tráfico desde el TMG hacia el puerto 443 (HTTPS) del servidor Exchange.

Resumiendo entonces los requerimientos de puertos a nivel del firewall:

  • 80 y 443 desde Internet hacia el TMG (el 80 lo vamos a usar para redireccionar al 443 a los usuarios de OWA que olviden usar HTTPS)
  • 443 desde el TMG hacia el Exchange
  • 636 desde el TMG hacia el controlador de dominio

Una vez realizadas estas tareas estamos en condiciones de comenzar con la configuración del TMG.

Configuración de autenticación

Para configurar la autenticación por LDAPS, abrimos la consola de TMG, vamos a Firewall Policy y a la derecha en Tasks hacemos clic en “Configure Authentication Server Settings” debajo de “Related Tasks”.

Una vez en la ventana de configuración de autenticación, hacemos clic en el tab de “LDAP Servers” y seguimos los pasos a continuación:

1. Hacer clic en Add para agregar un LDAP Server Set

2. Escribir nombre del set. Ej: “DCs domain.local

3. Hacer clic en Add para agregar el controlador de dominio a utilizar (se pueden agregar varios).

4. Escribir el FQDN del dominio y seleccionar el checkbox de “Connect LDAP servers over secure connection

5. Ingresar usuario y password. Este usuario debe ser un domain user del dominio interno. Este debe tener permisos mínimos.

Authentication Servers - TMG 2010 - Add LDAP Server set

6. Hacemos clic en ok y vamos a la sección de Login Expression.

7. Hacer clic en New e ingresar los siguientes datos:

  • Login Expression: domain\*
  • LDAP server set: “DCs domain.local”

8. Hacer clic en New nuevamente e ingresar los mismos datos pero para el caso del UPN del dominio:

  • Login Expression: @domain.local
  • LDAP server set: “DCs domain.local”

9. Al finalizar, la configuración debe ser similar a la siguiente imagen:

TMG - Authentication Servers - LDAPS

10. Hacemos clic en OK para finalizar la configuración.

En caso de tener problemas en este punto, validar lo siguiente:

  • Certificado válido (y confiable) instalado en el controlador de dominio
  • Se resuelve correctamente el nombre FQDN a la IP correspondiente del DC
  • El puerto 636 TCP esta abierto. Para esto se podría ejecutar “telnet dc.dominio.local 636” y ver si responde

Una vez configurada la autenticación podemos avanzar con la segunda parte de esta serie de artículos, comenzando así con la ejecución de los distintos asistentes de configuración.

About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *