Revista Informática

Cómo publicar Exchange 2010 con TMG en DMZ

Publicado el 08 junio 2013 por Aprendiendoexchange

En este artículo vamos a ver como publicar los servicios de Exchange 2010 utilizando un servidor TMG 2010 ubicado en DMZ.

Si bien hay varios escenarios posibles, tanto desde el punto de vista del tipo de DMZ a utilizar, disponibilidad del servicio, autenticación, etc, en este caso en particular nos vamos a enfocar en un modelo de DMZ de 3 patas compuesto por los siguientes elementos:

En la red de DMZ:

  • 1 servidor TMG 2010 SP2 en grupo de trabajo con una sola tarjeta de red

En la red interna:

  • 1 servidor Exchange 2010 con los roles de una instalación típica
  • 1 controlador de dominio Windows 2003 o posterior con certificado instalado para LDAPS

El escenario entonces sería el siguiente:

Exchange 2010 - TMG en DMZ

La idea entonces sería que los usuarios que acceden desde Internet no lleguen directamente a la red interna, sino que pasen por DMZ y el TMG funcione como proxy reverso para estas conexiones.

Servicios a publicar en TMG:

  • Outlook Anywhere
  • ActiveSync
  • OWA
  • Autodiscover

Se entiende que estos servicios ya se encuentran configurados en el servidor de Exchange.

Certificados

Los requerimientos a nivel de certificados incluyen lo siguiente:

  • 1 en el controlador de dominio emitido por una CA interna
  • 1 en el servidor Exchange con todos los nombres en uso. Este idealmente sería emitido por una CA pública

El certificado instalado en Exchange es el que vamos a utilizar para publicar los servicios en TMG, por lo que a continuación lo que debemos hacer es exportar junto a su llave privada este certificado. Por más info sobre como realizar esta tarea ver el siguiente artículo: http://aprendiendoexchange.com/habilitar-importar-exportar-certificado-en-exchange-2010

TMG

En el servidor de TMG vamos a utilizar la versión Standard del producto y realizar una instalación típica que incluya tanto los servicios como la consola administrativa. No voy a entrar en el detalle de instalación, pero les dejo un link por si quieren más info: http://technet.microsoft.com/en-us/library/cc441445.aspx

Una vez finalizado el setup procedemos a realizar las siguientes tareas:

  • Importar la llave pública de la CA interna (para confiar en el certificado del controlador de dominio)
  • Importar el certificado que exportamos anteriormente del servidor de Exchange. Adicionalmente importar la raíz emisora y las intermedias de la CA pública.

Dado que el servidor TMG no estará unido al dominio vamos a manejar la autenticación utilizando LDAPS, para esto debemos permitir el tráfico hacia el puerto 636 TCP del controlador de dominio de la red interna.

Para el caso de los servicios de Exchange, necesitamos que se habilite en el firewall interno el ingreso de tráfico desde el TMG hacia el puerto 443 (HTTPS) del servidor Exchange.

Resumiendo entonces los requerimientos de puertos a nivel del firewall:

  • 80 y 443 desde Internet hacia el TMG (el 80 lo vamos a usar para redireccionar al 443 a los usuarios de OWA que olviden usar HTTPS)
  • 443 desde el TMG hacia el Exchange
  • 636 desde el TMG hacia el controlador de dominio

Una vez realizadas estas tareas estamos en condiciones de comenzar con la configuración del TMG.

Configuración de autenticación

Para configurar la autenticación por LDAPS, abrimos la consola de TMG, vamos a Firewall Policy y a la derecha en Tasks hacemos clic en “Configure Authentication Server Settings” debajo de “Related Tasks”.

Una vez en la ventana de configuración de autenticación, hacemos clic en el tab de “LDAP Servers” y seguimos los pasos a continuación:

1. Hacer clic en Add para agregar un LDAP Server Set

2. Escribir nombre del set. Ej: “DCs domain.local”

3. Hacer clic en Add para agregar el controlador de dominio a utilizar (se pueden agregar varios).

4. Escribir el FQDN del dominio y seleccionar el checkbox de “Connect LDAP servers over secure connection”

5. Ingresar usuario y password. Este usuario debe ser un domain user del dominio interno. Este debe tener permisos mínimos.

Authentication Servers - TMG 2010 - Add LDAP Server set

6. Hacemos clic en ok y vamos a la sección de Login Expression.

7. Hacer clic en New e ingresar los siguientes datos:

  • Login Expression: domain\*
  • LDAP server set: “DCs domain.local”

8. Hacer clic en New nuevamente e ingresar los mismos datos pero para el caso del UPN del dominio:

  • Login Expression: @domain.local
  • LDAP server set: “DCs domain.local”

9. Al finalizar, la configuración debe ser similar a la siguiente imagen:

TMG - Authentication Servers - LDAPS

10. Hacemos clic en OK para finalizar la configuración.

En caso de tener problemas en este punto, validar lo siguiente:

  • Certificado válido (y confiable) instalado en el controlador de dominio
  • Se resuelve correctamente el nombre FQDN a la IP correspondiente del DC
  • El puerto 636 TCP esta abierto. Para esto se podría ejecutar “telnet dc.dominio.local 636” y ver si responde

Una vez configurada la autenticación podemos avanzar con la segunda parte de esta serie de artículos, comenzando así con la ejecución de los distintos asistentes de configuración.

Related Articles:

  • Cómo publicar Exchange 2010 con TMG en DMZ – Parte 2


También podría interesarte :

Volver a la Portada de Logo Paperblog

Quizás te interesen los siguientes artículos :

  • The Big Blog Exchange y Don’t Stop Travelling

    Blog Exchange Don’t Stop Travelling

    Do you believe that local knowledge can generate global understanding? That my hometome can become your inspiration? Do you believe that exchanging cultures... Leer el resto

    Por  Belilo
    VIAJES
  • ¡Concursando en Big Blog Exchange 2013!

    ¡Concursando Blog Exchange 2013!

    Votando por Nicaragua!! Pido mis mas sinceras disculpas por el abandono de estas 2 semanas que tuve al blog, pero necesitaba dejarlo un poco y enfocarme en... Leer el resto

    Por  Taniatrejos1
    CULTURA Y OCIO, NICARAGUA, VIAJES
  • Cómo hemos cambiado...

    Cómo hemos cambiado...

    Cualquiera que lea mi blog desde sus inicios alucinará con lo que voy a contar. Tranqui, yo también alucino, pero hasta nuestros ancestros demuestran eso de... Leer el resto

    Por  Silviamovellan
    DIARIO, TALENTOS
  • Cómo pintar Ogros Dragones

    Cómo pintar Ogros Dragones

    Estas son unas de mis critauras favoritas. Tengo pendiente comprarme un unidad pero con el precio que tiene tendrán que esperar, asi que de momento, me... Leer el resto

    Por  Loorg
    ILUSTRACIÓN, TALENTOS
  • ¿Cómo hacer san jacobos?

    ¿Cómo hacer jacobos?

    Nunca me gustaron los San Jacobos precocinados y con lo sencillo que es hacerlos en casa nunca los compro. Cuando tengo un rato los hago y los envuelvo en... Leer el resto

    Por  Comococinar
    COCINA, POSTRES, RECETAS
  • ¿Cómo cocinar pasta carbonara?

    ¿Cómo cocinar pasta carbonara?

    Pasta súper sencilla! Hace mucho tiempo que hago espaguetis carbonara en casa, siempre los he hecho con nata, pero la receta italiana no lleva nata, lleva huevo. Leer el resto

    Por  Comococinar
    COCINA, RECETAS
  • El Trench: Cómo elegirlo y cómo combinarlo

    Trench: Cómo elegirlo cómo combinarlo

    Una prenda clásica que nunca se pasa de moda. Si no tienes uno, quédate porque te voy a dar algún truco para elegir el que mejor te siente y, si ya lo tienes, t... Leer el resto

    Por  Betrendy
    BELLEZA, EN FEMENINO, MODA

Dossier Paperblog