Instalacin y configuracin de Microsoft Forefront TMG

para acceso de OWA seguro

bujarra.com /instalacion-y-configuracion-de-microsoft-forefront-tmg-para-acceso-de-owa-seguro/
Hctor Herrero Hermida
En este documento veremos una de las instalaciones ms cotidianas a la hora de desplegar una
instalacin de Microsoft Exchange Server 2010 e asegurar su conectividad desde el exterior mediante el
acceso de OWA (o los servicios necesarios) seguro a travs de un host TMG en la red DMZ.
Realizaremos la instalacin de Microsoft Forefront TMG (Threat Management Gateway) antiguo ISA
Server en un equipo de la DMZ al que slo se le conectar mediante HTTPS desde Internet y ste slo se
conectar al servidor Exchange con el rol HUB (o array CAS).
En este documento veremos
una situacin tpica, tenemos
ya una DMZ e introduciremos
en ella un host en el que
instalaremos Microsoft
Forefront Threat Management
Gateway 2010 con una pata
ethernet en la que le entrarn
peticiones desde el exterior
(Red Internet) y l trasladar
al interior (Red LAN). En este
documento se permitirn las
conexiones de OWA (Outlook
Web App) desde el exterior y
las redirigiremos al array que
tenemos de los servidores de
Acceso de Cliente (CAS Array
bajo NLB), si no tenemos un
cluster de este tipo lo
reenviaremos contra nuestro
servidor Exchange con el rol
de Acceso de Cliente.
Instalacin de Microsoft Forefront TMG 2010,

Tenemos un equipo ya listo

en la DMZ, al que
simplemente le hemos
instalado Windows y
configurado un nombre de
equipo, direccin IP del rango
DMZ (sin configurar DNSs, ni
meter en dominio, con las
entradas en el archivo hosts
correspondientes).
Introducimos el DVD de
Microsoft Forefront Threat
Management Gateway 2010 y
en el autorun seleccionamos
Ejecutar la herramienta de
preparacin
Comenzar un asistente para
preparar el equipo local con
todos los requisitos
necesarios y nos los
instalar, Siguiente,
Acepto los trminos de
licencia & Siguiente
Marcamos la primera opcin
Servicios y Administracin de
Forefront TMG & Siguiente,
lo dicho esperamos unos
minutos mientras nos instala y
configura las caractersticas
necesarias
Seleccionamos Iniciar el
Asistente para la instalacin
de Forefront TMG &
Finalizar,
Y comenzara el asistente de instalacin de TMG, Siguiente,
Acepto los trminos del contrato de licencia & Siguiente,
Indicamos los datos necesarios, as como el nmero de serie, Siguiente,
Seleccionamos el path de instalacin (por defecto %ProgramFiles%Microsoft Forefront Threat
Management Gateway), Siguiente,
Indicaremos en este momento que rango IP pertenece a la red interna, pulsamos Agregar
Agregamos lo que nos interese, o el adaptador dedicado o el rango IP de la DMZ, para ello Agregar
intervalo,

Indicamos el rango de la
DMZ, IP inicial a IP final,
Aceptar,
Aceptar,
Siguiente,
Deberemos tener en cuenta
que los servicios
especificados se reiniciarn
(por si los estamos usando en
produccin),
Y listo para comenzar la
instalacin!
esperamos un buen rato
Y ya tendremos el nuevo ISA
instalado! mantenemos
marcada la opcin Iniciar la
Administracin de Forefront
TMG cuando se cierre el
asistente & Finalizar,
En el asistente de
introduccin configuraremos
primero las opciones de red
de nuestro equipo, pulsamos
en Configurar opciones de
red,
Siguiente,
En mi situacin actual tengo
una pata de red por lo que
slo puedo seleccionar
Adaptador de red nico, las
dems opciones seran a utilizar en diferentes situaciones o con otros fines, en mi caso simplemente
realizar el traspaso seguro de conexiones exteriores al interior para utilizar OWA, Outlook Anywhere
Siguiente,
Nos mostrar el adaptador de red del equipo con su configuracin de red, comprobamos que es correcto
Siguiente,
Listo, confirmamos con Finalizar,
Ok, Configurar opciones del sistema
Breve asistente para modificar si consideramos necesarias algunas opciones del servidor,
Comprobamos que todo es correcto & Siguiente,

Finalizar,
Finalmente acabamos con el
asistente Definir opciones de
implementacin,
Siguiente,
Deberemos indicar Usar el
servicio Microsoft Update
para buscar actualizaciones
para mantener actualizado el
Forefront TMG, Siguiente,
Configuramos el
licenciamiento y temas de
actualizaciones de TMG,
Siguiente,
Si queremos partifipar el el
programa de mejora y
experiencia No &
Siguiente,
Si queremos enviar a
Microsoft informes de uso de
malware, etc Ninguno &
Siguiente,
Por fin, listo Finalizar,
Cerramos el asistente, si
queremos podemos utilizar el
asistente para acceso Web y
poder tener conectividad con
el TMG o lo configuraremos
posteriormente.
Generando un certificado
para OWA,
Antes de configurar TMG deberemos tener un certificado vlido para el uso de OWA, por lo que
necesitamos desde Exchange generar una solicitud de certificado, posteriormente con una CA vlida
generar el certificado, importarlo en el servidor que hemos realizado la solicitud de certificado y asignarlo
al servicio de IIS. Deberemos exportar este certificado en formato PFX (con clave privada) e importarlo en
los equipos que necesitemos, sean otros servidores Exchange o en el propio TMG, para ello ser
imprescindible que usemos los certificados locales de cada equipo y no los del usuario; por lo que
necesitaremos abrir una MMC y agregar el complemento Certificados y de cuenta de equipo local,
desde ah podremos exportar/importar certificados, necesitaremos realizarlo en Personal y obviamente
tener el certificado de la CA (Certificate Authority Entidad de emisora de certificados) en Entidades de
certificacin raz de confianza.
Bueno, comenzamos, desde la Consola de administracin de Exchange > Configuracin del servidor >

Nuevo certificado de intercambio

Indicamos el nombre del
certificado, Siguiente,
Siguiente,
Indicamos el/los servicios que
queramos que tenga el
certificado, para ello
deberemos indicar los
nombres de dominios que
necesitaremos para OWA,
ActiveSync, Outlook
Anywhere en mi caso
siempre ser el mismo
nombre de dominio para todo,
lo indicamos & Siguiente,
Confirmamos que el nombre
de dominio es correcto &
Siguiente,
Indicamos los datos del
certificado: Organizacin,
Unidad de organizacin, Pas
o regin, Ciudad o localidad,
Estado o provincia y donde
dejaremos la solicitud del
certificado. Siguiente,
Nuevo para generar la
solicitud del certificado,
Finalizar,
Ahora deberemos ir a una
entidad emisora de
certificados y presentarle la
solicitud que acabamos de
generar, obtendremos un
certificado para un servidor web listo para ser usado, podremos usar CAs pblicas (recomendado) o
utilizar la CA de Microsoft de nuestra red.
Una vez tenemos ya el certificado generado lo importamos, continuamos donde estbamos sobre el
mismo servidor que hemos realizado la solicitud pulsamos sobre el certificado > Completar solicitud
pendiente
Seleccionamos el certificado desde Examinar & Completar,
Finalizar,
Una vez tenemos el certificado instalado de forma correcta (y confiamos en su CA) debemos asignarlo a

un servicio de Exchange, en nuestro caso ser para OWA, por lo que lo asignaremos al servicio de IIS.
Sobre el certificado >
Asignar servicios a
certificado
Indicamos el nombre del
servidor Exchange que se
ver afectado & Siguiente
Indicamos Internet
Information Services &
Siguiente,
Asignar,
Y listo!
Todo esto ser necesario
tenerlo listo antes de
configurar TMG, una vez lo
tengamos, lo dicho
anteriormente, debemos
instalar este certificado en el
servidor TMG (en la cuenta
de equipo) y el de la CA si
fuera necesario.
Configuracin de Microsoft
Forefront TMG 2010 para
dar acceso a OWA,
En esta parte del documento
veremos cmo permitir el uso
de OWA desde el exterior de
nuestra organizacin al
interior de forma segura,
abrimos la consola de
administracin de Forefront
TMG, vamos a Directiva de
firewall > Publicar acceso de
cliente web de Exchange
Indicamos un nombre a la regla, Siguiente,
Indicamos la versin de Exchange que tenemos en la organizacin y marcamos Outlook Web Access,
Siguiente,
Publicar un nico sitio web o equilibrio de carga si tenemos un solo servidor con el rol de Acceso de
Cliente o tenemos un array de CAS, Siguiente,
Indicamos cmo queremos que se conecte el TMG al servidor de acceso de cliente, marcamos la primera
opcin Usar SSL, Siguiente,

Indicamos el nombre interno del sitio de nuestro (nuestro CAS), si no resuelve el TMG por nombre
debemos indicar la direccin
IP del servidor que tiene
OWA, Siguiente,
Indicamos que acepte
solicitudes slo para el
nombre de dominio pblico
que utilizaremos para que
accedan desde el exterior y lo
introducimos, Siguiente,
Creamos una escucha de
web para indicar qu
solicitudes escucharemos del
exterior, Nueva,
Indicamos el nombre de
escucha de la web &
Siguiente,
Marcamos Requerir conexiones
seguras SSL con los clientes &
Siguiente,
Indicamos la red de escucha que
utilizaremos (en este caso al disponer
slo de un adaptador ethernet me dara
igual, as que seleccionamos Interna).
Siguiente,
Seleccionamos el certificado que hemos
generado anteriormente en el servidor
de Acceso de Cliente Seleccionar
certificado
Seleccionamos el nico que tendremos
& Seleccionar. Si aqu no nos sale
ningn certificado deberemos
comprobar, que tenemos el certificado
instalado en la cuenta de equipo, que
tenemos su clave privada y que
conocemos/confiamos en toda la ruta de
certificacin.
Indicamos la autenticacin que necesitemos y la forma que el TMG validar contra nuestros
controladores de dominio (ojo de depende de la forma deberemos permitir dicho trfico de este equipo al
DC de la red), Siguiente,
Desmarcamos SSO (Single Sign On) & Siguiente,
Finalizar,

Continuamos con la regla de TMG, Siguiente,

Indicamos la autenticacin para validarse con
el servidor de OWA, es recomendado
configurar Autenticacin bsica que va en
texto plano pero ya hemos establecido una
sesin SSL por lo que ira cifrada. Siguiente
Deberemos por lo tanto en las propiedades de
owa configurar el mismo mtodo de
autenticacin (en la Consola de Administracin
de Exchange > Configuracin del
servidor > Acceso de cliente >
Pestaa Outlook Web App).
Indicamos los usuarios a los que se
aplicar la regla, Siguiente,
Y finalizamos la regla con Finalizar,
Aplicamos los cambios en TMG
Y podremos comprobar desde el exterior
si tenemos los mapeos de puertos (a
nivel de firewall) bien configurados cmo
podremos acceder a OWA desde el
exterior a travs del servidor TMG de
forma segura! confirmamos como el
portal de OWA indica que estamos
protegidos por Microsoft Forefront
Threat Management Gateway.

Posts relacionados: