domingo, 9 de mayo de 2010

Publicar los servicios web de cliente de Exchange 2007 con ISA Server 2006 SP1 (Introducción)

Me he decidido a escribir esta serie de artículos sobre ISA Server 2006 y mi producto preferido, Exchange Server, porque revisando la literatura en Internet al respecto, apenas he encontrado información al respecto en nuestro idioma y me pareció una buena oportunidad para comenzar a redactar un tutorial, hablar de estos dos productos que van tan unidos.

Este laboratorio no simula ningún entorno de producción real, simplemente es un documento que pretende establecer una guía rápida de asimilación de conceptos que sirva como base de aprendizaje, así que no intentéis ponerlo en práctica en vuestra red sino queréis veros con un bonito agujero de seguridad.

Para hacerlo lo más ameno posible, y no crear un documento megalítico y soporífero, me he decidido a dividir la serie en cinco artículos diferentes que enumero a continuación:
  • Publicar los servicios web de cliente de Exchange 2007 con ISA Server 2006  SP1 (Introducción)
  • Publicar los servicios web de cliente de Exchange 2007 con ISA Server 2006  SP1 (OWA)
  • Publicar los servicios web de cliente de Exchange 2007 con ISA Server 2006 SP1 (Outlook Anywhere)
  • Publicar los servicios web de cliente de Exchange 2007 con ISA Server 2006 SP1 (ActiveSync)
  • Publicar los servicios web de cliente de Exchange 2007 con ISA Server 2006 SP1 (Pruebas con un cliente)

Con el objetivo de no alargar mucho este tutorial, voy a dar por supuesto que ya se conoce el procedimiento de instalación de ISA Server 2006 SP1, así que no lo incluiré en esta serie. Para clarificar el laboratorio, os dejo este esquema de como he montado la infraestructura.


Como prerrequisitos estableceremos los siguientes:
  • Para simplificar el entorno, suponemos que la máquina del ISA Server se encuentra en el dominio olimpo.des.
  • Necesitamos un certificado wildcard para el dominio olimpo.des, de esta forma nos ahorramos tener que estar creando uno por máquina. Si no sabéis como obtener este tipo de certificados desde una entidad certificadora de Windows Server, seguid este tutorial que os he preparado en este enlace.
  • Todo el software usado son versiones del producto en español.
  • El controlador del dominio principal y el servidor de Exchange 2007 se ha montado con Windows 2008 SP2 Standard Edition sin Hiper-V x64 y Exchange Server 2007 SP2 x64.
  • Usaremos Windows 2003 R2 Enterprise Edition x32 e ISA Server 2006 SP1 en la máquina que contendrá el servidor ISA.
  • Por último, el cliente de pruebas será también una máquina con Windows 2003 R2 Enterprise Edition x32 con Microsoft Outlook 2007 SP2.

Bueno, hasta aquí este primer capítulo de la serie, en la próxima entrega veremos cómo configurar e instalar el certificado en el servidor Exchange y los paso necesarios para publicar la parte de OWA.

Crear un certificado wildcard para un dominio desde una entidad certificadora Windows Server

Bueno, hoy vamos a ver cómo crear un certificado wildcard usando la entidad certificadora que nos proporciona Windows Server 2008. Si os preguntáis para qué podemos querer un certificado de este tipo, la razón es sencilla, imaginaros que tenéis  cinco servidores Exchange, un ISA Server y dos IIS en tu organización. Si quieres usar el servicio de SSL con todos ellos tendrías que crearte ocho certificados individuales y lo peor de todo esto, tienes que mantenerlos controlados, verificar sus fechas de caducidad, etc. ¿No sería mucho más sencillo tener un único certificado para cualquier máquina de ese dominio? A mí me lo parece y eso por eso que siempre uso certificados wildcard.

Como prerrequisitos estableceremos  dos sencillos puntos:
  • Tener una entidad certificadora Windows 2008 integrada en el dominio.
  • Cinco  minutos de tiempo para crear el certificado.
En mi caso, voy a crear el certificado para mi segundo dominio de pruebas, averno.des. Los pasos serían los siguientes:
  • Abrimos el Administrador de Internet Information Services (IIS) y en el árbol de la izquierda localizamos el servidor IIS sobre el que queremos realizar la solicitud del certificado. Una vez localizado, hacemos doble clic sobre el icono de Certificados de servidor del panel central de la consola.
  • En este segundo paso, debemos hacer clic sobre la opción Crear certificado de dominio… del panel de la derecha y rellenar los datos que nos solicita el asistente. El único campo con el que tenéis que tener especial cuidado es con el campo de“Nombre común que debéis rellenarlo con un texto con el formato “*.dominio.ext” (sin las comillas), fijaros bien, que sino luego el certificado no sirve como wildcard. Una vez completado, tan solo falta hacer clic en el botón Siguiente.
  • El tercer paso es seleccionar la entidad certificadora de vuestro dominio que generará el nuevo certificado.
  • Por último, una vez generado el nuevo certificado, vamos a comprobar que realmente hemos generado un certificado wildcard. Para comprobarlo tan solo hay que abrir el certificado, y en la pestaña de Detalles, buscar el campo Asunto. Deberemos ver un valor para CN similar al de la imagen que se encuentra a continuación.

Sencillo, ¿verdad?

sábado, 8 de mayo de 2010

Publicar los servicios web de cliente de Exchange 2007 con ISA Server 2006 SP1 (Outlook Anywhere)

En esta nueva entrega vamos a ver como configurar el servicio de Outlook Anywhere, o más conocido como RPC sobre HTTPS.

Publicar los servicios web de cliente de Exchange 2007 con ISA Server 2006 SP1 (OWA)

Partiendo de estos supuestos los pasos serían los siguientes:

Desde la consola de administración de ISA Server, primero hay que hacer en el nodo "Politicas del cortafuegos" y posteriormente, en el panel del lado derecho, en el "Panel de tareas",  hay que hacer clic en la opción "publicar cliente web de Exchange".

En la página de bienvenida del asistente para "publicar un nuevo Exchange", hay que introducir un nombre para la regla, en mi caso "OWA 2007 Básico" y despues hacer clic en "Siguiente".

En la página de "Selección de servicios", tenemos que seleccionar "Exchange 2007" en el menú desplegable de versiones de Exchange. En la sección de "Servicios de cliente de correo web", hay que seleccionar la casilla de verificación "Outlook Web Access" y hacemos clic en "Siguiente".

En la página de "Tipo de publicación", para nuestro caso, seleccionamos la opción "Publicar un solo sitio web o con balanceo de carga" y hacemos clic en "Siguiente".

En la página "Seguridad de conexión del servidor" debemos seleccionar la opción "Usar SSL para conectar con el servidor web o la granja de servidores"

En la página de "Detalles de publicación interna" tenemos que especificar el nombre interno del servidor que se va a publicar. Debemos tener en cuenta que el nombre debe ser el mismo que el del certificado que se va a usar. En mi caso, como he usado un wildcard y para poder diferenciar de forma más clara todas las maquinas, he usado el nombre FQDN de la máquina del laboratorio, mb1.olimpo.des. El segundo paso en esta página es seleccionar el objeto de directorio activo del servidor CAS o poner directamente su IP en el cuador que figura más abajo. Como ya he comentado más arriba en mi caso el nombre es igual en ambos campos. Despues de completar estos pasos, podemos hacer clic en "Siguiente" y pasaremos a la siguiente página.

En la página "Detalles de nombre público", en el menú desplegable "Aceptar peticiones para:" seleccionamos la opción "Este nombre de dominio (escribe debajo):" y en "Nombre público" escribimos el nombre que tendrá en la calle, en mi caso, correo.olimpo.des y hacemos clic en "Siguiente".

En la página "Selección de la escucha de web" seleccionamos el escuchador de web que creamos al principio de este artículo y hacemos clic en el botón "Siguiente".

En la página "Delegación de la autentificación" debemos seleccionar la opción "Autentificación básica" del menú desplegable y volvemos a hacer clic en el botón "Siguiente".

En la página de "configuración de usuarios" tenemos que seleccionar que usuarios se van a poder conectar al sitio OWA que se va a publicar. En nuestro caso, vamos a dar por supuesto el caso general, que todos los usuarios del dominio con un buzón deben poder acceder usando este servicio, por lo que dejaremos la selección por defecto de "Usuarios autentificados" y hacemos clic en el botón "Siguiente".

Por último revisamos la configuración y hacemos clic en "Finalizar".

Y aquí finaliza esta primera entrega de este tutorial. En la próxima entrega veremos como configura Outlook Anywhere.