domingo, octubre 31, 2004
OWA a traves de ISA server. Paso a paso.
Aqui os proponemos un nuevo artículo en el que se explica como configurar correctamente un servidor de correo para acceso a través de OWA usando un ISA server 2004 para su protección.
Nota: Se asume que en la configuración existe una topología de un Servidor de Exchange 2003 de Casillas como Back-End y un Servidor de Exchange 2003 como Front-End de OWA en la LAN.Por otro lado en una DMZ existe instalado un ISA Server 2004.
Como primer paso una vez instalado el ISA Server es hacer una copia de seguridad de la configuración antes de hacer algún cambio. Si los cambios realizados resultan en una conducta que no es esperada, se podrán revertir los cambios a la configuración resguardada. Seguir este procedimiento para hacer copia de seguridad de la configuración completa del servidor ISA Server.
Expandir Microsoft ISA Server Management.
Hacer clic derecho en el equipo ISA Server y hacer clic en Back up.
En Backup Array, proveer la ubicación y el nombre del archivo al cual se guardará la configuración. Escribir BackupConfiguracionDefaultfecha.
Hacer clic en Backup. Se pedirá tipear una clave para proteger el mismo. Esta deberá ser provista por Seguridad Informática. La misma será requerida en caso de llevar a cabo el restore del backup.
Cuando finalizó la exportación hacer clic en OK.
Importación de Certificado en ISA Server 2004
Se puede utilizar un Certificado emitido internamente por un Certificate Server de MS o bien utilizar algún certificado comercial del tipo Verisign.
El mismo Certificado servirá tanto para importar en el ISA Server como en el Servidor de frontera de Exchange 2003.
En este caso se ejecutan los pasos asumiendo que el certificado esta a nombre de server.empresa.com.ar
Para mas detalles ver:
HOW TO: Install Imported Certificates on a Web Server in Windows Server 2003 http://support.microsoft.com/default.aspx?kbid=816794
Configuración de SSL y autenticación Basic en el Front End Server
Dada la utilización de Secure Sockets Layer (SSL) para asegurar la comunicación entre los clientes externos y el Front End Server configurar la encriptación SSL y el método de autenticación como Basic Authentication, seguir estos pasos:
1. Iniciar una sesión en el servidor Front End de Exchange Server 2003 con una cuenta con permisos de administrador del servidor.
2. Hacer clic en Start – Administrative Tools – Internet Information Services (IIS) Manager
3. Expandir- Nombre Server -> Web Sites
4. Hacer clic con el botón derecho sobre el directorio virtual Exchange y seleccionar Properties.
5. Sobre las propiedades del directorio virtual Exchange, hacer clic en la solapa Directory Security
6. Dentro de Authentication and Access Control hacer clic en Edit.
7. En la pantalla Authentication Methods vaciar las casillas de verificación Enable anonymous access e Integrated Windows authentication.
8. Verificar que solo se encuentren tildadas las casillas de verificación Basic Authentication
9. Sobre el cuadro Default Domain agregar el dominio correspondiente a la empresa
10. En caso de mostrarse un aviso de seguridad dada la utilización del modo de autenticación Basic, hacer clic en Yes para aceptar el aviso.
11. Hacer clic en OK para continuar.
12. En la pantalla del directorio virtual Exchange hacer clic en Apply
13. En la pantalla de Inheritance Override para la propiedad UNCPPassword, hacer clic en Select All y hacer clic en OK.
14. En la pantalla de Inheritance Override para la propiedad AuthFlags, hacer clic en Select All y hacer clic en OK.
15. Sobre el recuadro de Secure Communications, hacer clic en Edit, completar la casilla de verificación Require secure channel (SSL). Hacer clic en OK
16. En la pantalla del directorio virtual de Exchange hacer clic en OK para terminar.
17. Repetir los pasos 4 a 15 para el directorio virtual Public
18. Repetir los pasos 4 a 15 para el directorio virtual ExchWeb pero sleccionar la casilla de verificación Enable anonymous access y vaciar el resto de los métodos de autenticación.
NOTA: Una vez configurado el certificado y configurada la utilización de SSL en el Web Site del Front End de Exchange Server 2003 testear el acceso al mismo a través de SSL.
Edición del archivo HOSTS del ISA Server 2004
Para editar el archivo HOSTS de ISA Server 2004 seguir estos pasos:
1. Iniciar sesión en el equipo con un usuario con permisos de Administrador Local.
2. Ir a Start – Run, tipear la palabra drivers y hacer clic en ENTER
3. Sobre la ventana de drivers hacer doble clic en la carpeta etc
4. Editar el archivo HOSTS utilizando la aplicación notepad
5. Agregar al final del archivo la siguiente línea
Dir IP del servidor de Front End server.empresa.com.ar
5.1. NOTA: Dejar un tabulado como separación entre la dirección IP y el nombre FQDN
6. Guardar los cambios y cerrar el notepad.
Creación de la regla Mail Publishing Rule
Para hacer esto, seguir estos pasos:
1. Iniciar ISA Server Management.
2. Expandir el nodo basado en ISA Server, y hacer clic en Firewall Policy.
3. Hacer clic en la solapa Tasks, y luego hacer clic en Publish a Mail Server.
4. Tipear el nombre OWA 2003, y hacer clic en Next.
5. Hacer clic en Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync, y hacer clic en Next.
6. Seleccionar el checkbox Outlook Web Access si ya no lo está. Dejar la opción Enable high bit characters used by non-English character sets seleccionada, y luego hacer clic en Next.
7. En la ventana Bridging Mode, hacer clic en la opción Secure connection to clients and Mail Server y hacer clic en Next.
8. Tipear el nombre públicamente accesible que los clientes Outlook Web Access usan para conectarse al servidor Exchange, en este caso server.empresa.com.ar en el cuadro Web mail server, y hacer clic en Next.
9. En la lista Accept requests for, seleccionar This domain name (type below):, y tipear el nombre públicamente accesible que los clientes Outlook Web Access usan para conectarse al servidor Exchange en el campo Public name. Tipear server.empresa.com.ar
10. En la lista Web listener, seleccionar el Web listener que se desea usar para escuchar los requerimientos Web para el servidor Exchange.
11. Crear un web listener. Para hacer esto, seguir estos pasos:
a. Seleccionar New, tipear OWA SSL Listener para el nombre para el nuevo Web listener, y luego hacer clic en Next.
b. Hacer clic para seleccionar el checkbox que corresponde a la red External. Hacer clic en el botón Address.
c. En la ventana External Network Listener IP Selection, seleccionar la opción Specified IP addresses on the ISA Server computer in the select network. En la lista Available IP Addresses, hacer clic en la dirección IP Externa del ISA Server 2004. Hacer clic en Add. La dirección IP aparecerá en el recuadro Selected IP Addresses, hacer clic en OK.
d. En la ventana IP Addresses, hacer clic en Next.
e. Seleccionar para limpiar el checkbox Enable HTTP, hacer clic en Enable SSL, dejar 443 en SSL port, y luego hacer clic en Select.
f. Hacer clic en el certificado server.empresa.com.ar y luego hacer clic en OK.
g. Hacer clic en Next,
h. Hacer clic en Finish.
2. Seleccionar Next.
3. En la ventana User Sets, dejar la opción All Users fijada en el cuadro This rule applies to requests from the following user sets, y hacer clic en Next.
4. En la ventana Completing the New Mail Server Publishing Rule Wizard, hacer clic en Finish.
5. Hacer clic en Apply para guardar los cambios y actualizar la política del firewall, y hacer clic en OK.
Configurar OWA forms-based authentication
El equipo listener escucha los pedidos de requerimientos de servidor para Outlook Web Access proven estas características importantes para brindar más seguridad desde el servidor de Outlook Web Access:
Estas características pueden configurarse en el New Web Listener Wizard. Luego de haberlas creado, seguir estos pasos para configurar el listener para usar autenticación basada en forms y limitar la disponibilidad de adjuntos.
1. En ISA Server Management, seleccionar el nodo Firewall Policy. En la parte de tareas, selecionar la solapa Toolbox y el encabezado Network Objects.
2. En el encabezado Network Objects, expandir Web Listeners. Hacer doble-clic en el Web listener que se ha creado para Outlook Web Access publishing para abrir sus propiedades.
3. En la solapa Preferences, bajo Configure allowed authentication methods, hacer clic en Authentication.
4. En la lista de métodos de autenticación, limpiar cualquier método de autenticación seleccionado y luego seleccionar OWA Forms-Based. Esto establece autenticación basada en forms para el listener de Outlook Web Access Web, y para la regla de publicación de servidor de correo que utilice ese listener. Usar los pasos que siguen para configurar el time-out de session y las opciones de control de adjuntos.
5. Bajo Configure OWA forms-based authentication, hacer clic en Configure para abrir el cuadro de diálogo de Outlook Web Access Forms-Based Authentication.
6. Bajo Idle Session Timeout, configurar el tiempo máximo que los clientes pueden estar sin ser desconectados. Configurar Clients on public machines y Clients on private machines, en 5 minutos.
7. Seleccionar Log off OWA when the user leaves the OWA site para que los usuarios cierren sesión automáticamente cuando cierran la ventana de Internet Explorer, refrescan la ventana, o navegan a otro sitio web.
8. Hacer clic en OK para cerrar las propiedades de Web Listener. En la parte de detalles de Firewall Policy hacer clic en Apply para aplicar los cambios realizados.
Copia de Seguridad de la configuración Actual de ISA Server 2004
Se recomienda hacer una copia de seguridad de la configuración antes de hacer algún cambio. Si los cambios realizados resultan en una conducta que no es esperada, se podrán revertir los cambios a la configuración resguardada. Seguir este procedimiento para hacer copia de seguridad de la configuración completa del servidor ISA Server.
1. Expandir Microsoft ISA Server Management.
2. Hacer clic derecho en el equipo ISA Server y hacer clic en Back up.
3. En Backup Array, proveer la ubicación y el nombre del archivo al cual se guardará la configuración. Escribir BackupConfiguracionOWAfecha.
4. Hacer clic en Backup. Se pedirá tipear una clave para proteger el mismo. Esta deberá ser provista por Seguridad Informática.
5. Cuando finalizó la exportación hacer clic en OK.
Bueno espero que el paso a paso sea de utilidad para todos.
------------------
Carlos Dinapoli
|
Nota: Se asume que en la configuración existe una topología de un Servidor de Exchange 2003 de Casillas como Back-End y un Servidor de Exchange 2003 como Front-End de OWA en la LAN.Por otro lado en una DMZ existe instalado un ISA Server 2004.
Como primer paso una vez instalado el ISA Server es hacer una copia de seguridad de la configuración antes de hacer algún cambio. Si los cambios realizados resultan en una conducta que no es esperada, se podrán revertir los cambios a la configuración resguardada. Seguir este procedimiento para hacer copia de seguridad de la configuración completa del servidor ISA Server.
Expandir Microsoft ISA Server Management.
Hacer clic derecho en el equipo ISA Server y hacer clic en Back up.
En Backup Array, proveer la ubicación y el nombre del archivo al cual se guardará la configuración. Escribir BackupConfiguracionDefaultfecha.
Hacer clic en Backup. Se pedirá tipear una clave para proteger el mismo. Esta deberá ser provista por Seguridad Informática. La misma será requerida en caso de llevar a cabo el restore del backup.
Cuando finalizó la exportación hacer clic en OK.
Importación de Certificado en ISA Server 2004
Se puede utilizar un Certificado emitido internamente por un Certificate Server de MS o bien utilizar algún certificado comercial del tipo Verisign.
El mismo Certificado servirá tanto para importar en el ISA Server como en el Servidor de frontera de Exchange 2003.
En este caso se ejecutan los pasos asumiendo que el certificado esta a nombre de server.empresa.com.ar
Para mas detalles ver:
HOW TO: Install Imported Certificates on a Web Server in Windows Server 2003 http://support.microsoft.com/default.aspx?kbid=816794
Configuración de SSL y autenticación Basic en el Front End Server
Dada la utilización de Secure Sockets Layer (SSL) para asegurar la comunicación entre los clientes externos y el Front End Server configurar la encriptación SSL y el método de autenticación como Basic Authentication, seguir estos pasos:
1. Iniciar una sesión en el servidor Front End de Exchange Server 2003 con una cuenta con permisos de administrador del servidor.
2. Hacer clic en Start – Administrative Tools – Internet Information Services (IIS) Manager
3. Expandir
4. Hacer clic con el botón derecho sobre el directorio virtual Exchange y seleccionar Properties.
5. Sobre las propiedades del directorio virtual Exchange, hacer clic en la solapa Directory Security
6. Dentro de Authentication and Access Control hacer clic en Edit.
7. En la pantalla Authentication Methods vaciar las casillas de verificación Enable anonymous access e Integrated Windows authentication.
8. Verificar que solo se encuentren tildadas las casillas de verificación Basic Authentication
9. Sobre el cuadro Default Domain agregar el dominio correspondiente a la empresa
10. En caso de mostrarse un aviso de seguridad dada la utilización del modo de autenticación Basic, hacer clic en Yes para aceptar el aviso.
11. Hacer clic en OK para continuar.
12. En la pantalla del directorio virtual Exchange hacer clic en Apply
13. En la pantalla de Inheritance Override para la propiedad UNCPPassword, hacer clic en Select All y hacer clic en OK.
14. En la pantalla de Inheritance Override para la propiedad AuthFlags, hacer clic en Select All y hacer clic en OK.
15. Sobre el recuadro de Secure Communications, hacer clic en Edit, completar la casilla de verificación Require secure channel (SSL). Hacer clic en OK
16. En la pantalla del directorio virtual de Exchange hacer clic en OK para terminar.
17. Repetir los pasos 4 a 15 para el directorio virtual Public
18. Repetir los pasos 4 a 15 para el directorio virtual ExchWeb pero sleccionar la casilla de verificación Enable anonymous access y vaciar el resto de los métodos de autenticación.
NOTA: Una vez configurado el certificado y configurada la utilización de SSL en el Web Site del Front End de Exchange Server 2003 testear el acceso al mismo a través de SSL.
Edición del archivo HOSTS del ISA Server 2004
Para editar el archivo HOSTS de ISA Server 2004 seguir estos pasos:
1. Iniciar sesión en el equipo con un usuario con permisos de Administrador Local.
2. Ir a Start – Run, tipear la palabra drivers y hacer clic en ENTER
3. Sobre la ventana de drivers hacer doble clic en la carpeta etc
4. Editar el archivo HOSTS utilizando la aplicación notepad
5. Agregar al final del archivo la siguiente línea
Dir IP del servidor de Front End server.empresa.com.ar
5.1. NOTA: Dejar un tabulado como separación entre la dirección IP y el nombre FQDN
6. Guardar los cambios y cerrar el notepad.
Creación de la regla Mail Publishing Rule
Para hacer esto, seguir estos pasos:
1. Iniciar ISA Server Management.
2. Expandir el nodo basado en ISA Server, y hacer clic en Firewall Policy.
3. Hacer clic en la solapa Tasks, y luego hacer clic en Publish a Mail Server.
4. Tipear el nombre OWA 2003, y hacer clic en Next.
5. Hacer clic en Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync, y hacer clic en Next.
6. Seleccionar el checkbox Outlook Web Access si ya no lo está. Dejar la opción Enable high bit characters used by non-English character sets seleccionada, y luego hacer clic en Next.
7. En la ventana Bridging Mode, hacer clic en la opción Secure connection to clients and Mail Server y hacer clic en Next.
8. Tipear el nombre públicamente accesible que los clientes Outlook Web Access usan para conectarse al servidor Exchange, en este caso server.empresa.com.ar en el cuadro Web mail server, y hacer clic en Next.
9. En la lista Accept requests for, seleccionar This domain name (type below):, y tipear el nombre públicamente accesible que los clientes Outlook Web Access usan para conectarse al servidor Exchange en el campo Public name. Tipear server.empresa.com.ar
10. En la lista Web listener, seleccionar el Web listener que se desea usar para escuchar los requerimientos Web para el servidor Exchange.
11. Crear un web listener. Para hacer esto, seguir estos pasos:
a. Seleccionar New, tipear OWA SSL Listener para el nombre para el nuevo Web listener, y luego hacer clic en Next.
b. Hacer clic para seleccionar el checkbox que corresponde a la red External. Hacer clic en el botón Address.
c. En la ventana External Network Listener IP Selection, seleccionar la opción Specified IP addresses on the ISA Server computer in the select network. En la lista Available IP Addresses, hacer clic en la dirección IP Externa del ISA Server 2004. Hacer clic en Add. La dirección IP aparecerá en el recuadro Selected IP Addresses, hacer clic en OK.
d. En la ventana IP Addresses, hacer clic en Next.
e. Seleccionar para limpiar el checkbox Enable HTTP, hacer clic en Enable SSL, dejar 443 en SSL port, y luego hacer clic en Select.
f. Hacer clic en el certificado server.empresa.com.ar y luego hacer clic en OK.
g. Hacer clic en Next,
h. Hacer clic en Finish.
2. Seleccionar Next.
3. En la ventana User Sets, dejar la opción All Users fijada en el cuadro This rule applies to requests from the following user sets, y hacer clic en Next.
4. En la ventana Completing the New Mail Server Publishing Rule Wizard, hacer clic en Finish.
5. Hacer clic en Apply para guardar los cambios y actualizar la política del firewall, y hacer clic en OK.
Configurar OWA forms-based authentication
El equipo listener escucha los pedidos de requerimientos de servidor para Outlook Web Access proven estas características importantes para brindar más seguridad desde el servidor de Outlook Web Access:
Estas características pueden configurarse en el New Web Listener Wizard. Luego de haberlas creado, seguir estos pasos para configurar el listener para usar autenticación basada en forms y limitar la disponibilidad de adjuntos.
1. En ISA Server Management, seleccionar el nodo Firewall Policy. En la parte de tareas, selecionar la solapa Toolbox y el encabezado Network Objects.
2. En el encabezado Network Objects, expandir Web Listeners. Hacer doble-clic en el Web listener que se ha creado para Outlook Web Access publishing para abrir sus propiedades.
3. En la solapa Preferences, bajo Configure allowed authentication methods, hacer clic en Authentication.
4. En la lista de métodos de autenticación, limpiar cualquier método de autenticación seleccionado y luego seleccionar OWA Forms-Based. Esto establece autenticación basada en forms para el listener de Outlook Web Access Web, y para la regla de publicación de servidor de correo que utilice ese listener. Usar los pasos que siguen para configurar el time-out de session y las opciones de control de adjuntos.
5. Bajo Configure OWA forms-based authentication, hacer clic en Configure para abrir el cuadro de diálogo de Outlook Web Access Forms-Based Authentication.
6. Bajo Idle Session Timeout, configurar el tiempo máximo que los clientes pueden estar sin ser desconectados. Configurar Clients on public machines y Clients on private machines, en 5 minutos.
7. Seleccionar Log off OWA when the user leaves the OWA site para que los usuarios cierren sesión automáticamente cuando cierran la ventana de Internet Explorer, refrescan la ventana, o navegan a otro sitio web.
8. Hacer clic en OK para cerrar las propiedades de Web Listener. En la parte de detalles de Firewall Policy hacer clic en Apply para aplicar los cambios realizados.
Copia de Seguridad de la configuración Actual de ISA Server 2004
Se recomienda hacer una copia de seguridad de la configuración antes de hacer algún cambio. Si los cambios realizados resultan en una conducta que no es esperada, se podrán revertir los cambios a la configuración resguardada. Seguir este procedimiento para hacer copia de seguridad de la configuración completa del servidor ISA Server.
1. Expandir Microsoft ISA Server Management.
2. Hacer clic derecho en el equipo ISA Server y hacer clic en Back up.
3. En Backup Array, proveer la ubicación y el nombre del archivo al cual se guardará la configuración. Escribir BackupConfiguracionOWAfecha.
4. Hacer clic en Backup. Se pedirá tipear una clave para proteger el mismo. Esta deberá ser provista por Seguridad Informática.
5. Cuando finalizó la exportación hacer clic en OK.
Bueno espero que el paso a paso sea de utilidad para todos.
------------------
Carlos Dinapoli
