On the way to Virtualization

Ya hemos instalado Exchange Server 2016 sobre una arquitectura on-premise… ahora nos queda darle vida, para ello y utilizando una consola de Power-Shell de Exchange con privilegios de administrador, iremos enseñando a nuestro Exchange como moverse.

Estos son los pasos que yo he ejecutado en un DAG a cuyo servidor los he llamado HOST y HOST2 y al fqdn del dominio público, lo he llamado DOMINIO. Serán esos ítems y algún otro que iré explicando al crear el DAG los que tendréis que modificar para configurar vuestro Multirol Exchange Server 2016 en modo DAG:

Cambio de Service Connection Point (SCP) para clientes internos

Set-ClientAccessServer HOST -AutoDiscoverServiceInternalUri https://DOMINIO/Autodiscover/Autodiscover.xml

Cambio OWA y ECP a AuthIntegrada en lugar de Formularios

Set–OwaVirtualDirectory «HOST\owa (Default Web Site)» -BasicAuthentication $false -FormsAuthentication $false -WindowsAuthentication $true

Ésta acción requiere un iisreset /noforce

Set–EcpVirtualDirectory «HOST\ecp (Default Web Site)» -BasicAuthentication $false -FormsAuthentication $false -WindowsAuthentication $true

De nuevo ésta acción requiere un iisreset /noforce

Importaremos el Certificado Público y pasamos a habilitar su uso para IIS en HOST y en cualquier otro Exchange

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Certificados\MiCert.pfx -Encoding byte -ReadCount 0)) -Password:(Get-Credential).password

Enable-ExchangeCertificate -Thumbprint Un chorro de números de nuestro certificado -Services IIS

Configuración de InternalURL y ExternalURL para OWA, ECP, OAB, MAPI, ActiveSync, EWS

Set-OwaVirtualDirectory «HOST\owa (Default Web Site)» -InternalUrl https://DOMINIO/owa -ExternalUrl https://DOMINIO/owa
Set-EcpVirtualDirectory «HOST\ecp (Default Web Site)» -InternalUrl https://DOMINIO/ecp -ExternalUrl https://DOMINIO/ecp
Set-OabVirtualDirectory «HOST\oab (Default Web Site)» -InternalUrl https://DOMINIO/oab -ExternalUrl https://DOMINIO/oab
Set-MapiVirtualDirectory «HOST\mapi (Default Web Site)» -InternalUrl https://DOMINIO/mapi -ExternalUrl https://DOMINIO/mapi
Set-ActiveSyncVirtualDirectory «HOST\Microsoft-Server-ActiveSync (Default Web Site)» -InternalUrl https://DOMINIO/Microsoft-Server-ActiveSync -ExternalUrl https://correo.telyco.es/Microsoft-Server-ActiveSync
Set-WebServicesVirtualDirectory «HOST\ews (Default Web Site)» -InternalUrl https://DOMINIO/ews/exchange.asmx -ExternalUrl https://DOMINIO/ews/exchange.asmx

Configuración Outlook Anywhere

Set-OutlookAnywhere «HOST\Rpc (Default Web Site)» -ExternalHostname DOMINIO -InternalHostname DOMINIO -ExternalClientAuthenticationMethod Ntlm -InternalClientAuthenticationMethod Negotiate -SSLOffloading $False -ExternalClientsRequireSsl $True -InternalClientsRequireSsl $True

Configuración Clave

Set-ExchangeServer HOST -ProductKey «XXXXX-XXXXX-XXXXX-XXXXX-XXXXX»

Restart-Service MSExchangeIS

Creación del DAG, Adición de Nodos y configuración DAG

Para completar este paso necesitamos realizar antes algunos pasos previos en nuestra organización o dominio:

• Acceso a un servidor, (File Cluster) al que he llamado HostName, para crear un Recurso Compartido, al que he llamado, «DAGHOST16_FSW»
• Añadimos una entrada fqdn en el DNS de AD y le asignamos una IP del mimo ámbito o vlan en la que tengamos nuestro Exchange. A la que yo he llamado, DAGHOST16.

New-DatabaseAvailabilityGroup -Name DAGHOST16 -WitnessServer (HostName de mi File Share) -WitnessDirectory «H:\RECURSO COMPARTIDO\DAGHOST16_FSW» -DatabaseAvailabilityGroupIpAddresses (10.X.X.X)

Set-DatabaseAvailabilityGroup DAGHOST16 -NetworkCompression Enabled -NetworkEncryption Enabled -DatacenterActivationMode DagOnly

Add-DatabaseAvailabilityGroupServer DAGHOST16 -MailboxServer HOST

Creación, Configuración y Adición de copia de BBDD a la que he llamado ABOGADOS

New-MailboxDatabase -Name ABOGADOS -EdbFilePath E:\Mailbox\Abogados\Abogados.edb -LogFolderPath E:\Mailbox\Abogados\ -Server HOST

Restart-Service MSExchangeIS

Montamos la BD

Mount-Database ABOGADOS

Creamos una quota máxima de 2253 MB sobre los buzones que contendrá la BD Abogados

Set-MailboxDatabase ABOGADOS -ProhibitSendReceiveQuota 2253MB -IssueWarningQuota 1843MB -ProhibitSendQuota 2048MB

Solo si hemos montado un DAG, ejecutaremos el siguiente comando:

Add-MailboxDatabaseCopy ABOGADOS -MailboxServer HOST2

Mover buzones de arbitrajes y admin

New-MoveRequest «SystemMailbox{Otro chorro de números}» -TargetDatabase ABOGADOS
New-MoveRequest «Migration.Mas Numeros» -TargetDatabase ABOGADOS
New-MoveRequest «SystemMailbox{Mas Numeros}» -TargetDatabase ABOGADOS
New-MoveRequest Administrador -TargetDatabase ABOGADOS

Limpieza del BBDD creadas por la instalación de 2016

Remove-MailboxDatabase «Mailbox Database XXXXXXXXXX»

SÓLO SI INTEGRAMOS UC DE LYNC O SfB DE MICROSOFT COMO SOLUCIÓN DE UC

Configuración Lync

New-SettingOverride -Name OWAIMSettings -Server HOST,HOST2 -Component OWAServer -Section IMSettings -Parameters @(«IMServerName=FQDNdeLYNC»,»IMCertificateThumbprint=El de Lync») -Reason «OWA IM Integration»

Set-OwaVirtualDirectory «HOST\owa (Default Web Site)» -InstantMessagingCertificateThumbprint Los numeritos que no te digo -InstantMessagingType Ocs -InstantMessagingServerName FQDN.de.Lync

Get-ExchangeDiagnosticInfo -Server HOST -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Restart-WebAppPool MSExchangeOWAAppPool

Configuración OOS-Exchange

Set-MailboxServer HOST -WacDiscoveryEndpoint https://oos.DOMINIO/hosting/discovery

Creación de subscripción en el servidor de Exchange con el rol de EDGE

New-EdgeSubscription -FileName «C:\Edge16.xml»

Adición de subscripción en HOST de Exchange

New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path «C:\Edge16.xml» -Encoding Byte -ReadCount 0)) -Site «MI SITE DE AD»

Certificado Wildcard

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\star_DOMINIO.pfx -Encoding Byte -ReadCount 0)) -Password:(Get-Credential).password

Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX -Services IIS

Get-ExchangeCertificate

SÓLO SI INTEGRAMOS OWAC (Office Web App)

Configuración OOS

New-OfficeWebAppsFarm -InternalUrl «https://oos.DOMINIO» -ExternalUrl «https://oos.DOMINIO» -CertificateName «DOMINIO» -EditingEnabled:$True

Set-OfficeWebAppsFarm -OpenFromUrlEnabled

Hablar de consejos sobre proteger nuestra privacidad, no dejarnos engañar por estafas en línea y por e-mail o proteger nuestra reputación, son asuntos necesarios cuando nos sentamos frente a un dispositivo electrónico conectado a internet. Hace algún tiempo me hice eco en http://blogs.itpro.es/abueno/?s=jw de un didáctico video que la web jw.org publicó.

En ésta ocasión, el 30 de noviembre es la fecha elegida cada año para celebrar el Día Internacional de la Seguridad Informática (DISI), con la idea de que tanto los usuarios como las organizaciones estén conscientes de las amenazas de seguridad, aquí van algunas acciones como primera línea de defensa.

En consejos sobre seguridad y protección el primer punto que sufrimos muchos administradores y que yo alistaría figura el de, educar a los usuarios, y para ello el Centro de Seguridad y protección de Microsot: http://www.microsoft.com/security/online-privacy/phishing-scams.aspx nos ayuda a proteger nuestra privacidad del robo de identidad. Reconociendo que los usuarios son el primer factor de infecciones en una empresa, es esencial asegurar que los usuarios tengan el nivel adecuado de conocimientos para que NUNCA hagan clic en un archivo adjunto de correo electrónico o un enlace sospechoso, incluso si se trata de una fuente conocida.

Algunas versiones de virus, como “Ransomware” (del inglés ransom rescate y ware, software), son seguramente los invitados más invasivos y no deseados que siendo uno de los virus más detectados, paradójicamente es el virus con peor solución para los archivos infectados. Para los que no estén familiarizados con éste virus, Ransomware tiene a gala haberse hecho en su definición su hueco en la Wikipedia, como un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Este tipo de infección se propaga por correo electrónico, utilizando la máquina infectada como un relé, con el usuario infectado como emisor.

Si a esto le sumamos un adjunto, con un icono que nos resulta familiar (documento de Office, PDF, carpeta …) y decidimos hacer doble clic sobre él… la infección está garantizada. Algunos Ransomware utilizan esos iconos para engañar la vigilancia del usuario. Además, si un archivo adjunto de correo electrónico solicita la ejecución de una aplicación, los usuarios NUNCA deben aceptar la ejecución. Si un usuario tiene alguna duda, tiene que tomar el hábito de ponerse en contacto con el servicio de IT competente que seguramente le permitirá comprobar en un entorno aislado la validez de los datos adjuntos de su correo electrónico o si no es el caso siempre podemos comprobar la fuente desde enlaces como:

http://www.barracudacentral.org/lookups/lookup-reputation2

Si hemos sido infectados por un Ramsomware, será muy necesario que contemos con una solución de Backup-Restore. Debido a que la cave de descifrado de Ramsomware no es localizable, la mejor manera de obtener los archivos de nuevo será restaurar desde una copia de seguridad del sistema, como un Shadow Volume Copy o un System Restore. Lo mejor es poner en marcha un sistema de copia de seguridad fuera de línea, desconectado de la red para evitar que la copia de seguridad esté infectada por el Ransomware.

En este artículo se describe muy bien los principios:

http://www.backupassist.com/blog/support/cryptolocker-and-the-backup-impact/3

Actualizaciones. Es muy importante mantener el sistema operativo actualizado con las últimas actualizaciones de seguridad y para comprobar si todas sus máquinas han sido actualizadas para evitar un ataque con un problema de seguridad conocido, tanto de Microsoft como no Microsoft. Estadísticamente JAVA y Adobe representan el 90% de los vectores de intrusión.

Evite trabajar con un usuario con derechos locales de administración. Es muy recomendable no dejar que los usuarios pertenezcan al grupo administrador local de su máquina. De ésta forma se limitará su posibilidad de intrusión porque hay algunas acciones específicas que no se permitirán. Además, cualquier intrusión en su sesión tendrá el control de la máquina y pondría en peligro la integridad Directorio Activo si hablamos de un dominio.

Y algo difícil para muchos administradores.

Evitemos el uso de cuentas con derecho de Administración del Dominio.

El uso de las cuentas que son capaces de administrar el dominio deben reducirse al mínimo tiempo posible. Si una cuenta de dominio, con derechos de administración del dominio se ve comprometida, es fácil imaginar las consecuencias. No dudes en vestir a una lista de las cuentas que tienen el derecho de administrar el dominio y cambiar todas las contraseñas una vez que el ataque ha terminado.

Hay que prestar atención a los mecanismos de propagación.                                                                  

Un recurso compartido, el correo electrónico… ransomware puede utilizar diversas formas de difusión. Por eso, acciones como, limitar el uso de permisos de escritura y hacer cumplir la seguridad en el archivo adjunto de correo electrónico son de las recomendaciones catalogadas como, mejores prácticas para limitar las posibilidades de propagación.

Administrar macros en Office. Muchas infecciones son procedentes de documentos de Office recibidos por e-mail que contiene macros maliciosos. El manejo de gestión de las macros es una buena idea para evitar que los usuarios ejecutar macros sin pensarlo dos veces. En primer lugar, desactivar la ejecución automática de macros. Aquí os adjunto como hacerlo: https://support.office.com/en-ZA/Article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12#bm2Es

Éste es sin duda un primer paso para evitar ser infectado de forma automática una vez que se haya abierto el documento de Office que contiene la macro maliciosa. Sin embargo, no impide que el usuario de clic en «Activar» para ejecutar la macro una vez que se abre el documento. Por lo tanto, bien como administradores de un sistema o a título individual, debemos poner en su lugar una ubicación de confianza para las macros, es decir, un usuario sólo podrá ejecutar macros desde una ruta previamente configurada, de nuevo os adjunto un muy buen enlace para saber cómo hacerlo:

https://support.office.com/en-us/article/Add-remove-or-change-a-trusted-location-7ee1cdc2-483e-4cbb-bcb3-4e7c67147fb4?CorrelationId=cd218d92-02cf-427b-806c-59f6a7c22809&ui=en-US&rs=en-US&ad=US

El artículo podría parecer inútil, pero un usuario suele caer en la tentación de hacer clic en cada advertencia hasta que se ejecuta la macro. Esto evitará que un usuario ejecute una macro sin antes haber movido el archivo a una ubicación específica de confianza. Esto ayudará a reforzar la educación del usuario y por lo tanto el usuario puede pensar dos veces antes de ejecutar una macro contenida en un documento de Office que no se confía.

Activar la «Administración del filtrado de archivos», si ofrecemos recursos compartidos desde un entorno servidor de file share, este nos permite proteger los archivos y carpetas compartidas mediante la prevención, en función de las normas específicas definidas por usted mismo, la creación de archivos con la extensión mencionada y permite recibir una alerta si alguien trata de crear un archivo con un no permitidos extensión. Por ejemplo, es posible bloquear la creación de archivos con la extensión * .encrypted, *.hbbjfvd o cualquier otra extensión que utilice el virus para cifrar los datos. También podría impedir la creación de nada, excepto las extensiones que figuran en su lista blanca.

Los siguientes enlaces le ayudarán a configurar esta función:

• http://blogs.technet.com/b/josebda/archive/2008/08/20/the-basics-of-windows-server-2008-fsrm-file-server-resource-manager.aspx
• http://www.catalyticit.com.au/cryptolocker-file-screens/
• https://technet.microsoft.com/en-us/library/cc732074.aspx

Activar AppLocker (o SRP si aún calzas un Windows XP).

Es seguramente la protección más eficaz contra ransomware con el filtrado de URL y filtrado de archivo comprimido que contiene los ejecutables a nivel de proxy y el nivel de mensajería. Esta herramienta permite bloquear o autorizar la ejecución de programas específicos en función de varios criterios como colecciones (un conjunto de extensiones), versiones de archivos, firmas, rutas … y esto por los usuarios / grupos específicos de forma explícita.

Esos artículos deberían ayudarnos a configurarlo:

https://technet.microsoft.com/en-us/library/ee791885(v=ws.10).aspx

Casi perfecta, GPO App Locker:

http://community.spiceworks.com/how_to/59664-free-almost-perfect-malware-protection-with-gpo-app-locker

Detener cryptolocker y ransomware:

https://4sysops.com/archives/stopping-cryptolocker-and-other-ransomware/

Además, aquí están el cryptolocker y los malwares más utilizados con sus rutas y extensiones:

• %OSDRIVE%\Users\*\AppData\Local\Temp\*.tmp
• %OSDRIVE%\Users\*\AppData\*\*.tmp
• %temp%\*.tmp
• %OSDRIVE%\Users\*\AppData\Local\Temp\*.exe
• %OSDRIVE%\Users\*\AppData\*\*.exe
• %temp%\*.exe

El mayor inconveniente de esta herramienta es que podría bloquear aplicaciones legítimas para ejecutar.

Seguridad vs. Funcionalidad.

Sin embargo, es posible configurar reglas de excepción para evitar problemas de compatibilidad, en el siguiente enlace explica como hacerlo:

https://technet.microsoft.com/en-us/library/dd759051.aspx10

Office 365 Implementar Filtrado Fuerte.

Existe malware que utiliza la ejecución automática para instalarse y propagarse. Parece obvia la recomendación, configurar una regla de transporte en nuestro servicio de correo, tal vez Exchange Server para bloquear o marcar mensajes de correo electrónico con contenido ejecutable. El motor se basa en la lista de extensiones y de análisis de contenido para determinar si un archivo es un ejecutable o no.

Para mí lo más fácil es consultar enlaces que detallen el procedimiento y puedan ofrecerme información adicional, personalmente éste lo utilizo bastante:

http://blogs.msdn.com/b/tzink/archive/2014/04/08/blocking-executable-content-in-office-365-for-more-aggressive-anti-malware-protection.aspx

El artículo se basa en EOP (Exchange Online Protection), estos artículos traen información muy precisa sobre EOP:

• Información general del Intercambio Online Protection:
https://technet.microsoft.com/en-us/library/jj723119(v=exchg.150).aspx

• Las mejores prácticas para la configuración de EOP:
https://technet.microsoft.com/en-us/library/jj723164(v=exchg.150).aspx

• Configurar las políticas de Filtro:
https://technet.microsoft.com/en-us/library/jj200684(v=exchg.150).aspx

• Uso de reglas de transporte para inspeccionar archivos adjuntos de mensajes: http://blogs.technet.com/b/exchange/archive/2009/05/11/3407435.aspx

• Explicaciones genéricas disponibles aquí:
https://technet.microsoft.com/en-us/library/jj919236(v=exchg.150).aspx

Aplicar reglas de filtrado a nivel del rol de Edge o servidor de transporte de mensajería. Esto nos permitirá filtrar los archivos adjuntos de correo con anexos zip que contengan ejecutables.

Activar el filtrado de URL o activar el filtrado de URL en sus servidores proxy. Por ejemplo, en TMG:

https://technet.microsoft.com/en-us/magazine/ff472472.aspx)

Coexistencia

Si vamos a migrar un entorno on-premise a Exchange 2016 es importante conocer los casos en los que se admite la coexistencia de Exchange 2016 y versiones anteriores de Exchange.

• Exchange 2013 La actualización acumulativa 10 o superior en todos los servidores Exchange 2013 de la organización, incluyendo los servidores de transporte perimetral.
• Exchange 2010 Funciona con el paquete acumulativo de actualizaciones 11 para Exchange 2010 SP3 o superior en todos los servidores de Exchange 2010 de la organización, incluyendo los servidores de transporte perimetral.
• Exchange 2007 Directamente os digo, no funciona.

Curiosidades sobre el hardware para Exchange Server 2016

No vamos a detenernos en los pormenores de otros requisitos, pero sí me parece muy importante explicar la recomendación de máximos para Exchange 2016.

En muchos casos, con servidores de última generación, tendremos que reducir los cores desde el BIOS a 12 por CPU y tal vez quitarle unos cuantos DIMMs de memoria a los servidores, ya que no soporta más de 96 GB de memoria.

• Recommended Maximum CPU Core Count    24

• Recommended Maximum Memory                   96 GB

http://blogs.technet.com/b/exchange/archive/2015/06/19/ask-the-perf-guy-how-big-is-too-big.aspx

Sistema Operativo

No se admite la instalación de Exchange 2016 en un equipo que se ejecute en modo Windows Server Core. El equipo debe ejecutar la instalación completa de Windows Server. Si queremos instalar Exchange 2016 en un equipo que se ejecuta en modo Windows Server Core, debemos convertir el servidor a una instalación completa de Windows Server mediante la ejecución del comando Install-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell -Restart:

Mi recomendación se llama Windows 2012 R2 Standard

FEATURES

Install-WindowsFeature RSAT-ADDS, AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation

OTRAS CONSIDERACIONES

Se nos recomienda encarecidamente usar la versión más reciente de .NET Framework que es compatible con la versión de Exchange que está instalando. .NET Framewaor 4.5.2

Nivel Funcional del bosque de Active Directory debe ser Windows Server 2008 o superios

INSTALANDO

Y como una imagen vale más que mil palabras, aquí van unas pocas hasta completar nuestra instalación / migració

Preparación de Active Directory desde el path donde tengamos el setup de Exchange

De la misma forma preparamos el Dominio:

Sin olvidarnos de preparamos el Esquema:

Pasaremos por las siguientes ventanas al lanzar el setup: