Archivo

Archivo del autor

Migración de bosques AD: publicación de Outlook Anywhere usando Delegación Kerberos

viernes, 16 de septiembre de 2011 Sin comentarios

Si ayer publicábamos OWA y ActiveSync a través de TMG de la manera “estandard”, hoy toca complicarnos un poco la vida y subir un nivel.

La configuración de este entorno se ha realizado siguiendo el manual Publishing Outlook Anywhere Using NTLM Authentication With Forefront TMG or Forefront UAGdescargable desde aquí.

Al igual que en el anterior artículo, necesitamos de unas configuraciones previas para publicar Outlook Anywere (OA en adelante)

Nuestro entorno, recuerdo, tiene una NIC con dos IPs

  • – 192.168.130.236 para OWA y ActiveSync
  • – 192.168.139.237 para Outlook Anwhere.

1.Preparación de los componentes para publicar OA en TMG

Vamos a proceder a crear un nuevo listerner para OA distinto al ya creado para OWA y ActiveSync. Los pasos son análogos a los de OWA pero lo llamaremos “Outlook Anywhere Listener” y usaremos la IP acabada en .237

image

Por otro lado, la autenticación no será “Básica” sino “SSL”.

image

No crearemos ninguna Server Farm nueva ya que usaremos la creada para OWA y ActiveSync

2. Regla de publicación de Outlook Anywhere

Con los elementos necesarios creados, vamos a proceder a generar las reglas de publicación para Outlook Anywhere

Vamos a la parte izquierda de la consola, en Firewall Policy, botón derecho “New” –> “Exchange Web Client Access Publishing Rule…” y lanzamos el Asistente.

image

Damos un nombre a la regla

image

Seleccionamos del desplegable “Exchange 2010” y “Outlook Anywhere (RPC/HTTP(s))” y continuamos con el Asistente

image

Escogemos la opción de Servidores web balanceados

image

Y conexión SSL entre el cliente y los servidores

image

Proporcionamos un nombre interno para el clúster de CAS que en este caso es “cas.midominio.es

image

Seleccionamos la Server Farm ya creada y proseguimos.

image

Proporcionamos el nombre con el que vamos a publicar externamente el OA, oa.midominio.es, y proseguimos con el Asistente.

Seleccionamos el listener anteriormente

image

Autenticación por delegación Kerberos. Completamos el nombre del SPN con http/* dado que al usar una granja de servidores para el balanceo no sabemos a cuál de los dos servidores se le dirigirá la petición de acceso vía Outlook Anywhere

image

Para todos los usuarios autenticados en el dominio

image

Y finalizamos el Asistente.

Pero esto no ha acabado, todavía quedan cosas a modificar en las cuentas de los equipos dentro del Directorio Activo. Vamos a ver qué nos falta.

3. Asignanción de entradas SPN en la cuenta del servidor de TMG que presenta los CAS en Internet

Para que la delegación Kerberos (KDC) funcione correctamente, se han de asigrnar sendas entradas SPN para que los servidores CAS respondan al nombre “cas1.midominio.local” y “cas2.midominio.local” en la cuenta del servidor TMG del Directorio Activo de nuestra organización.

Para ello, abrimos la consola de administración del dominio en uno de los DC, seleccionamos la cuenta del servidor TMG ubicada en Servidores –> Equipos Exchange. Vamos a la pestaña “Delegation” y pulsamos sobre “Add”.

Buscamos los servidores CAS1 y CAS2, y los añadimos

image

Y seleccionamos el servicio “http” para ambos servidores

image

El resultado final tiene que ser el siguiente:

image

Sólo queda configurar un equipo para que use “oa.midominio.es” con autentiación NTLM

image

y acceder desde fuera de nuestra red para validar que el nuevo entorno funciona.

image


Una vez llegados hasta aquí ya tenemos la infraestructura mínima para proceder a migrar los usuarios entre los dominios, pasos que se explicarán en entradas sucesivas.

Marc

Migración de bosques: publicación de OWA y ActiveSync usando TMG

jueves, 15 de septiembre de 2011 Sin comentarios
La publicación de recursos de Exchange usando un servidor como Forefront Threat Management Gateway es bastante sencilla aunque requiere de varias tareas previas en la preparación del entorno.

Todo lo que se explica a continuación está basado en el manual “Publishing Exchange Server 2010 with Forefront Unified Access Gateway 2010 and Forefront Threat Management Gateway 2010” que encontraréis aquí. ´

La única particularidad es que en nuestro entorno sólo existirá una tarjeta de red (NIC) que tendrá 2 IPs

  • – 192.168.130.236 para OWA y ActiveSync
  • – 192.168.139.237 para Outlook Anwhere.

1.Preparación de los componentes para publicar recursos en TMG

Suponemos que Forefront TMG ya está instalado y configurado en nuestro nuevo entorno. Una vez realizada la configuración del producto, vamos a generar los recursos necesarios para publicar OWA y Microsoft ActiveSync. De Outlook Anywhere ya hablaremos otro día dado que queremos usar delegación Kerberos para su publicación.

Para los dos primeros generaremos un único listener. Este listener se llamará “Exchange Listener”.

1.1.Exchange Listener

Para crear el listener abrimos la consola, Firewall Policy y en el menú de la derecha, en “Toolbox” y con el botón derecho, “New Web Listener”

Le damos el nombre de Exchange Listener y continuamos

image

Escogemos la opción de conexión SSL entre los equipos

image

Escogemos la red “Internal” y procedemos a su configuración, donde elegiremos la IP acabada en .236 de las 2 que disponemos.

image

image

Seleccionamos el certificado de nuestra empresa (midominio.es) que hemos instalado previamente, y continuamos con el asistente.

image

El tipo de autenticación será por formularios y contra el Directorio Activo.

image

Habilitamos el SSO para “midominio.local” y continuamos.

image

Y finalizamos el asistente.

1.2 Server Farm

Lo siguiente a realizar es la creación de una granja de servidores, que en este caso será la formada por los CAS del nuevo entorno.

Para crear la Server Farm abrimos la consola, Firewall Policy y en el menú de la derecha, en “Toolbox” y con el botón derecho, “New Server Farm”

Le damos el nombre de CAS Exchage 2010 Farm y continuamos.

image

Añadimos los dos servidores CAS buscándolos en el AD

image

Modificamos la ruta de comprobación de disponibilidad de los servidores a https://*/rpc

image

Y finalizamos el asistente.

Con todos los componentes necesarios creados

image

Vamos a generar las distintas reglas de publicación para cada aplicación.

2. Reglas de publicación para OWA y ActiveSync

2.1 Regla de publicación de OWA

Con los elementos necesarios creados, vamos a proceder a generar las reglas de publicación para OWA

Vamos a la parte izquierda de la consola, en Firewall Policy, botón derecho “New” –> “Exchange Web Client Access Publishing Rule…” y lanzamos el Asistente.

image

Damos un nombre a la regla

image

Seleccionamos del desplegable “Exchange 2010” y “Outlook Web Access” y continuamos con el Asistente

image

Escogemos la opción de Servidores web balanceados

image

Y conexión SSL entre el cliente y los servidores

image

Proporcionamos un nombre interno para el clúster de CAS que en este caso es “cas.midominio.es”

image

Seleccionamos la Server Farm creada anteriormente y proseguimos.

image

Proporcionamos el nombre con el que vamos a publicar externamente el OWA, webmail.midominio.es, y proseguimos con el Asistente.

image

Seleccionamos el listener generado

image

Autenticación básica

image

Para todos los usuarios autenticados en el dominio

image

Y finalizamos el Asistente.

2.1.1 Reconfiguración de la seguridad de los CAS

Después de generar la regla de publicación para OWA desde TMG, hemos de realizar una modificación de la seguridad en los CAS para OWA para que todo funcione correctamente.

image

2.2 Regla de publicación de ActiveSync

Con los elementos necesarios creados, vamos a proceder a generar las reglas de publicación para Microsoft Active Sync

Vamos a la parte izquierda de la consola, en Firewall Policy, botón derecho “New” –> “Exchange Web Client Access Publishing Rule…” y lanzamos el Asistente.

image

Damos un nombre a la regla

image

Seleccionamos del desplegable “Exchange 2010” y “Exchange ActiveSync” y continuamos con el Asistente

image

Escogemos la opción de Servidores web balanceados

image

Y conexión SSL entre el cliente y los servidores

image

Proporcionamos un nombre interno para el clúster de CAS que vuelve a ser es “cas.midominio.es”

image

Seleccionamos la Server Farm proseguimos.

image

Proporcionamos el nombre con el que vamos a publicar externamente ActiveSync que será el mismo usado para OWA, webmail.midominio.es, y proseguimos con el Asistente.

image

Seleccionamos el listener generado

image

Autenticación básica

image

Para todos los usuarios autenticados en el dominio

image

Y finalizamos el Asistente.


Como se puede apreciar, no hay secreto en la publicación de OWA y ActiveSync usando TMG. DOnde sí hay más lío es usando NTLM y delegación Kerberos (KCD) para publicar Outlook Anywhere del modo más seguro posible…

 

Marc

Categories: Dia a dia Tags: , , ,

Migración de bosques AD: Instalación de Lync 2010

miércoles, 14 de septiembre de 2011 Sin comentarios

Decíamos ayer… y continuamos con la instalación de Microsoft Lync Server 2010.

1.1 Instalación y configuración de Microsoft Lync 2010

Una vez tenemos la topología publicada, podemos proceder a instalar el producto Microsoft Lync 2010 como tal.

Para ello, escogemos la opción “Install or Update Lync Server System” del asistente de despliegues, el cual nos guiará en la instalación final del producto.

image

Iniciamos el “Step 1” pulsando en Run

image

Cuando la ejecución finalice correctamente, cerramos este asistente.

image

Una vez finalizado, iniciamos el “Step 2” pulsando de nuevo en “Run”

image

Se iniciará un asistente para la instalación de los componentes necesarios de Lync Server

image

Lo ejecutamos hasta que finalice.

image

El tercer paso es el más importante de todos, dado que en el “Step 3” instalaremos los certificados necesarios para el correcto funcionamiento de Lync Server

image

Primero de todo, hemos de realizar la petición de generación de un certificado para el equipo “lync.midominio.com”

image

Completamos el asistente con todos los datos necesarios, asegurándonos que todos los nombres que hemos definido en el Topology Builder aparecen antes de finalizar la petición.

image

Seleccionamos los SIP domains

image

Validamos los datos

image

Y acabamos con el asistente.

image

Después de procesar la petición de generación del certificado en la CA instala el Lync, procedemos a importar el nuevo certificado generado.

image

image

Después de la importación, sólo queda asignarlo a los servicios de Lync

image

Después de asignar el nuevo certificado, ya podemos proseguir con el último paso.

image

El último paso el “Step 4”, inicia los servicios de Lync en el equipo

image

Arrancamos el asistente y pulsamos en “Next”

image

image

Para validar que, efectivamente, los servicios están arrancados, vamos a la parte de Servicios del sistema

image

Y esto es todo… para una instalación Starndard sin salida o acceso desde Internet.


El próximo artículo irá dedicado a la publicación de OWA, ActiveSync y Outlook Anywhere a través de un Forefront Threat Management Gateway usando NTLM y delegación Kerberos (KCD) para Outlook Anywhere por un lado, y “la clásica” para OWA y ActiveSync.

Marc

Migración de bosques AD: Preparación del entorno para una instalación de Lync 2010

martes, 13 de septiembre de 2011 Sin comentarios

Seguimos con la serie de artículos que relatan la migración de todo un bosque de Directorio Activo. Hoy hablaremos de la instalación de Microsoft Lync 2010.

En nuestro entorno fictício original existe un Microsoft Office Communication Server 2007 R2 (OCS para los amigos… y enemigos) que no soporta una migración inter-forest por lo que se opta por una plataforma nueva y a la última versión del procuto: Microsoft Lync 2010.

Puestos en antecedentes, empezamos con el lío donde se verá que la instalación del producto es algo especial.

Microsoft Lync 2010

El nuevo servidor de Lync se llamará “lync” y tendrá la IP “192.168.130.172”. La versión del software es la Standard que incluye una instalación de SQL Express 2008 SP1

Las características hardware del equipo son:

  • – 2 CPUs
  • – 8 GB de RAM
  • – Disco de 40 GB de sistema

Como sistema operativo, se escoger Windows Server 2008 R2 SP1 en idioma inglés.

1.1 Preparación del entorno para Lync 2010

La instalación de Microsoft Lync 2010 requiere de la instalación del .NET Framework 3.5 SP1, incluido en el propio servidor.

Para instalarlo, debemos ir a “Server Manager”, escoger la opción “Add features” y seleccionar .NET Frameowrk 3.5.1. Features

image

También es necesario instalar varios componentes del IIS, procedimiento que se hará ejecutando el comando

ServerManagerCmd.exe -Install Web-Server Web-Http-Redirect Web-Scripting-Tools Web-Windows-Auth Web-Client-Auth Web-Asp-Net Web-Log-Libraries Web-Http-Tracing Web-Basic-Auth

Finalmente, se ha de instalar Silverlight para poder usar la consola de Lync para administrar el producto.

Después de cumplir con los requerimientos iniciales para lanzar la instalación del producto, lanzamos el programa de instalación de Microsoft Lync, ubicado en la ruta Setup\amd64\Setup.exe dentro del DVD de instalación el cual nos solicitará la instalación de VC++ Redistributable 2008.

image

Una vez finalizada la instalación del Runtime de VC++, se inicia el programa de instalación propiamente dicho

image

Cambiamos la ubicación destino a E:\Microsoft Lync Server 2010 y proseguimos con la instalación.

Aceptamos el EULA

image

Lanzamos la preparación del Active Directory para que extienda el Schema del bosque, añada las clases necesarias al dominio y genere los grupos de seguridad necesarios para que el producto funcione correctamente.

Acto seguido, escogemos la opción “Prepare first Standard Edition server”.

image

Este asistente nos iniciará uno de los pasos necesarios para instalar Lync, como son la instalación de SQL Express 2008 SP1 y la preparación del servidor para tener los datos necesarios para instalar la herramienta de definición de topologías de servidores de Lync.

image

Una vez finalizar la instalación del SQL Express y su DB asociada de nombre “RTC”, instalamos el Topology Builder.

image

Al iniciar el asistente del Topology builder, nos empezará a solicitar los datos mínimos para poder definir el tipo de instalación del producto, el SIP que tendrán los usuarios, las rutas de acceso a los recursos, etc.

El nombre que usaremos como SIP primario es el mismo que actualmente se tiene para el entorno de OCS y que es “midominio.com”. No se añaden, de momento, SIPs secundarios.

image

Definimos el nombre del site donde se instalará Lync. Este nombre ha de coincidir con el del equipo.

image

Finalizamos el asistente que nos lanzará un segundo asistente para que definamos el pool de conexiones de Lync.

image

El nombre del pool ha de coincidir con el del servidor, por tanto, lo ponemos y seguimos con el proceso y el pool a crear debe ser para la versión Standard del producto.

image

Vamos aceptando los valores por defecto del resto de pantallas del asistente hasta llegar a la configuración de la DB.

Como DB para almacenar los datos, y dado que la versión que se instala de Lync es la Standard, no podemos cambiar los valores definidos en el asistente, por lo que procederemos con el siguiente paso de la instalación.

image

Como directorio para compartir, definimos E:\LyncShare a nivel de sistema e introducimos la ruta “LyncShare” en el asistente

Nota: Es aconsejable haber compartido previamente la carpeta antes de decirle al programa de instalación que la use

image

Dejamos como external URL la que nos sugiera el asistente.

image

Finalizamos el asistente y publicamos esta topología. Para ello, debemos ir al menú de la derecha del Topology builder y escoger “Publish topology” lo cual hará que se lance un asistente de publicación.

Ejecutamos el asistente para publicar la topología

image

Y el resultado tiene que ser satisfactorio, tal como se muestra en la siguiente captura de pantalla.

image

Una vez llegados a este punto, no tenemos instalado el servicio de Lync sino que hemos definido su estructura en nuestra organización y publicada en el Directorio Activo.

1.2 Generación del certificado para los servicios de Microsoft Lync

Para que Lync Server funcione correctamente, es necesario generar un certificado interno que haga coincidir el nombre del servidor con el del servicio a publicar. Para ello, instalaremos una Root CA en el propio servidor de Lync.

Abrimos el Server Manager, vamos a Roles y añadimos el “Active Directory Certificate Services”

image

Seleccionamos Certification Authority y Web Enrollment y proseguimos con el asistente.

image

El tipo de CA ha de ser Entrerpise y Root CA

image

image

Generamos una nueva clave privada.

image

Corregimos el nombre de la CA para que sea “midominio-CA” y proseguimos.

image

Damos 20 años de validez al certificado interno

image

Finalizamos la instalación.

image

Y nuestro entorno ya está listo para generar y procesar peticiones de certificados para cuando la instalación de Lync genere la petición nuestro entorno sea capaz de procesarla y no detener la instalación del producto.

Aunque para ver cómo acaba la instalación deberemos esperar un poco… Winking smile


Marc

Charla técnica en Andorra

lunes, 12 de septiembre de 2011 Sin comentarios

Hola a todos,

Mi amigo Lluís Franco me ha invitado a dar una charla técnica sobre la migración de bosques de Directorio Activo el próximo día 16 de Septiembre en Andorra dentro de las activades que regularmente hace el grupo de usuarios de AndorraDotNet.

El evento será sobre las 18h. en el centro cultural La Llacuna

La Llacuna Centre Cultural
Carrer Mossèn Cinto Verdaguer 4 (*)

(*) al lado de la plaza de las arcadas

Ubicación ‘La Llacuna Centre Cultural’ en Google Maps

Los que, de casual estéis por Andorra o cerca ese viernes, os podéis pasar a saludar y tomar unas cervezas (y a cenar)

Links al evento (en catalán): http://aviandorra.wordpress.com/

Marc