De cómo ser IT Pro y no morir en el intento

No hace ni una semana como quien dice que Microsoft liberó las versiones Consumer Preview de Windows 8 Client y Windows Server 8.

De la ingente cantidad de información también liberada yo me voy a limitar a reproducir un clásico: montar un dominio Windows Server, en versión “8”,  en modo nativo.

Podremos ver que los pasos de generación de un dominio “8” son ligeramente diferentes a versiones anteriores, léase, un dcpromo no es suficiente.

Comencemos diciendo que el equipo de pruebas es un equipo con 1 GB de RAM, 1 CPU y un disco de 32 GB, thin provisioning.

Lo primero que debemos hacer es dirigirnos al Server Manager del sistema y preparar el equipo para convertirlo en Domain Controller.

Vamos al menú Manager y escogemos “Add Roles and Features”

El asistente, y esta es una de las novevades de esta versión, al menos durante la Beta, nos permite escoger tanto el servidor local como cualquier otro servidor con Windows Server 8 a los que instalar los diferentes roles y/o features. Todo desde un único punto central.

En el ejemplo, sólo tenemos una máquina de nombre tan original como WIN8DC .

Lo escogemos y seguimos.

Escogemos la opción de Active Directory Domain Services…

… que provocará la instalación de componentes adicionales.

Lo mismo para el servicio DNS

Y proseguimos sin instalar ninguna feature, no necesaria en este punto.

Validamos la parte de Active Directory

También la de DNS

Confirmamos todo lo que queremos instalar e instalamos los roles seleccionados.

Llegados a este punto, podemos cerrar el asitente (en versiones anteriores a Windows Server 8 no se podía) dado que el procedimiento no se interrumpe y se realiza en segundo plano.

Para tener visibilidad en esta guía, opté por dejar el proceso en primer plano.

Una vez finalizada la instalación de los roles, cerramos el asistente.

Desde el Server Manager se nos informa que quedan acciones pendientes como es la creación del Domain Controller propiamente dicho

Pero dejamos este punto para la siguiente entrada

Marc

Después de esta serie de artículos, podemos decir que ya estamos preparados para iniciar la migración de usuarios, grupos, buzones y equipos de los usuarios.

A modo de resumen, tenemos

1. Un nuevo dominio con relaciones de confianza.
2. Un nuevo entorno Exchange 2010 y su publicación en Internet (I y II)
3. Un nuevo servidor de Lync
4. Un equipo que se usará como migrador de los recursos.

Próximos pasos, empezar a mover a los usuarios y todo lo que vaya asociado a ellos, que a fin de cuentas es lo más importante en toda migración y lo que más tiempo va a consumir… pero también es lo más sencillo de explicar dado que es todo bastante mecánico.

Marc

Si ayer publicábamos OWA y ActiveSync a través de TMG de la manera “estandard”, hoy toca complicarnos un poco la vida y subir un nivel.

La configuración de este entorno se ha realizado siguiendo el manual “Publishing Outlook Anywhere Using NTLM Authentication With Forefront TMG or Forefront UAG” descargable desde aquí.

Al igual que en el anterior artículo, necesitamos de unas configuraciones previas para publicar Outlook Anywere (OA en adelante)

Nuestro entorno, recuerdo, tiene una NIC con dos IPs

• – 192.168.130.236 para OWA y ActiveSync
• – 192.168.139.237 para Outlook Anwhere.

1.Preparación de los componentes para publicar OA en TMG

Vamos a proceder a crear un nuevo listerner para OA distinto al ya creado para OWA y ActiveSync. Los pasos son análogos a los de OWA pero lo llamaremos “Outlook Anywhere Listener” y usaremos la IP acabada en .237

Por otro lado, la autenticación no será “Básica” sino “SSL”.

No crearemos ninguna Server Farm nueva ya que usaremos la creada para OWA y ActiveSync

2. Regla de publicación de Outlook Anywhere

Con los elementos necesarios creados, vamos a proceder a generar las reglas de publicación para Outlook Anywhere

Vamos a la parte izquierda de la consola, en Firewall Policy, botón derecho “New” –> “Exchange Web Client Access Publishing Rule…” y lanzamos el Asistente.

Damos un nombre a la regla

Seleccionamos del desplegable “Exchange 2010” y “Outlook Anywhere (RPC/HTTP(s))” y continuamos con el Asistente

Escogemos la opción de Servidores web balanceados

Y conexión SSL entre el cliente y los servidores

Proporcionamos un nombre interno para el clúster de CAS que en este caso es “cas.midominio.es”

Seleccionamos la Server Farm ya creada y proseguimos.

Proporcionamos el nombre con el que vamos a publicar externamente el OA, oa.midominio.es, y proseguimos con el Asistente.

Seleccionamos el listener anteriormente

Autenticación por delegación Kerberos. Completamos el nombre del SPN con http/* dado que al usar una granja de servidores para el balanceo no sabemos a cuál de los dos servidores se le dirigirá la petición de acceso vía Outlook Anywhere

Para todos los usuarios autenticados en el dominio

Y finalizamos el Asistente.

Pero esto no ha acabado, todavía quedan cosas a modificar en las cuentas de los equipos dentro del Directorio Activo. Vamos a ver qué nos falta.

3. Asignanción de entradas SPN en la cuenta del servidor de TMG que presenta los CAS en Internet

Para que la delegación Kerberos (KDC) funcione correctamente, se han de asigrnar sendas entradas SPN para que los servidores CAS respondan al nombre “cas1.midominio.local” y “cas2.midominio.local” en la cuenta del servidor TMG del Directorio Activo de nuestra organización.

Para ello, abrimos la consola de administración del dominio en uno de los DC, seleccionamos la cuenta del servidor TMG ubicada en Servidores –> Equipos Exchange. Vamos a la pestaña “Delegation” y pulsamos sobre “Add”.

Buscamos los servidores CAS1 y CAS2, y los añadimos

Y seleccionamos el servicio “http” para ambos servidores

El resultado final tiene que ser el siguiente:

Sólo queda configurar un equipo para que use “oa.midominio.es” con autentiación NTLM

y acceder desde fuera de nuestra red para validar que el nuevo entorno funciona.

Marc

La publicación de recursos de Exchange usando un servidor como Forefront Threat Management Gateway es bastante sencilla aunque requiere de varias tareas previas en la preparación del entorno.

Todo lo que se explica a continuación está basado en el manual “Publishing Exchange Server 2010 with Forefront Unified Access Gateway 2010 and Forefront Threat Management Gateway 2010” que encontraréis aquí. ´

La única particularidad es que en nuestro entorno sólo existirá una tarjeta de red (NIC) que tendrá 2 IPs

• – 192.168.130.236 para OWA y ActiveSync
• – 192.168.139.237 para Outlook Anwhere.

1.Preparación de los componentes para publicar recursos en TMG

Suponemos que Forefront TMG ya está instalado y configurado en nuestro nuevo entorno. Una vez realizada la configuración del producto, vamos a generar los recursos necesarios para publicar OWA y Microsoft ActiveSync. De Outlook Anywhere ya hablaremos otro día dado que queremos usar delegación Kerberos para su publicación.

Para los dos primeros generaremos un único listener. Este listener se llamará “Exchange Listener”.

1.1.Exchange Listener

Para crear el listener abrimos la consola, Firewall Policy y en el menú de la derecha, en “Toolbox” y con el botón derecho, “New Web Listener”

Le damos el nombre de Exchange Listener y continuamos

Escogemos la opción de conexión SSL entre los equipos

Escogemos la red “Internal” y procedemos a su configuración, donde elegiremos la IP acabada en .236 de las 2 que disponemos.

Seleccionamos el certificado de nuestra empresa (midominio.es) que hemos instalado previamente, y continuamos con el asistente.

El tipo de autenticación será por formularios y contra el Directorio Activo.

Habilitamos el SSO para “midominio.local” y continuamos.

Y finalizamos el asistente.

1.2 Server Farm

Lo siguiente a realizar es la creación de una granja de servidores, que en este caso será la formada por los CAS del nuevo entorno.

Para crear la Server Farm abrimos la consola, Firewall Policy y en el menú de la derecha, en “Toolbox” y con el botón derecho, “New Server Farm”

Le damos el nombre de CAS Exchage 2010 Farm y continuamos.

Añadimos los dos servidores CAS buscándolos en el AD

Modificamos la ruta de comprobación de disponibilidad de los servidores a https://*/rpc

Y finalizamos el asistente.

Con todos los componentes necesarios creados

Vamos a generar las distintas reglas de publicación para cada aplicación.

2. Reglas de publicación para OWA y ActiveSync

2.1 Regla de publicación de OWA

Con los elementos necesarios creados, vamos a proceder a generar las reglas de publicación para OWA

Vamos a la parte izquierda de la consola, en Firewall Policy, botón derecho “New” –> “Exchange Web Client Access Publishing Rule…” y lanzamos el Asistente.

Damos un nombre a la regla

Seleccionamos del desplegable “Exchange 2010” y “Outlook Web Access” y continuamos con el Asistente

Escogemos la opción de Servidores web balanceados

Y conexión SSL entre el cliente y los servidores

Proporcionamos un nombre interno para el clúster de CAS que en este caso es “cas.midominio.es”

Seleccionamos la Server Farm creada anteriormente y proseguimos.

Proporcionamos el nombre con el que vamos a publicar externamente el OWA, webmail.midominio.es, y proseguimos con el Asistente.

Seleccionamos el listener generado

Autenticación básica

Para todos los usuarios autenticados en el dominio

Y finalizamos el Asistente.

2.1.1 Reconfiguración de la seguridad de los CAS

Después de generar la regla de publicación para OWA desde TMG, hemos de realizar una modificación de la seguridad en los CAS para OWA para que todo funcione correctamente.

2.2 Regla de publicación de ActiveSync

Con los elementos necesarios creados, vamos a proceder a generar las reglas de publicación para Microsoft Active Sync

Vamos a la parte izquierda de la consola, en Firewall Policy, botón derecho “New” –> “Exchange Web Client Access Publishing Rule…” y lanzamos el Asistente.

Damos un nombre a la regla

Seleccionamos del desplegable “Exchange 2010” y “Exchange ActiveSync” y continuamos con el Asistente

Escogemos la opción de Servidores web balanceados

Y conexión SSL entre el cliente y los servidores

Proporcionamos un nombre interno para el clúster de CAS que vuelve a ser es “cas.midominio.es”

Seleccionamos la Server Farm proseguimos.

Proporcionamos el nombre con el que vamos a publicar externamente ActiveSync que será el mismo usado para OWA, webmail.midominio.es, y proseguimos con el Asistente.

Seleccionamos el listener generado

Autenticación básica

Para todos los usuarios autenticados en el dominio

Y finalizamos el Asistente.

Marc

Decíamos ayer… y continuamos con la instalación de Microsoft Lync Server 2010.

1.1 Instalación y configuración de Microsoft Lync 2010

Una vez tenemos la topología publicada, podemos proceder a instalar el producto Microsoft Lync 2010 como tal.

Para ello, escogemos la opción “Install or Update Lync Server System” del asistente de despliegues, el cual nos guiará en la instalación final del producto.

Iniciamos el “Step 1” pulsando en Run

Cuando la ejecución finalice correctamente, cerramos este asistente.

Una vez finalizado, iniciamos el “Step 2” pulsando de nuevo en “Run”

Se iniciará un asistente para la instalación de los componentes necesarios de Lync Server

Lo ejecutamos hasta que finalice.

El tercer paso es el más importante de todos, dado que en el “Step 3” instalaremos los certificados necesarios para el correcto funcionamiento de Lync Server

Primero de todo, hemos de realizar la petición de generación de un certificado para el equipo “lync.midominio.com”

Completamos el asistente con todos los datos necesarios, asegurándonos que todos los nombres que hemos definido en el Topology Builder aparecen antes de finalizar la petición.

Seleccionamos los SIP domains

Validamos los datos

Y acabamos con el asistente.

Después de procesar la petición de generación del certificado en la CA instala el Lync, procedemos a importar el nuevo certificado generado.

Después de la importación, sólo queda asignarlo a los servicios de Lync

Después de asignar el nuevo certificado, ya podemos proseguir con el último paso.

El último paso el “Step 4”, inicia los servicios de Lync en el equipo

Arrancamos el asistente y pulsamos en “Next”

Para validar que, efectivamente, los servicios están arrancados, vamos a la parte de Servicios del sistema

Y esto es todo… para una instalación Starndard sin salida o acceso desde Internet.

Marc