Archivo

Entradas Etiquetadas ‘Domain’

Windows Server 8: Domain Controller (I)

miércoles, 7 de marzo de 2012 Sin comentarios

No hace ni una semana como quien dice que Microsoft liberó las versiones Consumer Preview de Windows 8 Client y Windows Server 8.

De la ingente cantidad de información también liberada yo me voy a limitar a reproducir un clásico: montar un dominio Windows Server, en versión “8”,  en modo nativo.

Podremos ver que los pasos de generación de un dominio “8” son ligeramente diferentes a versiones anteriores, léase, un dcpromo no es suficiente.

Comencemos diciendo que el equipo de pruebas es un equipo con 1 GB de RAM, 1 CPU y un disco de 32 GB, thin provisioning.

Lo primero que debemos hacer es dirigirnos al Server Manager del sistema y preparar el equipo para convertirlo en Domain Controller.

Vamos al menú Manager y escogemos “Add Roles and Features”

DCPromo1

El asistente, y esta es una de las novevades de esta versión, al menos durante la Beta, nos permite escoger tanto el servidor local como cualquier otro servidor con Windows Server 8 a los que instalar los diferentes roles y/o features. Todo desde un único punto central.

En el ejemplo, sólo tenemos una máquina de nombre tan original como WIN8DC Nerd smile.

Lo escogemos y seguimos.

DCPromo2

Escogemos la opción de Active Directory Domain Services

DCPromo3

… que provocará la instalación de componentes adicionales.

DCPromo4

Lo mismo para el servicio DNS

DCPromo5

Y proseguimos sin instalar ninguna feature, no necesaria en este punto.

Validamos la parte de Active Directory

DCPromo6

También la de DNS

DCPromo7

Confirmamos todo lo que queremos instalar e instalamos los roles seleccionados.

DCPromo8

Llegados a este punto, podemos cerrar el asitente (en versiones anteriores a Windows Server 8 no se podía) dado que el procedimiento no se interrumpe y se realiza en segundo plano.

Para tener visibilidad en esta guía, opté por dejar el proceso en primer plano.

DCPromo9

Una vez finalizada la instalación de los roles, cerramos el asistente.

Desde el Server Manager se nos informa que quedan acciones pendientes como es la creación del Domain Controller propiamente dicho

image

Pero dejamos este punto para la siguiente entrada

 

Marc

Migración de bosques AD: resumen de la infraestructura montada

lunes, 19 de septiembre de 2011 Sin comentarios

Después de esta serie de artículos, podemos decir que ya estamos preparados para iniciar la migración de usuarios, grupos, buzones y equipos de los usuarios.

A modo de resumen, tenemos

  1. Un nuevo dominio con relaciones de confianza.
  2. Un nuevo entorno Exchange 2010 y su publicación en Internet (I y II)
  3. Un nuevo servidor de Lync
  4. Un equipo que se usará como migrador de los recursos.

Próximos pasos, empezar a mover a los usuarios y todo lo que vaya asociado a ellos, que a fin de cuentas es lo más importante en toda migración y lo que más tiempo va a consumir… pero también es lo más sencillo de explicar dado que es todo bastante mecánico.

Marc

Migración de bosques AD: publicación de Outlook Anywhere usando Delegación Kerberos

viernes, 16 de septiembre de 2011 Sin comentarios

Si ayer publicábamos OWA y ActiveSync a través de TMG de la manera “estandard”, hoy toca complicarnos un poco la vida y subir un nivel.

La configuración de este entorno se ha realizado siguiendo el manual Publishing Outlook Anywhere Using NTLM Authentication With Forefront TMG or Forefront UAGdescargable desde aquí.

Al igual que en el anterior artículo, necesitamos de unas configuraciones previas para publicar Outlook Anywere (OA en adelante)

Nuestro entorno, recuerdo, tiene una NIC con dos IPs

  • – 192.168.130.236 para OWA y ActiveSync
  • – 192.168.139.237 para Outlook Anwhere.

1.Preparación de los componentes para publicar OA en TMG

Vamos a proceder a crear un nuevo listerner para OA distinto al ya creado para OWA y ActiveSync. Los pasos son análogos a los de OWA pero lo llamaremos “Outlook Anywhere Listener” y usaremos la IP acabada en .237

image

Por otro lado, la autenticación no será “Básica” sino “SSL”.

image

No crearemos ninguna Server Farm nueva ya que usaremos la creada para OWA y ActiveSync

2. Regla de publicación de Outlook Anywhere

Con los elementos necesarios creados, vamos a proceder a generar las reglas de publicación para Outlook Anywhere

Vamos a la parte izquierda de la consola, en Firewall Policy, botón derecho “New” –> “Exchange Web Client Access Publishing Rule…” y lanzamos el Asistente.

image

Damos un nombre a la regla

image

Seleccionamos del desplegable “Exchange 2010” y “Outlook Anywhere (RPC/HTTP(s))” y continuamos con el Asistente

image

Escogemos la opción de Servidores web balanceados

image

Y conexión SSL entre el cliente y los servidores

image

Proporcionamos un nombre interno para el clúster de CAS que en este caso es “cas.midominio.es

image

Seleccionamos la Server Farm ya creada y proseguimos.

image

Proporcionamos el nombre con el que vamos a publicar externamente el OA, oa.midominio.es, y proseguimos con el Asistente.

Seleccionamos el listener anteriormente

image

Autenticación por delegación Kerberos. Completamos el nombre del SPN con http/* dado que al usar una granja de servidores para el balanceo no sabemos a cuál de los dos servidores se le dirigirá la petición de acceso vía Outlook Anywhere

image

Para todos los usuarios autenticados en el dominio

image

Y finalizamos el Asistente.

Pero esto no ha acabado, todavía quedan cosas a modificar en las cuentas de los equipos dentro del Directorio Activo. Vamos a ver qué nos falta.

3. Asignanción de entradas SPN en la cuenta del servidor de TMG que presenta los CAS en Internet

Para que la delegación Kerberos (KDC) funcione correctamente, se han de asigrnar sendas entradas SPN para que los servidores CAS respondan al nombre “cas1.midominio.local” y “cas2.midominio.local” en la cuenta del servidor TMG del Directorio Activo de nuestra organización.

Para ello, abrimos la consola de administración del dominio en uno de los DC, seleccionamos la cuenta del servidor TMG ubicada en Servidores –> Equipos Exchange. Vamos a la pestaña “Delegation” y pulsamos sobre “Add”.

Buscamos los servidores CAS1 y CAS2, y los añadimos

image

Y seleccionamos el servicio “http” para ambos servidores

image

El resultado final tiene que ser el siguiente:

image

Sólo queda configurar un equipo para que use “oa.midominio.es” con autentiación NTLM

image

y acceder desde fuera de nuestra red para validar que el nuevo entorno funciona.

image


Una vez llegados hasta aquí ya tenemos la infraestructura mínima para proceder a migrar los usuarios entre los dominios, pasos que se explicarán en entradas sucesivas.

Marc

Migración de bosques: publicación de OWA y ActiveSync usando TMG

jueves, 15 de septiembre de 2011 Sin comentarios
La publicación de recursos de Exchange usando un servidor como Forefront Threat Management Gateway es bastante sencilla aunque requiere de varias tareas previas en la preparación del entorno.

Todo lo que se explica a continuación está basado en el manual “Publishing Exchange Server 2010 with Forefront Unified Access Gateway 2010 and Forefront Threat Management Gateway 2010” que encontraréis aquí. ´

La única particularidad es que en nuestro entorno sólo existirá una tarjeta de red (NIC) que tendrá 2 IPs

  • – 192.168.130.236 para OWA y ActiveSync
  • – 192.168.139.237 para Outlook Anwhere.

1.Preparación de los componentes para publicar recursos en TMG

Suponemos que Forefront TMG ya está instalado y configurado en nuestro nuevo entorno. Una vez realizada la configuración del producto, vamos a generar los recursos necesarios para publicar OWA y Microsoft ActiveSync. De Outlook Anywhere ya hablaremos otro día dado que queremos usar delegación Kerberos para su publicación.

Para los dos primeros generaremos un único listener. Este listener se llamará “Exchange Listener”.

1.1.Exchange Listener

Para crear el listener abrimos la consola, Firewall Policy y en el menú de la derecha, en “Toolbox” y con el botón derecho, “New Web Listener”

Le damos el nombre de Exchange Listener y continuamos

image

Escogemos la opción de conexión SSL entre los equipos

image

Escogemos la red “Internal” y procedemos a su configuración, donde elegiremos la IP acabada en .236 de las 2 que disponemos.

image

image

Seleccionamos el certificado de nuestra empresa (midominio.es) que hemos instalado previamente, y continuamos con el asistente.

image

El tipo de autenticación será por formularios y contra el Directorio Activo.

image

Habilitamos el SSO para “midominio.local” y continuamos.

image

Y finalizamos el asistente.

1.2 Server Farm

Lo siguiente a realizar es la creación de una granja de servidores, que en este caso será la formada por los CAS del nuevo entorno.

Para crear la Server Farm abrimos la consola, Firewall Policy y en el menú de la derecha, en “Toolbox” y con el botón derecho, “New Server Farm”

Le damos el nombre de CAS Exchage 2010 Farm y continuamos.

image

Añadimos los dos servidores CAS buscándolos en el AD

image

Modificamos la ruta de comprobación de disponibilidad de los servidores a https://*/rpc

image

Y finalizamos el asistente.

Con todos los componentes necesarios creados

image

Vamos a generar las distintas reglas de publicación para cada aplicación.

2. Reglas de publicación para OWA y ActiveSync

2.1 Regla de publicación de OWA

Con los elementos necesarios creados, vamos a proceder a generar las reglas de publicación para OWA

Vamos a la parte izquierda de la consola, en Firewall Policy, botón derecho “New” –> “Exchange Web Client Access Publishing Rule…” y lanzamos el Asistente.

image

Damos un nombre a la regla

image

Seleccionamos del desplegable “Exchange 2010” y “Outlook Web Access” y continuamos con el Asistente

image

Escogemos la opción de Servidores web balanceados

image

Y conexión SSL entre el cliente y los servidores

image

Proporcionamos un nombre interno para el clúster de CAS que en este caso es “cas.midominio.es”

image

Seleccionamos la Server Farm creada anteriormente y proseguimos.

image

Proporcionamos el nombre con el que vamos a publicar externamente el OWA, webmail.midominio.es, y proseguimos con el Asistente.

image

Seleccionamos el listener generado

image

Autenticación básica

image

Para todos los usuarios autenticados en el dominio

image

Y finalizamos el Asistente.

2.1.1 Reconfiguración de la seguridad de los CAS

Después de generar la regla de publicación para OWA desde TMG, hemos de realizar una modificación de la seguridad en los CAS para OWA para que todo funcione correctamente.

image

2.2 Regla de publicación de ActiveSync

Con los elementos necesarios creados, vamos a proceder a generar las reglas de publicación para Microsoft Active Sync

Vamos a la parte izquierda de la consola, en Firewall Policy, botón derecho “New” –> “Exchange Web Client Access Publishing Rule…” y lanzamos el Asistente.

image

Damos un nombre a la regla

image

Seleccionamos del desplegable “Exchange 2010” y “Exchange ActiveSync” y continuamos con el Asistente

image

Escogemos la opción de Servidores web balanceados

image

Y conexión SSL entre el cliente y los servidores

image

Proporcionamos un nombre interno para el clúster de CAS que vuelve a ser es “cas.midominio.es”

image

Seleccionamos la Server Farm proseguimos.

image

Proporcionamos el nombre con el que vamos a publicar externamente ActiveSync que será el mismo usado para OWA, webmail.midominio.es, y proseguimos con el Asistente.

image

Seleccionamos el listener generado

image

Autenticación básica

image

Para todos los usuarios autenticados en el dominio

image

Y finalizamos el Asistente.


Como se puede apreciar, no hay secreto en la publicación de OWA y ActiveSync usando TMG. DOnde sí hay más lío es usando NTLM y delegación Kerberos (KCD) para publicar Outlook Anywhere del modo más seguro posible…

 

Marc

Categories: Dia a dia Tags: , , ,

Migración de bosques AD: Instalación de Lync 2010

miércoles, 14 de septiembre de 2011 Sin comentarios

Decíamos ayer… y continuamos con la instalación de Microsoft Lync Server 2010.

1.1 Instalación y configuración de Microsoft Lync 2010

Una vez tenemos la topología publicada, podemos proceder a instalar el producto Microsoft Lync 2010 como tal.

Para ello, escogemos la opción “Install or Update Lync Server System” del asistente de despliegues, el cual nos guiará en la instalación final del producto.

image

Iniciamos el “Step 1” pulsando en Run

image

Cuando la ejecución finalice correctamente, cerramos este asistente.

image

Una vez finalizado, iniciamos el “Step 2” pulsando de nuevo en “Run”

image

Se iniciará un asistente para la instalación de los componentes necesarios de Lync Server

image

Lo ejecutamos hasta que finalice.

image

El tercer paso es el más importante de todos, dado que en el “Step 3” instalaremos los certificados necesarios para el correcto funcionamiento de Lync Server

image

Primero de todo, hemos de realizar la petición de generación de un certificado para el equipo “lync.midominio.com”

image

Completamos el asistente con todos los datos necesarios, asegurándonos que todos los nombres que hemos definido en el Topology Builder aparecen antes de finalizar la petición.

image

Seleccionamos los SIP domains

image

Validamos los datos

image

Y acabamos con el asistente.

image

Después de procesar la petición de generación del certificado en la CA instala el Lync, procedemos a importar el nuevo certificado generado.

image

image

Después de la importación, sólo queda asignarlo a los servicios de Lync

image

Después de asignar el nuevo certificado, ya podemos proseguir con el último paso.

image

El último paso el “Step 4”, inicia los servicios de Lync en el equipo

image

Arrancamos el asistente y pulsamos en “Next”

image

image

Para validar que, efectivamente, los servicios están arrancados, vamos a la parte de Servicios del sistema

image

Y esto es todo… para una instalación Starndard sin salida o acceso desde Internet.


El próximo artículo irá dedicado a la publicación de OWA, ActiveSync y Outlook Anywhere a través de un Forefront Threat Management Gateway usando NTLM y delegación Kerberos (KCD) para Outlook Anywhere por un lado, y “la clásica” para OWA y ActiveSync.

Marc