De cómo ser IT Pro y no morir en el intento

Hola a todos,

No sé si os ha pasado que alguna vez, implementando un entorno híbrido Exchange 2013 – Exchange Online, se os ha complicado la cosa y os habéis acordado de todos los Santos y Patronos de la Informática.

Pues bien, si eso es pasa de nuevo, podéis usar esta herramienta de Microsoft que ayuda a dar luz sobre los problemas de hibridación con Exchange

https://aka.ms/hcwcheck

Accedéis al link, os validáis con una cuenta con permisos y os dejáis guiar.

Saludos,

Marc

Hola,

Después de configurar el servicio de Federación, vamos a por la parte pública instalando y configurando el Proxy.

Así que vamos al lío, al segundo servidor ubicado en la DMZ.

Implementación

Empezaremos instalado el rol de Remote Access.

Nota: Suponemos que el certificado digital está solicitado, emitido e instalado en el equipo

Iniciamos la instalación desde

Avanzamos con el asistente hasta la parte donde nos indica las funciones que se pueden ejecutar con el rol de Remote Access.

Escogemos el rol de Web Application Proxy.

Confirmamos. Y finalizamos la instalación

Configuración

Una vez instalado, procedemos a su configuración. Veréis que el proceso es bastante diferente de la versión 2.0, y por eso tendremos que estar atento a varios detalles.

Iniciamos el asistente.

Completamos los datos que nos solicita

• Nombre de la federación: sts.dominio.com
• Usuario: DominioDeActiveDirectory\Administrator <— Importante tiene que ser un usuario de Active Directory aunque ponga LOCAL ACCOUNT!!!!!
• Password: el que toque

Continuamos y seleccionamos el certificado adecuado

Confirmamos los pasos y finalizamos la configuración inicial.

Finalizamos el asistente y… siguiente paso!!!

Publicación

Finalmente, el tercer y último paso: publicar el servicio Web como Proxy de la Federación.

Este procedimiento se realiza desde la consola de Remote Access Management Console y pulsando sobre Publish, que nos abre un tercer asistente.

Como método de pre-autenticación, y dado que el objetivo es Office 365, escogemos Pass-through

Completamos los datos que nos solicita

• Nombre: Servicio de Proxy de Federación
• Url de acceso externo: https://sts.dominio.com
• Certificado: el que toque
• Url del servicio de Federación: https://sts.dominio.com (esta url tiene que ser resoluble desde el proxy, añadiendo en el fichero host el nombre y la IP del servidor de Federación)

Confirmamos los datos y, si son correctos, los publicamos.

Para validar su funcionamiento, vamos a https://sts.dominio.com/adfs/ls/idpinitiatedsignon.htm

Si la página carga, es que funciona sin problemas.

Y esto es todo en cuanto a la instalación de AD FS 3.0 para usar con Office 365

Nota: El alta de la empresa en Office 365, su configuración, la conversión del dominio o dominios como federados y resto de pasos, no han variado y se siguen haciendo como hace 2 años por lo que me remito al artículo original para acabar las configuraciones.

Saludos,

Marc

De nuevo por aquí,

Como decía ayer, vamos a actualizar conocimientos implementando un entorno de AD FS – AD FS Proxy (aunque no se llame así de forma oficial, ni se instale igual!!!!) con la versión 3.0 del producto.

Requisitos

Los requisitos para llevar a cabo correctamente la implementación de AD FS 3.0, sin usar alta disponibilidad, son los siguientes

• Un equipo Windows Server 2012 R2 Update 1 en la LAN, unido al dominio, para el rol de AD FS
• Un equipo Windows Server 2012 R2 Update 1 en la DMZ, fuera del dominio, para el rol de Remote Acces (Web Proxy)
• Definir el nombre de la federación con Office 365. Típicamente, sts.dominio.com
• Creación de una cuenta ADFSService de dominio con permisos de administrador y caducidad de contraseña para el servicio de Federación. O la creación de una Managed Account siempre que el nivel funcional del dominio sea Server 2012.
• Un certificado público con el nombre de la federación. Este certificado se instalará en ambas máquinas.

Implementación

Empezaremos instalado AD FS 3.0 en el servidor interno.

Nota: Suponemos que el certificado digital está solicitado, emitido e instalado en el equipo

Iniciamos la instalación desde

Del asistente de instalación de roles de Server 2012 R2, escogeremos el rol de Active Directory Federation Services

Después de avanzar un poco en la instalación, se nos indican los requisitos a cumplir para instalar ese rol.

Avanzamos y esperamos que lo instale

Cerramos el asistente y… abrimos un segundo asistente !!!!

Configuración

Tengo la costumbre de generar farms pero es que con este asistente no puedes crear un AD FS standalone como en versiones anteriores así que marcamos la primera opción y continuamos.

Indicamos una cuenta con permisos suficientes para realizar la configuración, que en este caso es la creada en los Requisitos.

Escogemos el certificado a usar para la federación (previamente importado), que debe coincidir con el nombre a publicar y también qué nombre mostrará el portal cuando un usuario quiera hacer login.

Indicamos una cuenta con la que se gestionará el servicio (la creada en los Requisitos)

Siguiente paso: decidir dónde se almacenarán los datos del servicio de Federación. Para el ejemplo, usaremos un SQL Local.

Avanzamos en el asistente, verificamos las opciones y proseguimos con el check previo de requisitos.

Proseguimos con la instalación y cerramos el asistente.

Hasta aquí la primera parte. Mañana (o el lunes), la segunda y última parte.

Saludos,

Marc

Hola,

Las cosas en esta vida cambian y evolucionan. Tanto en la tecnología como en lo personal.

En lo personal, uno engorda y le salen canas (o eso dicen )

En la tecnología, hace ya más de dos años explicaba cómo federar Office 365 con nuestro Directorio Activo usando la versión 2.0. de Active Directory Federation Services.

Creo que ya es hora de actualizar esos conceptos y usar la versión 3.0 de ADFS junto con Windows Server 2012 R2 Update 1.

Pues los próximos dos artículos irán sobre precisamente esto.

Saludos,

Marc

Hola,

Seguimos con la migración y sus curiosidades.

Ya he instalado un CAS y un MBX 2013 en un entorno 2010 (después de preparar el AD en la entrada de ayer).

He instalado el certificado y configurado correctamente las entradas DNS para el nuevo entorno. También he “corregido” las InternalURL de los servicios OWA y ECP, y la AutodiscoverInternalUri para que no se quejaran al accederse por HTTPs (cosas de los Split DNS)

Pues bien, una de las cosas buenas que tiene Exchange 2013 respecto a versiones anteriores, es que los accesos a OWA y ECP se redireccionan automáticamente en función de en qué MBX tengas al usuario.

Esto está genial porque te evita problemas en la publicación de estos servicios de cara a los usuarios.

Si tecleo https://InternalCAS2013/OWA y hago login con un usuario que está en un 2010, automáticamente se abre el MBX del 2010 sin modificar la URL del OWA.

Pero tiene una contrapartida, digamos, interesante. Si quiero acceder al ECP… también me envía a la versión 2010!!!!!

Esto complica un poco la administración del entorno desde la consola web (sigue funcionando perfectamente desde PowerShell)

La solución, como siempre, en la KB de Microsoft. Basta aplicar lo que se dice en

Exchange 2013 Redirects to Exchange 2010 for OWA and ECP, http://support.microsoft.com/kb/2931385/en-us

y asunto arreglado.

Continuará…

Saludos,

Marc