Diego Cabai KEEP I.T. SIMPLE, KEEP I.T. CLEAN

Cómo Publicar un OWA 2003 + RPC/HTTP(s) en un ISA 2006

Me pareció interesante realizar un tutorial sobre cómo publicar una granja Front End de Outlook Web Access de Exchange 2003 con Microsoft ISA Server 2006. En principio lo general sería implementar la granja mediante NLB en la red interna y publicarlo, pero ISA 2006 nos permite realizar él mismo el balanceo según disponibilidad de los equipos, lo que considero mucho mejor ya que si el IIS está caído en uno de los OWA, el NLB direcciona el tráfico de todo modos. Esto proporciona una pérdida de servicio para ese usuario, en cambio con ISA 2006 nos aseguramos que el servicio de HTTP responda, incluso si queremos hasta que chequee el directorio virtual de Exchange.

Qué pretendo publicar, simple, el acceso web de los usuarios. La infraestructura con la que voy a trabajar es la siguiente:

Este es un escenario normal donde tenemos los OWA dentro de nuestra red y brindan servicios tanto internamente como externamente. Para lograr esto vamos a tener que implementar un hostname de dns que sirva tanto internamente como desde internet. Esto lleva una configuración extra en el equipo que brinda el servicio de ISA pero se puede hacer sin problemas. Obviamente se puede hacer lo mismo con un solo OWA y un sólo Back End, pero la idea es mostrar como hacer el balanceo con el ISA.

Lo primero que vamos a hacer es ingresar al servidor de ISA Server 2006 recien instalado y vamos a la barra lateral izquierda donde estan todas las tareas que podemos realizar. Ahí marcamos “Publish Exchange Web Client Access”.

Este nos abrirá un asistente que nos va a guiar en toda la publicación de nuestros servidores FE (Front End). Como vemos adicionalemente tenemos otras publicaciones para hacer como Sharepoint, servidores de Correo, Servidores Web, etc.
En nuestro caso sólo publicaremos el OWA y obviamente los servicios de RPC/HTTP(s) que son los servicios que los usuarios pueden llegar a necesitar o utilizar desde Internet.

Se inicia el asistente y en las dos primeras pantallas tenemos que seleccionar un nombre para la regla de Firewall y luego tenemos que seleccionar la versión de Exchange que vamos a publicar junto a qué servicios vamos a publicar. En este caso sólo seleccioné Outlook Web Access (OWA) y RPC/HTTP(s).

Luego al seguir el mismo asistente tenemos otras dos pantallas donde debemos seleccionar, primero si queremos publicar un sitio web único o bien un balanceador de carga actual ó una granja de servidores que balancearán el acceso de OWA. En este caso seleccionamos la segunda opción ya que queremos que el ISA maneje el balanceo de carga y no un NLB externo que lo hace a nivel de red. Luego debemos seleccionar si queremos SSL (HTTPS) o no. Obviamente recomiendo que seleccionen SSL para este tipo de accesos, es mas RPC/HTTP(s) lo requiere.

Luego nos preguntará el “Internal site name:” y ahí debemos poner el nombre del stio web con el que acceden los usuarios internamente. Supongamos que generamos dos hosts con round robin en DNS llamado correo.miempresa.com. Aquí debemos poner ese nombre del sitio, luego arreglaremos el DNS pero ahora debemos poner ese nombre ya que es el que usan los usuarios. En el siguiente paso nos pedirá que seleccionemos la granja de servidores que brindan dicho servicio y ahí debemos  hacer click en “New” para generarla lo que hace que inicie un nuevo asistente.

Nuevamente debemos poner un nombre que asignaremos a la granja y la pantalla siguiente debemos definir los mismos. Al agregarlos podemos hacer la búsqueda en Active Directory o bien tipearlos a mano. Seguido a eso debemos definir qué tipo de monitoreo de conectividad va a realizar. Recuerden que les dije que el ISA puede chequear si el equipo está arriba o no antes de balancear, bueno acá decimos cómo queremos que haga ese monitoreo, si por ping, por TCP, por acceso web a un virtual directory, etc. En mi caso al directorio virtual de Exchange para corroborar que todo está arriba y funcionando. 

Al completar este asistente volveremos al anterior con la nueva granja seleccionada. Si continuamos nos va a preguntar qué url queremos que use externamente. Suponiendo que el dominio interno es igual al externo podemos asumir que usarán correo.miempresa.com y debido a eso necesitamos hacer la configuración de DNS.

Si continuamos nos va a preguntar qué Web Listener vamos a utilizar. En este caso estamos creando la apertura del puerto que redireccionará a los OWA internos que configuramos antes. Por eso seleccionamos New y nos abrirá un nuevo asistente.

Ponemos un nombre y luego seleccionamos que requiera SSL para mas seguridad. Esto es importante ante un servicio de este tipo y la información que va a transmitir por el mismo. Continuando seleccionaremos en qué redes queremos que escuche. Acá debemos seleccionar tanto la red Externa como la Interna. Por qué de esto? Porque vamos a hacer que los usuarios se conecten al form de OWA de ISA 2006 tanto internamente como externamente. Recordemos que no podemos usar el form de ISA desde internet y el form de OWA internamente, ahí tenemos problemas para autenticar.

Luego viene la parte donde instalaremos el certificado. Recordemos que el mismo ya debería estar instalado en el equipo, esto lo podemos hacer desde una mmc abriendo Certificates –> Computer account. Ahí importamos el certificado que instalamos en el sitio del OWA con la misma url y si lo hacemos correctamente aparecerá en el asistente del ISA Server 2006. Podemos optar por utilizar certificados diferentes para la red interna y para la externa o bien uno para ambos.

Luego debemos seleccionar el tipo de autenticación. Como mencioné antes vamos a usar el form de ISA así que seleccionamos HTML Form Authentication y mas abajo Windows Active Directory. Al continuar podemos poner el dominio de nuestra compañía para utilizar el servicio de Single Sign On. Esto sirve si el mismo listener va a publicar mas de un sitio así que podemos configurarlo con el dominio de nuestra empresa en este caso .miempresa.com.  Al finalizar volveremos al asistente anterior donde lo habíamos dejado que es la selección del Listener.

Luego debemos seleccionar el método de autenticación con el servidor web. Acá debemos elegir “Basic authentication” porque tenemos el certificado SSL instalado y ya encriptará todo el tráfico de información. Por último elegimos qué usuarios tendrán acceso a dicha regla y al finalizar podemos hacer click en “Test Rule” para corroborar que tengamos todo en órden.

Bien ahora nos falta configurar el DNS y el archivo hosts del ISA. En principio editamos el archivo hosts del ISA y agregamos las IP de los servidores de la granja con la url interna. En realidad es la misma url pero configuramos esa url con las IP internas. Luego vamos al DNS interno y borramos los hosts round robin que teníamos y configuramos un nuevo registro (A) host con la url correo.miempresa.com a la IP interna del ISA. De esta manera nos aseguramos que internamente los usuarios van a ingresar al OWA a través del form del ISA 2006. Lo probamos y verificamos el acceso. Luego vamos al DNS externo de la compañía y creamos el host (A) a la IP externa del ISA para que así accedan desde internet tanto por OWA como por RPC/HTTP(s).

Nos falta un sólo punto que es redireccionar cualquier URL que tipeen los usuarios a https://correo.miempresa.com/exchange. Este redireccionamiento si lo hacemos por un archivo htm o asp como si estuviese solo el OWA nos traería problemas en el ISA a la hora de acceder a menos que instalemos un Web Filter aparte. Como no queremos instalar nada, sólo vamos a modificar la regla de publicación del OWA. En la solapa Paths debemos agregar uno nuevo y configurarlo con el / como path local y /Exchange\ como path remoto. Quedaría como la imagen de la izquierda.

Así el Exchange es capaz de detectar que viene con la barra inversa al final y convertirla a una url válida. De esta manera cualquier cosa que ponga el usuario será redireccionado a https:// (SSL) en primer lugar y luego al /exchange como directorio virtual. Así mostrará el siguiente form tanto internamente como desde el exterior:

La misma URL la debemos utilizar para el servicio de RPC over HTTP(s). Existe el documento en Technet donde explica lo siguiente con algunos mas detalles por si te interesa pero sin tantas pantallas. Creo que entre los dos se puede hacer una buena configuración.

Link | http://technet.microsoft.com/en-us/library/bb794845.aspx

Artículos relacionados: