Publicando clientes de acceso Exchange con ISA SERVER 2006

11 03 2008

En este post os quiero presentar dos documentos muy recomendables de las paginas http://www.msexchange.org/ y http://www.isaserver.org/ que tratan sobre la publicación e instalación de los clientes de acceso Exchange en la red DMZ.isa.jpg

Actualmente con la versión de MS Exchange 2007 la clásica opción que se solia usar de servidores con rol de Back-End y Fron-End para publicación de servicios de Exchange en 2003 (OWA, Exchange Activesync, Rpc/Https) no es viable en la reciente versión de Exchange 2007, aparte de no recomendada por Microsoft.

En este post os intentare explicar todo esto y explicar opciones de diseño para todas las versiones de Exchange así como aclarar posibles dudas.

Como os he comentado, en Exchange 2007 se hace inviable la instalación Front-End Back-End para la publicación de los “clientes de acceso”, no quiero decir con esto que poder no se pueda, pero no es recomendable por motivos de seguridad así como que harían falta 2 servidores Exchange en la DMZ y uno de ellos como miembro del dominio.

Actualmente Exchange 2007 se divide en 5 roles:

Servidor de buzones (Mailbox role)

Servidor de acceso de cliente (Client Access role)

Servidor de transporte perimetral (Edge transport role)

Servidor de transporte de concentrador (Hub Transport role)

Servidor de mensajería unificada (Unified Messaging role)

En Exchange 2007 el encargado de dar acceso a los buzones mediante OWA, Exchange Active sync y rpc/https (Outlook Anywhere) es el rol de acceso cliente, este rol no se ha de instalar en la red DMZ (Este rol requiere que el servidor sea miembro de dominio) ni estar instalado en un servidor junto con el rol de trasporte perimetral.

Con estas premisas, nos encontramos que para poder instalar un escenario como el clásico back-end / front-end de Exchange 2003 necesitaríamos de 2 servidores en la DMZ, teniendo siempre en cuenta que Microsoft no recomienda esta instalación.. cosa curiosa cuando en Exchange 2003 era una “practica recomendada” aún teniendo que abrir todos los puertos de rpc, kerberos.. pero no vamos a entrar en eso ahora.

La solución de diseño que os quiero presentar vale para todas las versiones de Exchange desde la versión 5.5 hasta la 2007. A mi opinión es una de la mejores formas de publicación así como rápida y fácil de implantar.

La solución se basa en tener todos los servidores de Exchange en la red interna, en la red DMZ tener un servidor ISA Server 2006 publicando los servicios OWA, Exchange Activesync y Outlook Anywhere (rpc/https) y otro haciendo la función de relay smtp.

Aquí se puede ver un pequeño diagrama de la solución:

isa-docsharing3.jpg

En la imagen se puede ver como todo el trafico va sobre un canal seguro ssl de extremo a extremo (Se ha de configurar en los servidores).

El relay smtp se puede elegir en instalar un Exchange 2007 en grupo de trabajo con el rol de transporte perimetral, teniendo en cuenta que es una nueva licencia de Exchange 2007 o elegir entre unos de las múltiples soluciones de relay smtp en formato appliance u otro MTA como puede ser un sistema operativo Linux…. A gusto de cada uno.

A la hora de configurar el Isa Server 2006 también existen diferentes opciones como pueden ser:

– Instalar Isa Server 2006 con una sola tarjeta de red y fuera del dominio, donde si queremos establecer opción de Autenticación debemos configurar la conexión LDAP o Radius así como abrir sus correspondientes puertos de la DMZ a la LAN.

– Instalar Isa Server 2006 con 2 interfaces de red y como miembro del dominio.

En los siguientes enlaces os dejo dos documentos donde explican paso a paso como configurar ambas opciones, son dos documentos muy descriptivos y fáciles de seguir e implantar:

Documento de la web http://www.msexchange.org donde se explica la opción de instalar Isa Server 2006 con una sola tarjeta de red y en grupo de trabajo.

http://www.msexchange.org/articles_tutorials/exchange-server-2007/mobility-client-access/publishing-exchange-client-access-isa-2006-complete-solution-part1.html

Documento de la web http://www.isaserver.org donde se explica la opción de instalar Isa Server 2006 con dos tarjetas de red y miembro de dominio.

http://www.isaserver.org/tutorials/Using-2006-ISA-Firewall-RC-Publish-OWA-Sites-Part1.html

Para finalizar comentaros que este es uno de los usos que se le puede dar a este servidor Isa Server 2006 en la DMZ, ya que aparte de la opción de publicar otros servicios de Microsoft nos permite otras opciones como son la configuración de reportes de accesos, configurarlo como servidor Proxy.. pero bueno eso para próximos artículos..

Cualquier duda aquí estamos..

Un saludo


Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: