1

Configuración en un entorno con Exchange Server.

Preparación del dominio ­ Configuración TCP/IP del servidor DC. En el entorno de pruebas, con los siguientes valores:

Parámetro Valor Dirección IP 192.168.1.31 PEP 192.168.1.1 (IP del router o firewall) DNS principal 1ª DNS del ISP DNS secundaria 2ª DNS del ISP

­ Instalar las actualizaciones críticas. ­ Cambiar el nombre del servidor DC. En el ejemplo, vprincipal. ­ Crear el dominio. En el ejemplo: empresa.local. Durante el proceso se configurará

automáticamente el servidor DNS. ­ Revisar la configuración del servidor DNS, revisando que están como reenviadores las DNS

de nuestro ISP y no se está usando recursividad. ­ Configuración TCP/IP del servidor Exchange. En el ejemplo, los siguientes valores:

Parámetro Valor Dirección IP 192.168.1.32 PEP 192.168.1.1 DNS principal 192.168.1.31 DNS secundaria Vacia

­ Instalar las actualizaciones críticas. ­ Cambiar el nombre del servidor Exchange. En el ejemplo, vexchange. ­ Si hemos utilizado la misma imagen de vmware en ambos servidores, cambiar el SID del

servidor Exchange antes de agregarlo al dominio. Para ello utilizar la herramienta NewSID (gratuita de Microsoft).

­ Agregar al dominio el servidor Exchange.

Configurar firewall para acceso desde Internet. Es necesario redirigir al servidor Exchange el tráfico que viene desde Internet por el puerto 443 (HTTPS), para que los servicios que usan SSL pueda funcionar desde Internet.

Instalación de Exchange Server ­ Instalar los servicios NNTP, SMTP, WWW y ASP.NET, desde el Panel de control, agregar o

quitar programas, componentes de Windows. ­ Instalar las Herramientas de soporte técnico de Windows de la carpeta support del CD de

instalación de Windows Server. ­ Ejecutar desde CMD el comando dcdiag /s:<controlador de dominio> ­ Ejecutar desde CMD el comando netdiag ­ Ejecutar ForestPrep. Valores por defecto. Da un error si previamente no se han aplicado las

actualizaciones críticas en el servidor. ­ Ejecutar DomainPrep. Valores por defecto. Dara un mensaje de aviso, continuar. ­ Ejecutar el programa de instalación de Exchange Server. En Nombre de la organización

poner el nombre de la empresa. Resto valores por defecto. ­ A mitad de la instalación, no encontrará un par de ficheros. Buscar en el CD ficheros con la

extensión *.msc, copiar en c: los que se parecen a los que busca (el mismo nombre, solo que los espacios en blanco están con _), renombrarlos correctamente e indicar al proceso de instalación en dónde se encuentran esos archivos.

­ Reiniciar el servidor e instalar SP2 de Exchange Server.

2

Creación de las cuentas de usuario (ejemplo). ­ Desde el propio servidor de Exchange, abrir Usuarios y equipos de Active Directory. ­ Crear los siguientes usuarios de ejemplo:

Nombre del usuario Inicio de sesión Dirección de email predeterminada PEPE admin01@empresa.local usr01@empresa.es JUAN admin02@empresa.local usr02@empresa.es

­ Para cambiar la dirección de email predeterminada, ir a Propiedades del usuario, en la ficha Direcciones de correo electrónico, añadir la nueva dirección de email, establecerla como predeterminada, y desmarcar la casilla Actualizar direcciones automáticamente según directiva del destinatario. Esto lo hacemos así porque la dirección de email no va a coincidir con el nombre de inicio de sesión del usuario. Si coincidiera, se puede modificar la directiva del destinatario para que la cree automáticamente al crear un usuario nuevo.

Configuración de un puesto de trabajo. ­ Configuración TCP/IP del puesto de trabajo. En el ejemplo, los siguientes valores:

Parámetro Valor Dirección IP 192.168.1.41 PEP 192.168.1.1 DNS principal 192.168.1.31

­ Cambiar el nombre de la estación de trabajo, si es necesario. En nuestro caso, vpca-01. ­ Agregar el equipo al dominio. Se reinicia el PC. ­ Desde Usuarios y equipos de AD en el servidor, buscar el equipo,seleccionar Administrar

el equipo y añadir los usuarios creados al grupo Administradores del equipo. ­ Iniciar sesión con el Usuario A e instalar outlook 2003. ­ Configurar la conexión a Exchange del Outlook de la forma habitual ­ Para corregir un error que da outlook al enviar y recibir, hay que ir al Administrador de

Exchange y reconstruir la Lista de direcciones sin conexión predeterminada, localizada en Destinatarios – Listas de direcciones sin conexión.

Conexión de Exchange a Internet. Envío de correo. NOTA: En nuestro caso, el acceso será anónimo. Nuestro ISP permite acceso anónimo SMTP durante los minutos siguientes a una conexión POP3 desde una IP específica. Como nosotros configuraremos un conector POP3 para que periódicamente se conecte, nuestro conector SMTP podrá acceder sin problemas.

­ Desde el Administrador de Exchange, lanzar el Asistente para correo de Internet. Valores por defecto hasta la Configuración de correo saliente, en donde seleccionamos la opción Enrutar todo el correo a través del siguiente host inteligente, y en la casilla de debajo informamos el nombre del servidor SMTP de mi ISP, en el ejemplo es mail.empresa.es

­ Verificar que el acceso es anónimo en Propiedades de Conector SMTP de correo de Internet, ficha Avanzado, botón Seguridad saliente.

Conexión de Exchange a Internet. Recepción de correo. ­ Instalar .NET Framework 2.0 en el servidor Exchange (descarga gratuita de Microsoft) ­ Instalar Quantum connector POP3 y configurar la descarga de cada una de las cuentas

creadas en el ISP a su correspondiente buzón. En este caso: Cuenta email externa Buzón de Exchange usr01@empresa.es admin01@empresa.local usr02@empresa.es admin02@empresa.local

­ Desde el Administrador de Exchange, desplegamos Servidor, Protocolos, SMTP. En Propiedades del Servidor virtual SMTP predeterminado, ficha Acceso, área Restricciones

3

de retrasmisión, botón Retrasmisión, agregar a la lista de equipos que pueden transmitir la IP del servidor Exchange.

­ Desde el Administrador de Exchange, desplegamos Servidor, Protocolos, SMTP. En Propiedades del Servidor virtual SMTP predeterminado, ficha Acceso, área Control de acceso, botón Autenticación, marcar la casilla Acceso anónimo.

Instalación de un servidor de cetificados. ­ Instalar desde Panel de control, Agregar o quitar programas, Componentes de Windows, los

Servicios de Certificate Server. Durante la instalación, informar los siguientes valores:

Campo Valor Tipo de entidad emisora de certificados Entidad emisora ráiz independiente Nombre común para esta entidad emisora Nombre del servidor

­ Acceso al servidor de certificados: http://vexchange/certsrv

­ La herramienta Entidad emisora de certificados está situada en el Panel de Control, Herramientas administrativas.

Instalación de un certificado en IIS. NOTA: Para poder utilizar SSL en OWA o OMA, es necesario instalar previamente un certificado en IIS.

­ Se crea una petición de certificado desde Propiedades del Sitio Web predeterminado, ficha Seguridad de directorios, botón Certificado de servidor. Los valores son:

Campo Valor Método a utilizar en este sitio Web Crear un certificado nuevo Petición demorada o inmediata Preparar la petición ahora pero enviarla más tarde Nombre del certificado: Certificado Exchange (lo que queramos) Organización Empresa (lo que queramos) Unidad organizativa OWA-OMA-RPC (lo que queramos) Nombre común: IP pública Información geográfica (lo que queramos) ­ Se guarda el certificado en un archivo txt. ­ Se accede vía web al servidor de certificados y se solicita un certificado, solicitud avanzada,

… usando un archivo…., copiando y pegando desde el txt generado anteriormente. ­ En la Entidad emisora de certificados, se busca la solicitud en Peticiones pendientes y se

emite el certificado. ­ Se vuelve a la web del servidor de certificados, y se descarga en disco el certificado en

Cifrado en Base64. ­ Se vuelve al IIS (mismo sitio que antes), y se continua con la instalación del certificado.

Puerto 443 (por defecto).

Configuración OWA con SSL y autentificación basada en formularios. NOTA: Con la instalación por defecto, OWA ya está disponible. Para mayor seguridad, es imprescindible configurar OWA para que use SSL.

­ En Administrador de IIS, expandimos el servidor, Sitios Web y Sitio Web predeterminado. Accedemos a las propiedades del objeto Exchange.

­ En la ficha Seguridad de directorios, área Comunicaciones seguras, botón Modificar. Marcar las casillas Requerir canal seguro (SSL) y Requerir cifrado de 128 bits.

NOTA: La autentificación basada en formularios es una mejora en el interface de inicio de sesión al usar OWA.

4

­ Abrir el Administrador de Exchange. Desplegar el servidor, Protocolos y HTTP. En Propiedades del Servidor virtual de Exchange, ficha Configuración, marcar la casilla Habilitar autenticación basada en formularios.

­ Reiniciar los servicios IIS. ­ Acceso OWA:

https://IP_publica/exchange

Configuración OMA con SSL. ­ En Administrador de Exchange, desplegamos Configuración global, Propiedades del objeto

Servicios para dispositivos móviles, ficha General, marcamos las casillas Habilitar Outlook Mobile Access y Habilitar dispositivos no compatibles.

­ En Administrador de IIS, expandimos el servidor, Sitios Web y Sitio Web predeterminado. Accede mos a las Propiedades del objeto OMA.

­ En la ficha Seguridad de directorios, área Comunicaciones seguras, botón Modificar. Marcamos las casillas Requerir canal seguro (SSL) y Requerir cifrado de 128 bits.

­ Acceso OMA desde cualquier navegador de internet: https://IP_publica/oma

NOTA: En teoría debería funcionar, pero no lo hace. Tras investigar por Internet, debemos realizar los siguientes pasos:

1. Start Internet Information Services (IIS) Manager. 2. Locate the Exchange virtual directory. The default location is as follows:

Web Sites\Default Web Site\Exchange 3. Right-click the Exchange virtual directory, click All Tasks, and then click Save Configuration

to a File. 4. In the File name box, type a name. For example, type ExchangeVDir. Click OK. 5. Right-click the root of this Web site. Typically, this is Default Web Site. Click New, and then

click Virtual Directory (from file). 6. In the Import Configuration dialog box, click Browse, locate the file that you created in step

4, click Open, and then click Read File. 7. Under Select a configuration to import , click Exchange, and then click OK.

A dialog box will appear that states that the "virtual directory already exists." 8. In the Alias box, type a name for the new virtual directory that you want Exchange

ActiveSync and Outlook Mobile Access to use. For example, type exchange-oma. Click OK. 9. Right-click the new virtual directory. In this example, click exchange-oma. Click Properties. 10. Click the Directory Security tab. 11. Under Authentication and access control, click Edit. 12. Make sure that only the following authentication methods are enabled, and then click OK:

• Integrated Windows authentication • Basic authentication

13. On the Directory Security tab, under IP address and domain name restrictions, click Edit. 14. Click the option for Denied access, click Add, click Single computer and type the IP address

of the server that you are configuring, and then click OK. 15. Under Secure communications, click Edit. Make sure that Require secure channel (SSL) is

not enabled, and then click OK. 16. Click OK, and then close the IIS Manager. 17. Click Start, click Run, type regedit, and then click OK. 18. Locate the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters 19. Right-click Parameters, click to New, and then click String Value. 20. Type ExchangeVDir, and then press ENTER. Right-click ExchangeVDir, and then click

Modify.

5

NoteExchangeVDir is case-sensitive. If you do not type ExchangeVDir exactly as it appears in this article, ActiveSync does not find the key when it locates the exchange-oma folder.

21. In the Value data box, type the name of the new virtual directory that you created in step 8. For example, type /exchange-oma. Click OK.

22. Quit Registry Editor. 23. Restart the IIS Admin service.

Configuración de RPC sobre HTTPS en el Servidor Exchange. NOTA: RPC sobre HTTPS permite la conexión de Outlook desde Internet sin necesidad de utilizar VPNs. Debemos configurar tanto el servidor Exchange como el cliente Outlook.

­ En Panel de control, Agregar o quitar programas, Componentes de Windows, en el apartado de Servicios de red, instalar RPC sobre el proxy HTTP.

­ En el Administrador de IIS, expandimos el servidor, Sitios Web y Sitio Web predeterminado. Propiedades del objeto RPC, ficha Seguridad de directorios, área Autenticación y control de acceso, botón Modificar. Solo dejamos marcada la casilla Autenticación básica (la contraseña se envía como texto no cifrado). Saldrá un mensaje de aviso, lo cerramos. En el campo Dominio predeterminado, poner el nombre del dominio local, en el ejemplo empresa.local.

­ En el Administrador de IIS, expandimos el servidor, Sitios Web y Sitio Web predeterminado. Propiedades del objeto RPC, ficha Seguridad de directorios, área Comunicaciones seguras, botón Modificar. Marcamos las casillas Requerir canal seguro (SSL) y Requerir cifrado de 128 bits.

­ Nos bajamos de Internet la aplicación RPCNoFrontEnd. La ejecutamos e informamos el campo External or Internet FQDN con la IP pública. Aplicamos los datos con el botón Set Registry Entries Now.

­ En el Administrador de Exchange, Propiedades del servidor, ficha RPC-HTTP. Seleccionamos la opción Servidor de servicios de fondo RPC-HTTP. Dará un mensaje de aviso/error (lo aceptamos). Reiniciar el servidor Exchange.

Configuración de Outlook para usar RPC sobre HTTPS. ­ Panel de control, Correo. En Mostrar Perfiles, seleccionamos el que queremos modificar,

botón Propiedades, Botón Cuentas de correo electrónico, opción Ver o cambiar cuentas de correo electrónico existentes.

­ Seleccionamos la cuenta de Exchange, botón Cambiar, botón Más configuraciones, ficha Conexión, área Exchange a través de Internet, marcamos la casilla Conectar con el buzón de Exchange utilizando HTTP.

­ Botón Configuración de proxy de Exchange, informamos los siguientes valores: Campo Valor Utilizar esta dirección URL para… IP pública Utilizar esta autenticación al conectar… Autenticación básica

­ Desmarcar la casilla En redes rápidas, conectar utilizando HTTP… NOTA: En un entorno de pruebas, si queremos probar RPC sobre HTTPS desde un equipo conectado a la LAN, debemos marcar esta casilla; de lo contrario se conectará por el sistema normal.

­ Marcar la casilla En redes lentas, conectar utilizando HTTP…

Consideraciones:

­ La primera vez que se ejecuta Outlook, debe hacerse en local, para que se genere una copia local del buzón. Posteriormente configuraremos RPC sobre HTTP.

­ En las pruebas solo me ha funcionado desde un equipo dado de alta en el dominio e iniciada sesión con un usuario del dominio.

6

Configuración acceso pop3 a Exchange. Por defecto, los servicios pop3 de Exchange están deshabilitados. Para habilitarlo, ir a Herramientas administrativas, servicios, y cambiar el inicio a Automático en el servicio Microsoft Exchange-POP3. El acceso a Exchange mediante POP3 es necesario para las comunicaciones de las impresoras ¿?

Configuración de los servicios de Blackberry. Se pueden activar los servicios a través de pop3, imap y OWA, por lo cual utilizaremos éste último.

En el proceso de configuración de una cuenta, inicialmente no permite seleccionar el tipo de conexión; hay que informar de una cuenta que no existe, seleccionar la opción Proporcionaré la configuración para agregar esta cuenta de correo electrónico, opción Ésta es mi cuenta de correo electrónico del trabajo, y entonces el asistente nos da la opción de Puedo acceder a mi cuenta de correo electrónico utilizando un navegador Web (Outlook Web Access).

En el ejemplo, para el Usuario 1 los valores durante la configuración son:

Campo: Valor: URL de Outlook Web Access https://IP_pública/exchange Nombre de usuario: empresa\admin01 Contraseña: 123456ab. Dirección de correo electrónico usr01@empresa.es Nombre de buzón: admin01

Activesync. NOTA: Activesync nos permite sincronizar el contenido de Outlook con diferentes dispositivos móviles, como pocketPC, smatphones, etc., sobre todo con aquellos que lleven el SO Windows Mobile. Cuando detecta que Outlook tiene configurada una cuenta de Exchange, nos da la posibilidad de poder sincronizar determinados elementos del buzón a través de Internet, sin necesidad de conectar el dispositivo al PC de escritorio. En el entorno de prueba, se ha utilizado una máquina virtual sobre vmware, sin problemas.

Preparación del entorno de pruebas:

1. Descargar e instalar Virtual PC 2007 desde la web de Microsoft. No requiere configuración especial. Necesario para que funcione el emulador de dispositivos móviles.

2. Descargar e instalar la versión 1 del emulador de dispositivos móviles desde la web de Microsoft, ya que incluye imágenes del SO listas para usar. Posteriormente descargar y actualizar a la versión 3, que es la última.

3. Instalación de ActiveSync. Descargar la última versión de la web de Microsoft.

Durante la primera conexión del dispositivo con ActiveSync, habrá que introducir los datos necesarios para una conexión por OWA: dirección del servidor, usuario y contraseña.

Si tenemos configurado OWA para usar SSL y autentificación basada en formularios, es necesario instalar el certificado del servidor en el PPC. Para ello:

­ Exportar el certificado del servidor de CA: Entrar en la Web del servidor CA, http://vsrvexchange/certsrv, seleccionar Descargar un certificado de entidad emisora, cadena de…, marcar el método de codificación DER, y seleccionar Descargar certificado de entidad emisora. Guardar el archivo con extensión *.CER.

­ Abrir ActiveSync, conectar el PPC al equipo, Explorar dispositivo y copiar el certificado en el dispositivo.

­ En el PPC, usar el explorador de ficheros, buscar el certificado e instalarlo.