How Can We Help?
Configurare Windows Server ed Exchange Server su singolo IP pubblico
Dalla versione di Windows Server 2012, ovvero con l’introduzione della applicazione di accesso remoto al sistema, non è più possibile configurare sulla medesima macchina fisica il Controller di Dominio e un server Exchange.
Questo implica che sarebbe opportuno avere due indirizzi IP pubblici diversi per il Controller di Dominio e per il server Exchange.
Per ovviare a questo onere (ovvero per evitare di avere due indirizzi IP pubblici) è possibile utilizzare il modulo di estensione di Internet Information Server denominato Application Request Routing (ARR) e l’estensione di riscrittura delle URL (URL Rewrite).
Prerequisiti
Prima di installare i software e applicare le configurazioni di seguito indicate è necessario disporre delle seguenti informazioni:
- hostname del Domain Controller (es. server.domain.local)
- hostname del server Exchange (es. mail-server.domain.local)
- sul Domain Controller è necessario avere Internet Information Server installato
- hostname pubblico del servizio di posta elettronica via Web (es. mail.domain.com)
Software
Sono necessari i seguenti software, da installare sul server Web del Domain Controller:
Certificati pubblici e interni
Per facilitare il funzionamento del Proxy è necessario preventivamente avere a disposizione:
- Un certificato pubblico relativo al dominio indicato in precedenza (es. mail.domain.com)
- Distribuire il certificato autogenerato dal Server Exchange su tutto il domino Active Directory.
Configurazione
La configurazione, applicati i prerequisiti, consiste nel creare sul server Web del Domain Controller un sito che gestisca il dominio pubblico mail.domain.com.
Verranno create delle regole per la configurazione dell’URL Rewrite.
Configurazione DNS locale e pubblico
Anzitutto deve essere disponibile, sia nella rete locale che nella rete internet, il dominio mail.domain.com. Nella rete locale è possibile assegnare come dominio il server Web del Domain Controller.
DNS locale
Nel DNS di Active Directory creare una nuova zona primaria come segue:
DNS Pubblico
Verificare il proprio indirizzo IP pubblico (es. http://www.mioip.it) o configurare un host DNS dinamico. Aggiungere al DNS del dominio domain.com l’host A o CNAME che punti al’IP pubblico rilevevato.
Configurazione certificati SSL
I certificati SSL devono essere così impostati:
Web Server – Domain Controller
Exchange Server
Sul server Exchange i bindings ai certificati devono essere così impostati.
è necessario che le configurazioni del server Exchange siano applicate per l’uso di indirizzi di accesso esterno.
Configurazione Application Request Routing
Sul Web server del Domain Controller accedere alle configurazioni di ARR e attivare il proxy, facendo clic su Server Proxy Settings… .
Abilitare il servizio Proxy.
Verifiche su Windows 2019: Rimozione Modulo “Service” (*.svc)
Sotto alcune condizioni, su sistemi Windows 2016 o Windows 2019 il modulo di gestione dei file con estensione SVC non vegono processati dal modulo ARR e URL Rewrite.
Per ovviare a questa problematica, rimuovere dal sito web configurato per il proxy ARR di Exchange su Internet Information Server del Domain Controller il mapping del gestore dei file SVC.
svc-Integrated-4.0
svc-ISAPI-4.0_32bit
svc-ISAPI-4.0_64bit
Configurare URL Rewrite
La configurazione della riscrittura degli URL (URL Rewrite). In questo caso è più semplice e rapido modificare manualmente il file web.config.
<rewrite>
<rules>
<clear />
<rule name="Reverse Proxy to Exchange Server" enabled="true" patternSyntax="ECMAScript" stopProcessing="true">
<match url="(.*)" ignoreCase="true" negate="false" />
<conditions logicalGrouping="MatchAny" trackAllCaptures="false">
<add input="{CACHE_URL}" pattern="^(http)://" />
<add input="{CACHE_URL}" pattern="^(https)://" />
</conditions>
<action type="Rewrite" url="https://MAIL-SERVER.domain.local/{R:1}" />
</rule>
</rules>
</rewrite>
Configurazione reindirizzamento verso HTTPS
Questa configurazione è consigliabile in quanto semplifica per l’utente l’uso della posta elettronica via Web.
Con questa impostazione infatti il sito web di Reverse Proxy sarà abilitato a rispondere sulla porta 80 in HTTP, trasferendo poi l’utente sul sito web protetto in SSL.
<rule name="Redirect to HTTPS" enabled="true" patternSyntax="Wildcard" stopProcessing="true">
<match url="*" negate="false" />
<conditions logicalGrouping="MatchAny" trackAllCaptures="false">
<add input="{HTTPS}" pattern="off" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Found" />
</rule>
Le regole così verranno visualizzate sulla Console di Internet Information Server.