Conectar un SBS2000 a Internet por ADSL (Telecom Colombia)

Si estas usando ISA... puedes controlar el acceso. Tu usuarios tendrian que
usar VPN o llamar directamente al servidor (RRAS). Tambien puedes usar OWA
para el correo. Si todavia no tienes o has instalado SBS... te recomiendo
que mires la version SBS2003 que es muy superior en cuanto al acceso remoto
(en mi opinion).

A que te refieres con hacer el hosting desde tu SBS? Que tu pagina publica
de internet sea "hosted" en el servidor? Esto se puede hacer... pero es muy
mala idea (especialmente si no tienes experiencia).

Javier [SBS MVP]

<< SBS ROCKS!!! >>

"Diego M." wrote in message
news:19bf701c44d7d$ea934fb0$
Hola,

Acabamos de contratar un canal dedicado de 256 kbps con
Telecom (Colombia) para conectar nuestro SBS2000 a
Internet -en este momento estamos por conexión conmutada a
través del SBS-, y nos van a asignar dos direcciones IP
fijas... mi duda es sobre la seguridad del acceso: una vez
tengamos instalado el DSL, el SBS puede controlar la
seguridad del acceso al servidor para que desde afuera se
puedan usar solamente los servicios de correo, messenger,
netmeeting y web (es decir, traerme el hosting a mi SBS y
manejarlo desde acá)?

Y si quiero que algunos usuarios móviles puedan ingresar a
sus perfiles de usuario en el SBS por medio de la conexión
dedicada (me imagino que por VPN aunque no manejo esto muy
bien), qué es necesario tener o qué hay que hacer en este
caso?

Gracias!

A ver, yo tengo desde hace dos años el SBS2000 instalado y
corriendo todos los servicios y aplicaciones... Sí, estoy
usando el ISA y me agrada saber que puedo controlar el
acceso por ahí...
Vamos a usar el OWA como lo estamos haciendo ahora a nivel
interno pero quisiera saber si es posible usar los
clientes de Outlook 2000/XP/2003 desde afuera de la red
pero entrando por la conexión dedicada...

Eso de configurar el VPN por un acceso dedicado con IP
pública es muy complicado?

Lo del hosting es simple: ahora tengo un hosting donde
está tanto el dominio como el manejo del correo, tanto por
cuentas POP3 como por forwarding a la cuenta que usamos
para conectarnos a Internet, el exchange toma esa cuenta y
distribuye el correo entre los usuarios... lo que quiero
ahora con la conexión dedicada es poder usar el IIS de mi
servidor para publicar nuestra web corporativa y usar el
exchange para el manejo del correo pero si usar otros
servicios externos, me explico?

Por ahora no tenemos pensado cambiar a SBS2003 porque por
ahora está fuera de nuestro presupuesto ya que tengo las
licencias full de 50 en mi SBS2000...

Diego

Si estas usando ISA... puedes controlar el acceso. Tu

usuarios tendrian que

usar VPN o llamar directamente al servidor (RRAS).

Tambien puedes usar OWA

para el correo. Si todavia no tienes o has instalado

SBS... te recomiendo

que mires la version SBS2003 que es muy superior en

cuanto al acceso remoto

(en mi opinion).

A que te refieres con hacer el hosting desde tu SBS? Que

tu pagina publica

de internet sea "hosted" en el servidor? Esto se puede

hacer... pero es muy

mala idea (especialmente si no tienes experiencia).

Javier [SBS MVP]

En linea...

Vamos a usar el OWA como lo estamos haciendo ahora a nivel
interno pero quisiera saber si es posible usar los
clientes de Outlook 2000/XP/2003 desde afuera de la red
pero entrando por la conexión dedicada...

Sin usar SBS\Exchange2003 + Outlook2003 la unica cosa que puedes hacer es
usar OWA o Outlook dentro de una VPN.

Eso de configurar el VPN por un acceso dedicado con IP
pública es muy complicado?

Relativamente facil. Sigue lo pasos en este articulo:
http://support.microsoft.com/?id20697

Lo del hosting es simple: ahora tengo un hosting donde
está tanto el dominio como el manejo del correo, tanto por
cuentas POP3 como por forwarding a la cuenta que usamos
para conectarnos a Internet, el exchange toma esa cuenta y
distribuye el correo entre los usuarios... lo que quiero
ahora con la conexión dedicada es poder usar el IIS de mi
servidor para publicar nuestra web corporativa y usar el
exchange para el manejo del correo pero si usar otros
servicios externos, me explico?

No se como todavia puedes estar usando el POP3 connector con tantas cuentas
(mas abajo me dices que tienes los 50 CALs)... a mi no me gusta, SMTP es
mejor. Como puedes ver por mis comentarios lo de usar Exchange recibiendo
los correos mediante SMTP es definitivamente algo que debes hacer (y muy
recomendado). Ahora, hacer hosting de tu pagina de internet... yo no lo
haria por varias razones:

1) Seguridad. IIS5.0 esta lleno de hoyos y tienes que estar preparado para
"patchear" tan pronto salga una vulnerabilidad. Estas exponiendo tu DC
principal (y tal vez el unico en tu dominio) al internet. Cuanto vale la
data en el servidor? Cuanto vale cada minuto que el server este abajo?
2) Rendimiento. Asumo que estas usando el SBS a su capacidad (50 CALs)...
esto no es facil para NINGUN servidor, tambien servir paginas publicas es
darle mas trabajo que no necesita. Tambien solo tienes una linea 256kbps...
eso es un bandwidth super bajito. Cuanto te cuesta ese bandwidth?
3) Experiencia. Sin animo de ofender usar IIS publicamente (en el puerto 80)
es una gran responsabilidad. Si no tienes experiencia previa con IIS,
URLSCAN, IISLockdown, ect. entonces no creo que debas hacer esto.
4) Precio. Tienes 2 IPs... de las cuales solamente 1 vas a usar con el SBS.
Por que no tomas la otra y la usas para un servidor web que este totalmente
aislado (corriendo Linux). Cuanto te puede costar esto? Una PC barata +
Linux... eso es casi gratis (claro que si no sabes linux tienes que aprender
un poco, pero igual aun podrias comprar Win2k3 Web Ed y estarias mas
seguro).

Yo me conozco SBS de arriba a abajo y no considero que el riesgo de correr
IIS publicamente vale la pena... especialmente, cuando puedes pagar $5.00USD
y que lo hagan en otro sitio.

Saludos,

Javier [SBS MVP]

<< SBS ROCKS!!! >>

De pronto no me hice entender; lo del hosting en mi
servidor, listo, lo entiendo y acepto tu opinión... solo
quería saber si es riesgoso hacerlo y veo que sí lo es...
aunque queremos mostrar cierta información a clientes y
proveedores pero lo haríamos por medio de una página con
acceso por la dirección IP y no por un dominio...qué
opinión tienes a esto???

Lo del correo: en este momento tengo el ExchangeSrv2000
configurado así: la salida de los mensajes se hace por el
conector smtp usando dns para enrutarlos y no estoy
enviando etrn/turn; para la entrada de correo estoy usando
el conector para buzones pop3 por medio de un host de
correo isp global, o sea que uso una sola cuenta del isp
para bajar todos los mensajes (en el servidor de hosting
están creadas las cuentas igual que están en el exchange
pero todas hacen forward a la cuenta del isp) y varias
cuentas de usuarios privados (son pocos) usan los buzones
de usuario para bajar de otras cuentas pop3... mi pregunta
es: para no seguir usando el servicio de correo del
hosting y poner el exchange a que reciba y envíe, qué se
debe hacer?

Ahora bien, los gerentes viajan mucho y tienen en sus
equipos outlook 2000/XP, que son los que usan para acceder
al correo en la oficina (no les gusta el owa porque no
pueden bajar los mensajes a carpetas personales en sus
equipos), y ellos quieren seguir usando esos clientes
cuando estén por fuera y se conecten via VPN... es eso
posible cuando ya esté el exchange en línea por la
conexión dedicada?

En linea...

Vamos a usar el OWA como lo estamos haciendo ahora a

nivel

interno pero quisiera saber si es posible usar los
clientes de Outlook 2000/XP/2003 desde afuera de la red
pero entrando por la conexión dedicada...

Sin usar SBS\Exchange2003 + Outlook2003 la unica cosa que

puedes hacer es

usar OWA o Outlook dentro de una VPN.

Eso de configurar el VPN por un acceso dedicado con IP
pública es muy complicado?

Relativamente facil. Sigue lo pasos en este articulo:
http://support.microsoft.com/?id20697

Lo del hosting es simple: ahora tengo un hosting donde
está tanto el dominio como el manejo del correo, tanto

por

cuentas POP3 como por forwarding a la cuenta que usamos
para conectarnos a Internet, el exchange toma esa cuenta

y

distribuye el correo entre los usuarios... lo que quiero
ahora con la conexión dedicada es poder usar el IIS de mi
servidor para publicar nuestra web corporativa y usar el
exchange para el manejo del correo pero si usar otros
servicios externos, me explico?

No se como todavia puedes estar usando el POP3 connector

con tantas cuentas

(mas abajo me dices que tienes los 50 CALs)... a mi no me

gusta, SMTP es

mejor. Como puedes ver por mis comentarios lo de usar

Exchange recibiendo

los correos mediante SMTP es definitivamente algo que

debes hacer (y muy

recomendado). Ahora, hacer hosting de tu pagina de

internet... yo no lo

haria por varias razones:

1) Seguridad. IIS5.0 esta lleno de hoyos y tienes que

estar preparado para

"patchear" tan pronto salga una vulnerabilidad. Estas

exponiendo tu DC

principal (y tal vez el unico en tu dominio) al internet.

Cuanto vale la

data en el servidor? Cuanto vale cada minuto que el

server este abajo?

2) Rendimiento. Asumo que estas usando el SBS a su

capacidad (50 CALs)...

esto no es facil para NINGUN servidor, tambien servir

paginas publicas es

darle mas trabajo que no necesita. Tambien solo tienes

una linea 256kbps...

eso es un bandwidth super bajito. Cuanto te cuesta ese

bandwidth?

3) Experiencia. Sin animo de ofender usar IIS

publicamente (en el puerto 80)

es una gran responsabilidad. Si no tienes experiencia

previa con IIS,

URLSCAN, IISLockdown, ect. entonces no creo que debas

hacer esto.

4) Precio. Tienes 2 IPs... de las cuales solamente 1 vas

a usar con el SBS.

Por que no tomas la otra y la usas para un servidor web

que este totalmente

aislado (corriendo Linux). Cuanto te puede costar esto?

Una PC barata +

Linux... eso es casi gratis (claro que si no sabes linux

tienes que aprender

un poco, pero igual aun podrias comprar Win2k3 Web Ed y

estarias mas

seguro).

Yo me conozco SBS de arriba a abajo y no considero que el

riesgo de correr

IIS publicamente vale la pena... especialmente, cuando

puedes pagar $5.00USD

y que lo hagan en otro sitio.

Saludos,

Javier [SBS MVP]

<< SBS ROCKS!!! >>


.

En linea...

aunque queremos mostrar cierta información a clientes y
proveedores pero lo haríamos por medio de una página con
acceso por la dirección IP y no por un dominio...qué
opinión tienes a esto???

La misma... no importa si es por dominio o IP es el mismo riesgo. Claro que
si es para algunos clientes en particular puedes usar HTTPs (TCP443) que de
todos modos lo tienes que tener para OWA, ect. Es un puerto mucho mas
seguro... pero de todos modos yo no lo haria (soy un poco testarudo como
podras notar :-).

Si decides hacer hosting tu mismo... te recomiendo que te suscribas a los
boletines de seguridad, corras HFNETCHK y MSBA regularmente, ect. Aunque no
me gusta hacer hosting yo mismo... la razon #1 de porque es riesgoso es
simplemente debido a que las personas no lo hacen responsablemente.
Solamente considera hacer hosting tu mismo... si estas dispuesto a patchear
tu server en menos de 48hrs y mantenerte al dia en cuanto a la seguridad

mi pregunta
es: para no seguir usando el servicio de correo del
hosting y poner el exchange a que reciba y envíe, qué se
debe hacer?

Definitvamente en tu caso esto es algo que debes hacer... como te mencione
anteriormente el POP3 Connector no me gusta mucho (muchos problemas con los
BCCs, ect.). Si no te molesta... aqui estan las intrucciones de como cambiar
de usar el POP3 connector a SMTP en ingles. Si necesitas que las traduzca me
dejas saber y lo intento:
http://groups.google.com/groups?hl=...11.phx.gbl

Ahora bien, los gerentes viajan mucho y tienen en sus
equipos outlook 2000/XP, que son los que usan para acceder
al correo en la oficina (no les gusta el owa porque no
pueden bajar los mensajes a carpetas personales en sus
equipos), y ellos quieren seguir usando esos clientes
cuando estén por fuera y se conecten via VPN... es eso
posible cuando ya esté el exchange en línea por la
conexión dedicada?

Si... simplemente configura el VPN:
http://support.microsoft.com/?id20697
y abres outlooks como si estubieras en el LAN.

Saludos,

Javier [SBS MVP]

<< SBS ROCKS!!! >>