Uso de ISA Server 2006 con Outlook Web Access
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-04-20
Outlook Web Access paraExchange Server 2007 está diseñado para poder aprovechar al máximo las nuevas características disponibles en Internet Security and Acceleration (ISA) Server 2006. Exchange 2007 también está diseñado para integrarse con versiones anteriores de ISA Server. Al implementar Exchange 2007 en un entorno donde se usa ISA Server 2006 para proteger la red corporativa, la totalidad de las características para acceso de cliente de Exchange están disponibles.
Ventajas de el uso de ISA Server 2006 con Outlook Web Access
La siguiente tabla indica las funciones de ISA Server 2006 que pueden ayudarle a asegurar el entorno de mensajería de Microsoft Exchange que incluye Outlook Web Access.
Funciones de ISA Server 2006 con Outlook Web Access
| Función | Descripción |
|---|---|
Traducción de vínculos |
ISA Server 2006 redirige las solicitudes de Outlook Web Access para las direcciones URL internas que están contenidas en el cuerpo de cualquier objeto en Outlook Web Access, como, por ejemplo, un mensaje de correo electrónico o una entrada de calendario. Los usuarios ya no tienen que recordar los espacios de nombres externos para información corporativa interna asignada a un espacio de nombres externo. Si, por ejemplo, un usuario envía un vínculo en un mensaje de correo electrónico a un espacio de nombres interno como http://contoso, y esta dirección URL interna está asignada a un espacio de nombres externo como https://www.contoso.com, la dirección URL interna se convierte automáticamente a la dirección URL externa y el usuario hace clic en la dirección URL interna. |
Equilibrio de carga de publicación de Web |
ISA Server 2006 puede equilibrar la carga de las solicitudes de clientes y enviarlas a una matriz de servidores de acceso de cliente. Cuando ISA Server 2006 recibe una solicitud de conexión a Outlook Web Access, elige un servidor de acceso de cliente y, a continuación, envía el nombre del servidor de acceso de cliente de vuelta al explorador web dentro de una cookie. |
Compresión HTTP |
En el pasado, si usó autenticación basada en formularios en el equipo de ISA Server que tenía instalados Exchange Server 2003 e ISA Server 2004 o ISA Server 2000, no era posible usar la compresión Gzip. Esto se debía a que ISA Server no podía descomprimir y volver a comprimir la información de forma correcta. ISA Server 2006 puede descomprimir, inspeccionar y volver a comprimir datos antes de enviar los datos a sus servidores de Exchange. Nota La compresión Gzip está disponible en ISA Server 2004, Service Pack 2 (SP2). |
Las ubicaciones del servidor de Exchange se ocultan |
Cuando se publica una aplicación a través de ISA Server, se está protegiendo el servidor del acceso directo externo, ya que el usuario no puede ver el nombre ni la dirección IP del servidor. El usuario obtiene acceso al equipo de ISA Server. A continuación, el equipo de ISA Server crea una conexión al servidor de acceso de cliente de acuerdo con las condiciones de la regla de publicación del servidor. |
Inspección y protocolo de puente SSL |
El protocolo de puente Secure Sockets Layer (SSL) le protege contra ataques ocultos en conexiones cifradas SSL. Para aplicaciones web habilitadas para SSL, cuando ISA Server recibe la solicitud del cliente, la descifra, la inspecciona y hace las veces de punto final de la conexión SSL con el equipo cliente. Las reglas de publicación de web determinan cómo comunica ISA Server la solicitud para el objeto al servidor web publicado. Cuando se usa el protocolo de puente SSL, la regla de publicación de web segura está configurada para reenviar la solicitud mediante HTTP Seguro (HTTPS). ISA Server comienza entonces una nueva conexión SSL con el servidor publicado. Debido a que el equipo de ISA Server es ahora cliente de SSL, requiere que el servidor web publicado responda con un certificado. Una ventaja adicional de protocolo de puente SSL consiste en que una organización tiene que comprar certificados SSL desde una autoridad de certificación externa, sólo para los equipos de ISA Server. Los servidores que usan ISA Server como proxy inverso no pueden solicitar ni usar certificados SSL que se generen internamente. También puede terminar la conexión SSL en el equipo de ISA Server y continuar en el servidor de acceso de cliente con una conexión que no esté cifrada. A esto se le llama descarga de SSL. Si lo hace, la dirección URL interna de Outlook Web Access tiene que estar definida para usar HTTP y la dirección externa URL tiene que estar definida para usar HTTPS. La dirección URL interna y la dirección URL externa se pueden configurar a través de la Consola de administración de Exchange, o mediante el uso del cmdlet Set-OwaVirtualDirectory con el parámetro InternalURL y el parámetro ExternalURL en el Shell de administración de Exchange. Si desea más información acerca de cómo usar el cmdlet Set-OwaVirtualDirectory y la Consola de administración de Exchange para administrar los directorios virtuales de Outlook Web Access, consulte Set-OwaVirtualDirectory y Cómo modificar propiedades en un directorio virtual de Outlook Web Access. |
Inicio de sesión único |
El inicio de sesión único permite a los usuarios obtener acceso a un grupo de sitios web publicados sin que se les pida autenticarse en cada sitio web. Cuando se usa ISA Server 2006 como servidor proxy inverso para Outlook Web Access, ISA Server 2006 se puede configurar para obtener las credenciales del usuario y para pasarlas al servidor de acceso de cliente, de forma que a los usuarios sólo se les pidan sus credenciales una vez. |
Si desea obtener más información sobre las mejoras en ISA Server 2006 cuando se usa con Exchange 2007, consulte Novedades y mejorías de ISA Server 2006.
Opciones de implementación
Cuando se implanta ISA Server 2006 junto con Exchange 2007, no se tiene que realizar ninguna configuración adicional en la infraestructura de Microsoft Exchange. No obstante, ISA Server 2006 se puede configurar de diferentes formas para permitir el acceso de cliente de Exchange, mediante Outlook Web Access, POP3 o IMAP, Exchange ActiveSync y Outlook en cualquier lugar. Las opciones de configuración dependen del método de autenticación que se desee usar para obtener acceso a Exchange.
Las versiones anteriores de ISA Server, incluyendo ISA Server 2004 e ISA Server 2000, cuando se implementan con Exchange 2007, no tienen las mismas opciones de instalación para la autenticación. De forma adicional, si está implementando Exchange 2007 tanto con ISA Server 2006 como con una versión anterior de ISA Server, puede usar las siguientes opciones de autenticación:
Autenticación básica para Outlook Web Access Si tiene pensado usar la autenticación básica para Outlook Web Access, ISA Server 2006 y las versiones anteriores de ISA Server, todas deben usar publicación en Web para publicar Outlook Web Access.
Autenticación de certificado de cliente Si tiene pensado usar un método de autenticación de cliente basado en certificado, ISA Server realizará automáticamente la autenticación en el equipo que ejecuta ISA Server. Las versiones anteriores de ISA Server, incluidos ISA Server 2004 e ISA Server 2000, requieren que la publicación en el servidor utilice autenticación de cliente con certificado. Si usa autenticación de cliente con certificado, no puede usar ISA Server para inspeccionar los paquetes SSL antes de que se hayan enviado al servidor de acceso de cliente.
Implementación de ISA Server 2006 para Outlook Web Access
Al implementar ISA Server 2006 para Outlook Web Access, utilice el nuevo asistente para la publicación de reglas de Exchange en las tareas de directiva de firewall. Este asistente le mostrará las opciones específicas que tiene que configurar para permitir el acceso a Microsoft Exchange.
Importante
Si tiene varias versiones de Microsoft Exchange en su organización de Exchange, deberá crear una regla de publicación de Exchange para cada versión de Microsoft Exchange compatible.
La configuración de ISA Server 2006 para Outlook Web Access implica los siguientes pasos:
Creación de una nueva regla de publicación.
Configuración de opciones adicionales.
En la secciones siguientes se describen los parámetros que deben aplicarse a la nueva regla de publicación para implementar correctamente ISA Server 2006 para Outlook Web Access.
Crear una nueva regla de publicación de Exchange
Durante este proceso, deberá facilitar la siguiente información:
Nombre de regla de publicación de Exchange Facilite un nombre descriptivo para su regla de publicación, como por ejemplo "Acceso al correo electrónico de Exchange".
Servicios de acceso de cliente permitidos En la página Seleccionar servicios, elija la versión de Microsoft Exchange que está implementando y los servicios de acceso de cliente que desea permitir para los usuarios. De manera predeterminada, al seleccionar Exchange Server 2007, se selecciona Outlook Web Access.
Tipo de publicación En la página Tipo de publicación, elija una opción en función de si desea publicar un único sitio o un dispositivo externo de equilibrio de carga, una granja de servidores web o varios sitios web.
Seguridad de conexión de servidor Esta página le permite elegir si se va a usar el Nivel de sockets seguros (SSL) o conexiones no seguras desde el equipo de ISA Server hasta Microsoft Exchange.
Detalles de publicación interna En la páginaDetalles internos de publicación, escriba el nombre de sitio interno de Outlook Web Access o elija la opción para usar un nombre de equipo o dirección IP y conectarse a Microsoft Exchange.
Detalles de nombre público Esta página le permite seleccionar los dominios de los que aceptará solicitudes. También deberá proporcionar un nombre público; por ejemplo, www.contoso.com.
Seleccionar dispositivo de escucha web Esta página permite especificar el dispositivo de escucha para el servidor Exchange al que se conecta. Un proceso de escucha se usa para especificar el tipo de autenticación que se usará cuando el cliente se ponga en contacto en primer lugar con el equipo de ISA Server. El proceso de escucha contiene información acerca de cómo el equipo de ISA Server acepta solicitudes de los clientes, como el cifrado, la compresión y la autenticación que se usan en la conexión externa. Puede usar esta página para crear un nuevo proceso de escucha o para editar dispositivos de escucha existentes.
Delegación de la autenticación La página Delegación de la autenticación le permite especificar el tipo de mecanismo de autenticación que el servidor de acceso de cliente debería esperar de ISA Server. Seleccione las opciones deseadas de entre las siguientes:
Sin delegación, pero el cliente puede autenticar directamente
Autenticación básica
Autenticación NTLM
Negociar (Kerberos/NTLM)
Delegación limitada Kerberos
Grupos de usuarios La página Grupos de usuarios le permite seleccionar los usuarios que pueden usar esta regla para conectarse a Exchange.
Si ha configurado el equipo de ISA Server para que autentique a los usuarios, deberá configurar los directorios virtuales de Outlook Web Access para que utilicen, bien la autenticación integrada de Windows, bien la autenticación básica, según el tipo de autenticación que su organización precise. Cuando se usan la autenticación básica o la autenticación integrada de Windows en los directorios virtuales de Outlook Web Access, junto con la autenticación de ISA Server 2006, a los usuarios se les pide su información de inicio de sesión sólo una vez.
Nota
Si elige la autenticación basada en formularios para el dispositivo de escucha ISA, se pedirá al usuario que vuelva a escribir las credenciales de autenticación, si la sesión de Outlook Web Access expira.
Sin embargo, la Autenticación de Windows integrada impide el acceso desde Outlook Web Access a documentos en recursos compartidos de archivos de Windows o en bibliotecas de documentos de Windows SharePoint Services. Si quiere obtener acceso a documentos desde Outlook Web Access, utilice la autenticación básica en el directorio virtual de Outlook Web Access.
Una vez haya completado el asistente, este creará la regla de publicación de Exchange. La regla creada aparece en la lista Reglas de directiva de firewall de la ficha Directiva de firewall.
Nota
Cuando haya terminado de crear su regla de publicación, tendrá que esperar a que la configuración sea efectiva. Puede controlar el progreso de las reglas de publicación de ISA Server 2006 mediante el nodo de supervisión de la Consola de administración de ISA Server 2006.
Configurar opciones adicionales
Es posible configurar funciones adicionales como la conversión de vínculos y compresión HTTP para la nueva regla creada en la Consola de administración de ISA Server 2006. La configuración adicional para conversión de vínculos y compresión HTTP se administra en el nodo General de la Consola de administración de ISA Server 2006.
Configuración de conversión de vínculos
Para configurar la conversión de vínculos debe elegir la regla de publicación de Exchange creada y después hacer clic en Editar regla seleccionada en Tareas de edición de directivas. En la ficha Conversión de vínculos, puede configurar la conversión de vínculos según las necesidades de los usuarios.
Configuración de compresión HTTP
La opción de compresión HTTP se puede configurar en el nodo General, bajo Configuración, en la Consola de administración de ISA Server. Haga clic en Definir preferencias de compresión HTTP y después, seleccione las opciones que desee admitir para los usuarios.
Cuando haya finalizado la configuración de estas opciones, la configuración de ISA Server para Microsoft Exchange habrá concluido.
Instale un certificado de servidor para ISA Server 2006
Para habilitar un canal cifrado con SSL entre el equipo cliente y el equipo de ISA Server, debe instalar un certificado de servidor en el equipo de ISA Server. Puesto que los usuarios de Internet obtendrán acceso a él, este certificado debe ser emitido por una entidad de certificación (CA) pública. Si se usa una entidad de certificación (CA) privada, el certificado raíz de la CA privada debe instalarse en todos los equipos que tengan que crear un canal cifrado (HTTPS) al equipo de ISA Server, o los usuarios recibirán una advertencia diciendo que el certificado no es de confianza.
Para obtener más información sobre cómo instalar un certificado de servidor en ISA Server 2006, consulte Publicación de Exchange Server 2007 con ISA Server 2006.
Para obtener más información
Para obtener más información acerca de cómo usar ISA Server 2006 con Exchange 2007, consulte Uso de ISA Server 2006 con Exchange 2007.
Para obtener más información acerca de ISA Server 2006, consulte el sitio web de ISA Server.
Para obtener más información acerca de las funciones de ISA Server 2006, consulte el Features at a Glance (características de un vistazo).
Para obtener más información acerca de cómo habilitar un servidor de proxy inverso, consulte Cómo configurar los servidores proxy para Outlook Web Access.
Si desea más información acerca de cómo usar el cmdlet Set-OwaVirtualDirectory y la Consola de administración de Exchange para administrar los directorios virtuales de Outlook Web Access, consulte los siguientes temas:
Para obtener más información sobre cómo configurar Outlook Web Access, consulte: