Redirección silenciosa entre sitios de OWA en Exchange 2010 SP2
Artículo original publicado el martes, 13 de diciembre de 2011
Por ahora, muchos de ustedes han visto los artículos que trataban de las Políticas de la libreta de direcciones, los cambios de hospedaje y el Asistente de configuración híbrida pero en el fondo sé que todos han estado esperando que tratásemos la característica más buscada que hemos decidido incluir en Exchange 2010 SP2.
¿Qué es eso? Sí, lo sé, Tony dijo que “no era probable que las nuevas características causasen mucho alboroto” y que no había tantas características nuevas en el SP2 (creo que sus palabras exactas fueron "relativa penuria”) en su anuncio del artículo SP2 en Windows IT Pro.
Bueno, estoy aquí para poner las cosas en su lugar. Hay una característica rompedora en Exchange 2010 SP2, eso a menudo no se menciona. Está bien, es hora de tratar la redirección silenciosa entre sitios para Outlook Web App.
Definiciones
En primer lugar, vamos a repasar algunas definiciones para asegurarnos de que todos compartimos la misma visión.
- Sitio de Active Directory orientado a Internet Sitio de Active Directory que contiene CAS que tiene una ExternalURL rellenada para el servicio asociado (como OWA). Típicamente este es el sitio/centro de datos principal donde se implementa Exchange 2010.
- Sitio de Active Directory orientado a Internet regional Sitio de Active Directory que contiene CAS que tienen una ExternalURL rellenada para el servicio asociado (como OWA).
- Sitio de Active Directory no orientado a Internet Sitio de Active Directory que contiene CAS que no tiene una ExternalURL rellenada para el servicio asociado.
- Conexión directa El proceso donde CAS establece una sesión de RPC con el servidor de buzón que hospeda los datos del buzón.
- Proxy El proceso donde un CAS de un sitio de Active Directory orientado a Internet autoriza solicitudes entrantes a un CAS en un sitio de Active Directory no orientado a Internet (que se encuentra en el mismo sitio que el servidor del buzón al que se está obteniendo acceso).
- Redirección El proceso en el que un CAS orientado a Internet en un sitio de Active Directory redirige al usuario final a otro CAS orientado a Internet que se encuentra en el mismo sitio que el servidor del buzón al que se está teniendo acceso.
- Redirección silenciosa El proceso por el que CAS emite una redirección silenciosa al explorador del usuario, indicando al explorador que establezca una conexión a una dirección URL especificada.
- Redirección de inicio de sesión única El proceso por el que CAS devuelve una redirección silenciosa al explorador del usuario, indicando al explorador que envíe la solicitud y las credenciales de autenticación a un CAS de destino de manera que la experiencia de inicio de sesión no tenga problemas.
Proceso de conexión de OWA
Para comprender los distintos escenarios de redirección y proxy, es importante entender los mecanismos que se encuentran detrás de lo que ocurre cuando un usuario autentica con un CAS para obtener acceso a OWA como sucede hoy con la versión anterior al SP2 de Exchange 2010:
- El usuario tiene acceso a la dirección URL de OWA mediante el explorador web.
- El usuario introduce credenciales.
- CAS autentica al usuario y recupera la siguiente información mediante la solicitud de detección de servicio:
- Versión del buzón del usuario
- Ubicación del buzón del usuario (sitio de Active Directory), si se conoce
- CAS recopila información adicional en función de la información del buzón de manera que pueda llevar a cabo la operación correcta:
- Si el buzón es Exchange 2010 y local, CAS lleva a cabo la conexión directa.
- Si el buzón es Exchange 2007 y local, CAS recupera la ExternalURL de un CAS de Exchange 2007 (si no hay una definida usará la InternalURL) y redirigirá de manera silenciosa.
- Si el buzón es Exchange 2003, CAS recupera Exchange2003URL y redirige de manera silenciosa.
- Si el buzón no es local, CAS recupera la ExternalURL de destino (si está definida) y redirige o autoriza si no se definen ExternalURL de OWA en el sitio de Active Directory de destino.
Tipos de redirección de OWA de SP1
En Exchange 2010 SP1, cambiamos algo las cosas, lo cual dio lugar a tres tipos de experiencia de redirección para OWA en el producto local:
- Redirección manual
- Redirección manual temporal
- Redirección silenciosa heredada
Redirección manual
La redirección manual habilita a los clientes para que no tengan que actuar como embudo y proxy para todo el tráfico de una ubicación central cuando hay CAS que están más cerca del buzón del usuario.
Las redirecciones manuales se llevan a cabo cuando CAS debe redirigir una solicitud de OWA a la infraestructura de CAS de Exchange 2007 o Exchange 2010 que se encuentra en un sitio de Active Directory diferente. Como se ha mencionado anteriormente, para que se lleve a cabo una redirección manual, el directorio virtual de OWA de destino debe tener una ExternalURL. Sus usuarios ven el siguiente mensaje de redirección manual y la ExternalURL del CAS en el otro sitio de Active Directory:
Ilustración 1: Redirección manual cuando el buzón se encuentra en otro sitio de Active Directory
Redirección manual temporal
En SP1, hemos agregado otro tipo de redirección para OWA, conocida como redirección manual temporal. Hay dos escenarios donde la redirección manual temporal entra en juego:
Durante un evento de switchback de activación de centro de datos, existe la posibilidad de que el explorador web del usuario todavía tenga la entrada de DNS incorrecta almacenada en la caché y esté señalando así a la infraestructura de CAS en el sitio de Active Directory que ya no hospeda el buzón. Como resultado, el CAS emitirá una redirección manual al sitio de Active Directory correcto, pero la redirección es a la misma dirección URL que el usuario está usando actualmente. Para evitar un efecto ping-pong en el que el usuario no puede obtener acceso a su correo, CAS detectará si se está devolviendo la misma cookie de sesión y de ser así, comprobará para ver si el CAS de destino tiene un valor de FailbackURL para el directorio virtual de OWA. Si se especifica una FailbackURL, el CAS emite una página de redirección manual temporal ofreciendo el vínculo FailbackURL. Si no se especifica una FailbackURL, CAS emitirá una página de error pidiendo al usuario que cierre todas las sesiones del explorador y que pruebe de nuevo.
Ilustración 2: Redirección manual temporal tras switchback de activación de centro de datosEl segundo escenario es donde CAS emitirá la página de redirección manual temporal cuando detecta que el sitio del CAS local coincide con el valor RpcClientAccessServer de la base de datos del buzón, pero la base de datos está realmente montada en un sitio de Active Directory diferente, por lo que CAS emite una redirección temporal con la ExternalURL del CAS en el sitio que hospeda la base de datos montada.
Ilustración 3: Redirección manual temporal cuando el buzón se monta en otro sitio de Active Directory
Redirección silenciosa heredada
Para Outlook Web Access, CAS de Exchange 2010 no admite la representación de datos de buzón de versiones heredadas de Exchange. CAS de Exchange 2010 hace uno de los cuatro escenarios en función de la versión y/o ubicación del buzón de destino:
- Si el buzón de Exchange 2007 es el mismo sitio de Active Directory que CAS2010, CAS2010 redirigirá la sesión de manera silenciosa al CAS de Exchange 2007.
- Si el buzón de Exchange 2007 es otro sitio de Active Directory orientado a Internet, CAS2010 redirigirá al usuario manualmente al CAS de Exchange 2007.
- Si el buzón de Exchange 2007 es un sitio de Active Directory que no está orientado a Internet, CAS2010 autorizará la conexión al CAS de Exchange 2007.
- Si el buzón se encuentra en un servidor Exchange 2003, CAS2010 redirigirá de manera silenciosa la sesión a una dirección URL predefinida.
Como se ha indicado anteriormente, la redirección heredada silenciosa no solo se usa para los eventos de redirección del mismo sitio entre un CAS de Exchange 2010 y la infraestructura heredada. Al realizar la redirección silenciosa heredada, CAS2010 devuelve una redirección silenciosa al explorador del usuario, indicando al explorador que establezca una conexión con la infraestructura CAS2007/FE2003 heredada. Para redirigir correctamente a la infraestructura heredada, se debe configurar lo siguiente:
- Para redirigir los buzones de Exchange 2003, el directorio virtual OWA de Exchange 2010 debe tener la Exchange2003URL rellenada.
- Para redirigir a un CAS de Exchange 2007, el directorio virtual de OWA de Exchange 2007 OWA de destino debe tener la ExternalURL.
La redirección silenciosa heredada también puede proporcionar una experiencia de inicio de sesión única cuando se usa la autenticación basada en formularios (FBA) en los directorios virtuales de OWA de origen y destino devolviendo al explorador virtual web un formulario FBA oculto con los campos rellenados. Este formulario oculto contiene la misma información que lo que había enviado originalmente a la página FBA de CAS2010 FBA (nombre de usuario, contraseña, selector público/privado) así como una redirección a la cadena de consulta y ruta de acceso específica de Exchange de destino. Tan pronto como este formulario se cargue, se enviará inmediatamente a la dirección URL de destino. El resultado es que el usuario se autentica automáticamente y puede obtener acceso a los datos del buzón.
¿Qué tiene de incorrecto la redirección manual?
A primera vista puede pensar que la redirección manual es genial y de alguna forma tiene razón. Es una magnífica característica para que la organización de TI controle el acceso del usuario a sus datos (forzando así a los usuarios a que utilicen los vínculos de red correctos). Sin embargo, en realidad, la experiencia no es óptima para los usuarios finales.En el escenario en el que el usuario usa la dirección URL de OWA incorrecta, el usuario lleva a cabo las siguientes acciones:
- El usuario escribe en el explorador web la dirección URL equivocada.
- El usuario introduce credenciales y autentica con CAS (sitio incorrecto).
- El CAS (sitio incorrecto) lleva a cabo la detección del servicio y determina que puede redirigir al usuario al CAS correcto.
- El CAS (sitio incorrecto) ofrece al usuario una página que contiene un vínculo a CAS (sitio correcto).
- El usuario hace clic en el vínculo para obtener acceso a OWA desde el sitio correcto.
- El usuario introduce las credenciales y autentica con CAS (sitio correcto).
Es en esta experiencia en la que al usuario se le dice que ha usado la dirección URL incorrecta y que tiene que introducir sus credenciales dos veces, que son las experiencias poco óptimas con la redirección manual.
Redirección silenciosa entre sitios en Exchange 2010 SP2
Para eliminar esta experiencia poco óptima (Por cierto, Greg se refiere a ella como experiencia una mala experiencia), hemos proporcionado una cuarta experiencia de redirección para OWA en Exchange 2010 SP2, conocida como Redirección silenciosa entre sitios. Como su nombre implica, la redirección silenciosa entre sitios solo lleva a cabo la redirección silenciosa para las solicitudes destinadas al CAS ubicado en otro sitio de Active Directory (dentro de la misma organización de Exchange) que tiene una ExternalURL de OWA.
Se ha creado un nuevo parámetro para admitir la redirección silenciosa entre sitios, CrossSiteRedirectType. Este parámetro está disponible en el cmdlet Set-OWAVirtualDirectory y admite dos valores, Manual y Silent. La redirección silenciosa entre sitios está deshabilitado de manera predeterminada (el valor predeterminado es Manual), lo que significa que si actualmente lleva a cabo la redirección manual entre CAS en diferentes sitios de Active Directory, continuará después de implementar SP2.
Si desea habilitar la redirección silenciosa entre sitios, establezca el CrossSiteRedirectType en Silent en los directorios virtuales OWA de CAS orientado a Internet:
Set-OWAVirtualDirectory -Identity "Contoso\owa (Default Web site)" -CrossSiteRedirectType Silent
Hemos actualizado el proceso de conexión de OWA para admitir la redirección silenciosa entre sitios. EL CAS sigue los siguientes pasos durante la detección del servicio:
- Evalúe la versión del buzón (Exchange 2007 o Exchange 2010).
- Compruebe la ubicación del buzón.
- Obtenga la ExternalURL del CAS de destino.
- Obtenga el tipo de redirección en el CAS de origen.
- Si CrossSiteRedirectType=Manual, emitimos una redirección manual.
- Si CrossSiteRedirectType=Silent, emitimos una redirección manual.
- Si el CAS de origen y de destino tienen la FBA habilitada, el CAS de origen devolverá un formulario oculto al explorador que contiene las credenciales del usuario y la configuración de la FBA, junto con la URL de dirección.
- Si la FBA no está habilitada en el origen y el destino, el CAS de origen simplemente emitirá una redirección 302.
Eso es correcto; la redirección silenciosa entre sitios puede ser una experiencia de SSO cuando los directorios virtuales de OWA de origen y destino aprovechan la autenticación basada en formularios. Los clientes que solo implementan OWA también pueden lograr una experiencia de SSO cuando el mecanismo de autenticación del directorio virtual de OWA es la autenticación integrada de Windows y los espacios de nombres de OWA se agregan a la zona de seguridad “Intranet local”.
¿Cuándo no puedo obtener una experiencia de SSO?
Estos son algunos escenarios en los que no puede obtener una experiencia de SSO al redirigir entre los sitios de Active Directory:
- Usa la autenticación básica en los directorios virtuales de OWA de origen y destino.
- Saca provecho de la configuración de autenticación diferente en los directorios virtuales de OWA de origen y destino.
- Saca provecho de una solución de autenticación de dos factores en los directorios virtuales de OWA de origen y destino.
- Saca provecho de una solución de preautenticación (como Microsoft Threat Management Gateway 2010) que usa diferentes escuchas web para los espacios de nombres de OWA de origen y destino.
- Cuando el CAS local emite una redirección temporal en otro CAS de otro sitio de Active Directory.
Tenga en cuenta que, mientras que la experiencia de SSO no estará disponible en estos escenarios, una redirección 302 (a lo que nos referimos como redirección silenciosa) todavía se producirá.
La redirección silenciosa entre sitios reduce la insatisfacción del usuario final en torno a tener que hacer clic en un vínculo para entrar en la infraestructura de OWA correcta y puede, de hecho, eliminar la necesidad de introducir credenciales una segunda vez. Para los que hayan estado usando la redirección manual de OWA hasta ahora, espero que pueda habilitar la redirección silenciosa entre sitios cuando implemente Exchange 2010 SP2.
Ross Smith IV
Director principal de programas
Experiencia del usuario de Exchange
Esta entrada de blog es una traducción. Puede consultar el artículo original en OWA Cross-Site Silent Redirection in Exchange 2010 SP2