Configurar un proxy inverso
Última modificación del tema: 2009-07-20
En las implementaciones de servidores perimetrales de Office Communications Server, se requiere un servidor Microsoft Internet Security and Acceleration (ISA) Server u otro proxy inverso en la red perimetral para:
- Habilitar a los usuarios externos para descargar el contenido de la reunión para sus reuniones.
- Habilitar a los usuarios remotos para expandir grupos de distribución.
- Habilitar a los usuarios remotos para descargar archivos desde el servicio de libreta de direcciones.
- Habilitar a los dispositivos externos para conectarse al Servicio de actualización de dispositivos y obtener actualizaciones.
En la tabla siguiente se muestran los directorios específicos que utiliza el servidor de componentes web. Se recomienda que configure el proxy inverso HTTP para que utilice todos los directorios.
Directorios usados por el servidor de componentes web
Directorio | Uso |
---|---|
https://FQDNexterno/etc/place/null |
Almacena el contenido de la reunión. |
https://FQDNexterno/GroupExpansion/ext/service.asmx |
Almacena la información de expansión de grupos de distribución. Dirección URL externa al servidor de componentes web que ejecuta el servicio de consulta web de la libreta de direcciones. |
https://<FQDNexterno>/ABS/ext/Handler |
Almacena los archivos del servidor de la libreta de direcciones. |
https://<FQDN del servidor externo>/RequestHandler/ucdevice.upx |
Dirección URL externa al servidor de componentes web que ejecuta el Servicio de actualización de dispositivos. Para obtener información detallada, vea Servicio de actualización de dispositivos. |
https://<FQDNexterno>DeviceUpdateFiles_Ext |
La dirección URL externa al servidor de componentes web donde se ubican las actualizaciones de dispositivos. |
Los pasos que se detallan en esta sección describen cómo configurar ISA Server 2006 como proxy inverso. Si usa un proxy inverso distinto, vea la documentación de ese producto.
Puede utilizar la información de esta sección para configurar el proxy inverso, lo cual requiere completar los siguientes procedimientos:
- Configurar las tarjetas adaptadoras de red.
- Instalar y configurar ISA Server 2006.
- Solicitar y configurar un certificado digital para SSL.
- Crear una regla de publicación de servidor web y comprobar que las propiedades de la regla de publicación de servidor web segura son correctas.
- Comprobar o configurar la autenticación y certificación en los directorios virtuales de Internet Information Services (IIS).
- Crear una entrada externa del Sistema de nombres de dominio (DNS).
- Comprobar que puede obtener acceso al sitio web a través de Internet.
Antes de comenzar
Al configurar los grupos de servidores Enterprise y los servidores Standard Edition, se le ofreció la opción de configurar un nombre de dominio completo (FQDN) de la granja de servidores web externo en la página FQDN de granja de servidores web del Asistente para crear grupo de servidores o el Asistente para implementar el servidor. Si no configuró esta dirección URL al ejecutar dichos asistentes, deberá configurar manualmente estos parámetros. Para ello, abra un símbolo del sistema y escriba el siguiente comando:
lcscmd.exe /web /action:updatepoolurls /externalwebfqdn:<FQDN granja servidores web externa> /poolname:<nombre grupo servidores>
Configurar adaptadores de red
Debe asignar una o varias direcciones IP al adaptador de red externo y al menos una dirección IP al adaptador de red interno. Para obtener información detallada sobre la implementación de ISA Server con un solo adaptador de red, vea Configurar ISA Server 2004 en un equipo con un solo adaptador de red (en inglés). Este documento se aplica también a ISA Server 2006.
En los siguientes procedimientos, el equipo con ISA Server tiene dos adaptadores de red:
- Un adaptador de red pública, o externa, que estará visible para los clientes que intenten conectarse a su sitio web (normalmente a través de Internet).
- Una interfaz de red privada, o interna, que estará visible para los servidores web internos.
Debe asignar una o varias direcciones IP al adaptador de red externo y al menos una dirección IP al adaptador de red interno.
Para configurar las tarjetas adaptadoras de red en el equipo de proxy inverso
En el servidor que ejecuta ISA Server 2006, abra Conexiones de red haciendo clic en Inicio, señalando Configuración y, a continuación, haciendo clic en Conexiones de red.
Haga clic con el botón secundario en la conexión de red externa que desea utilizar para la interfaz externa y haga clic en Propiedades.
En la página Propiedades, haga clic en la ficha General, haga clic en Protocolo de Internet (TCP/IP) en la lista Esta conexión usa los siguientes elementos y, a continuación, haga clic en Propiedades.
En la página Propiedades del protocolo de Internet (TCP/IP), configure las direcciones IP y las direcciones del servidor DNS según corresponda para la red a la que está conectado el adaptador de red.
Haga clic en Aceptar y, a continuación, haga clic en Aceptar.
En Conexiones de red, haga clic con el botón secundario en la conexión de red interna que desea utilizar para la interfaz interna y, a continuación, haga clic en Propiedades.
Repita los pasos del 3 al 5 para configurar la conexión de red interna.
Instalar ISA Server 2006
Instale ISA Server 2006 siguiendo las instrucciones de instalación que se incluyen en el producto. Para obtener información detallada sobre cómo instalar ISA Server, vea Introducción a ISA Server 2006 (en inglés).
Solicitar y configurar un certificado para el proxy HTTP inverso
Tiene que instalar el certificado de la entidad de certificación (CA) raíz que emitió el certificado del servidor en el servidor web (es decir, el servidor IIS que ejecuta los componentes web de Office Communications Server) del servidor que ejecuta ISA Server 2006.
Debe instalar un certificado de servidor web en ISA Server. Dicho certificado debe coincidir con el FQDN publicado de la granja de servidores web externos donde hospeda contenido de reuniones y archivos de la Libreta de direcciones.
Si la implementación interna está compuesta por más de un servidor Standard Edition o un grupo de servidores Enterprise, debe configurar las reglas de publicación web para cada FQDN de la granja de servidores web externos.
Configurar las reglas de publicación web
ISA Server usa las reglas de publicación de web para publicar de forma segura los recursos internos, como la dirección URL de una reunión, a través de Internet. Al publicar la información a los usuarios de Internet, los recursos que se encuentran dentro de la red interna están disponibles para los usuarios fuera de la red.
Realice el siguiente procedimiento para crear las reglas de publicación de web.
Nota
Este procedimiento presupone que ISA Server 2006 Standard Edition está instalado.
Para crear una regla de publicación de servidor web en el equipo que ejecuta ISA Server 2006
Haga clic en Inicio, elija Programas, haga clic en Microsoft ISA Server y, a continuación, elija Administración del servidor ISA.
En el panel izquierdo, expanda nombreDeServidor, haga clic con el botón secundario en Directiva de firewall, elija Nueva y, a continuación, haga clic en Regla de publicación de sitio web.
En la página Asistente para nueva regla de publicación de web, escriba un nombre intuitivo para la regla de publicación (por ejemplo ReglaDescargasWebOfficeCommunications) y haga clic en Siguiente.
En la página Seleccionar acción de regla, seleccione Permitir y haga clic en Siguiente.
En la página Tipo de publicación, seleccione Publicar un único sitio web o un equilibrador de carga y, a continuación, haga clic en Siguiente.
En la página Seguridad de conexión de servidor, seleccione Usar SSL para conectar al servidor web o conjunto de servidores publicado y, a continuación, haga clic en Siguiente.
En la página Detalles internos de publicación, escriba el FQDN de la granja de servidores web internos que hospeda su contenido de reuniones y de la Libreta de direcciones en el cuadro Nombre interno del sitio.
Nota
Si el servidor interno es un servidor Standard Edition, este FQDN corresponde al servidor Standard Edition. Si el servidor interno es un grupo de servidores Enterprise, este FQDN corresponde a la granja de servidores web internos.
ISA Server debe poder resolver el FQDN en la dirección IP del servidor web interno. Si ISA Server no puede resolver el FQDN en la dirección IP correcta, puede seleccionar Usar un nombre de equipo o dirección IP para conectar al servidor publicado y, a continuación, escribir la dirección IP del servidor web interno en el cuadro Dirección IP o nombre del equipo. Si hace esto, deberá asegurarse de que el puerto 53 está abierto en ISA Server y de que ISA Server puede alcanzar un servidor DNS interno o un servidor DNS que resida en la red perimetral.En la página Detalles internos de publicación, en el cuadro Ruta de acceso (opcional), escriba /* para la ruta de la carpeta que se va a publicar y, a continuación, haga clic en Siguiente.
Nota
En el asistente para publicar un sitio web sólo se puede especificar una ruta. Las rutas adicionales se agregarán mediante la modificación de las propiedades de la regla.
En la página Detalles de nombre público, confirme que se haya seleccionado Este nombre de dominio en la opción Aceptar peticiones para, escriba el FQDN de la granja de servidores web externos en el cuadro Nombre público y haga clic en Siguiente.
En la página Seleccionar escucha de web, haga clic en Nueva (se abrirá el Asistente para nueva definición de escucha de web).
En la página Éste es el Asistente para nueva escucha de web, escriba el nombre de la escucha de web en el cuadro Nombre de la escucha de web (por ejemplo, servidores web) y, a continuación, haga clic en Siguiente.
En la página Seguridad de la conexión de cliente, seleccione Requerir conexiones seguras SSL con los clientes y, a continuación, haga clic en Siguiente.
En la página Direcciones IP de escucha de web, seleccione Externa y, a continuación, haga clic en Seleccionar direcciones IP.
En la página Selección de IP de la escucha, seleccione Direcciones IP especificadas en el equipo servidor ISA en la red seleccionada, seleccione la dirección IP adecuada, haga clic en Agregar y, a continuación, en Aceptar.
Haga clic en Siguiente.
En la página Certificados SSL de escucha, seleccione Asignar un certificado a cada dirección IP, seleccione la dirección IP que acaba de agregar y haga clic en Seleccionar certificado.
En la página Seleccionar certificado, seleccione el certificado que coincida con el nombre público especificado en el paso 9, haga clic en Seleccionar y, a continuación, elija Siguiente.
En la página Configuración de autenticación, seleccione Sin autenticación y, a continuación, haga clic en Siguiente.
En la página Configuración de inicio de sesión único, haga clic en Siguiente.
En la página Finalización del Asistente para nueva escucha de web, compruebe que la configuración de Escucha de web sea correcta y haga clic en Finalizar.
Haga clic en Siguiente.
En la página Delegación de la autenticación, seleccione Sin delegación, pero el cliente se puede autenticar directamente y haga clic en Siguiente.
En la página Conjunto de usuarios, haga clic en Siguiente.
En la página Finalización del Asistente para nueva regla de publicación de web, compruebe que los parámetros de la regla de publicación de web sean correctos y, a continuación, haga clic en Finalizar.
Haga clic en Aplicar en el panel de detalles para guardar los cambios y actualizar la configuración.
Para modificar las propiedades de la regla de publicación de web
Haga clic en Inicio, elija Programas, haga clic en Microsoft ISA Server y, a continuación, elija Administración del servidor ISA.
En el panel izquierdo, expanda nombreDeServidor y haga clic en Directiva de firewall.
En el panel de detalles, haga clic con el botón secundario en la regla de publicación de servidor web seguro que ha creado en el procedimiento anterior (por ejemplo, la regla OfficeCommunicationsServerExterna) y, a continuación, haga clic en Propiedades.
En la página Propiedades, haga clic en la ficha Desde:
- En la lista Esta regla se aplica al tráfico de estos orígenes, haga clic en En cualquier lugar y, a continuación, haga clic en Quitar.
- Haga clic en Agregar.
- En el cuadro de diálogo Agregar entidades de red, expanda Redes, haga clic en Externa, haga clic en Agregar y, a continuación, haga clic en Cerrar.
Si necesita publicar otra ruta en el servidor web, haga clic en la ficha Rutas de acceso. A continuación, haga clic en Agregar, escriba /* para la ruta que se va a publicar y haga clic en Aceptar.
Haga clic en Aplicar para guardar los cambios y, a continuación, haga clic en Aceptar.
Haga clic en el botón Aplicar del panel de detalles para guardar los cambios y actualizar la configuración.
Comprobar o configurar la autenticación y la certificación en directorios virtuales de IIS
Realice el siguiente procedimiento para configurar la certificación en los directorios virtuales de IIS o comprobar que la certificación se ha configurado correctamente. Realice el siguiente procedimiento en cada servidor IIS del servidor interno de Office Communications Server.
Nota
El siguiente procedimiento corresponde al sitio web predeterminado en IIS.
Para comprobar o configurar la autenticación y la certificación en directorios virtuales de IIS
Haga clic en Inicio, elija Todos los programas, haga clic en Herramientas administrativas y elija Administrador de Internet Information Services (IIS).
En Administrador de Internet Information Services (IIS), expanda NombreServidor y después haga lo mismo con Sitios web.
Haga clic con el botón secundario en <predeterminado o seleccionado> para Sitio web y, a continuación, haga clic en Propiedades.
En la ficha Sitio web, compruebe que se usa el número de puerto 443 en el cuadro Puerto SSL y, a continuación, haga clic en Aceptar.
En la ficha Seguridad de directorios, haga clic en Certificado de servidor en Comunicaciones seguras.
En la página Asistente para certificados de servidor web, haga clic en Siguiente.
En la página Certificado de servidor, haga clic en Asignar un certificado ya existente y, a continuación, haga clic en Siguiente.
En la página Puerto SSL, compruebe que se usa el valor 443 en el cuadro Puerto SSL para este sitio web y, a continuación, haga clic en Siguiente.
En la página Resumen de certificado, compruebe que la configuración es correcta y haga clic en Siguiente.
Haga clic en Finalizar.
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del sitio web predeterminado.
Crear un registro DNS
Cree un registro A de DNS externo que apunte a la interfaz externa del servidor ISA, como se describe en Configurar registros DNS.
Comprobar el acceso a través del proxy inverso
Realice el siguiente procedimiento para comprobar que los usuarios pueden obtener acceso a la información sobre el proxy inverso. Puede que tenga que completar la configuración del firewall y de DNS para que el acceso funcione correctamente.
Para comprobar que puede obtener acceso al sitio web a través de Internet
Implemente el cliente de Live Meeting 2007 como se describe en la Guía de implementación del cliente de Live Meeting 2007.
Abra un explorador web y escriba las direcciones URL en la barra Dirección que utilizan los clientes para obtener acceso a los archivos de Libreta de direcciones y al sitio web para conferencias web como se indica a continuación:
- Para un servidor de la libreta de direcciones, escriba una dirección URL similar a la siguiente: https://FQDNdeGranjaDeServidoresExterno/abs/ext, donde FQDNdeGranjaDeServidoresExterno es el FQDN externo de la granja de servidores web que hospeda los archivos del servidor de la libreta de direcciones. El usuario debe recibir un desafío HTTP, ya que la seguridad de directorios de la carpeta del servidor de la Libreta de direcciones está configurada para la autenticación de Microsoft Windows de forma predeterminada.
- Para las conferencias web, escriba una dirección URL similar a la siguiente: https://FQDNdeGranjaDeServidoresExterno/conf/ext/Tshoot.html, donde FQDNdeGranjaDeServidoresExterno es el FQDN externo de la granja de servidores web que hospeda el contenido de reuniones. Esta dirección URL debe mostrar la página de solución de problemas para conferencias web.
- Para la expansión de grupos de distribución, escriba una dirección URL similar a la siguiente: https://FQDNdeGranjaDeServidoresExterno/GroupExpansion/ext/service.asmx. El usuario debe recibir un desafío HTTP, ya que la seguridad de directorios del servicio de expansión de grupos de distribución está configurada para la autenticación de Microsoft Windows de forma predeterminada.