Recomendaciones para Outlook Anywhere
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-10-24
En este tema se proporcionan recomendaciones para usar Outlook en cualquier lugar en su infraestructura de Exchange.
Se aconseja usar la configuración siguiente cuando use Microsoft Exchange con Outlook en cualquier lugar:
Autenticación NTLM sobre nivel de sockets seguros (SSL) Se recomienda habilitar y solicitar SSL en el equipo de Microsoft Exchange Server 2007 que tenga instalada la función del servidor Acceso de cliente para todas las comunicaciones entre el cliente y el servidor. También recomendamos usar la autenticación NTLM. La sesión de HTTP deberá establecerse siempre a través de SSL (puerto 443). Para obtener más información acerca de cómo configurar una autenticación de Outlook en cualquier lugar que use SSL, consulte Administrar la seguridad de Outlook Anywhere.
Importante
Si está usando un firewall no compatible con NTLM, tendrá que usar la autenticación básica mediante SSL.
Use un firewall avanzado en la red perimetral Se recomienda usar un firewall dedicado para ayudarle a mejorar la seguridad del equipo de Exchange. Microsoft Internet Security and Acceleration (ISA) Server 2006 es un ejemplo de firewall dedicado. ISA Server 2006 también permite usar la autenticación NTLM en lugar de la autenticación básica, ya que ISA Server entiende la información de la autenticación NTLM. Es posible que otros servidores firewall no conozcan cómo usar la autenticación NTLM. Para determinar si su firewall permite la autenticación NTLM, consulte la documentación del producto acerca de su firewall.
Obtenga un certificado de otra entidad de certificación (CA) Para habilitar y solicitar SSL para todas las comunicaciones entre el servidor de acceso de cliente y los clientes de Outlook, deberá obtener y publicar un certificado en el nivel de sitio web predeterminado. Se recomienda que adquiera su certificado en otra entidad de certificación en cuyos certificados confíen la mayoría de los exploradores web.
Opciones de autenticación para Outlook en cualquier lugar en Exchange 2007 Service Pack 1 (SP1)
Como opción predeterminada, en la versión original (RTM) de Exchange 2007, el directorio virtual /rpc estaba habilitado para autenticación básica y autenticación de Windows integrada, y no se podía modificar. Aunque se usara únicamente un método de autenticación, ambos métodos de autenticación siempre estaban habilitados para el directorio virtual /rpc. Esto constituía una vulnerabilidad de seguridad; en Exchange 2007 SP1 ahora se puede optar por usar un único método de autenticación en el directorio virtual /rpc. Aunque no se recomienda, también se pueden habilitar tanto la autenticación básica como la autenticación de Windows integrada.
De forma predeterminada, para instalaciones nuevas de Exchange 2007 SP1, el método de autenticación en el directorio virtual de /rpc será el mismo que el método que use al habilitar Outlook en cualquier lugar con el Asistente para habilitar Outlook. El método de autenticación predeterminado para Internet Information Services (IIS) se puede modificar con el cmdlet Set-OutlookAnywhere, de manera que sea autenticación de Windows integrada, autenticación básica o ambas. Como alternativa al uso del Asistente para habilitar Outlook en cualquier lugar, el cmdlet Enable-OutlookAnywhere se puede usar para configurar Outlook en cualquier lugar.
Importante
Después de actualizar desde la versión RTM de Exchange 2007 a Exchange 2007 SP1, se recomienda especificar manualmente un único método de autenticación con el cmdlet Set-OutlookAnywhere.
Uso de varios métodos de autenticación para Outlook en cualquier lugar
Si implementa un servidor firewall que delega la autenticación, debe cambiar el método de autenticación en el directorio virtual /rpc por un método de autenticación distinto al que usa el cliente. Por ejemplo, si implementa un servidor firewall que delega la autenticación, el servidor firewall autentica el servidor de acceso de cliente con autenticación NTLM. Sin embargo, el cliente usa autenticación básica. En este ejemplo, el servidor firewall es responsable de la delegación de la autenticación de usuario. Por ello, se configura el directorio virtual /rpc en IIS para que use autenticación NTLM.
Aunque no se recomienda, en Exchange 2007 SP1 puede configurar el directorio virtual /rpc en IIS para usar tanto autenticación NTLM como básica. Una situación común en la que se pueden usar los dos métodos de autenticación ocurre cuando se envían mediante proxy servicios adicionales de RPC sobre HTTP al mismo servidor de acceso de cliente que proporciona acceso a Outlook en cualquier lugar. En este ejemplo, cada servicio requiere ambos métodos de autenticación. Para configurar el directorio virtual /rpc en IIS para que use tanto autenticación NTLM como autenticación básica, ejecute el siguiente comando:
Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM
Cómo usar su propia entidad de certificación
Puede usar la herramienta Entidad de certificación de Microsoft Windows para instalar su propia entidad de certificación. De forma predeterminada, las aplicaciones y los exploradores web no confiarán en su entidad de certificación raíz al instalar su propia entidad de certificación. Cuando un usuario intente conectarse a Microsoft Office Outlook 2007 o Outlook 2003 mediante Outlook en cualquier lugar, ese usuario perderá la conexión con Microsoft Exchange. El usuario no recibirá ninguna notificación. El usuario perderá la conexión cuando se dé una de las condiciones siguientes:
El cliente no confía en el certificado.
El certificado no coincide con el nombre al que el cliente intenta conectarse.
La fecha del certificado no es correcta.
Por lo tanto, deberá asegurarse de que los equipos cliente confían en la entidad de certificación. Además, si usa su propia entidad de certificación, cuando emita un certificado para su servidor de acceso de cliente, deberá asegurarse de que los campos Nombre común o Enviado a de ese certificado contiene el mismo nombre que la URL del servidor de acceso de cliente que está disponible en Internet. Por ejemplo, los campos Nombre común o Enviado a deben contener un nombre que se parezca a mail.contoso.com. Estos campos no pueden incluir el nombre de dominio completo interno del equipo. Por ejemplo, no pueden incluir un nombre que se parezca a mycomputer.contoso.com.
Para obtener más información
Para obtener más información acerca de Outlook en cualquier lugar, consulte los temas siguientes: