Diseño de la topología de la granja de servidores de extranet (Windows SharePoint Services)

En este artículo:

• Acerca de los entornos de extranet

• Planeación de entornos de extranet

• Topología de firewall perimetral

• Topología perimetral opuesta

• Topología opuesta dividida

Este artículo se puede usar con el siguiente modelo: topologías de extranet para Productos y Tecnologías de SharePoint (en inglés) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0xC0A) (en inglés).

Acerca de los entornos de extranet

Un entorno de extranet es una red privada extendida de forma segura para compartir parte de la información o los procesos de una organización con empleados remotos, socios externos o clientes. Mediante una extranet, puede compartir cualquier tipo de contenido hospedado en Windows SharePoint Services 3.0, incluidos documentos, listas, bibliotecas, calendarios, blogs y wikis.

En la siguiente tabla se describen las ventajas que ofrece la extranet a cada grupo.

Empleados remotos	Los empleados remotos pueden obtener acceso a información corporativa y recursos electrónicos en cualquier lugar y en cualquier momento sin necesidad de una red privada virtual (VPN). Los empleados remotos incluyen: Empleados de ventas de viaje. Empleados que trabajan desde oficinas en casa o sitios de clientes. Equipos virtuales geográficamente dispersos.
Socios externos	Los socios externos pueden participar en los procesos de negocio y colaborar con los empleados de su organización. Puede usar una extranet para ayudar a mejorar la seguridad de los datos de las siguientes maneras: Aplique los componentes de seguridad y de interfaz de usuario adecuados para aislar a los socios y los datos internos. Autorice a los socios a usar sólo los sitios y los datos que son necesarios para su colaboración. Evite que los socios puedan ver los datos de otros socios. Puede optimizar los procesos y los sitios para la colaboración de socios de las siguientes maneras: Permita a los empleados de su organización y a los empleados de los socios ver, cambiar, agregar y eliminar contenido para promover buenos resultados para ambas compañías. Configure las alertas para que se notifique a los usuarios cuando el contenido cambie o para iniciar un flujo de trabajo.
Clientes	Hace que los sitios estén disponibles para los clientes: Proporcione acceso anónimo a información de su negocio. Permita a los clientes iniciar sesión y participar en un flujo de trabajo.

Windows SharePoint Services 3.0 proporciona opciones flexibles para configurar el acceso de extranet a los sitios. Puede conceder acceso orientado a Internet a un subconjunto de sitios de una granja de servidores o hacer que todo el contenido de una granja de servidores sea accesible desde Internet. Puede hospedar el contenido de extranet dentro de su red corporativa y hacer que esté disponible a través de un firewall perimetral o puede aislar la granja de servidores en una red perimetral.

Planeación de entornos de extranet

El resto de este artículo explica topologías de extranet específicas que se han probado con Windows SharePoint Services 3.0. Las topologías que se mencionan en este artículo pueden ayudarle a entender las opciones que están disponibles con Windows SharePoint Services 3.0, incluidos los requisitos y las desventajas.

En las siguientes secciones se ponen de relieve las actividades de planeación adicionales para un entorno de extranet.

Planeación de la tecnología perimetral de red

En cada topología, la tecnología perimetral de red que se muestra es uno de los productos siguientes, o ambos, del conjunto de aplicaciones de Microsoft Forefront Edge: Microsoft Internet Security and Acceleration (ISA) Server e Intelligent Application Gateway (IAG) 2007. Para obtener más información acerca de estos productos de Microsoft Forefront Edge, vea los recursos siguientes:

• Página principal de ISA Server (https://go.microsoft.com/fwlink/?linkid=86495&clcid=0xC0A)

• Conceptos de red en ISA Server 2006 (en inglés) (https://go.microsoft.com/fwlink/?linkid=86497&clcid=0xC0A) (en inglés)

• Página principal de Intelligent Application Gateway

• Biblioteca técnica de Intelligent Application Gateway 2007 (en inglés)

Nota

Puede sustituirlo por otra tecnología perimetral de red.

IAG Server proporciona estas características adicionales:

• Prevención de pérdida de información: no se dejan residuos en el equipo cliente y se eliminan todas las cookies y los archivos temporales y de la memoria caché.

• Autorización de extremo basada en mantenimiento: los administradores pueden definir una directiva de acceso que esté basada no sólo en la identidad del usuario y la información que se expone, sino también en la condición del equipo cliente.

• Acceso a los sitios de SharePoint desde Outlook Web Access: los usuarios pueden tener acceso a los sitios de SharePoint desde vínculos enviados por correo electrónico a través de Outlook Web Access. IAG proporciona traducción de vínculos para los vínculos que hacen referencia a direcciones URL internas.

• Portal unificado: una vez iniciada la sesión, IAG presenta a cada usuario la lista de sitios de SharePoint y otras aplicaciones que están disponibles y autorizadas para ese usuario.

En la siguiente tabla se resumen las diferencias entre los servidores.

Capacidad	ISA 2006	IAG 2007
Publicación de aplicaciones web mediante HTTPS	X	X
Publicación de aplicaciones móviles internas en dispositivos móviles	X	X
Firewall de nivel 3	X	X*
Compatibilidad con escenarios de salida	X	X*
Compatibilidad con matriz	X
Localización de la consola de globalización y administración	X
Asistentes y valores de configuración predefinidos para publicar sitios de SharePoint y Exchange	X	X
Asistentes y valores de configuración predefinidos para publicar varias aplicaciones		X
Compatibilidad con los Servicios de federación de Active Directory (ADFS)		X
Autenticación enriquecida (por ejemplo, tarjeta inteligente basada en formularios con contraseña de un solo uso)	X	X
Protección de aplicaciones (firewall de aplicaciones web)	Básica	Completa
Detección de mantenimiento de extremo		X
Prevención de pérdida de información		X
Directiva de acceso granular		X
Portal unificado		X

* Compatible con ISA, que se incluye con IAG 2007.

Planeación de la autenticación y la arquitectura lógica

Además de elegir o diseñar una topología de extranet, deberá diseñar una estrategia de autenticación y una arquitectura lógica para permitir el acceso a los usuarios que corresponda fuera de la red interna, y para proteger los sitios y el contenido de la granja de servidores. Para obtener más información, vea los siguientes artículos:

• Planeación de la autenticación (Windows SharePoint Services)

• Diseño de ejemplo de arquitectura lógica: sitios de colaboración

Planeación de las relaciones de confianza de dominios

Cuando una granja de servidores se encuentra dentro de una red perimetral, esta red requiere su propia infraestructura y dominio del servicio de directorio de Active Directory. Normalmente, un dominio perimetral y un dominio corporativo no se configuran para confiar el uno en el otro. Sin embargo, si configura una confianza unidireccional en la que el dominio perimetral confíe en el dominio corporativo, puede usar la autenticación de Windows para autenticar tanto a los empleados internos como a los externos mediante credenciales de dominio corporativo. Otra opción consiste en autenticar a los empleados mediante la autenticación de formularios o el inicio de sesión único (SSO) web. También puede usar estos métodos para la autenticación en un servicio de directorio de dominio interno.

En la tabla siguiente se resumen estas opciones de autenticación y se indica si es necesaria una relación de confianza.

Escenario	Descripción
Autenticación de Windows	Si el dominio perimetral confía en el dominio de red corporativa, puede autenticar a los empleados tanto internos como remotos mediante sus credenciales de dominio corporativo.
Autenticación de formularios y SSO web	Puede usar la autenticación de formularios y el SSO web para autenticar a empleados tanto internos como remotos en un entorno de Active Directory interno. Por ejemplo, puede usar el SSO web para la conexión con los Servicios de federación de Active Directory (ADFS). El uso de la autenticación de formularios o el SSO web *no* requiere una relación de confianza entre los dominios. Sin embargo, es posible que varias características de Windows SharePoint Services 3.0 no estén disponibles dependiendo del proveedor de autenticación. Para obtener más información acerca de las características que pueden verse afectadas cuando se usa la autenticación de formularios o el SSO web, vea Planeación de la configuración de la autenticación para aplicaciones web (Windows SharePoint Services).

Para obtener más información acerca de la configuración de una relación de confianza unidireccional en un entorno de extranet, vea Planeación del endurecimiento de la seguridad para entornos de extranet (Windows SharePoint Services).

Planeación de la disponibilidad

El propósito de las topologías de extranet que se describen en este artículo es ilustrar:

• Dónde está ubicada una granja de servidores dentro de una red general.

• Dónde está ubicada cada una de las funciones de servidor dentro de un entorno de extranet.

Este artículo no está pensado para ayudarle a planear qué funciones de servidor necesita implementar ni cuántos servidores necesita implementar para cada función a fin de lograr la redundancia. Después de determinar cuántas granjas de servidores son necesarias en su entorno, use el siguiente artículo para planear la topología para cada granja de servidores: Planeación de la redundancia (Windows SharePoint Services).

Planeación del endurecimiento de la seguridad

Después de diseñar la topología de la extranet, use los siguientes recursos para planear el endurecimiento de la seguridad:

• Planeación del endurecimiento de la seguridad para las funciones de servidor en una granja de servidores (Windows SharePoint Services)

• Planeación del endurecimiento de la seguridad para entornos de extranet (Windows SharePoint Services)

Topología de firewall perimetral

Esta configuración usa un servidor proxy inverso en el límite entre Internet y la red corporativa para interceptar y luego reenviar las solicitudes al servidor web adecuado situado en la intranet. Mediante un conjunto de reglas configurables, el servidor proxy comprueba que las direcciones URL solicitadas estén permitidas según la zona desde la que se originó la solicitud. A continuación, las direcciones URL solicitadas se traducen en direcciones URL internas. La siguiente ilustración muestra una topología de firewall perimetral.

Ventajas

• La solución más sencilla y la que menos hardware y configuración requiere.

• Toda la granja de servidores se encuentra en la red corporativa.

• Ubicación de datos única:

  • Los datos se encuentran dentro de la red de confianza.

  • El mantenimiento de los datos tiene lugar en una ubicación.

  • Se usa una única granja de servidores para las solicitudes tanto internas como externas, lo que garantiza que todos los usuarios autorizados verán el mismo contenido.

• Las solicitudes de usuarios internos no se pasan a través de un servidor proxy.

Inconvenientes

• Tiene como resultado un único firewall que separa la red interna corporativa de Internet.

Topología perimetral opuesta

Una topología perimetral opuesta aísla la granja de servidores en una red perimetral aparte, tal como muestra la siguiente ilustración.

Esta topología tiene las siguientes características:

• Todo el hardware y los datos residen en la red perimetral.

• Las funciones de la granja de servidores y los servidores de infraestructura de red se pueden separar en varios niveles. Combinar los niveles de red puede reducir el costo y la complejidad del sistema.

• Cada nivel puede separarse por medio de enrutadores o firewalls adicionales para garantizar que se permitan sólo las solicitudes de niveles específicos.

• Las solicitudes de la red interna se pueden dirigir a través del servidor ISA del lado interno o enrutarse a través de la interfaz pública de la red perimetral.

Ventajas

• El contenido se aísla en una única granja de servidores en la extranet, lo que simplifica el uso compartido y el mantenimiento del contenido en la intranet y la extranet.

• El acceso de usuarios externos se aísla en la red perimetral.

• Si la extranet se ve comprometida, es posible que los daños se limiten al nivel afectado o a la red perimetral.

• Con una infraestructura de Active Directory aparte, las cuentas de usuarios externos se pueden crear sin afectar al directorio corporativo interno.

Inconvenientes

• Requiere una infraestructura y configuración de red adicionales.

Topología opuesta dividida

Esta topología divide la granja de servidores entre las redes perimetral y corporativa. Los equipos que ejecutan el software de base de datos Microsoft SQL Server se hospedan dentro de la red corporativa. Los servidores web se encuentran en la red perimetral. Los servidores de búsqueda pueden hospedarse en la red perimetral o en la red corporativa.

En la ilustración anterior:

• El servidor de búsqueda se hospeda dentro de la red perimetral. Esta opción está representada por el servidor azul dentro de la línea de guiones.

• De forma opcional, los servidores de búsqueda se pueden implementar dentro de la red corporativa, con los servidores de base de datos. Esta opción está representada por un servidor gris dentro de la línea de guiones. Si implementa servidores de búsqueda dentro de la red corporativa con los servidores de base de datos, también debe tener un entorno de Active Directory para admitir estos servidores (representados por servidores grises dentro de la red corporativa).

Si la granja de servidores se divide entre la red perimetral y la red corporativa con los servidores de base de datos situados dentro de la red corporativa, se requiere una relación de confianza de dominios si se usan cuentas de Windows para obtener acceso a SQL Server. En este escenario, el dominio perimetral debe confiar en el dominio corporativo. Si se usa la autenticación de SQL, no se requiere una relación de confianza del dominio. Para obtener más información acerca de la configuración de cuentas para esta topología, vea la sección acerca de las relaciones de confianza de dominios en el siguiente artículo: Planeación del endurecimiento de la seguridad para entornos de extranet (Windows SharePoint Services).

Para optimizar el rendimiento de las búsquedas y el rastreo, coloque la función de servidor de búsqueda dentro de la red corporativa con los servidores de base de datos. También puede agregar la función del servidor web a un servidor de búsqueda dentro de la red corporativa y configurar este servidor web para su uso dedicado por parte de la función de búsqueda para rastrear contenido. Si coloca servidores web en la red perimetral y la función de búsqueda dentro de la red corporativa, debe configurar una relación de confianza unidireccional en la que el dominio de la red perimetral confíe en el dominio de la red corporativa. Esta relación de confianza unidireccional se requiere en este escenario para admitir la comunicación entre servidores dentro de la granja de servidores, independientemente de si va a usar autenticación de Windows o autenticación de SQL para obtener acceso a SQL Server.

Ventajas

Entre las ventajas de la topología opuesta dividida se encuentran las siguientes:

• Los equipos que ejecutan SQL Server no están hospedados dentro de la red perimetral.

• Los componentes de la granja de servidores tanto dentro de la red corporativa como dentro de la red perimetral pueden compartir las mismas bases de datos.

• Con una infraestructura de Active Directory aparte, las cuentas de usuarios externos se pueden crear sin afectar al directorio corporativo interno.

Inconvenientes

• La complejidad de la solución aumenta en gran medida.

• Intrusos que ponen en peligro los recursos de la red perimetral podrían obtener acceso al contenido de la granja de servidores almacenado en la red corporativa mediante las cuentas de la granja de servidores.

• La comunicación entre las granjas de servidores suele quedar dividida entre dos dominios.

Descarga de este libro

Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:

• Planeación y arquitectura para Windows SharePoint Services 3.0, parte 2 (en inglés)

• Planeación de un entorno de Extranet para Windows SharePoint Services (en inglés)

Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.