Documente Academic
Documente Profesional
Documente Cultură
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros
derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este
documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor,
u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de
licencia de Microsoft.
Otros nombres de productos y compañías mencionados aquí pueden ser marcas comerciales de sus
respectivos propietarios.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet iii
Ejercicios Algunos ejercicios de este módulo requieren una fase de inicio. Considere la
posibilidad de que los alumnos lleven a cabo el paso inicial de esos ejercicios
antes de comenzar a impartir el contenido relacionado. Si un ejercicio empieza
con un procedimiento titulado “Para preparar este ejercicio”, requiere una fase
inicial previa.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet v
Presentación Cuando la animación haya finalizado, responda a las preguntas de los alumnos.
multimedia: Cómo También puede utilizar las diapositivas que vienen a continuación para
funcionan los servidores responder a las preguntas.
de servicios de fondo y
los de aplicaciones para Recuerde a los alumnos que pueden volver a ver esta animación, si lo desean,
usuario con Exchange solos. Para buscar la animación, pueden abrir la página Web del disco compacto
Server 2003 Material del alumno, hacer clic en Multimedia y, a continuación, hacer clic en
Cómo funcionan los servidores de servicios de fondo y los de solicitudes de
cliente con Exchange Server 2003.
Motivos para Use esta diapositiva para explicar el objetivo de Equilibrio de carga de red y las
implementar Equilibrio directrices que posibilitan una elevada disponibilidad del acceso de los clientes
de carga de red Internet.
vi Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
Presentación Cuando la animación haya finalizado, responda a las preguntas de los alumnos.
multimedia: Cómo También puede utilizar las diapositivas que vienen a continuación para
funciona el equilibrio de responder a las preguntas.
carga de red con
Exchange Server 2003 Recuerde a los alumnos que pueden volver a ver esta animación, si lo desean,
solos. Para buscar la animación, pueden abrir la página Web del disco compacto
Material del alumno, hacer clic en Multimedia y, a continuación, en Cómo
funciona Equilibrio de carga de red.
Ejercicio: Elección de Los alumnos pueden llevar a cabo este ejercicio solos y, después, debatir las
clientes Internet y respuestas con el resto de la clase; también se puede realizar con toda la clase a
tecnologías de la vez y debatir las respuestas a medida que se formulen.
Exchange
Cómo configurar Use esta diapositiva para explicar por qué se debe deshabilitar la comprobación
DSAccess para redes de NetLogon y el comando ping de Acceso al directorio, y los pasos necesarios
perimetrales para crear las claves del Registro DisableNetlogonCheck y
LdapKeepAliveSecs.
Cómo implementar Use esta diapositiva para explicar el modo en que IPSec proporciona un canal
IPSec entre servidores seguro entre los servidores de solicitudes de cliente y de servicios de fondo, y, a
de solicitudes de cliente continuación, presentar los pasos resumidos que permiten configurar directivas
y de servicios de fondo IPSec.
Para obtener más información acerca de IPSec, indique a los alumnos que
pueden consultar el módulo 14, “Securing Computers in a Windows 2003
Server Family Network”, del curso 2270, Updating Support Skills from
Microsoft Windows NT 4.0 to the Microsoft Windows .NET Server 2003 Family
(en inglés).
Ejercicio: Configuración Antes de empezar la exposición de esta lección, pida a los alumnos que inicien
de un servidor seguro el equipo Miami, ya que esta operación puede tardar bastante; también deben
de solicitudes de cliente guardar el estado del equipo London y reiniciarlo.
Haga saber a los alumnos que se deben realizar este ejercicio para llevar a cabo
ejercicios posteriores de este curso y que, si instalan el Monitor de red, pueden
ver la comunicación en la red en el último paso del ejercicio. El Monitor de red
no forma parte de la instalación predeterminada.
Directrices para Use esta diapositiva para explicar las directrices que los alumnos pueden aplicar
optimizar los servidores en su entorno con el objeto de optimizar los servidores de solicitudes de cliente
de solicitudes de cliente y de servicios de fondo.
y de servicios de fondo
Indíqueles que pueden consultar los documentos Capacity Planning and
Topology Calculator, Exchange 2000 Front-End Server and SMTP Gateway
Hardware Scalability Guide y Exchange 2000 Server Back End Mailbox
Scalability (en inglés) para obtener más información sobre el tamaño de los
servidores y los requisitos de hardware de los servidores de solicitudes de
cliente y de servicios de fondo.
Cómo configurar Use esta diapositiva para exponer los pasos necesarios para configurar el valor
comunicaciones de tiempo de espera de los cookies de Outlook Web Access, habilitar la
seguras de Outlook autenticación basada en formularios para almacenar información del usuario en
Web Access un cookie e implementar Extensiones seguras multipropósito de correo Internet
(S/MIME, Secure Multipurpose Internet Mail Extensions) con Outlook Web
Access. A continuación, haga que los alumnos lleven a cabo el ejercicio en el
que se configura S/MIME con Outlook Web Access y responda a las preguntas
que planteen.
Indíqueles que consulten el documento “What’s New in Exchange Server 2003”
(en inglés), en el sitio Web de la biblioteca técnica de Exchange Server 2003,
en http://support.microsoft.com/default.aspx?scid=/support/exch2000/
exchangelib.asp.
Directrices para Use esta diapositiva para explicar las directrices que los alumnos pueden aplicar
proteger la en su entorno con el fin de proteger Outlook Web Access. Explique también los
implementación de distintos métodos de autenticación.
Outlook Web Access
Cómo proteger las Use esta diapositiva para exponer los pasos resumidos que permiten proteger
comunicaciones de las comunicaciones de Outlook Web Access mediante el uso de Secure Sockets
Outlook Web Access Layer (SSL).
mediante SSL
Cómo comprobar la Use esta diapositiva para explicar cómo probar, comprobar y solucionar
funcionalidad de problemas en Outlook Web Access. Para obtener más información acerca de
Outlook Web Access cómo solucionar problemas de Outlook Web Access, indique a los alumnos que
consulten el documento Troubleshooting Outlook Web Access in Microsoft
Exchange 2000 Server (en inglés).
Ejercicio: Configuración Indique a los alumnos que para llevar a cabo este ejercicio, en la organización
de SSL entre el cliente debe existir un servidor de solicitudes de cliente. Si no lo hay, deben crearlo
y el servidor de realizando el ejercicio titulado Ejercicio: Configuración de un servidor seguro
solicitudes de cliente de solicitudes de cliente de la lección “Implementación de una topología de
servidores de solicitudes de cliente y de servicios de fondo”, en este mismo
módulo.
Evaluación
Las preguntas de evaluación de este módulo se encuentran en el disco compacto
Material del alumno. Puede utilizarlas de la manera que considere más
conveniente para los alumnos. Por ejemplo, puede utilizarlas como evaluaciones
previas para ayudar a los alumnos a identificar áreas de dificultad o como
evaluaciones posteriores para validar el aprendizaje. Considere la posibilidad de
utilizar las preguntas para reforzar el aprendizaje al finalizar la jornada o al inicio
del día siguiente. Si decide no utilizar las preguntas de evaluación durante la
clase, indique a los alumnos dónde se encuentran de modo que puedan utilizarlas
con el fin de evaluar sus conocimientos fuera de la clase.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 1
Introducción
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Los clientes de Microsoft® Exchange Server 2003 pueden utilizar protocolos
Internet para tener acceso a la información de Exchange. Aplicaciones como
Microsoft Outlook®, Microsoft Outlook Express y Microsoft Internet Explorer
pueden proporcionar a los usuarios remotos acceso a los buzones y carpetas
públicas almacenados en el servidor Exchange y a las listas globales de
direcciones (GAL, Global Address Lists) de Exchange. En este módulo se
presentan los distintos protocolos Internet que se pueden usar para tener
acceso a Exchange, así como los conceptos y las tareas implicados en la
implementación y administración del acceso de los usuarios a Exchange
mediante protocolos Internet.
Objetivos Después de finalizar este módulo, podrá:
! Explicar la finalidad de los protocolos Internet y las tecnologías de
Exchange que se pueden usar para el acceso de clientes.
! Implementar una topología de servidores de solicitudes de cliente y de
servicios de fondo.
! Implementar y administrar Outlook Web Access.
2 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Exchange 2003 y Servicios de Internet Information Server (IIS) se han
integrado para proporcionar conectividad y seguridad en el cliente a los
usuarios que tienen acceso a Exchange 2003 mediante los siguientes
protocolos de acceso de cliente:
! Protocolo de oficina de correos versión 3 (POP3)
! Protocolo de acceso a correo de Internet versión 4 (IMAP4)
! Protocolo de transferencia de hipertexto (HTTP)
! Protocolo de transferencia de noticias a través de la red (NNTP)
! Protocolo ligero de acceso a directorios (LDAP)
Los clientes Internet como Outlook Express se pueden configurar de manera
que utilicen POP3 o IMAP4 para tener acceso a Exchange. POP3 proporciona
un proceso sencillo de recuperación de mensajes e IMAP4 ofrece al usuario
más funciones de recuperación y archivado. Un explorador Web, como Internet
Explorer, usa HTTP para tener acceso a Exchange y proporciona un acceso de
cliente más eficaz. NNTP se utiliza para enviar y recibir mensajes de grupos de
noticias. LDAP proporciona conectividad de cliente y servidor al servicio de
directorio de Microsoft Active Directory® en Microsoft
Windows Server™ 2003, que habilita la autenticación de usuarios y las
búsquedas de directorio.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 3
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Exchange 2003 usa un servidor virtual para alojar diferentes protocolos, como
POP3, IMAP4, SMTP, NNTP y HTTP, en el mismo servidor físico. Durante la
instalación, se crea un servidor virtual predeterminado para cada protocolo. Al
crear un servidor virtual predeterminado para cada protocolo, Exchange permite
elegir el tipo de cliente remoto que se utilizará para conectar con los servidores
Exchange 2003. Si se configuran varios servidores virtuales para un protocolo
concreto, también se obtiene la posibilidad de controlar la configuración de
cada servidor virtual si se desea que los clientes remotos se autentiquen de
forma distinta a la de los usuarios locales.
Protocolo HTTP Exchange admite el uso del protocolo HTTP para proporcionar a los clientes
Outlook Web Access acceso a los datos de Exchange. Outlook Web Access
permite que los usuarios tengan acceso a los buzones de Exchange 2003
mediante un explorador Web, por ejemplo Internet Explorer.
Outlook Web Access hace referencia a los elementos mediante direcciones
URL como http://server/exchange/mailbox/inbox. La utilización de direcciones
URL con nombre simplifica el acceso de los usuarios a los datos de
Exchange 2003. Outlook Web Access también puede proporcionar acceso a los
datos de buzones desde equipos basados en UNIX, Macintosh o Microsoft
Windows® conectados al servidor donde se ejecuta Exchange 2003. Dichos
usuarios pueden ver y trabajar con cualquier carpeta pública, buzón, GAL o
calendario.
Además de Outlook Web Access, los clientes Outlook 2003 pueden utilizar
HTTP para encapsular solicitudes de llamada a procedimiento remoto (RPC)
con el fin de tener acceso a los datos de Exchange. Para admitir la
encapsulación de RPC a través de HTTP, el servidor Exchange debe ser
Exchange 2003 y se debe ejecutar en Windows Server 2003.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 5
Nota Para los usuarios de UNIX que se conecten a un servidor Exchange 2003,
Outlook Web Access es la mejor solución para obtener las funciones de correo
electrónico, calendario y colaboración.
Protocolo LDAP Exchange usa el protocolo LDAP versión 3 para hacer consultas y
modificaciones en Active Directory. LDAP es un protocolo basado en mensajes
que proporciona acceso a servicios de directorio a Exchange y a algunos de sus
clientes. La mayoría de los clientes de correo electrónico de Internet, como
Outlook Express, incluyen un cliente LDAP.
Nota Para obtener más información sobre POP3, IMAP4, SMTP y NNTP,
consulte el módulo 3, “Seguridad de Exchange Server 2003”, del curso 2404,
Implementación y administración de Microsoft Exchange Server 2003. Para
obtener más información acerca de cómo usar Outlook 2003 con RPC a través
de HTTP para tener acceso a Exchange 2003, consulte el módulo 3, “Seguridad
de Exchange Server 2003”, y el módulo 8, “Administración de la configuración
y las conexiones de clientes”, del curso 2404, Implementación y administración
de Microsoft Exchange Server 2003.
6 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Puede seleccionar el tipo de cliente Internet que utilizar para tener acceso a
Exchange 2003 dependiendo de los recursos de su compañía. Los distintos
clientes Internet proporcionan distintas capacidades y se pueden usar para tener
acceso a distintos componentes de Exchange. Por ejemplo, Outlook Express se
puede configurar como cliente POP3 o IMAP4, o para tener acceso a grupos de
noticias mediante NNTP. Outlook Express usa POP3 o IMAP4 para recuperar
los mensajes y SMTP para enviarlos. Aunque Outlook Express también se
puede configurar para utilizar HTTP en el acceso a Exchange, el uso de un
explorador Web como Internet Explorer proporciona mayor flexibilidad a los
usuarios, ya que ofrece las características de Outlook Web Access.
Cliente POP3 POP3 es un protocolo sencillo de recuperación de correo que dispone de un
conjunto de comandos limitado. Un cliente POP3 proporciona el acceso más
básico a Exchange y permite que los usuarios tengan acceso a los mensajes de
sus buzones.
Cliente IMAP4 IMAP4 es un protocolo de recuperación de correo más complejo, con un
conjunto de comandos más avanzado. IMAP4 permite almacenar y administrar
los mensajes en el servidor, en lugar de descargarlos y administrarlos en el
cliente (como sucede con POP3). Si utiliza IMAP4, para organizar los mensajes
en el servidor puede utilizar carpetas. También puede cambiar los mensajes de
unas carpetas a otras y obtener una vista previa de su contenido antes de
descargarlos enteros o sólo una parte seleccionada, por ejemplo los datos
adjuntos.
Como el protocolo IMAP4 se puede usar para administrar los mensajes sin
quitarlos del servidor, IMAP4 es mejor que POP3 en los casos en que se vaya a
tener acceso a una cuenta de correo desde distintos equipos o cuando de la
administración de una cuenta de correo electrónico se ocupa más de un usuario.
Un cliente IMAP4, como Outlook Express, proporciona acceso a los buzones y
carpetas públicas de Exchange.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 7
Cliente NNTP NNTP se utiliza para tener acceso a grupos de noticias. Puede configurar
Exchange para publicar partes de la jerarquía de carpetas públicas y ponerlas
a disposición de los clientes NNTP.
Cliente Outlook Outlook Web Access proporciona a los usuarios remotos un completo conjunto
Web Access de características. Ofrece una solución para muchos problemas a los que se
enfrentan las empresas cuando tratan de proporcionar servicios de mensajería a
todas las áreas de una organización. Los siguientes son ejemplos de casos en los
que los usuarios sacarán provecho de las funciones de Outlook Web Access:
! Mensajería ligera. Outlook Web Access es una alternativa al cliente
Outlook 2003 completo. Hay veces en que el uso del cliente completo no
es necesario o, simplemente, no es práctico, por ejemplo, cuando se desea
utilizar una red privada virtual (VPN) para tener acceso a los mensajes.
No todos los usuarios de una organización necesitan todas las funciones
de mensajería. Por ejemplo, la implementación de Microsoft Office o
Outlook 2003 podría no estar justificada en equipos que se usan como
estaciones de tareas o de aplicaciones. Además, los usuarios de dichas
estaciones de trabajo no requieren la funcionalidad mejorada de mensajería.
! Capacidad de utilización por parte de los usuarios itinerantes. Que los
usuarios que cambian de equipo disfruten del servicio de mensajería
siempre ha sido una complicación para los administradores. Como no es
necesario instalar otro cliente más que el explorador ni tener en cuenta un
perfil MAPI, Outlook Web Access aporta la solución para los usuarios
itinerantes, dentro de la oficina y a través de Internet.
! Exposición. En el caso de los equipos públicos expuestos (o quioscos), los
equipos se hallan en ubicaciones estratégicas, por ejemplo en una fábrica,
en zonas comunes y salas de conferencias, y se proporciona a los usuarios
acceso al correo electrónico, programación del calendario y otras funciones
básicas de mensajería. Esta solución es especialmente práctica si se desea
proporcionar acceso general a las carpetas públicas expuestas.
! Migración. Otro reto frecuente al que se enfrentan los administradores de
sistemas es el de proporcionar a los usuarios acceso continuo a las funciones
durante una migración. La migración debe causar la menor interrupción
posible. Outlook Web Access proporciona una solución a los problemas
que pueden surgir de la coexistencia de software de cliente durante una
migración. Aunque no es adecuado como sustituto de un cliente completo,
Outlook Web Access se puede implementar muy fácilmente, lo que permite
a los usuarios obtener las ventajas de Exchange tan pronto como el servidor
se pone en funcionamiento.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Microsoft Exchange Server 2003 Enterprise Edition y Microsoft Exchange
Server 2003 Standard permiten usar una topología de servidores de solicitudes
de cliente y de servidores de servicios de fondo que puede utilizarse para
escalar la organización de Exchange de forma que admita más usuarios.
Un servidor de solicitudes de cliente (a veces llamado en otros contextos
servidor de aplicaciones para usuario) es un servidor donde se ejecuta
Exchange 2003 y que no aloja un almacén de buzones o carpetas públicas.
Un servidor de solicitudes de cliente reenvía las solicitudes de los clientes a un
servidor de servicios de fondo donde serán procesadas. Un servidor de servicios
de fondo es aquel donde se ejecuta Exchange 2003 y que aloja al menos un
almacén de buzones o carpetas públicas.
En una topología de servidores de solicitudes de cliente y de servicios de fondo,
cada servidor de solicitudes de cliente determina qué servidor de servicios de
fondo almacena el recurso solicitado utilizando LDAP para consultar Active
Directory en Windows Server 2003.
Ventajas del uso de una Los clientes HTTP, POP3 e IMAP4 pueden aprovechar las ventajas de una
topología de servidores topología de servidores de solicitudes de cliente y de servicios de fondo.
de solicitudes de cliente Algunos clientes MAPI, como Outlook 2002 y versiones anteriores, que tienen
y de servicios de fondo acceso al almacén directamente, no pueden sacar provecho de dichas ventajas.
Sin embargo, Outlook 2003 puede utilizar las llamadas a procedimiento remoto
(RPC) a través de HTTP para tener acceso al almacén con una topología de
servidores de solicitudes de cliente y de servicios de fondo.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 9
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Esta presentación muestra cómo funcionan los servidores de servicios de fondo
y los de aplicaciones para usuario con Exchange Server 2003.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Equilibrio de carga de red es un servicio que proporciona Windows
Server 2003. Este servicio distribuye dinámicamente el tráfico del Protocolo
Internet (IP) en varios servidores de solicitudes de cliente dividiendo, sin que
se perciba, las solicitudes de los clientes entre los servidores de solicitudes de
cliente y permitiendo que los usuarios tengan acceso a sus buzones con un
único espacio de nombres de servidor. Los clientes reconocen los servidores de
solicitudes de cliente como un servidor único que responde a sus solicitudes.
Con Equilibrio de carga de red, si se produce un error en un servidor o se pone
sin conexión, los restantes servidores se ocupan inmediatamente de la carga
del mismo. La redistribución de la carga de trabajo suele tardar menos de
10 segundos. Por ello, Equilibrio de carga de red proporciona no sólo el
equilibrio de la carga, si no también un alto nivel de tolerancia a errores, que es
esencial para garantizar una alta disponibilidad del acceso de los clientes a los
servidores de solicitudes de cliente.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Esta presentación muestra cómo funciona el equilibrio de carga de red con
Exchange Server 2003
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Instrucciones Lea las situaciones de ejemplo de la columna izquierda de la tabla. Después,
decida qué cliente Internet o tecnología de Exchange usaría para llevar a cabo
la tarea y escriba la respuesta en la columna derecha. Cuando haya terminado,
debata las respuestas con el resto de la clase.
Situaciones Cliente Internet o tecnología
Situación de ejemplo de Exchange
(continuación)
Cliente Internet o tecnología
Situación de ejemplo de Exchange
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción Cuando haya decidido qué tipo de protocolo de cliente Internet utilizarán los
usuarios para tener acceso a Exchange, debe decidir cómo va a configurar la
topología de servidores Exchange. La topología de servidores de solicitudes de
cliente y de servicios de fondo permite implementar Outlook Web Access de
forma más segura y con mayor escalabilidad. Con una topología de este tipo,
también debe determinar qué método de autenticación y configuración de
servidor de seguridad utilizar, de manera que el entorno de los datos de
Exchange y los clientes Internet esté protegido. Hay numerosas opciones para
proteger los datos de Exchange. Debe seleccionar una opción en función de los
requisitos de seguridad y los protocolos que utilicen los clientes.
Objetivos de la lección Después de finalizar esta lección, podrá:
! Configurar un servidor como servidor de solicitudes de cliente.
! Configurar servidores de solicitudes de cliente de Outlook Web Access.
! Configurar servidores de servicios de fondo de Outlook Web Access.
! Describir las configuraciones de servidor de seguridad para proteger los
servidores de solicitudes de cliente y de servicios de fondo.
! Configurar servidores de seguridad compatibles con los servidores de
solicitudes de cliente y de servicios de fondo.
! Configurar DSAccess para redes perimetrales.
! Implementar la seguridad del Protocolo Internet (IPSec) entre los servidores
de solicitudes de cliente y de servicios de fondo mediante las utilidades de
administración de Windows Server 2003.
! Explicar las directrices que permiten optimizar el rendimiento de los
servidores de solicitudes de cliente y de servicios de fondo.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 17
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Un servidor de solicitudes de cliente debe estar en la misma organización de
Exchange que los servidores de servicios de fondo y, por ello, debe pertenecer
al mismo bosque de Windows Server 2003.
Para configurar un A continuación, se resumen los pasos para configurar un servidor de solicitudes
servidor de solicitudes de cliente:
de cliente
1. Instale el servidor donde se ejecute Exchange en la organización.
2. Use el Administrador del sistema de Exchange para ir al objeto de servidor,
haga clic con el botón secundario del mouse (ratón) en el objeto y, a
continuación, haga clic en Propiedades.
3. Seleccione Éste es un servidor de aplicaciones para usuario y, a
continuación, cierre la página.
4. Para empezar a utilizar el servidor de solicitudes de cliente, elija una de las
siguientes opciones:
• Reinicie el equipo.
O bien
• Detenga y reinicie los servicios HTTP, POP3 e IMAP4.
18 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
Nota Como Outlook Web Access depende de IIS, debe asegurarse de que IIS
está protegido antes de implementar servidores de solicitudes de cliente de
Outlook Web Access. Puede usar utilidades como la herramienta Bloqueo de
seguridad de IIS y la herramienta de seguridad de URLScan para proteger los
servidores Outlook Web Access. Para obtener más información acerca de cómo
proteger IIS, consulte la página de listas de comprobación y herramientas de
seguridad del sitio Web de Microsoft TechNet en
http://www.microsoft.com/spain/technet/mapa/; también puede buscar el
artículo “XCCC: Configuraciones del Asistente para bloqueo de IIS y URLscan
en un entorno de Exchange” en la página de Servicios de soporte técnico del
sitio Web de Microsoft en http://support.microsoft.com.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 19
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
De manera predeterminada, no es necesaria ninguna configuración adicional
en el servidor de solicitudes de cliente. Sin embargo, si utiliza Outlook Web
Access y aloja varios dominios, organizaciones o árboles de carpetas públicas,
debe crear directorios o servidores virtuales adicionales. Por ejemplo, debe
crear directorios o servidores virtuales adicionales en las situaciones siguientes:
! La compañía se ha fusionado con otra y debe conceder acceso a los usuarios
con la dirección SMTP de cualquiera de las dos compañías originales.
! La compañía tiene varias divisiones con distintos dominios de correo
electrónico.
! Es proveedora de servicios de aplicaciones y aloja varias compañías en
Exchange.
Para alojar varios Los pasos para alojar varios dominios mediante servidores virtuales adicionales
dominios con servidores son los siguientes:
virtuales adicionales
1. Utilice el Administrador del sistema de Exchange para crear un servidor
virtual para cada uno de los dominios alojados.
Por ejemplo, si el dominio de Exchange predeterminado es microsoft.msft y
usted aloja buzones para adatum.msft y carpetas públicas para contoso.msft,
debe crear tres servidores virtuales HTTP en cada servidor donde se ejecute
Exchange: el servidor virtual predeterminado Exchange, un servidor virtual
para los buzones de adatum.msft y otro servidor virtual para el árbol de
carpetas públicas de contoso.msft.
2. Asocie cada uno de los servidores virtuales y los directorios virtuales
que señalen a los buzones con un dominio SMTP concreto.
Mediante la asociación de cada servidor virtual con un dominio SMTP
concreto, Exchange permite que los usuarios con direcciones SMTP de
ese dominio inicien sesión a través de ese servidor virtual. El programa
de instalación de Exchange asocia el servidor virtual HTTP predeterminado
Exchange con el dominio predeterminado de Exchange (microsoft.msft en
este ejemplo); esta configuración no se puede cambiar a menos que se
cambie la dirección SMTP principal de la directiva de destinatarios
predeterminada. Si no se especifica el dominio correcto, los usuarios no
podrán iniciar sesión en el servidor de solicitudes de cliente si no disponen
también de una dirección de correo electrónico en el dominio
predeterminado.
3. Cree los directorios virtuales Exchange y Público en el servidor virtual.
Para alojar varios Si desea implementar Secure Sockets Layer (SSL) sin tener que incurrir en el
dominios con gasto de adquirir varios certificados SSL, puede agregar un directorio virtual
directorios virtuales para cada dominio en lugar de crear varios servidores virtuales. Normalmente,
adicionales si hay varios servidores virtuales con distintos nombres de dominio (por
ejemplo, mail.microsoft.msft y mail.adatum.msft) y desea implementar SSL,
necesita un certificado SSL para cada dominio. Al configurar directorios
virtuales adicionales, los clientes pueden tener acceso a sus datos desde un
único dominio y puede ahorrarse el costo que supone adquirir certificados
adicionales y la configuración de SSL en cada servidor virtual.
Los pasos para alojar varios dominios mediante el uso de directorios virtuales
adicionales son los siguientes:
1. Use el Administrador del sistema de Exchange para agregar un directorio
virtual en el servidor virtual HTTP predeterminado de Exchange para el
primer dominio alojado, por ejemplo adatum.msft. Especifique un nombre
que identifique de forma exclusiva a la compañía alojada, como Adatum.
2. Decida si el directorio se va a utilizar para tener acceso a buzones o a
carpetas públicas.
3. Para los buzones, seleccione el dominio SMTP del directorio virtual; por
ejemplo, seleccione adatum.msft como dominio SMTP para permitir a los
usuarios de Adatum el acceso al almacén de buzones.
4. Para las carpetas públicas, especifique la raíz de carpetas públicas de la
compañía alojada; por ejemplo, especifique Contoso para permitir el acceso
al almacén de carpetas públicas.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 21
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
De manera predeterminada, no es necesaria ninguna configuración adicional
en el servidor de servicios de fondo. Si configura otros directorios o servidores
virtuales en algún servidor de solicitudes de cliente Outlook Web Access, debe
hacerlo también en el servidor de servicios de fondo y agregar los mismos
directorios y servidores virtuales en él.
Para configurar Los pasos para configurar servidores virtuales adicionales en servidores de
servidores virtuales servicios de fondo son los siguientes:
adicionales en
servidores de 1. Especifique un nombre coherente para el servidor virtual, por ejemplo
servicios de fondo adatum.msft (servicios de fondo).
2. Seleccione el dominio adecuado en la lista, por ejemplo adatum.msft.
3. Agregue los encabezados de host adecuados, por ejemplo mail.adatum.msft.
La dirección a través de la cual el explorador de cliente tiene acceso al
servidor de solicitudes de cliente se reenvía desde dicho servidor al servidor
de servicios de fondo, de forma que este último debe reconocer todos los
nombres que puede utilizar un cliente para llegar al servidor de solicitudes
de cliente (por ejemplo http://mail y http://mail.adatum.msft).
Para configurar Los pasos para configurar directorios virtuales adicionales en servidores de
directorios virtuales servicios de fondo son los siguientes:
adicionales en
servidores de 1. En los servidores de servicios de fondo, configure una estructura de
servicios de fondo directorios virtuales exactamente igual a la de los servidores de solicitudes
de cliente.
2. Especifique el dominio SMTP correcto para los directorios virtuales
asociados a los almacenes de buzones.
Para configurar Cuando los servidores de servicios de fondo forman un clúster, si es necesario
directorios virtuales agregar servidores y directorios virtuales adicionales, se debe usar
adicionales en un conjuntamente el Administrador de clúster y el Administrador del sistema de
clúster de servidores Exchange. En los servidores de servicios de fondo que no forman un clúster
de servicios de fondo también existe este requisito: los directorios y servidores virtuales deben
coincidir con los configurados en el servidor de solicitudes de cliente.
Exchange 2003 no exige que los servidores virtuales predeterminados del
clúster de servidores de servicios de fondo se modifiquen con una entrada de
nombre de host que contenga el nombre utilizado para tener acceso al servidor
de solicitudes de cliente. En los clústeres de Exchange 2003, los encabezados
de host de los servidores virtuales predeterminados de Exchange están en
blanco, igual que en los servidores de servicios de fondo que no forman un
clúster.
Los pasos para configurar los recursos de servidor virtual HTTP en un servidor
virtual Exchange (EVS) para que funcione como servidor de servicios de fondo
son los siguientes:
1. Cree los servidores virtuales HTTP en el Administrador del sistema
de Exchange.
2. Cree los mismos directorios virtuales que en el servidor de solicitudes
de cliente.
3. Agregue nuevos recursos de servidor virtual HTTP al servidor virtual
Exchange del clúster mediante el Administrador de clúster.
24 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Cuando implemente servidores de solicitudes de cliente y de servicios de fondo,
debe planear la ubicación y configuración de los servidores de seguridad de
la red.
Configuraciones de En una topología de servidores de solicitudes de cliente y de servicios de fondo
servidores de seguridad hay cuatro ubicaciones típicas para los servidores de seguridad:
! Un servidor ISA ubicado en una red perimetral con el servidor de solicitudes
de cliente ubicado detrás del segundo servidor de seguridad. En esta
situación, el servidor ISA u otro servidor proxy inverso se encuentra entre
dos servidores de seguridad independientes (el servidor ISA también puede
utilizarse como servidor de seguridad). El primer servidor de seguridad
separa el servidor ISA de Internet. El segundo lo separa de la red interna de
la compañía. El servidor ISA reenvía todas las solicitudes entre el cliente y el
servidor de solicitudes de cliente. Puesto que el servidor ISA sólo reenviará
las solicitudes al servidor de solicitudes de cliente, la seguridad de los
servidores de servicios de fondo no se verá comprometida. Además, como el
servidor de solicitudes de cliente se encuentra en la red interna con los demás
servidores internos, esta configuración proporciona el mejor nivel de
seguridad al permitirle reducir el número de puertos que se deben abrir
en el servidor de seguridad interno. Ésta es la configuración recomendada.
! Servidor de solicitudes de cliente ubicado en una red perimetral. En esta
situación, se coloca un servidor de solicitudes de cliente entre dos servidores
de seguridad independientes. El primer servidor de seguridad separa el
servidor de solicitudes de cliente de Internet y sólo admite solicitudes
para ese servidor. El segundo servidor de seguridad separa el servidor de
solicitudes de cliente de la red interna de la compañía. Esta configuración
proporciona una medida de seguridad adicional, ya que garantiza que si
existe un riesgo para el servidor de solicitudes de cliente, un usuario no
autorizado estará aislado del resto de la organización, lo que permite
detectar y corregir el ataque.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 25
Nota Para obtener más información acerca de cómo implementar ISA Server,
visite el sitio Web de Microsoft Internet Security and Acceleration Server en
http://www.microsoft.com/latam/isaserver/default.asp.
26 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
En función del tipo de topología de servidores de solicitudes de cliente que
se vaya a implementar y de si se utiliza una red perimetral, es necesario abrir
ciertos puertos. Los clientes inician las sesiones en los servidores de solicitudes
de cliente a través de Internet y éstos a su vez las inician en los servidores de
servicios de fondo en la intranet a través de los puertos enumerados en la
siguiente tabla.
Puertos de servidor de El cliente utiliza estos puertos para conectarse al servidor de solicitudes de
seguridad de Internet cliente. Cuando coloca un servidor de solicitudes de cliente detrás de un
servidor de seguridad, debe abrir los puertos entre Internet y el servidor de
solicitudes de cliente que se indican en la tabla siguiente.
Servicio de solicitudes de cliente Puerto TCP
Nota Habilite sólo los puertos de los protocolos que vaya a utilizar.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 27
POP3 110
IMAP4 143
NNTP 119
HTTP 80
Alternativas a la Algunas compañías tienen limitaciones en cuanto al tipo de puertos que pueden
apertura de puertos abrir entre la red perimetral y la intranet. Para que un servidor de solicitudes de
cliente funcione correctamente en una red perimetral, se debe configurar el
puerto del protocolo de mensajería en el servidor de solicitudes de cliente
abriendo el puerto del servidor de seguridad entre la red perimetral y la intranet.
La apertura de puertos DNS y RPC entre la red perimetral y la intranet se puede
evitar mediante uno de los siguientes métodos alternativos:
! Configurar un servidor DNS en el servidor de solicitudes de cliente o en la
red perimetral. En lugar de abrir puertos DNS entre la red perimetral y la
intranet, se puede configurar un servidor DNS en el servidor de solicitudes
de cliente o en la red perimetral para que el servidor de solicitudes de cliente
se pueda comunicar con él. Los archivos de host no se pueden utilizar,
porque es necesario disponer de la información de los servicios adecuados
para servidores como el de catálogo global y LDAP.
! Configurar el servidor de solicitudes de cliente de forma que no utilice
llamadas a procedimiento remoto para buscar servicios de controlador de
dominio en la intranet. Puede modificar la ficha Acceso al directorio del
cuadro de diálogo Propiedades del servidor en el Administrador del sistema
de Exchange para especificar el nombre del controlador de dominio y del
servidor de catálogo global que utilizará el servidor de solicitudes de cliente
al tener acceso al directorio.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 29
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
El componente DSAccess de Exchange posibilita la utilización de redes
perimetrales en las que no se permite que el tráfico de RPC pase por el servidor
de seguridad interno. Sin embargo, para evitar problemas de rendimiento, debe
definir dos claves del Registro adicionales en el servidor de solicitudes de
cliente para deshabilitar NetLogon y el comando ping de Acceso al directorio.
Para deshabilitar DSAccess se conecta con los servidores de Active Directory para comprobar
NetLogon el espacio libre disponible, la sincronización de hora y la participación de la
replicación mediante el servicio NetLogon con RPC. Si no permite que el
tráfico de RPC pase por el servidor de seguridad interno, debe detener la
comprobación de NetLogon mediante la creación de la clave del Registro
DisableNetlogonCheck en el servidor de solicitudes de cliente.
Para crear la Los pasos para crear la clave del Registro DisableNetlogonCheck son los
clave del Registro siguientes:
DisableNetlogonCheck
1. Inicie el Editor del Registro (Regedt32.exe).
2. Busque y seleccione la siguiente clave en el Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
MSExchangeDSAccess\
Para deshabilitar el En una red perimetral, también debe crear una clave del Registro en el servidor
comando ping de de solicitudes de cliente para impedir que en Acceso al directorio se ejecute el
Acceso al directorio comando ping en los controladores de dominio. Debe crear la clave del Registro
LdapKeepAliveSecs en el servidor de solicitudes de cliente.
Para crear la Los pasos para crear la clave del Registro LdapKeepAliveSecs son los
clave del Registro siguientes:
LdapKeepAliveSecs
1. Inicie el Editor del Registro (Regedt32.exe).
2. Busque y seleccione la siguiente clave en el Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
MSExchangeDSAccess\
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Normalmente, las redes se diseñan de manera que impidan el acceso no
autorizado a datos importantes desde fuera de la intranet de la compañía
mediante el cifrado de la información que pasa por líneas de comunicación
públicas. Sin embargo, la mayoría tratan la comunicación entre los hosts de
la red interna como texto sin cifrar. Por ello, con acceso físico a la red y un
analizador de protocolos, un usuario no autorizado podría obtener datos
confidenciales fácilmente.
Para obtener un canal seguro entre los servidores de solicitudes de cliente y
de servicios de fondo, puede utilizar IPSec. IPSec autentica los equipos y cifra
los datos para transmitirlos entre hosts, incluidas las comunicaciones de una
estación de trabajo a un servidor y de un servidor a otro. Para implementar
IPSec cuando los servidores de solicitudes de cliente y de servicios de fondo
forman clústeres, en ellos se debe ejecutar Exchange 2003 en
Windows Server 2003.
Para configurar Puede crear y configurar directivas IPSec locales mediante la directiva de
directivas IPSec seguridad local. Use la directiva de seguridad de dominio para crear y
configurar directivas IPSec en todo el dominio. También puede agregar el
complemento Administración de directivas de seguridad IP a una consola
Microsoft Management Console (MMC).
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 33
Puede encontrar los pasos detallados que permiten configurar directivas IPSec
en el ejercicio llamado Ejercicio: Configuración de un servidor seguro de
solicitudes de cliente, más adelante en esta lección
Ejemplos de A continuación se ofrecen ejemplos de distintos tipos y niveles de directivas
directivas IPSec IPSec, que se pueden aplicar según sea necesario:
! Sólo tráfico del puerto 80. Con esta directiva, sólo se cifra el tráfico TCP
hacia el puerto 80 entre los servidores de solicitudes de cliente y de
servicios de fondo. Utilícela si le preocupa la seguridad del protocolo HTTP
pero no la del tráfico de otros protocolos entre los servidores de solicitudes
de cliente y de servicios de fondo.
! Todo el tráfico. Con esta directiva, se cifra todo el tráfico (HTTP, LDAP,
RPC y DNS) entre los servidores de solicitudes de cliente y de servicios
de fondo. Uno de los usos de esta directiva es para el caso de que un
servidor de solicitudes de cliente se encuentre en una red perimetral y
el administrador del servidor de seguridad no desee abrir demasiados
puertos en éste. Esta directiva permitirá que todo el tráfico del servidor de
solicitudes de cliente se dirija a un canal de IPSec seguro. Esta solución
afectará al rendimiento.
Nota Para obtener más información acerca de los tipos de ataques contra la
seguridad y las características de IPSec, consulte el módulo 14, “Securing
Computers in a Windows Server 2003 Family Network”, del curso 2270,
Updating Support Skills from Microsoft Windows NT® 4.0 to the Microsoft
Windows .NET Server 2003 Family (en inglés).
34 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Instrucciones Realice el ejercicio siguiente para configurar uno de los servidores Exchange
como servidor de solicitudes de cliente y, después, proteger la comunicación
entre dicho servidor y el de servicios de fondo. Hay que realizar este ejercicio
para llevar a cabo los siguientes ejercicios de este curso.
Importante Para llevar a cabo este ejercicio, debe tener al menos dos
servidores Exchange en la organización. No guarde los cambios realizados
durante este ejercicio.
Ejercicio
! Para preparar este ejercicio
1. Si todavía no ha guardado el estado del equipo virtual London, haga clic
en Acción, en Cerrar, en Guardar el estado y guardar los cambios y,
a continuación, en Aceptar. Reinicie el equipo virtual London.
2. Inicie el equipo virtual 2404_Miami si no lo ha hecho, inicie la sesión
como NWTraders\LondonAdmin con la contraseña P@ssw0rd y, a
continuación, cambie a London.
3. Desde el equipo virtual 2404_London, inicie sesión como
NWTraders\LondonAdmin con la contraseña P@ssw0rd.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
La implementación de Equilibrio de carga de red le permite obtener mejor
rendimiento en los servidores de solicitudes de cliente. A continuación se
ofrecen directrices que se pueden utilizar para optimizar los servidores de
solicitudes de cliente y de servicios de fondo según el tipo de hardware que
se usen, la cantidad de servidores y el método utilizado para implementar el
cifrado y la autenticación.
Implementar Puede configurar los servidores Exchange 2003 para que admitan tráfico SSL
aceleradores SSL entre el cliente y el servidor, y protegerlo de intrusiones de terceros. Sin
embargo, el cifrado y descifrado del tráfico de mensajes consume tiempo del
procesador. Si se usa el cifrado SSL, la topología de servidores de solicitudes
de cliente y de servicios de fondo representa una ventaja porque los servidores
de solicitudes de cliente pueden hacerse cargo de todo el procesamiento de
cifrado y descifrado.
Nota Otra solución sería implementar un proxy inverso, como un servidor ISA,
para que se ocupe del descifrado SSL y, a continuación, envíe las solicitudes
que no son SSL al servidor de solicitudes de cliente.
Además, puede utilizar un acelerador SSL para reducir más los efectos del
cifrado y descifrado en el servidor. Normalmente, las tarjetas aceleradoras
se usan directamente en el servidor de solicitudes de cliente; dichas tarjetas
reducen la carga que suponen el cifrado y el descifrado, con lo que se aumenta
el rendimiento de cada conexión y se reduce la cantidad de trabajo que tiene
que hacer el software del servidor.
40 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
Desmontar y eliminar Para obtener una seguridad y un rendimiento mayores, antes de pasar a
los almacenes públicos producción el servidor de solicitudes de cliente, desmonte y elimine sus
y de buzones almacenes de carpetas públicas. También debe desmontar y eliminar el almacén
de buzones a menos que utilice SMTP en él.
El servicio Almacén de información de Microsoft Exchange no se iniciará si no
se ha definido por lo menos un grupo de almacenamiento. Si tiene que dejar el
servicio Almacén de información de Microsoft Exchange en ejecución, no
elimine el grupo de almacenamiento del servidor de solicitudes de cliente
después de eliminar los almacenes privados y públicos.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 41
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Introducción En esta lección se introduce la implementación y administración de Outlook
Web Access. Se describen las tareas relacionadas con la administración de
servidores y clientes Outlook Web Access, y con la protección de las
comunicaciones entre los equipos cliente y los servidores Outlook Web Access.
Con la implementación de Outlook Web Access se proporciona a los usuarios
locales y remotos acceso a los datos de sus buzones, a los datos de las carpetas
públicas, a las carpetas compartidas de red y a las intranets de la compañía.
Objetivos de la lección Después de finalizar esta lección, podrá:
! Administrar servidores OutlookWeb Access.
! Seleccionar una versión de Outlook Web Access.
! Describir las opciones para proteger las comunicaciones de Outlook
Web Access.
! Configurar comunicaciones seguras de Outlook Web Access.
! Explicar las directrices para proteger la implementación de Outlook
Web Access.
! Proteger las comunicaciones de Outlook Web Access habilitando la
protección SSL.
! Comprobar la funcionalidad de Outlook Web Access.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 43
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
De manera predeterminada, Outlook Web Access está configurado para
permitir el acceso a los buzones de usuario y al árbol de carpetas públicas
predeterminado. Sin embargo, el servidor Exchange se puede configurar para
proporcionar acceso personalizado para los clientes HTTP o de Creación y
control de versiones distribuidas en Web (WebDAV, Web Distributed
Authoring and Versioning). WebDAV es una versión ampliada de HTTP, el
protocolo estándar que permite que los exploradores Web se comuniquen con
los servidores Web. Se pueden especificar elementos como:
! Qué usuarios pueden tener acceso al servidor desde un explorador Web.
! Qué métodos de autenticación se admiten.
! Qué carpetas públicas se muestran a los usuarios.
Para modificar la De manera predeterminada, Outlook Web Access en Exchange 2003 está
configuración de habilitado para todos los usuarios. A continuación, se resumen los pasos más
Outlook Web Access importantes para deshabilitar Outlook Web Access en Exchange 2003:
para los usuarios
1. Abra Usuarios y equipos de Active Directory.
2. Utilizando las propiedades de un objeto de usuario, en la ficha
Características de Exchange, modifique la configuración de Outlook Web
Access para el usuario.
Para configurar un Las utilidades que se usan para configurar un servidor Outlook Web Access son
servidor Outlook las siguientes:
Web Access
! El Administrador del sistema de Exchange se utiliza para crear servidores o
directorios virtuales. Los servidores y directorios virtuales creados con esta
utilidad aparecerán en la consola del Administrador de servicios Internet.
Los cambios de configuración realizados en el Administrador del sistema
de Exchange reemplazan a los efectuados en los mismos elementos con el
Administrador de servicios Internet.
! El Administrador de servicios Internet sólo se utiliza para hacer cambios
en elementos que no están disponibles en el Administrador del sistema de
Exchange. Por ejemplo, se usa con el fin de configurar SSL y habilitar
registros para hacer un seguimiento del uso de los servidores Exchange.
Para supervisar el Puede supervisar el rendimiento para calcular los requisitos de recursos de
rendimiento Outlook Web Access. Este proceso es parecido al de planeamiento de la
capacidad de una implementación estándar de Exchange. A continuación,
se resumen los pasos más importantes para supervisar el rendimiento:
1. Implemente una instancia de Outlook Web Access y, a continuación,
supervise el uso y el rendimiento.
2. Supervise los contadores de rendimiento del Monitor del sistema para reunir
datos útiles sobre:
• Intentos de inicio de sesión al día
• Número de mensajes leídos
• Número de mensajes enviados
• Duración de la sesión
• Conexiones de Outlook Web Access
Como Outlook Web Access depende de Active Directory, IIS y los servicios
de Exchange, también se deben supervisar estos componentes, además de
los siguientes: DSAccess, Servicio de publicación World Wide Web y
Almacén de información de Microsoft Exchange.
3. Use la información obtenida para determinar si la configuración y el
funcionamiento de los servidores Outlook Web Access son los requeridos.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Outlook Web Access de Exchange 2003 proporciona mejor rendimiento al
permitir que los usuarios seleccionen una de las dos versiones de inicio de
sesión de Outlook Web Access en función de la velocidad de la conexión y la
versión de explorador.
Autenticación basada Exchange 2003 proporciona una nueva página de inicio de sesión para Outlook
en formularios Web Access en la que los usuarios pueden seleccionar la versión que van a
utilizar para tener acceso a Exchange. Para habilitar esta característica, es
necesario habilitar la autenticación basada en formularios en el servidor virtual
HTTP.
Al habilitar la autenticación basada en formularios, también se puede configurar
niveles de compresión, que se implementan mediante la compresión GZip
(zip de GNU), para controlar la compresión de las respuestas HTTP.
Para habilitar la La página de inicio de sesión requiere que los usuarios especifiquen el nombre
autenticación basada o alias de dominio y la contraseña o el nombre principal de usuario (UPN)
en formularios completo, la dirección de correo electrónico y la contraseña para tener acceso
al correo electrónico.
Los pasos para habilitar la autenticación basada en formularios son los
siguientes:
1. En el Administrador del sistema de Exchange, vaya a Servidor virtual
Exchange para buscar el servidor que desea configurar
2. En el cuadro de diálogo Propiedades, active la casilla de verificación
Habilitar autenticación basada en formularios.
46 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
Versiones de inicio de En la tabla siguiente se describen las dos versiones de inicio de sesión
sesión de Outlook Web disponibles en Outlook Web Access.
Access
Versión Motivos para usarla
Importante Outlook Web Access puede utilizarse con todos los exploradores
que cumplan los estándares de secuencias de comandos HTML 3.2 y de la
Asociación europea de fabricantes de informática (ECMA). Sin embargo,
debido a que algunos exploradores no cumplen totalmente dichos estándares,
se recomienda utilizar Microsoft Internet Explorer 5.01 o posterior, o Netscape
Navigator 4.7 o posterior. Estos exploradores se han probado con Outlook Web
Access. En función de la versión de explorador que se utilice para Outlook Web
Access, las características admitidas pueden variar.
Para seleccionar una Los pasos para seleccionar una versión de Outlook Web Access son los
versión de Outlook siguientes:
Web Access
1. Inicie la sesión en Outlook Web Access de Exchange 2003 con la dirección
URL https://nombreDeServidor/Exchange.
2. Seleccione la versión de Outlook Web Access que desee utilizar. Puede
seleccionar las versiones Premium o Básica.
Para obtener mejor rendimiento, los usuarios de Outlook Web Access que
se conecten con una conexión lenta deben seleccionar Básica. La versión
Básica permite a los usuarios conseguir mejor rendimiento, pero ofrece
menos funciones.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Puede configurar distintas opciones de Outlook Web Access que proporcionan
mayor seguridad en entornos donde no se desee que las credenciales de usuario
se almacenen en el equipo cliente o en los que haya que proteger las
comunicaciones entre el equipo cliente y el servidor Exchange.
Tiempo de espera Un cookie almacena las credenciales de usuario de Outlook Web Access si la
de autenticación autenticación basada en formularios está habilitada en el servidor Exchange.
de cookies Cuando el usuario cierra la sesión de Outlook Web Access, el cookie se elimina
y deja de ser válido para la autenticación.
La página de inicio de sesión permite que el usuario seleccione la opción de
seguridad que más le interese. Las dos opciones disponibles son:
! Equipo público o compartido. Esta opción es la predeterminada.
Proporciona una opción predeterminada de tiempo de espera breve,
establecida en 15 minutos, de inactividad del usuario para eliminar el
cookie.
! Equipo privado. Esta opción permite un período de inactividad más
largo antes de finalizar la sesión automáticamente; el valor interno
predeterminado es de 24 horas. Se debe usar esta opción si el usuario es
la única persona que trabaja con el equipo y éste cumple las directivas de
seguridad de la compañía.
48 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
El tiempo de espera automático resulta útil para proteger una cuenta de usuario
contra ataques de acceso no autorizado. Si bien el tiempo de espera no elimina
completamente la posibilidad de que un usuario no autorizado tenga acceso a
una cuenta en una sesión de Outlook Web Access si se deja en ejecución
accidentalmente en un equipo público, el riesgo se reduce en gran medida.
Nota Para obtener información sobre la criptografía y las PKI, busque Best
Practices for Implementing a Microsoft Windows Server 2003 Public Key
Infrastructure (en inglés) en el sitio Web de Microsoft TechNet, en
http://www.microsoft.com/technet/.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 49
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Para definir el valor del El valor predeterminado del tiempo de espera de los cookies es de 15 minutos.
tiempo de espera de los Si desea cambiarlo, debe modificar la configuración del Registro en el servidor.
cookies de Outlook Web
Access Los pasos para definir el valor del tiempo de espera de los cookies de Outlook
Web Access son los siguientes:
1. En el Editor del Registro, vaya a la siguiente clave:
HKey_local_machine\system\CurrentControlSet\Services\
MSExchangeWeb\OWA\
2. Cree un nuevo valor Dword con nombre PublicClientTimeout o
TrustedClientTimeout.
3. Defina un valor decimal (en minutos) entre 1 y 432000.
Para implementar Los pasos para implementar S/MIME con Outlook Web Access son los
S/MIME con Outlook siguientes:
Web Access
1. Instale una entidad emisora de certificados de empresa (CA) de Windows
Server 2003 que emita los certificados para los usuarios.
2. Cambie las configuraciones predeterminadas de la CA según sus
necesidades, por ejemplo, para la configuración de la inscripción automática
(habilitada de forma predeterminada en la plantilla de certificado de
usuario) o la configuración de plantillas independientes para la firma y el
cifrado (la plantilla de certificado de usuario predeterminada se usa tanto
para la firma como para el cifrado).
50 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
3. Haga que los usuarios soliciten los certificados necesarios para la firma y
cifrado de los mensajes.
4. Instale el control S/MIME de Outlook Web Access.
5. Configure las opciones de mensajería segura predeterminadas.
6. Envíe mensajes de prueba.
Ejercicio: Configuración En este ejercicio, va a configurar S/MIME con Outlook Web Access.
de S/MIME con Outlook
Web Access 1. Desde el equipo virtual 2404_Miami, haga clic en Inicio y en Ejecutar,
escriba http://london/certsrv y, a continuación, haga clic en Aceptar.
2. Cuando se le pidan las credenciales, escriba nwtraders\londonadmin con
la contraseña P@ssw0rd. Si se muestran advertencias de seguridad, agregue
el sitio a la lista de sitios de confianza.
3. En el área Seleccione una tarea, haga clic en Solicitar un certificado.
4. En la página Solicitar un certificado, haga clic en Certificado de usuario.
5. En la página Certificado de usuario - Identificar información, haga clic
en Enviar.
6. En el cuadro de diálogo Peligro potencial para la secuencia de comandos,
lea el mensaje y, a continuación, haga clic en Sí.
7. Si aparece una advertencia de seguridad sobre el envío de información a
sitios de confianza, haga clic en Sí. Si se deniega la solicitud de certificado,
compruebe que el servidor de certificados está ejecutándose. Es posible que
haya que reiniciar London.
8. En la página Certificado emitido, haga clic en Instalar este certificado.
9. En la advertencia Peligro potencial para la secuencia de comandos, lea el
mensaje y, a continuación, haga clic en Sí.
10. Cuando el certificado esté instalado, cierre Internet Explorer.
11. Abra su buzón en Outlook Web Access mediante la dirección URL
http://london/exchange/londonadmin.
12. En Outlook Web Access, en el área de accesos directos, haga clic en
Opciones.
13. En Opciones, en el área Seguridad de correo electrónico, haga clic en
Descargar.
14. En los cuadros de diálogo Advertencia de seguridad, haga clic en Sí.
15. En Opciones, en el área Seguridad del correo electrónico, active la casilla
de verificación Cifrar contenido y datos adjuntos en los mensajes
salientes y, a continuación, active la casilla de verificación Agregar una
firma digital a los mensajes salientes.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 51
16. Compruebe que los mensajes se envían de forma segura creando un mensaje
de prueba para el buzón londonadmin. En el mensaje, en la barra de
herramientas, haga clic en Opciones, configure el cifrado del mensaje y la
firma digital, y haga clic en Cerrar. Fíjese que dos botones de la barra de
herramientas quedan resaltados. Envíe el mensaje.
17. Cuando el mensaje llegue a la Bandeja de entrada, observe que hay un
candado en el icono de sobre, que indica que el mensaje está cifrado. Abra
el mensaje.
18. En el encabezado del mensaje, a la derecha, observe que hay un lazo que
indica que el mensaje está firmado. Haga clic en el lazo, lea la información
de la firma digital y haga clic en Cerrar.
19. Cierre Outlook Web Access.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Para proteger la transmisión de mensajes entre Exchange 2003 y los clientes
Outlook Web Access, puede decidir autenticar los usuarios y cifrar la
información que se transmite con SSL. Las siguientes son directrices que
puede aplicar para proteger más Outlook Web Access.
Implemente SSL entre Puede utilizar SSL para cifrar todas las comunicaciones entre el cliente y el
el cliente Outlook Web servidor, independientemente del método de autenticación seleccionado.
Access y Exchange
SSL establece un canal de comunicación seguro entre el cliente y el servidor,
que protege la comunicación entre ellos mediante el cifrado de la sesión.
Configure la Antes de que IIS permita a los usuarios de Outlook Web Access tener acceso a
autenticación de usuario Exchange 2003, el Servicio de publicación World Wide Web comprueba las
credenciales de cada usuario pasando la información del usuario a un
controlador de dominio para realizar la autenticación.
Hay varios métodos de autenticación disponibles para Outlook Web Access.
Debe seleccionar el método de autenticación en función de las capacidades
del sistema operativo del cliente y las directivas de seguridad concretas. Puede
habilitar o deshabilitar estos métodos de autenticación con el Administrador del
sistema de Exchange y modificando las propiedades del directorio virtual. Los
siguientes son ejemplos de métodos de autenticación:
! Autenticación anónima. Puede crear una cuenta de usuario en IIS que
permita a los usuarios conectarse de forma anónima. El acceso anónimo
proporciona acceso limitado a carpetas públicas e información de directorio
concretos. Todos los clientes pueden usar la autenticación anónima, que
constituye una forma fácil de permitir el acceso al contenido no protegido
de las carpetas públicas.
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 53
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Para proteger las A continuación, se resumen los pasos más importantes para proteger las
comunicaciones de comunicaciones de Outlook Web Access mediante SSL:
Outlook Web Access
mediante SSL 1. Instale un certificado de servidor Web en un servidor Exchange.
Un certificado de servidor Web contiene la directiva de aplicación
Autenticación del servidor necesaria para el cifrado SSL. Puede utilizar
un único certificado de servidor Web para todos los protocolos habilitados
para SSL en el servidor Exchange.
2. Habilite puertos de escucha SSL en el servidor Exchange. Designe el
certificado de servidor Web para cada protocolo que pueda usarse con SSL
y habilite la protección SSL.
Nota Todos los protocolos que pueden usarse con SSL pueden utilizar el
mismo certificado de servidor Web, pero debe designar el certificado para
cada protocolo por separado.
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Para probar Outlook Para probar Outlook Web Access por completo, use Internet Explorer 6.0 y
Web Access pruebe lo siguiente (se supone que se utilizan las carpetas predeterminadas):
! La dirección URL de un buzón en http://server/exchange/nombreDeUsuario
! La dirección URL de una carpeta pública en http://server/public
Para solucionar Si desea solucionar problemas de Outlook Web Access, use las siguientes
problemas de Outlook herramientas de solución de problemas:
Web Access
! Monitor de red. Utilice el Monitor de red para supervisar el tráfico y
determinar qué está ocurriendo entre el servidor de solicitudes de cliente y
los demás servidores. Configure un cliente para conectarse al servidor y
supervisar el tráfico entre el explorador del cliente y el servidor Exchange.
! Visor de sucesos. Use el Visor de sucesos para comprobar, en los archivos
de registro, los números de error y las descripciones que le ayudarán a
identificar el problema. Busque los identificadores de sucesos y localícelos
en Microsoft Knowledge Base. Es posible que encuentre una solución para
el problema.
! Ping de RPC. Use la utilidad Ping de RPC para confirmar que hay conexión
RPC entre el servidor de solicitudes de cliente y los controladores de
dominio y los servidores de catálogo global.
56 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Instrucciones Lleve a cabo el siguiente ejercicio para configurar SSL entre los clientes
Outlook Web Access y el servidor de solicitudes de cliente.
Ejercicio
! Para instalar un certificado para usarlo en el sitio Web predeterminado
de Miami
1. En el escritorio, haga clic en Inicio, seleccione Todos los programas,
Herramientas administrativas y, a continuación, haga clic en
Administrador de Internet Information Services (IIS).
2. En el Administrador de Internet Information Services (IIS), en el árbol
de la consola, expanda Miami (equipo local) y, a continuación, Sitios Web.
3. En el árbol de la consola, haga clic con el botón secundario del mouse en
Sitio Web predeterminado y, a continuación, haga clic en Propiedades.
4. En el cuadro de diálogo Propiedades de Sitio Web predeterminado, haga
clic en Seguridad de directorios.
5. En la ficha Seguridad de directorios, haga clic en Certificado de servidor.
6. En el Asistente para certificados de servidor Web, en la primera página,
haga clic en Siguiente.
7. En la página Certificado de servidor, compruebe que está seleccionado
Crear un certificado nuevo y, a continuación, haga clic en Siguiente.
58 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******
Instrucciones Lea las cinco situaciones de ejemplo siguientes y debata con la clase posibles
soluciones.
Situación de ejemplo 1 En su compañía hay muchos usuarios remotos que requieren acceso a los datos
de Exchange. Tiene dos configuraciones para los usuarios remotos. Casi todos
los usuarios remotos tienen equipos configurados con Windows XP y una
instalación completa de Microsoft Office 2003. Los demás usuarios remotos
que trabajan en el departamento de publicaciones multimedia utilizan equipos
Macintosh. Se le pide que seleccione un cliente Internet que permita a los
usuarios tener acceso a los buzones de Exchange, además de a los calendarios
y carpetas públicas. ¿Qué cliente Internet deben utilizar los usuarios remotos
como cliente estándar?
Exchange admite el uso de HTTP para proporcionar a los clientes Outlook
Web Access acceso a los datos de Exchange. Outlook Web Access permite
a los usuarios tener acceso a sus buzones de Exchange 2003 a través de un
explorador Web, como Internet Explorer, y también proporciona acceso
a los datos de buzones desde otras plataformas de cliente, como son los
equipos Macintosh, conectados a un servidor donde se ejecute
Exchange 2003.
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 61
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
Situación de ejemplo 3 La compañía desea implementar Outlook Web Access, pero le preocupa que no
permita a los usuarios de los distintos dominios de correo electrónico de la
compañía tener acceso a sus buzones. ¿Qué debe configurar en el servidor
Exchange para permitir que los usuarios de los distintos dominios de correo
electrónico tengan acceso a los buzones mediante Outlook Web Access?
Si utiliza Outlook Web Access y aloja varios dominios, organizaciones o
árboles de carpetas públicas, debe crear servidores o directorios virtuales
adicionales.
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
62 Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet
Situación de ejemplo 4 Para garantizar que la red es lo más segura posible, desea configurar los
servidores Exchange de forma que satisfagan los siguientes requisitos:
! Debe protegerse el servidor Exchange, al que tienen acceso los usuarios
remotos de Internet, de posibles ataques, a la vez que se protege a los demás
servidores si se llega a producir un ataque.
! Se deben limitar los puertos de servidor de seguridad necesarios para que
los servidores Exchange se comuniquen con los controladores de dominio
de Active Directory.
! Las comunicaciones entre los servidores Exchange deben ser seguras.
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Módulo 7: Implementación y administración del acceso de clientes con protocolos Internet 63
Situación de ejemplo 5 En su compañía hay muchos usuarios remotos que requieren acceso a los datos
de Exchange. Ha decidido usar Outlook Web Access, pero tiene que garantizar
que todas las versiones de Internet Explorer y los demás exploradores Web que
puedan utilizar los usuarios remotos de Internet proporcionan el mejor
rendimiento a la vez que permiten comunicaciones seguras con Exchange.
¿Qué debe hacer?
Habilitar la autenticación basada en formularios en el Servidor virtual
de Exchange. Con la autenticación basada en formularios, Outlook Web
Access almacena cada nombre de usuario y contraseña en un cookie en
lugar de en el explorador. Además, permitirá que los usuarios elijan entre
las versiones Premium y Básica de Outlook Web Access.
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
THIS PAGE INTENTIONALLY LEFT BLANK