Instalando ISA Server 2006 con un único adaptador de red
Publicado el 7 Abril 2008 por andaira
Aplicación de una plantilla de red
ISA Server incluye algunas plantillas de red predefinidas que responden a las topologías de red comunes. Cuando instala ISA Server en un equipo con un solo adaptador de red, es recomendable configurar la plantilla de red del único adaptador de red de ISA Server. Para hacerlo, utilice el Asistente para plantilla de red como se indica a continuación.
Para aplicar la plantilla del único adaptador de red
1.
En Administración del servidor ISA, expanda el nodo Configuración y haga clic en Redes.
2.
En la ficha Plantillas, haga clic en la plantilla Único adaptador de red.
3.
En la página de bienvenida del Asistente para plantilla de red, haga clic en Siguiente.
4.
En la página Exportar la configuración del servidor ISA, haga clic en Exportar para exportar la configuración actual antes de aplicar la plantilla del único adaptador de red. A continuación, haga clic en Siguiente.
Precaución
Al aplicar una plantilla de red, la plantilla nueva sobrescribe todas las reglas actuales (excepto las reglas de las directivas del sistema) y los valores de configuración de la red.
5.
En la página Direcciones IP de red interna, especifique la configuración de la red interna. A continuación, haga clic en Siguiente.
Notas
•
La configuración predeterminada propuesta para el intervalo de direcciones IP de la red interna es:
•
de 0.0.0.1 a 126.255.255.255 y de 128.0.0.0 a 255.255.255.254.
•
Este intervalo incluye todas las direcciones IP excepto 0.0.0.0, 255.255.255.255 y los intervalos de direcciones 127.0.0.0–127.255.255.255 (host local).
•
Recomendamos que también excluya 224.0.0.0-254.255.255.255 (multidifusión).
6.
En la página Seleccione una directiva de firewall , haga clic en Aplicar la configuración de envío a través de proxy web y almacenamiento en caché predeterminada y, a continuación, en Siguiente.
Nota
De esta manera, se crea una regla de acceso predeterminada que rechaza el tráfico a todas las redes. Después de configurar la plantilla, cree las reglas de las directivas necesarias para permitir el acceso a Internet a los clientes Web, configure el almacenamiento en caché como sea necesario y cree reglas de publicación en Web para controlar el acceso a los servidores protegidos por ISA Server.
7.
Seleccione la configuración de la plantilla nueva y haga clic en Finalizar para finalizar el asistente.
8.
En Administración del servidor ISA, haga clic en Aplicar para guardar la configuración nueva.
Después de aplicar la plantilla del único adaptador de red, se configuran los siguientes valores de las reglas de acceso y de la red:
•
Red de host local: 127.0.0.0–127.255.255.255.
•
Red interna: equivale a todo lo demás, donde todo lo demás representa:
•
0.0.0.1–126.255.255.255
•
128.0.0.0–255.255.255.254
•
Regla de acceso predeterminada: rechaza el acceso a todas las ubicaciones.
Éste es el conjunto de direcciones definidas por RFC 791 y las actualizaciones de RFC relacionadas. Por lo general, las direcciones que están fuera de este alcance no se asignan para Internet ni intranets.
Notas
Si excluyó las direcciones de multidifusión además de 0.0.0.0, 255.255.255.255 y 127.0.0.0.-127.255.255.255.255, el intervalo de la red interna será el siguiente:
0.0.0.1 – 126.255.255.255, 128.0.0.0 – 223.255.255.255.255, 255.0.0.0 – 255.255.255.254.
Principio de la página
Escenarios compatibles
ISA Server admite los siguientes escenarios cuando está instalado en un equipo con un único adaptador de red:
•
Proxy y almacenamiento en caché Web de reenvío
•
Publicación en Web y publicación en Outlook Web Access
Proxy y almacenamiento en caché Web de reenvío
Cuando ISA Server está instalado en un equipo con un único adaptador de red y configurado con una plantilla de adaptador de red único, es posible implementarlo como un servidor de proxy y caché de reenvío. En esta configuración, ISA Server transfiere las solicitudes de los clientes internos a las redes remotas, como Internet, y puede almacenar en caché los objetos de Internet solicitados con frecuencia para proporcionar a los clientes del explorador Web un acceso mejorado. Tenga en cuenta lo siguiente al configurar ISA Server con un único adaptador de red en una configuración de proxy y almacenamiento en caché Web de reenvío:
•
Sólo se admiten las solicitudes del proxy Web.
•
En un escenario en el que ISA Server está detrás de otro firewall perimetral, los clientes proxy Web envían solicitudes de direcciones URL al equipo con ISA Server. ISA Server comprueba si el objeto Web puede obtenerse de la caché. Si la página no está almacenada en la caché o ha caducado, ISA Server realiza una solicitud de Internet a través del firewall perimetral. Este firewall perimetral maneja la solicitud de ISA Server de acuerdo con la configuración de acceso, la cual puede permitir o no la solicitud. Si la permite, el objeto Web se devuelve a través del firewall perimetral a ISA Server, que coloca el objeto en la caché de acuerdo con la configuración de ésta y reenvía el objeto almacenado en la caché al cliente proxy Web.
•
Las reglas que permiten al cliente el acceso a través del equipo con ISA Server deben configurarse con las direcciones de origen sólo con las direcciones IP internas reales. Esto es necesario, ya que cada dirección IP se considera parte de una red interna, excepto por la dirección de bucle de retroceso. La red de destino debe utilizar la red interna o una dirección específica, según sea necesario.
•
Si las páginas Web incluyen elementos que requieren otros protocolos distintos de HTTP y FTP (descarga), los clientes proxy Web que tengan acceso al sitio por medio de ISA Server con un único adaptador de red no podrán obtener acceso a este tráfico a través de ISA Server. Puede establecer el acceso directo en la configuración de la red para permitir esta operación.
•
Para otorgar acceso a Internet en el equipo con ISA Server, debe modificar las directivas del sistema o crear reglas de acceso de Host local a Interna. Aun cuando está aplicada la plantilla del adaptador de red único, ISA Server sigue protegiéndose de la red interna, y las reglas de acceso o de directivas del sistema se necesitan para controlar el tráfico entre las dos redes.
Nota
Este comportamiento difiere de ISA Server 2000 en el modo de sólo caché, que no filtraba el tráfico de ninguna red.
Configuración de proxy y almacenamiento en caché Web de reenvío
La configuración del proxy y caché Web de reenvío consta del siguiente proceso:
•
Configurar los valores del proxy cliente. Configure los valores del proxy Web en los exploradores cliente para que seleccionen ISA Server o utilicen la configuración automática. Para obtener más información sobre la configuración automática, consulte Automatic Discovery for Web Proxy and Firewall Clients (en inglés) en el sitio Web de Microsoft TechNet.
•
Configurar la red interna para que se escuchen las solicitudes de los clientes proxy Web. La red debe estar configurada para escuchar las solicitudes de los clientes proxy Web.
•
Configurar la autenticación en la red interna. Para asegurarse de que se autentiquen las solicitudes de los clientes proxy Web, puede elegir si desea configurar la autenticación en la red o en reglas de acceso específicas. Si decide configurar Requerir que todos los usuarios se autentiquen en las propiedades de la red interna, sucederá lo siguiente:
•
Todos los usuarios deberán autenticarse; no se permitirá ninguna solicitud anónima.
•
ISA Server siempre solicitará las credenciales de los usuarios antes de comprobar las reglas de acceso. Si la opción Requerir que todos los usuarios se autentiquen no está activada, las credenciales de los clientes sólo se solicitarán si se requiere la autenticación del cliente para validar la coincidencia de una regla de acceso.
•
Habilitar el almacenamiento en caché. Si desea activar el almacenamiento en caché para los objetos Web, habilítelo en ISA Server. Para ello, configure un tamaño de caché mayor que cero y luego configure las reglas de la caché para que los objetos Web solicitados con frecuencia estén disponibles en la caché para las solicitudes de los clientes.
•
Configurar las reglas de la caché. Configure las reglas de la caché para que se especifiquen los objetos almacenados en ella y cómo los solicitan los clientes. Antes de realizar una solicitud a Internet, ISA Server comprueba si el objeto solicitado está disponible en la caché y lo proporciona al usuario de acuerdo con las reglas de la caché.
•
Configurar las reglas de acceso. Después de aplicar la plantilla del adaptador de red único, existe una regla de acceso única que rechaza el acceso a todas las redes. Si bien todas las direcciones IP se consideran parte de la red interna, en un escenario de adaptador de red único, las solicitudes de los clientes son rechazadas por esta regla predeterminada. Configure las reglas de acceso para permitir que los clientes Web utilicen HTTP, HTTPS y FTP, si es necesario. Las redes de origen y de destino de esta regla se deben configurar en Interna.
Para configurar los valores del proxy cliente (Internet Explorer)
1.
Abra Internet Explorer en el equipo cliente.
2.
Haga clic en el menú Herramientas y luego en Opciones de Internet.
3.
En la ficha Conexiones, haga clic en Configuración de LAN.
4.
Para especificar que un cliente proxy Web utilice la función de detección automática para ubicar un equipo con ISA Server para las solicitudes Web, seleccione Detectar la configuración automáticamente. Los clientes proxy Web pueden usar esta función para detectar de manera automática el equipo con ISA Server que deben utilizar o bien es posible especificar manualmente un equipo con ISA Server.
5.
Para utilizar una secuencia de comandos para la configuración automática, seleccione Usar secuencia de comandos de configuración automática y especifique el nombre de la secuencia de comandos.
Nota
Habilite el descubrimiento automático para permitir que los clientes proxy Web encuentren el equipo con ISA Server al cual deben conectarse por medio de una consulta al protocolo de configuración dinámica de host (DHCP) o el sistema de nombres de dominio (DNS).
Internet Explorer ubica una entrada de DHCP opción 252 que señala la ubicación del archivo de secuencias de comandos Wpad.dat o un Servicio WINS (Servicio de nombres Internet de Windows) o una entrada DNS que señala el servidor donde está la secuencia de comandos WPAD (descubrimiento automático de proxy Web). Este archivo brinda información específica para que el cliente utilice al tener acceso al contenido Web, por ejemplo, la ubicación del equipo con ISA Server que el cliente debe utilizar para las solicitudes Web. Una vez que se conoce la ubicación, los clientes proxy Web realizan una llamada a http://wpad:puerto/wpad.dat, donde puerto es el puerto que escucha las solicitudes Web en el equipo con ISA Server. Tenga en cuenta que los clientes deben poder resolver el equipo con ISA Server especificado en la entrada WPAD. Para las entradas DNS, ISA Server debe escuchar las solicitudes de descubrimiento automático en el puerto 80. DHCP puede escucharlas en cualquier puerto. De forma predeterminada, ISA Server escucha en el puerto 8080.
Para configurar la red interna para que escuche las solicitudes de los clientes proxy Web
1.
En Administración del servidor ISA, haga clic en el nodo Redes.
2.
En el panel de detalles, haga clic en la ficha Redes y seleccione Interna.
3.
En la ficha Tareas, haga clic en Editar red seleccionada.
4.
En la ficha Proxy Web, asegúrese de que esté seleccionada la opción Habilitar clientes proxy web.
Para configurar la autenticación en la red interna
1.
En Administración del servidor ISA, haga clic en el nodo Redes.
2.
En el panel de detalles, haga clic en la ficha Redes y seleccione Interna.
3.
En la ficha Tareas, haga clic en Editar red seleccionada.
4.
En la ficha Proxy Web, haga clic en Autenticación.
5.
Para permitir únicamente las solicitudes de los usuarios proxy Web con credenciales validadas, seleccione Requerir que todos los usuarios se autentiquen. Esto bloquea las solicitudes anónimas.
6.
Seleccione el tipo de autenticación que se debe utilizar en la lista Método.
Nota
Los siguientes métodos de autenticación están disponibles para autenticar las solicitudes de proxy Web: básico, implícito, integrado, certificados de cliente de nivel de socket seguro (SSL) y servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Tenga en cuenta que si bien ISA Server admite, desde el punto de vista técnico, la autenticación de certificados de cliente para las solicitudes de los clientes proxy Web, el explorador no la admite para las solicitudes a un servidor Web de Internet. Los certificados de cliente son compatibles para la autenticación de clientes proxy Web en un equipo con ISA Server que precede en la cadena. Para obtener más información, consulte el artículo 838126 de Microsoft Knowledge Base: “You cannot perform certificate-based Web proxy authentication in ISA Server 2004″ (en inglés).
Para configurar el almacenamiento en caché
1.
En Administración del servidor ISA, expanda el nodo Configuración y haga clic en Caché.
2.
En el panel de detalles, haga clic en la ficha Unidades de caché y seleccione la unidad que desea utilizar para el almacenamiento en caché.
3.
En la ficha Tareas, haga clic en Definir unidades de caché (habilitar almacenamiento en caché).
4.
En Tamaño máximo de la caché, escriba el espacio de la unidad seleccionada que asignará para el almacenamiento en caché.
Nota
El almacenamiento en caché sólo se habilita cuando el tamaño de al menos una unidad de caché es mayor que cero. El tamaño máximo para un único archivo de caché es de 64 gigabytes (GB). Si necesita una caché de mayor tamaño, divídala en varios archivos en distintas unidades.
Para configurar las reglas de caché
1.
En Administración del servidor ISA, expanda el nodo Configuración y haga clic en Caché.
2.
En el panel de detalles, haga clic en la ficha Reglas de caché.
3.
En la ficha Tareas, haga clic en Crear una regla de caché.
4.
En la página de bienvenida del Asistente para nueva regla de caché, especifique un nombre descriptivo para la regla. A continuación, haga clic en Siguiente.
5.
En la página Destino de regla de caché, seleccione la red a la que se aplicará la regla. Haga clic en Agregar, expanda Redes y luego haga clic en Interna. Haga clic en Agregar y en Cerrar. A continuación, haga clic en Siguiente.
6.
En la página Recuperación de contenido, especifique cómo se debe recuperar el contenido de la caché y luego haga clic en Siguiente:
1.
Para especificar que un objeto debe recuperarse de la caché si es válido o, en caso contrario, que se debe transferir la solicitud al servidor Web de Internet o al servidor proxy que precede en la cadena, haga clic en Sólo si una versión válida del objeto existe en la caché. Si no existe ninguna versión válida, enrutar la petición al servidor.
2.
Para especificar que un objeto debe recuperarse de la caché si está disponible (sin importar si es válido o no) o, en caso contrario, que se debe transferir la solicitud al servidor Web de Internet o al servidor proxy que precede en la cadena, haga clic en Si existe cualquier versión del objeto en la caché. Si no existe ninguna versión, transfiera la solicitud al servidor.
3.
Para especificar que un objeto debe recuperarse de la caché si está disponible (sin importar si es válido o no) o, en caso contrario, que se debe descartar la solicitud, haga clic en Si existe cualquier versión del objeto en la caché. Si no existe ninguna versión, descarte la solicitud (no transfiera nunca la solicitud al servidor).
Nota
Se considera que un objeto de la caché es válido cuando el valor Tiempo de vida (TTL) no ha caducado. En los objetos HTTP, la caducidad se basa en el valor TTL especificado en el encabezado de la respuesta y los límites TTL definidos en la regla de caché.
7.
En la página Contenido de caché, especifique cómo se recuperarán los objetos almacenados en la caché y haga clic en Siguiente:
•
Para nunca almacenar los objetos Web en la caché, haga clic en Nunca, ningún contenido.
•
Para almacenar los objetos en caché si el servidor Web que proporciona el objeto indica que debe almacenarse en la caché, haga clic en Si los encabezados del origen y la petición indican que se debe almacenar en caché, el contenido se almacenará en caché.
•
Para almacenar en caché todo el contenido aun cuando no está marcado como que se puede almacenar en caché (incluido el contenido recuperado mediante una consulta que devolvió contenido al que se puede tener acceso por medio de una dirección URL con un signo de interrogación en ella), haga clic en Contenido dinámico.
•
Para almacenar en caché el contenido con los códigos de respuesta 302 y 307, haga clic en Contenido para exploración sin conexión (respuestas 302, 307).
•
Para almacenar en caché el contenido que es posible que requiera autenticación para el acceso, haga clic en Contenido que requiere autenticación de usuario para recuperarse.
8.
En la página Configuración avanzada de la caché, para especificar un límite de tamaño para los objetos almacenados en la caché, haga clic en No almacenar en caché objetos mayores de: y luego especifique un tamaño máximo. Para especificar que los objetos SSL deben almacenarse en caché, haga clic en Almacenar en caché respuestas SSL. A continuación, haga clic en Siguiente.
Nota
Almacenar en caché las solicitudes SSL sólo sirve para el contenido Web publicado, ya que las solicitudes de los clientes proxy Web para el contenido SSL se tramitan entre el servidor cliente y el que precede en la cadena y, por lo tanto, no está disponible para el almacenamiento en caché de ISA Server.
9.
En la página Almacenamiento en caché de HTTP, considere las siguientes opciones y haga clic en Siguiente:
•
Para especificar que los objetos HTTP deben almacenarse en caché, haga clic en Habilitar almacenamiento en caché de HTTP.
•
Para especificar por cuánto tiempo los objetos HTTP deben permanecer en la caché como un porcentaje de la antigüedad del contenido, defina un valor en Configurar TTL de objetos (% de antigüedad del contenido).
Nota
El valor TTL de un objeto HTTP almacenado en la caché está configurado como un porcentaje de la antigüedad del contenido (la cantidad de tiempo que transcurrió desde que se creó o modificó el objeto). Cuanto mayor sea el porcentaje especificado, menor será la frecuencia con la que se actualizará el objeto en la caché.
•
Para especificar por cuánto tiempo los objetos HTTP deben permanecer en la caché como un valor de tiempo, escriba el tiempo mínimo y máximo en No menos de y No más de.
•
Para aplicar la configuración TTL a los objetos, incluso si el encabezado de origen del objeto especifica una fecha de caducidad, haga clic en Aplicar estos límites de TTL a los orígenes que especifican la caducidad.
10.
En la página Almacenamiento en caché de FTP, haga clic en Habilitar almacenamiento en caché de FTP para especificar que los objetos FTP descargados deben almacenarse en la caché. En Periodo de vida de los objetos FTP, especifique por cuánto tiempo los objetos FTP deben permanecer en la caché antes de que caduquen. A continuación, haga clic en Siguiente.
11.
Compruebe la configuración de las reglas y haga clic en Finalizar para finalizar el asistente.
12.
Haga clic en Aplicar para guardar la configuración.
Para configurar las reglas de acceso
1.
En Administración del servidor ISA, haga clic con el botón secundario en el nodo Directiva de firewall, seleccione Nueva y haga clic en Regla de acceso.
2.
En la página de bienvenida del Asistente para nuevas reglas de acceso, escriba un nombre descriptivo para la regla. A continuación, haga clic en Siguiente.
3.
En la página Acción de regla, haga clic en Permitir. A continuación, haga clic en Siguiente.
4.
En la página Protocolos, seleccione Protocolos seleccionados y haga clic en Agregar. Haga clic para expandir Web y seleccione los protocolos a los cuales desea otorgar acceso a los clientes proxy Web. Éstos incluyen HTTP y, posiblemente, HTTPS y FTP. Seleccione cada protocolo y haga clic en Agregar. Una vez que haya seleccionado los protocolos requeridos, haga clic en Cerrar. A continuación, haga clic en Siguiente.
5.
En la página Orígenes de regla de acceso, haga clic en Agregar. Expanda Redes. Haga clic en Interna y en Agregar. Haga clic en Host local y en Agregar. Haga clic en Cerrar. A continuación, haga clic en Siguiente.
Nota También puede crear y utilizar conjuntos de intervalos de direcciones para limitar aún más los clientes que pueden usar ISA Server como un proxy Web.
6.
En la página Destinos de reglas de acceso, haga clic en Agregar. Expanda Redes. Haga clic en Interna y en Agregar. Haga clic en Cerrar. A continuación, haga clic en Siguiente.
7.
En la página Conjuntos de usuarios, seleccione cómo los usuarios se autentican con la regla y haga clic en Siguiente:
•
Para permitir el acceso anónimo al proxy Web, seleccione Todos los usuarios.
•
Para forzar la autenticación de las solicitudes del proxy Web, haga clic en Agregar. En el cuadro de diálogo Agregar usuarios, haga clic en Todos los usuarios autenticados. Haga clic en Cerrar. En la página Conjuntos de usuarios, seleccione Todos los usuarios y haga clic en Quitar.
Nota
Si una regla que coincide con la solicitud del proxy Web requiere autenticación, se solicitarán y validarán las credenciales de clientes. Si especifica que la regla se aplica a Todos los usuarios autenticados, todos los usuarios que no pasen la autenticación serán rechazados por la regla (incluso por una regla Permitir). Puede crear un nuevo conjunto de usuarios compuesto por los usuarios y grupos de Windows, RADIUS o usuarios SecurID. Si selecciona RADIUS o SecurID, puede elegir Todos los usuarios en Espacio de nombres o Nombre de usuario especificado. Si especifica Todos los usuarios en Espacio de nombres, RADIUS o SecurID permitirán a cualquier usuario que se pueda autenticar con la autenticación básica (los usuarios a los cuales no se les solicitan las credenciales).
8.
En la página Finalizar del asistente, compruebe la configuración y haga clic en Finalizar para finalizar el asistente.
9.
Haga clic en Aplicar para guardar la configuración.
Publicación en Web y publicación en Outlook Web Access
Puede implementar ISA Server en un equipo con un único adaptador de red en el modo proxy invertido, que permite publicar servidores Web y servidores Exchange para las conexiones de Outlook Web Access. Puede publicar servidores sobre HTTP o HTTPS para obtener una conexión SSL segura. Puede autenticar las solicitudes entrantes y enviar como cadenas las solicitudes a los servidores proxy que preceden en la cadena.
Cuando publica Outlook Web Access en un equipo con un único adaptador de red, están disponibles las siguientes funciones de Outlook Web Access:
•
Las funciones estándar de Outlook Web Access, por ejemplo, envío y recepción de correos electrónicos, calendarios y otras funciones
•
Exchange Outlook Mobile Access, ActiveSync y Outlook RPC sobre HTTP
•
Autenticación basada en formularios
•
HTTP y HTTPS
Por ejemplo, la publicación de un servidor Web o de Outlook Web Access sobre una conexión SSL en un equipo con un único adaptador de red consta del siguiente proceso de configuración:
•
Especificar la entrada DNS pública. El dispositivo perimetral que protege a la organización de Internet debe estar configurado para reenviar las solicitudes de los servidores publicados o las solicitudes a Outlook Web Access, a la dirección IP correcta del equipo con ISA Server. Por ejemplo, si un usuario de Internet obtiene acceso a Outlook Web Access en https://mail.fabrikam.com/exchange, debe haber una entrada DNS pública para mail.fabrikam.com, y esa entrada debe resolverse en la interfaz externa del dispositivo perimetral que está configurado para reenviar las solicitudes de Outlook Web Access a ISA Server.
•
Configurar el dispositivo perimetral para que reenvíe los paquetes. El dispositivo perimetral debe configurarse para que reenvíe las solicitudes relevantes al equipo con ISA Server.
•
Configurar la plantilla de red de ISA Server. Asegúrese de que ISA Server esté instalado y configurado con la plantilla del adaptador de red único.
•
Solicitar un certificado del servidor Web o del servidor de Outlook Web Access. Para una publicación segura, se recomienda utilizar una configuración de enlace de HTTPS a HTTPS. Esta configuración proporciona una conexión SSL desde el cliente hasta el equipo con ISA Server y desde el equipo con ISA Server hasta el servidor Web publicado. Por lo general, se utiliza un certificado comercial para la publicación SSL externa. Se crea una solicitud de certificado de una entidad emisora de certificados comerciales (como Verisign o Thawte) con el Asistente para certificados de servidor Web de IIS. Dado que IIS no suele estar instalado en ISA Server, se solicita el certificado desde el servidor Web publicado. Actualmente, no existe ninguna forma de solicitar un certificado de servidor desde ISA Server 2004 a la entidad emisora de certificados directamente.
•
Exportar el certificado de servidor. Después de obtener el certificado en el servidor Web, expórtelo a un archivo, junto con la clave privada.
•
Importar el certificado de servidor. Importe el certificado del archivo exportado al almacén de certificados personales del equipo.
Nota
Existen algunas pautas de mejores prácticas que se deben seguir al solicitar y configurar certificados. Si desea obtener más información, consulte Troubleshooting SSL Certificates in ISA Server 2004 Publishing (en inglés) en el sitio Web de Microsoft TechNet.
Si desea conocer los procedimientos para obtener certificados de servidor, consulte Digital Certificates for ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet.
•
Habilitar SSL en el servidor Web publicado. En un escenario publicado seguro, configure IIS en el servidor publicado para admitir la autenticación básica cifrada como SSL.
•
Crear una escucha. En Administración del servidor ISA, cree una escucha Web segura en la red interna, para que escuche las solicitudes del servidor publicado.
Nota
Por cuestiones de seguridad, considere la posibilidad de utilizar una autenticación basada en formularios y limitar el acceso de datos adjuntos de equipos públicos. Debe configurar estas propiedades después de crear la escucha con el Asistente para nueva escucha de web. En ISA Server 2004 Standard Edition, es posible que la autenticación basada en formularios no pueda utilizarse con ningún otro método de autenticación. En ISA Server 2004 Standard Edition Service Pack 1 e ISA Server 2004 Enterprise Edition, se puede configurar la autenticación basada en formularios junto con RADIUS.
•
Crear una regla de publicación segura. Para la publicación en Web, cree una regla con el Asistente para reglas de publicación en Web. Para publicar Outlook Web Access, cree una regla con el Asistente para publicación de servidor de correo. Tenga en cuenta que también puede publicar Outlook Mobile Access, RPC sobre HTTP y Exchange ActiveSync con este asistente. Para publicar servidores de forma segura, utilice una configuración de enlace de HTTPS a HTTPS. En este escenario, los usuarios se conectan con ISA Server mediante SSL. ISA Server finaliza la conexión SSL en el equipo con ISA Server e inspecciona el tráfico. Posteriormente, los paquetes se reenvían al servidor Web publicado sobre una nueva conexión HTTPS.
Notas
Para conocer las instrucciones detalladas sobre la publicación de servidores Web, consulte Publishing Web Servers using ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet y Publishing Web Servers Using ISA Server 2004 Enterprise Edition (en inglés), también en el sitio Web de Microsoft TechNet.
Para conocer las instrucciones detalladas sobre la publicación de Outlook Web Access, consulte Outlook Web Access Server Publishing in ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet y Outlook Web Access Server Publishing in ISA Server 2004 Enterprise Edition (en inglés) en el sitio Web de Microsoft TechNet.
Principio de la página
Escenarios no compatibles
Al instalar ISA Server en un equipo con un único adaptador de red, no se admiten las siguientes funciones y escenarios de ISA Server:
•
Directiva de firewall de redes múltiples. En el modo de adaptador de red único, ISA Server se reconoce a sí mismo (la red de host local). Todo lo demás se reconoce como la red interna. No existe el concepto de red externa. El servicio de firewall y los filtros de aplicación de Microsoft funcionan únicamente en el contexto de la red de host local. (ISA Server se protege a sí mismo independientemente de la plantilla de red que se aplique). Como el servicio de firewall y los filtros de aplicación funcionan en el contexto de la red de host local, se pueden utilizar las reglas de acceso para permitir los protocolos que no son Web en el equipo con ISA Server.
•
Inspección en el nivel de aplicación. El filtrado en el nivel de aplicación no sirve, excepto para el filtro del proxy Web (para HTTP, HTTPS y FTP sobre HTTP).
•
Publicación de servidores. No se admite la publicación de servidores. No hay una separación de las redes interna y externa, por lo tanto, ISA Server no puede proporcionar la función de traducción de direcciones de red (NAT) necesaria en los escenarios de publicación de servidores.
•
Clientes de firewall. La aplicación de clientes de firewall maneja las solicitudes de las aplicaciones Winsock que usan el servicio de firewall. Este servicio no está disponible en los entornos con un único adaptador de red.
•
Clientes de SecureNAT. Los clientes de SecureNAT utilizan ISA Server como un enrutador para Internet. El servicio de firewall maneja las solicitudes de los clientes de SecureNAT. Dado que el servicio de firewall no está disponible en una configuración de adaptador de red único, no se admiten tales solicitudes.
•
Redes privadas virtuales. Las redes privadas virtuales (VPN) de sitio a sitio y las VPN de acceso remoto no son compatibles en un escenario de adaptador de red único.
Nota
No puede configurar un adaptador de red para que utilice dos direcciones IP o un segundo adaptador de red que está deshabilitado, como una forma de emplear las funciones de redes múltiples en un equipo con un único adaptador de red.
Principio de la página
Problemas frecuentes
Esta sección describe los siguientes problemas y soluciones frecuentes:
•
¿Cómo puedo hacer para que otros servicios u otras aplicaciones coexistan con ISA Server en el modo de adaptador de red único,por ejemplo, un adaptador de red único con un servidor DNS?
No se admite la publicación de servidores en el modo de adaptador de red único. No obstante, independientemente de qué plantilla de red se aplique, el servicio de firewall y los filtros de aplicación se ejecutan en el contexto del equipo con ISA Server (la red de host local). Por lo tanto, puede permitir el tráfico que no es Web al equipo con ISA Server. Para ello, cree reglas de acceso entre la red de host local y la red interna, para permitir que los usuarios internos tengan acceso a las aplicaciones o los servicios que se ejecutan en el equipo con ISA Server.
•
¿Puedo publicar mi sitio Web sobre una conexión SSL con un único adaptador de red?
Sí, pero debe vincular la conexión. Si selecciona Túnel SSL al configurar la regla de publicación en Web, se utiliza efectivamente la publicación de servidores para publicar el servidor Web. Esta configuración no funciona en un escenario de adaptador de red único.
•
¿Puedo publicar varios sitios Web con una sola dirección IP en un escenario de adaptador de red único?
Sí. Puede utilizar reglas de publicación en Web para publicar varios sitios Web con una sola dirección IP. Con la inspección en el nivel de aplicación, ISA Server examina el encabezado de host de una solicitud entrante y decide cómo reenviar la solicitud a un servidor Web según la información del encabezado. ISA Server puede escuchar las solicitudes de varios sitios Web en una única dirección IP y reenviarlas de las siguientes maneras:
•
Publicar varios sitios en la misma dirección IP y el mismo puerto con un encabezado de host. IIS usa el nombre de host del encabezado HTTP para determinar cuál es el sitio solicitado. Para obtener más información, consulte el artículo 838252 de Microsoft Knowledge Base: “How to configure Web publishing rules to host multiple Web sites with host headers in ISA Server”
(en inglés).
•
Publicar varios sitios en diferentes puertos y redireccionar las solicitudes a la misma dirección IP, pero a distintos puertos.
Para una publicación SSL segura, sólo se puede enlazar un certificado de servidor a una escucha Web. Si tiene una única dirección IP, sólo puede publicar un sitio Web SSL. La única excepción es cuando utiliza certificados con caracteres comodín. Para obtener más información, consulte Publishing Multiple Web sites using a Wildcard Certificate in ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet.
•
Deseo implementar una matriz de equipos con ISA Server con un único adaptador de red para proporcionar una conexión proxy a Internet para los usuarios internos. ¿Cómo puedo utilizar el equilibrio de carga en la red (NLB) en ese escenario?
•
Si utiliza ISA Server en un equipo que no tiene instalado Microsoft Windows Server 2003 con Service Pack 1, debe instalar un segundo adaptador de red para utilizarlo en la comunicación intramatricial. NLB debe estar configurado en un adaptador con una dirección IP estática. Asegúrese de elegir la dirección IP para el adaptador intramatricial de la red intramatricial y no de la red interna.
•
Si utiliza ISA Server en un equipo que tiene instalado Windows Server 2003 Service Pack 1, no necesita un segundo adaptador de red para la comunicación intramatricial.
•
¿Puedo publicar en un puerto alternativo en un escenario de adaptador de red único?
•
Las solicitudes HTTP y HTTPS pueden redireccionarse al servidor Web publicado sobre HTTP, HTTPS o FTP sobre HTTP. Puede elegir que las solicitudes se envíen al puerto estándar (80 para HTTP, 443 para HTTPS, 21 para FTP) o que se debe utilizar un puerto alternativo.
•
La creación de una regla de publicación con un puerto no estándar en ISA Server o en el servidor Exchange no se admite al publicar Outlook Web Access.
•
¿Admite ISA Server la carga en FTP en un escenario de adaptador de red único?
En un escenario de adaptador de red único, el filtro del proxy Web maneja las solicitudes FTP. El filtro del proxy Web sólo admite la descarga en FTP.
•
¿Puedo utilizar un servidor RADIUS para autenticar el tráfico Web en un escenario de adaptador de red único?
Sí. La autenticación de RADIUS puede emplearse para autenticar el tráfico Web por medio del siguiente proceso:
•
Configure ISA Server como un cliente RADIUS en el Servicio de autenticación de Internet (IAS) y especifique un secreto compartido.
•
En Administración del servidor ISA, configure los valores de RADIUS para que señale el servidor IAS y especifique el mismo secreto compartido que configuró en IAS.
•
Habilite la directiva del sistema para que permita la comunicación entre ISA Server y el servidor IAS.
•
Configure la autenticación de RADIUS para que se utilice para las solicitudes del proxy Web en la escucha del proxy Web de la red desde donde llegarán las solicitudes de clientes.
•
Cree una regla de acceso para permitir los usuarios de RADIUS autenticados. Cree un conjunto de usuarios de RADIUS para usar en esta regla. En la regla, puede elegir si desea permitir el acceso a todos los usuarios que puede autenticar el servidor IAS o a un determinado usuario de RADIUS. Para una mayor flexibilidad, puede configurar la directiva de acceso remoto de IAS para que se encargue de la autenticación de los clientes. Para realizar esta tarea, configure las propiedades de acceso telefónico de todas las cuentas de usuario en Controlar acceso a través de la directiva de acceso remoto y luego agregue una condición en la directiva de acceso remoto para permitir el acceso a estos usuarios. Tenga en cuenta que el proxy Web de reenvío con RADIUS sólo admite la autenticación (PAP) sin cifrar.
•
Algunos sitios Web no se muestran correctamente. ¿Cuál podría ser el motivo?
ISA Server en un entorno de adaptador de red único sólo admite protocolos Web (HTTP, HTTPS y FTP). Si el sitio Web requiere otro protocolo, como aplicaciones o medios de transmisión que no son HTTP, es posible que el contenido no se muestre como debería. Deberá agregar otro adaptador de red y usar el cliente de firewall para tener acceso a Internet y al sitio específico.
•
En un entorno de adaptador de red único, ¿qué funciones de MSN Messenger están disponibles?
La función de mensajes de texto está disponible, dado que el servidor de mensajería instantánea suele mediar en la comunicación entre dos clientes, lo que evita cualquier problema de NAT que puede surgir con un cliente externo. Para otras funciones, necesita un equipo con ISA Server de base dual que tenga clientes de firewall.
•
En un escenario de adaptador de red único, los clientes del equipo con ISA Server no pueden iniciar sesión en un servidor FTP con credenciales que no son anónimas. ¿Por qué?
Cuando la vista de carpetas para sitios FTP está habilitada en Internet Explorer, el cliente de Internet Explorer omite el proxy Web y, en cambio, intenta establecer una conexión Winsock con el servidor FTP, al igual que una aplicación cliente típica de FTP. En un escenario de adaptador de red único, este tipo de solicitud no puede manejarse como un proxy ni con NAT y entonces falla. Para asegurarse de que Internet Explorer envíe las solicitudes FTP como solicitudes HTTP, haga lo siguiente:
•
En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
•
En la ficha Opciones avanzadas, desactive Habilitar la lista de carpetas para los sitios FTP.
•
Conéctese por medio de esta sintaxis: ftp://:@
•
Tenga en cuenta que esto no habilita la carga en FTP, que no está admitida para los clientes proxy Web. Para esta función, el equipo cliente debe estar configurado como un cliente de SecureNAT o un cliente de firewall, además de un cliente proxy Web. Para ello se necesitará más de un adaptador de red.
•
¿Cómo vuelvo a definir la configuración de un adaptador de red único con varios adaptadores?
Agregue otro adaptador físico al equipo y aplique una plantilla de adaptador de red múltiple en Administración del servidor ISA (todas las plantillas excepto la plantilla de adaptador de red único).
•
¿Puedo implementar Outlook Web Access y Outlook Mobile Access mediante la autenticación basada en formularios junto con otro esquema de autenticación en la misma escucha Web?
Esa configuración no está admitida en una configuración de adaptador de red único o múltiple. La autenticación basada en formularios sólo puede habilitarse como el único método de autenticación o junto con la autenticación de RADIUS (para ISA Server 2004 Standard Edition Service Pack 1 e ISA Server 2004 Enterprise Edition). Si tiene que autenticar usuarios en ISA Server, necesita dos escuchas Web separadas y también reglas de publicación en Web distintas.
Principio de la página
Información adicional
Hay otros documentos de ISA Server 2004 disponibles en la página ISA Server 2004 Guidance en el sitio Web de Microsoft Windows Server System ().
Consulte también los siguientes artículos en inglés de Knowledge Base (KB) y del sitio Web de Microsoft TechNet:
•
Third-party Routing and Remote Access management applications may interfere with VPN connections to ISA 2004 (), KB 886999
•
Automatic Discovery for Web Proxy and Firewall Clients en TechNet
•
Troubleshooting SSL Certificates in ISA Server 2004 Publishing en TechNet
•
Digital Certificates for ISA Server 2004 en TechNet
•
Publishing Web Servers using ISA Server 2004 en TechNet
•
Publishing Web Servers Using ISA Server 2004 Enterprise Edition en TechNet
•
Outlook Web Access Server Publishing in ISA Server 2004 en TechNet
•
Outlook Web Access Server Publishing in ISA Sever 2004 Enterprise Edition en TechNet
•
Publishing Multiple Web Sites Using a Wildcard Certificate in ISA Server 2004 en TechNet
•
The features and limitations of a single-homed ISA Server 2004 computer (), KB 838364
•
You cannot perform certificate-based Web proxy authentication in ISA Server 2004 (), KB 838126
http://andaira.wordpress.com/2008/04/07/instalando-isa-server-2006-con-un-unico-adaptador-de-red/
ISA Server incluye algunas plantillas de red predefinidas que responden a las topologías de red comunes. Cuando instala ISA Server en un equipo con un solo adaptador de red, es recomendable configurar la plantilla de red del único adaptador de red de ISA Server. Para hacerlo, utilice el Asistente para plantilla de red como se indica a continuación.
Para aplicar la plantilla del único adaptador de red
1.
En Administración del servidor ISA, expanda el nodo Configuración y haga clic en Redes.
2.
En la ficha Plantillas, haga clic en la plantilla Único adaptador de red.
3.
En la página de bienvenida del Asistente para plantilla de red, haga clic en Siguiente.
4.
En la página Exportar la configuración del servidor ISA, haga clic en Exportar para exportar la configuración actual antes de aplicar la plantilla del único adaptador de red. A continuación, haga clic en Siguiente.
Precaución
Al aplicar una plantilla de red, la plantilla nueva sobrescribe todas las reglas actuales (excepto las reglas de las directivas del sistema) y los valores de configuración de la red.
5.
En la página Direcciones IP de red interna, especifique la configuración de la red interna. A continuación, haga clic en Siguiente.
Notas
•
La configuración predeterminada propuesta para el intervalo de direcciones IP de la red interna es:
•
de 0.0.0.1 a 126.255.255.255 y de 128.0.0.0 a 255.255.255.254.
•
Este intervalo incluye todas las direcciones IP excepto 0.0.0.0, 255.255.255.255 y los intervalos de direcciones 127.0.0.0–127.255.255.255 (host local).
•
Recomendamos que también excluya 224.0.0.0-254.255.255.255 (multidifusión).
6.
En la página Seleccione una directiva de firewall , haga clic en Aplicar la configuración de envío a través de proxy web y almacenamiento en caché predeterminada y, a continuación, en Siguiente.
Nota
De esta manera, se crea una regla de acceso predeterminada que rechaza el tráfico a todas las redes. Después de configurar la plantilla, cree las reglas de las directivas necesarias para permitir el acceso a Internet a los clientes Web, configure el almacenamiento en caché como sea necesario y cree reglas de publicación en Web para controlar el acceso a los servidores protegidos por ISA Server.
7.
Seleccione la configuración de la plantilla nueva y haga clic en Finalizar para finalizar el asistente.
8.
En Administración del servidor ISA, haga clic en Aplicar para guardar la configuración nueva.
Después de aplicar la plantilla del único adaptador de red, se configuran los siguientes valores de las reglas de acceso y de la red:
•
Red de host local: 127.0.0.0–127.255.255.255.
•
Red interna: equivale a todo lo demás, donde todo lo demás representa:
•
0.0.0.1–126.255.255.255
•
128.0.0.0–255.255.255.254
•
Regla de acceso predeterminada: rechaza el acceso a todas las ubicaciones.
Éste es el conjunto de direcciones definidas por RFC 791 y las actualizaciones de RFC relacionadas. Por lo general, las direcciones que están fuera de este alcance no se asignan para Internet ni intranets.
Notas
Si excluyó las direcciones de multidifusión además de 0.0.0.0, 255.255.255.255 y 127.0.0.0.-127.255.255.255.255, el intervalo de la red interna será el siguiente:
0.0.0.1 – 126.255.255.255, 128.0.0.0 – 223.255.255.255.255, 255.0.0.0 – 255.255.255.254.
Principio de la página
Escenarios compatibles
ISA Server admite los siguientes escenarios cuando está instalado en un equipo con un único adaptador de red:
•
Proxy y almacenamiento en caché Web de reenvío
•
Publicación en Web y publicación en Outlook Web Access
Proxy y almacenamiento en caché Web de reenvío
Cuando ISA Server está instalado en un equipo con un único adaptador de red y configurado con una plantilla de adaptador de red único, es posible implementarlo como un servidor de proxy y caché de reenvío. En esta configuración, ISA Server transfiere las solicitudes de los clientes internos a las redes remotas, como Internet, y puede almacenar en caché los objetos de Internet solicitados con frecuencia para proporcionar a los clientes del explorador Web un acceso mejorado. Tenga en cuenta lo siguiente al configurar ISA Server con un único adaptador de red en una configuración de proxy y almacenamiento en caché Web de reenvío:
•
Sólo se admiten las solicitudes del proxy Web.
•
En un escenario en el que ISA Server está detrás de otro firewall perimetral, los clientes proxy Web envían solicitudes de direcciones URL al equipo con ISA Server. ISA Server comprueba si el objeto Web puede obtenerse de la caché. Si la página no está almacenada en la caché o ha caducado, ISA Server realiza una solicitud de Internet a través del firewall perimetral. Este firewall perimetral maneja la solicitud de ISA Server de acuerdo con la configuración de acceso, la cual puede permitir o no la solicitud. Si la permite, el objeto Web se devuelve a través del firewall perimetral a ISA Server, que coloca el objeto en la caché de acuerdo con la configuración de ésta y reenvía el objeto almacenado en la caché al cliente proxy Web.
•
Las reglas que permiten al cliente el acceso a través del equipo con ISA Server deben configurarse con las direcciones de origen sólo con las direcciones IP internas reales. Esto es necesario, ya que cada dirección IP se considera parte de una red interna, excepto por la dirección de bucle de retroceso. La red de destino debe utilizar la red interna o una dirección específica, según sea necesario.
•
Si las páginas Web incluyen elementos que requieren otros protocolos distintos de HTTP y FTP (descarga), los clientes proxy Web que tengan acceso al sitio por medio de ISA Server con un único adaptador de red no podrán obtener acceso a este tráfico a través de ISA Server. Puede establecer el acceso directo en la configuración de la red para permitir esta operación.
•
Para otorgar acceso a Internet en el equipo con ISA Server, debe modificar las directivas del sistema o crear reglas de acceso de Host local a Interna. Aun cuando está aplicada la plantilla del adaptador de red único, ISA Server sigue protegiéndose de la red interna, y las reglas de acceso o de directivas del sistema se necesitan para controlar el tráfico entre las dos redes.
Nota
Este comportamiento difiere de ISA Server 2000 en el modo de sólo caché, que no filtraba el tráfico de ninguna red.
Configuración de proxy y almacenamiento en caché Web de reenvío
La configuración del proxy y caché Web de reenvío consta del siguiente proceso:
•
Configurar los valores del proxy cliente. Configure los valores del proxy Web en los exploradores cliente para que seleccionen ISA Server o utilicen la configuración automática. Para obtener más información sobre la configuración automática, consulte Automatic Discovery for Web Proxy and Firewall Clients (en inglés) en el sitio Web de Microsoft TechNet.
•
Configurar la red interna para que se escuchen las solicitudes de los clientes proxy Web. La red debe estar configurada para escuchar las solicitudes de los clientes proxy Web.
•
Configurar la autenticación en la red interna. Para asegurarse de que se autentiquen las solicitudes de los clientes proxy Web, puede elegir si desea configurar la autenticación en la red o en reglas de acceso específicas. Si decide configurar Requerir que todos los usuarios se autentiquen en las propiedades de la red interna, sucederá lo siguiente:
•
Todos los usuarios deberán autenticarse; no se permitirá ninguna solicitud anónima.
•
ISA Server siempre solicitará las credenciales de los usuarios antes de comprobar las reglas de acceso. Si la opción Requerir que todos los usuarios se autentiquen no está activada, las credenciales de los clientes sólo se solicitarán si se requiere la autenticación del cliente para validar la coincidencia de una regla de acceso.
•
Habilitar el almacenamiento en caché. Si desea activar el almacenamiento en caché para los objetos Web, habilítelo en ISA Server. Para ello, configure un tamaño de caché mayor que cero y luego configure las reglas de la caché para que los objetos Web solicitados con frecuencia estén disponibles en la caché para las solicitudes de los clientes.
•
Configurar las reglas de la caché. Configure las reglas de la caché para que se especifiquen los objetos almacenados en ella y cómo los solicitan los clientes. Antes de realizar una solicitud a Internet, ISA Server comprueba si el objeto solicitado está disponible en la caché y lo proporciona al usuario de acuerdo con las reglas de la caché.
•
Configurar las reglas de acceso. Después de aplicar la plantilla del adaptador de red único, existe una regla de acceso única que rechaza el acceso a todas las redes. Si bien todas las direcciones IP se consideran parte de la red interna, en un escenario de adaptador de red único, las solicitudes de los clientes son rechazadas por esta regla predeterminada. Configure las reglas de acceso para permitir que los clientes Web utilicen HTTP, HTTPS y FTP, si es necesario. Las redes de origen y de destino de esta regla se deben configurar en Interna.
Para configurar los valores del proxy cliente (Internet Explorer)
1.
Abra Internet Explorer en el equipo cliente.
2.
Haga clic en el menú Herramientas y luego en Opciones de Internet.
3.
En la ficha Conexiones, haga clic en Configuración de LAN.
4.
Para especificar que un cliente proxy Web utilice la función de detección automática para ubicar un equipo con ISA Server para las solicitudes Web, seleccione Detectar la configuración automáticamente. Los clientes proxy Web pueden usar esta función para detectar de manera automática el equipo con ISA Server que deben utilizar o bien es posible especificar manualmente un equipo con ISA Server.
5.
Para utilizar una secuencia de comandos para la configuración automática, seleccione Usar secuencia de comandos de configuración automática y especifique el nombre de la secuencia de comandos.
Nota
Habilite el descubrimiento automático para permitir que los clientes proxy Web encuentren el equipo con ISA Server al cual deben conectarse por medio de una consulta al protocolo de configuración dinámica de host (DHCP) o el sistema de nombres de dominio (DNS).
Internet Explorer ubica una entrada de DHCP opción 252 que señala la ubicación del archivo de secuencias de comandos Wpad.dat o un Servicio WINS (Servicio de nombres Internet de Windows) o una entrada DNS que señala el servidor donde está la secuencia de comandos WPAD (descubrimiento automático de proxy Web). Este archivo brinda información específica para que el cliente utilice al tener acceso al contenido Web, por ejemplo, la ubicación del equipo con ISA Server que el cliente debe utilizar para las solicitudes Web. Una vez que se conoce la ubicación, los clientes proxy Web realizan una llamada a http://wpad:puerto/wpad.dat, donde puerto es el puerto que escucha las solicitudes Web en el equipo con ISA Server. Tenga en cuenta que los clientes deben poder resolver el equipo con ISA Server especificado en la entrada WPAD. Para las entradas DNS, ISA Server debe escuchar las solicitudes de descubrimiento automático en el puerto 80. DHCP puede escucharlas en cualquier puerto. De forma predeterminada, ISA Server escucha en el puerto 8080.
Para configurar la red interna para que escuche las solicitudes de los clientes proxy Web
1.
En Administración del servidor ISA, haga clic en el nodo Redes.
2.
En el panel de detalles, haga clic en la ficha Redes y seleccione Interna.
3.
En la ficha Tareas, haga clic en Editar red seleccionada.
4.
En la ficha Proxy Web, asegúrese de que esté seleccionada la opción Habilitar clientes proxy web.
Para configurar la autenticación en la red interna
1.
En Administración del servidor ISA, haga clic en el nodo Redes.
2.
En el panel de detalles, haga clic en la ficha Redes y seleccione Interna.
3.
En la ficha Tareas, haga clic en Editar red seleccionada.
4.
En la ficha Proxy Web, haga clic en Autenticación.
5.
Para permitir únicamente las solicitudes de los usuarios proxy Web con credenciales validadas, seleccione Requerir que todos los usuarios se autentiquen. Esto bloquea las solicitudes anónimas.
6.
Seleccione el tipo de autenticación que se debe utilizar en la lista Método.
Nota
Los siguientes métodos de autenticación están disponibles para autenticar las solicitudes de proxy Web: básico, implícito, integrado, certificados de cliente de nivel de socket seguro (SSL) y servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Tenga en cuenta que si bien ISA Server admite, desde el punto de vista técnico, la autenticación de certificados de cliente para las solicitudes de los clientes proxy Web, el explorador no la admite para las solicitudes a un servidor Web de Internet. Los certificados de cliente son compatibles para la autenticación de clientes proxy Web en un equipo con ISA Server que precede en la cadena. Para obtener más información, consulte el artículo 838126 de Microsoft Knowledge Base: “You cannot perform certificate-based Web proxy authentication in ISA Server 2004″ (en inglés).
Para configurar el almacenamiento en caché
1.
En Administración del servidor ISA, expanda el nodo Configuración y haga clic en Caché.
2.
En el panel de detalles, haga clic en la ficha Unidades de caché y seleccione la unidad que desea utilizar para el almacenamiento en caché.
3.
En la ficha Tareas, haga clic en Definir unidades de caché (habilitar almacenamiento en caché).
4.
En Tamaño máximo de la caché, escriba el espacio de la unidad seleccionada que asignará para el almacenamiento en caché.
Nota
El almacenamiento en caché sólo se habilita cuando el tamaño de al menos una unidad de caché es mayor que cero. El tamaño máximo para un único archivo de caché es de 64 gigabytes (GB). Si necesita una caché de mayor tamaño, divídala en varios archivos en distintas unidades.
Para configurar las reglas de caché
1.
En Administración del servidor ISA, expanda el nodo Configuración y haga clic en Caché.
2.
En el panel de detalles, haga clic en la ficha Reglas de caché.
3.
En la ficha Tareas, haga clic en Crear una regla de caché.
4.
En la página de bienvenida del Asistente para nueva regla de caché, especifique un nombre descriptivo para la regla. A continuación, haga clic en Siguiente.
5.
En la página Destino de regla de caché, seleccione la red a la que se aplicará la regla. Haga clic en Agregar, expanda Redes y luego haga clic en Interna. Haga clic en Agregar y en Cerrar. A continuación, haga clic en Siguiente.
6.
En la página Recuperación de contenido, especifique cómo se debe recuperar el contenido de la caché y luego haga clic en Siguiente:
1.
Para especificar que un objeto debe recuperarse de la caché si es válido o, en caso contrario, que se debe transferir la solicitud al servidor Web de Internet o al servidor proxy que precede en la cadena, haga clic en Sólo si una versión válida del objeto existe en la caché. Si no existe ninguna versión válida, enrutar la petición al servidor.
2.
Para especificar que un objeto debe recuperarse de la caché si está disponible (sin importar si es válido o no) o, en caso contrario, que se debe transferir la solicitud al servidor Web de Internet o al servidor proxy que precede en la cadena, haga clic en Si existe cualquier versión del objeto en la caché. Si no existe ninguna versión, transfiera la solicitud al servidor.
3.
Para especificar que un objeto debe recuperarse de la caché si está disponible (sin importar si es válido o no) o, en caso contrario, que se debe descartar la solicitud, haga clic en Si existe cualquier versión del objeto en la caché. Si no existe ninguna versión, descarte la solicitud (no transfiera nunca la solicitud al servidor).
Nota
Se considera que un objeto de la caché es válido cuando el valor Tiempo de vida (TTL) no ha caducado. En los objetos HTTP, la caducidad se basa en el valor TTL especificado en el encabezado de la respuesta y los límites TTL definidos en la regla de caché.
7.
En la página Contenido de caché, especifique cómo se recuperarán los objetos almacenados en la caché y haga clic en Siguiente:
•
Para nunca almacenar los objetos Web en la caché, haga clic en Nunca, ningún contenido.
•
Para almacenar los objetos en caché si el servidor Web que proporciona el objeto indica que debe almacenarse en la caché, haga clic en Si los encabezados del origen y la petición indican que se debe almacenar en caché, el contenido se almacenará en caché.
•
Para almacenar en caché todo el contenido aun cuando no está marcado como que se puede almacenar en caché (incluido el contenido recuperado mediante una consulta que devolvió contenido al que se puede tener acceso por medio de una dirección URL con un signo de interrogación en ella), haga clic en Contenido dinámico.
•
Para almacenar en caché el contenido con los códigos de respuesta 302 y 307, haga clic en Contenido para exploración sin conexión (respuestas 302, 307).
•
Para almacenar en caché el contenido que es posible que requiera autenticación para el acceso, haga clic en Contenido que requiere autenticación de usuario para recuperarse.
8.
En la página Configuración avanzada de la caché, para especificar un límite de tamaño para los objetos almacenados en la caché, haga clic en No almacenar en caché objetos mayores de: y luego especifique un tamaño máximo. Para especificar que los objetos SSL deben almacenarse en caché, haga clic en Almacenar en caché respuestas SSL. A continuación, haga clic en Siguiente.
Nota
Almacenar en caché las solicitudes SSL sólo sirve para el contenido Web publicado, ya que las solicitudes de los clientes proxy Web para el contenido SSL se tramitan entre el servidor cliente y el que precede en la cadena y, por lo tanto, no está disponible para el almacenamiento en caché de ISA Server.
9.
En la página Almacenamiento en caché de HTTP, considere las siguientes opciones y haga clic en Siguiente:
•
Para especificar que los objetos HTTP deben almacenarse en caché, haga clic en Habilitar almacenamiento en caché de HTTP.
•
Para especificar por cuánto tiempo los objetos HTTP deben permanecer en la caché como un porcentaje de la antigüedad del contenido, defina un valor en Configurar TTL de objetos (% de antigüedad del contenido).
Nota
El valor TTL de un objeto HTTP almacenado en la caché está configurado como un porcentaje de la antigüedad del contenido (la cantidad de tiempo que transcurrió desde que se creó o modificó el objeto). Cuanto mayor sea el porcentaje especificado, menor será la frecuencia con la que se actualizará el objeto en la caché.
•
Para especificar por cuánto tiempo los objetos HTTP deben permanecer en la caché como un valor de tiempo, escriba el tiempo mínimo y máximo en No menos de y No más de.
•
Para aplicar la configuración TTL a los objetos, incluso si el encabezado de origen del objeto especifica una fecha de caducidad, haga clic en Aplicar estos límites de TTL a los orígenes que especifican la caducidad.
10.
En la página Almacenamiento en caché de FTP, haga clic en Habilitar almacenamiento en caché de FTP para especificar que los objetos FTP descargados deben almacenarse en la caché. En Periodo de vida de los objetos FTP, especifique por cuánto tiempo los objetos FTP deben permanecer en la caché antes de que caduquen. A continuación, haga clic en Siguiente.
11.
Compruebe la configuración de las reglas y haga clic en Finalizar para finalizar el asistente.
12.
Haga clic en Aplicar para guardar la configuración.
Para configurar las reglas de acceso
1.
En Administración del servidor ISA, haga clic con el botón secundario en el nodo Directiva de firewall, seleccione Nueva y haga clic en Regla de acceso.
2.
En la página de bienvenida del Asistente para nuevas reglas de acceso, escriba un nombre descriptivo para la regla. A continuación, haga clic en Siguiente.
3.
En la página Acción de regla, haga clic en Permitir. A continuación, haga clic en Siguiente.
4.
En la página Protocolos, seleccione Protocolos seleccionados y haga clic en Agregar. Haga clic para expandir Web y seleccione los protocolos a los cuales desea otorgar acceso a los clientes proxy Web. Éstos incluyen HTTP y, posiblemente, HTTPS y FTP. Seleccione cada protocolo y haga clic en Agregar. Una vez que haya seleccionado los protocolos requeridos, haga clic en Cerrar. A continuación, haga clic en Siguiente.
5.
En la página Orígenes de regla de acceso, haga clic en Agregar. Expanda Redes. Haga clic en Interna y en Agregar. Haga clic en Host local y en Agregar. Haga clic en Cerrar. A continuación, haga clic en Siguiente.
Nota También puede crear y utilizar conjuntos de intervalos de direcciones para limitar aún más los clientes que pueden usar ISA Server como un proxy Web.
6.
En la página Destinos de reglas de acceso, haga clic en Agregar. Expanda Redes. Haga clic en Interna y en Agregar. Haga clic en Cerrar. A continuación, haga clic en Siguiente.
7.
En la página Conjuntos de usuarios, seleccione cómo los usuarios se autentican con la regla y haga clic en Siguiente:
•
Para permitir el acceso anónimo al proxy Web, seleccione Todos los usuarios.
•
Para forzar la autenticación de las solicitudes del proxy Web, haga clic en Agregar. En el cuadro de diálogo Agregar usuarios, haga clic en Todos los usuarios autenticados. Haga clic en Cerrar. En la página Conjuntos de usuarios, seleccione Todos los usuarios y haga clic en Quitar.
Nota
Si una regla que coincide con la solicitud del proxy Web requiere autenticación, se solicitarán y validarán las credenciales de clientes. Si especifica que la regla se aplica a Todos los usuarios autenticados, todos los usuarios que no pasen la autenticación serán rechazados por la regla (incluso por una regla Permitir). Puede crear un nuevo conjunto de usuarios compuesto por los usuarios y grupos de Windows, RADIUS o usuarios SecurID. Si selecciona RADIUS o SecurID, puede elegir Todos los usuarios en Espacio de nombres o Nombre de usuario especificado. Si especifica Todos los usuarios en Espacio de nombres, RADIUS o SecurID permitirán a cualquier usuario que se pueda autenticar con la autenticación básica (los usuarios a los cuales no se les solicitan las credenciales).
8.
En la página Finalizar del asistente, compruebe la configuración y haga clic en Finalizar para finalizar el asistente.
9.
Haga clic en Aplicar para guardar la configuración.
Publicación en Web y publicación en Outlook Web Access
Puede implementar ISA Server en un equipo con un único adaptador de red en el modo proxy invertido, que permite publicar servidores Web y servidores Exchange para las conexiones de Outlook Web Access. Puede publicar servidores sobre HTTP o HTTPS para obtener una conexión SSL segura. Puede autenticar las solicitudes entrantes y enviar como cadenas las solicitudes a los servidores proxy que preceden en la cadena.
Cuando publica Outlook Web Access en un equipo con un único adaptador de red, están disponibles las siguientes funciones de Outlook Web Access:
•
Las funciones estándar de Outlook Web Access, por ejemplo, envío y recepción de correos electrónicos, calendarios y otras funciones
•
Exchange Outlook Mobile Access, ActiveSync y Outlook RPC sobre HTTP
•
Autenticación basada en formularios
•
HTTP y HTTPS
Por ejemplo, la publicación de un servidor Web o de Outlook Web Access sobre una conexión SSL en un equipo con un único adaptador de red consta del siguiente proceso de configuración:
•
Especificar la entrada DNS pública. El dispositivo perimetral que protege a la organización de Internet debe estar configurado para reenviar las solicitudes de los servidores publicados o las solicitudes a Outlook Web Access, a la dirección IP correcta del equipo con ISA Server. Por ejemplo, si un usuario de Internet obtiene acceso a Outlook Web Access en https://mail.fabrikam.com/exchange, debe haber una entrada DNS pública para mail.fabrikam.com, y esa entrada debe resolverse en la interfaz externa del dispositivo perimetral que está configurado para reenviar las solicitudes de Outlook Web Access a ISA Server.
•
Configurar el dispositivo perimetral para que reenvíe los paquetes. El dispositivo perimetral debe configurarse para que reenvíe las solicitudes relevantes al equipo con ISA Server.
•
Configurar la plantilla de red de ISA Server. Asegúrese de que ISA Server esté instalado y configurado con la plantilla del adaptador de red único.
•
Solicitar un certificado del servidor Web o del servidor de Outlook Web Access. Para una publicación segura, se recomienda utilizar una configuración de enlace de HTTPS a HTTPS. Esta configuración proporciona una conexión SSL desde el cliente hasta el equipo con ISA Server y desde el equipo con ISA Server hasta el servidor Web publicado. Por lo general, se utiliza un certificado comercial para la publicación SSL externa. Se crea una solicitud de certificado de una entidad emisora de certificados comerciales (como Verisign o Thawte) con el Asistente para certificados de servidor Web de IIS. Dado que IIS no suele estar instalado en ISA Server, se solicita el certificado desde el servidor Web publicado. Actualmente, no existe ninguna forma de solicitar un certificado de servidor desde ISA Server 2004 a la entidad emisora de certificados directamente.
•
Exportar el certificado de servidor. Después de obtener el certificado en el servidor Web, expórtelo a un archivo, junto con la clave privada.
•
Importar el certificado de servidor. Importe el certificado del archivo exportado al almacén de certificados personales del equipo.
Nota
Existen algunas pautas de mejores prácticas que se deben seguir al solicitar y configurar certificados. Si desea obtener más información, consulte Troubleshooting SSL Certificates in ISA Server 2004 Publishing (en inglés) en el sitio Web de Microsoft TechNet.
Si desea conocer los procedimientos para obtener certificados de servidor, consulte Digital Certificates for ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet.
•
Habilitar SSL en el servidor Web publicado. En un escenario publicado seguro, configure IIS en el servidor publicado para admitir la autenticación básica cifrada como SSL.
•
Crear una escucha. En Administración del servidor ISA, cree una escucha Web segura en la red interna, para que escuche las solicitudes del servidor publicado.
Nota
Por cuestiones de seguridad, considere la posibilidad de utilizar una autenticación basada en formularios y limitar el acceso de datos adjuntos de equipos públicos. Debe configurar estas propiedades después de crear la escucha con el Asistente para nueva escucha de web. En ISA Server 2004 Standard Edition, es posible que la autenticación basada en formularios no pueda utilizarse con ningún otro método de autenticación. En ISA Server 2004 Standard Edition Service Pack 1 e ISA Server 2004 Enterprise Edition, se puede configurar la autenticación basada en formularios junto con RADIUS.
•
Crear una regla de publicación segura. Para la publicación en Web, cree una regla con el Asistente para reglas de publicación en Web. Para publicar Outlook Web Access, cree una regla con el Asistente para publicación de servidor de correo. Tenga en cuenta que también puede publicar Outlook Mobile Access, RPC sobre HTTP y Exchange ActiveSync con este asistente. Para publicar servidores de forma segura, utilice una configuración de enlace de HTTPS a HTTPS. En este escenario, los usuarios se conectan con ISA Server mediante SSL. ISA Server finaliza la conexión SSL en el equipo con ISA Server e inspecciona el tráfico. Posteriormente, los paquetes se reenvían al servidor Web publicado sobre una nueva conexión HTTPS.
Notas
Para conocer las instrucciones detalladas sobre la publicación de servidores Web, consulte Publishing Web Servers using ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet y Publishing Web Servers Using ISA Server 2004 Enterprise Edition (en inglés), también en el sitio Web de Microsoft TechNet.
Para conocer las instrucciones detalladas sobre la publicación de Outlook Web Access, consulte Outlook Web Access Server Publishing in ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet y Outlook Web Access Server Publishing in ISA Server 2004 Enterprise Edition (en inglés) en el sitio Web de Microsoft TechNet.
Principio de la página
Escenarios no compatibles
Al instalar ISA Server en un equipo con un único adaptador de red, no se admiten las siguientes funciones y escenarios de ISA Server:
•
Directiva de firewall de redes múltiples. En el modo de adaptador de red único, ISA Server se reconoce a sí mismo (la red de host local). Todo lo demás se reconoce como la red interna. No existe el concepto de red externa. El servicio de firewall y los filtros de aplicación de Microsoft funcionan únicamente en el contexto de la red de host local. (ISA Server se protege a sí mismo independientemente de la plantilla de red que se aplique). Como el servicio de firewall y los filtros de aplicación funcionan en el contexto de la red de host local, se pueden utilizar las reglas de acceso para permitir los protocolos que no son Web en el equipo con ISA Server.
•
Inspección en el nivel de aplicación. El filtrado en el nivel de aplicación no sirve, excepto para el filtro del proxy Web (para HTTP, HTTPS y FTP sobre HTTP).
•
Publicación de servidores. No se admite la publicación de servidores. No hay una separación de las redes interna y externa, por lo tanto, ISA Server no puede proporcionar la función de traducción de direcciones de red (NAT) necesaria en los escenarios de publicación de servidores.
•
Clientes de firewall. La aplicación de clientes de firewall maneja las solicitudes de las aplicaciones Winsock que usan el servicio de firewall. Este servicio no está disponible en los entornos con un único adaptador de red.
•
Clientes de SecureNAT. Los clientes de SecureNAT utilizan ISA Server como un enrutador para Internet. El servicio de firewall maneja las solicitudes de los clientes de SecureNAT. Dado que el servicio de firewall no está disponible en una configuración de adaptador de red único, no se admiten tales solicitudes.
•
Redes privadas virtuales. Las redes privadas virtuales (VPN) de sitio a sitio y las VPN de acceso remoto no son compatibles en un escenario de adaptador de red único.
Nota
No puede configurar un adaptador de red para que utilice dos direcciones IP o un segundo adaptador de red que está deshabilitado, como una forma de emplear las funciones de redes múltiples en un equipo con un único adaptador de red.
Principio de la página
Problemas frecuentes
Esta sección describe los siguientes problemas y soluciones frecuentes:
•
¿Cómo puedo hacer para que otros servicios u otras aplicaciones coexistan con ISA Server en el modo de adaptador de red único,por ejemplo, un adaptador de red único con un servidor DNS?
No se admite la publicación de servidores en el modo de adaptador de red único. No obstante, independientemente de qué plantilla de red se aplique, el servicio de firewall y los filtros de aplicación se ejecutan en el contexto del equipo con ISA Server (la red de host local). Por lo tanto, puede permitir el tráfico que no es Web al equipo con ISA Server. Para ello, cree reglas de acceso entre la red de host local y la red interna, para permitir que los usuarios internos tengan acceso a las aplicaciones o los servicios que se ejecutan en el equipo con ISA Server.
•
¿Puedo publicar mi sitio Web sobre una conexión SSL con un único adaptador de red?
Sí, pero debe vincular la conexión. Si selecciona Túnel SSL al configurar la regla de publicación en Web, se utiliza efectivamente la publicación de servidores para publicar el servidor Web. Esta configuración no funciona en un escenario de adaptador de red único.
•
¿Puedo publicar varios sitios Web con una sola dirección IP en un escenario de adaptador de red único?
Sí. Puede utilizar reglas de publicación en Web para publicar varios sitios Web con una sola dirección IP. Con la inspección en el nivel de aplicación, ISA Server examina el encabezado de host de una solicitud entrante y decide cómo reenviar la solicitud a un servidor Web según la información del encabezado. ISA Server puede escuchar las solicitudes de varios sitios Web en una única dirección IP y reenviarlas de las siguientes maneras:
•
Publicar varios sitios en la misma dirección IP y el mismo puerto con un encabezado de host. IIS usa el nombre de host del encabezado HTTP para determinar cuál es el sitio solicitado. Para obtener más información, consulte el artículo 838252 de Microsoft Knowledge Base: “How to configure Web publishing rules to host multiple Web sites with host headers in ISA Server”
(en inglés).
•
Publicar varios sitios en diferentes puertos y redireccionar las solicitudes a la misma dirección IP, pero a distintos puertos.
Para una publicación SSL segura, sólo se puede enlazar un certificado de servidor a una escucha Web. Si tiene una única dirección IP, sólo puede publicar un sitio Web SSL. La única excepción es cuando utiliza certificados con caracteres comodín. Para obtener más información, consulte Publishing Multiple Web sites using a Wildcard Certificate in ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet.
•
Deseo implementar una matriz de equipos con ISA Server con un único adaptador de red para proporcionar una conexión proxy a Internet para los usuarios internos. ¿Cómo puedo utilizar el equilibrio de carga en la red (NLB) en ese escenario?
•
Si utiliza ISA Server en un equipo que no tiene instalado Microsoft Windows Server 2003 con Service Pack 1, debe instalar un segundo adaptador de red para utilizarlo en la comunicación intramatricial. NLB debe estar configurado en un adaptador con una dirección IP estática. Asegúrese de elegir la dirección IP para el adaptador intramatricial de la red intramatricial y no de la red interna.
•
Si utiliza ISA Server en un equipo que tiene instalado Windows Server 2003 Service Pack 1, no necesita un segundo adaptador de red para la comunicación intramatricial.
•
¿Puedo publicar en un puerto alternativo en un escenario de adaptador de red único?
•
Las solicitudes HTTP y HTTPS pueden redireccionarse al servidor Web publicado sobre HTTP, HTTPS o FTP sobre HTTP. Puede elegir que las solicitudes se envíen al puerto estándar (80 para HTTP, 443 para HTTPS, 21 para FTP) o que se debe utilizar un puerto alternativo.
•
La creación de una regla de publicación con un puerto no estándar en ISA Server o en el servidor Exchange no se admite al publicar Outlook Web Access.
•
¿Admite ISA Server la carga en FTP en un escenario de adaptador de red único?
En un escenario de adaptador de red único, el filtro del proxy Web maneja las solicitudes FTP. El filtro del proxy Web sólo admite la descarga en FTP.
•
¿Puedo utilizar un servidor RADIUS para autenticar el tráfico Web en un escenario de adaptador de red único?
Sí. La autenticación de RADIUS puede emplearse para autenticar el tráfico Web por medio del siguiente proceso:
•
Configure ISA Server como un cliente RADIUS en el Servicio de autenticación de Internet (IAS) y especifique un secreto compartido.
•
En Administración del servidor ISA, configure los valores de RADIUS para que señale el servidor IAS y especifique el mismo secreto compartido que configuró en IAS.
•
Habilite la directiva del sistema para que permita la comunicación entre ISA Server y el servidor IAS.
•
Configure la autenticación de RADIUS para que se utilice para las solicitudes del proxy Web en la escucha del proxy Web de la red desde donde llegarán las solicitudes de clientes.
•
Cree una regla de acceso para permitir los usuarios de RADIUS autenticados. Cree un conjunto de usuarios de RADIUS para usar en esta regla. En la regla, puede elegir si desea permitir el acceso a todos los usuarios que puede autenticar el servidor IAS o a un determinado usuario de RADIUS. Para una mayor flexibilidad, puede configurar la directiva de acceso remoto de IAS para que se encargue de la autenticación de los clientes. Para realizar esta tarea, configure las propiedades de acceso telefónico de todas las cuentas de usuario en Controlar acceso a través de la directiva de acceso remoto y luego agregue una condición en la directiva de acceso remoto para permitir el acceso a estos usuarios. Tenga en cuenta que el proxy Web de reenvío con RADIUS sólo admite la autenticación (PAP) sin cifrar.
•
Algunos sitios Web no se muestran correctamente. ¿Cuál podría ser el motivo?
ISA Server en un entorno de adaptador de red único sólo admite protocolos Web (HTTP, HTTPS y FTP). Si el sitio Web requiere otro protocolo, como aplicaciones o medios de transmisión que no son HTTP, es posible que el contenido no se muestre como debería. Deberá agregar otro adaptador de red y usar el cliente de firewall para tener acceso a Internet y al sitio específico.
•
En un entorno de adaptador de red único, ¿qué funciones de MSN Messenger están disponibles?
La función de mensajes de texto está disponible, dado que el servidor de mensajería instantánea suele mediar en la comunicación entre dos clientes, lo que evita cualquier problema de NAT que puede surgir con un cliente externo. Para otras funciones, necesita un equipo con ISA Server de base dual que tenga clientes de firewall.
•
En un escenario de adaptador de red único, los clientes del equipo con ISA Server no pueden iniciar sesión en un servidor FTP con credenciales que no son anónimas. ¿Por qué?
Cuando la vista de carpetas para sitios FTP está habilitada en Internet Explorer, el cliente de Internet Explorer omite el proxy Web y, en cambio, intenta establecer una conexión Winsock con el servidor FTP, al igual que una aplicación cliente típica de FTP. En un escenario de adaptador de red único, este tipo de solicitud no puede manejarse como un proxy ni con NAT y entonces falla. Para asegurarse de que Internet Explorer envíe las solicitudes FTP como solicitudes HTTP, haga lo siguiente:
•
En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet.
•
En la ficha Opciones avanzadas, desactive Habilitar la lista de carpetas para los sitios FTP.
•
Conéctese por medio de esta sintaxis: ftp://:@
•
Tenga en cuenta que esto no habilita la carga en FTP, que no está admitida para los clientes proxy Web. Para esta función, el equipo cliente debe estar configurado como un cliente de SecureNAT o un cliente de firewall, además de un cliente proxy Web. Para ello se necesitará más de un adaptador de red.
•
¿Cómo vuelvo a definir la configuración de un adaptador de red único con varios adaptadores?
Agregue otro adaptador físico al equipo y aplique una plantilla de adaptador de red múltiple en Administración del servidor ISA (todas las plantillas excepto la plantilla de adaptador de red único).
•
¿Puedo implementar Outlook Web Access y Outlook Mobile Access mediante la autenticación basada en formularios junto con otro esquema de autenticación en la misma escucha Web?
Esa configuración no está admitida en una configuración de adaptador de red único o múltiple. La autenticación basada en formularios sólo puede habilitarse como el único método de autenticación o junto con la autenticación de RADIUS (para ISA Server 2004 Standard Edition Service Pack 1 e ISA Server 2004 Enterprise Edition). Si tiene que autenticar usuarios en ISA Server, necesita dos escuchas Web separadas y también reglas de publicación en Web distintas.
Principio de la página
Información adicional
Hay otros documentos de ISA Server 2004 disponibles en la página ISA Server 2004 Guidance en el sitio Web de Microsoft Windows Server System ().
Consulte también los siguientes artículos en inglés de Knowledge Base (KB) y del sitio Web de Microsoft TechNet:
•
Third-party Routing and Remote Access management applications may interfere with VPN connections to ISA 2004 (), KB 886999
•
Automatic Discovery for Web Proxy and Firewall Clients en TechNet
•
Troubleshooting SSL Certificates in ISA Server 2004 Publishing en TechNet
•
Digital Certificates for ISA Server 2004 en TechNet
•
Publishing Web Servers using ISA Server 2004 en TechNet
•
Publishing Web Servers Using ISA Server 2004 Enterprise Edition en TechNet
•
Outlook Web Access Server Publishing in ISA Server 2004 en TechNet
•
Outlook Web Access Server Publishing in ISA Sever 2004 Enterprise Edition en TechNet
•
Publishing Multiple Web Sites Using a Wildcard Certificate in ISA Server 2004 en TechNet
•
The features and limitations of a single-homed ISA Server 2004 computer (), KB 838364
•
You cannot perform certificate-based Web proxy authentication in ISA Server 2004 (), KB 838126
http://andaira.wordpress.com/2008/04/07/instalando-isa-server-2006-con-un-unico-adaptador-de-red/
No hay comentarios:
Publicar un comentario
Gracias por visitar mi Blog.