Configuraciones de proxy inverso para Windows SharePoint Services
Se aplica a
Windows SharePoint Services
Resumen
En este documento se describen las configuraciones de proxy inverso que funcionan con Microsoft Windows SharePoint Services. Este tipo de configuración resulta útil en un escenario de extranet donde sea necesario poner el sitio a disposición de usuarios autorizados en Internet. Entre los temas se incluye terminación SSL, puente SSL, reenvío de encabezado de host y servidores proxy inversos.
En esta página
Introducción
Las organizaciones que deseen exponer sitios de Windows SharePoint Services (o cualquier aplicación basada en Web) en Internet deben solucionar problemas de seguridad estándar. La mayoría de dichos entornos utilizan un proxy inverso para solucionar algunos de estos problemas, como:
| • | La prevención de la revelación posible de información interna específica de la red, como direcciones IP, nombres de equipo NetBIOS, nombres de equipo DNS, nombres de dominio de red, etc. Las configuraciones de proxy inverso contribuyen a proteger esta información mediante el procesamiento de consultas de cliente en el servidor proxy en vez de hacerlo en un servidor Web interno de la red. |
| • | Prevención de tráfico no autorizado entrante o saliente en la red interna. Los servidores proxy inversos permiten que el sistema cliente considere el servidor proxy como el servidor Web: el servidor proxy se pone en contacto con el servidor Web en respuesta a las peticiones de cliente, recibe la respuesta del servidor Web y, a continuación, la envía al cliente. Los servidores proxy inversos se puede configurar para permitir únicamente el tráfico autorizado de entrada o salida. |
| • | Detección y prevención de intentos de ataque. Los servidores de seguridad permiten el filtrado de paquetes hasta el nivel de aplicación para ayudar a detectar y prevenir intentos de ataque. |
| • | Evitar el tráfico excesivo de la red. El almacenamiento en caché del contenido permite que los servidores proxy inversos guarden en caché el contenido Web para que puedan responder algunas peticiones de cliente desde la caché, sin ponerse en contacto con el servidor Web. De este modo se reduce el tráfico interno de la red. |
| • | Evitar una carga excesiva de SSL (Secure Sockets Layer) en el servidor Web. Una configuración de proxy inverso puede terminar las sesiones SSL entrantes delante del servidor Web, por lo que se quita la carga de la terminación SSL y descifrado de los servidores Web. |
Los productos de proxy inverso, como Microsoft Internet Security and Acceleration (ISA) Server 2000, normalmente solucionan todos estos problemas. ISA Server 2000 también incluye una característica denominada puente SSL que permite lo siguiente:
| • | Redirigir peticiones HTTPS entrantes a servidores Web como peticiones HTTP. Antes de reenviar los paquetes, se pueden filtrar hasta el nivel de aplicación. |
| • | Redirigir peticiones HTTP entrantes a servidores Web como peticiones HTTPS. Antes de reenviar los paquetes, se pueden filtrar hasta el nivel de aplicación. |
| • | Para garantizar la máxima seguridad, redirigir peticiones HTTPS entrantes a servidores Web como peticiones HTTPS. Antes de reenviar los paquetes, se pueden filtrar hasta el nivel de aplicación. |
En este documento se describen las configuraciones de proxy inverso admitidas y probadas para Windows SharePoint Services. Las configuraciones utilizan y se han probado con Microsoft ISA Server 2000, Service Pack 1, pero deben ser aplicaciones a la mayoría de soluciones de proxy inverso de otros fabricantes.
En la siguiente ilustración se muestra un ejemplo de configuración de proxy inverso:
Figura 1. Configuración de proxy inverso
El enfoque tradicional de servidor proxy inverso permite que las direcciones URL de cliente y servidor sean distintas. Esto requiere que ninguno de los hipervínculos de las páginas Web sea absoluto. Windows SharePoint Services se basa en hipervínculos absolutos, por lo que las configuraciones de proxy inverso descritas aquí mantienen las direcciones URL del cliente iguales que las del servidor.
Alguna configuración de proxy inverso utiliza un enfoque de corrección de URL para buscar y corregir direcciones URL absolutas. Debido al modo en que Windows SharePoint Services utiliza las direcciones URL absolutas, un enfoque de corrección de URL para Windows SharePoint Services normalmente no está en las capacidades de un servidor proxy inverso. Algunas de las direcciones URL absolutas que utiliza Windows SharePoint Services son fáciles de encontrar y corregir. Por ejemplo, resulta bastante sencillo para el servidor proxy inverso reescribir suficientes direcciones URL para obtener la página principal de un sitio de SharePoint con el fin de procesarlo y hacerlo funcionar correctamente. Sin embargo, otras direcciones URL absolutas son más difíciles de encontrar y corregir. Por ejemplo, hay direcciones URL absolutas en controles ActiveX, texto de envío de formulario, parámetros URL y mensajes SOAP donde la mayoría de los servidores proxy inversos no pueden encontrarlas para reescribirlas. Las direcciones URL absolutas pueden ser salientes desde Windows SharePoint Services, entrantes desde aplicaciones cliente o de ida y vuelta desde Windows SharePoint Services al cliente y viceversa. Además, las direcciones URL absolutas pueden estar codificadas cuando se utilizan como parámetro; por ejemplo la dirección URL http://nombre_de_servidor puede aparecer como http%2f%3a%3anombre_de_servidor en el texto de envío de formulario.
En las siguientes secciones se describen dos configuraciones de proxy inverso que funcionan con Windows SharePoint Services: reenvío de encabezado de host y puente SSL (Secure Sockets Layer): terminación SSL. En el reenvío de encabezado de host, el servidor proxy inverso traduce la dirección IP de la página que el cliente solicita en la dirección IP de la página que el servidor devuelve. La configuración de puente SSL: terminación SSL se basa en dos conexiones SSL independientes: una entre el cliente y el servidor proxy inverso y otra entre el servidor proxy inverso y el servidor con Windows SharePoint Services. Si ejecuta un servidor proxy inverso que requiera que las conexiones SSL terminen en el proxy inverso, debe utilizar la configuración de puente SSL.
Reenvío de encabezado de host
En una configuración de proxy inverso, el cliente envía peticiones HTTP al servidor proxy inverso como si éste fuera el servidor Web. En el reenvío de encabezado de host, el servidor proxy inverso reenvía los paquetes HTTP al servidor Web real a la vez que conserva el encabezado de host en los paquetes HTTP. En el servidor Web, Windows SharePoint Services utiliza la información de encabezado de host para generar hipervínculos a páginas a las que podrá tener acceso el cliente. A continuación, el servidor Web envía respuestas HTTP mediante el servidor proxy inverso al cliente. En la siguiente ilustración se muestra un ejemplo de una configuración de reenvío de encabezado de host:
Figura 2. Ilustración de reenvío de encabezado de host
Para obtener información acerca de la configuración del reenvío de encabezado de host, consulte la sección "Configurar el reenvío de encabezado de host con ISA Server 2000" más adelante en este artículo.
Puente SSL: terminación SSL
En una configuración típica de terminación SSL, un servidor proxy o un servidor de seguridad procesa una petición HTTP del cliente y, a continuación, la reenvía a un servidor Web mediante HTTP. Esta configuración finaliza la conexión SSL entre el cliente y el servidor Web en el servidor proxy inverso, según requieren muchos servidores proxy inversos.
Sin embargo, debido a que Windows SharePoint Services utiliza direcciones URL absolutas, la dirección URL procedente del cliente y la enviada al servidor deben coincidir. Para mantener la dirección URL enviada desde el cliente al servidor proxy inverso igual que la enviada desde éste al servidor Web, se establece una nueva conexión SSL entre el servidor proxy inverso y el servidor Web. Ésta es la configuración de puente SSL.
En la siguiente ilustración se muestra una configuración de puente SSL: terminación SSL.
Figura 3. Puente SSL (Secure Sockets Layer)
Para obtener información acerca de cómo configurar el puente SSL, consulte la sección "Configurar el puente SSL: terminación SSL con ISA Server 2000" más adelante en este artículo.
Configurar el reenvío de encabezado de host con ISA Server 2000
Para configurar los servidores para el reenvío de encabezado de host necesitará:
1. | Uno o varios servidores con Windows SharePoint Services. |
2. | Un dispositivo que actúe de servidor proxy inverso, como un equipo con Microsoft Windows Server 2003 y Microsoft Internet Security and Acceleration (ISA) Server 2000. |
3. | Un servidor DNS (sistema de nombres de dominio). Importante En los siguientes pasos de configuración se supone que utiliza ISA Server 2000, Service Pack 1 o posterior, en el servidor proxy inverso, que lo ha configurado en modo integrado y que se ha instalado ISA Server 2000 Feature Pack 1. |
El proceso de configuración del reenvío de encabezado de host consta de los siguientes pasos:
1. | Instale y configure el conjunto de servidores para que ejecute Windows SharePoint Services. |
2. | Cree una nueva entrada DNS pública para asignar el nombre de dominio completo público a la dirección IP que utilizará en la interfaz pública del servidor proxy inverso. |
3. | Configure las interfaces de red en el servidor proxy. |
4. | Configure el servidor proxy/servidor de seguridad para que Windows SharePoint Services pueda realizar conexiones a Internet cuando sea necesario. |
5. | Edite el archivo Web.config para que Windows SharePoint Services pueda realizar conexiones a Internet mediante el servidor proxy cuando sea necesario. |
6. | Configure el servidor proxy para recibir peticiones en las direcciones IP. |
7. | Cree un conjunto de destinos. |
8. | Cree una regla de publicación en Web. |
Instalar y configurar el conjunto de servidores para que ejecute Windows SharePoint Services
Instale y configure el conjunto de servidores Windows SharePoint Services del modo habitual. Cuando termine de configurar el conjunto de servidores y los sitios, seleccione el método de autenticación de Servicios de Microsoft Internet Information Server (IIS) adecuado para el cliente, el servidor y el entorno de proxy, según se describe en el tema Configurar la autenticación (en inglés) de la Guía del administrador para Windows SharePoint Services.
De los dos tipos de autenticación disponibles en un entorno de Windows SharePoint Services (Autenticación de Windows integrada y Autenticación básica), la Autenticación de Windows integrada es la más segura. Sin embargo, es posible que algunos servidores proxy y algunos clientes no admitan la Autenticación de Windows integrada. Si se encuentra en esta situación, puede que también tenga que habilitar la Autenticación básica. Tenga en cuenta que la Autenticación básica no cifra su nombre de usuario o contraseña cuando se transmite desde el cliente al servidor. Si alguna parte de la conexión entre el cliente y el servidor pasa por una red en la que no se confía, se recomienda utilizar la Autenticación básica sólo sobre una conexión cifrada con SSL. Para obtener más información, consulte la sección Configurar el puente SSL: terminación SSL con ISA Server 2000.
Para obtener más información acerca de las opciones de autenticación en Servicios de Internet Information Server (IIS), consulte “Autenticación de sitios Web” en la Guía del administrador de IIS 6.0.
Crear una entrada DNS pública
Después de configurar Windows SharePoint Services en el conjunto de servidores, debe crear una nueva entrada DNS pública para asignar el nombre de dominio completo público a la dirección IP de la interfaz pública del servidor proxy inverso.
Por ejemplo, puede asignar www.MiServidor.com a 111.11.111.11. Cuando un cliente intente conectarse a www.MiServidor.com, pedirá al servidor DNS público la dirección IP que corresponde a www.MiServidor.com. El servidor DNS público apuntará a 111.11.111.11, que debe ser la dirección IP pública del servidor proxy inverso. A continuación, el cliente intentará establecer una conexión con 111.11.111.11.
Si utiliza Windows SharePoint Services en una implementación de varios nombres de host (modo de host escalable), debe asegurarse de que se crea una asignación DNS por cada sitio de nombre de host que configure. Para ello, cree una entrada DNS pública y exclusiva por cada sitio de nombre de host. Por ejemplo:
Host1.MiServidor.com 111.11.111.11
Host2.MiServidor.com 111.11.111.11
Por otra parte, puede crear una entrada DNS pública comodín para que todos los nombres de host del dominio se asignen a la dirección IP de interfaz pública del servidor proxy. Por ejemplo:
*.MiServidor.com 111.11.111.11
Para obtener más información acerca de la creación de una entrada DNS o una entrada DNS comodín, consulte la documentación del servidor DNS.
Configurar las interfaces de red en el servidor proxy
Después de crear la nueva entrada DNS pública, debe configurar las interfaces de red en el servidor proxy para responder a las direcciones IP adecuadas.
El servidor proxy tiene una interfaz de red pública, o externa, que se expone a los clientes que intentarán conectarse (normalmente a través de Internet). El servidor proxy también tiene una interfaz de red privada, o interna, que se expone a los servidores que está protegiendo. Debe asignar una o varias direcciones IP en la interfaz externa y al menos una dirección IP en la interfaz interna.
Para cambiar la configuración de tarjeta de red se utiliza el subprograma Conexiones de red del Panel de control en el equipo Windows Server 2003 que actúa de servidor proxy. Para obtener más información acerca de la configuración de la interfaz de red, consulte la documentación de red de Windows Server 2003.
Configurar el servidor proxy o el servidor de seguridad para permitir conexiones a Internet
Ahora debe configurar el servidor proxy o servidor de seguridad para que Windows SharePoint Services pueda realizar conexiones a Internet cuando sea necesario. Para ello, se configura el servidor proxy o el servidor de seguridad para permitir conexiones salientes desde el conjunto de servidores que ejecutan Windows SharePoint Services a Internet. Por ejemplo, el Elemento Web Captura Web y la Galería en línea de elementos Web necesitan acceso a Internet.
Permitir conexiones a Internet
1. | Haga clic en Inicio, seleccione Programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA. | ||||
2. | En el panel izquierdo, haga clic en el signo más situado junto a Servidores y matrices. | ||||
3. | Haga clic con el botón secundario del mouse (ratón) y, a continuación, haga clic en Propiedades. | ||||
4. | En la ficha Peticiones Web salientes, en Identificación, seleccione una de las siguientes opciones:
En este ejemplo se supone que ha seleccionado Utilice la misma configuración de escuchas para todas las direcciones IP internas. | ||||
5. | Si todavía no se ha definido una escucha, haga clic en Agregar para crear una nueva y, a continuación, en el campo Servidor, seleccione el nombre del equipo con ISA Server. | ||||
6. | En el campo Dirección IP seleccione la dirección IP privada que ha configurado anteriormente y, a continuación, haga clic en Aceptar. | ||||
7. | Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades. | ||||
8. | En el cuadro de mensaje que se indica que el servicio proxy Web se tiene que reiniciar, seleccione una opción y haga clic en Aceptar. Si opta por no reiniciar el servicio, deberá reiniciarlo manualmente para que los cambios surtan efecto. | ||||
9. | En el panel izquierdo, haga clic en el signo más situado junto a Elementos de directiva. | ||||
10. | Haga clic con el botón secundario del mouse (ratón) en Conjuntos de direcciones de clientes, seleccione Nuevo y, a continuación, haga clic en Conjunto. | ||||
11. | En el cuadro Nombre escriba un nombre descriptivo para el entorno de servidores, como Servidores de Windows SharePoint Services. | ||||
12. | Haga clic en Agregar. | ||||
13. | En el cuadro Agregar o editar direcciones IP, en los cuadros De y A, introduzca el intervalo de direcciones IP de los servidores con Windows SharePoint Services. Por ejemplo, si las direcciones IP de los servidores con Windows SharePoint Services son 192.168.1.1, 192.168.1.2 y 192.168.1.3, escriba lo siguiente:
| ||||
14. | Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar o editar direcciones IP. | ||||
15. | Haga clic en Aceptar para cerrar el cuadro de diálogo Conjunto de clientes. | ||||
16. | Haga clic en el signo más situado junto a Directiva de acceso. | ||||
17. | Haga clic con el botón secundario del mouse (ratón) en Reglas de protocolo, seleccione Nuevo y, a continuación, haga clic en Regla. | ||||
18. | En el cuadro Nombre de la regla del protocolo escriba un nombre de regla de protocolo, como Permitir a los servidores Web el acceso a Internet, y, a continuación, haga clic en Siguiente. | ||||
19. | En Respuesta a las peticiones del cliente para utilizar un protocolo, seleccione Permitir y, a continuación, haga clic en Siguiente. | ||||
20. | En el cuadro Aplicar esta regla a seleccione Protocolos seleccionados y, a continuación, en Protocolos active las casillas de verificación HTTP y HTTPS. | ||||
21. | Haga clic en Siguiente. | ||||
22. | En el cuadro Utilizar esta programación seleccione Siempre y, a continuación, haga clic en Siguiente. | ||||
23. | En Aplicar la regla a peticiones de seleccione Equipos específicos (conjuntos de direcciones de clientes) y, a continuación, haga clic en Siguiente. | ||||
24. | Haga clic en Agregar. | ||||
25. | En el panel Conjuntos definidos, seleccione la dirección de cliente que ha creado anteriormente y, a continuación, haga clic en Agregar. | ||||
26. | Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar conjuntos de clientes. | ||||
27. | Haga clic en Siguiente y, a continuación, en Finalizar. Nota Los pasos 8-14 y 22-25 son opcionales, según la configuración. Para obtener más información acerca del proceso de creación de una regla de publicación en Web y las opciones que puede elegir durante este proceso, consulte la documentación de ISA Server 2000. |
Editar el archivo Web.config
Después de que el servidor proxy esté establecido para permitir conexiones a Internet, puede configurar Windows SharePoint Services para permitir conexiones a Internet. Para ello, edite el archivo Web.config. Por ejemplo, el Elemento Web Captura Web y la Galería en línea de elementos Web necesitan acceso a Internet.
Busque el archivo Web.config en la raíz del servidor o servidores virtuales que se han ampliado con Windows SharePoint Services. Por ejemplo, la ruta de acceso al archivo Web.config puede ser C:\Inetpub\wwwroot\web.config. En el archivo Web.config, después de la etiqueta </SharePoint>, agregue las siguientes etiquetas para configurar Windows SharePoint Services con el fin de realizar conexiones a Internet mediante el servidor proxy saliente, donde http://miproxy:8080 es la dirección y el puerto TCP para conectar a la interfaz de red privada del servidor proxy saliente.
<system.net> <defaultProxy> <proxy proxyaddress="http://myproxy:8080" bypassonlocal="true" /> </defaultProxy> </system.net>
Tenga en cuenta que debe realizar este cambio en los archivos Web.config por cada servidor virtual en cada equipo servidor del conjunto de servidores.
Configurar el servidor proxy para recibir peticiones en las direcciones IP
Ahora debe configurar el servidor proxy inverso para recibir peticiones en la interfaz de red pública. Después de la recepción, el servidor proxy puede aplicar las reglas que configurará posteriormente en este proceso.
Configurar el servidor proxy para las direcciones IP
1. | Haga clic en Inicio, seleccione Programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA. | ||||
2. | En el panel izquierdo, haga clic en el signo más situado junto a Servidores y matrices. | ||||
3. | Haga clic con el botón secundario del mouse (ratón) y, a continuación, haga clic en Propiedades. | ||||
4. | En la ficha Peticiones Web entrantes, en Identificación, seleccione una de las siguientes opciones:
| ||||
5. | Si ha seleccionado Configurar escuchas individualmente por dirección IP, haga clic en Agregar para agregar una escucha y, a continuación, en el campo Servidor seleccione el nombre del servidor ISA Server, en el campo Dirección IP seleccione la dirección IP que ha configurado anteriormente y, a continuación, haga clic en Aceptar. | ||||
6. | Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades. | ||||
7. | En el cuadro de mensaje, seleccione Guardar los cambios y reiniciar los servicios. (También puede seleccionar Guardar los cambios, sin reiniciar los servicios, pero tendrá que reiniciarlos más adelante.) |
Crear un conjunto de destinos
Un conjunto de destinos se utiliza para clasificar las peticiones entrantes para que el servidor proxy inverso o el servidor de seguridad pueda aplicarles reglas. Un conjunto de destinos se crea para el nombre de dominio completo público de los sitios SharePoint con el fin de que se pueda utilizar posteriormente en una regla de publicación en Web para publicar en los sitios SharePoint.
Crear un conjunto de destinos para sitios SharePoint
1. | Haga clic en Inicio, seleccione Programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA. |
2. | En el panel izquierdo, haga clic en el signo más situado junto a Servidores y matrices, en el signo más situado junto al nombre del servidor y, a continuación, en el signo más situado junto a Elementos de directiva. |
3. | Haga clic con el botón secundario del mouse (ratón) en Conjuntos de destinos, seleccione Nuevo y, a continuación, haga clic en Conjunto. |
4. | En el cuadro Nombre escriba un nombre descriptivo para este conjunto de destinos, como Sitios de Internet de Windows SharePoint Services. |
5. | Haga clic en Agregar. |
6. | En el cuadro Destino, escriba el nombre de host que los clientes utilizarán para tener acceso al sitio, como www.MiServidor.com. |
7. | Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar o editar destino. |
8. | Haga clic en Aceptar para cerrar el cuadro de diálogo Nuevo conjunto de destinos. Nota Si ejecuta Windows SharePoint Services en una implementación de varios nombres de host (modo de host escalable), tendrá que crear destinos adicionales en el conjunto de destinos para todos los sitios de nombre de host. Para ello, repita los pasos del 5 al 7 por cada nombre de host (Host1.MiServidor.com, Host2.MiServidor.com, etc.). Como alternativa, en el paso 6 puede crear un único conjunto de destinos comodín (*.MiServidor.com). |
Crear una regla de publicación en Web
La regla de publicación en Web reenvía las peticiones, completas con encabezados de host, desde el servidor proxy al servidor Web. Tenga en cuenta que el reenvío de encabezado de host se puede denominar de distintas formas según los proveedores de servidores proxy. Póngase en contacto con su proveedor de servidor proxy para obtener información acerca de cómo habilitar el reenvío de encabezado de host con el proxy inverso.
Crear una regla de publicación en Web
1. | Haga clic en Inicio, seleccione Programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA. |
2. | En el panel izquierdo, haga clic en el signo más situado junto a Servidores y matrices, en el signo más situado junto al nombre del servidor y, a continuación, en el signo más situado junto a Publicación. |
3. | Haga clic con el botón secundario del mouse (ratón) en Reglas de publicación en Web, seleccione Nuevo y, a continuación, haga clic en Regla. |
4. | En el cuadro Nombre de la regla de publicación en Web escriba un nombre de regla de protocolo, como Reenvío de encabezado de host a Windows SharePoint Services, y, a continuación, haga clic en Siguiente. |
5. | En la lista Aplicar esta regla a seleccione Conjunto de destinos especificados. |
6. | En la lista Nombre seleccione el nombre del conjunto de destinos que ha creado anteriormente, como Sitios de Internet de Windows SharePoint Services. |
7. | Haga clic en Siguiente. |
8. | En Aplicar la regla a peticiones de seleccione Cualquier petición y, a continuación, haga clic en Siguiente. |
9. | En Respuestas a peticiones de clientes, seleccione Redirigir la petición a un servidor Web interno (nombre o dirección IP): y, a continuación, en el cuadro de texto, escriba el nombre DNS del grupo de servidores con Windows SharePoint Services. |
10. | Active la casilla de verificación Enviar el encabezado de host original al servidor de publicación en lugar del actual (especificado más arriba). |
11. | Compruebe que la configuración de puerto de los protocolos es correcta para el grupo de servidores con Windows SharePoint Services. |
12. | Haga clic en Siguiente y, a continuación, en Finalizar. |
Configurar el puente SSL: terminación SSL con ISA Server 2000
Para configurar los servidores para el puente SSL: terminación SSL, necesitará:
1. | Uno o varios servidores con Windows SharePoint Services. |
2. | Uno o varios dispositivos para que actúen como servidores proxy inversos, como un equipo con ISA Server 2000. |
3. | Un servidor DNS público. |
4. | Un certificado SSL para el servidor proxy. |
5. | Un certificado SSL para los servidores con Windows SharePoint Services (cada servidor debe utilizar el mismo certificado SSL). Importante En estos pasos de configuración se supone que utiliza ISA Server 2000, Service Pack 1 o posterior, en el servidor proxy inverso, que lo ha configurado en modo integrado y que se ha instalado ISA Server 2000 Feature Pack 1. |
El proceso de configuración del reenvío de encabezado de host consta de los siguientes pasos:
1. | Instale y configure el conjunto de servidores para que ejecute Windows SharePoint Services. |
2. | Instale un certificado SSL en el servidor o servidores con Windows SharePoint Services del conjunto de servidores. |
3. | Cree una entrada DNS pública para asignar el nombre de dominio completo público a la dirección IP que utilizará en la interfaz pública del servidor proxy inverso. |
4. | Configure las interfaces de red en el servidor proxy. |
5. | Instale un certificado SSL en el servidor proxy inverso. |
6. | Configure el servidor proxy/servidor de seguridad para que Windows SharePoint Services pueda realizar conexiones a Internet cuando sea necesario. |
7. | Edite el archivo Web.config para que Windows SharePoint Services pueda realizar conexiones a Internet mediante el servidor proxy cuando sea necesario. |
8. | Configure el servidor proxy para recibir peticiones en las direcciones IP. |
9. | Cree un conjunto de destinos. |
10. | Cree una regla de publicación en Web. |
Instalar y configurar el conjunto de servidores para que ejecute Windows SharePoint Services
Instale y configure el conjunto de servidores Windows SharePoint Services del modo habitual. Cuando termine de configurar el conjunto de servidores y los sitios, seleccione el método de autenticación de IIS adecuado para el cliente, el servidor y el entorno de proxy, según se describe en el tema Configurar la autenticación (en inglés) de la Guía del administrador para Windows SharePoint Services.
De los dos tipos de autenticación disponibles en un entorno de Windows SharePoint Services (Autenticación de Windows integrada y Autenticación básica), la Autenticación de Windows integrada es la más segura. Sin embargo, es posible que algunos servidores proxy y algunos clientes no admitan la Autenticación de Windows integrada. Si se encuentra en esta situación, puede que también tenga que habilitar la Autenticación básica. Tenga en cuenta que la Autenticación básica no cifra su nombre de usuario o contraseña cuando se transmite desde el cliente al servidor. Si alguna parte de la conexión entre el cliente y el servidor pasa por una red en la que no se confía, se recomienda utilizar la Autenticación básica sólo sobre una conexión cifrada con SSL. En la configuración del conjunto de servidores tal como se describe en esta sección se configura una conexión cifrada con SSL.
Para obtener más información acerca de las opciones de autenticación en Servicios de Internet Information Server (IIS), consulte “Autenticación de sitios Web” en la Guía del administrador de IIS 6.0.
Instalar un certificado SSL en los servidores con Windows SharePoint Services
Debe instalar un certificado SSL en cada servidor con Windows SharePoint Services del conjunto de servidores. Todos los certificados SSL deben cumplir los siguientes criterios:
1. | El nombre de “Emitido para” del certificado debe coincidir con el nombre DNS interno que ha especificado al configurar la regla de publicación en Web. |
2. | El certificado no debe estar caducado. |
3. | El servidor proxy inverso debe confiar en la entidad emisora de certificados que ha emitido el certificado SSL en los servidores con Windows SharePoint Services. |
Para llevar a cabo esta tarea, durante las pruebas, se ha utilizado una entidad emisora de certificados local para los certificados empleados en las conexiones internas entre el proxy inverso y los servidores Web. De este modo se garantiza que los servidores confían en la misma entidad emisora de certificados.
Para obtener más información acerca de la instalación de certificados SSL, consulte “Obtener e instalar certificados de servidor” en la Guía del administrador de IIS 6.0.
Crear una entrada DNS pública
Después de configurar Windows SharePoint Services en el conjunto de servidores, debe crear una nueva entrada DNS pública para asignar el nombre de dominio completo público a la dirección IP de la interfaz pública del servidor proxy inverso.
Por ejemplo, puede asignar www.MiServidor.com a 111.11.111.11. Cuando un cliente intente conectarse a www.MiServidor.com, pedirá al servidor DNS público la dirección IP que corresponde a www.MiServidor.com. El servidor DNS público apuntará a 111.11.111.11, que debe ser la dirección IP pública del servidor proxy inverso. A continuación, el cliente intentará establecer una conexión con 111.11.111.11.
Si utiliza Windows SharePoint Services en una implementación de varios nombres de host (modo de host escalable), debe asegurarse de que se crea una asignación DNS por cada sitio de nombre de host que configure. Para ello, cree una entrada DNS pública y exclusiva por cada sitio de nombre de host. Por ejemplo:
Host1.MiServidor.com 111.11.111.11
Host2.MiServidor.com 111.11.111.11
Por otra parte, puede crear una entrada DNS pública comodín para que todos los nombres de host del dominio se asignen a la dirección IP de interfaz pública del servidor proxy. Por ejemplo:
*.MiServidor.com 111.11.111.11
Para obtener más información acerca de la creación de una entrada DNS o una entrada DNS comodín, consulte la documentación del servidor DNS.
Configurar las interfaces de red en el servidor proxy
Después de crear la nueva entrada DNS pública, debe configurar las interfaces de red en el servidor proxy para responder a las direcciones IP adecuadas.
El servidor proxy tiene una interfaz de red pública, o externa, que se expone a los clientes que intentarán conectarse (normalmente a través de Internet). El servidor proxy también tiene una interfaz de red privada, o interna, que se expone a los servidores que está protegiendo. Debe asignar una o varias direcciones IP en la interfaz externa y al menos una dirección IP en la interfaz interna.
Para cambiar la configuración de tarjeta de red se utiliza el subprograma Conexiones de red del Panel de control en el equipo Windows Server 2003 que actúa de servidor proxy. Para obtener más información acerca de la configuración de la interfaz de red, consulte la documentación de red de Windows Server 2003.
Instalar un certificado SSL en el servidor proxy inverso
También debe instalar un certificado SSL en el servidor proxy inverso. Este certificado debe coincidir con el nombre de dominio completo público que los clientes utilizarán para conectarse a sus sitios SharePoint. Tenga en cuenta que si utiliza Windows SharePoint Services en una implementación de varios nombres de host, necesitará un certificado SSL comodín.
Configurar el servidor proxy o el servidor de seguridad para permitir conexiones a Internet
Ahora debe configurar el servidor proxy o servidor de seguridad para que Windows SharePoint Services pueda realizar conexiones a Internet cuando sea necesario. Para ello, se configura el servidor proxy o el servidor de seguridad para permitir conexiones salientes desde el conjunto de servidores que ejecutan Windows SharePoint Services a Internet. Por ejemplo, el Elemento Web Captura Web y la Galería en línea de elementos Web necesitan acceso a Internet.
Permitir conexiones a Internet
1. | Haga clic en Inicio, seleccione Programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA. | ||||
2. | En el panel izquierdo, haga clic en el signo más situado junto a Servidores y matrices. | ||||
3. | Haga clic con el botón secundario del mouse (ratón) y, a continuación, haga clic en Propiedades. | ||||
4. | En la ficha Peticiones Web salientes, en Identificación, seleccione una de las siguientes opciones:
En este ejemplo se supone que ha seleccionado Utilice la misma configuración de escuchas para todas las direcciones IP internas. | ||||
5. | Si todavía no se ha definido una escucha, haga clic en Agregar para crear una nueva y, a continuación, en el campo Servidor, seleccione el nombre del equipo con ISA Server. | ||||
6. | En el campo Dirección IP seleccione la dirección IP privada que ha configurado anteriormente y, a continuación, haga clic en Aceptar. | ||||
7. | Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades. | ||||
8. | En el cuadro de mensaje que se indica que el servicio proxy Web se tiene que reiniciar, seleccione una opción y haga clic en Aceptar. Si opta por no reiniciar el servicio, deberá reiniciarlo manualmente para que los cambios surtan efecto. | ||||
9. | En el panel izquierdo, haga clic en el signo más situado junto a Elementos de directiva. | ||||
10. | Haga clic con el botón secundario del mouse (ratón) en Conjuntos de direcciones de clientes, seleccione Nuevo y, a continuación, haga clic en Conjunto. | ||||
11. | En el cuadro Nombre escriba un nombre descriptivo para el entorno de servidores, como Servidores de Windows SharePoint Services. | ||||
12. | Haga clic en Agregar. | ||||
13. | En el cuadro Agregar o editar direcciones IP, en los cuadros De y A, introduzca el intervalo de direcciones IP de los servidores con Windows SharePoint Services. Por ejemplo, si las direcciones IP de los servidores con Windows SharePoint Services son 192.168.1.1, 192.168.1.2 y 192.168.1.3, escriba lo siguiente:
| ||||
14. | Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar o editar direcciones IP. | ||||
15. | Haga clic en Aceptar para cerrar el cuadro de diálogo Conjunto de clientes. | ||||
16. | Haga clic en el signo más situado junto a Directiva de acceso. | ||||
17. | Haga clic con el botón secundario del mouse (ratón) en Reglas de protocolo, seleccione Nuevo y, a continuación, haga clic en Regla. | ||||
18. | En el cuadro Nombre de la regla del protocolo escriba un nombre de regla de protocolo, como Permitir a los servidores Web el acceso a Internet, y, a continuación, haga clic en Siguiente. | ||||
19. | En Respuesta a las peticiones del cliente para utilizar un protocolo, seleccione Permitir y, a continuación, haga clic en Siguiente. | ||||
20. | En el cuadro Aplicar esta regla a seleccione Protocolos seleccionados y, a continuación, en Protocolos active las casillas de verificación HTTP y HTTPS. | ||||
21. | Haga clic en Siguiente. | ||||
22. | En el cuadro Utilizar esta programación seleccione Siempre y, a continuación, haga clic en Siguiente. | ||||
23. | En Aplicar la regla a peticiones de seleccione Equipos específicos (conjuntos de direcciones de clientes) y, a continuación, haga clic en Siguiente. | ||||
24. | Haga clic en Agregar. | ||||
25. | En el panel Conjuntos definidos, seleccione la dirección de cliente que ha creado anteriormente y, a continuación, haga clic en Agregar. | ||||
26. | Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar conjuntos de clientes. | ||||
27. | Haga clic en Siguiente y, a continuación, en Finalizar. Nota Los pasos 8-14 y 22-25 son opcionales, según la configuración. Para obtener más información acerca del proceso de creación de una regla de publicación en Web y las opciones que puede elegir durante este proceso, consulte la documentación de ISA Server 2000. |
Editar el archivo Web.config
Después de que el servidor proxy esté establecido para permitir conexiones a Internet, puede configurar Windows SharePoint Services para permitir conexiones a Internet. Para ello, edite el archivo Web.config. Por ejemplo, el Elemento Web Captura Web y la Galería en línea de elementos Web necesitan acceso a Internet.
Busque el archivo Web.config en la raíz del servidor o servidores virtuales que se han ampliado con Windows SharePoint Services. Por ejemplo, la ruta de acceso al archivo Web.config puede ser C:\Inetpub\wwwroot\web.config. En el archivo Web.config, después de la etiqueta </SharePoint>, agregue las siguientes etiquetas para configurar Windows SharePoint Services con el fin de realizar conexiones a Internet mediante el servidor proxy saliente, donde http://miproxy:8080 es la dirección y el puerto TCP para conectar a la interfaz de red privada del servidor proxy saliente.
<system.net> <defaultProxy> <proxy proxyaddress="http://myproxy:8080" bypassonlocal="true" /> </defaultProxy> </system.net>
Tenga en cuenta que debe realizar este cambio en los archivos Web.config por cada servidor virtual en cada equipo servidor del conjunto de servidores.
Configurar el servidor proxy para recibir peticiones en las direcciones IP
Ahora debe configurar el servidor proxy inverso para recibir peticiones en la interfaz de red pública. Después de la recepción, el servidor proxy puede aplicar las reglas que configurará posteriormente en este proceso.
Configurar el servidor proxy para las direcciones IP
1. | Haga clic en Inicio, seleccione Programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA. |
2. | En el panel izquierdo, haga clic en el signo más situado junto a Servidores y matrices. |
3. | Haga clic con el botón secundario del mouse (ratón) y, a continuación, haga clic en Propiedades. |
4. | En la ficha Peticiones Web entrantes, active la casilla de verificación Habilitar escuchas SSL. |
5. | En el cuadro de mensaje Escuchas SSL, haga clic en Aceptar. |
6. | En Identificación, haga clic en Configurar escuchas individualmente por dirección IP. También puede seleccionar Utilice la misma configuración de escuchas para todas las direcciones IP internas, pero en los pasos siguientes se refleja la opción Configurar escuchas individualmente por dirección IP. |
7. | Haga clic en Agregar para agregar una escucha y, a continuación, en el campo Servidor seleccione el nombre del servidor ISA Server. |
8. | En el campo Dirección IP seleccione la dirección IP pública que ha configurado anteriormente. |
9. | Active la casilla de verificación Utilizar un certificado de servidor para autenticar en clientes Web. |
10. | Haga clic en el botón Seleccionar y, a continuación, en el cuadro Seleccionar certificado haga clic en el certificado SSL que ha instalado en el servidor proxy y, a continuación, haga clic en Aceptar. |
11. | Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar o editar escuchas. |
12. | Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades. |
13. | En el cuadro de mensaje, seleccione Guardar los cambios y reiniciar los servicios. (También puede seleccionar Guardar los cambios, sin reiniciar los servicios, pero tendrá que reiniciarlos más adelante.) |
Crear un conjunto de destinos
Un conjunto de destinos se utiliza para clasificar las peticiones entrantes para que el servidor proxy inverso o el servidor de seguridad pueda aplicarles reglas. Un conjunto de destinos se crea para el nombre de dominio completo público de los sitios SharePoint con el fin de que se pueda utilizar posteriormente en una regla de publicación en Web para publicar en los sitios SharePoint.
Crear un conjunto de destinos para sitios SharePoint
1. | Haga clic en Inicio, seleccione Programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA. |
2. | En el panel izquierdo, haga clic en el signo más situado junto a Servidores y matrices, en el signo más situado junto al nombre del servidor y, a continuación, en el signo más situado junto a Elementos de directiva. |
3. | Haga clic con el botón secundario del mouse (ratón) en Conjuntos de destinos, seleccione Nuevo y, a continuación, haga clic en Conjunto. |
4. | En el cuadro Nombre escriba un nombre descriptivo para este conjunto de destinos, como Sitios de Internet de Windows SharePoint Services. |
5. | Haga clic en Agregar. |
6. | En el cuadro Destino, escriba el nombre de host que los clientes utilizarán para tener acceso al sitio, como www.MiServidor.com. |
7. | Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar o editar destino. |
8. | Haga clic en Aceptar para cerrar el cuadro de diálogo Nuevo conjunto de destinos. Nota Si ejecuta Windows SharePoint Services en una implementación de varios nombres de host (modo de host escalable), tendrá que crear destinos adicionales en el conjunto de destinos para todos los sitios de nombre de host. Para ello, repita los pasos del 5 al 7 por cada nombre de host (Host1.MiServidor.com, Host2.MiServidor.com, etc.). Como alternativa, en el paso 6 puede crear un único conjunto de destinos comodín (*.MiServidor.com). |
Crear una regla de publicación en Web
La regla de publicación en Web reenvía las peticiones, completas con encabezados de host, desde el servidor proxy al servidor Web. Tenga en cuenta que el reenvío de encabezado de host se puede denominar de distintas formas según los proveedores de servidores proxy. Póngase en contacto con su proveedor de servidor proxy para obtener información acerca de cómo habilitar el reenvío de encabezado de host con el proxy inverso.
Crear una regla de publicación en Web
1. | Haga clic en Inicio, seleccione Programas, Microsoft ISA Server y, a continuación, haga clic en Administración del servidor ISA. |
2. | En el panel izquierdo, haga clic en el signo más situado junto a Servidores y matrices, en el signo más situado junto al nombre del servidor y, a continuación, en el signo más situado junto a Publicación. |
3. | Haga clic con el botón secundario del mouse (ratón) en Reglas de publicación en Web, seleccione Nuevo y, a continuación, haga clic en Regla. |
4. | En el cuadro Nombre de la regla de publicación en Web escriba un nombre de regla de protocolo, como Reenvío de encabezado de host a Windows SharePoint Services, y, a continuación, haga clic en Siguiente. |
5. | En la lista Aplicar esta regla a seleccione Conjunto de destinos especificados. |
6. | En la lista Nombre seleccione el nombre del conjunto de destinos que ha creado anteriormente, como Sitios de Internet de Windows SharePoint Services. |
7. | Haga clic en Siguiente. |
8. | En Aplicar la regla a peticiones de seleccione Cualquier petición y, a continuación, haga clic en Siguiente. |
9. | En Respuestas a peticiones de clientes, seleccione Redirigir la petición a un servidor Web interno (nombre o dirección IP): y, a continuación, en el cuadro de texto, escriba el nombre DNS o la dirección IP del grupo de servidores con Windows SharePoint Services. |
10. | Active la casilla de verificación Enviar el encabezado de host original al servidor de publicación en lugar del actual (especificado más arriba). |
11. | Compruebe que la configuración de puerto de los protocolos es correcta para el grupo de servidores con Windows SharePoint Services. |
12. | Haga clic en Siguiente y, a continuación, en Finalizar. |
13. | En el panel izquierdo, haga clic en Reglas de publicación en Web. |
14. | En el panel derecho, haga doble clic en la regla que acaba de crear. |
15. | En el cuadro Propiedades de nombre de regla, en la ficha Puente, compruebe que se ha seleccionado Peticiones de SSL (establecer un nuevo canal de seguridad en el sitio) en Redirigir peticiones de SSL como. |
16. | Si únicamente desea permitir el acceso SSL a los sitios SharePoint, active la casilla de verificación Requerir un canal seguro (SSL) para el sitio publicado. |
17. | Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades. |
Problemas conocidos
Debido a la forma en que las direcciones URL se procesan en Windows SharePoint Services, ninguna configuración de proxy inverso puede proporcionar una solución completa. Incluso después de configurar el entorno para utilizar la configuración reenvío de encabezado de host o de puente SSL: terminación SSL, se pueden producir problemas en las siguientes situaciones:
| • | Administración central de SharePoint no funciona mediante un servidor proxy inverso. Las instrucciones de este documento son para los servidores virtuales de contenido y no se aplican al sitio Administración central de SharePoint. Cualquier dirección URL a la que se haga referencia en la administración de servidores virtuales se basa en el nombre de host de la dirección URL que se utiliza para explorar Administración central de SharePoint y no en las direcciones URL que envía el servidor proxy inverso. |
| • | Los mensajes de correo electrónico administrativos de Windows SharePoint Services, como una advertencia de límite de cuota y los mensajes de correo electrónico de confirmación de uso de colecciones de sitios, incluyen la dirección URL que se utilizó al crear el sitio. Normalmente es distinta de la dirección URL enviada por el servidor proxy inverso. |
| • | Para que los vínculos en Windows SharePoint Services incluyan HTTPS (en vez de HTTP), debe asegurarse de que IIS está configurado en cada servidor virtual para requerir SSL. Esta configuración no se puede controlar desde el servidor proxy. Para obtener más información, consulte Habilitar Secure Sockets Layer (SSL) en el tema Configurar la autenticación (en inglés) de la Guía del administrador de Windows SharePoint Services. |
| • | Es posible que el anuncio agregado al activar la creación personalizada de sitios no tenga el nombre de encabezado de host correcto. Puede editar manualmente este aviso en cada sitio en que aparezca para incluir la dirección URL correcta. |
| • | Se puede producir un error en la vista del explorador, Sistema distribuido de creación y control de versiones (WebDAV, Web Distributed Authoring and Versioning), el panel de tareas Área de trabajo compartida de los programas de Microsoft Office System y al abrir y guardar archivos desde programas de Office en el sitio si ISA Server 2000 está configurado para interceptar peticiones HTTP OPTIONS. Puede configurar ISA Server 2000 para que no intercepte estas peticiones si agrega una clave del Registro. Para obtener más información, consulte el artículo de Knowledge Base 304340. |
| • | La vista Web y las propiedades de archivo Web no funcionan para las aplicaciones cliente. En un entorno que no utilice un servidor proxy inverso, la vista Web es la vista que aparece en el cuadro de diálogo Abrir o Guardar cuando los usuarios trabajan con archivos en bibliotecas de SharePoint de aplicaciones cliente como Microsoft Office Excel 2003 o Microsoft Office FrontPage 2003. La vista Web muestra la lista de archivos como una página Web con vínculos a cada archivo. Las propiedades de archivo Web son propiedades almacenadas en una biblioteca de SharePoint. En un sistema que no utilice un servidor proxy inverso, las aplicaciones cliente pueden mostrar las propiedades de archivo Web. Ni la vista Web ni las propiedades de archivo Web están disponibles mediante un servidor proxy inverso. En su lugar, las aplicaciones cliente muestran una de las vistas predeterminadas (como la vista de detalles) en los cuadros de diálogo Guardar y Abrir, y únicamente las propiedades de archivo predeterminadas. |