Lista de comprobación de la topología de aplicaciones para el usuario y servicios de fondo

  • Artículo

 

Última modificación del tema: 2005-05-24

La siguiente lista de comprobación resume los pasos necesarios para configurar los servidores de aplicaciones para el usuario, los servidores de servicios de fondo y los servidores de seguridad.

Nota

Los siguientes procedimientos contienen información sobre la edición del Registro. El uso del Editor del Registro puede ocasionar problemas graves que quizás requieran reinstalar el sistema operativo. Microsoft no puede garantizar que estos problemas derivados del uso incorrecto del Editor del Registro puedan solucionarse. Utilice el Editor del Registro bajo su propia responsabilidad. Para obtener información acerca de cómo modificar el Registro, consulte "Cambiar claves y valores" en la Ayuda del Editor del Registro (Regedit.exe), o "Agregar y eliminar información en el Registro" y "Modificar información del Registro" en los temas de Ayuda de Regedt32.exe. Antes de modificar el Registro, realice una copia de seguridad. Actualice también el Disco de reparación de emergencia (ERD).

Nota

Las siguientes tablas presentan las tareas de una topología de aplicaciones para el usuario y de servicios de fondo con un formato de lista de comprobación en forma de tabla.

Configuración de los servidores de aplicaciones para el usuario

Tarea

Paso 1. Instalar Exchange Server:

Instale Exchange Server en el servidor de aplicaciones para el usuario.

Paso 2. Configurar los servidores o directorios virtuales de HTTP en el servidor de aplicaciones para el usuario para tener acceso a los buzones o almacenes públicos:

Para otros servidores virtuales, especifique el dominio SMTP, la dirección IP y los encabezados o puertos del host. Active la casilla de verificación Autenticación básica.

Para otros directorios virtuales de almacenes públicos, especifique la raíz apropiada del almacén público.

Para otros directorios virtuales de buzones, especifique el dominio SMTP.

Paso 3. Deshabilitar los servicios que no sean necesarios:

Detenga los servicios que no sean necesarios para los protocolos que se están usando.

Paso 4. Desmontar y eliminar almacenes, si fuera necesario:

Si no va a ejecutar SMTP, desmonte y elimine todos los almacenes de buzones.

Si va a ejecutar SMTP, deje montado un almacén de buzones pero asegúrese de que no contiene ningún buzón. Si recibe grandes cantidades de correo electrónico externo para carpetas públicas, puede montar un almacén público ya que, de esta manera, se mejora la entrega del correo a las carpetas públicas.

Paso 5. Configurar el equilibrio de carga del servidor de aplicaciones para el usuario, si fuera necesario:

Instale el equilibrio de carga en todos los servidores de aplicaciones para el usuario.

(Recomendado) Habilite la afinidad de cliente.

Paso 6. Configurar SSL (recomendado):

Opción 1: Configure SSL en el servidor de aplicaciones para el usuario.

Opción 2: Configure un servidor entre el cliente y el servidor de aplicaciones para el usuario para descargar el descifrado de SSL.

Paso 7. Si utiliza una red perimetral:

Nota

Es recomendable utilizar un servidor de seguridad avanzado (por ejemplo, servidor ISA) en lugar del servidor de aplicaciones para el usuario en la red perimetral. Para obtener más información, consulte Servidor de seguridad avanzado en una red perimetral.

Cree la clave del Registro DisableNetlogonCheck y establezca el valor de REG_DWORD en 1.

Cree la clave del Registro LdapKeepAliveSecs y establezca el valor de REG_DWORD en 0.

Para restringir el servidor de aplicaciones para el usuario de manera que sólo se ponga en contacto con determinados controladores de dominio y servidores de catálogo globales, especifíquelos en el Administrador del sistema de Exchange en el servidor de aplicaciones para el usuario.

Paso 8. Si utiliza una red perimetral y no desea permitir RPC en el servidor de seguridad de la intranet:

Nota

Si deshabilita la autenticación en el servidor de aplicaciones para el usuario, permitirá que lleguen solicitudes anónimas a los servidores de servicios de fondo.

Deshabilite la autenticación en el servidor de aplicaciones para el usuario.

Paso 9. Si fuera necesario, cree una directiva IPSec en los servidores de aplicaciones para el usuario.

Configurar los servidores de servicios de fondo

Tareas
  1. Crear y configurar servidores o directorios virtuales HTTP para que coincidan con el servidor de aplicaciones para el usuario:
  2. Para otros servidores virtuales, establezca los encabezados del host y las direcciones IP como corresponda. El puerto TCP se debe dejar en 80. Asegúrese de que las casillas de verificación Autenticación básica y Autenticación de Windows integrada están seleccionadas.
  3. Para otros directorios virtuales de almacenes de carpetas públicas, especifique la raíz del almacén de carpetas públicas apropiada para que coincida con la raíz configurada en el servidor de aplicaciones para el usuario.
  4. Para otros directorios virtuales de buzones, especifique el dominio SMTP.

Configuración de servidores de seguridad

Tarea

Paso 1. Configure el servidor de seguridad de Internet (entre los servidores de Internet y de aplicaciones para el usuario):

Abra los puertos TCP en el servidor de seguridad de Internet para los protocolos de correo:

443 para HTTPS

993 para IMAP habilitado para SSL

995 para POP habilitado para SSL

25 para SMTP (incluido TLS)

Paso 2. (continuación) Si utiliza un servidor ISA, configure lo siguiente:

Configure una escucha para SSL.

Cree un conjunto de destino que contenga la dirección IP externa del servidor ISA. Este conjunto de destino se utilizará en la regla de publicación Web.

Cree una regla de publicación Web que redirija las solicitudes al servidor de aplicaciones para el usuario interno.

Cree reglas de protocolo para abrir los puertos del servidor ISA para el tráfico de salida.

Configure el servidor ISA para Outlook Web Access. Para obtener más información acerca de cómo configurar un servidor ISA para Outlook Web Access, consulte en Microsoft Knowledge Base el artículo 307347, "Secure OWA Publishing Behind ISA Server May Require Custom HTTP Header" (Protege OWA publicación detrás de servidor ISA puede requerir encabezado personalizado).

Paso 3. Si utiliza un servidor de aplicaciones para el usuario en una red perimetral, configure el servidor de seguridad de la intranet:

Abra los puertos TCP del servidor de seguridad de la intranet para los protocolos que está usando:

  • 80 para HTTP
  • 143 para IMAP
  • 110 para POP
  • 25 para SMTP
  • 691 para el protocolo de enrutamiento Algoritmo de estado de vínculos

Abra los puertos para Active Directory Communication:

  • Puerto TCP 389 para LDAP a Servicio de directorio
  • Puerto UDP 389 para LDAP a Servicio de directorio
  • Puerto TCP 3268 para LDAP a Servidor de catálogo global
  • Puerto TCP 88 para autenticación Kerberos
  • Puerto UDP 88 para autenticación Kerberos

Abra los puertos necesarios para tener acceso al servidor DNS:

  • Puerto TCP 53
  • Puerto UDP 53

Abra los puertos apropiados para la comunicación RPC:

  • Puerto TCP 135: asignador de puntos finales RPC
  • Puertos TCP 1024+: puertos de servicio RPC aleatorios

(Opcional) Para limitar las RPC a través del servidor de seguridad de la intranet, modifique el Registro en los servidores para especificar el tráfico RPC a un puerto concreto no aleatorio. A continuación, abra los puertos apropiados en el servidor de seguridad interno:

  • Puerto TCP 135: asignador de puntos finales RPC
  • Puerto TCP 1600 (ejemplo): puerto de servicio RPC

Si utiliza IPSec entre el servidor de aplicaciones para el usuario y el de servicios de fondo, abra los puertos apropiados. Si la directiva que configure sólo usa AH, no es necesario permitir ESP y viceversa.

  • Puerto UDP 500: IKE
  • Protocolo IP 51: AH
  • Protocolo IP 50: ESP
  • Puerto UDP 88 y puerto TCP 88: Kerberos