Configurar las reglas de publicación web para un solo grupo de servidores interno en Lync Server 2013

  • Artículo

 

Última modificación del tema: 07-07-2014

Microsoft Forefront Threat Management Gateway 2010 e Internet Information Server Application Request Routing (IIS ARR) usan reglas de publicación web para publicar recursos internos, como una dirección URL de reunión, a los usuarios de Internet.

Además de las direcciones URL de servicios web para los directorios virtuales, también debe crear reglas de publicación para direcciones URL sencillas, la dirección URL de LyncDiscover y Office Web Apps Server. Para cada URL simple, debe crear una regla individual en el proxy inverso que apunte a esa url simple.

Si está implementando movilidad y usando la detección automática, debe crear una regla de publicación para la dirección URL del servicio de detección automática externa. La detección automática también requiere reglas de publicación para la dirección URL externa de Lync Server Web Services para el grupo de directores y el grupo de servidores front-end. Para obtener más información sobre cómo crear las reglas de publicación web para la detección automática, vea Configurar el proxy inverso para la movilidad en Lync Server 2013.

Use los procedimientos siguientes para crear reglas de publicación web.

Nota

En estos procedimientos se supone que ha instalado la edición estándar de Forefront Threat Management Gateway (TMG) 2010 o que ha instalado y configurado Internet Information Server con la extensión De enrutamiento de solicitud de aplicación (IIS ARR). Puede usar TMG o IIS ARR.

Para crear una regla de publicación de servidor web en el equipo que ejecuta TMG 2010

  1. Haga clic en Inicio, seleccione Programas, seleccione Microsoft Forefront TMG y, a continuación, haga clic en Administración de Forefront TMG.

  2. En el panel izquierdo, expanda ServerName, haga clic con el botón derecho en Directiva de firewall, seleccione Nuevo y, a continuación, haga clic en Regla de publicación de sitios web.

  3. En la página Bienvenido a la nueva regla de publicación web , escriba un nombre para mostrar para la regla de publicación (por ejemplo, LyncServerWebDownloadsRule).

  4. En la página Seleccionar acción de regla , seleccione Permitir.

  5. En la página Tipo de publicación , seleccione Publicar un único sitio web o equilibrador de carga.

  6. En la página Seguridad de conexión del servidor, seleccione Usar SSL para conectarse al servidor web o granja de servidores publicado.

  7. En la página Detalles de publicación interna , escriba el nombre de dominio completo (FQDN) de la granja de servidores web interna que hospeda el contenido de la reunión y el contenido de la libreta de direcciones en el cuadro Nombre del sitio interno .

    Nota

    Si el servidor interno es un servidor Standard Edition, este FQDN es el FQDN del servidor Standard Edition. Si el servidor interno es un grupo de servidores front-end, este FQDN es una IP virtual (VIP) del equilibrador de carga de hardware que equilibra la carga de los servidores de granja de servidores web internos. El servidor TMG debe ser capaz de resolver el FQDN a la dirección IP del servidor web interno. Si el servidor TMG no puede resolver el FQDN con la dirección IP correcta, puede seleccionar Usar un nombre de equipo o una dirección IP para conectarse al servidor publicado y, a continuación, en el cuadro Nombre del equipo odirección IP , escriba la dirección IP del servidor web interno. Si hace esto, debe asegurarse de que el puerto 53 está abierto en el servidor TMG y de que puede llegar a un servidor DNS que reside en la red perimetral. También puede usar entradas en el archivo de hosts locales para proporcionar la resolución de nombres.

  8. En la página Detalles de publicación interna , en el cuadro Ruta de acceso (opcional), escriba /* como la ruta de acceso de la carpeta que se va a publicar.

    Nota

    En el asistente para la publicación de sitios web solo puede especificar una ruta de acceso. Se pueden agregar rutas de acceso adicionales modificando las propiedades de la regla.

  9. En la página Detalles del nombre público , confirme que Este nombre de dominio está seleccionado en Aceptar solicitudes para, escriba el FQDN de servicios web externos, en el cuadro Nombre público .

  10. En la página Seleccionar agente de escucha web , haga clic en Nuevo para abrir el Asistente para nueva definición de agente de escucha web.

  11. En la página Bienvenido al Asistente para nuevo agente de escucha web , escriba un nombre para el agente de escucha web en el cuadro Nombre del agente de escucha web (por ejemplo, LyncServerWebServers).

  12. En la página Seguridad de la conexión de cliente , seleccione Requerir conexiones seguras SSL con clientes.

  13. En la página Dirección IP del agente de escucha web , seleccione Externo y, a continuación, haga clic en Seleccionar direcciones IP.

  14. En la página de selección IP de escucha externa , seleccione Dirección IP especificada en el equipo de Forefront TMG de la red seleccionada, seleccione la dirección IP correspondiente y haga clic en Agregar.

  15. En la página Certificados SSL de escucha , seleccione Asignar un certificado para cada dirección IP, seleccione la dirección IP asociada con el FQDN web externo y, a continuación, haga clic en Seleccionar certificado.

  16. En la página Seleccionar certificado , seleccione el certificado que coincida con los nombres públicos especificados en el paso 9 y haga clic en Seleccionar.

  17. En la página Configuración de autenticación , seleccione Sin autenticación.

  18. En la página Configuración de inicio de sesión único , haga clic en Siguiente.

  19. En la página Completando el Asistente para escucha web, compruebe que la configuración del agente de escucha web es correcta y, a continuación, haga clic en Finalizar.

  20. En la página Delegación de autenticación , seleccione Sin delegación, pero el cliente puede autenticarse directamente.

  21. En la página Conjunto de usuarios, haga clic en Siguiente.

  22. En la página Completando el Asistente para nuevas reglas de publicación web , compruebe que la configuración de la regla de publicación web es correcta y, a continuación, haga clic en Finalizar.

  23. Haga clic en Aplicar en el panel de detalles para guardar los cambios y actualizar la configuración.

Para crear una regla de publicación de servidor web en el equipo que ejecuta IIS ARR

  1. Enlace el certificado que usará para el proxy inverso al protocolo HTTPS. Haga clic en Inicio, seleccione Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

    Nota

    Puede encontrar ayuda adicional, capturas de pantalla e instrucciones sobre la implementación y configuración de ARR de IIS en el artículo de NextHop Usar IIS ARR como proxy inverso para Lync Server 2013.

  2. Si aún no lo ha hecho, importe el certificado que usará para el proxy inverso. En el Administrador de Internet Information Services (IIS), haga clic en el nombre del servidor proxy inverso en el tamaño izquierdo de la consola. En la mitad de la consola en IIS busque Certificados de servidor. Haga clic con el botón derecho en Certificados de servidor y seleccione Abrir característica.

  3. En el lado derecho de la consola, haz clic en Importar.... Escriba la ruta de acceso y el nombre de archivo del certificado con la extensión o haga clic en ... para buscar el certificado. Seleccione el certificado y haga clic en Abrir. Proporcione la contraseña que se usa para proteger la clave privada (si asignó una contraseña al exportar el certificado y la clave privada). Haga clic en Aceptar. Si la importación de certificados se realizó correctamente, el certificado aparecerá como una entrada en mitad de la consola como una entrada en certificados de servidor.

  4. Asigne el certificado para su uso por HTTPS. En el lado izquierdo de la consola, seleccione el sitio web predeterminado del servidor IIS. En el lado derecho, haga clic en Enlaces.... En el cuadro de diálogo Enlaces de sitios , haga clic en Agregar.... En el cuadro de diálogo Agregar enlace de sitio en Tipo:, seleccione https. Seleccionar https te permitirá seleccionar el certificado que se usará para https. En Certificado SSL:, seleccione el certificado que importó para el proxy inverso. Haga clic en Aceptar. A continuación, haga clic en Cerrar. El certificado ahora está enlazado al proxy inverso para la capa de sockets seguros (SSL) y la seguridad de la capa de transporte (TLS).

    Importante

    Si recibe una advertencia al cerrar los cuadros de diálogo Enlaces de que faltan certificados intermedios, debe buscar e importar el certificado de entidad de certificación raíz pública y cualquier certificado de CA intermedio. Consulte las instrucciones de la CA pública desde la que solicitó el certificado y siga las instrucciones para solicitar e importar una cadena de certificados. Si exportó el certificado desde el servidor perimetral, puede exportar el certificado de CA raíz y cualquier certificado de CA intermedio asociado con el servidor perimetral. Importe el certificado de CA raíz en el almacén de entidades de certificación raíz de confianza del equipo (para que no se confunda con el almacén de usuarios) y los certificados intermedios en el almacén de entidades de certificación intermedias del equipo.

  5. En el lado izquierdo de la consola debajo del nombre del servidor IIS, haga clic con el botón derecho en Granjas de servidores y, a continuación, haga clic en Crear granja de servidores....

    Nota

    Si no ve el nodo Granjas de servidores , debe instalar El enrutamiento de solicitudes de aplicación. Para obtener más información, consulte Configurar servidores proxy inversos para Lync Server 2013.

    En el cuadro de diálogo Crear granja de servidores en Nombre de granja de servidores, escriba el nombre (puede ser un nombre descriptivo con fines de identificación) para la primera dirección URL. Haga clic en Siguiente.

  6. En el cuadro de diálogo Agregar servidor de Dirección del servidor, escriba el nombre de dominio completo (FQDN) de los servicios web externos en el servidor front-end. Los nombres que se usarán aquí, por ejemplo, son los mismos que se usan en la sección Planeamiento para el proxy inverso, Resumen de certificados: proxy inverso en Lync Server 2013. Haciendo referencia a la planificación inversa del proxy, escribimos el FQDN webext.contoso.com. Confirme que la casilla junto a En línea está seleccionada. Haga clic en Agregar para agregar el servidor al grupo de servidores web para esta configuración.

    Advertencia

    Lync Server usa equilibradores de carga de hardware para el grupo de servidores front-end y director para tráfico HTTP y HTTPS. Solo proporcionará un FQDN al agregar un servidor a la granja de servidores de SERVIDOR ARR de IIS. El FQDN será el servidor front-end o director en configuraciones de servidor no agrupadas, o el FQDN del equilibrador de carga de hardware configurado para grupos de servidores. El único método admitido para equilibrar la carga de tráfico HTTP y HTTPS es usar equilibradores de carga de hardware.

  7. En el cuadro de diálogo Agregar servidor , haga clic en Configuración avanzada.... Se abrirá un cuadro de diálogo para definir el enrutamiento de solicitudes de aplicación para las solicitudes al FQDN configurado. El propósito es redefinir qué puerto se utiliza cuando IIS ARR procesa la solicitud.

    De forma predeterminada, el puerto HTTP de destino debe definirse como 8080. Haga clic junto al httpPort 80 actual y establezca el valor en 8080. Haga clic junto al httpsPort 443 actual y establezca el valor en 4443. Deje el parámetro de peso en 100. Si es necesario, puede volver a definir los pesos de una regla determinada una vez que tenga estadísticas de línea base. Haga clic en Finalizar para completar esta parte de la configuración de la regla.

  8. Es posible que vea un cuadro de diálogo Reescribir reglas que le informa de que el Administrador de IIS puede crear una regla de reescritura de DIRECCIÓN URL para redirigir todas las solicitudes entrantes a la granja de servidores automáticamente. Haga clic en . Ajustará las reglas manualmente, pero al seleccionar Sí se establece la configuración inicial.

  9. Haga clic en el nombre de la granja de servidores que acaba de crear. En Granja de servidores en la Vista de características del Administrador de IIS, haga doble clic en Almacenamiento en caché. Anula la selección de Habilitar caché de disco. Haga clic en Aplicar en el lado derecho.

  10. Haga clic en el nombre de la granja de servidores. En Granja de servidores en la Vista de características del Administrador de IIS, haga doble clic en Proxy. En la página Configuración de proxy, cambie el valor de Tiempo de espera (segundos) a un valor adecuado para la implementación. Haga clic en Aplicar para guardar el cambio.

    Importante

    El valor Tiempo de espera del proxy es un número que variará de la implementación a la implementación. Debe supervisar la implementación y modificar el valor para obtener la mejor experiencia para los clientes. Es posible que pueda establecer el valor tan bajo como 200. Si está admitiendo clientes móviles de Lync en su entorno, debe establecer el valor en 960 para permitir el tiempo de espera de las notificaciones de inserción de Office 365 que tienen un valor de tiempo de espera de 900. Es muy probable que necesite aumentar el valor de tiempo de espera para evitar desconexiones del cliente cuando el valor es demasiado bajo o disminuir el número si las conexiones a través del proxy no se desconectan y borran mucho tiempo después de desconectar el cliente. Supervisar y alinear la base de lo que es normal para su entorno es el único medio preciso para determinar dónde se encuentra el ajuste adecuado para este valor.

  11. Haga clic en el nombre de la granja de servidores. En Granja de servidores en la Vista de características del Administrador de IIS, haga doble clic en Reglas de enrutamiento. En el cuadro de diálogo Reglas de enrutamiento, en Enrutamiento, desactiva la casilla junto a Habilitar la descarga de SSL. Si la posibilidad de desactivar la casilla no está disponible, seleccione la casilla usar reescritura de dirección URL para inspeccionar las solicitudes entrantes. Haga clic en Aplicar para guardar los cambios.

    Advertencia

    No se admite la descarga de SSL por el proxy inverso.

  12. Repita los pasos del 5 al 11 para cada dirección URL que debe pasar a través del proxy inverso. Una lista común sería la siguiente:

    • Servicios web front-end server externos: webext.contoso.com (ya configurados mediante el tutorial inicial)

    • Director servicios web externos para Director: webdirext.contoso.com (Opcional si se implementa un Director)

    • Url simple meet: meet.contoso.com

    • Marcación url simple: dialin.contoso.com

    • Dirección URL de detección automática de Lync: lyncdiscover.contoso.com

    • Dirección URL de Office Web Apps Server: officewebapps01.contoso.com

      Importante

      La dirección URL de Office Web Apps Server usará una dirección httpsPort diferente. En el paso 7, defina el httpsPort como 443 y el httpPort como puerto 80. Todas las demás opciones de configuración son las mismas.

  13. En el lado izquierdo de la consola, haga clic en el nombre del servidor IIS. En la mitad de la consola, busque Reescritura de DIRECCIÓN URL en IIS. Haga doble clic en Reescribir url para abrir la configuración de reglas de reescritura de URL. Debería ver las reglas de cada granja de servidores que creó en los pasos anteriores. Si no lo hace, confirme que ha hecho clic en el nombre del servidor IIS inmediatamente debajo del nodo de la página de inicio en la consola de Administrador del servidor de Internet Information.

  14. En el cuadro de diálogo Reescritura de dirección URL , con webext.contoso.com como ejemplo, el nombre completo de la regla tal como se muestra es ARR_webext.contoso.com_loadbalance_SSL.

    • Haga doble clic en la regla para abrir el cuadro de diálogo Editar regla de entrada .

    • Haga clic en Agregar... en el cuadro de diálogo Condiciones .

    • En la entrada Agregar condición en Condición: escriba {HTTP_HOST}. (Mientras escribe, aparece un cuadro de diálogo que le permitirá seleccionar la condición). en Comprobar si cadena de entrada: seleccione Coincide con el patrón. En el tipo *de entrada Patrón . Debe seleccionarse Omitir mayúsculas y minúsculas. Haga clic en Aceptar.

    • Desplácese hacia abajo en el cuadro de diálogo Editar regla de entrada para buscar el cuadro de diálogo Acción . Tipo de acción: debe establecerse en Redirigir al conjunto de servidores, Esquema: establecido en https://, Granja de servidores: establecida en la dirección URL a la que se aplica esta regla. En este ejemplo, debe establecerse en webext.contoso.com. Ruta: está establecida en /{R:0}

    • Haga clic en Aplicar para guardar los cambios. Haga clic en Volver a reglas para volver a las reglas de reescritura de dirección URL.

  15. Repita el procedimiento definido en el paso 14 para cada una de las reglas de reescritura de SSL que ha definido, una por dirección URL de granja de servidores.

    Advertencia

    De forma predeterminada, las reglas HTTP también se crean y se indican mediante los nombres similares a las reglas SSL. En nuestro ejemplo actual, la regla HTTP se denominaría ARR_webext.contoso.com_loadbalance. No se necesitan modificaciones en estas reglas y se pueden pasar por alto de forma segura.

Para modificar las propiedades de la regla de publicación web en TMG 2010

  1. Haga clic en Inicio, seleccione Programas, seleccione Microsoft Forefront TMG y, a continuación, haga clic en Administración de Forefront TMG.

  2. En el panel izquierdo, expanda ServerName y, a continuación, haga clic en Directiva de firewall.

  3. En el panel de detalles, haga clic con el botón secundario en la regla de publicación del servidor web que creó en el procedimiento anterior (por ejemplo, LyncServerExternalRule) y, a continuación, haga clic en Propiedades.

  4. En la página Propiedades , en la pestaña De , haga lo siguiente:

    • En la lista Esta regla se aplica al tráfico de estas fuentes , haga clic en Cualquier lugar y, a continuación, haga clic en Quitar.

    • Haga clic en Agregar.

    • En Agregar entidades de red, expanda Redes, haga clic en Externo, haga clic en Agregar y, a continuación, haga clic en Cerrar.

  5. En la pestaña Para , asegúrese de que la casilla Reenviar el encabezado del host original en lugar del actual está activada.

  6. En la pestaña Bridging , seleccione la casilla de verificación Redirect request to SSL port y especifique el puerto 4443.

  7. En la pestaña Nombre público , agregue las direcciones URL sencillas (por ejemplo, meet.contoso.com y dialin.contoso.com).

  8. Haga clic en Aplicar para guardar los cambios y, a continuación, haga clic en Aceptar.

  9. Haga clic en Aplicar en el panel de detalles para guardar los cambios y actualizar la configuración.

Para modificar las propiedades de la regla de publicación web en IIS ARR

  1. Haga clic en Inicio, seleccione Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

  2. En el lado izquierdo de la consola, haga clic en el nombre del servidor IIS.

  3. En la mitad de la consola, busque Reescritura de DIRECCIÓN URL en IIS. Haga doble clic en Reescribir url para abrir la configuración de reglas de reescritura de URL.

  4. Haga doble clic en la regla que necesita modificar. Realice sus modificaciones, según sea necesario, en Coincidir URL, Condiciones, Variables de servidor o Acción.

  5. Haga clic en Aplicar para confirmar los cambios. Haga clic en Volver a reglas para modificar otras reglas o cierre la consola de IIS Manager si ha terminado con los cambios.