Exportar (0) Imprimir
Expandir todo
Expandir Minimizar

Configuración de Exchange 2003 para el acceso de los clientes

 

Última modificación del tema: 2010-11-19

Este tema incluye información acerca de cómo configurar Microsoft® Exchange Server 2003 para el acceso de los clientes. En concreto, este tema trata:

  • La protección del entorno de mensajería de Exchange.
  • La implementación de la arquitectura de servidores.
  • La configuración de los servidores de Exchange para los métodos de acceso de los clientes compatibles.

La tabla 1 muestra las funciones o permisos necesarios para los procedimientos a los que se hace referencia en este tema.

Tabla 1   Procedimientos a los que se hace referencia en este tema y permisos correspondientes

Procedimiento Funciones o permisos necesarios

Configurar Secure Sockets Layer (SSL) en un servidor

  • Administrador local

Obtener un certificado de servidor de una entidad emisora de certificados

  • Administrador local

Agregar un administrador de certificados a Microsoft Management Console (MMC)

  • Administrador local

Hacer una copia de seguridad del certificado de servidor

  • Administrador local

Requerir SSL

  • Administrador local

Designar un servidor de aplicaciones para el usuario

  • Administrador local

Configurar el servidor de aplicaciones para el usuario de forma que utilice Llamada a procedimiento remoto (RPC) a través de HTTP

  • Administrador local

Configurar el directorio virtual de RPC

  • Administrador local
  • Administrador de dominio

Configurar el servidor proxy RPC para que utilice los puertos predeterminados especificados para RPC a través HTTP en la red corporativa

  • Administrador local
  • Administrador de dominio

Configurar los servidores de catálogo global para que utilicen los puertos predeterminados especificados para RPC a través HTTP en la red perimetral

  • Administrador local
  • Administrador de dominio

Crear un perfil de Microsoft Office Outlook® para que se utilice con RPC a través de HTTP

  • No son necesarios permisos específicos

Configurar Exchange 2003 para que utilice Microsoft Exchange ActiveSync®

  • Administrador local

Configurar los dispositivos Pocket PC Phone Edition para utilizar Exchange ActiveSync

  • No son necesarios permisos específicos

Comprobar que ACE/Agent se ha configurado para proteger el servidor Web por completo

  • Administrador local

Limitar la autenticación SecurID al directorio virtual Microsoft-Exchange-ActiveSync

  • Administrador local

Configurar las respuestas de HTTP personalizadas para los dispositivos

  • Administrador local

Habilitar Microsoft Outlook Mobile Access

  • Administrador local

Configurar los dispositivos Pocket PC Phone Edition que van a utilizar Outlook Mobile Access

  • No son necesarios permisos específicos

Habilitar la autenticación basada en formularios

  • Administrador local
  • Administrador de Exchange

Habilitar la compresión de datos

  • Administrador local
  • Administrador de Exchange

Iniciar, poner en pausa o detener el servidor virtual

  • Administrador local
  • Administrador de Exchange

La protección del entorno de mensajería de Exchange engloba las actividades de implementación siguientes:

  1. Actualizar el software del servidor.
  2. Proteger el entorno de mensajería.
  3. Proteger las comunicaciones.

Para proteger el sistema de mensajería, realice estos pasos en el orden en que aparecen.

Después de instalar Exchange Server 2003, debe actualizar el software de los servidores de Exchange y de cualquier otro servidor con el que Exchange establezca comunicación, como servidores de catálogo global o controladores de dominio. Para obtener más información acerca de cómo actualizar el software con las revisiones de seguridad más recientes, visite el sitio Web del Centro de seguridad de Exchange Server (http://go.microsoft.com/fwlink/?LinkId=18412).

Para ver más información acerca de la seguridad de Microsoft, visite el sitio Web de seguridad de Microsoft (http://go.microsoft.com/fwlink/?linkid=21633).

La mejor alternativa respecto a la ubicación de los servidores de aplicaciones para el usuario de Exchange 2003 en la red perimetral consiste en implementar Microsoft Internet Security and Acceleration (ISA) Server 2000. ISA Server actúa como un servidor de seguridad avanzado que controla el tráfico de Internet que entra en la red. Cuando utilice esta configuración, ubique todos los servidores de Exchange 2003 dentro de la red corporativa, y utilice ISA Server como el servidor de seguridad avanzado expuesto al tráfico de Internet en la red perimetral.

ISA Server procesa todo el tráfico de entrada de Internet enlazado con los servidores de Exchange (como Microsoft Office Outlook Web Access, la comunicación de RPC a través de HTTP desde clientes de Outlook 2003, Outlook Mobile Access, Protocolo de oficina de correos versión 3 (POP3), Protocolo de acceso a mensajes de Internet versión 4.1 (IMAP4), etc.). Cuando ISA Server recibe una solicitud para un servidor de Exchange, ISA Server envía las solicitudes a través del proxy a los servidores de Exchange oportunos de la red interna. Los servidores internos de Exchange devuelven los datos solicitados a ISA Server y, a continuación, ISA Server envía la información al cliente a través de Internet. En la figura 1 se muestra un ejemplo de una implementación de ISA Server recomendada.

ISA Server en la red perimetral

Para proteger la comunicación en el entorno de mensajería de Exchange, debe realizar las tareas siguientes:

  • Proteger las comunicaciones entre las aplicaciones de mensajería del cliente y el servidor de aplicaciones para el usuario de Exchange.
  • Proteger las comunicaciones entre el servidor de aplicaciones para el usuario de Exchange y la red interna.

En las secciones siguientes se incluye información acerca de la protección de las comunicaciones en estas dos situaciones.

Para proteger los datos que se transmiten entre el cliente y el servidor de aplicaciones para el usuario, se recomienda encarecidamente que habilite el servidor de aplicaciones para el usuario de forma que utilice Secure Sockets Layer (SSL). Asimismo, para garantizar que los datos del usuario siempre están protegidos, debe deshabilitar el acceso al servidor de aplicaciones para el usuario sin SSL (esta opción puede definirse en la configuración de SSL). Cuando se utiliza la autenticación básica, resulta crucial proteger el tráfico de la red utilizando SSL para proteger las contraseñas del usuario de la falsificación de paquetes de la red.

noteNOTA:
Si no utiliza SSL entre los clientes y el servidor de aplicaciones para el usuario, la transmisión de datos HTTP al servidor de aplicaciones para el usuario no será segura. Se recomienda encarecidamente que configure el servidor de aplicaciones para el usuario de manera que requiera SSL.

También resulta recomendable conseguir un certificado SSL mediante la compra de un certificado de otra entidad emisora de certificados (CA). La compra de un certificado de una entidad emisora de certificados es el método más aconsejable, ya que la mayoría de los exploradores confían en muchas de estas entidades emisoras de certificados.

Por otro lado, puede utilizar los servicios de Certificate Server para instalar sus propias entidades emisoras de certificados. Aunque la instalación de una entidad emisora de certificados propia puede resultar menos costosa, los exploradores no confiarán en el certificado, y los usuarios recibirán un mensaje de advertencia que indicará que el certificado no es de confianza. Para obtener más información acerca de SSL, consulte en Microsoft Knowledge Base el artículo 320291, “XCCC: Activar SSL para Exchange 2000 Server Outlook Web Access" (http://go.microsoft.com/fwlink/?linkid=3052&kbid=320291).

Para proteger el correo entrante y saliente, implemente SSL para que cifre el tráfico de mensajería. Puede configurar las características de seguridad de SSL en un servidor de Exchange para comprobar la integridad del contenido, para comprobar la identidad de los usuarios y para cifrar las transmisiones por la red. Exchange, al igual que cualquier servidor Web, requiere un certificado de servidor válido para establecer la comunicación SSL. Puede utilizar el Asistente para certificados de servidor Web para crear un archivo de solicitud de certificado (NewKeyRq.txt, de forma predeterminada) que pueda enviar a una entidad emisora de certificados o para generar una solicitud destinada a una autoridad emisora de certificados en línea, como Servicios de Certificate Server.

Si no utiliza Servicios de Certificate Server para emitir sus propios certificados de servidor, una tercera entidad emisora de certificados debe aprobar la solicitud y emitir el certificado de servidor. Para obtener más información acerca de los certificados de servidor, consulte "Obtención e instalación de certificados de servidor", más adelante en este tema. En función del nivel de seguridad de la identificación ofrecido por el certificado de servidor, es posible que deba esperar algunos días o algunos meses hasta que la entidad emisora de certificados apruebe la solicitud y le envíe el archivo de certificado. Sólo puede tener un certificado de servidor en cada sitio Web.

Después de recibir el archivo de certificado de servidor, utilice el Asistente para certificados de servidor Web para instalarlo. El proceso de instalación anexa (o enlaza) el certificado a un sitio Web.

Para ver pasos detallados, consulte Cómo configurar SSL en un servidor.

importantImportante:
Debe ser miembro del grupo de administradores del equipo local para poder realizar el procedimiento anterior, o debe delegar en la entidad oportuna. Como práctica de seguridad recomendada, inicie sesión en el equipo utilizando una cuenta que no pertenezca al grupo de administradores y, a continuación, utilice el comando Ejecutar como para ejecutar Administrador de IIS como administrador. En el símbolo del sistema, escriba el comando siguiente: runas /user:administrative_accountname "mmc%systemroot%\system32\inetsrv\iis.msc"

Si necesita un cifrado de claves de 128 bits, los usuarios deben utilizar exploradores Web que admitan este cifrado. Para obtener información acerca de cómo actualizar a la capacidad de cifrado de 128 bits, consulte el sitio Web de los servicios de soporte técnico de Microsoft (http://go.microsoft.com/fwlink/?linkid=14898).

Puede obtener certificados de servidor de una entidad emisora de certificados (CA) externa o puede emitir sus propios certificados de servidor a través de Servicios de Certificate Server. Después de conseguir un certificado de servidor, puede instalarlo. El proceso de utilizar el Asistente para certificados de servidor Web para obtener e instalar un certificado de servidor se conoce como creación y asignación de un certificado de servidor.

Para conocer los pasos detallados, consulte Cómo obtener un certificado de servidor de una entidad emisora de certificados.

En esta sección se explican los aspectos que deben tenerse en cuenta al decidir si va a obtener los certificados de servidor de una entidad emisora de certificados externa o si va a emitir sus propios certificados de servidor. Esta sección incluye la información siguiente:

  • Obtener certificados de servidor de una entidad emisora de certificados
  • Emitir certificados de servidor propios
  • Instalar certificados de servidor
  • Hacer copias de seguridad de los certificados de servidor

Obtención de certificados de servidor de una entidad emisora de certificados

Si se va a reemplazar el certificado de servidor actual, IIS continuará utilizando este certificado hasta que la nueva solicitud se haya completado. Cuando seleccione una entidad emisora de certificados, tenga en cuenta las cuestiones siguientes:

  • ¿La entidad emisora de certificados podrá emitir un certificado que sea compatible con todos los exploradores que se utilizan para obtener acceso a mi servidor?
  • ¿La entidad emisora de certificados es una organización reconocida y de confianza?
  • ¿Cómo comprueba mi identidad la entidad emisora de certificados?
  • ¿La entidad emisora de certificados cuenta con un sistema para recibir las solicitudes de certificado en línea, como las solicitudes generadas por el Asistente para certificados de servidor Web?
  • ¿Cuánto costará inicialmente el certificado y cuánto costará la renovación y otros servicios?
  • ¿La entidad emisora de certificados está familiarizada con los intereses empresariales de mi compañía o mi organización?
noteNOTA:
Algunas entidades emisoras de certificados requieren la aprobación de su identidad antes de procesar la solicitud o de emitir un certificado.

Emisión de certificados de servidor propios

Al decidir si va a emitir sus propios certificados de servidor, tenga en cuenta lo siguiente:

  • Debe saber que Servicios de Certificate Server cuenta con diferentes formatos de certificado y ofrece actividades de auditoría y registro relacionadas con los certificados.
  • Compare el costo de emisión de sus propios certificados frente al costo de comprar un certificado de una entidad emisora.
  • Recuerde que la organización requerirá un período de ajuste inicial para conocer, implementar e integrar Servicios de Certificate Server con las directivas y los sistemas de seguridad existentes.
  • Evalúe si los clientes que se conectan están en disposición de confiar en su organización como proveedor de certificados.

Utilice Servicios de Certificate Server para crear un servicio de emisión y administración de certificados personalizable. Puede crear certificados de servidor para Internet o para intranets corporativas, y proporcionar a la organización todo el control sobre las directivas de administración de certificados. Para obtener más información, consulte Servicios de Certificate Server en la Ayuda de Windows Server™ 2003.

Las solicitudes en línea de los certificados de servidor sólo pueden realizarse en Servicios de Certificate Server empresarial remoto y local y en Servicios de Certificate Server independiente remoto. El Asistente para certificados de servidor Web no reconoce una instalación independiente de Servicios de Certificate Server en el mismo equipo cuando se solicita un certificado. Si necesita utilizar el Asistente para certificados de servidor Web en el mismo equipo como una instalación de Servicios de Certificate Server independiente, utilice la solicitud de certificado sin conexión para guardar la solicitud en un archivo y procesarla a continuación como solicitud sin conexión. Para obtener más información, consulte Servicios de Certificate Server en la Ayuda de Windows Server 2003.

noteNOTA:
Si abre un certificado de criptografía activada por servidor (SGC), es posible que aparezca el aviso siguiente en la ficha General: The certificate has failed to verify for all of its intended purposes. Este aviso aparece por el modo en que los certificados de SGC interactúan con Microsoft Windows® y no indica necesariamente que el certificado no esté funcionando correctamente.

Instalación de certificados de servidor

Después de obtener un certificado de servidor de la entidad emisora de certificados o de emitir un certificado de servidor propio a través de Servicios de Certificate Server, utilice el Asistente para certificados de servidor Web para instalarlo.

Copia de seguridad de certificados de servidor

Puede utilizar el Asistente para certificados de servidor Web para hacer copias de seguridad de los certificados de servidor. Dado que IIS opera en estrecha relación con Windows, puede utilizar el administrador de certificados, que se denomina Certificados en Microsoft Management Console (MMC), para exportar y hacer copias de seguridad de los certificados de servidor.

Para ver pasos detallados acerca de cómo agregar el administrador de certificados a una MMC vacía, consulte Cómo agregar un administrador de certificados a Microsoft Management Console.

Después de instalar el administrador de certificados, podrá hacer copias de seguridad del certificado. Para obtener información sobre los pasos detallados, consulte Cómo hacer una copia de seguridad del certificado de servidor.

Después de configurar la red para que emita certificados de servidor, necesitará proteger el servidor de aplicaciones para el usuario de Exchange y los servicios del servidor de Exchange al exigir la comunicación SSL en el servidor de aplicaciones para el usuario de Exchange. En la sección siguiente se describe cómo habilitar SSL en el sitio Web predeterminado.

Después de obtener un certificado SSL para utilizarlo con el servidor de aplicaciones para usuario de Exchange en el sitio Web predeterminado o en el sitio donde están ubicados los directorios virtuales \RPC, \OMA, \Microsoft-Server-ActiveSync, \Exchange, \Exchweb y \Public, puede habilitar el sitio Web predeterminado para que requiera SSL.

Para consultar los pasos detallados, consulte Cómo configurar directorios virtuales para utilizar SSL.

noteNOTA:
Los directorios virtuales \Exchange, \Exchweb, \Public, \OMA y \Microsoft-Server-ActiveSync se instalan de forma predeterminada en cualquier implementación de Exchange 2003. El directorio virtual \RPC para la comunicación de RPC a través de HTTP se instala de forma manual al configurar Exchange para que sea compatible con RPC a través de HTTP. Para obtener información acerca de cómo configurar Exchange para que utilice RPC a través de HTTP, consulte "Escenarios de implementación de RPC a través de HTTP en Exchange Server 2003 (en inglés)" (http://go.microsoft.com/fwlink/?LinkId=47577).

Tras completar este procedimiento, todos los directorios virtuales del servidor de aplicaciones para usuario de Exchange del sitio Web predeterminado estarán configurados para utilizar SSL.

Después de proteger la comunicación entre los equipos cliente y los servidores de aplicaciones para el usuario de Exchange, debe proteger la comunicación entre el servidor de aplicaciones para el usuario de Exchange y los servidores de servicios de fondo de la organización. Las comunicaciones HTTP, POP e IMAP entre el servidor de aplicaciones para el usuario y cualquier otro servidor con el que éste se comunica (como servidores de servicios de fondo, controladores de dominio y servidores de catálogo global) no están cifradas. Cuando el servidor de aplicaciones para el usuario y el servidor de servicios de fondo se encuentran en una red conmutada o física de confianza, esta falta de cifrado no constituye un problema. Sin embargo, si el servidor de aplicaciones para el usuario y el servidor de servicios de fondo se encuentran en subredes diferentes, el tráfico de la red puede pasar por alto áreas no seguras de la red. El riesgo en la seguridad aumenta cuando hay una distancia física mayor entre el servidor de aplicaciones para el usuario y el servidor de servicios de fondo. En este caso, se recomienda cifrar el tráfico para proteger las contraseñas y los datos.

Windows 2000 admite Seguridad del protocolo Internet (IPSec), que es un estándar de Internet que permite a un servidor cifrar todo el tráfico IP excepto el tráfico que utiliza direcciones IP de difusión o multidifusión. Normalmente, IPSec se utiliza para cifrar al tráfico HTTP; sin embargo, también se puede utilizar para cifrar el tráfico de Protocolo ligero de acceso a directorios (LDAP), RPC, POP e IMAP. Con IPSec puede:

  • Configurar dos servidores que ejecuten Windows 2000 para requerir un acceso a la red confiable.
  • Transferir datos protegidos frente a posibles modificaciones (utilizando una suma de comprobación de cifrado en cada paquete).
  • Cifrar cualquier tráfico entre dos servidores en el nivel IP.

En una topología de servidores de aplicaciones para el usuario y servicios de fondo, puede utilizar IPSec para cifrar el tráfico entre estos servidores que, de otra forma, no estaría cifrado. Para obtener más información acerca de la configuración de IPSec con firewalls, consulte el artículo 233256 de Microsoft Knowledge Base "Cómo habilitar el tráfico de IPSec en un servidor de seguridad" (http://go.microsoft.com/fwlink/?linkid=3052&kbid=233256).

Después de proteger el entorno de mensajería de Exchange, puede implementar la arquitectura de servidores de aplicaciones para el usuario y servicios de fondo de Exchange. Para obtener más información acerca de la arquitectura de los servidores de aplicaciones para usuario y de servicios de fondo de Exchange, consulte "Protocolos" en la guía Diseño de un sistema de mensajería de Exchange Server 2003 (http://go.microsoft.com/fwlink/?linkid=47584).

Para configurar la arquitectura de servidores de aplicaciones para el usuario y servicios de fondo de Exchange, debe configurar un servidor de Exchange como servidor de aplicaciones para el usuario. Antes de continuar con el proceso de instalación, es importante que revise las opciones de implementación. La sección siguiente puede servirle de ayuda para decidir si desea implementar Exchange 2003 en una configuración de servidores de aplicaciones para el usuario y servicios de fondo.

Se recomienda establecer una configuración de servidores de aplicaciones para el usuario y servicios de fondo en organizaciones de varios servidores que utilicen Outlook Web Access, POP o IMAP y en las organizaciones que deseen ofrecer acceso HTTP, POP o IMAP a sus empleados.

Un servidor de aplicaciones para el usuario es un servidor de Exchange normal hasta que se configura como servidor de aplicaciones para el usuario. Un servidor de aplicaciones para el usuario no debe alojar usuarios ni carpetas públicas, y debe ser miembro de la misma organización de Exchange 2003 que los servidores de servicios de fondo (por tanto, miembro del mismo bosque de Windows 2000 Server o Windows Server 2003). Los servidores que ejecutan Exchange Server 2003 Enterprise Edition o Exchange Server 2003 Standard Edition se pueden configurar como servidores de aplicaciones para el usuario.

Para ver pasos detallados, consulte "Cómo designar un servidor de aplicaciones para el usuario" en Guía de topología de servidores de aplicaciones para el usuario y servicios de fondo para Exchange Server 2003 y Exchange 2000 Server (http://go.microsoft.com/fwlink/?LinkId=47567).

Para comenzar a utilizar el servidor como un servidor de aplicaciones para el usuario, reinicie el servidor. Para obtener más información acerca de ejemplos, configuraciones y la instalación de servidores de aplicaciones para usuario y servidores de servicios de fondo, consulte las guías siguientes:

Configurar Exchange para el acceso de los clientes implica configurar Exchange para supervisar los protocolos y los clientes que desea admitir. En la siguiente sección se describe cómo habilitar los protocolos de los clientes admitidos por Exchange en el servidor de Exchange. Esta sección incluye la información siguiente:

  • Configurar la compatibilidad con dispositivos móviles
  • Configuración de Outlook Web Access
  • Habilitación de servidores virtuales POP3 e IMAP4

Para obtener información acerca de cómo configurar RPC a través de HTTP en Outlook 2003, consulte Exchange Server 2003 RPC over HTTP Deployment Scenarios (http://go.microsoft.com/fwlink/?LinkId=47577) (en inglés).

La configuración de la compatibilidad con dispositivos móviles en Exchange 2003 engloba las siguientes actividades:

  • Configurar la sincronización.
  • Configurar Exchange ActiveSync para que utilice RSA SecurID.
  • Habilitar Outlook Mobile Access.

Al instalar Exchange, de manera predeterminada, todos los usuarios de la organización pueden realizar sincronizaciones en Exchange. También es posible utilizar el complemento Usuarios y equipos de Active Directory para habilitar el acceso individualizado a las operaciones de sincronización.

Exchange ActiveSync se puede habilitar y deshabilitar a nivel del usuario y a nivel de la organización de Exchange.

Para información detallada sobre cómo habilitar y deshabilitar las funciones de ActiveSync en el nivel de la organización, consulte Cómo habilitar y deshabilitar características de Exchange ActiveSync en el nivel de organización.

Para información sobre cómo habilitar y deshabilitar Exchange ActiveSync para usuarios individuales de grupos de usuarios, consulte Cómo habilitar y deshabilitar características de Exchange ActiveSync en el nivel de usuario.

Una vez haya habilitado Exchange ActiveSync, puede configurar un dispositivo móvil como un dispositivo Pocket PC Phone Edition para que utilice Exchange ActiveSync. Realice este proceso en todos los dispositivos móviles de la organización. También puede enseñar a los usuarios a configurar sus propios dispositivos.

Para conocer los pasos detallados, consulte Cómo configurar un dispositivo móvil para utilizar Exchange ActiveSync

Notificaciones actualizadas

Los dispositivos de Microsoft Windows Mobile™ 2003 pueden recibir notificaciones generadas por Exchange 2003 que inicien la sincronización de Exchange ActiveSync entre el dispositivo de un usuario y su buzón de Exchange. Esta sincronización permite que los dispositivos móviles de los usuarios estén actualizados con la información de Exchange más reciente. Para conocer los pasos detallados, consulte Cómo especificar un operador móvil para notificaciones de actualización en un dispositivo.

Como nivel adicional de seguridad, puede utilizar los dispositivos de Microsoft Windows Mobile que tienen Exchange ActiveSync con la autenticación de dos factores de RSA SecurID.

noteNOTA:
No se requiere ninguna configuración adicional del dispositivo para que sea compatible con RSA SecurID. El dispositivo presenta la autenticación apropiada automáticamente cuando se sincroniza con un servidor de Exchange ActiveSync protegido por RSA SecurID.

La utilización de RSA SecurID con Exchange ActiveSync engloba las siguientes operaciones.

  1. Configurar los componentes del servidor de RSA SecurID.
  2. Configurar Internet Information Services (IIS) para que utilice RSA SecurID.
  3. Configurar las cuentas de usuario.
  4. Configurar ISA Server 2000.

Para configurar los componentes del servidor de RSA SecurID, debe:

  • Configurar RSA ACE/Server   RSA ACE/Server es el servidor RSA que almacena y administra las credenciales y los vales de autenticación de los usuarios. Para configurar RSA ACE/Server, siga los procedimientos descritos en la documentación de RSA SecurID suministrada por RSA Security Inc.
  • Configurar RSA ACE/Agent en el servidor de aplicaciones para el usuario   RSA ACE/Agent es el filtro de Interfaz de programación de aplicaciones de servidores de Internet (ISAPI) que realiza la autenticación y establece comunicación con ACE/Server para obtener las credenciales SecurID. Para configurar RSA ACE/Agent, realice las operaciones que se detallan en la documentación de RSA.

La configuración de IIS para RSA y Exchange ActiveSync engloba los procedimientos siguientes.

  1. Proteger los directorios virtuales de Exchange ActiveSync.
  2. Personalizar los encabezados de respuestas HTTP.
  3. Instalar pantallas de SecurID (opcional). Para obtener información acerca de la instalación de estas pantallas, consulte la documentación de RSA SecurID.

Realice estas operaciones para configurar correctamente IIS para SecurID y Exchange ActiveSync.

Protección de los directorios virtuales de Exchange ActiveSync

El primer paso para configurar IIS consiste en proteger los directorios virtuales a los que tienen acceso los usuarios cuando utilizan Exchange ActiveSync. Exchange Server 2003 utiliza el directorio virtual \Microsoft-Server-ActiveSync.

Puede proteger este directorio virtual de uno de los modos siguientes:

  • Proteger todo el servidor Web (recomendado)   En esta opción, se protegen todas las raíces virtuales del servidor IIS con RSA ACE/Agent, incluidos otros servicios implementados por el servidor de aplicaciones para el usuario. Por ejemplo, puede tener el servidor de aplicaciones para el usuario de Exchange configurado como un punto de acceso para Outlook Mobile Access o para Outlook Web Access. De manera predeterminada, ACE/Agent se ha configurado para que proteja todo el servidor Web. Para ver pasos detallados acerca de cómo comprobarlo, consulte Cómo comprobar que ACE/Agent se ha configurado para que proteja todo el servidor Web.
  • Proteger sólo los directorios virtuales de Exchange ActiveSync   En esta opción, se configura RSA ACE/Agent para que SecurID sólo proteja Exchange ActiveSync. Utilice esta opción si tiene previsto habilitar servicios adicionales, como Outlook Web Access y Outlook Mobile Access, en el mismo servidor sin proteger estos servicios con SecurID. Para conocer los pasos detallados, consulte Cómo limitar la autenticación SecurID al directorio virtual de ActiveSync de Microsoft Exchange.

Personalización del encabezado de respuesta HTTP de los dispositivos

El cliente ActiveSync del dispositivo Microsoft Windows Mobile debe ser capaz de distinguir la autenticación RSA SecurID de las respuestas de Exchange ActiveSync. Para habilitar esta función, debe configurar los encabezados de respuestas HTTP personalizadas en la raíz virtual WebID que contiene los formularios HTML configurados por RSA ACE/Agent.

Para conocer los pasos detallados, consulte Cómo configurar las respuestas de HTTP personalizadas para los dispositivos.

Las cuentas de usuario de SecurID debe configurarlas el administrador, tal y como se recomienda en la documentación del producto RSA SecurID, con la siguiente restricción:

  • Para todos los usuarios, los identificadores de usuario de SecurID deben estar seleccionados para que se ajusten al nombre de la cuenta de Windows. Exchange ActiveSync con SecurID no funciona si los usuarios tienen un identificador de usuario de RSA distinto que no coincide con el nombre de la cuenta de Windows.

Las tecnologías de ISA Server 2000 Feature Pack 1 y RSA SecurID se han integrado en ISA Server. Actualmente, no se puede utilizar RSA SecurID junto con ISA Server 2000 Feature Pack 1. Sin embargo, puede implementar RSA SecurID con ISA Server 2000 Feature Pack 1, aunque debe configurar ISA Server para que admita la autenticación de paso a través. En este escenario, la autenticación RSA sigue efectuándose en el servidor de aplicaciones para el usuario y no en ISA Server. Para obtener información acerca de cómo habilitar la autenticación de paso a través, consulte la documentación de ISA Server 2000.

De forma predeterminada, todos los usuarios pueden utilizar Exchange ActiveSync y Outlook Mobile Access. Sin embargo, en el servidor de Exchange sólo está habilitado Exchange ActiveSync; de forma predeterminada, Outlook Mobile Access está deshabilitado. En esta sección se describe cómo habilitar Outlook Mobile Access en el servidor de Exchange.

Siga las instrucciones siguientes para permitir que los usuarios de Exchange 2003 utilicen Outlook Mobile Access.

  1. Configure el servidor de aplicaciones para el usuario de Exchange 2003 para Outlook Mobile Access.
  2. Habilite Outlook Mobile Access en el servidor de Exchange.
  3. Configure los dispositivos de usuario para que utilicen una conexión móvil.
  4. Explique a los usuarios cómo utilizar Outlook Mobile Access.

De forma predeterminada, el directorio virtual de Outlook Mobile Access (que permite a los usuarios obtener acceso a Exchange desde un dispositivo móvil) se instala con Exchange 2003. Este directorio virtual tiene las mismas características y parámetros de configuración que el directorio virtual de Outlook Web Access. Cuando configura un servidor para que utilice Outlook Mobile Access, debe configurar el servidor del mismo modo que un servidor de Outlook Web Access. Para obtener más información acerca de cómo configurar los servidores de Exchange 2003 para que utilicen Outlook Web Access, consulte la guía Utilización de servidores de aplicaciones para usuario de Microsoft Exchange 2000 (en inglés) (http://go.microsoft.com/fwlink/?linkid=14575).

Después de configurar el servidor de aplicaciones para el usuario que va a utilizar Outlook Mobile Access, debe habilitar Outlook Mobile Access en el servidor de Exchange. Outlook Mobile Access se puede habilitar a nivel de organización y a nivel de usuarios individuales.

Para información detallada sobre cómo habilitar Outlook Mobile Access en el nivel de la organización, consulte Cómo habilitar o deshabilitar Outlook Mobile Access en el nivel de organización.

Después de habilitar Outlook Mobile Access, puede modificar la configuración de Outlook Mobile Access para usuarios o grupos de usuarios utilizando el complemento Usuarios y equipos de Active Directory. Para ver pasos detallados acerca de cómo habilitar Outlook Mobile Access en el nivel de usuario, consulte Cómo habilitar o deshabilitar Outlook Mobile Access en el nivel de usuario.

Para que los usuarios puedan tener acceso a Exchange 2003 mediante Outlook Mobile Access, es necesario que dispongan de un dispositivo móvil que cuente con una red de datos establecida para datos móviles. Antes de que los usuarios se conecten a Exchange 2003 y utilicen Outlook Mobile Access o Exchange ActiveSync en una conexión móvil, deberá informarles sobre la configuración de los dispositivos destinados a redes móviles o, al menos, proporcionarles los recursos donde se expliquen estos temas. Para información sobre los pasos detallados de configuración de un dispositivo móvil para usar Exchange ActiveSync, consulte Cómo configurar un dispositivo móvil para utilizar Exchange ActiveSync.

Una vez configurado Exchange 2003 para Outlook Mobile Access, y después de que los usuarios dispongan de dispositivos móviles que se puedan conectar a una red móvil para tener acceso a los servidores Exchange 2003, éstos deberán saber cómo pueden obtener acceso al servidor de Exchange y cómo pueden utilizar Outlook Mobile Access. Para ver pasos detallados acerca de cómo configurar un dispositivo móvil basado en Pocket PC para que utilice Outlook Mobile Access, consulte Cómo acceder a los datos de Exchange mediante Outlook Mobile Access.

De forma predeterminada, Outlook Web Access está habilitado para todos los usuarios tras la instalación de Exchange 2003. Sin embargo, puede habilitar las características siguientes para Outlook Web Access:

  • Autenticación basada en formularios
  • Compresión de Outlook Web Access

Es posible habilitar una página de inicio de sesión nueva para Outlook Web Access que almacene el nombre y la contraseña del usuario en una cookie, en lugar de hacerlo en el explorador. Cuando un usuario cierre su explorador, la cookie se borrará. Además, tras un período de inactividad, la cookie se borrará automáticamente. La nueva página de inicio de sesión requiere que los usuarios introduzcan su dominio, su nombre de usuario (en el formato dominio\nombre de usuario) y su contraseña o bien su dirección de correo de nombre principal de usuario (UPN) completa y su contraseña para tener acceso al correo electrónico.

Para habilitar la página de inicio de sesión de Outlook Web Access, es necesario habilitar la autenticación basada en formularios en el servidor. Para obtener información sobre los pasos detallados, consulte Cómo habilitar la autenticación basada en formularios.

Outlook Web Access admite la compresión de datos, que resulta ideal para conexiones de red lentas. En función de la configuración de compresión utilizada, Outlook Web Access comprime las páginas Web dinámicas y/o estáticas. Para conocer los pasos detallados, consulte Cómo habilitar la compresión de datos de Outlook Web Access.

En la tabla 4 se muestran las opciones de compresión disponibles en Exchange Server 2003 para Outlook Web Access:

Tabla 4   Opciones de compresión disponibles para Outlook Web Access

Configuración de compresión Descripción

Alta

Comprime las páginas estáticas y dinámicas.

Baja

Comprime sólo las páginas estáticas.

Ninguno

No se utiliza ningún tipo de compresión.

Cuando utilice la compresión de datos, los usuarios podrán apreciar un aumento en el rendimiento de hasta un 50 por ciento en conexiones de red lentas como, por ejemplo, las conexiones de acceso telefónico tradicionales.

Para utilizar la compresión de datos en Outlook Web Access incluida en Exchange Server 2003, es necesario comprobar que se cumplen los requisitos siguientes:

  • Windows Server 2003 debe ejecutarse en el servidor de Exchange utilizado por los usuarios para autenticarse en Outlook Web Access.
  • Los buzones de los usuarios deben estar ubicados en servidores de Exchange 2003. (Si dispone de una implementación mixta de buzones de Exchange, puede crear un servidor virtual diferente en el servidor de Exchange sólo para los usuarios de Exchange 2003 y habilitar la compresión en él.)
  • Los equipos cliente deben ejecutar Internet Explorer versión 6 o posterior. Los equipos también deben ejecutar Windows XP o Windows 2000 y deben tener instalada la actualización de seguridad que se detalla en el Boletín de seguridad de Microsoft MS02-066, "Revisión acumulativa para Internet Explorer (Q328970)" (http://go.microsoft.com/fwlink/?LinkId=16694).
    noteNOTA:
    Si el explorador del usuario no admite la función de compresión, el cliente continuará funcionando con normalidad.
  • Es posible que necesite habilitar la compatibilidad con HTTP 1.1 a través de servidores proxy para algunas conexiones de acceso telefónico (la compatibilidad con HTTP 1.1 es necesaria para que la compresión funcione correctamente).

De forma predeterminada, los servidores virtuales POP3 e IMAP4 están deshabilitados al instalar por primera vez Exchange Server 2003. Para habilitar los servidores virtuales POP3 e IMAP4, debe utilizar primero el complemento Servicios para MMC y establecer que los servicios se inicien automáticamente. Si define los servicios para que se inicien automáticamente y a continuación decide iniciar, poner en pausa o detener los servicios, utilice el Administrador del sistema de Exchange. Para conocer los pasos detallados, consulte Cómo iniciar, detener o pausar un servidor virtual.

noteNOTA:
Para obtener información acerca de cómo habilitar IMAP4 y POP3 y cómo agregar esos recursos a un clúster de Exchange, consulte "Administrar clústeres de Exchange" en la Guía de administración de Exchange Server 2003 (http://go.microsoft.com/fwlink/?LinkId=47617).
 
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft