Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Publicação segura de aplicativos

Publicado em: 5 de setembro de 2006

Microsoft® Internet Security and Acceleration (ISA) Server 2006 é o portão de segurança que ajuda a proteger seus aplicativos de missão crítica das ameaças baseadas na Internet. O ISA Server habilita seus negócios a produzirem mais, com acesso seguro aos dados e aplicativos da Microsoft. Dê segurança à sua infra-estrutura de aplicativos da Microsoft protegendo seus dados, serviços e aplicativos corporativos por todas as camadas da rede, com inspeção de pacote de monitoração, filtro de camada de aplicativo e ferramentas abrangentes de publicação. Simplifique sua rede com experiências simplificadas para o administrador e usuário através de um firewall unificado e uma arquitetura de VPN (rede virtual privada), que inclui cache da Web e gerenciamento de banda larga, um mecanismo de filtragem de firewall otimizado e controles de acesso abrangentes. Proteja seu ambiente de tecnologia da informação para reduzir riscos e custos de segurança e ajudar a eliminar os efeitos que software mal-intencionado e invasores têm em seus negócios, usando ferramentas abrangentes para examinar e bloquear conteúdo, arquivos e sites prejudiciais. Este artigo também contém links para páginas em inglês.

Neste documento, os seguintes recursos, novos ou aprimorados, são discutidos:

  • Cenários de publicação segura de aplicativos

  • Publicação do Microsoft Office SharePoint® Portal Server

  • Publicação do acesso do cliente Web ao Microsoft Exchange

  • Microsoft Outlook® Web Access

  • Microsoft Office Outlook 2003 RPC sobre acesso HTTP

  • Farms de servidores para balanceamento de carga entre servidores Web

  • Logon único (SSO)

Conteúdo

Cenário

Solução

Topologia de rede

Noções básicas sobre a publicação segura de aplicativos

Apêndice A: Recursos adicionais de publicação

Apêndice B: Configuração LDAP

Apêndice C: Mapeamento de acesso alternativo

Apêndice D: Dicas de segurança

Apêndice E: Dicas administrativas

Cenário

A Contoso, Ltd quer fornecer aos funcionários, quando não estiverem no escritório, acesso simples e seguro aos seguintes aplicativos comerciais:

  • Outlook Web Access

  • RPC sobre HTTP para clientes Outlook

  • SharePoint Portal Server e Windows SharePoint Services

A Contoso também quer aprimorar a relação de trabalho com parceiros e fornecedores fornecendo acesso a tais aplicativos.

Atualmente, o acesso a esses aplicativos está disponível apenas a usuários através de uma conexão VPN de acesso para cliente. Por questões de segurança, a Contoso não quer permitir acesso direto da Internet a esses aplicativos, pois os ataques poderiam ser ocultados dentro das conexões SSL (Secure Sockets Layer). A Contoso não quer que os servidores internos sejam acessíveis diretamente da Internet.

As conexões VPN de acesso para cliente podem ser lentas e é necessária configuração adequada da conexão VPN no computador cliente. Além disso, quando os funcionários estiverem em um local fora do escritório, poderão estar atrás de um firewall, que bloqueia as conexões VPN de acesso para cliente. Essas limitações reduzem a eficácia do acesso a informações importantes quando fora do escritório. A publicação do ISA Server 2006 fornece acesso rápido e seguro aos aplicativos.

Solução

A solução prescrita é publicar aplicativos com o ISA Server 2006. As comunicações de clientes externos com o computador do ISA Server e do computador do ISA Server com os servidores publicados são criptografadas com SSL. O ISA Server não é associado ao domínio e executa autenticação via uma conexão LDAP (Lightweight Directory Access Protocol) ao domínio.

ISA Server 2006 Standard Edition ou ISA Server 2006 Enterprise Edition pode ser usado nesta solução.

Segurança

O ISA Server 2006 aborda as questões da Contoso disponibilizando seus aplicativos pela Internet de modo seguro.

Não há acesso direto ao servidor pela Internet

Quando você publica um aplicativo pelo ISA Server 2006, está protegendo o servidor de acesso externo direto, pois o nome e o endereço IP do servidor não estão disponíveis ao usuário. O usuário acessa o computador do ISA Server, que por sua vez encaminha a solicitação ao servidor, de acordo com as condições da regra de publicação do servidor.

Inspeção de pacote SSL

A ponte SSL protege contra ataques ocultos nas conexões criptografadas SSL. Para os aplicativos Web habilitados para SSL, após receber a solicitação do cliente, o ISA Server 2006 descriptografa-a, inspeciona-a e encerra a conexão SSL com o computador cliente. As regras de publicação na Web determinam como o ISA Server comunica a solicitação do objeto ao servidor Web de publicação. Se a regra de segurança de publicação na Web estiver configurada para encaminhar a solicitação usando Secure HTTP (HTTPS), o ISA Server iniciará uma nova conexão SSL com o servidor publicado. Como o computador do ISA Server é, agora, um cliente SSL, ele requer que o servidor Web de publicação responda com um certificado do lado do servidor.

Autenticação

O ISA Server 2006 permite que você configure autenticação com base em formulários para aplicativos suportados. A autenticação com base em formulários permite que você imponha métodos de autenticação obrigatórios, habilite a autenticação de dois fatores, controle disponibilidade de anexos de email e forneça logon centralizado.

O ISA Server 2006 suporta autenticação LDAP, permitindo-lhe colocar o computador do ISA Server na rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada). O computador do ISA Server não se associa ao domínio, portanto você não precisa mais abrir todas as portas necessárias para as comunicações do serviço de diretório do Active Directory®. Você ainda precisa abrir as portas do LDAP ou do catálogo global entre o computador do ISA Server e o controlador de domínio do Active Directory configurado. Se você mantiver os computadores do ISA Server em uma configuração de grupo de trabalho, a superfície de ataques será reduzida e a implantação do ISA Server será simplificada. Para obter mais informações sobre autenticação, consulte "Authentication in ISA Server 2006" no site da Microsoft TechNet.

Facilidade de uso

O ISA Server 2006 supera as dificuldades da utilização das conexões VPN de acesso para cliente das seguintes formas:

  • O acesso a aplicativos publicados é via navegador da Web.

  • Agora, os aplicativos são mais amplamente disponíveis e mais acessíveis do que os VPNs de acesso remoto devido à utilização de SSL. Você pode acessar seus aplicativos publicados atrás de firewalls, de conexões utilizando NAT (network address translation – conversão de endereços de rede) e de outros dispositivos de rede que poderiam estar bloqueando as conexões VPN de acesso remoto.

  • O processo de reconexão é mais fácil e mais rápido, devido ao SSL. Se sua conexão à Internet for desconectada, você não precisará mais se reconectar via discagem VPN de acesso remoto. Depois que o acesso à Internet for reconectado, você poderá voltar para seu aplicativo publicado.

  • Parceiros, fornecedores e funcionários que não estejam no escritório poderão facilmente acessar as informações necessárias em um modo seguro.

Topologia de rede

Os cenários supõem que você implantará essa solução em um ambiente de laboratório que inclui as duas seguintes redes:

  • Uma rede simulando sua rede corporativa, chamada HQ_Net. Nas noções básicas, HQ_Net estende este intervalo de endereço: 10.0.0.1 até 10.0.0.254.

  • Uma rede simulando a Internet, chamada Test_Internet. Nas noções básicas, Test_Internet estende este intervalo de endereço: 172.16.0.0 até 172.16.255.255.

A figura a seguir ilustra os computadores utilizados nas noções básicas do recurso.

Bb794854.99360824-ba3c-451c-a936-09032929b138(pt-br,TechNet.10).gif

A tabela a seguir fornece informações sobre os computadores utilizados nas noções básicas do recurso.

Nome do computador

Sistema operacional

Software adicional

Comentários

dc01

Microsoft Windows Server® 2003 com Service Pack 1 (SP1)

Controlador de domínio, DNS (sistema de nome de domínio), IIS (serviços de informação da Internet), CA (autoridade de certificação)

Controlador de domínio e CA interna

exchange01

Windows Server 2003 SP1

Microsoft Exchange Server 2003 SP1, IIS

Servidor back-end Exchange

owa01

Windows Server 2003 SP1

Exchange Server 2003 SP1, IIS

Servidor front-end Exchange

sps01

Windows Server 2003 SP1

Microsoft Office SharePoint Portal Server 2003 com Service Pack 2, IIS

Nenhum

isa01

Windows Server 2003 SP1

ISA Server 2006 Standard Edition ou Enterprise Edition

Nenhum

client01

Windows® XP Professional com Service Pack 2 (SP2)

Microsoft Office Word 2003, Office Excel 2003 e Office Outlook 2003

Nenhum

storage01

Windows Server 2003 SP1

ISA Server 2006 Enterprise Edition

Servidor de Armazenamento de Configuração necessário apenas para Enterprise Edition

router01

Windows Server 2003 SP1

IIS, DNS, CA

Roteamento de Internet simulado, DNS e serviços de CA

O seguinte se aplica:

  • Um computador denominado dc01 é o controlador de domínio de HQ_Net e fornece os seguintes serviços:

    • Controlador de domínio para corp.contoso.com

    • Serviços de autenticação

    • DNS para domínio interno de corp.contoso.com

    • Serviços CA para corp.contoso.com

  • Um computador denominado exchange01 está fornecendo serviços de mensagens para corp.contoso.com. Este computador é membro do domínio.

  • Um computador denominado owa01 está fornecendo Outlook Web Access para usuários remotos. Este computador é membro do domínio.

  • Um computador denominado sps01 está fornecendo serviços de portal do SharePoint Portal Server 2003 para usuários remotos. Este computador é membro do domínio.

  • Um computador denominado storage01 é o servidor de Armazenamento de Configuração para a empresa, necessário no caso de você estar utilizando o ISA Server Enterprise Edition. Este computador é membro do domínio. O servidor de Armazenamento de Configuração foi instalado com um certificado de autenticação sobre um canal SSL criptografado.

  • Um computador denominado isa01 está fornecendo serviços de firewall e publicação. Este computador está em um grupo de trabalho. Você configurará a autenticação LDAP para habilitar o ISA Server para autenticar usuários de domínio. O computador isa01 tem dois adaptadores de rede instalados:

    • O endereço IP do adaptador conectado a HQ_Net é 10.0.0.254/24.

    • O endereço IP do adaptador conectado ao Test_Internet é 172.16.0.2/24 com os endereços IP secundários de 172.16.0.103 a 172.16.0.104.

  • Para o ISA Server 2006 Enterprise Edition, o seguinte se aplica:

    • Siga as instruções do ISA Server 2006 Quick Start Guide (guia rápido de introdução) para instalar o Servidor de Armazenamento de Configuração. Como o computador do ISA Server não se associará ao domínio, durante a instalação, na página Enterprise Deployment Environment , selecione Use certificate authentication e forneça o local do certificado de servidor exportado.

  • A solução supõe que uma matriz denominada main tenha sido criada com as seguintes definições de configuração:

  • Storage01 foi adicionado ao conjunto de computadores Remote Management Computers (Computadores de gerenciamento remoto).

  • A autenticação na página Configuration Storage foi definida como Authenticate over SSL-encrypted channel.

  • isa01 associou-se à matriz main durante a instalação do ISA Server 2006.

Para obter mais informações sobre a instalação do ISA Server 2006, consulte o Quick Start Guides e Installation Guides no CD do produto.

A tabela a seguir mostra três usuários que foram criados no domínio e que têm caixas de correio no exchange01.

Nome

Sobrenome

Nome de logon do usuário

Anteriormente ao Windows 2000 Server

Senha

Caixa de correio

Exchange

Matt

Berg

mberg

Mberg

Passw0rd

Sim

exchange01

Jeff

Hay

Jhay

Jhay

Passw0rd

Sim

exchange01

Lisa

Miller

lmiller

Lmiller

Passw0rd

Sim

exchange01

Um computador denominado router01 está fornecendo serviços de CA e DNS à rede Test_Internet. Este computador não é membro do domínio.

Observação:

A configuração seria semelhante em um ambiente de produção. As diferenças estariam no uso do ISA Server padrão definido na rede Externa (representando a Internet) e não no Test_Internet, e a utilização dos intervalos de endereço de seu IP real para suas redes Interna e de perímetro.

Para obter mais informações sobre a instalação do ISA Server 2006, consulte o Quick Start Guides e Installation Guides no CD do produto.

Noções básicas sobre a publicação segura de aplicativos

Esta seção discute os seguintes tópicos:

Configurar o ISA Server 2006 para autenticação LDAP

Publicar Outlook Web Access e RPC sobre HTTP

Publicar sites do SharePoint

Dar segurança ao logon único entre Web e publicação de Outlook Web Access

Configurar o ISA Server 2006 para autenticação LDAP

A autenticação LDAP é semelhante à autenticação do Active Directory, exceto pelo fato de o computador do ISA Server não ter de ser um membro do domínio. O ISA Server 2006 se conecta a um servidor LDAP configurado sobre o protocolo LDAP para autenticar o usuário. Todo o controlador de domínio do Windows é também um servidor LDAP, por padrão, sem necessidade de alterações de configuração adicionais. Utilizando a autenticação LDAP, você obtém os seguintes benefícios:

  • Membros da matriz do ISA Server 2006 Standard Edition server ou do ISA Server 2006 Enterprise Edition no modo de grupo de trabalho. Quando o ISA Server está instalado em uma rede de perímetro, você não precisa mais abrir todas as portas necessárias para membros do domínio.

  • Autenticação de usuários em um domínio com o qual não há relação de confiança.

Para obter mais informações sobre LDAP, consulte Apêndice B: Configuração LDAP.

Para configurar a autenticação LDAP, você precisa:

Criar um conjunto de servidores LDAP

Criar um conjunto de usuários LDAP

Criar um conjunto de servidores LDAP

Execute o seguinte procedimento para criar um conjunto de servidores LDAP. Para a Standard Edition, execute o procedimento a seguir no computador isa01. Para a Enterprise Edition, execute o procedimento a seguir no computador storage01.

Para criar um conjunto de servidores LDAP
  1. Na árvore de console do ISA Server Management, clique em General:

    • Para ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda isa01, expanda Configuration e clique em General.

    • Para ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Arrays, expanda main, expanda Configuration e clique em General.

  2. No painel de detalhes, clique em Specify RADIUS and LDAP Servers.

  3. Na guia LDAP Servers Sets, clique em Add para abrir a caixa de diálogo Add LDAP Server Set.

  4. Em LDAP server set name, digite CorpLDAP.

  5. Clique em Add, para adicionar o nome do servidor LDAP ou o endereço IP.

  6. Em Server name, digite dc01 e clique em OK.

  7. Clique em OK para fechar a caixa de diálogo Add LDAP Server Set.

  8. Clique em New para abrir a caixa de diálogo New LDAP Server Mapping.

  9. Em Login expression, digite corp\*. Em LDAP server set, selecione CorpLDAP e clique em OK.

  10. Clique em Close para fechar a janela Authentication Servers.

Para obter mais informações sobre as configurações do servidor LDAP, consulte o Apêndice B: Configuração LDAP

Criar um conjunto de usuários LDAP

Para autenticar usuários através de LDAP, você precisa determinar quais usuários devem ser autenticados e quem autentica os usuários. Para isso, você precisa criar um conjunto de usuários LDAP.

Execute o seguinte procedimento para criar um conjunto de usuários LDAP. Para a Standard Edition, execute o procedimento a seguir no computador isa01. Para a Enterprise Edition, execute o procedimento a seguir no computador storage01.

Para criar um conjunto de usuários LDAP
  1. Na árvore de console do ISA Server Management, clique em Firewall Policy:

Página

Campo ou propriedade

Configuração

Welcome

User set name

Digite LDAPUsers.

Users

Select the users to include in this user set

Clique em Add e selecione LDAP.

Add LDAP User

LDAP server set

User name

Selecione CorpLDAP, o conjunto de servidores LDAP da lista suspensa.

Selecione All Users in this namespace.

Observação   Você também pode especificar grupos de usuários ou contas de usuários específicos se não quiser que todos os usuários façam parte deste conjunto de usuários LDAP.

Completing the New User Set Wizard

Analise as configurações.

Clique em Back para alterar e em Finish para concluir o assistente.

  1. Clique no botão Apply no painel de detalhes para salvar as alterações e atualizar a configuração.

Publicar Outlook Web Access e RPC sobre HTTP

O Outlook Web Access fornece acesso do navegador da Web a email, agendamento (inclusive agendamento de grupo), contatos, tarefas e informações colaborativas armazenadas nas pastas do Exchange Storage System. O Outlook Web Access é utilizado por usuários remotos, domésticos e móveis.

O RPC sobre HTTP habilita os usuários a acessarem email com o Office Outlook 2003 sobre a Internet. O Exchange Server 2003, juntamente com o Outlook 2003 e o Windows Server 2003 suportam o uso do RPC sobre HTTP para acessar servidores que estejam executando o Exchange Server. Utilizando o RPC sobre HTTP, os usuários não têm mais de utilizar uma conexão VPN para conectar as caixas de correio do Exchange. Os usuários que estão executando o Outlook 2003 em computadores cliente podem se conectar a um servidor Exchange em um ambiente corporativo pela Internet.

Quando você publica servidores do Outlook Web Access e RPC sobre HTTP através de um ISA Server, está protegendo o servidor do Outlook Web Access e o servidor de proxy do RPC sobre HTTP do acesso externo direto, pois o nome e o endereço IP não estão disponíveis ao usuário. O usuário acessa o computador do ISA Server, que por sua vez encaminha a solicitação ao servidor do Outlook Web Access ou servidor proxy RPC sobre HTTP, de acordo com as condições da sua regra de publicação do servidor de email.

Além disso, quando você publica Outlook Web Access, o ISA Server o habilita a configurar autenticação com base em formulários, impor métodos de autenticação obrigatórios, habilitar a autenticação de dois fatores, controlar a disponibilidade de anexos de email e fornecer logon centralizado.

O New Exchange Server Publishing Wizard também possibilita que você publique o Outlook Mobile Access e o Exchange ActiveSync®. O Outlook Mobile Access fornece aos usuários acesso ao Outlook a partir de dispositivos móveis. Utilizando o Exchange ActiveSync, você poderá sincronizar com alto nível de segurança suas caixas de correio do Exchange diretamente a partir de dispositivos baseados no Microsoft Windows Mobile®, como Pocket PC, Pocket PC Phone Edition e Smartphones.

Antes de começar

Nesta seção, as suposições do cenário são analisadas. Planilhas informativas são fornecidas para auxiliar na reunião das informações necessárias ao utilizar o New Web Listener Wizard e o New Exchange Publishing Rule Wizard.

Suposições do cenário

As seguintes suposições se aplicam ao cenário:

  • O Exchange Server 2003 está instalado e configurado no exchange01.

  • O Exchange Server 2003 está instalado e configurado no owa01. O computador owa01 deve ser configurado como um servidor front-end Exchange. Para obter mais informações sobre as configurações front-end e back-end do Exchange Server, consulte o seguinte:

    • "Front-End and Back-End Server Topology Guide for Exchange Server 2003 and Exchange 2000 Server" no site da Microsoft TechNet.

    • "Configuring an Exchange Front-End Server" no site da Microsoft TechNet.

    Important

    No owa01, não marque a opção de autenticação com base nos formulários do Exchange Server 2003. A autenticação com base em formulários deve ser configurada na regra de publicação da Web do ISA Server.

  • O computador owa01 tem um certificado SSL instalado do dc01 com um nome comum de owa01.corp.contoso.com. A URL interna é https://owa01.corp.contoso.com/exchange.

  • O nome comum externo (nome de domínio totalmente qualificado ou FQDN) é mail.contoso.com.

  • O computador isa01 tem o certificado da autoridade de certificação raiz para dc01 instalado. Isso é necessário para que o ISA Server aceite a validade do certificado no owa01.

  • O computador isa01 tem um certificado SSL instalado do router01 com o nome comum de mail.contoso.com.

  • O FQDN mail.contoso.com resolverá para o endereço IP 172.16.0.104, que está instalado como endereço IP secundário no isa01.

Planilhas informativas

Atualize a seguinte tabela com informações que serão utilizadas quando você usar o New Web Listener Wizard.

Propriedade

Valor

Web listener name (Nome do ouvinte da Web)

Nome: ________________________

Client connection security (Segurança da conexão do cliente)

Observe o seguinte:

  • Se o HTTP estiver selecionado, as informações entre o computador do ISA Server e o cliente serão transferidas em texto sem formatação.

  • Se o HTTPS estiver selecionado, o computador do ISA Server precisará ter um certificado de servidor instalado.

HTTPS ou HTTP (circule um)

Web listener IP address (Endereço IP do ouvinte da Web)

Rede: ___________________

Opcional

Endereço IP específico: ___.___.___.___

Observação:

Se este endereço IP específico não for o endereço IP primário do adaptador de rede, antes da criação do ouvinte da Web, o computador ISA Server precisará ter instalado um endereço IP secundário.

Authentication settings Web listener SSL certificate (Certificado SSL do ouvinte da Web das configurações de autenticação)

Observação   Isso só é necessário se o HTTPS tiver sido selecionado para segurança na conectividade do cliente.

___Use a single certificate for this Web listener (Use um certificado exclusivo para este ouvinte da Web).

Certificado emitido para: _______________________

___Assign a certificate for each IP address (Atribua um certificado para cada endereço IP). (Essa opção só estará disponível se um endereço IP específico tiver sido atribuído ao ouvinte da Web.)

Certificado emitido para: _______________________

Single sign on settings (Configurações de logon único)

___Enable single sign on (Habilitar logon único).

Nome do domínio do logon único:

___________________________

Atualize a seguinte tabela com informações que serão utilizadas quando você usar o New Exchange Publishing Rule Wizard.

Propriedade

Valor

Exchange publishing rule name (Nome da regra de publicação do Exchange)

Nome: ________________________

Services (Serviços)

Versão do Exchange: ____________

__Outlook Web Access

__Outlook RPC sobre HTTP

__Outlook Mobile Access

__Exchange ActiveSync

Publishing type (Tipo de publicação)

__Publish a single Web site (Publicar um site único).

ou

__Publish a server farm of load balanced servers (Publicar um farm de servidores para carga balanceada).

e

Nome do farm de servidor:_____________

Server connection security (Segurança da conexão do servidor)

HTTPS ou HTTP (circule um)

Observe o seguinte:

  • Se o HTTP estiver selecionado, as informações entre o computador do ISA Server e o servidor Web serão transferidas em texto sem formatação.

  • Se o HTTPS estiver selecionado, o servidor Web precisará ter um certificado de servidor instalado.

Internal publishing details (Detalhes de publicação interna)

Nome do site interno (FQDN): ______________________

Se o FQDN não puder ser resolvido pelo computador do ISA Server:

Nome do computador ou endereço IP:_____________________

Public name details (Detalhes do nome público)

Accept request for (Aceitar solicitação para):

__This domain name (Nome deste domínio):______________

ou

__Any domain name (Nome de qualquer domínio)

Select Web listener (Selecione o ouvinte da Web)

Ouvinte da Web:________________

User set (Conjunto de usuários)

Relacione os conjuntos de usuários que terão acesso a essa regra:

_________________

__________________

Noções básicas

Os computadores a seguir são necessários para estas noções básicas:

  • dc01

  • exchange01

  • owa01

  • storage01 (para Enterprise Edition)

  • isa01

  • router01

  • client01

Os procedimentos a seguir são utilizados para publicar Outlook Web Access e RPC sobre HTTP:

Criar um farm de servidores (opcional)

Criar um ouvinte da Web

Criar uma regra de publicação do acesso do cliente Web ao Exchange

Criar um farm de servidores (opcional)

Quando você tem mais de um servidor Web fornecendo acesso ao mesmo conteúdo, pode usar o ISA Server 2006 para fornecer balanceamento de carga para esses servidores. Isso permitirá que você publique o site uma vez, em vez de ficar executando o assistente diversas vezes. Isso também elimina a necessidade de um produto de terceiros para balancear a carga de um site. Se um dos servidores estiver indisponível, o ISA Server 2006 detectará o fato e direcionará os usuários aos servidores que estiverem funcionando. O ISA Server 2006 verifica, em intervalos regulares, se os servidores membros do farm de servidores estão funcionando. As propriedades do farm de servidores determinam o seguinte:

  • Os servidores incluídos no farm

  • O método de verificação de conectividade que o ISA Server utilizará para verificar se os servidores estão funcionando

Considerações do farm de servidores:

  • Há um segundo servidor front-end do Exchange denominado owa02.corp.contoso.com.

  • Os dois servidores têm um certificado de servidor instalado com o seguinte FQDN: owa.corp.contoso.com.

Execute o seguinte procedimento para criar um farm de servidores.

Para criar um farm de servidores
  1. Na árvore de console do ISA Server Management, clique em Firewall Policy:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda ISA01 e clique em Firewall Policy.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Arrays, expanda main e clique em Firewall Policy.

  2. Na guia Toolbox, clique em Network Objects, clique em New e selecione Server Farm. Use o assistente para criar o farm de servidores conforme descrito na tabela a seguir.

Página

Campo ou propriedade

Configuração

Welcome

Server farm name

Digite Exchange OWA.

Servers

Servers

Selecione Add e insira os endereços IP ou os nomes de seus servidores:

owa01.corp.contoso.com

owa02.corp.contoso.com

Connectivity Monitoring

Apply this method

Selecione Send an HTTP/HTTPS "GET" request to the following URL.

Completing the New Server Farm Wizard

Analise as configurações.

Clique em Back para alterar e em Finish para concluir o assistente.

  1. Quando o assistente terminar, clique em Yes na caixa de diálogo Enable HTTP Connectivity Verification.

  2. Clique no botão Apply no painel de detalhes para salvar as alterações e atualizar a configuração.

Para obter mais informações sobre verificadores de conectividade, consulte a Ajuda do produto.

Criar um ouvinte da Web

Quando você cria uma regra de publicação na Web, precisa especificar um ouvinte da Web a ser usado na criação da regra. As propriedades ouvinte da Web determinam o seguinte:

  • Quais endereços IP e portas nas redes especificadas ouvirão as solicitações da Web (HTTP ou HTTPS).

  • Quais certificados de servidor deverão ser usados com quais endereços IP.

  • Qual método de autenticação deverá ser usado.

  • Número de conexões simultâneas permitidas.

  • Configurações de logon único (SSO).

Utilize as informações na planilha preenchida anteriormente e execute o procedimento a seguir para criar um ouvinte da Web.

Para criar um ouvinte da Web
  1. Na árvore de console do ISA Server Management, clique em Firewall Policy:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda ISA01 e clique em Firewall Policy.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Arrays, expanda main e clique em Firewall Policy.

  2. Na guia Toolbox, clique em Network Objects, clique em New e selecione Web Listener. Use o assistente para criar o ouvinte da Web conforme descrito na tabela a seguir.

Página

Campo ou propriedade

Configuração

Welcome

Web listener name

Digite FBA.

Client Connection Security

Tipo da conexão, SSL ou não SSL.

Selecione Require SSL secured connections with clients.

Web Listener IP Addresses

Listen for incoming Web requests on these networks

ISA Server will compress content

Select IP Addresses

Selecione a rede External.

A caixa de seleção deve ser marcada (padrão).

Consulte a página External Network Listener IP Selection.

External Network Listener IP Selection

Listen for requests on

Available IP Addresses

Selecione Specified IP addresses on the ISA Server computer in the selected network.

Selecione 172.16.0.104 e clique em Add.

Listener SSL Certificates

Um ouvinte da Web pode usar um único certificado para todos os seus endereços IP, ou um certificado diferente para cada endereço IP.

Selecione Assign a certificate for each IP address.

Selecione o endereço IP 172.16.0.104 e clique em Select Certificate.

Select Certificate

Select a certificate

Selecione o certificado emitido para mail.contoso.com e clique em Select. O certificado deve ser instalado antes da execução do assistente.

Authentication Settings

Specify how clients will provide credentials to ISA Server

Select how ISA Server will validate client credentials

Selecione HTML Form Authentication.

Selecione LDAP (Active Directory).

O método de validação de autenticação especificado no ouvinte da Web deve ser consistente com as configurações do usuário na regra de publicação que está usando o ouvinte. Por exemplo, no cenário descrido neste documento, o ouvinte usa a validação LDAP e a regra de publicação é configurada com usuários ou grupos no namespace LDAP.

Single Sign On Settings

Enable SSO for Web sites published with this Web listener

SSO domain name

Desmarque esta caixa de seleção. SSO será habilitado posteriormente na solução.

Deixe este campo em branco.

Completing the New Web Listener Wizard

Analise as configurações.

Clique em Back para alterar ou em Finish para concluir o assistente.

Criar uma regra de publicação do acesso do cliente Web ao Exchange

Quando você publica um servidor Web interno através de um ISA Server 2006, está protegendo o servidor Web do acesso externo direto, pois o nome e o endereço IP do servidor não estão disponíveis ao usuário. O usuário acessa o computador do ISA Server 2006, que por sua vez encaminha a solicitação ao servidor Web interno de acordo com as condições da sua regra de publicação do servidor Web. Uma regra de publicação de acesso do cliente Web ao Exchange é uma regra de publicação na Web que contém as configurações padrão apropriadas para o acesso do cliente Web ao Exchange.

Utilize as informações na planilha preenchida anteriormente e execute o procedimento a seguir para criar uma regra de publicação de acesso do cliente Web ao Exchange.

Para criar uma regra de publicação do acesso do cliente Web ao Exchange
  1. Na árvore de console do ISA Server Management, clique em Firewall Policy:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda ISA01 e clique em Firewall Policy.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Arrays, expanda main e clique em Firewall Policy.

  2. Na guia Tasks clique em Publish Exchange Web Client Access. Use o assistente para criar a regra conforme descrito nas tabelas a seguir.

Para um servidor Web único, use a tabela em New Exchange Publishing Rule Wizard para um site único.

New Exchange Publishing Rule Wizard para um site único

Página

Campo ou propriedade

Configuração

Welcome

Exchange Publishing rule name

Digite Exchange OWA Publishing.

Select Services

Exchange version

Web client mail services

Selecione Exchange Server 2003.

Selecione Outlook Web Access e Outlook RPC/HTTP(s).

Publishing Type

Selecione o tipo de publicação.

Selecione Publish a single Web site or load balancer.

Server Connectivity Security

Choose the type of connections ISA Server will establish with the published Web server or server farm.

Selecione Use SSL to connect to the published Web server or server farm.

Internal Publishing Details

Internal site name

Digite owa01.corp.contoso.com.

Important

O nome do site interno deve corresponder ao nome do certificado do servidor que está instalado no servidor Web interno.

Observação:

Se você não consegue resolver adequadamente o nome do site interno, é possível selecionar Use a computer name or IP address to connect to the published server e digitar o endereço IP ou nome que pode ser resolvido pelo computador do ISA Server.

Public Name Details

Accept requests for

Public name

This domain name (digite abaixo)

Digite mail.contoso.com.

Select Web Listener

Web listener

Selecione FBA.

Authentication Delegation

Select the method used by ISA Server to authenticate to the published Web server

Selecione Basic authentication.

User Sets

This rule applies to requests from the following user sets

Selecione All Authenticated Users e clique em Remove.

Clique em Add, selecione LDAPUsers, clique em Add e clique em Close.

O User Set selecionado na regra deve ser consistente com o método de validação de autenticação especificado no ouvinte da Web. Por exemplo, no cenário descrido neste documento, o ouvinte usa a validação LDAP e a regra de publicação é configurada com usuários ou grupos no namespace LDAP.

Completing the New Exchange Publishing Rule Wizard

Analise as configurações.

Clique em Back para alterar e em Finish para concluir o assistente.

  1. Clique no botão Apply no painel de detalhes para salvar as alterações e atualizar a configuração.

Vá para Ponte SSL.

New Exchange Server Publishing Rule Wizard para um farm de servidores

Página

Campo ou propriedade

Configuração

Welcome

Exchange Publishing rule name

Digite Exchange OWA Publishing.

Select Services

Exchange version

Web client mail services

Selecione Exchange Server 2003.

Selecione Outlook Web Access e Outlook RPC/HTTP(s).

Publishing Type

Selecione o tipo de publicação.

Selecione Publish a server farm of load balanced Web servers.

Server Connectivity Security

Choose the type of connections ISA Server will establish with the published Web server or server farm.

Selecione Use SSL to connect to the published Web server or server farm.

Observação:

Um certificado de servidor deve estar instalado nos servidores Web publicados e o certificado da autoridade de certificação raiz deve estar instando no computador do ISA Server.

Internal Publishing Details

Internal site name

Digite owa.corp.contoso.com.

Important

O nome do site interno deve corresponder ao nome do certificado do servidor que está instalado nos servidores Web internos.

Observação   Se você não consegue resolver adequadamente o Internal site name pode selecionar Use a computer name or IP address to connect to the published server e digitar o endereço IP ou nome necessário que pode ser resolvido pelo computador do ISA Server.

Specify Server Farm

Select the Web mail farm you want to publish

Selecione Exchange OWA.

Public Name Details

Accept requests for

Public name

This domain name (digite abaixo)

Digite mail.contoso.com.

Select Web Listener

Web listener

Selecione FBA.

Authentication Delegation

Select the method used by ISA Server to authenticate to the published Web server

Selecione Basic authentication.

User Sets

This rule applies to requests from the following user sets

Selecione All Authenticated Users e clique em Remove.

Clique em Add, selecione LDAPUsers, clique em Add e clique em Close.

Completing the New Exchange Publishing Rule Wizard

Analise as configurações.

Clique em Back para alterar e em Finish para concluir o assistente.

  1. Clique no botão Apply no painel de detalhes para salvar as alterações e atualizar a configuração.

Ponte SSL

A ponte SSL é utilizada quando o ISA Server encerra ou inicia uma conexão SSL. No ISA Server 2006, a ponte SSL é automaticamente configurada quando o ouvinte da Web especificado é configurado para ouvir o tráfego HTTPS.

Especificamente, a ponte SSL funciona nos seguintes cenários:

  • Um cliente solicita um objeto SSL. O ISA Server descriptografa a solicitação e criptografa-a novamente, encaminhando-a ao servidor Web. O servidor Web retorna o objeto criptografado ao ISA Server. O ISA Server descriptografa o objeto e criptografa-o novamente, enviando-o ao cliente. As solicitações SSL são encaminhadas como solicitações SSL.

  • Um cliente solicita um objeto SSL. O ISA Server descriptografa a solicitação e encaminha-a ao servidor Web. O servidor Web retorna o objeto HTTP ao ISA Server. O ISA Server criptografa o objeto e envia-o ao cliente. As solicitações SSL são encaminhadas como solicitações HTTP.

Para solicitações Web de entrada, um cliente externo utiliza HTTPS para solicitar um objeto de um servidor Web localizado em sua rede interna. O cliente se conecta ao ISA Server em uma porta – por padrão, porta 443.

Depois de receber a solicitação do cliente, o ISA Server decodifica-a, encerrando a conexão SSL. As regras de publicação na Web determinam como o ISA Server comunica a solicitação do objeto ao servidor Web de publicação (FTP, HTTP ou SSL).

Se a regra de publicação na Web estiver configurada para encaminhar a solicitação usando HTTPS, o ISA Server iniciará uma nova conexão SSL com o servidor de publicação, enviando uma solicitação à porta 443. Como o computador do ISA Server é agora um cliente SSL, ele requer que o servidor Web de publicação responda com um certificado do lado do servidor.

Testar regra de publicação do Exchange

Nesta seção, você testará a nova regra de publicação do Exchange que acabou de criar.

Testar Outlook Web Access

Do computador router01 ou client01, use o seguinte procedimento para testar a nova regra de publicação de acesso do cliente Web ao Exchange.

Observação   Certifique-se de ter a autoridade de certificação raiz da autoridade de certificação emissora do certificado mail.contoso.com instalada.

Para testar a regra de publicação do Outlook Web Access
  1. Abra o Microsoft Internet Explorer.

  2. Navegue até a seguinte URL: https://mail.contoso.com/exchange e utilize os seguintes detalhes de logon:

    1. Domain\user name: corp\mberg

    2. Password: Passw0rd

Bb794854.65cf64a6-59ff-4b3d-9002-01e7ca7cd65a(pt-br,TechNet.10).gif
  1. Agora, você pode ler e enviar emails.

Bb794854.46ffb58b-cf29-44ee-8a3c-ff78f9646233(pt-br,TechNet.10).gif

Testar RPC sobre HTTP

Este procedimento deve ser feito do client01.

Observação:

Recomendamos configurar o Outlook sem RPC sobre HTTP. Confirme que o Outlook esteja funcionando adequadamente na rede Interna antes de configurar RPC sobre HTTP.

Para testar RPC sobre HTTP do Outlook 2003 do client01 da rede Test_Internet
  1. Altere a seguinte configuração de conta no Outlook 2003:

    1. No menu Ferramentas do Outlook 2003, selecione Contas de email.

    2. Selecione Exibir ou alterar contas de email existentes e clique em Avançar.

    3. Selecione sua conta do Microsoft Exchange e clique em Alterar.

    4. Clique em Mais Configurações.

    5. Se receber um erro do Outlook de que ele não conseguiu se conectar ao Exchange, clique em Cancelar e continue na etapa H.

    6. Clique na guia Conexão, selecione Conectar à minha caixa de correio do Exchange usando HTTP e clique em Configurações de Proxy do Exchange.

    7. Digite mail.contoso.com em Usar esta URL para a conexão com meu servidor proxy para o Exchange em Configurações de conexão.

    8. Selecione Autenticar mutuamente a sessão durante a conexão com SSL e digite msstd:mail.contoso.com em Nome principal do servidor proxy.

    9. Selecione Autenticação básica para Configurações de autenticação de proxy.

Bb794854.AA(pt-br,TechNet.10).gif
  1. Clique em OK para fechar a caixa de diálogo Configurações de Proxy do Exchange.

  2. Clique em OK para fechar a caixa de diálogo Microsoft Exchange Server.

  3. Clique em Avançar e clique em Concluído para fechar a caixa de diálogo Contas de email.

  4. Reinicie o Outlook.

  1. Quando você reiniciar o Outlook, aparecerá uma caixa de diálogo de logon. Insira o nome de usuário e a senha e clique em OK.

Observação:

Para que RPC sobre HTTP funcione, quando o usuário estiver no escritório ou fora dele, o FQDN mail.contoso.com deve resolver para o endereço externo quando os usuários estiverem no escritório e quando estiverem conectados à Internet.

Publicar sites do SharePoint

O ISA Server 2006 trabalha com Windows SharePoint Services e SharePoint Portal Server 2003 para aprimorar a segurança.

Utilizando os recursos de colaboração combinados do Windows SharePoint Services e SharePoint Portal Server 2003, os usuários de sua organização podem facilmente criar, gerenciar e construir seus próprios sites colaborativos e disponibilizá-los para toda a organização.

Quando você publica sites de portal do SharePoint na Internet, fornece aos funcionários, que não estão no escritório, acesso às informações de que necessitam para completarem suas tarefas, independentemente de onde estiverem, sem comprometimento da segurança.

Quando você publica um site do SharePoint através do ISA Server, protege o site do SharePoint do acesso externo direto, pois o nome e o endereço IP do site do SharePoint não estão disponíveis ao usuário. O usuário acessa o computador do ISA Server, que por sua vez encaminha a solicitação ao site do SharePoint publicado de acordo com as condições da sua regra de publicação do SharePoint.

Quando você publica um site do SharePoint, o ISA Server lhe possibilita configurar autenticação com base em formulários, impor um método de autenticação obrigatório, habilitar a autenticação de dois fatores, controlar a disponibilidade de anexos e controlar logon centralizado.

Antes de começar

Nesta seção, as suposições do cenário são analisadas. Planilhas informativas são fornecidas para auxiliar na reunião das informações necessárias ao utilizar o SharePoint Publishing Rule Wizard.

Suposições do cenário

As suposições a seguir se aplicam a estas noções básicas:

  • SharePoint Portal Server 2003 com SP2 está instalado e configurado no sps01.

  • O mapeamento de acesso alternativo do SharePoint está adequadamente configurado no sps01. Para obter mais informações sobre mapeamento de acesso alternativo, consulte o Apêndice C: Mapeamento de acesso alternativo.

  • Você criou um portal com um link para https://owa01.corp.contoso.com/exchange. Esse link será convertido para https://mail.contoso.com/exchange pelo recurso de conversão de link do ISA Server. Para obter mais informações sobre conversão de link, consulte "Link Translation Concepts in ISA Server 2006" no Microsoft TechNet .

  • O computador sps01 tem um certificado SSL instalado do dc01 com um nome comum de sps01.corp.contoso.com. A URL interna é https://sps01.corp.contoso.com

  • O computador isa01 tem o certificado da autoridade de certificação raiz para dc01 instalado. Isso é necessário para que o ISA Server aceite a validade do certificado no sps01.

  • O nome comum externo (nome de domínio totalmente qualificado) é portal.contoso.com.

  • O computador isa01 tem um certificado SSL instalado do router01 com um nome comum de portal.contoso.com.

  • O ISA Server responde às solicitações do portal.contoso.com no endereço IP 172.16.0.103.

Planilha informativa

Você deve ter as seguintes informações disponíveis antes de executar o SharePoint Publishing Rule Wizard.

Propriedade

Valor

SharePoint publishing rule name (Nome de regra de publicação do SharePoint)

Nome: ________________________

Publishing type (Tipo de publicação)

__Publish a single Web site. (Publicar um site único.)

ou

__Publish a server farm of load balanced servers. (Publicar um farm de servidores para carga balanceada.)

e

Server farm name (Nome do farm de servidor):_____________

Server connection security (Segurança da conexão do servidor)

Como o ISA Server se conecta ao servidor Web publicado

HTTPS ou HTTP (circule um)

Se o HTTPS estiver selecionado, o servidor Web precisará ter um certificado de servidor instalado.

Internal publishing details (Detalhes de publicação interna)

Internal site name (FQDN) (Nome do site interno (FQDN)): ______________________

Se o FQDN não puder ser resolvido pelo ISA Server:

Computer name or IP address: (Nome do computador ou endereço IP)_____________________

Public name details (Detalhes do nome público)

Accept request for (Aceitar solicitação para):

__This domain name (Nome deste domínio):______________

ou

__Any domain name (Nome de qualquer domínio)

Select Web listener (Selecione o ouvinte da Web)

Web listener (Ouvinte da Web):________________

Alternate access mapping (Mapeamento de acesso alternativo)

Para obter mais informações sobre configuração de mapeamento de acesso alternativo, consulte o Apêndice C: Mapeamento de acesso alternativo.

Confirme se o mapeamento de acesso alternativo foi configurado no computador do SharePoint Portal Server.

Sim ou não (circule um)

User set (Conjunto de usuários)

Relacione os conjuntos de usuários que terão acesso a essa regra:

_________________

__________________

Noções básicas

Os computadores a seguir são necessários para estas noções básicas:

  • dc01

  • storage01 (Enterprise Edition)

  • isa01

  • sps01

  • router01

As seções a seguir descrevem como configurar a solução.

Editar o ouvinte da Web

Publicar sites do SharePoint

Testar a publicação do SharePoint

Editar o ouvinte da Web

Você precisa modificar o ouvinte da Web, criado em Criar um ouvinte da Web, para que o computador do ISA Server ouça as solicitações no endereço IP 172.16.0.103 e utilize o certificado de servidor do portal.contoso.com apenas neste endereço IP. O ouvinte da Web ouvirá as solicitações do cliente Web do Exchange em 172.16.0.104, usando o certificado que corresponde ao nome público usado para o acesso do cliente Web ao Exchange e ouvirá no 172.16.0.103 as solicitações do cliente SharePoint, usando o certificado que corresponde ao nome público usado para o acesso do cliente ao SharePoint.

Para editar o ouvinte da Web
  1. Na árvore de console do ISA Server Management, clique em Firewall Policy:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda ISA01 e clique em Firewall Policy.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Arrays, expanda main e clique em Firewall Policy.

  2. Na guia Toolbox, clique em Network Objects, expanda Web Listeners, clique com o botão direito do mouse em FBA e selecione Properties.

  3. Selecione a guia Networks. Selecione External e clique em Address.

  4. Selecione 172.16.0.103 da coluna Available IP Addresses, clique em Add e clique em OK.

  5. Clique na guia Certificates e:

    1. Selecione 172.16.0.103 e clique em Select Certificate.

    2. Selecione portal.contoso.com e clique em Select.

  6. Clique em OK para fechar as propriedades do ouvinte da Web FBA.

Publicar sites do SharePoint

Utilize as informações na planilha preenchida anteriormente e execute o procedimento a seguir para publicar um site do SharePoint.

Para publicar o site do SharePoint
  1. Na árvore de console do ISA Server Management, clique em Firewall Policy:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda ISA01 e clique em Firewall Policy.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Arrays, expanda main e clique em Firewall Policy.

  2. Na guia Tasks, clique em Publish SharePoint Sites. Use o assistente para criar uma regra conforme descrito na tabela a seguir.

Página

Campo ou propriedade

Configuração

Welcome

SharePoint publishing rule name

Digite Publishing SharePoint.

Publishing Type

Opções de tipo de publicação

Selecione Publish a single Web site or load balancer.

Server Connection Security

Choose the type of connections ISA Server will establish with the published server or server farm

Selecione Use SSL to connect to the published Web server or server farm.

Internal Publishing Details

Internal site name

Digite sps01.corp.contoso.com.

Important

O nome do site interno deve corresponder ao nome do certificado do servidor que está instalado nos servidores Web internos.

Observação   Se você não consegue resolver adequadamente o nome do site interno, é possível selecionar Use a computer name or IP address to connect to the published server e digitar o endereço IP ou nome necessário que pode ser resolvido pelo computador do ISA Server.

Public Name Details

Accept requests for

Public name

This domain name (digite abaixo)

Digite portal.contoso.com.

Select Web Listener

Web listener

Selecione FBA.

Authentication Delegation

Select the method used by ISA Server to authenticate to the published Web server

Selecione NTLM authentication.

Alternate Access Mapping Configuration

Para integração e funcionalidade completas, você precisa configurar mapeamento de acesso alternativo no site do SharePoint publicado.

Selecione SharePoint AAM is already configured on the SharePoint server.

User Sets

This rule applies to requests from the following user sets

Selecione All Authenticated Users e clique em Remove.

Clique em Add, selecione LDAPUsers, clique em Add e clique em Close.

Completing the New SharePoint Publishing Rule Wizard

Analise as configurações.

Clique em Back para alterar e em Finish para concluir o assistente.

  1. Clique no botão Apply no painel de detalhes para salvar as alterações e atualizar a configuração.

Observação:

Se o site do SharePoint não contiver informações confidenciais, você poderá escolher Use non-secured connections to connect the published Web server or server farm na página Server Connection Security. A conexão do usuário ao ISA Server seria via HTTPS. A conexão do ISA Server ao servidor interno publicado seria via HTTP.

Testar a publicação do SharePoint

No computador router01 ou client01, execute o seguinte procedimento para testar a nova regra de publicação do SharePoint.

Observação:

Certifique-se de ter o certificado da autoridade de certificação raiz da autoridade de certificação emissora do certificado do portal.contoso.com instalado.

Para testar a publicação do SharePoint
  1. Abra o Internet Explorer.

  2. Navegue até a seguinte URL: https://portal.contoso.com. Utilize os seguintes detalhes para fazer o logon:

    1. Domain\user name: corp\mberg

    2. Password: Passw0rd

Bb794854.de23ec59-c800-4eee-8e10-2a4632712ff5(pt-br,TechNet.10).gif

Você deve estar no portal, agora.

Bb794854.636a0c5f-793c-462c-af4f-422834541cc1(pt-br,TechNet.10).gif
  1. Do lado direito, selecione External OWA em Links for You.

  2. Isso abrirá uma nova página de logon do ISA Server e você poderá abrir o site do Outlook Web Access publicado criado anteriormente.

Isso não é ideal, pois os usuários precisam fazer logon diversas vezes com as mesmas credenciais. Pode ser confuso e gerar chamadas desnecessárias ao suporte. Além de aumentar o tempo necessário para concluir uma tarefa. Quando os usuários estão com pressa, por exemplo, tentando embarcar em um vôo, talvez não consigam concluir a tarefa. Por isso você deve configurar SSO, conforme descrição no próximo tópico.

Dar segurança ao logon único entre Web e publicação de Outlook Web Access

Quando os usuários acessam dois sites diferentes, como um site do Outlook Web Access e um site do SharePoint, não deveriam ter de fornecer as mesmas credenciais novamente ao clicarem em um link para abrir um outro site.

O recurso SSO do ISA Server 2006 reutiliza as credenciais do usuário para um outro servidor publicado, eliminando a necessidade de inserir novamente as credenciais numa segunda ou terceira vez. A experiência do usuário será aprimorada, deste modo, pois clicarão em um link que abrirá um outro aplicativo Web sem terem de fornecer as credenciais novamente.

As seguintes suposições se aplicam:

  • Outlook Web Access é publicado com êxito.

  • SharePoint Portal Server é publicado com êxito.

Os seguintes computadores são necessários:

  • dc01

  • storage01 (Enterprise Edition)

  • isa01

  • sps01

  • exchange01

  • owa01

  • router01

As seções a seguir descrevem como configurar a solução:

Modificar um ouvinte da Web para habilitar logon único

Testar logon único entre o SharePoint Portal Server e o Outlook Web Access

Modificar um ouvinte da Web para habilitar logon único
Para modificar um ouvinte da Web para habilitar logon único
  1. Na árvore de console do ISA Server Management, clique em Firewall Policy:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda ISA01 e clique em Firewall Policy.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Arrays, expanda main e clique em Firewall Policy.

  2. Na guia Toolbox, clique em Network Objects, expanda Web Listeners, clique com o botão direito do mouse em FBA e selecione Properties.

  3. Clique na guia SSO. Selecione Enable Single Sign On. (Normalmente, esta opção está habilitada por padrão. Você desabilitou SSO quando criou o ouvinte da Web em Criar um ouvinte da Web.)

  4. Clique em Add para especificar os domínios SSO para o ouvinte da Web.

  5. Insira .contoso.com e clique em OK.

  6. Clique em OK para fechar a caixa de diálogo FBA Properties.

  7. Clique no botão Apply no painel de detalhes para salvar as alterações e atualizar a configuração.

Important

Ao habilitar SSO, certifique-se de fornecer um domínio específico de SSO. O fornecimento de um domínio genérico, como .co.uk, permitirá ao navegador da Web enviar o cookie do SSO do ISA Server a qualquer site naquele domínio, criando um risco de segurança.

Observe o seguinte:

  • Não há suporte para SSO entre diferentes ouvintes da Web.

  • Os servidores publicados devem compartilhar o mesmo sufixo DNS. Por exemplo, você pode configurar SSO quando publicar mail.contoso.com e portal.contoso.com. Você não pode configurar SSO ao publicar mail.fabrikam.com e portal.contoso.com.

Testar logon único entre o SharePoint Portal Server e o Outlook Web Access

No computador router01 ou client01, execute o seguinte procedimento para testar a nova regra de publicação do SharePoint.

Para testar logon único entre o SharePoint Portal Server e o Outlook Web Access
  1. Abra o Internet Explorer.

  2. Navegue até a seguinte URL: https://portal.contoso.com. Utilize os seguintes detalhes para fazer o logon:

    1. Domain\user name: corp\mberg

    2. Password: Passw0rd

Bb794854.de23ec59-c800-4eee-8e10-2a4632712ff5(pt-br,TechNet.10).gif
  1. Do lado direito, selecione External OWA em Links for You.

  2. A página Outlook Web Access do usuário abrirá automaticamente.

  3. Desconecte da página Outlook Web Access.

  4. Você pode fazer logon em https://mail.contoso.com/exchange, abrir um email chamado New External Portal, e clicar no link do email para abrir o site do SharePoint Portal.

Apêndice A: Recursos adicionais de publicação

Nesta seção, esses recursos adicionais, que você pode configurar para facilitar suas implantações, são discutidos:

  • Redirecionar HTTP para HTTPS

  • Gerenciamento de senha

Redirecionar HTTP para HTTPS

Ao publicar um site, recomendamos que os usuários abram uma conexão HTTPS entre eles e o computador do ISA Server, para proteger as informações sensíveis que estão sendo transferidas pela Internet. Para isso os usuários devem inserir uma URL como https://portal.contoso.com. Se o usuário apenas inserir portal.contoso.com, receberá o seguinte erro.

Bb794854.30acd38d-c5b5-49f5-8281-6eb2b55a5542(pt-br,TechNet.10).gif

Usuários têm a tendência a não inserir a parte HTTPS da URL mesmo quando estão acessando um site seguro. Esse comportamento foi reforçado pelos administradores da Web que criaram o script de seus sites para redirecionar os usuários para uma página HTTPS, mesmo quando inserem HTTP. Eles fizeram isso para reduzir o número de chamadas para o Suporte Técnico de usuários que não conseguem abrir uma URL.

Para habilitar HTTP para redirecionamento a HTTPS, execute o procedimento a seguir.

Para habilitar HTTP para redirecionamento a HTTPS
  1. Na árvore de console do ISA Server Management, clique em Firewall Policy:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server Name, e clique em Firewall Policy.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Arrays, expanda Array Name e clique em Firewall Policy.

  2. Na guia Toolbox, clique em Network Objects, expanda Web Listeners, clique com o botão direito do mouse em Web listener e selecione Properties.

  3. Selecione a guia Connections.

  4. Selecione Enable HTTP connections on port e confirme que a porta ouvinte para HTTP é 80.

  5. Confirme que Enable SSL (HTTPS) connections on port esteja selecionado e esteja ouvindo a porta 443.

  6. Selecione Redirect all traffic from HTTP to HTTPS.

Bb794854.457bec84-baec-4030-98a3-176f3c3b8082(pt-br,TechNet.10).gif
  1. Clique em OK para fechar as propriedades do ouvinte da Web.

  2. Clique no botão Apply no painel de detalhes para salvar as alterações e atualizar a configuração.

Gerenciamento de senha

É uma boa diretiva de segurança solicitar a seus usuários alterar suas senhas em intervalos regulares. Os usuários que não estão regularmente no escritório precisam de um método para alterar as senhas quando estiverem fora.

Ao usar autenticação com base em formulários, você poderá informar aos usuários que suas senhas expirarão dentro de um número específico de dias e você poderá habilitá-los a mudarem as senhas para que isso não ocorra. Os usuários também conseguirão alterar uma senha expirada.

Para configurar a opção Change Password ao utilizar a autenticação LDAP, o LDAP precisa ser configurado com as seguintes configurações:

  • A conexão com os servidores LDAP deve ser sobre uma conexão segura. Isso requer que um certificado SSL seja instalado no servidor do Active Directory. Para obter mais informações sobre LDAP sobre SSL, consulte "How to Enable LDAP over SSL with a third party certification authority" no Microsoft Support .

  • O computador do ISA Server precisa ter um certificado raiz de uma autoridade de certificação que emitiu o certificado SSL instalado nos servidores Active Directory.

  • A conexão com os servidores LDAP não pode ser via catálogo global.

  • São necessários nome de usuário e senha utilizados para verificar o status da conta de usuário e alteração de senhas.

Para habilitar a funcionalidade de alteração de senha para autenticação com base em formulários
  1. Na árvore de console do ISA Server Management, clique em Firewall Policy:

    • Para o ISA Server 2006 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Server Name, e clique em Firewall Policy.

    • Para o ISA Server 2006 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2006, expanda Arrays, expanda Array Na me e clique emFirewall Policy.

  2. Na guia Toolbox, clique em Network Objects, expanda Web Listeners, clique com o botão direito do mouse em Web listener e selecione Properties.

  3. Selecione a guia Forms.

  4. Selecione Allow users to change their passwords e Remind users that their password will expire in this number of days. O número padrão de dias é 15.

Bb794854.0f41508e-f9aa-4e57-997d-45a61ba3a040(pt-br,TechNet.10).gif
  1. Clique em OK para fechar as propriedades do ouvinte da Web.

  2. Clique no botão Apply no painel de detalhes para salvar as alterações e atualizar a configuração.

Agora, os usuários verão a tela de logon a seguir. Observe a opção I want to change my password after logging on.

Bb794854.880e2ee7-fc08-4f9a-90d6-8a0e8b0156d6(pt-br,TechNet.10).gif

Apêndice B: Configuração LDAP

O ISA Server 2006 apresenta a capacidade de autenticar usuários via LDAP em computadores que estejam executando Windows Server 2003 ou Windows 2000 Server. O ISA Server atualmente não suporta outros servidores LDAP.

A autenticação LDAP habilita o computador do ISA Server para permanecer em um grupo de trabalho. O ISA Server autentica usuários no Active Directory usando um método de autenticação que é semelhante ao método utilizando quando o computador do ISA Server é um membro do domínio.

Os usuários podem autenticar via LDAP usando o seguinte, que é mostrado como expressões de logon no ISA Server Management:

  • Nome da conta (domain\username) do Gerenciador de contas de segurança (SAM)

  • Nome principal do usuário (UPN) (username@domain.com)

O ISA Server pode se conectar ao servidor LDAP em alguma das formas descritas na tabela a seguir.

Conexão

Porta

Requer nome de domínio do Active Directory

Opção Supports Change Password

LDAP

389

Sim

Não

LDAPS

636

Sim

Sim

LDAP usando catálogo global

3268

Não

Não

LDAPS usando catálogo global

3269

Não

Não

Observação:

Para usar LDAPS ou LDAPS usando catálogo global, um certificado de servidor deve estar instalado no servidor LDAP e o certificado raiz da autoridade de certificação emissora precisa ser instalado no computador do ISA Server.

Propriedades de servidores LDAP do ISA Server

Para configurar adequadamente a autenticação LDAP, você precisa configurar um conjunto de servidores LDAP e pelo menos uma expressão de logon.

Conjunto de servidores LDAP

Um conjunto de servidores LDAP é um agrupamento de servidores LDAP, que o ISA Server usa para executar autenticação de usuário. Todos os servidores no conjunto de servidores LDAP compartilham as mesmas configurações de conexão LDAP.

A tabela a seguir relaciona as propriedades de um conjunto de servidores LDAP.

Item

Descrição

Comentário

LDAP server set

Listagem dos servidores LDAP disponíveis para autenticação de usuários LDAP. Todos os servidores listados compartilharão as mesmas configurações de conexão LDAP.

Obrigatório.

LDAP servers

Listagem dos servidores LDAP disponíveis para autenticação de usuários LDAP.

Observe o seguinte:

  • Onde houver mais de um servidor, os servidores serão consultados na ordem em que estiverem listados. Se um servidor não responder, ficará em tempo limite por 1 minuto. Se o mesmo servidor não responder novamente depois do tempo limite de 1 minuto, o tempo limite será dobrado, até alcançar 32 minutos. Neste momento, o tempo limite permanecerá em 32 minutos. Quando o ISA Server se conectar a um servidor, o contador de tempo limite será redefinido.

  • Recomendamos que você configure mais de um servidor LDAP para fornecer redundância para autenticação de usuário.

É necessário, no mínimo, um servidor.

Active Directory domain

Insira o nome do domínio em que as contas do usuário estão definidas.

O nome do domínio pode ter um dos seguintes formatos:

  • FQDN: corp.contoso.com

  • Nome distinto: DC=corp,DC=contoso,DC=com

Opcional se Use Global Catalog (GC) não tiver sido selecionado.

Use global catalog

Se seus servidores LDAP estiverem também configurados para serem servidores do catálogo global, selecione a opção Use Global Catalog (GC) e você não precisará especificar um nome de domínio Active Directory.

Para usar a opção Change Password, esta opção não pode estar selecionada.

Opcional.

Observe   O recurso Password Management não funciona quando um conjunto de servidores LDAP estiver configurado com esta propriedade.

Connect LDAP servers over secure connection

Selecione a opção Connect LDAP servers over secure connection, se quiser que a conexão entre o computador do ISA Server e o servidor LDAP seja criptografada via SSL.

Para obter mais informações sobre LDAP sobre SSL, consulte "How to Enable LDAP over SSL with a third party certification authority" no Microsoft Support .

Opcional.

Observação:

Para usar a opção Change Password, esta opção tem de estar selecionada.

User name and password

Essa opção só é necessária se você quiser usar a opção Password Management com autenticação com base em formulários.

Como o computador do ISA Server não será um membro do domínio, você precisa especificar um nome de usuário e uma senha que serão utilizados para verificação do status da conta do usuário. Essa conta pode ser qualquer conta de domínio, até mesmo uma conta de usuário restritiva. Essa conta é utilizada pelo ISA Server para se ligar ao servidor LDAP e consultar as propriedades do usuário que estiver conectado. Essa conta não é envolvida na alteração da senha do usuário.

Opcional.

Expressão de logon

Uma expressão de logon compara as credenciais inseridas do usuário com o conjunto de servidores LDAP correto. Para que a autenticação ocorra, você precisa pelo menos de uma expressão de logon para cada conjunto de servidores LDAP.

Um conjunto de servidores LDAP pode ter mais de uma expressão de logon atribuída a ele. Entretanto, uma expressão de logon pode ser atribuída apenas a um conjunto de servidores LDAP.

Exemplos de expressões de logon:

corp\*

*@corp.contoso.com

Se um usuário inserir credenciais no formato mberg@contoso.com, e a expressão de logon *@contoso.com não tiver sido inserida, a tentativa de logon falhará.

Antes de começar

Atualize a tabela a seguir com informações sobre o conjunto de servidores LDAP e expressões de logon.

Item

Valor

LDAP server set (Conjunto de servidores LDAP)

Nome: _________________

Server name (Nome do servidor)

Nome: ___________________

ou

Endereço IP: ___.___.___.___

Active Directory domain name (Nome do domínio do Active Directory)

FQDN ou nome distinto:

_____________________________

Use global catalog (Usa o catálogo global)

Sim ou não (circule um)

Connect LDAP servers over secure connection (Conectar servidores LDAP sobre conexão segura)

Sim ou não (circule um)

Observação   Se você tiver selecionado para se conectar sobre uma conexão segura, confirme que os certificados adequados tenham sido instalados.

User name and password (Nome de usuário e senha)

Nome do usuário: ______________

Senha: ________________

Login expression (Expressão de logon)

__________________

Por exemplo: corp\*

Para criar um conjunto de servidores LDAP, consulte Criar um conjunto de servidores LDAP.

Observação:

Use a ferramenta LDP.exe para testar a conectividade entre o computador do ISA Server e o servidor LDAP. LDP.exe, por padrão, está localizado no seguinte local: Diretório %PROGRAMFILES%\Support Tools.

Apêndice C: Mapeamento de acesso alternativo

Os mapeamentos de acesso alternativo fornecem um mecanismo para os administradores do SharePoint identificarem os diferentes meios em que os usuários acessam os sites do portal, garantindo que as URLs (links) sejam exibidas apropriadamente para o modo em que o usuário acessa o site do portal. Observe o seguinte:

  • Os administradores freqüentemente implantam sites de portal que os usuários podem acessar usando diferentes URLs. É importante que a funcionalidade, como resultados de pesquisa de site de portal e conteúdo de biblioteca de documento (com base em sistema de armazenamento Web), seja apropriada para a URL usada para acessar o site do portal. URLs externas devem ser fornecidas para o usuário em uma forma que seja apropriada para o modo como o usuário está acessando o site do portal atualmente.

  • Sem configurações de acesso alternativo, os resultados de pesquisa poderiam ser exibidos de um modo que os tornariam inacessíveis aos usuários. Os usuários podem receber resultados de pesquisa que não conseguirão acessar sempre que acessarem o site do portal usando uma URL diferente do original usada para rastrear o conteúdo.

O serviço Microsoft SharePointPSSearch consulta as entradas de configuração de acesso alternativo quando rastreia o documento. Se a URL do documento corresponder às URLs de entrada de mapeamento, a URL será substituída com o ID de mapeamento da entrada. Quando o resultado da pesquisa for exibido, o ID do mapeamento será substituído pela URL apropriada se o usuário estiver solicitando o documento de um ponto de acesso listado nas entradas de configurações de acesso alternativo. Se não houver mapeamento alternativo apropriado, os resultados da pesquisa exibirão a URL padrão.

Toda a entrada de configuração de acesso alternativo deve ter uma URL padrão. Cada entrada pode ter zonas ou métodos de acesso alternativo adicionais, para acesso personalizado, de intranet ou extranet. Cada URL deve ser diferente de todas os outras URLs. Esses mapeamentos são armazenados no banco de dados de configuração. O SharePoint Portal Server 2003 usa a URL padrão para qualquer URL solicitada que não for encontrada na tabela de mapeamento.

Important

Para que o mapeamento de acesso alternativo funcione adequadamente, sua regra de publicação do SharePoint deve ser configurada para encaminhar o cabeçalho do host original. Esta é a configuração padrão ao utilizar o SharePoint Publishing Wizard.

Windows SharePoint Services

O Windows SharePoint Services permite que equipes criem sites para compartilhamento de informações e colaboração de documentos, benefícios que ajudam a aumentar a produtividade individual e da equipe. O Windows SharePoint Services é um componente da infra-estrutura de profissionais da informação do Windows Server 2003 e fornece serviços de equipe e sites ao Microsoft Office System e outros programas de desktop. Ele também serve como plataforma para desenvolvimento de aplicativos. Incluindo tais recursos de tecnologia da informação (TI) como portais, espaços de trabalho em equipe, email, reconhecimento de presença e conferência baseada na Web, o Windows SharePoint Services habilita os usuários a localizarem informações distribuídas rápida e eficientemente, bem como se conectar e trabalhar com outras pessoas de forma mais produtiva.

Para obter mais informações sobre o Windows SharePoint Services, consulte a home page Windows SharePoint Services.

SharePoint Portal Server

O SharePoint Portal Server 2003 habilita as empresas a desenvolverem um portal inteligente que conecta integralmente usuários, equipes e conhecimento para que as pessoas possam tirar proveito de informações relevantes nos processos de negócios para ajudá-las a trabalhar de modo mais eficiente. O SharePoint Portal Server 2003 fornece uma solução comercial empresarial que integra informações de vários sistemas em uma solução através de um logon único e recursos de integração de aplicativos, com opções de implantação e ferramentas de gerenciamento flexíveis. O portal facilita a colaboração ponta a ponta, habilitando a agregação, a organização e os recursos de pesquisa para pessoas, equipes e informações. Os usuários podem encontrar informações relevantes rapidamente através da personalização do conteúdo e layout do portal, bem como pelo direcionamento do público. As organizações podem direcionar informações, programas e atualizações a públicos com base em sua função organizacional, equipe que fazem parte, interesse, grupo de segurança ou qualquer outro critério de participação que possa ser definido.

O SharePoint Portal Server 2003 utiliza os sites do Windows SharePoint Services para criar páginas de portais para pessoas, informações e organizações. O portal também amplia os recursos dos sites do Windows SharePoint Services com ferramentas de organização e gerenciamento, e habilita as equipes a publicarem informações em seus sites para toda a organização.

Para obter mais informações sobre o SharePoint Portal Server, consulte a home page SharePoint Portal Server.

Requisitos para configuração de mapeamento de acesso alternativo

Para configurar adequadamente configurações de mapeamento de acesso alternativo, você precisa das versões de software abordadas na tabela a seguir.

Produto

Versão

Windows SharePoint Services

Windows SharePoint Services com Service Pack 2

SharePoint Portal Server

SharePoint Portal Server 2003 com Service Pack 2

Configuração de mapeamento de acesso alternativo

Considere o seguinte:

  • A configuração de mapeamento de acesso alternativo para o Windows SharePoint Services é feita a partir de um prompt de comando com o comando Stsadm.exe.

  • A configuração de mapeamento de acesso alternativo para o SharePoint Portal Server é feita via Administração central para a administração do SharePoint Portal Server Web.

Observação:

Se você estiver executando o SharePoint Portal Server, recomendamos também a configuração do mapeamento de acesso alternativo para o Windows SharePoint Services.

Cenário

Você publicou um site do SharePoint através do ISA Server 2006 usando o SharePoint Publishing Wizard. Os usuários acessarão o site inserindo a seguinte URL: https://portal.contoso.com. O ISA Server se conectará ao servidor Web interno usando a seguinte URL: http://sps01. Com base nas informações a seguir, você configurará o mapeamento de acesso alternativo para o Windows SharePoint Services e o SharePoint Portal Server.

Ao configurar o mapeamento de acesso alternativo, você configura a zona da extranet. Uma zona é um outro método de acessar o site do SharePoint que é diferente da zona padrão. Por exemplo, o site do SharePoint denominado sps01 é acessado da rede interna como HTTP://sps01. Entretanto, quando acessado por um usuário na Internet via o ISA Server, o usuário acessa https://portal.contoso.com.

Configuração do Windows SharePoint Services

Execute os comandos Stsadm.exe. Para o Stsadm.exe, você precisa definir as configurações de entrada e saída para cada método (zona) de mapeamento de acesso alternativo.

Configurar o mapeamento de acesso alternativo para o Windows SharePoint Services
  1. Para configurar a zona de saída, execute o seguinte comando no prompt de comando:

    • stsadm.exe
      -o addzoneurl -urlzone extranet -zonemappedurl https://portal.contoso.com -url http://sps01
  2. Para configurar a zona de entrada, execute o seguinte comando no prompt de comando:

    • stsadm.exe -o addalternatedomain -urlzone extranet -incomingurl https://portal.contoso.com -url http://sps01
  3. Para confirmar a configuração Stsadm, execute o seguinte comando no prompt de comando:

Configuração do SharePoint Portal Server

Para o SharePoint Portal Server, você precisa configurar o método (zona) de mapeamento de acesso alternativo, que configura automaticamente as configurações de entrada e saída.

Para configurar o mapeamento de acesso alternativo para o SharePoint Portal Server
  1. Clique em Iniciar, aponte para Programas, aponte para SharePoint Portal Server e clique em SharePoint Central Administration para abrir o aplicativo Administração Central do SharePoint.

  2. Na página Administração Central do SharePoint Portal Server para SPS01, na seção Configuração do Servidor Virtual e do Site de Portal, clique em Configurar URLs de site de portal alternativo para intranet, extranet e acesso personalizado.

  3. Na página Configurar Definições de Acesso Alternativo ao Portal, aponte para Site Padrão e clique na seta exibida.

  4. No menu exibido, clique em Editar.

  5. Na página Alterar Definição de Acesso Alternativo, na caixa URL da Extranet , digite a URL da extranet https://portal.contoso.com.

  6. Clique em OK.

Observação:

Isso configura apenas o mapeamento de acesso alternativo para os serviços do SharePoint Portal Server. Se seu site também estiver usando os serviços do Windows SharePoint Services, você também precisará configurar o mapeamento de acesso alternativo para o Windows SharePoint Services.

Apêndice D: Dicas de segurança

As seções a seguir destacam alguns itens de segurança que devem ser considerados na publicação de servidores Web.

Evite publicar dois sites que compartilhem o mesmo nome de host

Não recomendamos a publicação de dois sites com o mesmo nome de host. Se você tiver dois sites internos, http://site1 e http://site2, não os publique usando o mesmo nome de host, http://external.contoso.com/site1 e http://external.contoso.com/site2.

O método de publicação mais seguro é publicar cada site com um nome de host único, http://site1.contoso.com e http://site2.contoso.com.

Logon único e estações quiosque

Os usuários devem ser instruídos a fazer logoff adequadamente das estações de trabalho quiosque. Isso é especialmente importante ao utilizar aplicativos publicados que não tenham um botão de logoff e quando o logon único estiver configurado.

Se um usuário estiver acessando um aplicativo publicado, um cookie será armazenado no computador local. Se o aplicativo não tiver um botão de logoff, e o usuário navegar para uma outra página da Web e sair o quiosque sem fazer logoff, o cookie ainda ficará no computador e permanecerá válido. Outro usuário poderia usar este cookie para acessar qualquer outro aplicativo publicado que tenha sido configurado como logon único no aplicativo publicado.

As seguintes práticas recomendadas devem ser utilizadas na utilização de computadores públicos para acessar a Internet:

  • Execute logoff em aplicativos publicados, se disponível.

  • Elimine os cookies depois de terminar de usar aplicativos publicados.

  • Eliminar arquivos temporários da Internet criados pelo Office quando trabalhar com o SharePoint Portal Server.

  • Fechar todas as janelas do navegador.

  • Fazer logoff do Windows, se possível.

Observação:

Os cookies criados pelo ISA Server terão tempo limite, por padrão, de 30 minutos.

Logon único e seqüestro de sessão

Você pode garantir que seu aplicativo Web seja criado para resistir a ataques de seqüestro de sessão (também conhecidos como publicação intersite, falsificação de solicitação intersite ou ataque por sedução) antes de publicá-lo usando o ISA Server.

Apêndice E: Dicas administrativas

Esta seção fornece dicas administrativas para o logon de RPC sobre HTTP e para autenticação com base em formulários que não estão em inglês.

Logon de RPC sobre HTTP

Quando você publicar RPC sobre HTTP, o log do ISA Server poderá conter entradas de conexão com erro incluindo o Erro 64: "O nome da rede especificado não está mais disponível" (ERROR_NETNAME_DELETED). Você pode ignorar com segurança essas entradas, que são a resposta de como o Exchange manipula a conexão RPC sobre HTTP.

Autenticação com base em formulários que não estão em inglês

As configurações de idioma do navegador dos usuários determinam o idioma dos formulários que o ISA Server usa. Isso é automático e não há alterações de configuração necessárias.

Autenticação de certificado cliente

As condições a seguir precisam ser levadas em conta quando uma autenticação de certificado cliente tiver sido configurada.

Certificados de vários cliente instalados no computador cliente

Quando há vários certificados clientes instalados no computador do usuário e o Client Authentication Method selecionado no ouvinte da Web for SSL Client Certificate Authentication, o usuário precisará selecionar o certificado correto na caixa de diálogo Escolha um certificado digital, ao acessar o servidor Web publicado.

Logon único e autenticação de certificado cliente

Se você tiver configurado logon único entre dois aplicativos publicados com nomes de host diferentes, por exemplo portal.contoso.com e owa.contoso.com, e o Client Authentication Method selecionado no ouvinte da Web for SSL Client Certificate Authentication, os usuários serão solicitados a selecionar seus certificados uma segunda vez quando forem de um site publicado para o segundo site publicado. Os usuários apenas serão solicitados a informar o código PIN na primeira vez em que selecionarem o certificado, desde que o segundo servidor Web publicado esteja aberto no mesmo processo de aplicativo de navegador.

Essa questão não afeta os sites Web publicados que compartilham o mesmo nome de host, por exemplo https://public.contoso.com/owa e https://public.contoso.com/portal.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft