Compartir a través de

Diseño de la topología de la granja de servidores de extranet (Office SharePoint Server)

  • Artículo

En este artículo:

  • Acerca de los entornos de extranet

  • Planeación de entornos de extranet

  • Topología de firewall perimetral

  • Topología perimetral opuesta

  • Topología perimetral opuesta con publicación de contenido

  • Topología perimetral opuesta optimizada para hospedar contenido estático

  • Topología opuesta dividida

Este artículo se puede usar con el siguiente modelo: topologías de extranet para Productos y Tecnologías de SharePoint (en inglés) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0xC0A) (en inglés).

Acerca de los entornos de extranet

Un entorno de extranet es una red privada extendida de forma segura para compartir parte de la información o los procesos de una organización con empleados remotos, socios externos o clientes. Mediante una extranet, puede compartir cualquier tipo de contenido hospedado en Microsoft Office SharePoint Server 2007, incluido:

  • Contenido informativo de marca.

  • Contenido personalizado basado en cuentas de usuario.

  • Contenido de colaboración, como documentos, listas, bibliotecas, calendarios, blogs y wikis.

  • Repositorios de documentos.

En la siguiente tabla se describen las ventajas que ofrece la extranet a cada grupo.

Empleados remotos

Los empleados remotos pueden obtener acceso a información corporativa y recursos electrónicos en cualquier lugar y en cualquier momento sin necesidad de una red privada virtual (VPN). Los empleados remotos incluyen:

  • Empleados de ventas de viaje.

  • Empleados que trabajan desde oficinas en casa o sitios de clientes.

  • Equipos virtuales geográficamente dispersos.

Socios externos

Los socios externos pueden participar en los procesos de negocio y colaborar con los empleados de su organización. Puede usar una extranet para ayudar a mejorar la seguridad de los datos de las siguientes maneras:

  • Aplique los componentes de seguridad y de interfaz de usuario adecuados para aislar a los socios y los datos internos.

  • Autorice a los socios a usar sólo los sitios y los datos que son necesarios para su colaboración.

  • Evite que los socios puedan ver los datos de otros socios.

Puede optimizar los procesos y los sitios para la colaboración de socios de las siguientes maneras:

  • Permita a los empleados de su organización y a los empleados de los socios ver, cambiar, agregar y eliminar contenido para promover buenos resultados para ambas compañías.

  • Configure las alertas para que se notifique a los usuarios cuando el contenido cambie o para iniciar un flujo de trabajo.

Clientes

Publique contenido dirigido de marca para socios y clientes de las siguientes maneras:

  • Dirija el contenido según la línea de productos o por perfil de usuario.

  • Segmente el contenido mediante la implementación de colecciones de sitios diferentes dentro de una granja de servidores.

  • Limite el acceso al contenido y los resultados de búsqueda según la audiencia.

Office SharePoint Server 2007 proporciona opciones flexibles para configurar el acceso de extranet a los sitios. Puede conceder acceso orientado a Internet a un subconjunto de sitios de una granja de servidores o hacer que todo el contenido de una granja de servidores sea accesible desde Internet. Puede hospedar el contenido de extranet dentro de su red corporativa y hacer que esté disponible a través de un firewall perimetral o puede aislar la granja de servidores en una red perimetral.

Planeación de entornos de extranet

El resto de este artículo explica topologías de extranet específicas que se han probado con Office SharePoint Server 2007. Las topologías que se mencionan en este artículo pueden ayudarle a entender las opciones que están disponibles con Office SharePoint Server 2007, incluidos los requisitos y las desventajas.

En las siguientes secciones se ponen de relieve las actividades de planeación adicionales para un entorno de extranet.

Planeación de la tecnología perimetral de red

En cada topología, la tecnología perimetral de red que se muestra es uno de los productos siguientes, o ambos, del conjunto de aplicaciones de Microsoft Forefront Edge: Microsoft Internet Security and Acceleration (ISA) Server e Intelligent Application Gateway (IAG) 2007. Para obtener más información acerca de estos productos de Microsoft Forefront Edge, vea los recursos siguientes:

Nota

Puede sustituirlo por otra tecnología perimetral de red.

IAG Server proporciona estas características adicionales:

  • Prevención de pérdida de información: no se dejan residuos en el equipo cliente y se eliminan todas las cookies y los archivos temporales y de la memoria caché.

  • Autorización de extremo basada en mantenimiento: los administradores pueden definir una directiva de acceso que esté basada no sólo en la identidad del usuario y la información que se expone, sino también en la condición del equipo cliente.

  • Acceso a los sitios de SharePoint desde Outlook Web Access: los usuarios pueden tener acceso a los sitios de SharePoint desde vínculos enviados por correo electrónico a través de Outlook Web Access. IAG proporciona traducción de vínculos para los vínculos que hacen referencia a direcciones URL internas.

  • Portal unificado: una vez iniciada la sesión, IAG presenta a cada usuario la lista de sitios de SharePoint y otras aplicaciones que están disponibles y autorizadas para ese usuario.

En la siguiente tabla se resumen las diferencias entre los servidores.

Capacidad ISA 2006 IAG 2007

Publicación de aplicaciones web mediante HTTPS

X

X

Publicación de aplicaciones móviles internas en dispositivos móviles

X

X

Firewall de nivel 3

X

X*

Compatibilidad con escenarios de salida

X

X*

Compatibilidad con matriz

X

Localización de la consola de globalización y administración

X

Asistentes y valores de configuración predefinidos para publicar sitios de SharePoint y Exchange

X

X

Asistentes y valores de configuración predefinidos para publicar varias aplicaciones

X

Compatibilidad con los Servicios de federación de Active Directory (ADFS)

X

Autenticación enriquecida (por ejemplo, tarjeta inteligente basada en formularios con contraseña de un solo uso)

X

X

Protección de aplicaciones (firewall de aplicaciones web)

Básica

Completa

Detección de mantenimiento de extremo

X

Prevención de pérdida de información

X

Directiva de acceso granular

X

Portal unificado

X

* Compatible con ISA, que se incluye con IAG 2007.

Planeación de la autenticación y la arquitectura lógica

Además de elegir o diseñar una topología de extranet, deberá diseñar una estrategia de autenticación y una arquitectura lógica para permitir el acceso a los usuarios que corresponda fuera de la red interna y para proteger los sitios y el contenido de la granja de servidores. Para obtener más información, vea los siguiente recursos:

Planeación de las relaciones de confianza de dominios

Cuando una granja de servidores se encuentra dentro de una red perimetral, esta red requiere su propia infraestructura y dominio del servicio de directorio de Active Directory. Normalmente, un dominio perimetral y un dominio corporativo no se configuran para confiar el uno en el otro. Sin embargo, existen varios escenarios en que puede ser necesaria una relación de confianza. En la siguiente tabla se resumen los escenarios que afectan a los requisitos de una relación de confianza.

Escenario Descripción

Autenticación de Windows

Si el dominio perimetral confía en el dominio de red corporativa, puede autenticar a los empleados tanto internos como remotos mediante sus credenciales de dominio corporativo.

Para obtener información acerca del diseño de una estrategia de autenticación y una arquitectura lógica para este escenario, vea Modelo de arquitectura lógica: implementación corporativa.

Autenticación de formularios e inicio de sesión único (SSO) web

Puede usar la autenticación de formularios y el SSO web para autenticar a empleados tanto internos como remotos en un entorno de Active Directory interno. Por ejemplo, puede usar el SSO web para la conexión con los Servicios de federación de Active Directory (ADFS). El uso de la autenticación de formularios o el SSO web *no* requiere una relación de confianza entre los dominios.

Sin embargo, es posible que varias características de Office SharePoint Server 2007 no estén disponibles dependiendo del proveedor de autenticación. Para obtener más información acerca de las características que pueden verse afectadas cuando se usa la autenticación de formularios o el SSO web, vea Planeación de la configuración de autenticación para aplicaciones web en Office SharePoint Server.

Publicación de contenido

*No* se requiere una relación de confianza entre dominios para publicar contenido de un dominio a otro. Para evitar el requisito de una relación de confianza, asegúrese de usar la cuenta adecuada para publicar contenido. Para obtener más información, vea la sección acerca del endurecimiento de la seguridad para la publicación de contenido de Seguridad reforzada para entornos en la extranet.

Para obtener más información acerca de la configuración de una relación de confianza unidireccional en un entorno de extranet, vea Seguridad reforzada para entornos en la extranet.

Planeación de la disponibilidad

El propósito de las topologías de extranet que se describen en este artículo es ilustrar:

  • Dónde está ubicada una granja de servidores dentro de una red general.

  • Dónde está ubicada cada una de las funciones de servidor dentro de un entorno de extranet.

Este artículo no está pensado para ayudarle a planear qué funciones de servidor necesita implementar ni cuántos servidores necesita implementar para cada función a fin de lograr la redundancia. Después de determinar cuántas granjas de servidores son necesarias en su entorno, use el siguiente artículo para planear la topología para cada granja de servidores: Planeación de la redundancia (Office SharePoint Server).

Planeación del endurecimiento de la seguridad

Después de diseñar la topología de la extranet, use los siguientes recursos para planear el endurecimiento de la seguridad:

Topología de firewall perimetral

Esta configuración usa un servidor proxy inverso en el límite entre Internet y la red corporativa para interceptar y luego reenviar las solicitudes al servidor web adecuado situado en la intranet. Mediante un conjunto de reglas configurables, el servidor proxy comprueba que las direcciones URL solicitadas estén permitidas según la zona desde la que se originó la solicitud. A continuación, las direcciones URL solicitadas se traducen en direcciones URL internas. La siguiente ilustración muestra una topología de firewall perimetral.

Topología de granja de servidores de extranet: firewall perimetral

Ventajas

  • La solución más sencilla y la que menos hardware y configuración requiere.

  • Toda la granja de servidores se encuentra en la red corporativa.

  • Ubicación de datos única:

    • Los datos se encuentran dentro de la red de confianza.

    • El mantenimiento de los datos tiene lugar en una ubicación.

    • Se usa una única granja de servidores para las solicitudes tanto internas como externas, lo que garantiza que todos los usuarios autorizados verán el mismo contenido.

  • Las solicitudes de usuarios internos no se pasan a través de un servidor proxy.

Desventajas

  • Tiene como resultado un único firewall que separa la red interna corporativa de Internet.

Topología perimetral opuesta

Una topología perimetral opuesta aísla la granja de servidores en una red perimetral aparte, tal como muestra la siguiente ilustración.

Red de Office SharePoint Server: configuración opuesta

Esta topología tiene las siguientes características:

  • Todo el hardware y los datos residen en la red perimetral.

  • Las funciones de la granja de servidores y los servidores de infraestructura de red se pueden separar en varios niveles. La combinación de los niveles de red puede reducir la complejidad y el coste.

  • Cada nivel puede separarse por medio de enrutadores o firewalls adicionales para garantizar que se permitan sólo las solicitudes de niveles específicos.

  • Las solicitudes de la red interna se pueden dirigir a través del servidor ISA del lado interno o enrutarse a través de la interfaz pública de la red perimetral.

La ilustración muestra todas las funciones del servidor de aplicaciones situadas en el Nivel 2 como servidores dedicados. En una implementación real, varias funciones del servidor de aplicaciones pueden residir en un único servidor de aplicaciones. Asimismo, algunas granjas de servidores se optimizan mejor si se implementa la función Consulta en los servidores web del Nivel 1 en lugar de como servidores de aplicaciones dentro del Nivel 2.

Ventajas

  • El contenido se aísla en una única granja de servidores en la extranet, lo que simplifica el uso compartido y el mantenimiento del contenido en la intranet y la extranet.

  • El acceso de usuarios externos se aísla en la red perimetral.

  • Si la extranet se ve comprometida, es posible que los daños se limiten al nivel afectado o a la red perimetral.

  • Con una infraestructura de Active Directory aparte, las cuentas de usuarios externos se pueden crear sin afectar al directorio corporativo interno.

Desventajas

  • Requiere una infraestructura y configuración de red adicionales.

Topología perimetral opuesta con publicación de contenido

Esta topología agrega la publicación de contenido a la topología perimetral opuesta. Al agregar la publicación de contenido, los sitios y el contenido que se desarrollan dentro de la red corporativa pueden publicarse en la granja de servidores que se encuentra en la red perimetral.

La siguiente ilustración muestra la topología perimetral opuesta con publicación de contenido.

Topología de granja de servidores de extranet de Office SharePoint Server

Tenga en cuenta las siguientes características de esta topología:

  • Requiere dos granjas de servidores separadas: una en la red corporativa y otra en la red perimetral.

  • La publicación es unidireccional. Cualquier contenido creado o modificado en la red perimetral es único.

La ilustración muestra la ruta de acceso de la distribución de contenido desde el sitio de Administración central de la granja de servidores de almacenamiento provisional de contenido al sitio de Administración central de la granja de servidores de destino. El sitio de Administración central se instala normalmente en uno de los servidores de aplicaciones. La ilustración describe el sitio de Administración central por separado para mostrar la función de este sitio en la distribución de contenido.

Ventajas

  • Aísla el contenido orientado a los clientes y orientado a los socios en una red perimetral separada.

  • La publicación de contenido se puede automatizar.

  • Si el contenido de la red perimetral se ve comprometido o se daña como resultado del acceso a Internet, se mantiene la integridad del contenido de la red corporativa.

Desventajas

  • Requiere más hardware para mantener dos granjas de servidores separadas.

  • La sobrecarga de datos es mayor. El contenido se mantiene y coordina en dos granjas de servidores y redes diferentes.

  • Los cambios en el contenido de la red perimetral no se reflejan en la red corporativa. En consecuencia, la publicación de contenido en el dominio perimetral no es una opción viable para los sitios de extranet en colaboración.

Topología perimetral opuesta optimizada para hospedar contenido estático

Cuando los entornos tengan contenido estático o mayoritariamente estático, para optimizar el rendimiento, implemente las características de almacenamiento en caché de IAG 2007 o ISA Server 2006. Se puede configurar el almacenamiento en caché de IAG o ISA, además de las características de almacenamiento en caché de Office SharePoint Server 2007.

Por ejemplo, ISA Server proporciona los dos tipos de almacenamiento en caché siguientes:

  • Almacenamiento en caché de salida   El almacenamiento en caché de salida proporciona objetos web almacenados en caché a los usuarios internos que realizan solicitudes web a Internet.

  • Almacenamiento en caché de entrada   El almacenamiento en caché de entrada proporciona contenido almacenado en caché a los clientes de Internet externos que realizan solicitudes a servidores web internos publicados por ISA Server.

Para obtener más información acerca del almacenamiento en caché de ISA, vea el tema sobre el almacenamiento en caché y CARP en ISA Server 2006 (en inglés) (https://go.microsoft.com/fwlink/?linkid=86531&clcid=0xC0A) (en inglés).

Use el almacenamiento en caché de IAG o ISA además del almacenamiento en caché de Office SharePoint Server 2007 solo si se cumplen las siguientes condiciones:

  • El contenido es estático. La sustitución después del almacenamiento en caché, en la que no se almacenan en caché algunas partes de una página, no se usa. Las direcciones URL no se modifican.

  • El contenido es 100 % anónimo.

El almacenamiento en caché de IAG e ISA le permite sobrepasar los límites de una única granja de servidores, mejorando el rendimiento allí donde los servidores web podrían suponer cuellos de botella. Esto le permite mejorar el rendimiento cuando se haya alcanzado el número máximo de servidores web o reducir el número de servidores web requeridos.

La siguiente ilustración muestra varios servidores IAG o ISA que se usan para almacenar contenido en caché.

Topología de granja de servidores de extranet: publicación con configuración opuesta

En la ilustración, se muestran las siguientes opciones:

  • La función Consulta se instala en los servidores web.

  • El sitio de Administración central se instala en el servidor de índices.

Ventajas

  • Mejora el rendimiento en gran medida cuando se hospeda contenido estático o casi estático.

  • Reduce el número de solicitudes en los servidores web y servidores de base de datos.

  • Ofrece un método para escalar la solución de extranet.

Desventajas

  • El almacenamiento en caché de ISA puede reducir el rendimiento general en entornos que tienen contenido dinámico o que cambia con frecuencia.

Topología opuesta dividida

Esta topología divide la granja de servidores entre las redes perimetral y corporativa. Los equipos que ejecutan el software de base de datos Microsoft SQL Server se hospedan dentro de la red corporativa. Los servidores web se encuentran en la red perimetral. Los equipos servidor de aplicaciones pueden hospedarse en la red perimetral o en la red corporativa.

Topología de red perimetral opuesta dividida

En la ilustración anterior:

  • Los servidores de aplicaciones se hospedan dentro de la red perimetral. Esta opción está representada por los servidores azules dentro de la línea de guiones.

  • De forma opcional, los servidores de aplicaciones se pueden implementar dentro de la red corporativa, con los servidores de base de datos. Esta opción está representada por los servidores grises dentro de la línea de guiones. Si implementa servidores de aplicaciones dentro de la red corporativa con los servidores de base de datos, también debe tener un entorno de Active Directory para admitir estos servidores (representados por servidores grises dentro de la red corporativa).

Si la granja de servidores se divide entre la red perimetral y la red corporativa con los servidores de base de datos situados dentro de la red corporativa, se requiere una relación de confianza de dominios si se usan cuentas de Windows para obtener acceso a SQL Server. En este escenario, el dominio perimetral debe confiar en el dominio corporativo. Si se usa la autenticación de SQL, no se requiere una relación de confianza del dominio. Para obtener más información acerca de la configuración de cuentas para esta topología, vea la sección acerca de las relaciones de confianza de dominios en el siguiente artículo: Seguridad reforzada para entornos en la extranet.

Para optimizar el rendimiento de las búsquedas y el rastreo, coloque los servidores de aplicaciones dentro de la red corporativa con los servidores de base de datos. También puede agregar la función del servidor web al servidor de índices dentro de la red corporativa y configurar este servidor web para su uso dedicado por parte del servidor de índices para rastrear contenido. Sin embargo, no agregue la función Consulta al servidor de índices si esta función también se encuentra en otros servidores de la granja de servidores. Si coloca servidores web en la red perimetral y servidores de aplicaciones dentro de la red corporativa, debe configurar una relación de confianza unidireccional en que el dominio de la red perimetral confíe en el dominio de la red corporativa. Esta relación de confianza unidireccional se requiere en este escenario para admitir la comunicación entre servidores dentro de la granja de servidores, independientemente de si va a usar autenticación de Windows o autenticación de SQL para obtener acceso a SQL Server.

Puede colocar uno o varios servidores web dentro de la red corporativa para atender las solicitudes internas. Esto provocará que los servidores web se dividan entre la red perimetral y la red corporativa. Si lo hace, asegúrese de que la carga del tráfico procedente de Internet está equilibrada para los servidores web de la red perimetral y que la carga del tráfico procedente de la red corporativa está equilibrada de manera independiente para los servidores web incluidos en la red corporativa. También debe configurar distintas zonas de asignación alternativa de acceso y reglas de publicación de firewall alternativas para cada segmento de la red.

Si tiene previsto publicar contenido desde una granja de servidores de almacenamiento provisional dentro de la red corporativa a los servidores de base de datos que hospedan contenido para la extranet (también dentro de la red corporativa), puede optimizar la granja de servidores si hospeda los servidores de aplicaciones, incluido el sitio de Administración central, dentro de la red corporativa por las siguientes razones:

  • La secuencia de datos para la publicación de contenido viaja desde el sitio de Administración central de la granja de servidores provisional al sitio de Administración central de la granja de servidores de destino. Si el sitio de Administración central se encuentra dentro de la red corporativa, la secuencia de datos de publicación de contenido no viaja a través del firewall entre la red perimetral y la red corporativa. En cambio, si el sitio de Administración central se encuentra dentro de la red perimetral, la secuencia de datos viaja a través del firewall en ambas direcciones antes de llegar a las bases de datos de contenido de la granja de servidores de destino.

  • La indización tiene lugar dentro de la red corporativa.

La siguiente ilustración muestra un entorno de topología opuesta dividida optimizado para la publicación de contenido.

Topología de granja de servidores de extranet de SharePoint Services

En la ilustración, se muestran las siguientes opciones:

  • La función Consulta se instala en los servidores web de la red perimetral.

  • Los servidores de aplicaciones residen en la red corporativa con los servidores de base de datos. Esto requiere una relación de confianza unidireccional en que el dominio perimetral confíe en el dominio corporativo.

  • El sitio de Administración central para la granja de servidores de producción se instala en el servidor de índices.

  • La función del servidor web se instala en el servidor de índices y está dedicada al rastreo de contenido.

Ventajas

  • Los equipos que ejecutan SQL Server no están hospedados dentro de la red perimetral.

  • Los componentes de la granja de servidores tanto dentro de la red corporativa como dentro de la red perimetral pueden compartir las mismas bases de datos.

  • El contenido se puede aislar en una única granja de servidores dentro de la red corporativa, lo cual simplifica el uso compartido y el mantenimiento del contenido en toda la red corporativa y la red perimetral.

  • Con una infraestructura de Active Directory aparte, las cuentas de usuarios externos se pueden crear sin afectar al directorio corporativo interno.

Desventajas

  • La complejidad de la solución aumenta en gran medida.

  • Intrusos que ponen en peligro los recursos de la red perimetral podrían obtener acceso al contenido de la granja de servidores almacenado en la red corporativa mediante las cuentas de la granja de servidores.

  • La comunicación entre las granjas de servidores suele quedar dividida entre dos dominios.

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la sección de libros descargables para Office SharePoint Server 2007.