ISA Server 2004 Service Pack 2
Internet Security and Acceleration Server 2004
La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, las empresas, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, lugares y eventos descritos en el presente documento son ficticios y no se pretende relacionarlos con ninguna empresa, organización, producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o evento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o insertada en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna limitación a los derechos de propiedad industrial o intelectual. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros derechos de propiedad intelectual sobre los contenidos de este documento. La entrega de este documento no le otorga ninguna licencia sobre dichas patentes, marcas, derechos de autor u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en un contrato escrito de licencia de Microsoft.
©
2006 Microsoft Corporation. Reservados todos los derechos.
Microsoft, PowerPoint y Windows son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y/o en otros países o regiones. Todas las demás marcas comerciales son propiedad de sus respectivos propietarios.
Microsoft Corporation
Tutorial acerca de las características 3
Contenidos Contenidos 3 Introducción 3 Escenario de sucursales 3 Características de SP2 de ISA Server 2004 5 Tutorial acerca de las características 12 Apéndice A: habilitar la caché del servidor ISA 31 Más información 31
In t roducción Las empresas que poseen sucursales distribuidas a nivel local, en un continente o por todo el mundo, desean tener garantizada una comunicación segura y eficaz entre esas sucursales y la sede central corporativa, así como entre las sucursales. Service Pack 2 (SP2) de Microsoft ® Internet Security and Acceleration (ISA) Server 2004 es la respuesta de Microsoft a la necesidad de las empresas de establecer una conectividad segura con sus sucursales y de mantener una comunicación más eficaz incluso en situaciones en las que existe un ancho de banda limitado y una latencia alta. SP2 de ISA Server 2004 proporciona varias características importantes que posibilitan esta comunicación y que se describen en las siguientes secciones. En SP2 de ISA Server 2004 también se ha mejorado la documentación sobre el producto, incluyéndose más información sobre temas de gran interés para los usuarios del servidor ISA. Este service pack también contiene varias revisiones y respuestas a las peticiones de nuestros clientes. Por ejemplo, se ha actualizado y mejorado el mecanismo del Protocolo de enrutamiento de matriz de caché (CARP) y se han agregado las alertas de administración de certificados. Para obtener más información importante acerca de esta versión, lea las notas sobre la versión en sitio Web de Microsoft Windows Server System. Las revisiones y las características de SP2 de ISA Server 2004 deben aplicarse a las implementaciones de Standard Edition y Enterprise Edition.
Escenario de sucursales Una empresa posee su sede central en la ciudad de Nueva York y sucursales repartidas por todo el mundo. Algunas de las sucursales más grandes pueden conectarse directamente a la sede central mediante conexiones de alta velocidad. Otras pueden conectarse a redes privadas virtuales (VPN) a través de líneas de comunicación de diversas velocidades y latencias. Por ejemplo, una sucursal remota puede conectarse directamente (a través de una línea frame relay) o como una
4 ISA Server 2004 Service Pack 2
VPN mediante una línea de 56 o 64 kilobits por segundo (Kpbs). A menudo, el proxy de la oficina principal enruta las peticiones de Internet directamente a Internet mientras que las sucursales pueden enrutar las peticiones a través de la sede central. Los clientes de las sucursales que se benefician de las características de SP2 son los exploradores de Internet. Éstos normalmente necesitarán tráfico de Protocolo de transferencia de hipertexto (HTTP) 1.1. Las nuevas características de la versión de SP2 de ISA Server 2004 sirven para satisfacer varias necesidades de comunicación: •
Almacenamiento en caché del contenido de Microsoft Update descargado en la sucursal mediante el Servicio de transferencia inteligente en segundo plano (BITS). Las descargas de BITS, por ejemplo, las descargas de Microsoft Update, utilizan una gran cantidad de ancho de banda, que no suele sobrar en escenarios de sucursales. Realizar las descargas varias veces significa despilfarrar, incluso en un escenario con una conexión de alta velocidad. En una sucursal con una conexión lenta, estas descargas utilizan una gran cantidad del ancho de banda disponible durante largos períodos. En el caso de descargas de Microsoft Update, las demoras pueden suponer un riesgo para la seguridad de los equipos que necesitan las actualizaciones. SP2 de ISA Server 2004 proporciona almacenamiento en caché BITS para descargas de Microsoft Update.
•
Para conservar el ancho de banda limitado, se requiere la compresión del contenido entre las sucursales y la oficina principal. SP2 de ISA Server 2004 proporciona la compresión HTTP para reducir el uso del ancho de banda. Recuerde que HTTP 1.1 admite la compresión, algo que no ocurre con HTTP 1.0.
•
Inspección de las comunicaciones HTTP comprimidas.
•
Cuando las comunicaciones entre la sucursal y la oficina principal tienen diferente importancia, pueden diferenciarse los paquetes en función de su prioridad y se les debe asignar el uso preferente del limitado ancho de banda en consecuencia. SP2 de ISA Server 2004 admite el control del ancho de banda administrado por los enrutadores corporativos al establecer la prioridad de paquetes mediante el protocolo de servicios diferenciados (Diffserv). El protocolo DiffServ proporciona un marco que permite la implementación de la discriminación de servicio escalable a través de Internet. DiffServ utiliza una tabulación en el encabezado del protocolo Internet (IP) de cada paquete para etiquetar su prioridad.
Para obtener información sobre DiffServ, consulte la sección sobre la definición del campo de servicios diferenciados (Campo DS) en los encabezados IPv4 e IPv6 en el sitio web www.ietf.org.
Tutorial acerca de las características 5
Notas •
La prioridad de paquetescon DiffServ funciona en redescuyos enrutadores son compatibles con la funcionalidad Calidad de servicio (QoS).
•
DiffServ no proporciona el control de ancho de banda por usuario.
Características de SP2 de ISA Server 2004 SP2 de ISA Server 2004 proporciona el almacenamiento en caché BITS para Microsoft Update, la compresión HTTP con inspección y el establecimiento de prioridad de paquetes mediante DiffServ.
Almacenamiento en caché BITS El servicio de transferencia inteligente en segundo plano (BITS) permite transferir grandes cantidades de datos sin que ello afecte negativamente al rendimiento de la red. Lo consigue mediante la transferencia de datos en pequeños paquetes, que utilizan el ancho de banda libre cuando está disponible y recomponen los datos en el destino. SP2 de ISA Server 2004 ofrece el mecanismo de almacenamiento en caché de los datos recibidos de Microsoft Update a través de BITS.
Notas
No se admite el uso del almacenamiento en caché BITScon servidores que no sean Microsoft Update o Microsoft Software Update Services. La regla de caché de Microsoft Update calcula el tamaño de un objeto en función de la longitud de su contenido y no incluye la longitud de los encabezados.
Almacenar Microsoft Update en caché La actualización del sistema operativo Microsoft Windows® y otros productos de Microsoft en equipos corporativos desde Microsoft Update puede utilizar una gran parte del ancho de banda disponible. Este problema se acentúa en un escenario de conexión con poco ancho de banda, aunque también puede afectar en situaciones con mayor ancho de banda. La actualización de Windows y otros programas de Microsoft son una función de seguridad importante y se deben agilizar. SP2 de ISA Server 2004 proporciona la función de almacenamiento en caché de Microsoft Update, que utiliza la función de almacenamiento en caché BITS de SP2 para almacenar las actualizaciones en caché de forma eficaz de modo que la caché del servidor ISA pueda atender
6 ISA Server 2004 Service Pack 2
las peticiones. La petición de actualización se puede realizar una vez a través de la conexión a Internet y aplicarse después a través de la red corporativa. El almacenamiento en caché de Microsoft Update en el servidor ISA usa peticiones de intervalo HTTP para hacer que el proceso de almacenamiento en caché sea todavía más eficaz. Microsoft Update utiliza un mecanismo que permite a los equipos que usan una versión específica de Windows solicitar y recibir sólo los intervalos que contienen la información de actualización que necesitan. Puesto que el servidor ISA puede almacenar dichas peticiones de intervalo en caché, se puede obtener una eficacia adicional. Por ejemplo, en una sucursal en la que todos los equipos cliente ejecuten Windows XP, sólo se solicitan y almacenan en caché los intervalos de Windows XP de una actualización. Con esto se obtienen actualizaciones más rápidas con un menor uso de ancho de banda y un entorno operativo más seguro.
Nota Para obtener más información acerca de cómo Microsoft Update permite que los equipos soliciten y reciban sólo intervalos específicos, vea la información sobre cómo usar la tecnología de compresión delta binaria (BDC)para actualizar los sistemas operativos Windows en el centro de descarga de Microsoft.
Compresión HTTP La compresión HTTP reduce el tamaño mediante el uso de algoritmos para eliminar los datos redundantes. La mayoría de los tipos de archivos comunes de Web se puede comprimir de forma segura. La compresión HTTP utiliza los algoritmos estándar del sector GZIP y Deflate, que están integrados en los sistemas operativos Windows 2000 Server y posteriores y en Internet Explorer versión 4 y posteriores. Estos algoritmos comprimen archivos estáticos y realizan una compresión a petición de las respuestas generadas de forma dinámica antes de enviarlas por la red. Estos mismos algoritmos se vuelven a usar para descomprimir los archivos estáticos y las respuestas dinámicas en un cliente HTTP 1.1 compatible. Un cliente configurado para usar HTTP 1.1 solicitará contenido comprimido de un servidor Web. Los servidores Web indican en sus respuestas si admiten la compresión.
Nota En Internet Explorer, configure el uso de HTTP 1.1 en la ficha Opciones avanzadas de Opciones de Internet seleccionando Usar HTTP 1.1 en conexiones proxy .
La compresión HTTP en el servidor ISA es una configuración de directiva HTTP global. Es aplicable a todo el tráfico HTTP que pasa a través del servidor ISA desde o hacia una red u objeto de red especificado, en vez del tráfico controlado por una regla específica. La compresión HTTP se proporciona mediante dos filtros Web:
Tutorial acerca de las características 7
•
Filtro de compresión. Este filtro es responsable de la compresión y descompresión de las peticiones y respuestas HTTP. Este filtro tiene una prioridad alta y está en una posición alta de la lista ordenada de filtros Web. Esto se debe a que el filtro es responsable de la descompresión. Si elige habilitar la inspección del contenido comprimido, la descompresión debe realizarse antes de que cualquier otro filtro Web inspeccione el contenido.
•
Filtro de contenido comprimido para almacenar en caché. Este filtro es responsable de almacenar en caché el contenido comprimido y atender una petición del contenido comprimido en la caché. Este filtro tiene la prioridad más baja y está en una posición baja de la lista ordenada de filtros Web porque el almacenamiento en caché puede tener lugar después de que todos los demás filtros hayan controlado el contenido.
No cambie la configuración predeterminada de la prioridad y del orden de estos filtros. La compresión HTTP también proporciona una característica de compresión de intervalos, que se describe en Compresión de intervalo, en este documento.
Nota El tráfico HTTPSno se comprime.
Compresión de intervalos La compresión de intervalos es la compresión de una parte específica del contenido Web. La compresión de intervalos es necesaria para la compatibilidad con lectores de archivos PDF (formato de documento portable) antiguos que no incorporan compatibilidad de compresión. Puesto que los Servicios de Internet Information Server (IIS) no son compatibles con la compresión de intervalos, no permita este tipo de compresión en una red que incluya un servidor en el que se ejecute IIS. Sin embargo, puesto que el servidor ISA sí es compatible con la compresión de intervalos, puede habilitarlo entre dos equipos con el servidor ISA. Por ejemplo, si tiene un servidor Web en la oficina principal, deshabilitaría la compresión de intervalos en la red interna para la oficina principal, pero la habilitaría en la red externa para la oficina principal y las sucursales, de modo que la compresión de intervalos tenga lugar entre las oficinas.
Nota La solicitud de comentarios (RFC)del protocolo HTTP no explica cómo controlar la combinación de contenido comprimido con los encabezadosde intervalo (los encabezadosHTTP usadospara solicitar intervalos de contenido). De manera predeterminada, IIS no comprime peticiones de intervalos debido a la ambigüedad de la solicitud de comentarios. Hay un indicador específico que, si se establece, hace que IIS devuelva el intervalo del archivo comprimido. Sin embargo, IIS comprime primero el archivo completo y despuésdevuelve el intervalo solicitado. Para simular este comportamiento, el servidor ISA debería recuperar el archivo completo, comprimirlo y, después, devolver el intervalo específico. Si el archivo es de gran tamaño y el intervalo está al final, esta situación puede tener como resultado una denegación de servicio. Para proteger el servidor ISA de una denegación de servicio, éste adopta un enfoque diferente a IIS.
8 ISA Server 2004 Service Pack 2
De manera predeterminada, el servidor ISA no comprime la petición de intervalo. Para admitir las peticiones de compresión de intervalos, el servidor ISA utiliza una nueva propiedad por elemento de red que indica si se permite la compresión de intervalos. Si está habilitada la compresión de intervalos, el servidor ISA la solicita. Al recibir una respuesta de intervalo comprimido, el servidor ISA siempre lo descomprime. Al devolver una respuesta de intervalo al cliente que pidió la compresión, el servidor ISA comprime los datos antes de transferirlos al cliente. En el siguiente diagrama se describe el comportamiento de compresión e intervalo en SP2 de ISA Server 2004.
A continuación se describe el comportamiento de compresión e intervalo en SP2 de ISA Server 2004: •
El cliente solicita la compresión de intervalos.
•
La configuración en la sucursal no permite que el cliente solicite la compresión. Sin embargo, el servidor ISA de la sucursal está configurado para solicitar compresiones y compresiones de intervalos y, por lo tanto, envía una petición de compresión de intervalos a la oficina principal.
Tutorial acerca de las características 9
•
El servidor ISA de la oficina principal recibe la petición. Puesto que su cliente (el servidor ISA de la sucursal) puede solicitar la compresión, el servidor ISA envía la petición al servidor Web. No obstante, puesto que el servidor ISA de la oficina principal está configurado para no permitir peticiones de compresión de intervalos, la respuesta del servidor Web contiene el intervalo no comprimido.
•
Cuando el servidor ISA de la oficina principal recibe la respuesta, la devuelve al servidor ISA de la sucursal. Puesto que la petición del servidor ISA de la sucursal era de compresión, el servidor ISA de la oficina principal comprime los datos antes de transferirlos a la sucursal.
•
El servidor ISA de la sucursal recibe la respuesta. La respuesta es una respuesta de intervalo comprimido. El servidor ISA la descomprime y la transfiere sin comprimir al cliente de la sucursal.
La compresión de intervalos no se habilita mediante la Administración del servidor ISA. El administrador tiene que editar el archivo de configuración .xml de forma manual y establecer el indicador CompressRange. La descripción de este proceso se incluye en el apartado Configurar tamaño mínimo de paquete y compresión de intervalo de este documento.
Nota Las respuestas de intervalo no se almacenan en la caché del servidor ISA.
Almacenamiento en caché y compresión del servidor ISA El almacenamiento en caché y la compresión del servidor ISA funcionan conjuntamente para atender de un modo más eficaz las peticiones de compresión. Tenga en cuenta lo siguiente acerca del funcionamiento conjunto del almacenamiento en caché y la compresión: •
El contenido se almacena en caché en tres formatos posibles: •
Comprimido. El contenido se solicita en formato comprimido y se almacena en caché en formato comprimido.
•
No comprimido. El contenido se solicita en formato no comprimido y se almacena en caché en formato no comprimido.
•
No comprimido y no comprimible. Si un cliente solicita contenido comprimido y se recibe en la caché sin comprimir, se almacena como contenido no comprimible. La siguiente vez que se recibe una petición para el mismo contenido comprimido, el servidor ISA reconoce que el contenido no es comprimible y atiende la petición desde la caché sin comprimir, en vez de hacerlo desde Internet. El contenido que se inspecciona también se almacena en formato no comprimido y no comprimible.
10 ISA Server 2004 Service Pack 2
•
Una vez que el contenido esté almacenado en la caché, se seguirá atendiendo desde la caché incluso si se cambia el estado de compresión en la regla de caché. Por ejemplo, si habilita inicialmente la inspección de contenido comprimido, dicho contenido se almacena en la caché en formato no comprimido y no comprimible. El servidor ISA comprime el contenido antes de atender la petición del cliente (si el cliente solicitó contenido comprimido). Si deshabilita la inspección de contenido, la petición de contenido también se atenderá desde la caché. En este caso, el servidor ISA seguirá comprimiendo el contenido para los clientes que solicitaron el contenido comprimido, en vez de almacenar el contenido comprimido en la caché y enviarlo a los clientes. Esto puede afectar al rendimiento del servidor ISA al atender las peticiones. Si desea que los cambios en la configuración de la compresión se vean reflejados en el contenido almacenado en caché, en primer lugar debe borrar la caché.
Para borrar la caché, deshabilítela mediante la Administración del servidor ISA y, a continuación, elimine el archivo de almacenamiento en caché, por ejemplo Dir1.cdat (nombre predeterminado del archivo de caché del servidor ISA). Hay un archivo de caché en la carpeta Urlcache de cada unidad que está configurada para el almacenamiento en caché. Tras eliminar el archivo de caché, habilite la caché en la Administración del servidor ISA. También hay una secuencia de comandos de ejemplo que describe cómo borrar la caché mediante programación. Para obtener información, vea el documento acerca de cómo eliminar el contenido de la caché en el sitio Web de Microsoft Technet.
Tipos de contenido y compresión En general, algunos servidores Web no proporcionan el tipo de contenido de forma precisa en el encabezado de respuesta al responder a una petición. Por ejemplo, una respuesta puede incluir un archivo de Microsoft Office PowerPoint® 2003 (.ppt), pero el encabezado de respuesta puede indicar que el contenido es texto sin formato. Cuando un cliente de Internet Explorer recibe este tipo de respuesta en formato comprimido, no puede interpretar la respuesta y el usuario verá caracteres sin sentido en el monitor. Si la respuesta se recibe sin comprimir, Internet Explorer puede interpretarla y el usuario puede abrir y ver el contenido. Sin embargo, si el cliente requiere la compresión y el servidor Web responde con contenido no comprimido, el servidor ISA comprime el contenido e Internet Explorer no puede interpretarlo. En este caso, el cliente debe solicitar contenido no comprimido (cambiando la configuración de la compresión en el explorador) para verlo.
Prioridad de paquetes mediante DiffServ La prioridad de paquetes es una configuración de directiva HTTP global. Es aplicable a todo el tráfico del explorador que pasa a través del servidor ISA, en vez de al tráfico controlado por una regla específica. El filtro Web de DiffServ proporciona la funcionalidad de prioridad de paquetes que explora la dirección URL (Uniform Resource Locator) o el dominio y asigna la prioridad de paquetes mediante bits DiffServ. Se pueden crear prioridades en el servidor ISA cuyos bits
Tutorial acerca de las características 11
DiffServ coincidan con los de las prioridades de los enrutadores corporativos, permitiéndose de este modo a estos últimos transmitir los paquetes de acuerdo con su prioridad. Este filtro tiene una prioridad alta y está en una posición alta de la lista ordenada de filtros Web. Esto se debe a que este filtro debe conocer el tamaño de la petición o respuesta que realmente se envía y, por lo tanto, debe inspeccionar los datos en el punto en el que el servidor ISA los envía o recibe. No cambie la configuración de prioridad predeterminada y de orden de este filtro.
Notas •
El servidor ISA no agrega bits DiffServ al tráfico en protocolos distintos de HTTPo HTTPseguro (HTTPS).El servidor ISA no puede transmitir bits DiffServ existentes para el tráfico en otros protocolos. (Esta información se puede quitar de los paquetes.)
•
La primera prioridad de paquetes no está asignada para las respuestas atendidas desde la caché.
•
La prioridad de paquetes no tiene en cuenta el tamaño del primer paquete al asignar la primera prioridad de paquetes, por lo que la primera prioridad de paquetes puede asignarse a un paquete grande.
Características modificadas En este Service Pack se han modificado varias características de ISA Server 2004. En este tema se describen los cambios realizados en estas características.
Protocolo de enrutamiento de matriz de caché En ISA Server 2004 Enterprise Edition, el mecanismo del Protocolo de enrutamiento de matriz de caché (CARP) utilizaba el enrutamiento basado en hash que dependía de la dirección URL para determinar qué miembro de la matriz atendería la petición. Las excepciones de CARP eran los sitios que deseaba que fuesen atendidos por un solo miembro de la matriz. El miembro de la matriz que se asignó para atender la petición se seleccionaba en base al nombre de host que apareciese en el encabezado de host. Esto ha cambiado en Service Pack 2 para complementar mejor la funcionalidad de Internet Explorer y para ofrecer un mejor control sobre la distribución de peticiones que generan un tráfico Web intenso. En Service Pack 2, el enrutamiento basado en hash CARP utiliza el nombre de host para determinar qué miembro de la matriz atiende la petición. Por tanto, CARP asigna todas las peticiones de un host concreto; por ejemplo, www.fabrikam.com, a un miembro concreto de la matriz. De esta manera también se mantiene el contexto de la sesión, ya que las peticiones y las respuestas son atendidas por un solo miembro de la matriz. Las excepciones de CARP son los sitios que desea que se distribuyan a todos los miembros de la matriz ya que generan demasiado tráfico para que pueda ser atendido por un solo miembro de la matriz. Por ejemplo, es recomendable que todas las peticiones de actualización de Microsoft sean distribuidas y no asignadas a un solo miembro de la matriz. Por tanto, agregaría el sitio de Microsoft Update a la lista de excepciones de CARP.
12 ISA Server 2004 Service Pack 2
Detección automática En este service pack se ha modificado la detección automática del cliente tal y como estaba configurada en el servidor ISA. Con Service Pack 2, una petición debe coincidir tanto con el intervalo de direcciones IP como con el nombre del servidor o el nombre del dominio proporcionados en la ficha del explorador Web para no usar el proxy.
Seguimiento Service Pack 2 incluye un mecanismo de seguimiento del nivel de errores que funciona continuamente en segundo plano. Si es necesaria, la información de seguimiento se encuentra disponible para los servicios de soporte técnico de Microsoft. El mecanismo de seguimiento no recopila información identificable personalmente. El seguimiento se ejecuta en segundo plano y tiene un efecto insignificante en el rendimiento del servidor ISA. Service Pack 2 crea un archivo de 400 megabytes (MB) (%windir %\debug\isalog.bin) en cada equipo en el que se ejecutan servicios del servidor ISA para incluir la información de seguimiento. Se recomienda utilizar la configuración predeterminada para esta característica. Sin embargo, si desea modificar el mecanismo de seguimiento, puede hacerlo mediante la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ISATrace. Para cambiar el tamaño del archivo utilizado por el seguimiento, cambie el valor de CircularlLogSizeMB. Para deshabilitar el seguimiento, cambie el valor de BootTracing a 0. Esto no elimina el archivo, que debe eliminarse manualmente. Después de realizar los cambios en el Registro, reinicie el equipo para que los cambios surtan efecto. Si crea la clave del Registro antes de instalar Service Pack 2 y configura el valor de BootTracing en 0, el archivo de seguimiento no se agregará durante la instalación y el seguimiento no se habilitará.
Seguridad de la autenticación Cuando utilice el protocolo de puente HTTP a HTTP, el servidor ISA no permitirá el tráfico en el puerto HTTP externo cuando la escucha de Web esté configurada para solicitar la autenticación básica basada en formularios o la autenticación del servicio de usuario de marcado con autenticación remota (RADIUS). Éste es un cambio relacionado con la seguridad. Estas credenciales se deben cifrar y no se deben enviar como texto no cifrado por HTTP.
Tutorial acerca de las características Esta sección le guía por los requisitos de instalación y configuración de SP2 de ISA Server 2004.
Tutorial acerca de las características 13
Procedimiento de instalación Siga este procedimiento para instalar SP2 de ISA Server 2004. En este procedimiento se considera que tiene instalado ISA Server 2004.
Notas •
En el caso de Enterprise Edition, no es necesario volver a instalar o actualizar un servidor de Almacenamiento de configuración existente. Las nuevas características se alojan en los equipos en los que se ejecutan los servicios del servidor ISA.
•
La funcionalidad de la compresión y del componente Calidad de servicio (QoS) la proporcionan los filtros Web del servidor ISA. Estos filtros se instalan con la prioridad y el orden requeridos para que funcionen correctamente. No cambie la configuración predeterminada de la prioridad y del orden.
Para instalar SP2 de ISA Server 2004, siga estos pasos en cada miembro de la matriz (en el caso de Enterprise Edition) o para cada equipo (en el caso de Standard Edition): 1. Cierre la Administración del servidor ISA. 2. Ejecute el programa de instalación del service pack desde el CD o desde el recurso compartido de archivos donde se instaló. El asistente para la instalación le guiará por el proceso de instalación. 3. Reinicie el equipo. Esto es algo necesario para cualquier equipo en el que se ejecuten los servicios del servidor ISA y se le solicitará que lo realice.
Crear la regla de caché de Microsoft Update Este procedimiento describe cómo configurar la regla de caché de Microsoft Update, que utiliza el almacenamiento en caché BITS para almacenar en caché datos de Microsoft Update. Se considera que ya tiene habilitada la caché del servidor ISA, tal y como se describe en el Apéndice A: habilitar la caché del servidor ISA.
Para crear una regla de caché de Microsoft Update, siga estos pasos: 1. En el árbol de la consola de la Administración del servidor ISA, haga clic en Caché. •
En ISA Server 2004 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2004, Matrices, Nombre_matriz, Configuración y, a continuación, haga clic en Caché.
14 ISA Server 2004 Service Pack 2
•
En ISA Server 2004 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2004, Nombre_servidor, Configuración y, a continuación, haga clic en Caché.
2. En el panel de detalles, seleccione la ficha Reglas de caché. En el panel de tareas, haga clic en Crear la Regla de caché de Microsoft Update para iniciar el Asistente para regla de caché de Microsoft Update. 3. En la página Bienvenido, se proporciona el nombre de regla Regla de caché de Microsoft Update. Haga clic en Siguiente. 4. Opcional. En la página Sitios para actualizar productos de Microsoft, puede agregar nombres de dominio al Conjunto de nombres de dominio de Microsoft Update (creado automáticamente por la regla). Haga clic en Siguiente. 5. En la página de resumen, revise la configuración de la regla y, a continuación, haga clic en Finalizar. 6. En el panel de detalles, haga clic en Aplicar para aplicar los cambios
Importante La Regla de caché de Microsoft Update debe ser la primera en la lista ordenada de reglas de caché.
Configurar la compresión HTTP Para configurar la compresión HTTP, siga estos pasos: 1. En el árbol de la consola de la Administración del servidor ISA, haga clic en General. •
En ISA Server 2004 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2004, Matrices, Nombre_matriz, Configuración y, a continuación, haga clic en General.
•
En ISA Server 2004 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2004, Nombre_servidor, Configuración y, a continuación, haga clic en General.
2. En Configuración de directiva HTTP global, haga clic en Definir preferencias de compresión HTTP para abrir las propiedades de Compresión HTTP.
Tutorial acerca de las caracterรญsticas 15
3. En la ficha Configuraciรณn, puede agregar las entidades de red desde las cuales o para las cuales se solicitarรก la compresiรณn HTTP. Haga clic en Agregar para abrir el cuadro de diรกlogo Agregar entidades de red, seleccione una entidad de red y, a continuaciรณn, haga clic en Agregar. Repita este procedimiento para agregar mรกs elementos de red y, a continuaciรณn, haga clic en Cerrar. Recuerde que la lista de entidades de red estรก ordenada, de modo que puede establecer una preferencia para la compresiรณn entre las entidades de red. Utilice las flechas situadas en el lado derecho de la pรกgina de propiedades para cambiar el orden de los elementos de red. Resalte cada elemento de red para seleccionarlo y haga clic en Establecer compresiรณn para establecer las propiedades de compresiรณn.
16 ISA Server 2004 Service Pack 2
4. En el cuadro de diálogo Establecer compresión, puede seleccionar: •
Responder con contenido HTTP comprimido. Con esta opción habilitada, el servidor ISA devuelve contenido comprimido cuando una petición de cliente desde este elemento de red solicita compresión.
•
Solicitar contenido HTTP comprimido de servidores. Con esta opción habilitada, el servidor ISA solicita el contenido comprimido al realizar peticiones a este elemento de red.
5. Después de establecer la configuración de la compresión del elemento de red, haga clic en Aceptar para cerrar el cuadro de diálogo Establecer compresión.
Tutorial acerca de las características 17
6. En la ficha Tipos de contenido, puede especificar qué tipos de contenido se comprimirán. Tiene la opción de especificar los tipos de contenido que se excluirán (todos los demás se incluirán), o bien los que se incluirán (todos los demás se excluirán). A continuación, seleccione los tipos de contenido específicos que se excluirán o incluirán. La figura anterior es un ejemplo de configuración en la que sólo se comprimirán los documentos HTML. Es posible crear tipos de contenido en el panel de tareas Directiva de firewall, en la ficha Herramientas, tal y como se describe en la Ayuda del servidor ISA.
18 ISA Server 2004 Service Pack 2
Nota Los siguientes tipos de contenido no se pueden comprimir porque ya lo están, o bien porque se proporcionan en formato de secuencia: •
video
•
audio
•
application/x-tar
•
x-world/x-vrml
•
application/zip
•
application/x-gzip
•
application/x-zip-compressed
•
application/x-compress
•
application/x-compressed
•
application/x-spoon@@
Tutorial acerca de las características 19
•
El tamaño mínimo del paquete que se va a comprimir. Puesto que no desea comprimir y descomprimir paquetes pequeños, puede configurar el tamaño mínimo de paquete (en bytes) que se comprimirá. El valor predeterminado para el tamaño mínimo es 36 bytes.
•
Compatibilidad con la compresión de intervalos. Los Servicios de Internet Information Server (IIS) no son compatibles con la compresión de intervalos. Por tanto, no es recomendable permitir este tipo de compresión en una red que incluya un servidor en el que se ejecute IIS. Sin embargo, puesto que el servidor ISA sí es compatible con la compresión de intervalos, puede habilitarlo entre dos equipos con el servidor ISA. Por ejemplo, si tiene un servidor Web en la oficina principal, deshabilitaría la compresión de intervalos en la red interna para la oficina principal, pero la habilitaría en la red externa para la oficina principal y las sucursales, de modo que la compresión de intervalos tenga lugar entre las oficinas.
Estos parámetros se incluyen en un archivo .xml que se guarda como un conjunto de parámetros de proveedor bajo el contenedor proxy Web en el almacenamiento.
Para establecer la configuración de las prioridades, siga estos pasos: 1. Cree un archivo .xml. (Para ver un ejemplo, vea el apartado de este documento Ejemplo de archivo de configuración .XML.) Es posible crear el archivo .xml configurando la compresión HTTP mediante la Administración del servidor ISA y, a continuación, exportando la configuración utilizando para ello el archivo SetCompConfig.vbs. La sintaxis para usar esta secuencia de comandos para exportar es: SetCompConfig.vbs export nombreDeArchivo
2. Para reemplazar o editar la configuración, edite el archivo .xml y vuelva a ejecutar la secuencia de comandos para el archivo modificado. Ejecute SetCompConfig.vbs con el archivo .xml como un parámetro. Esta herramienta lee el archivo .xml en el almacenamiento del servidor ISA. SetCompConfig.vbs se proporciona en el sitio Web de Microsoft Windows Server System. La sintaxis para usar esta secuencia de comandos para importar es: SetCompConfig.vbs import nombreDeArchivo
Ejemplo de archivo de configuración XML A continuación, se muestra un ejemplo del archivo de configuración .xml: <Compression ContentInspectionIsRequired="false" MinimumCompressionLength="36" MemAllocCompression="256"> <NetworksElements> <NetworkElement Name="Internal" Type="Network"
20 ISA Server 2004 Service Pack 2 ClientCanAskForCompression="true" ServerShouldCompressResponse="false" CompressRange="false" StorageName="{4E32B556-0FAF-4A27-9111-085F679EDC9B}" /> <NetworkElement Name="External" Type="Network" ClientCanAskForCompression="false" ServerShouldCompressResponse="true" CompressRange="true" StorageName="{F129EACF-778B-44FE-B339-5B752D7220A3}" /> </NetworksElements> <ContentTypes CompressOnlyFollowingContentType="false"> <ContentType Name="Images" StorageName="{2f203d1d-9ca0-414a-b036-fc9c585677ab}" /> <ContentType Name="Video" StorageName="{7d3e566c-e96c-4cd4-b6aa-8181a8386c8e}" /> </ContentTypes> </Compression>
Configurar la prioridad de paquetes con DiffServ Las propiedades de la prioridad de paquetes puede establecerse mediante las propiedades de DiffServ de HTTP. Para configurar la prioridad de paquetes en las propiedades de DiffServ de HTTP, siga estos pasos: 1. En el รกrbol de la consola de la Administraciรณn del servidor ISA, haga clic en General. โ ข
En ISA Server 2004 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2004, Matrices, Nombre_matriz, Configuraciรณn y, a continuaciรณn, haga clic en General.
Tutorial acerca de las características 21
•
En ISA Server 2004 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2004, Nombre_servidor, Configuración y, a continuación, haga clic en General.
2. En Configuración de directiva HTTP global, haga clic en Especifique las preferencias de Diffserv para abrir las propiedades de Diffserv de HTTP.
3. En la ficha General, puede seleccionar si los bits de Calidad de servicio serán establecidos por el servidor ISA.
22 ISA Server 2004 Service Pack 2
4. En la ficha Prioridades, puede agregar y configurar prioridades, así como valores de DiffServ para que sean compatibles con el servidor ISA. Estas prioridades se asignarán a direcciones URL y dominios en otras fichas de las propiedades de calidad de servicio HTTP. Para agregar una prioridad, haga clic en Agregar para abrir el cuadro de diálogo Agregar prioridad. Tras agregar las prioridades, puede ordenarlas. Si se asigna un paquete a una prioridad específica basada en una dirección URL o un dominio, pero no se puede asignar dicha prioridad en función del tamaño de paquete, toma como valor predeterminado la siguiente prioridad de la lista. También puede seleccionar Permitir el tratamiento especial para que los encabezados sean tratados con una prioridad diferente (normalmente más alta) que otras partes de las peticiones y respuestas.
Tutorial acerca de las características 23
5. En el cuadro de diálogo Agregar prioridad, proporcione un nombre de prioridad y especifique los bits DiffServ, también denominados punto de código de servicios diferenciados (DSCP), en forma de cadena binaria de seis dígitos. La cadena binaria debe coincidir con la cadena binaria utilizada por el enrutador para una configuración de Calidad de servicio (QoS) específica. En Límites de tamaño, puede aplicar un límite de tamaño en bytes para que la prioridad únicamente se aplique a peticiones o respuestas que tengan un tamaño máximo. Una petición o respuesta que supere el tamaño máximo especificado recibirá la siguiente prioridad que exista en el orden. Después de configurar la prioridad, haga clic en Aceptar para cerrar el cuadro de diálogo.
24 ISA Server 2004 Service Pack 2
6. En la ficha Direcciones URL, puede aplicar las prioridades de las direcciones URL. Para agregar una dirección URL, haga clic en Agregar para abrir el cuadro de diálogo Agregar prioridad de dirección URL. Utilice un asterisco (carácter comodín) al final de la dirección URL, a menos que desee asignar una prioridad sólo a una dirección URL concreta.
Tutorial acerca de las características 25
Si no selecciona El servidor una ISA red usa alas la que prioridades se aplique deladirecciones prioridad, el URL resto incluidas de la en la ficha Notas configuración Direcciones no seURL aplicará para a aplicar ningún bits tráfico. DiffServ Únicamente para el contenido se dará prioridad que puede al tráfico inspeccionar en las redes que el servidor seleccione ISAen (contenido la ficha Redes. no incluido en túnel). El contenido incluido en túnel a través de HTTPSno se puede inspeccionar y la dirección URL no se puede conocer; por lo tanto, el servidor ISA aplicará bits DiffServ a los dominios, que se agregan a la ficha Dominios.
7. En el cuadro de diálogo Agregar prioridad de dirección URL, proporcione una dirección URL a la que desee aplicar una prioridad, seleccione una prioridad de la lista desplegable y haga clic en Aceptar. 8. Tras agregar direcciones URL, se pueden usar las teclas de flecha arriba y flecha abajo para ordenarlas. Esto le permite aplicar prioridades a direcciones URL específicas. Si una dirección URL más general precede a otra específica, no se establecerá la coincidencia de la dirección URL específica. Por ejemplo, debería aplicar una prioridad superior a www.contoso.com/news/* y una inferior a www.contoso.com/*. Para que las prioridades se apliquen correctamente, www.contoso.com/news/* debe tener una posición superior en la lista. En caso contrario, las peticiones para /news/* obtendrán la entrada www.contoso.com/* y se les aplicará la prioridad inferior antes de alcanzar la entrada /news/*.
26 ISA Server 2004 Service Pack 2
9. En la ficha Dominios, puede aplicar las prioridades de todos los dominios. Cuando un dominio se encuentra en la lista, todas las direcciones URL de ese dominio reciben la prioridad establecida para el dominio. Para agregar un dominio, haga clic en Agregar para abrir el cuadro de diálogo Agregar prioridad de dominio. Si no selecciona El servidor una ISA red usa alas la que prioridades se aplique deladirecciones prioridad, el URL resto incluidas de la en la ficha Notas configuración Direcciones no seURL aplicará para a aplicar ningún bits tráfico. DiffServ Únicamente para el contenido se dará prioridad que puede al tráfico inspeccionar en las redes que el servidor seleccione ISAen (contenido la ficha Redes. no incluido en túnel). El contenido incluido en túnel a través de HTTPSno se puede inspeccionar, en cuyo caso el servidor ISA aplicará bits DiffServ a los dominios, que se agregan a la ficha Dominios.
10. Tras agregar dominios, se pueden usar las teclas de flecha arriba y flecha abajo para ordenarlos. Esto permite aplicar prioridades a dominios específicos. Por ejemplo, podría aplicar una prioridad alta a mail.contoso.com y una prioridad más baja al resto del dominio, *.contoso.com. Para que las prioridades se apliquen correctamente, mail.contoso.com debe tener una posición superior en la lista. En caso contrario, las
Tutorial acerca de las características 27
peticiones para mail.contoso.com obtendrán la entrada *.contoso.com y se les aplicará la prioridad inferior antes de alcanzar la entrada mail.
11. En el cuadro de diálogo Agregar prioridad de dominio, proporcione un dominio al que desee aplicar una prioridad y seleccione una prioridad de la lista desplegable.
28 ISA Server 2004 Service Pack 2
12. En la ficha Redes, seleccione qué paquetes de redes tendrán asignadas prioridades habilitando o deshabilitando DiffServ para redes concretas.
Nota Si no selecciona una red a la que se aplique la prioridad, el resto de la configuración no se aplicará a ningún tráfico. Únicamente se dará prioridad al tráfico en las redes que seleccione en la ficha Redes.
13. Después de completar la configuración, haga clic en Aplicar en el panel de detalles del servidor ISA para aplicar los cambios.
Tutorial acerca de las características 29
Apéndice A: habilitar la caché del servidor ISA Para habilitar la caché mediante la definición de unidades de caché, siga estos pasos: 1. En el árbol de la consola de la Administración del servidor ISA, haga clic en Caché. •
En ISA Server 2004 Enterprise Edition, expanda Microsoft Internet Security and Acceleration Server 2004, Matrices, Nombre_matriz, Configuración y, a continuación, haga clic en Caché.
•
En ISA Server 2004 Standard Edition, expanda Microsoft Internet Security and Acceleration Server 2004, Nombre_servidor, Configuración y, a continuación, haga clic en Caché.
2. En el panel de detalles, haga clic en la ficha Unidades de caché y seleccione la unidad correspondiente. 3. En la ficha Tareas, haga clic en Definir unidades de caché (habilitar almacenamiento de memoria en caché). 4. Seleccione una de las unidades enumeradas. 5. En Tamaño máximo de la caché (MB), escriba la cantidad de espacio en la unidad seleccionada que se va a asignar para el almacenamiento en caché, haga clic en Establecer y, a continuación, en Aceptar. 6. Una advertencia le preguntará si desea aplicar los cambios con o sin iniciar los servicios. Para que se aplique la definición de la unidad de caché, debe seleccionar Guardar los cambios y reiniciar los servicios.
Más información La documentación adicional sobre ISA Server 2004 se encuentra disponible en el sitio del servidor ISA. ¿Desea enviar algún comentario sobre este documento? Envíe sus comentarios.