Notas de La Versión de Forefront TMG 2010 RTM

1
Notas de la versin de Forefront TMG 2010 RTM .................................................................................................................... 12

Migracin, instalacin e implementacin .............................................................................................................................. 12
Migracin de Forefront TMG RC a RTM ..................................................................................................................... 12
Actualizacin de una versin de evaluacin de Forefront TMG que se instal desde un recurso compartido de
carpeta a la versin con licencia de Forefront TMG RTM ........................................................................................... 12
Ejecucin de la instalacin de Forefront TMG desde un recurso compartido de red ................................................ 12
Instalacin de Microsoft .NET Framework 3.5 SP1 en Windows Server 2008 SP2 ................................................... 12
Mensaje de error de la Plataforma de filtrado de Windows tras reiniciar un equipo o los servicios de Forefront
TMG ................................................................................................................................................................................... 12
Instalacin de la consola de administracin ................................................................................................................... 12
Matrices de Forefront TMG ............................................................................................................................................ 12
Configuracin del Centro de actualizaciones tras la actualizacin de Forefront TMG RC ...................................... 13
Instalacin de Forefront TMG en un equipo en el que se han instalado previamente actualizaciones de Windows
............................................................................................................................................................................................ 13
Desinstalacin .................................................................................................................................................................... 13
Configuracin y operaciones .................................................................................................................................................. 13
Adicin y eliminacin de direcciones IP ......................................................................................................................... 13
Certificados de autenticacin de servidor ....................................................................................................................... 13
Proteccin contra malware .............................................................................................................................................. 13
Red privada virtual ........................................................................................................................................................... 13
Filtro VoIP/SIP ................................................................................................................................................................. 14
Sistema de inspeccin de red ............................................................................................................................................ 14
Protocolo de seguridad de Internet (IPsec) .................................................................................................................... 14
Cifrado ............................................................................................................................................................................... 14
Complementos de otros proveedores .............................................................................................................................. 14
Registro e informes ........................................................................................................................................................... 14
Accesibilidad ......................................................................................................................................................................... 15
Adquisicin del Service Pack ............................................................................................................................................... 15
Caractersticas disponibles en Forefront TMG 2010 SP1 ................................................................................................. 15
Compatibilidad con Forefront Unified Access Gateway (UAG) ...................................................................................... 15
Instalacin de Forefront TMG 2010 SP1 ............................................................................................................................ 15
Problemas conocidos............................................................................................................................................................. 15
Los siguientes problemas estn relacionados con la configuracin y el funcionamiento de Forefront TMG SP1: ................ 15
Alerta de BranchCache en Windows Server 2008 SP2 ................................................................................................. 15
Invalidacin de usuario para regla de denegacin ......................................................................................................... 16
Separacin de un servidor de una matriz ....................................................................................................................... 16

2
Importacin de una configuracin RTM en matrices de varios servidores ................................................................ 16
Instalacin en un escenario de grupo de trabajo ........................................................................................................... 17
Instalacin del SP1 en Forefront Unified Access Gateway (UAG) ............................................................................... 17
Vista previa web de Microsoft OneNote ......................................................................................................................... 17
Desinstalacin del SP1 ...................................................................................................................................................... 17
Actualizaciones de software del SP1 ...................................................................................................................................... 18
Planeacin y diseo de Forefront TMG ...................................................................................................................................... 21
Gua de diseo de escalabilidad y alta disponibilidad para Forefront TMG ........................................................................... 21
Acerca esta gua ...................................................................................................................................................................... 21
Identificar y asignar la alta disponibilidad y los objetivos de implementacin de escalabilidad ........................................... 21
Planeacin para la escalabilidad y alta disponibilidad del servidor de Forefront TMG ......................................................... 21
Acerca de las matrices de Forefront TMG .............................................................................................................................. 22
Servidores de Forefront TMG de equilibrio de carga en una matriz ...................................................................................... 22
Equilibrio de carga de hardware de terceros: el equilibrio de carga que seleccione debe admitir la afinidad de IP. ........... 23
Planeacin para alta disponibilidad del proveedor de servicios Internet .............................................................................. 23
Mtodos de distribucin de trfico ........................................................................................................................................ 23
Requisitos para habilitar la redundancia de ISP ..................................................................................................................... 23
Acerca del equilibrio de la carga para publicacin de web .................................................................................................... 24
Gua de diseo de instalacin para Forefront TMG .................................................................................................................... 24
Acerca esta gua ...................................................................................................................................................................... 24
Identificar y asignar sus objetivos de instalacin ................................................................................................................... 24
Planeacin de migracin ......................................................................................................................................................... 25
Limitaciones de migracin ...................................................................................................................................................... 25
Escenarios de instalacin ........................................................................................................................................................ 26
Modos de instalacin .............................................................................................................................................................. 26
Recomendaciones de hardware para Forefront TMG 2010 ................................................................................................... 27
Tabla 1: Recomendaciones de hardware para escenarios de implementacin comunes ..................................................... 27
Diseo de hardware de servidor............................................................................................................................................. 27
Consideraciones acerca del procesador ................................................................................................................................. 28
Seleccionar un procesador compatible .................................................................................................................................. 28
Recomendaciones de rendimiento de procesador ................................................................................................................. 28
Consideraciones acerca del almacenamiento ........................................................................................................................ 28
Implementaciones de hasta 500 usuarios ............................................................................................................................ 28
Implementaciones de ms de 500 usuarios ......................................................................................................................... 28
Tabla 2: Espacio recomendado para el sistema y el registro .................................................................................................. 29

3
Consideraciones acerca del almacenamiento en cach ......................................................................................................... 29
Consideraciones acerca del adaptador de red ....................................................................................................................... 29
Rendimiento tpico de los adaptadores Gigabit ..................................................................................................................... 29
Escalabilidad de trfico de entrada ........................................................................................................................................ 29
Recomendaciones de redundancia ......................................................................................................................................... 29
Implementar una matriz ..................................................................................................................................................... 29
Equilibrio de carga .............................................................................................................................................................. 29
Planeacin de la topologa de red de Forefront TMG ............................................................................................................ 29
Acerca de la topologa del adaptador de red nico ................................................................................................................ 30
Funcionalidad de una topologa de adaptador de red nico.................................................................................................. 30
Limitaciones de una topologa de adaptador de red nico .................................................................................................... 30
Consideraciones del dominio o del grupo de trabajo ............................................................................................................. 30
Consideraciones generales ..................................................................................................................................................... 30
Consideraciones de topologa de red ..................................................................................................................................... 31
Configuracin perimetral .................................................................................................................................................... 31
Configuracin interna ......................................................................................................................................................... 31
Consideraciones de autenticacin .......................................................................................................................................... 31
Planeacin de certificados de servidor ........................................................................................................................................ 31
Acerca de los permisos y roles de Forefront TMG ................................................................................................................. 32
Permisos y roles administrativos ............................................................................................................................................ 32
Funciones administrativas en el nivel de matriz ................................................................................................................. 32
Roles administrativos de empresa ...................................................................................................................................... 33
Funciones y acciones .......................................................................................................................................................... 33
Planeacin de resolucin de nombres de dominio ...................................................................................................................... 33
Acerca de los equipos cliente de firewall ............................................................................................................................... 34
Compatibilidad de los sistemas operativos y cliente-servidor con el cliente de Forefront TMG y los clientes firewall ........ 35
Admite un sistema operativo.............................................................................................................................................. 35
Compatibilidad con el cliente-servidor ............................................................................................................................... 35
Planeamiento de la deteccin automtica de proxy web ............................................................................................................ 35
Mtodos de deteccin ............................................................................................................................................................ 36
Consideraciones para seleccionar mtodos de deteccin ..................................................................................................... 36
Consideraciones para hospedar el archivo de configuracin ................................................................................................. 36
Consideraciones para implementar la deteccin con DHCP y DNS ........................................................................................ 36
Acerca esta gua ...................................................................................................................................................................... 37
Identificar y asignar sus objetivos de diseo de acceso remoto y a Internet......................................................................... 37

4
Acerca de los mtodos de autenticacin ................................................................................................................................ 38
Autenticacin HTTP............................................................................................................................................................. 38
Autenticacin basada en formularios ................................................................................................................................. 39
Autenticacin de certificados de cliente ............................................................................................................................ 39
Planeacin para controlar el acceso de red ................................................................................................................................. 41
Directivas y conjuntos de reglas ............................................................................................................................................. 41
Procesamiento de solicitudes ............................................................................................................................................. 41
Flujo de proceso de solicitudes ........................................................................................................................................... 41
Acerca de las reglas de acceso ............................................................................................................................................ 41
Acerca de las reglas de publicacin .................................................................................................................................... 42
Procesamiento de nombres y direcciones .......................................................................................................................... 42
Administrar reglas que requieran autenticacin ................................................................................................................ 42
Relaciones de redes ............................................................................................................................................................ 42
Relacin de ruta .................................................................................................................................................................. 42
Relacin NAT ....................................................................................................................................................................... 43
Acerca de la directiva del sistema ...................................................................................................................................... 43
Acerca de las reglas de directiva del sistema ..................................................................................................................... 43
Servicios habilitados por la directiva del sistema ............................................................................................................... 43
Servicios de red ................................................................................................................................................................... 43
Servicios DHCP .................................................................................................................................................................... 44
Habilitar trfico DCOM ....................................................................................................................................................... 44
Servicios de autenticacin de Windows y la autenticacin RADIUS................................................................................... 44
Servicios de autenticacin RSA SecurID .............................................................................................................................. 44
Servicios de autenticacin CRL ........................................................................................................................................... 44
Administracin remota ....................................................................................................................................................... 44
Registro y supervisin remotos .......................................................................................................................................... 45
Servicios de diagnstico ...................................................................................................................................................... 45
SMTP ................................................................................................................................................................................... 45
Trabajos programados de descarga .................................................................................................................................... 45
Acceso al sitio web de Microsoft ........................................................................................................................................ 45
Autenticar usuarios internos .............................................................................................................................................. 46
Controlar el acceso web ..................................................................................................................................................... 46
Inspeccionar y filtrar el trfico web .................................................................................................................................... 46
Acelerar el acceso web ....................................................................................................................................................... 46
Cmo funciona la invalidacin de usuario .......................................................................................................................... 47

5
Implementacin de la invalidacin de usuario ................................................................................................................... 47
Registros de invalidacin de usuario .................................................................................................................................. 48
Problemas conocidos .......................................................................................................................................................... 48
Planeacin de publicacin .......................................................................................................................................................... 48
Acerca de cmo publicar servidores web ............................................................................................................................... 49
Escenarios de publicacin de web compatibles ................................................................................................................. 49
Acerca de las escuchas de web ........................................................................................................................................... 50
Acerca de la autenticacin en publicacin de web ................................................................................................................ 50
Mtodos de autenticacin de cliente para la recepcin de credenciales de cliente ............................................................. 50
Sin autenticacin................................................................................................................................................................. 50
Autenticacin basada en formularios ................................................................................................................................. 50
Vuelta a la autenticacin bsica ......................................................................................................................................... 51
Formularios de clientes mviles ......................................................................................................................................... 51
Administracin de contraseas en la autenticacin basada en formularios ...................................................................... 51
Autenticacin HTTP............................................................................................................................................................. 51
Autenticacin de certificados de cliente ............................................................................................................................ 51
Mtodos para la validacin de credenciales de cliente ...................................................................................................... 51
Delegacin de autenticacin .................................................................................................................................................. 52
Configurar la delegacin de autenticacin ......................................................................................................................... 52
Sin delegacin y el cliente no se puede autenticar directamente. ..................................................................................... 52
Sin delegacin, pero el cliente se puede autenticar directamente. ................................................................................... 52
Bsica .................................................................................................................................................................................. 52
NTLM ................................................................................................................................................................................... 52
NTLM/Kerberos (Negotiate) ............................................................................................................................................... 52
SecurID ................................................................................................................................................................................ 53
Delegacin limitada de Kerberos ........................................................................................................................................ 53
Combinaciones vlidas de credenciales de cliente y mtodos de delegacin ....................................................................... 53
Acerca de la autenticacin de dos factores ............................................................................................................................ 54
Acerca del almacenamiento de credenciales en cach .......................................................................................................... 54
Acerca de cmo publicar servidores no web .......................................................................................................................... 54
Tipos de almacenamiento en cach compatibles ................................................................................................................... 55
Consideraciones para almacenar el contenido almacenado en cach ................................................................................... 55
Almacenamiento en cach en matrices de Forefront TMG.................................................................................................... 55
Modo de cach hospedada ..................................................................................................................................................... 55
Conexiones seguras de cach hospedada .............................................................................................................................. 56

6
BranchCache y Forefront TMG ............................................................................................................................................... 56
Planeacin para las redes privadas virtuales .......................................................................................................................... 56
Acerca de las VPN de Forefront TMG ..................................................................................................................................... 56
Protocolos VPN ....................................................................................................................................................................... 56
Acerca de la VPN de acceso remoto ....................................................................................................................................... 57
Control de cuarentena ........................................................................................................................................................ 57
Credenciales de clientes de VPN ......................................................................................................................................... 57
Clientes de VPN infectados por virus .................................................................................................................................. 57
Asignacin de usuarios ........................................................................................................................................................... 57
Preparacin para habilitar VoIP mediante Forefront TMG .................................................................................................... 58
PBX externa (hospedada).................................................................................................................................................... 58
PBX interna conectada a PSTN ............................................................................................................................................ 58
PBX interna conectada a PSTN mediante un tronco SIP ..................................................................................................... 58
PBX interna conectada a PBX externa (hospedada) ........................................................................................................... 58
Acerca esta gua ...................................................................................................................................................................... 59
Identificar y asignar los objetivos de diseo de proteccin ............................................................................................... 59
Planeacin de la proteccin frente a vulnerabilidades conocidas ............................................................................................... 59
Planeacin para proteger frente a los ataques de red .................................................................................................................. 60
Planeacin de la proteccin frente a ataques comunes y ataques DNS ................................................................................ 60
Deteccin de ataques comunes .......................................................................................................................................... 60
Deteccin de ataques DNS...................................................................................................................................................... 60
Planeacin para protegerse contra los ataques de tipo flood de denegacin de servicio ......................................................... 60
Acerca de la mitigacin de los ataques "flood" de congestin del servidor de Forefront TMG ............................................. 61
Lmites de conexiones ............................................................................................................................................................. 61
Planeacin para proteger frente a las amenazas a travs de Internet .......................................................................................... 62
Planeacin para proteger frente a contenido web malintencionado .................................................................................... 62
Consideraciones de implementacin.................................................................................................................................. 62
Nivel de amenaza ................................................................................................................................................................ 63
Mtodos de entrega de contenido ..................................................................................................................................... 63
Planeacin del filtrado de URL ................................................................................................................................................ 64
Acerca del filtrado de direcciones URL ............................................................................................................................... 64
Ventajas de aplicar el filtrado de direcciones URL ............................................................................................................. 64
Acerca de las categoras de direcciones URL ...................................................................................................................... 64
Invalidar la categorizacin de direcciones URL ................................................................................................................... 64
Planeacin para el filtrado HTTP ............................................................................................................................................ 64

7
Informacin general sobre la configuracin de filtrado HTTP ................................................................................................ 65
Planeacin para la inspeccin de HTTPS ................................................................................................................................ 66
Cmo funciona la inspeccin de HTTPS .............................................................................................................................. 66
Consideraciones para habilitar la inspeccin de HTTPS ..................................................................................................... 66
Acerca de la validacin de certificado en la inspeccin de HTTPS ..................................................................................... 66
Consideraciones sobre la revocacin de certificados en la inspeccin de HTTPS de Forefront TMG .............................. 67
Problemas de privacidad .................................................................................................................................................... 67
Planeacin de la proteccin frente a amenazas de correo electrnico ........................................................................................ 67
Usar las tecnologas de proteccin de correo de Microsoft ................................................................................................... 67
Proteccin superpuesta .......................................................................................................................................................... 67
Beneficio de crear una directiva de correo electrnico con Forefront TMG.......................................................................... 67
Consideraciones de implementacin.................................................................................................................................. 68
Planeacin de las actualizaciones de definiciones de proteccin .......................................................................................... 68
Gua de planeacin de administracin para Forefront TMG ...................................................................................................... 69
Identificar y asignar sus objetivos de administracin ............................................................................................................. 69
Planeacin para supervisin y registro ................................................................................................................................... 69
Planeacin para copia de seguridad y restauracin ............................................................................................................... 69
Preparacin para desastres .................................................................................................................................................... 69
Acerca de la copia de seguridad y restauracin de la configuracin de Forefront TMG ........................................................ 69
Realizar copias de seguridad de una configuracin ................................................................................................................ 70
Restaurar una configuracin ................................................................................................................................................... 70
Acerca de cmo realizar una copia de seguridad de los certificados SSL ........................................................................... 70
Categoras de informes ....................................................................................................................................................... 71
Creacin personalizada de informes ...................................................................................................................................... 71
El mecanismo de informes ...................................................................................................................................................... 71
El servidor de informes ........................................................................................................................................................... 71
Publicacin de informes en un recurso compartido de archivos ........................................................................................... 71
Lista de comprobacin de implementacin ........................................................................................................................... 72
Tareas de preinstalacin......................................................................................................................................................... 72
Configuracin del acceso a la red corporativa ....................................................................................................................... 73
Proteccin de la red corporativa ............................................................................................................................................ 74
Requisitos del sistema para Forefront TMG ........................................................................................................................... 74
Forefront TMG ....................................................................................................................................................................... 74
Enterprise Management Server .............................................................................................................................................. 75
Administracin de Forefront TMG .......................................................................................................................................... 76

8
Instalar los requisitos previos para la proteccin de correo electrnico ............................................................................... 76
Para instalar Active Directory Lightweight Directory Services ............................................................................................... 76
Para agregar un sufijo DNS a un equipo Forefront TMG ........................................................................................................ 76
Para instalar el rol Transporte perimetral de Exchange Server .............................................................................................. 76
Para instalar Forefront Protection 2010 for Exchange Server ................................................................................................ 77
Migracin y actualizacin a Forefront TMG ........................................................................................................................... 77
Migracin de ISA Server 2004/2006 a Forefront TMG ........................................................................................................... 77
Recopilacin de informacin .............................................................................................................................................. 78
Migrar un nico servidor ISA Server a Forefront TMG ....................................................................................................... 78
Para migrar una matriz de servidores ISA Server a una matriz de servidores de Forefront TMG se requieren las siguientes
tareas: ..................................................................................................................................................................................... 78
Para exportar la configuracin de ISA Server ......................................................................................................................... 79
Importacin de la configuracin a Forefront TMG ................................................................................................................. 79
Para importar la configuracin a Forefront TMG ............................................................................................................... 79
Actualizacin de Forefront TMG Standard Edition a Forefront TMG Enterprise Edition ................................................... 79
Para actualizar a Enterprise Edition.................................................................................................................................... 79
Migracin de Forefront TMG RC a RTM.............................................................................................................................. 80
Para la migracin de Forefront TMG RC a RTM son necesarios los pasos siguientes: ....................................................... 80
Para exportar la configuracin de Forefront TMG RC ........................................................................................................ 80
Para importar la configuracin de Forefront TMG RC ........................................................................................................ 80
Actualizar Forefront TMG Evaluation a RTM ...................................................................................................................... 80
Instalacin de Forefront TMG ................................................................................................................................................. 81
Preparacin de la instalacin .................................................................................................................................................. 81
Para ejecutar la herramienta de preparacin ........................................................................................................................ 82
Preparacin para la instalacin en un entorno de grupo de trabajo ..................................................................................... 82
Creacin de FQDN para los servidores de Forefront TMG ..................................................................................................... 82
Configuracin de redes y enrutamiento ........................................................................................................................... 101
Definicin de las reglas de red .......................................................................................................................................... 101
Configurar reglas de red ................................................................................................................................................... 101
Para crear o editar una regla de redes ............................................................................................................................. 101
Definicin de adaptadores de red .................................................................................................................................... 101
Cmo habilitar la compatibilidad con el cliente de Forefront TMG ..................................................................................... 106
La distribucin del cliente de Forefront TMG a equipos cliente .......................................................................................... 106
Ejecucin de una instalacin desatendida de ms_fwc.msi ................................................................................................... 106
configuracin de la aplicacin .......................................................................................................................................... 107

9
Configuracin para resolver las solicitudes locales en el cliente de Forefront TMG............................................................ 109
Creacin de una tabla de dominios locales ...................................................................................................................... 109
Crear un archivo LocalLAT.txt ........................................................................................................................................... 109
Configuracin de los clientes proxy web y los clientes del explorador para utilizar Forefront TMG como proxy web ...... 109
Configurar acceso directo para clientes proxy web que no utilizan deteccin automtica ................................................. 111
Configurar acceso directo para clientes proxy web que utilizan deteccin automtica ...................................................... 111
Configurar dominios para acceso directo ................................................................................................................................. 111
Configuracin de los clientes SecureNAT ................................................................................................................................. 111
Configurar la resolucin de nombres ....................................................................................................................................... 112
Actualizar la lista de bloqueados .......................................................................................................................................... 113
Configuracin del explorador de un equipo cliente de Forefront TMG para usar WPAD ................................................... 114
Configuracin del explorador en un equipo cliente de Forefront TMG para que utilice un script de configuracin esttica
.............................................................................................................................................................................................. 114
Habilitar exploradores para la deteccin automtica mediante WPAD ................................................................................ 114
Habilitar exploradores para la deteccin automtica mediante un script de configuracin esttica ..................................... 114
Notas de implementacin...................................................................................................................................................... 117
Implementacin de Forefront TMG y BranchCache ............................................................................................................ 121
Escenarios ............................................................................................................................................................................. 121
Ms informacin ................................................................................................................................................................... 121
Acerca esta gua .................................................................................................................................................................... 124
Informacin general acerca de las caractersticas de la puerta de enlace web segura .......................................................... 124
Identificar los objetivos de implementacin de la puerta de enlace web segura .................................................................. 125
Planear la topologa de red de la puerta de enlace web segura ............................................................................................. 126
Planeacin para el filtrado URL ........................................................................................................................................... 126
Planeacin para la inspeccin de HTTPS ............................................................................................................................. 126
Planeacin de las actualizaciones de definiciones de proteccin ......................................................................................... 127
Plan para generar informes de Forefront TMG ..................................................................................................................... 127
Trabajo con reglas de acceso ................................................................................................................................................ 141
Trabajo con reglas de publicacin web ................................................................................................................................. 141
Controlar el acceso web ........................................................................................................................................................ 143
Acelerar el acceso al contenido solicitado con frecuencia .................................................................................................... 143
Inspeccionar y filtrar el trfico web ...................................................................................................................................... 143
Crear reglas de acceso........................................................................................................................................................... 143
Acerca de los mensajes de error HTML ............................................................................................................................... 148
Editar los mensajes de error HTML ..................................................................................................................................... 148

10
Crear mensajes de error HTML personalizados ................................................................................................................... 149
Informacin general sobre los formularios HTML ................................................................................................................ 196
Conjuntos de formularios de Forefront TMG ................................................................................................................... 196
Personalizar los conjuntos de formularios ........................................................................................................................... 197
Personalizar las cadenas de texto ..................................................................................................................................... 198
Usar grficos personalizados ............................................................................................................................................ 198
Crear conjuntos de formularios personalizados ............................................................................................................... 198
Configuracin de idioma ................................................................................................................................................... 199
Habilitar la prioridad de trfico mediante DiffServ .............................................................................................................. 199
Configurar prioridades .......................................................................................................................................................... 199
Asignar la prioridad DiffServ a una direccin URL ............................................................................................................. 199
Asignar la prioridad DiffServ a un dominio ......................................................................................................................... 200
Configurar una red para que utilice DiffServ ....................................................................................................................... 200
Configurar los valores globales de malware ......................................................................................................................... 209
Configurar los valores de malware por regla ........................................................................................................................ 209
Habilitar la inspeccin de HTTPS ............................................................................................................................................ 213
Generar el certificado de inspeccin de HTTPS ....................................................................................................................... 214
Implementar el certificado de CA raz de confianza de inspeccin HTTPS en los equipos cliente ......................................... 215
Configurar la directiva de validacin de certificado ................................................................................................................. 216
Excluir orgenes y destinos de la inspeccin de HTTPS .......................................................................................................... 217
Notificar a los usuarios que se est inspeccionando el trfico HTTPS ..................................................................................... 217
Configurar filtrado HTTP ......................................................................................................................................................... 218
Configurar la proteccin de las amenazas basadas en correo electrnico ................................................................................ 220
Antes de comenzar ............................................................................................................................................................... 221
Configurar rutas SMTP ............................................................................................................................................................. 221
Configurar el filtrado de correo no deseado ............................................................................................................................. 223
Configurar el filtrado de virus .................................................................................................................................................. 227
Configuracin del filtrado de contenido ................................................................................................................................... 228
Suscribir el servidor de transporte perimetral a la organizacin de Exchange ......................................................................... 230
Preparacin para ejecutar el servicio Microsoft Exchange EdgeSync ...................................................................................... 232
Habilitar la conectividad para el trfico de EdgeSync .............................................................................................................. 232
Exportar los archivos de suscripcin perimetral ....................................................................................................................... 233
Crear una caracterstica perimetral ........................................................................................................................................... 233
Administrar actualizaciones de definicin para Forefront TMG .............................................................................................. 234
Elegir un mtodo de actualizacin........................................................................................................................................ 234

11
Crear una base de datos del registro y tablas .................................................................................................... 245
Configurar SQL Server para aceptar la conexin de datos ............................................................................ 245
Configurar una conexin cifrada .............................................................................................................................. 245
Configuracin de reglas de directiva de sistema para registro en SQL Server ...................................... 245

12
Notas de la versin de Forefront TMG 2010 RTM
Publicada: noviembre de 2009
Actualizado: junio de 2010
Se aplica a: Forefront Threat Management Gateway (TMG)
Estas notas de la versin tratan de problemas e informacin de ltima hora acerca de la instalacin, implementacin, configuracin y funcionamiento de Microsoft Forefront
Threat Management Gateway (Forefront TMG). Es esencial que lea la informacin incluida en este documento y revise Requisitos del sistema para Forefront TMG, antes de
instalar Forefront TMG.
En las siguientes secciones se describen problemas relacionados con:
Migracin, instalacin e implementacin
Configuracin y operaciones
Accesibilidad
Migracin, instalacin e implementacin
Los siguientes problemas estn relacionados con la migracin, la instalacin y la implementacin de Forefront TMG:
Migracin de Forefront TMG RC a RTM
Actualizacin de una versin de evaluacin de Forefront TMG que se instal desde un recurso compartido de carpeta a la versin con licencia de Forefront TMG
RTM
Ejecucin de la instalacin de Forefront TMG desde un recurso compartido de red
Instalacin de Microsoft .NET Framework 3.5 SP1 en Windows Server 2008 SP2
Mensaje de error de la Plataforma de filtrado de Windows tras reiniciar un equipo o los servicios de Forefront TMG
Instalacin de la consola de administracin
Matrices de Forefront TMG
Configuracin del Centro de actualizaciones tras la actualizacin de Forefront TMG RC
Desinstalacin


Debe desinstalar todas las versiones de Forefront TMG Release Candidate (RC) para poder instalar Forefront TMG Release to Manufacturing (RTM). Para
obtener informacin, vea Migracin de Forefront TMG RC a RTM.

Actualizacin de una versin de evaluacin de Forefront TMG que se instal desde un recurso compartido de carpeta a la versin con licencia de Forefront TMG
RTM

Si ha instalado la versin de evaluacin de Forefront TMG desde una carpeta compartida, no puede actualizar a la versin con licencia de Forefront TMG RTM
directamente desde el medio de DVD deForefront TMG. En este caso, para actualizar a la versin con licencia de Forefront TMG RTM, debe copiar la versin RTM a una
carpeta compartida y ejecutar la actualizacin desde la carpeta.

Ejecucin de la instalacin de Forefront TMG desde un recurso compartido de red

La ejecucin de la instalacin de Forefront TMG desde un recurso compartido de red puede dar lugar a un error debido a una extraccin incorrecta del paquete de
SQL Express 2008 SP1.
Si esto ocurre, realice las siguientes acciones:
1. En el mensaje de error, haga clic en Aceptar.
2. Despus de la reversin de Forefront TMG, ejecute la instalacin de nuevo.
3. Si se produce de nuevo un error en la instalacin, copie el archivo de instalacin en el servidor de Forefront TMG y ejecute la instalacin de manera local, o
desde el DVD de instalacin.

Instalacin de Microsoft .NET Framework 3.5 SP1 en Windows Server 2008 SP2

Esta nota solo se aplica a la instalacin de Forefront TMG en un equipo que ejecuta Windows Server 2008 SP2. En esta instalacin, se debe configurar la
conexin a Internet de manera que el proxy no requiera autenticacin , para que la herramienta de preparacin de Forefront TMG instale .NET Framework 3.5 SP1 como
parte de la instalacin de software de requisito previo. Por ejemplo, para un proxy de Forefront TMG o un proxy de Internet Security and Acceleration Server 2006, agregue
una regla de acceso que permita la IP del equipo en el que se ejecuta la herramienta de preparacin. La regla debera agregarse antes que aquella que requiere la
autenticacin: Para obtener informacin, vea Crear una regla de acceso.

Mensaje de error de la Plataforma de filtrado de Windows tras reiniciar un equipo o los servicios de Forefront TMG

Despus de reiniciar el equipo o los servicios de Forefront TMG, puede que aparezca el siguiente mensaje de error:
Forefront TMG detect filtros de la Plataforma de filtrado de Windows que pueden ocasionar conflictos de directiva en el servidor. Los siguientes proveedores podran
definir filtros que ocasionen conflictos con la directiva de firewall de Forefront TMG: Microsoft Corporation.
Si aparece este mensaje, deshabilite la alerta para que no aparezca de nuevo, puesto que no indica un conflicto real.

Instalacin de la consola de administracin

La instalacin de la consola de administracin de Forefront TMG no est admitida en Windows XP. No se admite la instalacin de la consola en los sistemas
operativos Windows Vista, Windows Server 2008, Windows Server 2008 R2 y Windows 7.

Matrices de Forefront TMG

13
Al instalar Forefront TMG en un equipo en el que todas las direcciones de la interfaz de red del equipo de Forefront TMG estn asignadas por DHCP, el proceso
de instalacin agrega automticamente los objetos de red relevantes al grupo Servicios de red de la directiva del sistema, en el contexto de origen de las reglas de
DHCP. Si, a continuacin, une el servidor independiente a una matriz de Forefront TMG, las directivas locales del servidor son reemplazadas por el conjunto de
directivas de la matriz. A menos que la directiva de sistema de matriz incluya la misma directiva de DHCP, como se define en las directivas independientes, el
servidor que se uni a la matriz puede perder eventualmente la direccin IP asignada por DHCP, y se producir un error en la comunicacin desde y hacia a
dichas redes.

Para evitar este problema, duplique la configuracin de la directiva de sistema de DHCP independiente en la directiva de sistema de matriz para unir el servidor
independiente a la matriz.
Esta versin no admite la replicacin de un servidor Enterprise Management Server a un servidor de almacenamiento de configuracin de ISA Server.
Al quitar un servidor de una matriz (operacin de separacin), si aparece la alerta "Error del servicio IsaManagedCtrl al recargar la configuracin", no es
necesario que la descarte o lleve a cabo otra accin. La operacin de separacin contina sin interrupcin.

Configuracin del Centro de actualizaciones tras la actualizacin de Forefront TMG RC

Los valores de configuracin del Centro de actualizaciones de Forefront TMG no se migran al actualizar de Forefront TMG RC a Forefront TMG RTM. Una vez
completada la actualizacin, debe volver a configurar dichos valores. Para obtener informacin, vea Administrar actualizaciones de definicin para Forefront TMG.


Si se han instalado actualizaciones de Windows en el equipo en el que desea instalar Forefront TMG, reinicie el equipo antes de ejecutar cualquiera de las
herramientas de instalacin de Forefront TMG; es decir, antes de ejecutar la herramienta de preparacin o el Asistente de instalacin.

Desinstalacin

Antes de desinstalar Forefront TMG, tenga en cuenta lo siguiente:
Para iniciar el proceso de desinstalacin, debe cerrar todas las aplicaciones que se estn ejecutando en el equipo.
Tras iniciar la desinstalacin, no intente cancelarla. Si se cancela la desinstalacin mientras est en curso, es posible que se produzca un error en posteriores
intentos de desinstalar el producto y podra ser necesario volver a instalar el sistema operativo.
Configuracin y operaciones
Los siguientes problemas estn relacionados con la configuracin y el funcionamiento de Forefront TMG:
Adicin y eliminacin de direcciones IP
Certificados de autenticacin de servidor
Proteccin contra malware
Red privada virtual
Filtro VoIP/SIP
Sistema de inspeccin de red
Protocolo de seguridad de Internet (IPsec)
Cifrado
Complementos de otros proveedores
Registro e informes

Adicin y eliminacin de direcciones IP
Al tratar de agregar o eliminar las direcciones IP, la operacin de cambio de direccin IP puede dejar de responder; en cuyo caso tendra que reiniciar el servidor
Forefront TMG. Para evitarlo, se recomienda instalar una revisin proporcionada por Microsoft. Para obtener ms informacin, vea Una operacin de cambio de direccin
IP deja de responder en un equipo que est ejecutando Windows Vista o Windows Server 2008 hasta que reinicie el equipo
(http://go.microsoft.com/fwlink/?LinkId=165829).

Certificados de autenticacin de servidor
No puede usar certificados que se hayan emitido con una plantilla de entidad de certificacin admitida de Windows 2008 de tipo mnimo para crear un escucha de
web de Forefront TMG; por ejemplo, para la publicacin de la aplicacin web o el acceso VPN del Protocolo de tnel punto a punto seguro (SSTP).

Proteccin contra malware
La caracterstica de proteccin contra malware bloquea el protocolo de transmisin por secuencias SHOUTcast (ICY). Las aplicaciones cliente que dependen de
este protocolo, como Nullsoft Winamp, no funcionarn detrs de Forefront TMG. Puede corregir este problema eximiendo a las direcciones URL para la
transmisin por secuencias de medios de la proteccin contra malware.
Es posible que algunos reproductores de vdeo en lnea no funcionen cuando se implementa la proteccin contra malware. Esto podra estar relacionado con el
encabezado Content-Type enviado por el servidor. Para resolver este problema, trate de especificar audio/mp4 como un tipo de contenido que usa el mtodo de
entrega de generacin rpida: Para obtener informacin, vea Configurar la entrega del contenido de inspeccin de malware.
Red privada virtual
Esta nota es relevante para las redes privadas virtuales (VPN) de sitio a sitio del protocolo de seguridad de Internet (IPsec) en una matriz de Forefront TMG que
usa el equilibrio de carga de red (NLB). En esta instalacin, si se produce un error en el servidor de Forefront TMG que acta como el propietario del tnel (por
ejemplo, debido a la falta de conectividad de la red), y un servidor de Forefront TMG de reserva asume la propiedad del tnel, no se reanuda el siguiente trfico:
El trfico web del sitio local donde se ha producido el error en el sitio remoto. Para evitar la prdida del trfico web, deshabilite el proxy web para el trfico web
entre los sitios.
Cualquier trfico del sitio local a sitios remotos con los que tiene una relacin de traduccin de direcciones de red (NAT). Para evitar la prdida del trfico con
NAT, configure una relacin de ruta entre sitios remotos.
Es posible que no funcione la autenticacin RADIUS o VPN para los nombres de usuario localizados en implementaciones en las que el servidor de directiva de
red (NPS) est instalado en Windows Server 2008 R2. Esto se debe a que NPS en Windows Server 2008 R2 usa Unicode para todos los mtodos de autenticacin
de manera predeterminada, mientras que los clientes heredados o los mtodos de autenticacin distintos del protocolo de autenticacin extensible (EAP) usan

14
ANSI. Para evitar este problema, configure el servidor NPS y el cliente que se conecta para admitir ANSI en lugar de Unicode. Para obtener ms informacin,
vea el artculo sobre la imposibilidad de conectarse cuando el nombre de usuario contiene caracteres Unicode (http://go.microsoft.com/fwlink/?LinkId=165830).
Es posible que se bloquee el servicio Enrutamiento y acceso remoto (RRAS) cuando se establecen varias conexiones de manera simultnea en un servidor
Forefront TMG instalado en un equipo que ejecuta Windows Server 2008 SP2. Cuando este servicio se bloquea, finalizan todas las conexiones de la red privada
virtual (VPN) y no se pueden establecer nuevas conexiones VPN. Para recuperarse de esto, debe reiniciar manualmente el servidor Forefront TMG. Para evitar
este problema, se recomienda instalar una revisin proporcionada por Microsoft. Para obtener ms informacin, vea El servicio Enrutamiento y acceso remoto
puede bloquearse cuando hay varias conexiones establecidas simultneamente en un equipo que ejecuta Windows Server 2008

Filtro VoIP/SIP

Forefront TMG no admite lo siguiente:

Servicios de Packet8 VoIP.

Uso de un telfono Linksys PAPT2 con el proveedor del servicio de telefona por Internet CallCentric ITSP.

La cuota de registros y llamadas simultneas para direcciones IP internas tambin afecta a IP externas, lo que significa que, de manera predeterminada, slo se
pueden recibir 10 llamadas desde ITSP al mismo tiempo. Para cambiarlo, haga lo siguiente:
1.
En el recuadro Tareas del nodo Directiva de firewall, haga clic en Configurar valores de VoIP.
2.
Haga clic en Configurar cuotas de SIP.
3.
Edite las opciones Nmero mximo de registros para una direccin IP especfica y Nmero mximo de llamadas para una direccin IP especfica para
especificar un nmero lo suficientemente grande.

El Asistente para VoIP slo se debera usar cuando hay una relacin de red ROUTE o SAMEentre los componentes SIP internos (telfonos, puertas de enlace
IPPBX y SIP).

Cuando la PBX interna se encuentra en una red que no est habilitada para NLB, y los telfonos estn en una red habilitada para NLB, se producir un error en
las llamadas.

En implementaciones en las que la PBX interna se conecta a PSTN mediante un tronco SIP, mensajes SIP, por ejemplo, no se administran llamadas que la PBX
interna enva mediante puertos que no sean el 5060.

En implementaciones que usan un controlador de borde de sesin (SBC), el SBC se debe encontrar en la red externa. Por ejemplo, no se puede encontrar en una
red perimetral.

Cuando el enrutamiento IP est deshabilitado, los medios hasta y desde los extremos no estn disponibles ms de 15 minutos, de manera predeterminada. Para
ampliar el tiempo en que el medio est disponible, haga lo siguiente:
Obtenga acceso a la siguiente clave del Registro:

HKLM\SOFTWARE\Microsoft\RAT\Stingray\Debug\SIP\DIALOG_IDLE_TIMEOUT
Cambie el valor de la clave al tiempo necesario. Tenga en cuenta que el tiempo se define en milisegundos, por ejemplo, el valor para los 15 minutos
predeterminados es de 9000000.

Las actualizaciones de la definicin del Sistema de inspeccin de red (NIS) ya no se admiten en Forefront TMG Beta 3. Para asegurar actualizaciones peridicas,
actualice el sistema a Forefront TMG Versin para produccin (RTM).

Protocolo de seguridad de Internet (IPsec)
La configuracin del modo de tnel de IPsec no es adecuada para las conexiones de red privada virtual (VPN) de sitio a sitio entre un equipo Forefront TMG y un
equipo Internet Security and Acceleration (ISA) Server 2006 porque los servidores tienen diferentes configuraciones predeterminadas de IPsec. No se podr establecer una
conexin VPN entre los sitios con la configuracin predeterminada.
En dicha implementacin, asegrese de modificar la configuracin de IPsec en el servidor de Forefront TMG para que coincida con la del equipo ISA Server 2006.

Cifrado
En ISA Server 2006 y 2004, el administrador tena la opcin de requerir el cifrado de 128 bits para trfico HTTPS. Esto no es necesario en Forefront TMG
porque Windows Server 2008 requiere al menos este nivel de cifrado para las conexiones de capa de sockets seguros (SSL); por tanto, esta opcin se ha quitado de todas las
versiones de Forefront TMG.

Complementos de otros proveedores
Si est ejecutando un complemento desarrollado por otro proveedor para una versin anterior de ISA Server, pngase en contacto con el proveedor para
comprobar la disponibilidad de una versin actualizada para Forefront TMG.

Registro e informes

Cuando publique informes en un directorio en el servidor Forefront TMG, debe agregar la cuenta SYSTEM a los permisos de uso de archivos compartidos del
directorio para asegurar que Forefront TMGpodr publicar los informes en el directorio.

Si su implementacin de Forefront TMG administra grandes volmenes de trfico, es posible que necesite cambiar el tiempo predeterminado de los trabajos de
informes peridicos de Forefront TMG desde la 1:00 a una hora posterior, como las 3:00, para permitir tiempo suficiente para generar datos de resumen de
informe para el resumen del informe que se programa para comenzar a las 00:30.

La directiva de mantenimiento del registro predeterminado de Forefront TMG define el tamao total de los archivos de registros que el sistema guarda antes de
eliminar registros antiguos, como 8 GB. Para la mayora de las organizaciones, este valor es insuficiente para los siguientes formatos de almacenamiento de
registro:

Base de datos de SQL Server Express

Archivo
Para permitir el suficiente espacio de almacenamiento para estos registros, realice una de las siguientes acciones, para el registro del firewall y el registro del proxy web:

Deshabilite la opcin Lmite de tamao total de archivos de registro.

Deshabilite la opcin Lmite de tamao total de archivos de registro, evale sus necesidades de almacenamiento durante un perodo de una semana y, a
continuacin, habilite esta opcin de nuevo y establezca el almacenamiento en el tamao necesario.

Para obtener informacin detallada, vea Configurar los registros de Forefront TMG.

El puerto 8008 de TCP se usa para fines de informes, la asignacin de este puerto para cualquier otro fin interferir con los servicios de informes de Forefront
TMG.

15
Accesibilidad
El narrador no lee el texto que se encuentra en los recuadros central y derecho de la consola de administracin de Forefront TMG.

Notas de la versin de Forefront TMG 2010 SP1
Publicada: junio de 2010
Estas notas de la versin proporcionan informacin y describen problemas de ltima hora en relacin con Microsoft Forefront Threat Management Gateway (Forefront
TMG) 2010 Service Pack 1 (SP1). Es importante que lea la informacin que se incluye en este documento antes de instalar Forefront TMG SP1.

Adquisicin del Service Pack

Caractersticas disponibles en Forefront TMG SP1

Compatibilidad con Forefront Unified Access Gateway (UAG)

Instalacin de Forefront TMG 2010 SP1

Problemas conocidos

Actualizaciones de software del SP1
El Service Pack de Forefront TMG est disponible para su descarga en el Centro de descarga de Microsoft (http://go.microsoft.com/fwlink/?LinkId=193239) y, como
actualizacin opcional, a travs de Microsoft Update.
Caractersticas disponibles en Forefront TMG 2010 SP1
Forefront TMG 2010 SP1 incorpora varias caractersticas nuevas al ya slido conjunto de caractersticas de Forefront TMG 2010. Para obtener informacin sobre estas
caractersticas, vea Novedades de Forefront TMG 2010 SP1.
Compatibilidad con Forefront Unified Access Gateway (UAG)
Se recomienda instalar este Service Pack en equipos en los que se ejecute Forefront UAG. Forefront TMG SP1 se ha comprobado y es totalmente compatible con Forefront
UAG. Para obtener ms informacin, vea Installing Forefront TMG Service Pack 1 en la documentacin en lnea de Forefront UAG.
Instalacin de Forefront TMG 2010 SP1
Se recomienda instalar el Service Pack en el orden descrito en Instalacin de Forefront TMG SP1.
Debe tener presentes los siguientes problemas de instalacin e implementacin antes y despus de instalar Forefront TMG SP1:

Se recomienda completar la actualizacin de todos los servidores de Enterprise Management Server (maestro y rplicas) y de todos los miembros de una matriz
antes de configurar las nuevas caractersticas del SP1 en la matriz.

En un entorno mixto, en el que algunos miembros de la matriz se han actualizado a SP1 y otros no, los servidores que ejecutan la versin original de Forefront
TMG 2010 (tambin conocidos como RTM) se siguen ejecutando con la misma directiva y no reciben actualizaciones de directiva. As mismo, tenga presente
que los servidores RTM:

Procesan y registran el trfico de la manera normal.

Producen datos para informes.

Se pueden supervisar desde la consola de administracin de un miembro de la matriz con SP1, un servidor de Enterprise Management Server con SP1 o a travs
de la administracin remota de SP1.

No muestran las matrices actualizadas o los miembros de matriz en la consola de administracin.

En la mayora de los casos, no es necesario reiniciar el equipo despus de la actualizacin.

Si se conecta a una base de datos SQL remota, debe migrar la base de datos de registro al nuevo esquema. Para obtener instrucciones sobre cmo actualizar una
base de datos SQL remota para Forefront TMG SP1, vea TechNet Wiki (http://social.technet.microsoft.com/wiki).

El nmero de la versin de compilacin de Forefront TMG SP1 es 7.0.8108.200. Para comprobar que el SP1 se ha instalado en un servidor especfico, en la
consola de administracin de Forefront TMG, haga clic en Ayuda y seleccione Acerca de Forefront Threat Management Gateway. El nmero de la versin de
compilacin aparece detrs de Versin.
Problemas conocidos
Los siguientes problemas estn relacionados con la configuracin y el funcionamiento de Forefront TMG SP1:

Alerta de BranchCache en Windows Server 2008 SP2

Invalidacin de usuario para regla de denegacin

Separacin de un servidor de una matriz

Importacin de una configuracin RTM en matrices de varios servidores

Instalacin en un escenario de grupo de trabajo

Instalacin del SP1 en Forefront Unified Access Gateway (UAG)

Vista previa web de Microsoft OneNote

Desinstalacin del SP1

Alerta de BranchCache en Windows Server 2008 SP2
Alerta de BranchCache

Problema Despus de instalar el SP1 en Windows Server 2008 SP2, se registra la alerta Error de inicializacin de BranchCache.
Causa De manera predeterminada, el servicio BranchCache (PeerDistSvc) se inicia despus de la instalacin del SP1, pero BranchCache se admite
nicamente en Windows Server 2008 R2.
Solucin Puede omitir esta alerta sin problemas.

16
Invalidacin de usuario para regla de denegacin

Acceso a sitios desde aplicaciones que no son de explorador
Problema Al solicitar acceso a un sitio bloqueado desde una aplicacin que no es de explorador, el usuario recibe un mensaje de error similar a No se puede abrir
www.contoso.com y no se muestra ninguna opcin para invalidar el bloqueo.
Causa Las aplicaciones que no son de explorador no pueden mostrar la pgina HTML de denegacin de acceso, por lo que el usuario no puede hacer clic en el
botn Invalidar restriccin de acceso.
Solucin Copie el vnculo, pguelo en la direccin de un explorador y, a continuacin, haga clic en Invalidar restriccin de acceso.

La invalidacin de usuario no admite la redireccin al sitio HTTPS
Problema Un usuario solicita acceso a un sitio bloqueado y se encuentra con la opcin de invalidacin de usuario. Despus de hacer clic en Invalidar restriccin de
acceso, la solicitud se transfiere al sitio, nicamente para la redireccin a una pgina (HTTPS) segura. En lugar de obtener acceso al sitio, el usuario recibe
un mensaje de denegacin de acceso.
Causa La invalidacin de usuario admite nicamente sesiones HTTP.
Solucin Ninguna

No se admiten dominios de dos letras
Problema Al intentar invalidar la restriccin de acceso a una direccin URL con un nombre de dominio de dos letras, hacer clic en Invalidar restriccin de acceso no
tiene ningn efecto.
Causa La informacin de invalidacin de usuario se almacena en una cookie en el equipo cliente. Sin embargo, por motivos de seguridad, Internet Explorer no
permite establecer una cookie para direcciones URL con dominios de dos letras. Otros exploradores pueden disponer de medidas de seguridad similares.
Solucin Vea Internet Explorer no configura una cookie para dominios con dos letras (http://support.microsoft.com/kb/310676).

Invalidacin de usuario con invalidaciones de categoras de direcciones URL
Problema Un usuario que intenta obtener acceso a un destino web bloqueado a travs de la invalidacin de usuario recibe un error si se dan las siguientes
condiciones:
1. El administrador invalid la categora de URL predeterminada para este destino.
2. El patrn de URL para la invalidacin de categora de URL no termina con una barra diagonal de cierre (/) y un carcter comodn (*).
Solucin Indique al usuario que agregue una barra diagonal de cierre al final de la direccin web antes de hacer clic en el botn Invalidar restriccin de acceso, o
bien agregue el carcter comodn al patrn de URL con la invalidacin de categora.

Invalidacin de usuarios no autenticados
Problema Las solicitudes de invalidacin de usuario parecen originarse en una nica direccin IP.
Causa Al usar el encadenamiento de proxy web, la identidad de cada cliente se conoce en el servidor que sigue en la cadena pero no se propaga al servidor
precedente. En consecuencia, todas las solicitudes de los usuarios situados detrs del servidor que sigue en la cadena comparten la misma direccin IP.
Solucin Si, por motivos de seguridad, desea permitir nicamente a los usuarios autenticados invalidar las restricciones de acceso, agregue una regla que bloquee el
acceso de los usuarios no autenticados delante de la regla de invalidacin de usuario, o agregue esta direccin IP a las excepciones de origen de la regla de
invalidacin de usuario.

Separacin de un servidor de una matriz
Problema Despus de instalar el SP1, en algunas circunstancias, se produce un error al separar un servidor de una matriz.
Solucin Este problema se puede solucionar si se ejecuta la operacin de reparacin, tal como se describe en el procedimiento siguiente:
1. Haga clic en Inicio, escriba appwiz.cpl y presione ENTRAR.
2. Haga clic con el botn secundario en Microsoft Forefront Threat Management Gateway y seleccione Desinstalar o cambiar.
3. En el Asistente para la instalacin de Microsoft Forefront TMG, seleccione Reparar, haga clic en Siguiente y, a continuacin, haga clic en Instalar.

Importacin de una configuracin RTM en matrices de varios servidores
Problema Cuando se importa una configuracin de una copia de seguridad en el nivel de matriz para una matriz de varios servidores, aparece el mensaje Error al
importar.
Causa El proceso de transformacin de la configuracin RTM a SP1 genera un error cuando se incluye ms de un servidor en el archivo de exportacin.

17
Solucin La solucin es editar el archivo XML y quitar todas las referencias a varios servidores. El archivo editado debera contener un elemento de servidor
nicamente.
Nota:
La informacin del objeto de servidor no es necesaria para la importacin en el nivel de matriz.
1. Abra el archivo .XML exportado en el Bloc de notas o un editor similar. El contenido debera ser similar al siguiente:

<fpc4:Root xmlns:fpc4="http://schemas.microsoft.com/isa/config-4" xmlns:dt="urn:schemas-microsoft-com:datatypes" StorageName="FPC"
StorageType="0"> (...) <fpc4:Arrays StorageName="Arrays" StorageType="0"> <fpc4:Array StorageName="{GUID1}" StorageType="1"> (...)
<fpc4:Servers StorageName="Servers" StorageType="1"> <fpc4:Server StorageName="{GUID2}" StorageType="1"> (...) </fpc4:Server> <fpc4:Server
StorageName="{GUID3}" StorageType="1"> (...) </fpc4:Server> </fpc4:Servers> (...)

2. En la seccin que comienza con <fpc4:Servers StorageName="Servers" StorageType="1">, quite todas las referencias que empiezan por <fpc4:Server>,
excepto una. El contenido del archivo debera parecerse al siguiente:

<fpc4:Root xmlns:fpc4="http://schemas.microsoft.com/isa/config-4" xmlns:dt="urn:schemas-microsoft-com:datatypes" StorageName="FPC"
StorageType="0"> (...) <fpc4:Arrays StorageName="Arrays" StorageType="0"> <fpc4:Array StorageName="{GUID1}" StorageType="1"> (...)
<fpc4:Servers StorageName="Servers" StorageType="1"> <fpc4:Server StorageName="{GUID2}" StorageType="1"> (...) </fpc4:Server>
</fpc4:Servers> (...)

3. Guarde el archivo y realice la importacin.
Instalacin en un escenario de grupo de trabajo
Problema Los informes de actividad de usuario aparecen vacos.
Causa En las implementaciones de grupo de trabajo, el servidor de informes no puede recopilar informacin sobre la actividad de usuario de otros miembros de
la matriz porque la instancia de SQL Server que genera el informe se ejecuta con la cuenta Sistema local y, por lo tanto, se le deniega el acceso de RPC a
otros miembros de la matriz.
Solucin El servicio ISARS de SQL Server (MSSQL$ISARS) debera ejecutarse con una cuenta de usuario real con privilegios administrativos y esta cuenta de
usuario debera reflejarse en todos los miembros de la matriz. Este servicio se puede encontrar nicamente en el equipo que acta como servidor de
informes. Haga lo siguiente:
Cree una nueva cuenta de usuario y conceda a dicha cuenta privilegios administrativos en todos los equipos de la matriz. En el smbolo del sistema,
escriba:

net user <username> <Password> /add

net localgroup administrators <username> /add
Configure el servicio MSSQL$ISARS en el servidor de informes para iniciar sesin con esta cuenta de usuario. En el smbolo del sistema, escriba:

sc config MSSQL$ISARS obj= <reportservername>\<username> password=<Password>
Reinicie todos los servicios pertinentes. En el smbolo del sistema, escriba:

net stop MSSQL$ISARS

net start MSSQL$ISARS

net stop ReportServer$ISARS

net start ReportServer$ISARS
Instalacin del SP1 en Forefront Unified Access Gateway (UAG)
Problema Al instalar Forefront TMG SP1 en Forefront UAG, el Asistente para la instalacin indica que hay Archivos en uso.
Solucin Puede hacer clic en Omitir sin problemas. Cuando el asistente finalice la instalacin, reinicie el equipo para completarla.
Vista previa web de Microsoft OneNote

Publicacin en Microsoft SharePoint 2010
Problema Al intentar abrir un archivo de Microsoft OneNote mediante aplicaciones web de Microsoft Office hospedadas en Microsoft SharePoint 2010 se produce
un error que indica que el archivo no se puede abrir.
Solucin Espere de uno a dos minutos e intente abrir el archivo otra vez desde el mismo equipo.
Desinstalacin del SP1

La desinstalacin del SP1 a travs del Panel de control genera un error

18
Problema Si est habilitado el Control de cuentas de usuario, al intentar desinstalar el SP1 a travs del Panel de control se genera un error y no se quita el Service
Pack.
Solucin Para desinstalar el SP1, vea Desinstalacin de Forefront TMG SP1.

Los informes de actividad de usuario permanecen visibles
Problema Despus de desinstalar el SP1, los informes de actividad de usuario creados mientras estaba instalado el SP1 permanecen visibles en la lista de informes
disponibles. Cualquier intento de generar o ver uno de estos informes no tiene xito.
Solucin Ninguna.
Actualizaciones de software del SP1
Forefront TMG SP1 incluye correcciones de errores publicadas despus de la versin original de Forefront TMG 2010. En la tabla siguiente se muestran los
nmeros de Microsoft Knowledge Base (KB) asociados a algunas de las correcciones incluidas en Forefront TMG SP1:
Artculo de
KB
Descripcin
977062 Las condiciones de filtro de direcciones IP del filtro no funcionan en Forefront TMG 2010
977691 La inicializacin de la aplicacin genera un error despus de crear un aparato de Forefront TMG 2010 si el equipo no tiene una direccin IP vlida
978092 REVISIN: no se puede importar un archivo XML exportado desde una empresa que incluya un servidor basado en Forefront TMG 2010 Standard
Edition
979249 REVISIN: no se puede habilitar la inspeccin de malware para una regla de acceso en Forefront TMG 2010 EMS
979250 REVISIN: no se puede agregar una direccin de correo electrnico que contenga caracteres especiales a la lista de remitentes bloqueados en
Forefront TMG 2010
980309 REVISIN: no se puede crear un informe en Forefront TMG 2010 despus de publicar un servidor SMTP
980310 Aparece el error "Equilibrio de carga en la red detenido: error de configuracin" al intentar habilitar el equilibrio de carga de red en una matriz que
tiene varios miembros de Forefront TMG 2010
980674 Un tnel VPN de sitio a sitio IPsec o un tnel VPN de sitio a sitio PPTP no funciona si se habilita el equilibrio de carga de red integrado en una matriz
de Forefront TMG 2010
976545 REVISIN: mensaje de error al usar la tarea New-MoveRequest para mover un buzn de Exchange 2007 a Exchange 2010: "Error:
MapiExceptionNetworkError: Unable to make connection to the server. (hr=0x80040115, ec=-2147221227)"
977427 REVISIN: se produce un uso elevado de la CPU cuando se exporta o se realizan copias de seguridad de la informacin de configuracin de ISA
Server 2006
976495 REVISIN: no se pueden descargar datos adjuntos a un mensaje desde el servidor OWA si este se publica mediante ISA Server 2006
978970 REVISIN: no se puede cambiar una contrasea que ha expirado en una aplicacin web de la intranet publicada mediante la Autenticacin basada en
formularios y la autenticacin LDAP en ISA Server 2006
980066 REVISIN: ISA Server 2006 no detecta una respuesta de restablecimiento de TCP al habilitar la compresin HTTP
982173 REVISIN: se produce un retraso importante al intentar ver otra regla de directiva en ISA Server 2006 si la matriz contiene varios servidores ISA
Server
981189 REVISIN: se puede iniciar sesin en OWA con un certificado de usuario expirado en TMG 2010
976495 REVISIN: no se pueden descargar datos adjuntos a un mensaje desde el servidor OWA si este se publica mediante TMG 2010
979142 REVISIN: el cliente RSA SecurID no puede iniciar sesin en OWA en TMG 2010 si el nombre de usuario contiene un apstrofo
982181 REVISIN: TMG 2010 no reconoce un nombre alternativo del sujeto en un sistema operativo Windows no ingls
980723 REVISIN: proxy transparente: cuando los clientes proxy no CERN realizan una solicitud de una direccin URL, en el registro de TMG se ve la
direccin IP del sitio web solicitado y no la direccin URL completa
982550 REVISIN: no se puede obtener acceso a sitios web que requieren un certificado de cliente si la inspeccin de HTTPS est activa
982604 REVISIN: la administracin remota de TMG genera un error si un objeto de directiva de grupo aplica restricciones para clientes RPC no autenticados
y la autenticacin de cliente de asignador de extremo RPC

19
982820 REVISIN: TMG 2010 puede no generar informes si se instala en un entorno de espacio de nombres separado

Otras revisiones incluidas son:

La publicacin en web de ISA con delegacin KCD o Negotiate genera una solicitud de vale Kerberos para cada solicitud

Varias mejoras de codificacin fragmentada (en bloques) para la publicacin de OWA

REVISIN: DsCrackNames genera el error "Identificador no vlido" si se interrumpe la conexin con GC

REVISIN: bloqueo en escenarios excepcionales donde se producen conflictos entre el trfico PPTP y GRE

Accesibilidad
Adems de los productos y servicios de accesibilidad del sistema operativo Windows Server 2008 y de Microsoft Management Console (MMC), Forefront TMG
proporciona teclas de mtodo abreviado para seleccionar comandos y para desplazarse en los paneles de la consola y entre ellos.
Exploracin
Al igual que en cualquier complemento MMC, puede examinar el rbol de la consola de Forefront TMG mediante la expansin y contraccin de las ramas, haciendo clic en
los signos ms y menos, o haciendo doble clic en el nodo aplicable. En la siguiente tabla se muestra una lista de las pulsaciones que se pueden utilizar para moverse dentro
de los paneles de la consola y entre ellos.
Accin de la pulsacin Resultado
Tab Avanza entre los paneles de la ventana activa.
Mays+Tab Retrocedes entre los paneles de la ventana activa.
FLECHA ARRIBA Mueve la seleccin hacia arriba un elemento de un panel.
FLECHA ABAJO Mueve la seleccin hacia abajo un elemento de un panel.
RE PG Mueve la seleccin al elemento superior visible de un panel.
AV PG Mueve la seleccin al elemento inferior visible de un panel.
INICIO Mueve la seleccin al primer elemento visible de un panel.
FIN Mueve la seleccin al ltimo elemento visible de un panel.
FLECHA DERECHA Expande el elemento seleccionado.
FLECHA IZQUIERDA Contrae el elemento seleccionado. Si el elemento seleccionado no contiene elementos ocultos, funciona como FLECHA ARRIBA.
En la siguiente tabla se muestra una lista de las acciones del mouse (ratn) que se pueden utilizar para desplazarse por el rbol de la consola de Forefront TMG.
Accin del mouse Resultado
Hacer clic Selecciona un elemento.
Hacer doble clic Muestra u oculta los elementos que contiene el elemento seleccionado. Muestra las propiedades de un elemento o lo abre.
Hacer clic con el botn secundario Muestra el men contextual del elemento seleccionado.

Desplazamiento entre fichas

Para moverse entre fichas, utilice el comando Cambiar a del men Ver. Presione ALT+V para tener acceso al men Ver y, a continuacin, presione W para tener
acceso al comando Cambiar a. Seguidamente, haga clic en el mtodo abreviado aplicable y tendr acceso a la ficha.
Si la ficha contiene una lista, debe utilizar la tecla de direccin ABAJO para seleccionar un elemento de la lista.

Mtodos abreviados

En la siguiente tabla se muestra una lista de los mtodos abreviados para los comandos de men de Administracin de Forefront TMG.
Accin Resultado
F1 Abre el tema de Ayuda, si hay alguno, del elemento seleccionado.
F5 Actualiza el contenido de todos los paneles de la consola.
ENTRAR Muestra el cuadro de dilogo de propiedades, si hay, del elemento seleccionado.
ALT+BARRA ESPACIADORA Muestra el men de la ventana de Administracin de Forefront TMG.
ALT+F4 Cierra el complemento.

20
ALT+A Muestra el men Accin.
ALT+V Muestra el men Ver.
ALT+F Muestra el men Archivo.
ALT+H Muestra el men Ayuda.

Caractersticas de accesibilidad de la ayuda de Forefront TMG
La ayuda de Forefront TMG incluye caractersticas que facilitan el acceso a la herramienta de un espectro ms amplio de usuarios, incluyendo aqullos con
destrezas limitadas, poca visin u otras discapacidades.

Mtodos abreviados para el uso de la ventana de Ayuda
Mediante los siguientes mtodos abreviados del teclado, podr llevar a cabo rpidamente muchas tareas habituales en la ayuda.
Para ello
Utilice este mtodo abreviado del
teclado
Mostrar la ventana Ayuda. F1
Cambiar el cursor entre el panel de temas de la Ayuda y el panel de navegacin (fichas como Contenido, Buscar e ndice). F6
Cambiar entre fichas (por ejemplo, Contenido, Buscar e ndice) mientras se encuentre en el panel de navegacin.
Seleccionar el siguiente texto oculto o hipervnculo.
ALT + letra subrayada de la ficha
Tab
Seleccionar el texto oculto o hipervnculo anterior. Mays+Tab
Realizar la accin seleccionada: Mostrar todo, Ocultar todo, texto oculto o hipervnculo. ENTRAR
Mostrar el men Opciones para tener acceso a cualquier comando de la barra de herramientas de la Ayuda. ALT+O
Ocultar mostrar el panel que contiene las fichas Contenido, Buscar e ndice. ALT+O y, a continuacin, presione
T
Mostrar el tema visualizado anteriormente. ALT+O y, a continuacin, presione
B
Mostrar el tema siguiente en una secuencia de temas mostrada anteriormente. ALT+O y, a continuacin, presione
F
Volver a la pgina principal. ALT+O y, a continuacin, presione
H
Evitar que la ventana de Ayuda abra un tema de Ayuda (til si desea detener la descarga de una pgina web). ALT+O y, a continuacin, presione
S
Abrir el cuadro de dilogo Opciones de Internet para Microsoft Internet Explorer, desde donde se puede cambiar la
configuracin de accesibilidad.
ALT+O y, a continuacin, presione
I
Actualizar el tema (til si se ha vinculado a una pgina web). ALT+O y, a continuacin, presione
R
Imprimir todos los temas en un libro o slo un tema seleccionado. ALT+O y, a continuacin, presione
P
Cerrar la ventana Ayuda. ALT+F4

Para cambiar la apariencia de un tema de Ayuda
1.
Para personalizar los colores, los estilos de fuente y los tamaos de fuente utilizados en la Ayuda, abra la ventana Ayuda.
2.
Haga clic en Opciones y, a continuacin, en Opciones de Internet.
3.
En la ficha General, haga clic en Accesibilidad. Seleccione Omitir los colores especificados en pginas web, Omitir estilos de fuentes especificados en pginas
web y Omitir tamaos de fuentes especificados en pginas web. Tambin puede utilizar los valores especificados en su hoja de estilos.
4.
Para cambiar los colores utilizados en la Ayuda, consulte Para cambiar el color de fondo o el texto. Para cambiar la fuente, consulte Para cambiar la fuente de la
Ayuda.

Para cambiar el color del fondo o el texto de la Ayuda
1.
Abra la ventana Ayuda.
2.
3.
En la ficha General, haga clic en Accesibilidad. A continuacin, seleccione Omitir colores especificados en pginas web. Tambin puede utilizar los valores
especificados en su hoja de estilos.
4.
Para personalizar los colores utilizados en la Ayuda, en la ficha General haga clic en Colores. Desactive la casilla Usar colores de Windows y, a continuacin,
seleccione los colores de fondo y de fuente que desea utilizar.

21
Nota:
Si cambia el color de fondo de los temas de Ayuda en la ventana Ayuda, el cambio tambin afecta al color de fondo de una pgina web en Microsoft Internet Explorer.

Para cambiar la fuente en la Ayuda
1.
Abra la ventana Ayuda.
2.
3.
En la ficha General, haga clic en Accesibilidad. Para utilizar la misma configuracin que la utilizada en su instancia de Microsoft Internet Explorer, seleccione
Omitir estilos de fuentes especificados en pginas web y Omitir tamaos de fuentes especificados en pginas web. Tambin puede utilizar los valores
especificados en su hoja de estilos.
4.
Para personalizar el estilo de fuente utilizado en la Ayuda en la ficha General, haga clic en Fuentes y, a continuacin, haga clic en el estilo de fuente que desee.
Nota:
Si cambia la fuente de los temas de Ayuda de la ventana Ayuda, el cambio tambin afecta a la fuente cuando se ve una pgina web en Internet Explorer.

Planeacin y diseo de Forefront TMG
El propsito de Planeacin y diseo de Forefront TMG es ayudarle a planear y disear una implementacin de un extremo a otro de Forefront TMG en un entorno
de produccin. Describe los diseos y las caractersticas de acceso y proteccin de Forefront TMG, y proporciona recomendaciones e instrucciones para ayudarle a
determinar qu diseos son adecuados para sus objetivos de implementacin y para su entorno de negocio.
Las siguientes guas de planeacin y diseo estn disponibles:

Gua de diseo de escalabilidad y alta disponibilidad para Forefront TMG

Gua de diseo de instalacin para Forefront TMG

Gua de diseo de acceso para Forefront TMG

Gua de diseo de proteccin para Forefront TMG

Gua de planeacin de administracin para Forefront TMG

Gua de diseo de escalabilidad y alta disponibilidad para Forefront TMG
Actualizado: febrero de 2010
La gua de diseo y alta disponibilidad para Forefront TMG ayuda a planear la disponibilidad continua de Forefront TMG y cualquier aplicacin que publica, y el
escalado de su implementacin de Forefront TMG cuando aumenten las necesidades de su organizacin. Proporciona informacin que le ayudar a tomar las
decisiones de diseo de implementacin adecuadas para sus objetivos de negocio y para su entorno.
Acerca esta gua
Esta gua est pensada para el administrador del sistema o el arquitecto del sistema responsable del diseo e implementacin de las matrices y los servidores de
Forefront TMG en el entorno de produccin. Antes de leer esta gua, debera estar familiarizado con los conceptos de configuracin y diseo de red, alta disponibilidad
y equilibrio de carga.
Identificar y asignar la alta disponibilidad y los objetivos de implementacin de escalabilidad
La siguiente tabla est diseada para ayudarle a identificar la alta disponibilidad y los objetivos de implementacin de escalabilidad de Forefront TMG. Despus de
identificar los objetivos que son adecuados para su organizacin, puede asignarlos a los diseos pertinentes de Forefront TMG.
Objetivo de implementacin Diseo de Forefront TMG
Garantizar la continuidad operacional de la implementacin de
Forefront TMG y cumplir los requisitos de rendimiento cada vez
mayores.
Alta disponibilidad y escalabilidad del servidor de Forefront TMG. Para obtener ms
informacin, vea Planeacin para la escalabilidad y alta disponibilidad del servidor de
Forefront TMG.
Garantizar la conexin ininterrumpida a Internet. Alta disponibilidad del proveedor de acceso a Internet. Para obtener ms informacin, vea
Planeacin para alta disponibilidad del proveedor de servicios Internet.
Habilitar la alta disponibilidad de los servidores de una granja de
servidores web publicados, para el acceso de entrada.
Granjas de servidores web para equilibrio de carga. Para obtener ms informacin, vea
Acerca del equilibrio de la carga para publicacin de web.

Planeacin para la escalabilidad y alta disponibilidad del servidor de Forefront TMG
Este tema est diseado para ayudarle a planear sus implementaciones de Forefront TMG segn sus necesidades de escalabilidad y disponibilidad, usando una o varias
matrices de Forefront TMG.

22
Las matrices de Forefront TMG proporcionan:
Alta disponibilidad: para garantizar la continuidad operacional de la implementacin de Forefront TMG, incluso durante la inactividad de uno o varios de los servidores de
Forefront TMG de la implementacin. La configuracin de Forefront TMG en todos los servidores de la matriz es idntica, por lo que se ofrece un servicio ininterrumpido
durante la conmutacin por error de uno o ms miembros de la matriz.
Escalabilidad: para cumplir las demandas en aumento de rendimiento. Por ejemplo, con un nmero creciente de usuarios, o usuarios que desean aumentar sus actividades de
Internet, se requiere ancho de banda de red adicional. Cuando aumenten las necesidades de su organizacin, puede actualizar con facilidad una implementacin de un nico
servidor de Forefront TMG a una matriz de Forefront TMG, aumentar el nmero de miembros de una matriz existente o aumentar los nmeros de matrices.
Almacenamiento en cach persistente y distribuido: conserva todos los servidores actualizados con la configuracin del administrador de matriz ms reciente, permitindoles
as a los usuarios designar un nuevo administrador de matriz a peticin. La informacin es persistente y se conserva durante el tiempo de inactividad de uno o varios de los
servidores de Forefront TMG en la implementacin.

Nota:
Las matrices de varios servidores solo se admiten en Forefront TMG Enterprise. Forefront TMG Standard admite nicamente una matriz de un solo servidor. Para
obtener ms informacin, vea Acerca de las ediciones de Forefront TMG.
En las secciones siguientes se describe:

Acerca de las matrices de Forefront TMG

Servidores de Forefront TMG de equilibrio de carga en una matriz
Acerca de las matrices de Forefront TMG
Una matriz de Forefront TMG es una coleccin de servidores de Forefront TMG que se administran de manera centralizada, a travs de una nica interfaz de administracin.
Al crear una matriz de Forefront TMG, la siguiente configuracin se almacena en una ubicacin central:

Los valores de configuracin de la matriz, que son relevantes para todos los miembros de la matriz y compartidos por ellos.

Los valores de configuracin del servidor, que solo son pertinentes para un miembro de matriz concreto, para cada uno de los miembros de la matriz.

Forefront TMG Enterprise admite dos tipos de matrices:

Independiente: segn el mtodo de equilibrio de carga seleccionado, una matriz independiente puede tener hasta 50 servidores de Forefront TMG administrados por
uno de los miembros de la matriz que acta como el administrador de matriz; para ms informacin acerca del equilibrio de carga, vea Servidores de Forefront
TMG de equilibrio de carga en una matriz. Use este tipo de matriz si Forefront TMG se implementa en una ubicacin lgica nica y administra una carga de trfico
media.

Administrada por EMS: una matriz administrada por EMS puede tener hasta 200 matrices de Forefront TMG, cada una de ellas con un mximo de 50 servidores de
Forefront TMG, administradas por un servidor Enterprise Manager Server (EMS). Cuando ha configurado una matriz administrada por EMS, puede replicar su
configuracin y administrar hasta 15 matrices administradas por EMS con la misma configuracin, habilitando as la administracin centralizada de hasta 150.000
servidores de Forefront TMG.

Puede usar una matriz administrada por EMS en los siguientes escenarios de implementacin:

Forefront TMG se implementa en una ubicacin lgica nica y administra una carga alta de trfico.

Forefront TMG se implementa en varias ubicaciones. En este escenario, EMS se utiliza para la administracin centralizada de varias ubicaciones, incluidas las
ubicaciones con cargas del trfico relativamente bajas; por ejemplo, una implementacin de sucursal.
Servidores de Forefront TMG de equilibrio de carga en una matriz
El equilibrio de carga sirve para equilibrar el trfico de red entre miembros de matriz, de manera que el trfico se optimiza en todos los servidores disponibles. Puede usar el
equilibrio de carga de red (NLB) o un equilibrador de carga de hardware de terceros para equilibrar la carga de trfico entre los miembros de matriz de Forefront TMG,
como se indica a continuacin:

NLB: esta caracterstica opcional de Windows Server 2008 est integrada en Forefront TMG. Las herramientas de NLB son un requisito previo para la instalacin
de Forefront TMG (como se describe en Requisitos del sistema para Forefront TMG); puede configurar directamente NLB en la consola de administracin de
Forefront TMG. En una matriz de Forefront TMG, NLB admite el equilibrio de carga en un mximo de ocho miembros de matriz. Este mtodo para implementar el
equilibrio de carga proporciona varias ventajas:

Ahorros de costos, ya que no se tiene que comprar ningn dispositivo de hardware.

Supervisin y administracin simplificadas, ya que NLB se puede administrar directamente en la consola de administracin de Forefront TMG. Puede aplicar la
configuracin de NLB con facilidad a todos los miembros de la matriz.

Facilidad de administracin de nodos, ya que los nodos se pueden administrar y purgar a travs de la consola de administracin de Forefront TMG.

La configuracin y las reglas de firewall se configuran automticamente.

Nota:
El uso de NLB integrado es el mtodo recomendado para implementar NLB en Forefront TMG. Le permite aprovecharse de los beneficios de la administracin
central, la configuracin, el mantenimiento y la solucin de problemas, que no estn disponibles si configura directamente NLB mediante las herramientas NLB
basadas en Windows.

23
Equilibrio de carga de hardware de terceros: el equilibrio de carga que seleccione debe
admitir la afinidad de IP.
Acerca del almacenamiento empresarial
En Forefront TMG, la configuracin de todos los servidores en una matriz est almacenada en una ubicacin central, en un almacenamiento de Active Directory Lightweight
Directory Services (AD LDS).
La ubicacin de almacenamiento depende del tipo de matriz de Forefront TMG, segn se explica a continuacin:

Matriz independiente: en una matriz independiente, la configuracin est almacenada en un almacn de configuracin en el servidor del administrador de la matriz. Este
mtodo de almacenamiento, que tambin se utiliza para almacenar la configuracin en un servidor de Forefront TMG independiente, es similar al servidor de
almacenamiento de configuracin (CSS), que se usaba para almacenar la configuracin y las directivas de empresa en ISA Server 2006 Enterprise Edition.

Matriz administrada por un servidor Enterprise Management Server (EMS): en una matriz administrada por un EMS, la configuracin est almacenada en el EMS.

En ambos tipos de matriz, AD LDS tambin se instala localmente en todos los miembros de matriz de Forefront TMG y se deshabilita cuando el servidor Forefront
TMG se une a la matriz. Los miembros de la matriz tienen acceso al administrador de matriz (en la matriz independiente) o a EMS (en la matriz administrada por EMS)
para actualizar la configuracin y las directivas de matriz y empresa.

Planeacin para alta disponibilidad del proveedor de servicios Internet
Este tema est diseado para ayudar al administrador de Forefront TMG a garantizar una conexin ininterrumpida a Internet en organizaciones donde:

Forefront TMG se implementa en el permetro de la red, actuando as como puerta de enlace de la organizacin a Internet.

La conexin a Internet la proporcionan dos proveedores de servicios de Internet (ISP).

La caracterstica de redundancia de ISP de Forefront TMG habilita la conectividad a Internet ininterrumpida, como se describe en Habilitacin de la redundancia del
Proveedor de acceso a Internet (ISP).

Nota:
La redundancia de ISP no se aplica al trfico que se origina en Forefront TMG, salvo el trfico administrado por el filtro del proxy web.


Mtodos de distribucin de trfico

Requisitos para habilitar la redundancia de ISP
Mtodos de distribucin de trfico
Puede configurar Forefront TMG para distribuir el trfico saliente entre dos conexiones de ISP mediante uno de los mtodos siguientes:

Equilibrio de carga con capacidades de conmutacin por error: alta disponibilidad entre las dos conexiones, incluyendo las siguientes capacidades:

Equilibrio de carga: distribuya el trfico entre las conexiones segn la proporcin que defina. Por ejemplo, puede asignar el 80% del trfico a una conexin y el
restante 20% a la segunda conexin.

Conmutacin por error: si una conexin se vuelve no disponible, la otra conexin administra el trfico. La conexin a Internet es ininterrumpida y los usuarios
finales no se ven afectados.
Use esta opcin cuando desee usar ambas conexiones de manera simultnea.

Solo conmutacn por error: una conexin se define como la conexin principal para todo el trfico, mientras que la otra conexin solo acta como la conexin de
reserva. Si la conexin principal se vuelve no disponible, el trfico se enruta a la conexin de reserva y el servicio de Internet es ininterrumpido.

Use esta opcin cuando desee usar solo la conexin secundaria cuando la conexin principal no est disponible.
Requisitos para habilitar la redundancia de ISP
A continuacin, indicamos los requisitos para habilitar la redundancia de ISP en Forefront TMG:

Todas las redes perimetrales e internas conectadas a Forefront TMG deben tener una relacin de traduccin de direcciones de red (NAT) con la red externa
predeterminada.

Todas las conexiones ISP se deben configurar con una subred IP nica y una puerta de enlace predeterminada nica.

Nota:
Windows Server 2008 no admite varias puertas de enlace predeterminadas en vnculos asignados por DHCP. Si sus ISP solo admiten el direccionamiento asignado por
DHCP, debe agregar manualmente ambas puertas de enlace predeterminadas a la tabla de enrutamiento de Forefront TMG.

24

Forefront TMG debe estar conectado directamente a ambos ISP, sin equipos intermedios; por ejemplo, un servidor proxy, entre ellos. En una matriz de Forefront
TMG, cada miembro debe estar conectado directamente a ambos ISP.

Si opta por asociar una o ambas conexiones de ISP a un adaptador de red, las conexiones deben estar asociadas al adaptador de red externo predeterminado; no debe
asociar una conexin de ISP a ninguna otra red externa.

Las entradas de servidor DNS de ISP no pueden residir en la misma subred que el adaptador de red al que estn asociadas. Se recomienda que, antes de ejecutar el
Asistente de redundancia de ISP, quite cualquier entrada de DNS que exista en la misma subred que el adaptador de red al que piensa asociarlas. Despus de
completar el asistente, agregue las entradas que quit a la configuracin de IP y a las listas de servidores de ISP. Para obtener ms informacin, vea Habilitacin de
la redundancia del Proveedor de acceso a Internet (ISP).

Se recomienda que la configuracin de procesamiento de descarga de red sea idntica en ambos adaptadores conectados a los ISP. Si la configuracin no es
idntica, el procesamiento de descarga de red se deshabilita en ambos adaptadores.

Acerca del equilibrio de la carga para publicacin de web
En Forefront TMG, al publicar una granja de servidores web que realizan el mismo rol u hospedan el mismo contenido, puede habilitar la disponibilidad alta para el acceso
de entrada configurando Forefront TMG con el fin de controlar el equilibrio de carga entre los servidores de la granja. El equilibrio de carga asegura que las solicitudes se
distribuyen de manera uniforme entre los servidores web disponibles, detecta los servidores sin conexin, implementa la conmutacin por error y mantiene los servidores de
la granja, sin interrumpir las conexiones de extremo actuales.
El equilibrio de carga de Forefront TMG asegura que el trfico se distribuye uniformemente entre los servidores de la granja, usando los siguientes mecanismos:

Mecanismo round-robin: al expandir las solicitudes de diferentes direcciones IP de manera uniforme entre los miembros de la granja de servidores web, el
mecanismo round-robin asegura que las solicitudes del usuario a una aplicacin web atendidas por una granja de servidores web se distribuyen uniformemente entre
los miembros de la granja que estn en lnea. Esta distribucin uniforme se mantiene durante la conmutacin por error. Cuando se produce la conmutacin por error,
se detectan los servidores que no estn respondiendo y la carga se distribuye entre los servidores disponibles.

Afinidad: Forefront TMG asegura que, despus de que un usuario se ha enrutado una vez a un servidor de aplicacin, el usuario se le contina enrutando a dicho
servidor. Forefront TMG admite dos tipos de afinidad de equilibrio de carga:

Equilibrio de carga basado en cookies o afinidad de sesin: la sesin del usuario est asociada al servidor. Es recomendable usar la afinidad de sesin siempre que
sea posible, ya que proporciona una afinidad de cliente ms confiable cuando se reinicia un servidor web.

Equilibrio de carga basado en IP de origen o afinidad de IP: la direccin IP del cliente est asociada al servidor. Este tipo de afinidad debera usarse en los casos de
publicacin de RPC sobre HTTP de Exchange, en los que no se puede usar la afinidad de sesin porque la aplicacin cliente Outlook no admite cookies.

Gua de diseo de instalacin para Forefront TMG
La gua de diseo de instalacin de Forefront TMG est pensada para ayudarle a planear una nueva instalacin de Forefront TMG o a migrar un sistema existente de acuerdo
con los requisitos de su organizacin y el diseo concreto que desee crear.
Acerca esta gua
Esta gua est dirigida a administradores de seguridad e ingenieros de operaciones de TI que conocen bien el funcionamiento de Forefront TMG a nivel funcional, as como
los requisitos organizativos que quedarn reflejados en el diseo de Forefront TMG.
Identificar y asignar sus objetivos de instalacin
La siguiente tabla est diseada para ayudarle a identificar sus objetivos de instalacin de Forefront TMG. Despus de identificar los objetivos que son adecuados para su
organizacin, puede asignarlos a los diseos pertinentes de Forefront TMG.
Objetivo de instalacin Diseos de Forefront TMG
Migrar Internet Security and Acceleration (ISA) Server 2004 a Forefront
TMG
Migrar ISA Server 2006 a Forefront TMG
Migrar la versin candidata de versin comercial (RC) de Forefront TMG a
la versin para fabricacin (RTM) de Forefront TMG
Actualizar Forefront TMG Standard Edition a Enterprise Edition
Rutas de migracin y actualizacin de Forefront TMG. Para obtener ms
informacin, vea Planeacin de migracin.
Instalar Forefront TMG. Escenarios y modos de instalacin de Forefront TMG. Para obtener ms
informacin, vea Planeacin para instalar Forefront TMG.
Aprovisionar el hardware del servidor. Recomendaciones de hardware de Forefront TMG. Para obtener ms informacin,
vea Recomendaciones de hardware para Forefront TMG 2010.
Integrar Forefront TMG en la topologa de red existente segn los requisitos de
seguridad de la red.
Topologas de red de Forefront TMG. Para obtener ms informacin, vea
Planeacin de la topologa de red de Forefront TMG.
Determinar el entorno de implementacin. Entorno de dominio o grupo de trabajo. Para obtener ms informacin, vea
Consideraciones del dominio o del grupo de trabajo.

25
Preparar la infraestructura de certificacin.
Publicacin de web: autenticar el equipo de Forefront TMG para el usuario
externo.
Publicacin de web: autenticar el servidor web back-end para el equipo de
Forefront TMG.
VPN: tnel L2TP/IPsec o IPsec.
Inspeccin de HTTPS.
Entorno de grupo de trabajo: autenticacin de servidor y cifrado de datos.
Para obtener ms informacin, vea Planeacin de certificados de servidor.
Controlar la administracin y auditora de Forefront TMG. Roles y permisos de Forefront TMG. Para obtener ms informacin, vea Acerca de
los permisos y roles de Forefront TMG.
Preparar la infraestructura de resolucin de nombres de dominio. Sistema de nombres de dominio (DNS) del servidor. Para obtener ms informacin,
vea Planeacin de resolucin de nombres de dominio.
Preparar los equipos internos para la comunicacin con el servidor de Forefront
TMG.
Cliente de Forefront TMG u otro software cliente de Firewall.
Cliente proxy web.
Cliente de traduccin segura de direcciones de red (SecureNAT).
Para obtener ms informacin, vea Acerca de los equipos cliente de firewall.
Permitir a los equipos internos detectar automticamente la ubicacin del
servidor de Forefront TMG que deberan usar como proxy web.
Deteccin automtica de proxy web. Para obtener ms informacin, vea
Planeamiento de la deteccin automtica de proxy web.

Planeacin de migracin
Forefront TMG admite las siguientes opciones de migracin:

Migrar Internet Security and Acceleration (ISA) Server 2004 a Forefront TMG.

Migrar ISA Server 2006 a Forefront TMG.

Migrar la versin candidata de versin comercial (RC) de Forefront TMG a la versin para fabricacin (RTM) de Forefront TMG.

Actualizar Forefront TMG Standard Edition a Enterprise Edition.
Para obtener ms informacin e instrucciones sobre las opciones de migracin, vea Migracin y actualizacin a Forefront TMG.
Limitaciones de migracin
Antes de migrar, debera tener en cuenta lo siguiente:

La migracin de ISA Server 2004 slo se admite para ISA Server 2004 Service Pack 3.

La migracin de ISA Server 2006 slo se admite para ISA Server 2006 Service Pack 1.

Si ha habilitado la red de host local para que escuche las solicitudes del cliente proxy web, no se migrar esta configuracin.

No se migran las selecciones de campos de registro personalizadas. Cuando se importan los valores de configuracin de ISA Server, las selecciones de campos de
registro personalizadas se sobrescriben con la configuracin de campo de registro predeterminada.

No se migran los valores de configuracin del informe.

Si ha especificado un valor personalizado para el nmero de veces que se debe producir un evento antes de que se desencadene una alerta, no se migrar este valor
personalizado.

Los complementos de terceros se deshabilitan despus de la actualizacin. Si estuviera ejecutando un complemento de otro fabricante para ISA Server, antes de
volver a habilitarlo, debera ponerse en contacto con el proveedor para comprobar la disponibilidad de una versin actualizada para Forefront TMG.

Despus de migrar la configuracin de ISA Server, el grupo de direcciones estticas para VPN no se migra en la configuracin de Forefront TMG. As es por diseo
y afecta a VPN S2S (solo RRAS) y a los clientes de movilidad de VPN.

Despus de migrar la configuracin de VPN S2S de ISA Server a Forefront TMG, la red S2S no se conecta porque no se ha configurado ningn propietario de
tnel.

Para resolver este problema, ejecute el siguiente script en Forefront TMG despus de la importacin:

<script>

dim root

Set root = CreateObject("FPC.Root")

Set Arr=root.GetContainingArray

set S2SNet = Arr.NetworkConfiguration.Networks.Item(NetworkName)

S2SNet.VpnConfiguration.SetAssignedServer(root.GetContainingServer.Name)

S2SNet.save

26

</script>

En ISA 2006 (fase I y fase II), la configuracin de IPsec para IPsec S2S tena los siguientes valores predeterminados:

Algoritmo de cifrado: 3DES

Algoritmo de integridad: SHA1
En Forefront TMG, estos valores se cambiaron a nuevos valores predeterminados que proporcionan mayor seguridad:

Algoritmo de cifrado: AES256

Algoritmo de integridad: SHA256
Al importar una configuracin de ISA Server que usa los valores predeterminados, los valores predeterminado actuales de Forefront TMG reemplazan estos valores (por
diseo).
El reemplazo de los valores predeterminados afectar a la configuracin de IPsec actual (a menos que la configuracin tambin se cambie en el otro lado del tnel de modo
que se usen los valores actuales). Los valores actuales se pueden cambiar en la interfaz de usuario, en la opcin Configuracin de IPsec de la pestaa Conexin de la hoja de
propiedades de la red S2S.
Planeacin para instalar Forefront TMG
En este tema se describen las opciones disponibles para una nueva instalacin de Forefront TMG y se proporciona ayuda para decidir las opciones ms adecuadas para cada
entorno.
Antes de comenzar, compruebe que el equipo en el que desea instalar Forefront TMG cumple los requisitos de hardware y software descritos en Requisitos del sistema para
Forefront TMG.
Se recomienda leer las siguientes secciones al planear su instalacin de Forefront TMG:

Escenarios de instalacin

Modos de instalacin
Escenarios de instalacin
Los siguientes escenarios de instalacin estn disponibles para una nueva instalacin de Forefront TMG:

Servicios de Forefront TMG: se instala un nico servidor de Forefront TMG en el equipo, incluidos todos los servicios de Forefront TMG y la consola de
administracin de Forefront TMG, para la administracin local de Forefront TMG. Para obtener instrucciones, vea Instalacin de servicios Forefront TMG.

Administracin remota: se instala solo la consola de administracin de Forefront TMG para la administracin remota de los servidores de Forefront TMG instalados
en otros equipos. La consola es un complemento de la consola de administracin de Microsoft (MMC).
Tenga en cuenta las consideraciones siguientes:

Puede ejecutar la consola de administracin de Forefront TMG en las versiones de 32 bits de Windows Server 2008, mientras que otras opciones de Forefront TMG
requieren un sistema operativo Windows Server 2008 de 64 bits.

Necesita una conexin fiable y rpida entre el equipo de Forefront TMG y el equipo que ejecuta la consola de administracin de Forefront TMG para que la consola
responda rpidamente y muestre la informacin de configuracin actualizada. Si su conexin al equipo de Forefront TMG es inferior a 5 megabits por segundo, se
recomienda que se conecte al equipo de Forefront TMG a travs de una conexin del Protocolo de escritorio remoto y que ejecute la consola de administracin de
Forefront TMG localmente, en el equipo de Forefront TMG.

No puede usar una consola de administracin remota de Forefront TMG para ejecutar el Asistente de introduccin de Forefront TMG. Para ejecutar el asistente de
introduccin, es necesario tener acceso a la consola local.

Para obtener instrucciones, vea Instalacin de la consola de administracin para tareas de administracin remota.

Enterprise Management Server (EMS): esta opcin solo est disponible para los usuarios de Forefront TMG Enterprise Edition; no est disponible para los usuarios
de Forefront TMG Standard Edition. EMS permite administrar varias matrices de Forefront TMG de manera centralizada. Puede crear y actualizar directivas de
empresa, y crear reglas de la directiva que puede asignar a las matrices de la empresa. Para obtener instrucciones, vea Instalacin de un servidor Enterprise
Management Server (EMS) para la administracin centralizada.
Modos de instalacin
Puede ejecutar la instalacin de Forefront TMG en modo interactivo o desatendido:

Modo interactivo: en este modo, supervisa el proceso de instalacin e introduce la informacin de instalacin necesaria cuando se la solicita el proceso de
instalacin. Este modo se recomienda si va a instalar un servidor de Forefront TMG nico o un nmero reducido de servidores de Forefront TMG. Para obtener
instrucciones, vea Instalacin de los servicios de Forefront TMG en modo interactivo.

Modo desatendido: para ejecutar la instalacin en este modo, prepara la informacin de instalacin en un archivo usado por el proceso de instalacin durante la
misma. Este modo se recomienda para la implementacin de varios servidores de Forefront TMG. Para obtener instrucciones, vea Instalar los servicios de Forefront
TMG en modo desatendido.

Nota:
Debe ser miembro del grupo Administradores en el equipo local para ejecutar la instalacin de Forefront TMG, en cualquier modo.
Se recomienda deshabilitar el protector de pantalla antes de realizar una instalacin desatendida; el proceso de instalacin se pausar si el protector de pantalla del
equipo est activado.

27
Recomendaciones de hardware para Forefront TMG 2010
Antes de instalar Forefront TMG, se recomienda que revise este tema para asegurarse de que el hardware es suficiente para la implementacin. Los requisitos de hardware
de los servidores que ejecutan Forefront TMG varan y dependen de varios factores:

Las caractersticas que se habilitan.

El nmero de usuarios simultneos.

El ancho banda de red de rea extensa (WAN) mximo disponible.

En este tema se describen las recomendaciones de hardware para escenarios de implementacin comunes. Observe que Forefront TMG puede admitir valores superiores a
los mostrados en la tabla 1. Los resultados de las pruebas de hardware disponibles para la versin RTM demuestran que un solo servidor de Forefront TMG, implementado
como puerta de enlace web segura, puede admitir de manera razonable hasta 12.169 usuarios simultneos y un ancho banda WAN mximo de 487 Mbps. Para admitir este
nivel de caractersticas, usuarios y ancho de banda, se necesita un servidor de alta gama con 2 procesadores Intel Xeon Core i7 3333 MHz, con 8 ncleos cada uno, y 12 GB
RAM.
En la siguiente tabla se muestran las recomendaciones de hardware para escenarios de implementacin comunes.

Tabla 1: Recomendaciones de hardware para escenarios de implementacin comunes

Servidor
proxy
1

Puerta de enlace web
segura
2

Puerta de enlace web
segura
2

Puerta de enlace de
correo segura
3

Puerta de enlace de correo
segura
3

usuarios 1,500 750 1,500 4,000 10,000
Ancho de banda de WAN 100 Mbps 50 Mbps 100 Mbps 10 Mbps 20 Mbps
CPU: AMD Opteron 1 ncleo
dual
1 ncleo cudruplo 2 ncleos cudruplos 1 ncleo cudruplo 2 ncleos cudruplos
CPU: Intel Xeon
4
1 ncleo
dual
1 ncleo Core2
cudruplo
2 ncleos Core2
cudruplos
1 ncleo Core i7
cudruplo
5

1 ncleo Core2
cudruplo
2 ncleos Core2
cudruplos
1 ncleo Core i7
cudruplo
5

Memoria 2 GB 4 GB 8 GB 4 GB 8 GB
Espacio de disco para registro 150 GB 80 GB 150 GB 10 GB 20 GB
Discos adicionales para almacenamiento
en cach web
1 0 1 N/D N/D
Interfaz de red 100 Mbps 100 Mbps 100 Mbps 100 Mbps 100 Mbps
Nota:
1
Incluye almacenamiento en cach web y filtrado de URL.
2
Incluye filtrado de URL, inspeccin de malware, inspeccin de HTTPS, Sistema de inspeccin de red, almacenamiento en cach web, proteccin de correo y
proteccin de SIP/VoIP.
3
Incluye proteccin de correo, como proteccin contra correo no deseado y contra malware.
4
"Core2" hace referencia a procesadores con Intel Core Microarchitecture; "Core i7" hace referencia a procesadores con Intel Microarchitecture, nombre de cdigo
Nehalem.
5
Asegrese de que el procesador Core i7 cuenta con tecnologa Intel Hyper-Threading.
Importante:
Si el nmero de usuarios o el ancho de banda de su implementacin supera los valores de la tabla o si desea mejorar el escenario en lo referente a las caractersticas
habilitadas, se recomienda que descargue la herramienta de planeacin de la capacidad que est disponible en el centro de descarga
En las siguientes secciones se proporcionan instrucciones para aprovisionar y configurar correctamente el hardware del servidor segn su implementacin:

Diseo de hardware de servidor

Consideraciones acerca del procesador

Consideraciones acerca del almacenamiento

Consideraciones acerca del adaptador de red

Recomendaciones de redundancia
Diseo de hardware de servidor
Disee el hardware del servidor de acuerdo con los requisitos actuales y futuros para prever el posible crecimiento. Es posible que desee tener en cuenta la incorporacin de
ms procesadores y memoria, y un subsistema de almacenamiento confiable con una capacidad que como mnimo duplique o triplique los requisitos estimados. Tenga en
cuenta que, debido a la rpida evolucin de la tecnologa de hardware, dentro de un perodo relativamente corto de tiempo es posible que no existan opciones de

28
actualizacin para su plataforma de servidor. Esto podra representar un serio problema si en el futuro necesita aumentar el rendimiento del sistema; por ejemplo, en caso de
que necesite ms procesadores.
Consideraciones acerca del procesador
Asegrese de seleccionar un procesador compatible, teniendo en cuenta las recomendaciones de rendimiento del procesador.
Seleccionar un procesador compatible
Para los entornos de produccin, debe elegir un procesador que funcione con la versin de Windows Server basada en x64.
La versin RTM de Forefront TMG se admite nicamente en entornos de produccin cuando se instala en un equipo con procesadores compatibles con x64 que ejecute el
sistema operativo Windows Server 2008 X64 Edition o Windows Server 2008 R2.
Puede seleccionar procesadores de Intel que admitan Intel Extended Memory 64 Technology o procesadores de AMD que admitan AMD64. Para obtener ms informacin
sobre estas opciones, visite el sitio web de la arquitectura Intel 64 (http://www.intel.com/technology/intel64/) o el sitio web de la familia de procesadores AMD Opteron
(http://www.amd.com/us-en/Processors/ProductInformation/0,,30_118_8825,00.htm). Forefront TMG est diseado para ejecutarse nicamente en procesadores con
capacidad x64 como los que se han indicado; no funciona en sistemas basados en Itanium.
Con independencia del procesador que elija, se recomienda usar un producto de servidor incluido en el catlogo de Windows Server
Recomendaciones de rendimiento de procesador
Forefront TMG ofrece un rendimiento significativamente ms ventajoso cuando se ejecuta en procesadores multiproceso y de varios ncleos. Las ventajas de rendimiento de
Forefront TMG cuando se usa la tecnologa de varios ncleos depende del procesador que se utilice. Los procesadores de varios ncleos son una opcin atractiva para los
servidores de Forefront TMG en lo que respecta a su precio y rendimiento.
El uso del procesador en un servidor debera mantener una carga inferior al 70 por ciento durante las horas de mxima actividad. Este nivel porcentual permite perodos de
carga extrema. Si el uso del procesador es sistemticamente superior al 75 por ciento, el rendimiento del procesador se considera un cuello de botella.
Los siguientes factores afectan directamente al rendimiento de la CPU en un servidor:

Velocidad del reloj del procesador.

Nmero de procesadores.

Nmero de ncleos por procesador (los procesadores de ncleo cudruplo ofrecen una mejor relacin precio/rendimiento que los procesadores de ncleo dual).

Hyper-Threading: a diferencia de las arquitecturas ms antiguas, la tecnologa Hyper-Threading en las arquitecturas disponibles actualmente proporciona un
aumento de la capacidad casi lineal. Si implementa un procesador con tecnologa Hyper-Threading, asegrese de habilitar la caracterstica en el BIOS del
sistema.

En cuanto al rendimiento, si selecciona el procesador ms rpido disponible dentro de su presupuesto, obtendr los mejores resultados. Forefront TMG puede
utilizar varios procesadores a plena capacidad, y el uso de servidores con ms procesadores mejora el rendimiento.
Sugerencia:
Al implementar procesadores con Intel Microarchitecture, Nehalem, se recomienda configurar el BIOS del equipo para un rendimiento ptimo, segn se indica a
continuacin:
Habilite la tecnologa Hyper-Threading de Intel (H-T) para un aumento notable del rendimiento.
Establezca el estado inactivo de la CPU en modo de alto rendimiento. Aunque de este modo se pierden las ventajas econmicas y medioambientales del ahorro de
energa, las pruebas han demostrado que el incremento del modo de ahorro de energa al modo de funcionamiento puede afectar negativamente al rendimiento
durante la transicin.
Consideraciones acerca del almacenamiento
Debe tener en cuenta los requisitos de espacio de disco de Forefront TMG para los distintos escenarios y tamaos de implementacin.
Forefront TMG tiene los siguientes requisitos de espacio de disco:

Sistema: alberga los archivos de programa y del sistema operativo, aproximadamente 40 GB.

Registro: se recomienda almacenar las entradas del registro durante 3 das a partir del da actual. Al calcular el espacio de almacenamiento necesario, calcule que
cada usuario crea aproximadamente 25 MB de registros por da para el trfico web, lo que significa que 1.000 usuarios crean aproximadamente 25 GB de
registros al da; por lo tanto, necesitar 100 GB de espacio para almacenar los registros correspondientes a ese perodo de tiempo.
Nota:
Si en su escenario se registra nicamente el trfico SMTP, como sera el caso de la puerta de enlace de correo segura, cada usuario crea aproximadamente 0,5 MB de
registros al da.

Almacenamiento en cach web: algunos escenarios requieren unidades fsicas independientes para el almacenamiento en cach. Se recomendaba limitar el archivo de
cach a un mximo de 40 GB en cualquier disco. Consulte los detalles en Consideraciones acerca del almacenamiento en cach.
Implementaciones de hasta 500 usuarios
Si va a implementar Forefront TMG para menos de 500, en la mayora de los casos un disco duro de 250 GB es suficiente para el sistema, el registro y la memoria
cach. Puede instalar un nico disco duro o una matriz redundante de discos independientes (RAID) pequea para proporcionar redundancia.
Implementaciones de ms de 500 usuarios
Si va a implementar Forefront TMG para ms de 500 usuarios, los requisitos de hardware son mayores y, si habilita el almacenamiento en cach web, es posible que
tenga que agregar unidades de disco (consulte a continuacin Consideraciones acerca del almacenamiento en cach). En la siguiente tabla se muestra el tamao
recomendado para el disco duro en funcin del nmero de usuarios.

29
Tabla 2: Espacio recomendado para el sistema y el registro
Nmero mximo de usuarios Tamao del disco duro
2000 250 GB
4000 500 GB
10000 1 TB
13000 2 TB
Consideraciones acerca del almacenamiento en cach
Si habilita el almacenamiento en cach web en una implementacin de ms de 500 usuarios, por motivos de rendimiento, debera tener uno o ms discos fsicos
independientes dedicados a tal fin. Aunque el tamao mximo del archivo de cach real por volumen es de 64 GB, el tamao mximo recomendado para un archivo de cach
es de 40 GB por unidad de disco fsica; la asignacin de ms espacio de disco para el almacenamiento en cach repercutir en el rendimiento. Si su escenario requiere ms
espacio de disco para el almacenamiento en cach, utilice unidades fsicas independientes para cada archivo de cach de 40 GB. Hay dos configuraciones posibles:
Varios discos fsicos (no RAID): use un disco duro para sistema y registro, y discos duros independientes para el almacenamiento en cach. Esta opcin implica la
implementacin de ms espacio de almacenamiento del que realmente se consume, ya que solo se deberan usar 40 GB en cada unidad para el almacenamiento en
cach.
RAID (preferentemente RAID-5, por motivos de redundancia): RAID ofrece una mayor flexibilidad. Puede asignar hasta 40 GB por disco para el almacenamiento en
cach y usar el espacio restante en cada disco para el sistema y el registro.
Consideraciones acerca del adaptador de red
Rendimiento tpico de los adaptadores Gigabit
Durante las pruebas, se descubri que un adaptador Ethernet de 1 Gigabit admite un rendimiento de aproximadamente 600 megabits por segundo (Mbps).
Escalabilidad de trfico de entrada
Utilice adaptadores de red con Escalabilidad de trfico de entrada (RSS), una tecnologa que permite que el procesamiento de paquetes en la recepcin se ajuste al nmero
de procesadores de sistema que estn disponibles. De este modo, el subsistema de redes de Windows puede aprovechar las ventajas de las arquitecturas de procesador de
varios ncleos.
Recomendaciones de redundancia
Implementar una matriz
Se recomienda implementar una matriz de equipos con Forefront TMG por motivos de redundancia (la compatibilidad con matrices solo est disponible en Forefront TMG
Enterprise Edition). Despus de determinar el nmero de equipos que precisa su implementacin, agregue al menos un equipo ms por redundancia, ya que permitir que su
implementacin siga funcionando si se producen errores en un equipo o se deben realizar tareas de mantenimiento necesarias.
Equilibrio de carga
Al implementar una matriz de Forefront TMG, se requiere un mecanismo de equilibrio de carga: Equilibrio de carga de red (NLB), round robin DNS o equilibrador de carga
de hardware.
Importante:
Durante las pruebas, se descubri que el ancho de banda total mximo de NLB era de aproximadamente 500 Mbps; si en su caso el volumen de trfico supera este
lmite, su implementacin requerir un mecanismo de equilibrio de carga diferente.
Para obtener ms informacin sobre la redundancia y el equilibrio de carga, vea Planeacin para la escalabilidad y alta disponibilidad del servidor de Forefront TMG.

Planeacin de la topologa de red de Forefront TMG
Este tema est diseado para ayudarle a planear y seleccionar la topologa de red de Forefront TMG ms adecuada para su topologa de red existente y para sus requisitos de
seguridad de red. Describe las topologas disponibles que se pueden seleccionar al configurar la red de Forefront TMG, as como las consideraciones de implementacin
para cada topologa.
Nota:
Se entiende por red de Forefront TMG la red fsica o lgica a la que pertenece el equipo en el que se instala Forefront TMG. Para obtener informacin acerca de cmo
usar Forefront TMG para crear redes privadas virtuales, vea Planeacin para las redes privadas virtuales.
Tiene a su disposicin las siguientes topologas de red de Forefront TMG:

30

Firewall perimetral: en esta topologa, Forefront TMG se encuentra en el permetro de la red, donde acta como firewall perimetral de la organizacin, y est
conectado a dos redes: la red interna y la red externa (normalmente, Internet).

Permetro de 3 secciones: esta topologa implementa una red perimetral. Forefront TMG est conectado por lo menos a tres redes fsicas: la red interna, una o ms
redes perimetrales, y la red externa.

Firewall posterior: en esta topologa, Forefront TMG se encuentra en el back-end de la red. Utilice esta topologa cuando otro elemento de red, como una red
perimetral o un dispositivo de seguridad perimetral, se encuentre entre Forefront TMG y la red externa. Forefront TMG se conecta a la red interna y al elemento de
red situado delante.

Adaptador de red nico: esta topologa habilita funcionalidad de Forefront TMG limitada. En esta topologa, Forefront TMG est conectado nicamente a una red,
bien la red interna o una red perimetral. Normalmente, se utilizara esta configuracin si Forefront TMG se encontrase en la red corporativa interna o en una red
perimetral y otro firewall estuviese situado en el permetro, protegiendo los recursos corporativos de Internet. Para obtener ms informacin, vea Acerca de la
topologa del adaptador de red nico.
Forefront TMG puede estar conectado a la red de rea local (LAN) directamente o a travs de un enrutador u otro firewall. Si se est conectando a Forefront TMG a
travs de un firewall para administracin remota, o como un cliente protegido de Forefront TMG, tenga en cuenta lo siguiente:

La administracin remota como, por ejemplo, desde un equipo Enterprise Management Server (EMS), requiere el uso de llamada a procedimiento remoto (RPC) para
el estado del servidor remoto y la supervisin de estado de servicio.

La ruta de acceso desde los clientes de Forefront TMG a Forefront TMG no debe estar filtrada por puertos.

Los puertos necesarios en el firewall de intervencin se describen en el artculo Introduccin al servicio y requisitos del puerto de red para el sistema Windows Server

Acerca de la topologa del adaptador de red nico
En este tema se describe la topologa del adaptador de red nico, de la siguiente manera:

Funcionalidad de una topologa de adaptador de red nico

Limitaciones de una topologa de adaptador de red nico
Funcionalidad de una topologa de adaptador de red nico
La topologa del adaptador de red nico habilita la funcionalidad de Forefront TMG limitada, que incluye:

Proxy Forward (CERN) para HTTP, HTTPS y FTP de proxy CERN (solo descarga).

Almacenamiento en cach para HTTP y FTP de proxy CERN.

Los siguientes escenarios de publicacin de web:

Publicacin de web.

Comunicaciones basadas en HTTP, como Microsoft Office SharePoint Server, Exchange Outlook Web Access 2007, ActiveSync y llamada a procedimiento remoto
(RPC) a travs de HTTP (Outlook en cualquier lugar, Puerta de enlace de Terminal Services o trfico basado en WSMAN).

Acceso telefnico de clientes de red privada virtual (VPN).
Limitaciones de una topologa de adaptador de red nico
Las siguientes limitaciones se aplican al usar la topologa del adaptador de red nico:

No se admiten la publicacin del servidor ni la VPN de sitio a sitio.

No se admiten SecureNAT ni el trfico del cliente de Forefront TMG.

Las reglas de acceso se deben configurar con direcciones de origen que slo usan direcciones IP internas.

Las directivas de firewall no deben hacer referencia a la red externa.

Consideraciones del dominio o del grupo de trabajo
Durante la instalacin, tiene la opcin de implementar Forefront TMG Enterprise en un entorno de dominio o en un entorno de grupo de trabajo. Este tema est diseado
para ayudarle a seleccionar su entorno de implementacin, en funcin las siguientes condiciones:

Consideraciones generales

Consideraciones de topologa de red

Consideraciones de autenticacin
Nota:
Estas consideraciones tambin son pertinentes para los equipos en los que se haya instalado Forefront TMG que estn unidos a Enterprise Management Server (EMS).
Consideraciones generales
Debera tener en cuenta lo siguiente al seleccionar un dominio o implementacin de grupo de trabajo:

31

Las implementaciones Enterprise y las implementaciones de matriz en un entorno de grupo de trabajo requieren pasos de preparacin adicionales que no son
necesarios en un entorno de dominio, y requieren el mantenimiento de cuentas reflejadas en equipos de Forefront TMG para fines de administracin.

La replicacin de EMS no se admite en un entorno de grupo de trabajo.

La deteccin automtica de proxy web no se admite en un entorno de grupo de trabajo. Para obtener ms informacin, vea Planeamiento de la deteccin
automtica de proxy web.

En un entorno de grupo de trabajo, se debe instalar un certificado de servidor en el equipo de Forefront TMG. Para obtener ms informacin, vea Planeacin de
certificados de servidor.

Puede configurar la asignacin de usuario de cliente VPN para asignar usuarios a sistemas operativos distintos a Microsoft Windows a cuentas de usuario de
dominio. La asignacin de usuario slo es compatible cuando Forefront TMG se instala en un dominio.

En un dominio, puede bloquear el servidor de Forefront TMG mediante la directiva de grupo, en lugar de configurar solo una directiva local.

En un entorno de dominio, si los Servicios de dominio de Active Directory (AD DS) estn en peligro, por ejemplo, debido a un ataque interno, el firewall tambin
podra estar en peligro, ya que un usuario con derechos de administrador de dominio puede administrar todos los miembros del dominio, incluso el servidor que
ejecuta Forefront TMG. De forma similar, si el firewall est en peligro, el dominio donde se encuentra Forefront TMG tambin est en peligro. De manera
predeterminada, el grupo administradores de dominio est en el grupo administradores en el servidor Forefront TMG.

Si tiene previsto habilitar la inspeccin de HTTPS, debe saber que no se admite en los entornos de grupo de trabajo la implementacin automtica del certificado
de la entidad de certificacin (CA) raz de confianza de la inspeccin de HTTPS en los equipos cliente.
Consideraciones de topologa de red
Forefront TMG se usa normalmente en las siguientes configuraciones de topologa de red:
Configuracin perimetral

Forefront TMG que protege el permetro, con un adaptador conectado a la red interna y el otro conectado a la red externa.

Una configuracin opuesta, con Forefront TMG como firewall frontal que protege el permetro, con un adaptador conectado a la red externa y un adaptador
conectado a la red perimetral. Se configura un firewall servidor (que puede ser Forefront TMG o un producto de otro proveedor) entre la red de permetro y la red
interna.

Una configuracin de tres secciones, con Forefront TMG configurado con tres adaptadores de red conectados a la red interna, a la red externa y a la red
perimetral.

En el permetro, puede instalar Forefront TMG como miembro del dominio o en modo grupo de trabajo. Como miembro del dominio, se recomienda instalar
Forefront TMG en otro bosque (en lugar de instalarlo en el bosque interno de la red corporativa), con una confianza unidireccional hacia el bosque corporativo.
Esto puede evitar que se comprometa el bosque interno, aunque se lleve a cabo un ataque contra el bosque del equipo con Forefront TMG. Sin embargo, hay
algunas limitaciones con esta implementacin; por ejemplo, solo se puede configurar la autenticacin del certificado de cliente para los usuarios definidos en el
dominio de Forefront TMG y no para los usuarios del bosque o del dominio interno corporativo.
Configuracin interna

Forefront TMG al fondo en un escenario opuesto. Un escenario tpico, con un servidor Forefront TMG instalado al permetro y un segundo servidor Forefront
TMG instalado de fondo, debe instalar el servidor Forefront TMG en modo grupo de trabajo y el servidor de fondo como miembro del dominio. Instalar un
servidor de fondo como miembro del dominio permite autenticar solicitudes frente a AD DS. Adems, puede consolidar el equipo interno Forefront TMG
mediante la directiva de grupo para facilitar la administracin.

Forefront TMG configurado con un solo adaptador de red. En este escenario, Forefront TMG funciona como proxy web o servidor de almacenamiento en cach.
La principal ventaja de instalar el equipo de Forefront TMG como miembro de dominio en este escenario es la facilidad para autenticar usuarios frente a AD DS.
Consideraciones de autenticacin
Debera tener en cuenta los siguientes problemas de autenticacin al seleccionar una implementacin de dominio o grupo de trabajo:
Cuando las reglas de acceso exigen a los clientes internos que se autentiquen para el acceso de salida, Forefront TMG puede autenticar las cuentas de usuario de
dominio frente a AD DS. Las solicitudes proxy web en un entorno de grupo de trabajo se pueden autenticar frente a un servidor RADIUS.
Las solicitudes del cliente firewall incluyen automticamente las credenciales de usuario. Para autenticar estas solicitudes, Forefront TMG debera pertenecer a un
dominio. En un entorno de grupo de trabajo, puede autenticar solicitudes con cuentas de usuario que se reflejan en las cuentas almacenadas en el Administrador de
cuentas de seguridad (SAM) en el servidor Forefront TMG, aunque necesita alguna supervisin administrativa para una administracin segura.
Para autenticar solicitudes entrantes a los servidores web internos mediante las credenciales de cuenta de dominio o la autenticacin de certificados, Forefront TMG
debe pertenecer a un dominio. En un entorno de grupo de trabajo, se puede utilizar un servidor RADIUS o SecurID para la autenticacin.
Para autenticar solicitudes de redes privadas virtuales (VPN) mediante credenciales o certificados de cuentas de dominio, Forefront TMG debe pertenecer a un
dominio. En un entorno de grupo de trabajo, se puede utilizar un servidor RADIUS para la autenticacin.
Planeacin de certificados de servidor

Este tema est diseado para ayudarle a planear la infraestructura de certificacin de su implementacin de Forefront TMG. Forefront TMG utiliza Servicios de
certificados de Active Directory (DC CS) de Windows Server 2008 para emitir y administrar los certificados que se van a usar en los siguientes escenarios:
Publicar un servidor web a travs de una conexin HTTPS. Para obtener ms informacin, vea Acerca de cmo publicar servidores web.
Configurar una conexin VPN de sitio a sitio con tnel L2TP/IPsec o IPsec. Para obtener ms informacin, vea Planeacin para las redes privadas virtuales.
Inspeccin de trfico HTTPS. Para obtener ms informacin, vea Planeacin para la inspeccin de HTTPS.
Cuando Forefront TMG Enterprise se implementa en un entorno de grupo de trabajo. Para obtener ms informacin, vea Consideraciones del dominio o del
grupo de trabajo.
Para obtener ms informacin acerca de AD CS, vea Servicios de certificados de Active Directory (http://go.microsoft.com/fwlink/?LinkId=158022).

En la siguiente tabla se resume el uso de certificados en Forefront TMG.

32

Escenario Tipo de certificado Emitido por
Publicacin de web: autenticar el equipo con Forefront TMG para el usuario externo. Certificado de servidor Entidad de certificacin pblica (CA)
Publicacin de web: autenticar el servidor web back-end para el equipo con Forefront TMG. Certificado de servidor CA pblica o CA local
VPN: tnel L2TP/IPsec o IPsec. Certificado IPsec CA local (recomendado)
Inspeccin de HTTPS. Certificado de CA CA local o un certificado autofirmado
Entorno de grupo de trabajo: autenticacin de servidor y cifrado de datos. Certificado de servidor CA local

Acerca de los permisos y roles de Forefront TMG
Forefront TMG proporciona roles para administrar y auditar Forefront TMG para un nico servidor de Forefront TMG, una matriz de servidores de Forefront TMG o varias
matrices de Forefront TMG. Un rol define un conjunto de derechos que autorizan a los usuarios y grupos a realizar acciones especficas. Los roles se implementan con las
listas de control de acceso discrecional (DACL) de Windows. Para obtener ms informacin acerca de DACL, vea Access Control Lists
Los roles administrativos de Forefront TMG pueden estar asignados a cualquier grupo o usuario de Windows; no se requiere ningn privilegio especial o permiso de
Windows. Se aplican las siguientes excepciones:

Los roles no deben asignarse a CREATOR OWNER, CREATOR GROUP ni a sus identificadores de seguridad (SID).

Para ver los contadores de rendimiento de Forefront TMG mediante Perfmon o el Escritorio digital de Forefront TMG, el usuario deber ser miembro del grupo de
usuarios del monitor de rendimiento de Windows Server 2008.
En este tema se proporciona informacin acerca de:

Permisos y roles administrativos

Funciones y acciones
Para obtener instrucciones acerca de cmo configurar roles, vea Configuracin de funciones y permisos.
Permisos y roles administrativos
Puede asignar dos niveles de roles administrativos de Forefront TMG:

Roles de nivel de matriz: para la administracin de un servidor de Forefront TMG nico o una matriz nica de Forefront TMG.

Roles de nivel de empresa: para la administracin de la empresa, incluidas todas las matrices de Forefront TMG, a travs de un servidor Enterprise Management
Server (EMS). Esta opcin solo est disponible para los usuarios de Forefront TMG Enterprise.
Los permisos que estn asociados a cada rol son de la siguiente manera:

Funciones administrativas en el nivel de matriz

Roles administrativos de empresa
Funciones administrativas en el nivel de matriz
En la tabla siguiente se muestran los roles administrativos de matriz de Forefront TMG y se describen los permisos concedidos a los usuarios que tienen asignado cada rol.
Nota:
Los usuarios que pertenecen al grupo Administradores local en un equipo que ejecuta los servicios de Forefront TMG, no necesitan tener asignado un rol; poseen
derechos completos en el nivel de matriz para administrar y auditar Forefront TMG.
Funcin Permisos
Auditor de supervisin de matriz
de Forefront TMG
Supervisa la actividad bsica del servidor y la red en una matriz de Forefront TMG. No puede ver la configuracin de Forefront
TMG.
Auditor de matriz de Forefront
TMG
Realiza todas las tareas de supervisin en una matriz de Forefront TMG, incluida la mayor parte de la configuracin de definicin
de alertas y configuracin de registros, con las siguientes excepciones:
No pueden configurar una cuenta de usuario diferente al publicar los informes.
No pueden personalizar el contenido de los informes.
Adems, el auditor de matriz de Forefront TMG puede ver la configuracin de Forefront TMG.
Administrador de matriz de
Forefront TMG
Realiza las tareas administrativas en una matriz de Forefront TMG, incluida la configuracin de reglas, la aplicacin de plantillas
de red y la supervisin, as como la ejecucin de los procesos con permisos elevados en el servidor de Forefront TMG.

33
Roles administrativos de empresa
En la tabla siguiente se muestran los roles administrativos de nivel de empresa de Forefront TMG y se describen los permisos concedidos a los usuarios que tienen asignado
cada rol.
Funcin Permisos
Auditor de empresa de
Forefront TMG
Realiza todas las tareas de supervisin en matrices de empresa de Forefront TMG, incluida la mayor parte de la configuracin de
definicin de alertas y configuracin de registros, con las siguientes excepciones:
No pueden configurar una cuenta de usuario diferente al publicar los informes.
No pueden personalizar el contenido de los informes.
Adems, el auditor de empresa de Forefront TMG puede ver la configuracin de Forefront TMG.
Administrador de empresa
de Forefront TMG
Realiza tareas administrativas en matrices de empresa de Forefront TMG, incluidas las directivas de empresa, la configuracin de
reglas, la aplicacin de plantillas de red y la supervisin, as como la ejecucin de los procesos con permisos elevados en el servidor de
Forefront TMG.
Funciones y acciones
Cada rol de Forefront TMG define una lista de derechos que autorizan a los usuarios a realizar acciones concretas en Forefront TMG. Estas acciones suelen ser tareas
administrativas de Forefront TMG. Los administradores de matriz pueden realizar estas acciones en una nica matriz de Forefront TMG; los administradores de empresa
pueden realizarlas en una matriz de empresa.
En la tabla siguiente se muestran algunas acciones y los roles en los que se realizan.
Accin
Auditor de
supervisin Auditor Administrador
Ver el escritorio digital, las alertas, la conectividad, las sesiones y los servicios Permitido Permitido Permitido
Reconocer y restablecer alertas Permitido Permitido Permitido
Ver informacin de registro No se permite Permitido Permitido
Crear definiciones de alertas No se permite No se
permite
Permitido
Crear informes No se permite Permitido Permitido
Detener e iniciar sesiones y servicios No se permite Permitido Permitido
Ver la directiva de firewall No se permite Permitido Permitido
Configurar la directiva de firewall No se permite No se
permite
Permitido
Configurar la cach No se permite No se
permite
Permitido
Configurar una red privada virtual (VPN) No se permite No se
permite
Permitido
Purgar y detener los firewall de redes con carga equilibrada (NLB) o servidores proxy web con carga
equilibrada
No se permite Permitido Permitido
Ver la configuracin local (dentro de Active Directory Lightweight Directory Services en el miembro de la
matriz)
No se permite Permitido Permitido
Cambiar la configuracin local (dentro de Active Directory Lightweight Directory Services en el miembro
de la matriz)
No se permite No se
permite
Permitido

Planeacin de resolucin de nombres de dominio
Forefront TMG depende del Sistema de nombres de dominio (DNS) para la resolucin de nombres de dominio, para trfico entrante y saliente. Este tema est diseado para
ayudarle a planear la resolucin de nombres de dominio para Forefront TMG.
Al configurar los valores de DNS en Forefront TMG, siga estas instrucciones:

Configure DNS solo para un adaptador nico en el equipo de Forefront TMG, independientemente del nmero de adaptadores de red instalados en el equipo.

El adaptador en el que configura DNS debe ser el adaptador de nivel superior en la lista de Adaptadores de red de Forefront TMG, en el nodo Redes.

34

Siempre que sea posible, configure los servidores DNS que se encuentran en la red interna. En implementaciones donde Forefront TMG est instalado en un entorno
de grupo de trabajo, se aplican las siguientes excepciones:

Si Forefront TMG est implementado en una red sin un servidor DNS interno, configure el servidor DNS del proveedor de acceso a Internet (ISP) de la red.

Si Forefront TMG est implementado en una red donde el servidor DNS interno no est conectado a Internet, instale un servidor DNS adicional dedicado en la red
interna. Este servidor debera consultar al servidor DNS de la ISP para la resolucin de nombres externos y el DNS interno para la resolucin de nombres internos.
Nota:
Puede instalar el servidor DNS adicional en cualquier parte de la red interna, incluso en el equipo con Forefront TMG.

Los servidores DNS internos deben enviar solicitudes de resolucin de nombres a los servidores DNS del ISP de la red externa o a servidores DNS raz. De esta
forma, los clientes internos podr resolver tanto nombres de host internos como nombres de host de Internet.

Los servidores DNS deberan usar reenviadores o sugerencias de raz para resolver nombres externos.

En las implementaciones en las que Forefront TMG sea un miembro del dominio, los servidores DNS deben encontrarse en el mismo dominio que Forefront TMG o
en dominios con relaciones de confianza con el dominio de Forefront TMG.

Acerca de los equipos cliente de firewall
Los equipos cliente de firewall son equipos internos que se comunican con el servidor de Forefront TMG a travs de uno de los clientes siguientes:

Cliente de Forefront TMG o cliente de Firewall: el software cliente incluido con Forefront TMG o las versiones anteriores de Internet Security and Acceleration (ISA)
Server. El software de cliente se instala y habilita en el equipo cliente.
Sugerencia:
Para descargar el cliente de Forefront TMG en el Centro de descarga de Microsoft, vaya a Cliente de Forefront Threat Management Gateway (TMG)

Cliente proxy web: cualquier aplicacin que cumpla los siguientes requisitos:

Es compatible con CERN. Es decir, entiende el mtodo correcto para realizar una solicitud de proxy web.

Proporciona un medio para que los clientes especifiquen un nombre (o direccin IP) y un puerto para utilizar con las solicitudes de proxy web.
Por ejemplo, un explorador web como Microsoft Internet Explorer o Mozilla Firefox.

Cliente de traduccin segura de direcciones de red segura (SecureNAT): no se instala ningn cliente ni aplicacin especial en el equipo cliente. La puerta de enlace
predeterminada del equipo cliente se configura con la direccin IP interna del servidor de Forefront TMG de manera que todo el trfico de Internet se enruta a travs
de Forefront TMG de la siguiente manera:

En un escenario de red sencillo, sin enrutadores entre el equipo cliente y el servidor de Forefront TMG, la puerta de enlace del equipo cliente se establece en la
direccin IP de la red de Forefront TMG en la que est ubicado el equipo cliente (normalmente la red interna).

En una red compleja con enrutadores de puente en las subredes que hay entre el equipo cliente y el servidor de Forefront TMG, la configuracin de la puerta de enlace
predeterminada en el ltimo enrutador de la cadena deber apuntar a Forefront TMG. De forma ptima, el enrutador debera usar la puerta de enlace predeterminada
que conecta por la ruta ms corta con el equipo de Forefront TMG. El enrutador no se debe configurar para que descarte paquetes destinados a direcciones que estn
fuera de la red corporativa. Forefront TMG determinar cmo enrutar los paquetes.
En la tabla siguiente se detallan los requisitos del cliente que le ayudarn a elegir qu clientes se van a implementar en un entorno, segn el escenario de
implementacin y la infraestructura de red existente.
Caracterstica Cliente de Forefront TMG/cliente de Firewall Cliente proxy web Cliente SecureNAT
Detalles de
instalacin
Es necesario instalar el cliente de Forefront
TMG u otro software de cliente de Firewall en
el equipo cliente. Para obtener informacin
acerca de instrucciones de implementacin y
configuracin, vea Implementacin del cliente
de Forefront TMG.
No es necesaria la instalacin. Para
obtener instrucciones de configuracin,
vea Configurar clientes proxy web.
No es necesaria la instalacin. Para obtener
instrucciones de configuracin, vea
Configuracin de los clientes SecureNAT.
Admite un sistema
operativo
Sistemas operativos Windows. Para obtener
una lista detallada de los sistemas operativos
compatibles, vea Compatibilidad de los
sistemas operativos y cliente-servidor con el
cliente de Forefront TMG y los clientes
firewall.
Cualquier plataforma que ejecute una
aplicacin compatible con CERN. Los
clientes SecureNAT y Firewall que hacen
solicitudes de estas aplicaciones tambin
actan como clientes proxy web.
Se puede utilizar cualquier sistema operativo
compatible con TCP/IP.
Compatibilidad de
protocolo
Todas las aplicaciones Winsock son
compatibles.
Compatible con HTTP, HTTPS y FTP
para solicitudes de descarga.
Es compatible con todos los protocolos
simples. Los protocolos complejos que
necesiten mltiples conexiones primarias o
secundarias necesitan un filtro de aplicacin
Forefront TMG.

35
Autenticacin en el
nivel de usuario
Enva automticamente credenciales de
cliente al servidor de Forefront TMG y realiza
la autenticacin si se solicita.
Puede autenticar si Forefront TMG
solicita credenciales. No se suministran
credenciales si el acceso annimo est
habilitado.
Forefront TMG no puede presentar
credenciales y no lo puede autenticar.
Recomendaciones Se usa cuando se requieren reglas de
autenticacin en Forefront TMG, para mejorar
la deteccin automtica de Forefront TMG,
para el registro de nombres de usuario y para
la compatibilidad con los protocolos
secundarios.
Se utiliza para el acceso web basado en
usuarios a travs de proxy y para
encadenar solicitudes web a proxies que
preceden en la cadena. Buen rendimiento
puesto que las solicitudes web se envan
directamente al filtro proxy web.
Se utiliza para clientes no Windows. Se utiliza
si necesita compatibilidad para protocolos no
TPC o UDP (como ICMP o GRE). Configure
servidores no web publicados como clientes
SecureNAT si desea enviar a la direccin IP
original del cliente al servidor publicado.
Compatibilidad de los sistemas operativos y cliente-servidor con el cliente de Forefront TMG
y los clientes firewall
En las tablas siguientes se resume la compatibilidad de los sistemas operativos y cliente-servidor con el cliente de Forefront TMG y el software cliente de Firewall
distribuido con las versiones anteriores de ISA Server.
Admite un sistema operativo
En la siguiente tabla se resume la compatibilidad de los sistemas operativos con el software cliente de Forefront TMG y el cliente de Firewall.
El sistema operativo Cliente de Forefront TMG Firewall Client 2006 (incluyendo la revisin de Windows Vista) Cliente Firewall 2004
Windows 7 y Windows Server 2008 R2 Compatible Compatible No es compatible
Windows Vista Service Pack 2 Compatible Compatible No es compatible
Windows Server 2003 R2 Compatible No es compatible No es compatible
Windows Server 2003 con Service Pack 2 Compatible Compatible Compatible
Windows XP Service Pack 3 Compatible Compatible Compatible
Compatibilidad con el cliente-servidor
En la siguiente tabla se resume la compatibilidad entre los servidores ISA y Forefront TMG, y los clientes de ISA y Forefront TMG.

Servidor de Forefront TMG ISA Server 2006 ISA Server 2004 ISA Server 2000
Cliente de Forefront TMG Compatible Compatible Compatible No es compatible
Cliente Firewall 2006 Compatible Compatible Compatible Compatible
Cliente Firewall 2004 Compatible Compatible Compatible Compatible
Cliente Firewall 2000 No es compatible Compatible Compatible Compatible
Nota:
El uso del cliente de Forefront TMG en un equipo conectado a ISA Server a travs de una red privada virtual (VPN) puede generar problemas de conectividad. En
concreto, el cliente no tendr conectividad IPsec con los equipos en la red interna. Para solucionar este problema, lleve a cabo alguna de las siguientes acciones:
Deshabilite el cliente de Firewall para ISA Server en los equipos cliente.
Conecte el cliente a un equipo con ISA Server alternativo que no est actuando como puerta de enlace VPN para las conexiones de cliente remotas.

Planeamiento de la deteccin automtica de proxy web

Los equipos internos de redes protegidas por Forefront TMG pueden detectar automticamente la ubicacin del servidor de Forefront TMG que deberan usar
como proxy web.
Este tema est diseado para ayudarle a planear la deteccin automtica de proxy web. Proporciona informacin acerca de lo siguiente:

Mtodos de deteccin

Consideraciones para seleccionar mtodos de deteccin

Consideraciones para hospedar el archivo de configuracin

Consideraciones para implementar la deteccin con DHCP y DNS

36
Mtodos de deteccin
Forefront TMG admite varios mtodos de deteccin automtica:

Los equipos cliente que ejecutan el cliente de Forefront TMG pueden conectarse a los Servicios de dominio de Active Directory (AD DS) para recuperar la
configuracin del proxy web. ste es el mtodo de deteccin recomendado.

Los equipos clientes que ejecutan versiones anteriores del cliente firewall, o un cliente de proxy web, puede tener acceso al Protocolo de configuracin dinmica de
host (DHCP) o el servidor del Sistema de nombres de dominio (DNS) para recuperar la configuracin del proxy web. Este mtodo tambin se puede usar en
implementaciones donde AD no est actualizado con la informacin de deteccin automtica. La configuracin se incluye en un archivo de configuracin,
normalmente en el servidor de Forefront TMG; para obtener ms informacin, vea Consideraciones para hospedar el archivo de configuracin.
Nota:
Por razones de seguridad, DHCP o DNS no se usa como copia de seguridad en implementaciones donde AD DS estaba configurado con informacin de proxy web. En
estas implementaciones, si la ubicacin del archivo de configuracin no se puede obtener de AD DS (por ejemplo, si se produce un error inesperado durante la consulta
de AD DS), se producir un error en el acceso.

Script de configuracin automtica: los equipos cliente se conectan a la ubicacin especificada en el script para recuperar la configuracin del proxy web. Este mtodo
se puede usar como reserva cuando se produce un error en la recuperacin de la configuracin del proxy web de AD DS, o desde DHCP o DNS.
Consideraciones para seleccionar mtodos de deteccin
Debera tener en cuenta lo siguiente al seleccionar qu mtodo (o mtodos) de deteccin se deben usar:

Se recomienda el uso de deteccin automtica desde DHCP o DNS para los equipos clientes que se mueven entre redes, como dispositivos mviles.

Las siguientes limitaciones se aplican a la implementacin de deteccin automtica con AD DS:

Solo se admite en clientes de Forefront TMG; no se admite en versiones anteriores del cliente de Firewall, en clientes de proxy web o en clientes SecureNAT.

No se admite en implementaciones de grupo de trabajo de Forefront TMG.

Para equipos cliente que ejecutan el cliente de Forefront TMG o versiones anteriores del cliente de Firewall, puede aplicar los mtodos seleccionados a travs de la
consola de administracin de Forefront TMG. La configuracin se aplica de la siguiente manera:

Cada vez que se reinicia el cliente de Forefront TMG o el cliente de Firewall.

Cada vez que un usuario hace clic en Detectar ahora o Servidor de prueba en la pestaa Configuracin del cuadro de dilogo del cliente de Forefront TMG.

Cada seis horas.

Para los equipos cliente que ejecutan un cliente de proxy web y el cliente de Forefront TMG o versiones anteriores del cliente de Firewall, puede aplicar los mtodos
seleccionados en el cliente de proxy web, a travs del cliente de Forefront TMG o el cliente de Firewall.

Para los equipos cliente que ejecutan el proxy web sin ejecutar el cliente de Forefront TMG o versiones anteriores del cliente de Firewall, y para los clientes de
SecureNAT, podra tener que aplicar los mtodos seleccionados usted mismo, de la siguiente manera:

Si selecciona usar DHCP o DNS, los exploradores de Internet Explorer se configuran de forma predeterminada para detectar la configuracin automticamente y no
se requiere ninguna configuracin adicional del cliente. Para otros exploradores, consulte la documentacin pertinente del producto.

Si selecciona usar el script de configuracin automtica, debe aplicar la configuracin a todos los equipos clientes.
Puede usar la directiva de grupo para aplicar la configuracin en los equipos cliente.
Consideraciones para hospedar el archivo de configuracin
Al implementar la deteccin automtica con DHCP o DNS, la configuracin del proxy web se incluye en un archivo de configuracin. Puede hospedar el archivo de
configuracin en Forefront TMG o en un servidor web alternativo, como un equipo que ejecute Internet Information Services (IIS). Al planear la ubicacin del archivo de
configuracin, tenga en cuenta lo siguiente:

La ventaja principal de hospedar el archivo en Forefront TMG es que el archivo se actualiza automticamente cuando se modifica la configuracin del proxy web en
la consola de administracin de Forefront TMG y no hay ninguna necesidad de actualizarlo manualmente. La colocacin del archivo en otro servidor requiere que el
contenido del archivo se actualice manualmente.

Hospedar los archivos de configuracin en un equipo que ejecute IIS puede proporcionar algunas capacidades de conmutacin de errores. Puede configurar varios
servidores web en IIS y colocar diferentes archivos de configuracin en cada servidor web. El servidor web activo ser el servidor que contenga la configuracin del
proxy web para el equipo de Forefront TMG actualmente activo.

Si no hospeda el archivo en Forefront TMG, no necesita publicar la informacin de deteccin automtica, puesto que Forefront TMG no necesita escuchar las
solicitudes de deteccin automtica. Puede ser una ventaja cuando IIS est co-ubicado en el equipo de Forefront TMG y se podran producir conflictos de puertos.
Consideraciones para implementar la deteccin con DHCP y DNS
Al implementar la deteccin automtica con DHCP, DNS o ambos, tenga en cuenta lo siguiente:

En implementaciones de DHCP y DNS, el archivo de configuracin se debe publicar en el puerto 80.

Las entradas en DNS solo las pueden usar los equipos cliente configurados para resolver nombres DNS.

Al implementar la deteccin con DNS, las entradas se deben configurar para todos los dominios que contengan equipos cliente habilitados para la deteccin
automtica.

Para implementar DHCP, se debe instalar un servidor DHCP vlido en la misma red que los equipos cliente.

DHCP est limitado a grupos de usuarios especficos en algunos sistemas operativos de equipos cliente. Para obtener ms informacin, vea el artculo El
descubrimiento automtico de proxy en Internet Explorer con DHCP requiere determinados permisos (http://go.microsoft.com/fwlink/?LinkID=69274).

Si configura o elimina la deteccin automtica despus de implementar la funcin del servidor DNS en un servidor que ejecute Windows Server 2008, debe actualizar
la lista de bloqueos en todos los servidores DNS que hospedan las zonas afectadas por el cambio. Las zonas afectadas son las zonas donde registr los servidores.

Por lo general, el uso de servidores DHCP con deteccin automtica funciona mejor con clientes basados en redes de rea local (LAN), mientras que los servidores
DNS habilitan la deteccin automtica en equipos con conexiones tanto basadas en LAN como de acceso telefnico. Aunque los servidores DNS pueden administrar

37
conexiones de red y de acceso telefnico, los servidores DHCP proporcionan un acceso ms rpido a los usuarios de LAN, adems de mayor flexibilidad. Si configura
tanto DHCP como DNS, los clientes intentarn consultar la informacin de deteccin automtica primero en DHCP y despus en DNS.

Gua de diseo de acceso para Forefront TMG
La gua de diseo de acceso para Forefront TMG est pensada para ayudarle a planear acceso seguro a la web, y a los recursos corporativos internos, una vez instalado
Forefront TMG. Le gua a travs del proceso de diseo y proporciona informacin que le ayudar a tomar las decisiones de diseo de acceso adecuadas para sus objetivos de
negocio y para su entorno.
Acerca esta gua
Esta gua est pensada para el administrador del sistema o empleado de seguridad responsable de controlar y afianzar el acceso a Internet y a los recursos de la red interna.
Se supone que el lector de esta gua est familiarizado con los conceptos de autenticacin, acceso de red, acceso web, publicacin de web y de servidor, y redes privadas
virtuales.
Identificar y asignar sus objetivos de diseo de acceso remoto y a Internet
La siguiente tabla est diseada para ayudarle a identificar sus objetivos de diseo de acceso remoto y a Internet de Forefront TMG. Despus de identificar los objetivos que
son adecuados para su organizacin, puede asignarlos a los diseos relevantes de Forefront TMG.
Objetivo de diseo Diseos de Forefront TMG
Prepare la infraestructura de autenticacin.
Acceso web
Publicacin de web
Para obtener informacin, vea Informacin general de autenticacin en
Forefront TMG.
Controle el acceso a y desde la red interna. Directivas y conjuntos de reglas de Forefront TMG.
Directiva de firewall
Directiva del sistema
Reglas de red
Para obtener informacin, vea Planeacin para controlar el acceso de red.
Controle y proteja el acceso de los usuarios internos a Internet.
Control del acceso web
Filtrado e inspeccin de trfico web
Aceleracin del acceso web
Para obtener informacin, vea Planeacin para el acceso web.
Haga que los servicios y las aplicaciones internas estn disponibles para los usuarios
internos y externos.
Publicacin del servidor web
Publicacin del servidor no web
Para obtener informacin, vea Planeacin de publicacin.
Mejore el rendimiento y los tiempos de respuesta a las solicitudes web desde Internet
y desde servidores web publicados.
Almacenamiento web en cach. Para obtener informacin, vea Planeacin
para almacenar en cach el contenido web.
Mejore el rendimiento y los tiempos de respuesta para los clientes de sucursal que
solicitan contenido a travs de una red de rea extensa.
BranchCache. Para obtener informacin, vea Planeacin para BranchCache
(SP1).
Habilite el acceso remoto, seguro y rentable a la red interna.
Red privada virtual (VPN) de acceso remoto
VPN de sitio a sitio
Para obtener informacin, vea Planeacin para las redes privadas virtuales.
Habilite el uso de la telefona de Internet a travs de Forefront TMG. Voz sobre IP (VoIP). Para obtener informacin, vea Preparacin para
habilitar VoIP mediante Forefront TMG.

Informacin general de autenticacin en Forefront TMG
Forefront TMG puede permitir o denegar el acceso web a los recursos en funcin de la autenticacin del usuario. La autenticacin web se usa en los siguientes escenarios:

Acceso web: solicitudes proxy web salientes. Para obtener informacin sobre el proceso de autenticacin, vea Planeacin para la autenticacin de acceso web.

Publicacin de web: solicitudes entrantes para servidores publicados. Para obtener informacin sobre el proceso de autenticacin, vea Acerca de la autenticacin en
publicacin de web.
En la tabla siguiente se resumen los mtodos y servidores que se usan para ambos escenarios.
Mtodo de autenticacin Acceso web Publicacin de Servidor de autenticacin

38
web
Autenticacin HTTP: Bsica S S Servicios de dominio de Active Directory (AD DS) o Servicio de
autenticacin remota telefnica de usuario (RADIUS)
Protocolo ligero de acceso a directorios (LDAP) solo para peticiones
entrantes
Autenticacin HTTP: Bsica S S AD DS, LDAP o RADIUS
Autenticacin HTTP:
Implcita/WDigest
S S AD DS
Autenticacin HTTP:
Integrada (NTLM)
S S AD DS
Certificado de cliente No (slo solicitudes a un servidor proxy
que precede en la cadena)
S AD DS
Autenticacin basada en
formularios
No S AD DS, LDAP, RADIUS, RADIUS OTP, RSA SecurID
Para obtener informacin acerca de los mtodos y servidores que se usan en el acceso web y la autenticacin de web, vea:

Acerca de los mtodos de autenticacin

Acerca de los servidores de autenticacin
Acerca de los mtodos de autenticacin
En este tema se ofrece informacin general sobre los mtodos de autenticacin que utiliza Forefront TMG. Por ejemplo, se incluye:

Autenticacin HTTP

Autenticacin basada en formularios

Autenticacin de certificados de cliente
Para obtener un resumen de los escenarios en los que se usa cada mtodo, vea Informacin general de autenticacin en Forefront TMG.
Autenticacin HTTP
Forefront TMG es compatible con los siguientes tipos de autenticacin HTTP:

Autenticacin bsica

Autenticacin implcita y WDigest

Autenticacin integrada de Windows
Autenticacin bsica
La autenticacin bsica es un mtodo muy utilizado de recopilacin de informacin de nombre de usuario y contrasea. La autenticacin bsica enva y recibe informacin
de usuario como caracteres de texto que se pueden leer. Aunque los nombres de usuario y las contraseas se codifican, la autenticacin bsica no utiliza cifrado.
Los pasos siguientes muestran la forma en que se autentica un cliente con la autenticacin bsica:
1. Se solicita al usuario que escriba el nombre de usuario y la contrasea de una cuenta de Windows, tambin conocidas como credenciales.
2. Forefront TMG recibe la solicitud HTTP con las credenciales y valida las credenciales en el servidor de autenticacin especificado, RADIUS o Servicios de dominio
de Active Directory (AD DS); el servidor LDAP es solo para las solicitudes entrantes.
3. Para solicitudes proxy web salientes, Forefront TMG valida credenciales y, a continuacin, evala las reglas de acceso. Para las solicitudes entrantes, Forefront TMG
utiliza las credenciales para autenticar en el servidor web publicado, segn el mtodo de delegacin configurado. El servidor web se debe configurar para utilizar el
esquema de autenticacin que coincide con el mtodo de delegacin que utiliza Forefront TMG. La contrasea de texto simple se codifica en Base64 antes de que se
enve a travs de la red, pero no se cifra y, si un analizador de protocolos (sniffer) la intercepta a travs de la red, los usuarios no autorizados pueden descodificarla y
volver a utilizarla.
La ventaja de la autenticacin bsica es que prcticamente todos los clientes HTTP la admiten. La desventaja es que los exploradores web que utilizan la autenticacin
bsica transmiten las contraseas de forma cifrada. Mediante la supervisin de las comunicaciones de la red, cualquier atacante o usuario malintencionado puede
interceptar y descodificar estas contraseas con herramientas de dominio pblico. Por lo tanto, la autenticacin bsica no es aconsejable, a menos que se tenga la
completa certeza de que la conexin es segura, como una lnea dedicada o una conexin SSL.
Autenticacin implcita y WDigest
La autenticacin implcita ofrece las mismas caractersticas que la autenticacin bsica, pero proporciona una forma ms segura de transmitir las credenciales de
autenticacin.
La autenticacin implcita se basa en el protocolo HTTP 1.1, segn se define en RFC 2617 (http://go.microsoft.com/fwlink/?LinkId=160622). No es compatible con todos
los exploradores. Si un explorador no conforme a HTTP 1.1 solicita un archivo cuando la autenticacin implcita est habilitada, la solicitud se rechaza. La autenticacin
implcita slo se puede utilizar en dominios de Windows.
La autenticacin implcita solo se realiza correctamente si el controlador de dominio tiene almacenada en AD DS una copia cifrada reversiblemente (texto simple) de la
contrasea del usuario que realiza la solicitud. Para permitir que las contraseas se almacenen en texto simple, debe activar el valor Almacenar contrasea utilizando cifrado

39
reversible en la ficha Cuenta del usuario en AD DS. Como alternativa, se puede establecer una directiva de grupo para habilitar esta capacidad. A continuacin, hay que
establecer una contrasea nueva para activar esta caracterstica, ya que la anterior no se puede determinar.
WDigest, una nueva forma de autenticacin implcita, se utiliza cuando Forefront TMG se instala en un dominio Windows Server 2008. WDigest no requiere una copia
cifrada reversiblemente de la contrasea del usuario almacenada en AD DS.
La autenticacin implcita y WDigest funciona como se indica a continuacin:
1. El cliente realiza una solicitud.
2. Forefront TMG deniega la solicitud e indica al cliente que escriba el nombre de usuario y la contrasea de una cuenta de Windows. Tenga en cuenta que cuando
utilice WDigest, el nombre de usuario y el nombre de dominio distinguen maysculas de minsculas y se deben escribir exactamente como aparecen en AD DS.
Adems, WDigest necesita un valor en la parte de recursos de la ruta de direccin URL. Por ejemplo, el usuario que solicita http://host.domain.tld no puede
autenticarse porque falta la direccin URL.
3. Las credenciales de autenticacin pasan a travs de un proceso unidireccional conocido como hashing. El resultado es un hash cifrado o mensaje implcito. Los
valores se agregan para identificar al usuario, al equipo y dominio del usuario. Tambin se agrega informacin una marca de tiempo para evitar que un usuario utilice
una contrasea despus de que se haya revocado. Esto proporciona una clara ventaja con respecto a la autenticacin bsica, ya que se hace ms difcil que una persona
no autorizada intercepte o utilice la contrasea.
Autenticacin integrada de Windows
La autenticacin de Windows integrada utiliza los mecanismos de autenticacin NTLM, Kerberos y Negotiate. Son formas ms seguras de autenticacin porque se aplica el
algoritmo hash al nombre de usuario y a la contrasea antes de enviarlos a travs de la red. Si se habilita la autenticacin de NTLM, Kerberos o Negotiate, el explorador del
usuario prueba su conocimiento de la contrasea a travs de un intercambio criptogrfico con el servidor Forefront TMG, que implica algoritmos hash.
Los pasos siguientes muestran la forma en que se autentica un cliente con la autenticacin de Windows integrada:
1. En funcin de la configuracin del explorador, la autenticacin puede que no solicite inicialmente un nombre de usuario y una contrasea. Si el intercambio de
autenticacin no consigue inicialmente identificar al usuario, el explorador pide al usuario el nombre de usuario y la contrasea de una cuenta de Windows, que
procesa con la autenticacin de Windows integrada. El explorador web sigue preguntando al usuario hasta que este escribe un nombre de usuario y una contrasea
vlidas, o cierra el cuadro de dilogo de peticin. El nombre de usuario se debe escribir en el siguiente formato: domain\username
2. Si el intercambio de autenticacin no consigue inicialmente identificar al usuario, el explorador pide al usuario el nombre de usuario y la contrasea de una cuenta de
Windows, que procesa con la autenticacin de Windows integrada.
3. Forefront TMG sigue preguntando al usuario hasta que este escribe un nombre de usuario y una contrasea vlidos o cierra el cuadro de dilogo de solicitud.
Nota:
Forefront TMG se comunica con el servidor AD DS siempre que se necesita la autenticacin NTLM. Por este motivo, se recomienda crear una red protegida para
AD DS y Forefront TMG, para prevenir el acceso de los usuarios (tanto externos como internos) a la comunicacin.
Debido a que para las conexiones externas se usa la autenticacin NTLM, se recomienda que use el cifrado SSL para el trfico entre Forefront TMG y el cliente. La
autenticacin NTLM es por conexin y el cifrado evita que los dispositivos proxy heredados reutilicen de forma incorrecta las conexiones en Internet.
La autenticacin basada en formularios en Forefront TMG se puede utilizar para autenticar solicitudes entrantes para servidores web publicados.
Estos tres tipos de autenticacin basada en formularios estn disponibles:

Formulario de contraseas: el usuario escribe un nombre de usuario y una contrasea en el formulario. Se trata del tipo de credenciales necesarias para la validacin
de credenciales de AD DS, LDAP y RADIUS.

Formulario de cdigo de acceso: el usuario escribe un nombre de usuario y un cdigo de acceso en el formulario. Se trata del tipo de credenciales necesarias para la
validacin de contrasea nica para SecurID y RADIUS.

Formulario Cdigo de acceso/contrasea: el usuario escribe un nombre de usuario y una cdigo de acceso, y un nombre de usuario y una contrasea. El nombre de
usuario y cdigo de acceso se utilizan para la autenticacin para Forefront TMG mediante mtodos de autenticacin de contraseas de un solo uso SecurID o
RADIUS y el nombre de usuario y contrasea se utilizan para la delegacin.
La autenticacin de certificados de cliente no es compatible para autenticar solicitudes web salientes.
Para solicitudes entrantes para recursos publicados, requerir un certificado de cliente puede ayudar a incrementar la seguridad de su servidor publicado. Los usuarios pueden
obtener certificados cliente de una entidad de certificacin comercial (CA) o de una CA interna en su organizacin. Un certificado tambin puede ser uno que est incrustado
en una tarjeta inteligente o un certificado que utilice un dispositivo mvil para poderse conectar a Microsoft ActiveSync.
El certificado debe coincidir con una cuenta de usuario. Cuando los usuarios realizan una solicitud de recursos publicados, el certificado cliente enviado a Forefront TMG se
pasa a un controlador de dominio, que determina la asignacin entre certificados y cuentas. Forefront TMG debe ser miembro del dominio. La informacin se vuelve a pasar
a Forefront TMG para la aplicacin de las reglas de directiva de firewall relevantes. Tenga en cuenta que Forefront TMG no puede pasar certificados cliente a un servidor
web interno.

Acerca de los servidores de autenticacin
En este tema se ofrece informacin general sobre los servidores de autenticacin que se pueden utilizar para validar las credenciales de cliente en Forefront TMG. Por
ejemplo, se incluye:

Servicios de dominio de Windows Active Directory

Servidor LDAP

RADIUS

Contrasea de un solo uso RADIUS

RSA SecurID

40
Servicios de dominio de Windows Active Directory
En la validacin de los Servicios de dominio de Windows Active Directory (AD DS), las credenciales que escribe el cliente se pasan a un controlador de dominio,
que las comprueba con la lista de usuarios de AD DS. El cliente debe utilizar uno de los siguientes formatos al escribir las credenciales que reconoce el controlador de
dominio:

Nombre de cuenta del Administrador de cuentas de seguridad (SAM) (dominio\nombreUsuario).

Nombre de la entidad de usuario (nombreDeUsuario@dominio.com).

Nombre distintivo.
La validacin de AD DS solo se puede realizar cuando Forefront TMG es miembro del dominio (del mismo dominio que el controlador de dominio o de un dominio
de confianza).
AD DS se puede utilizar para validar las credenciales de cliente de las solicitudes web entrantes de los servidores web publicados.
Servidor LDAP
Este mtodo de validacin es similar a la validacin de AD DS de Windows. En este mtodo, Forefront TMG se conecta a un servidor LDAP (Protocolo ligero de
acceso a directorios) a travs de un protocolo LDAP (se admiten LDAP, LDAPS, LDAP-GC y LDAPS-GC). Tenga en cuenta que todos los controladores de dominio son un
servidor LDAP. El servidor LDAP mantiene un almacn de credenciales de usuarios de AD DS. Puesto que cada controlador de dominio solo puede autenticar los usuarios
de su dominio, Forefront TMG, de manera predeterminada, busca en el catlogo global un bosque para validar las credenciales de usuario.
El cliente debe utilizar uno de los siguientes formatos al escribir las credenciales que reconoce AD DS:

Nombre de cuenta SAM (dominio\nombreDeUsuario).

Nombre de la entidad de usuario (nombreDeUsuario@dominio.com).

Nombre distintivo.
LDAP se puede utilizar para validar las credenciales de cliente solo para las solicitudes entrantes de los servidores web publicados.
RADIUS
Cuando Forefront TMG acta como cliente del Servicio de autenticacin remota telefnica de usuario (RADIUS), enva las credenciales del usuario a un servidor
RADIUS. El servidor RADIUS autentica la solicitud del cliente RADIUS y devuelve una respuesta del mensaje RADIUS. En la consola de administracin de Forefront
TMG, puede configurar los servidores RADIUS que se usarn para la autenticacin y puede configurar un secreto compartido. Se configura el mismo secreto compartido en
el servidor RADIUS.
La autenticacin RADIUS se puede utilizar para las solicitudes proxy web salientes y para las solicitudes entrantes para servidores web publicados.
Forefront TMG puede utilizar una contrasea de un solo uso RADIUS para validar credenciales para solicitudes entrantes a servidores web publicados. Los
mecanismos de contrasea de un solo uso normalmente consisten en dispositivos porttiles (smbolos fsicos) y un servidor. Tanto el servidor como los dispositivos
producen un nuevo cdigo de acceso con una frecuencia concreta. Los cdigos de acceso son especficos de cada dispositivo (ningn dos dispositivo comparte el mismo
cdigo de acceso). El servidor que valida los cdigos de acceso se instala en un servidor RADIUS y se puede asociar a la lista existente de usuarios RADIUS.
Tenga en cuenta la siguiente informacin acerca de cdigos de acceso:

Cada cdigo de acceso se puede usar una sola vez.

En el formulario que proporciona Forefront TMG, el usuario escribe el nombre de usuario y el cdigo de acceso que proporciona el dispositivo porttil. Forefront
TMG enva el nombre de usuario y el cdigo de acceso al servidor RADIUS para su validacin.

Como el cdigo de acceso no se puede utilizar por segunda vez, Forefront TMG no vuelve a validar las credenciales para cada solicitud. En su lugar, Forefront TMG
emite una cookie para el cliente que permite una comunicacin continua sin volver a autenticar.

Algunos servidores RADIUS bloquean el inicio de sesin de un usuario que no ha conseguido iniciar sesin despus de un nmero concreto de veces. Si un usuario
malintencionado intenta iniciar sesin dicho nmero de veces utilizando un nombre de usuario legtimo y cdigos de acceso incorrectos, se bloquear a dicho usuario
en el sistema hasta que restablezca su acceso. Se recomienda que deshabilite la caracterstica de bloqueo en el servidor de contrasea de un solo uso RADIUS para
evitar esto. La configuracin Solicitudes HTTP por minuto por direccin IP de Forefront TMG (que puede configurar en las propiedades de Mitigacin de ataques
"flood" de congestin del servidor de Forefront TMG) mitiga los ataques para adivinar la contrasea por fuerza bruta, para que pueda deshabilitar la caracterstica de
bloqueo RADIUS sin problemas.
RSA SecurID
RSA SecurID se basa en la tecnologa de RSA, The Security Division of EMC. Forefront TMG tambin puede utilizar SecurID para validar las credenciales de
las solicitudes entrantes de recursos web publicados.
SecurID necesita que un usuario remoto proporcione la siguiente informacin para tener acceso a los recursos protegidos:

Nmero de identificacin personal (PIN).

Token fsico que produce una contrasea de un solo uso limitada en el tiempo.
Nota:
Ni el PIN ni la contrasea de un solo uso generada por el smbolo conceden acceso aislados entre s. Son necesarios los dos.
Cuando el usuario intenta obtener acceso a las pginas web protegidas por RSA SecurID, el equipo servidor Forefront TMG, en nombre del servidor con Internet
Information Services (IIS) que Forefront TMG protege, comprueba la existencia de una cookie. Esta cookie solo estar presente si el usuario se ha autenticado recientemente
y si no es persistente. Si falta la cookie del usuario, se le solicitar a ste el nombre de usuario y el PASSCODE de SecurID. El PASSCODE est formado por una
combinacin del PIN de usuario y el cdigo de token. El Agente de autenticacin de RSA del servidor de Forefront TMG pasa las credenciales al equipo del Administrador
de autenticaciones de RSA para su validacin. Si el Administrador de autenticaciones de RSA valida las credenciales correctamente, se enva una cookie al explorador del
usuario para la actividad posterior durante la sesin y el usuario obtiene acceso al contenido.
Tenga en cuenta la siguiente informacin:

Para la delegacin SecurID, Forefront TMG genera cookies que son compatibles con RSA Authentication Agent 5.0. Cuando utilice la delegacin SecurID, debe
configurar el equipo agente de autenticacin para que confe en dichas cookies. Para ello, en el registro de equipos de agentes de autenticacin, agregue el siguiente

41
valor de cadena:
Agent50CompatibleCookies en HKLM\Software\SDTI\RSAAgent.

Si Forefront TMG se configura con varios adaptadores de red y se crea una escucha de web con la autenticacin RSA SecurID habilitada, debera configurar
explcitamente la direccin del adaptador de red a travs de la cual Forefront TMG se conecta al Administrador de autenticacin de RSA para la autenticacin; de lo
contrario, es posible que Forefront TMG no pueda realizar la autenticacin de SecurID. Especifique la direccin IP en la siguiente clave del Registro como un valor
de cadena:
HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP

Se recomienda que utilice SSL para cifrar las comunicaciones entre el cliente y Forefront TMG.

Para obtener ms informacin, vea RSA Authentication Manager (http://go.microsoft.com/fwlink/?LinkId=180393).

Planeacin para controlar el acceso de red
Este tema est diseado para ayudarle a planear el control del acceso a su red interna y desde ella. Forefront TMG controla y protege el acceso a la red interna
inspeccionando y filtrando el trfico entre la red interna e Internet, entre las redes, y entre el servidor de Forefront TMG y los servicios con los que se comunica.

Directivas y conjuntos de reglas

Procesamiento de solicitudes

Relaciones de redes
Directivas y conjuntos de reglas
Forefront TMG controla el acceso a la red interna aplicando directivas que determinan si se permiten o no conexiones entre redes. Estas directivas pueden ser de los
siguientes tipos:

Directiva de firewall: inspecciona y filtra las conexiones entre la red interna e Internet. La directiva de firewall se compone de los siguientes conjuntos de reglas:

Reglas de acceso: controle el acceso web saliente, es decir, obtenga acceso desde el equipo interno a Internet.

Reglas de publicacin de web: controle el acceso de entrada a los servidores web publicados.

Reglas de publicacin de servidor: controle el acceso de entrada a los servidores no web publicados.

Directiva del sistema: controla el trfico a la red de host local o desde ella (el servidor de Forefront TMG) para permitir el trfico y los protocolos necesarios para
que Forefront TMG lleve a cabo la autenticacin, la pertenencia al dominio, los diagnsticos de red, el registro y la administracin remota. Forefront TMG
proporciona un conjunto de reglas predefinidas, que se crea durante la instalacin del sistema. Puede habilitar o deshabilitar reglas individuales, y modificar
destinos de regla; no puede eliminar reglas existentes o crear nuevas reglas. Para obtener ms informacin, vea Acerca de la directiva del sistema.
Nota:
En la consola de administracin de Forefront TMG, puede ver y editar reglas de directiva del sistema en el nodo Directiva de firewall.

Reglas de red: especifican que los recursos de una red tienen permiso para comunicarse con recursos de otras redes y especifican el tipo de relacin (de
enrutamiento o NAT) que existe entre el origen y el destino. Para obtener ms informacin, vea Relaciones de redes.
Procesamiento de solicitudes
Antes de editar y crear reglas de directiva, lea la siguiente informacin acerca de cmo Forefront TMG procesa las solicitudes:

Flujo de proceso de solicitudes

Acerca de las reglas de acceso

Acerca de las reglas de publicacin

Procesamiento de nombres y direcciones

Administrar reglas que requieran autenticacin
Para obtener informacin acerca de cmo Forefront TMG aplica las directivas, vea Acerca de la aplicacin de directivas.
Flujo de proceso de solicitudes
Forefront TMG procesa las solicitudes de la siguiente manera:
1. Comprueba la solicitud frente a las reglas de red para comprobar que exista la relacin de red requerida entre el origen y el destino de la solicitud.
Nota:
El trfico administrado por el filtro de proxy web no se comprueba con las reglas de red.
2. Comprueba la solicitud con la directiva del sistema para determinar si una de estas reglas del sistema permite o deniega la solicitud.
3. Comprueba la solicitud con la directiva de firewall en el orden de aparicin de las reglas en la lista.
4. Tras hacer coincidir la solicitud con una regla, Forefront TMG vuelve a comprobar las reglas de red (excepto el trfico que administra el filtro proxy web) para
determinar si se debe enrutar o aplicar la NAT al trfico.
Acerca de las reglas de acceso

42
Por lo general, las reglas de acceso administran las solicitudes de clientes internos. Las reglas de acceso slo se pueden configurar con definiciones de protocolo salientes.
Cuando se recibe una solicitud, Forefront TMG hace coincidir una regla de acceso con la solicitud comprobando los elementos de regla en este orden:

Protocolo: la regla define uno o ms protocolos con una direccin saliente.

De: la direccin de origen se define en la regla. El origen puede ser toda la red, un conjunto de redes, un equipo o un conjunto de equipos, un intervalo de
direcciones IP o una subred.

Programacin: la programacin de la regla controla cundo se aplica la regla.

A: el destino se define en la regla. El destino puede ser toda la red, un conjunto de redes, un equipo o un conjunto de equipos, un intervalo de direcciones IP, una
subred, un conjunto de nombres de dominios o un conjunto de direcciones URL. En algunos casos, puede que se necesite realizar una bsqueda DNS para
comprobar que la solicitud coincide. Para obtener ms informacin, vea Procesamiento de conjuntos de nombres de dominio y conjuntos de direcciones URL

Usuarios: la regla se aplica a todos los usuarios (para acceso annimo), a todos los usuarios autenticados (que se aplica a todos los usuarios que se pueden
autenticar correctamente) o a un grupo de usuarios especfico.

Grupos de contenido: la regla se aplica a los tipos de contenido especficos.
Si la solicitud coincide con una regla de permiso, la solicitud se permite. Tras encontrar una regla coincidente, Forefront TMG no evala ms reglas. Las reglas
de acceso que deniegan el trfico se procesan antes que las reglas de publicacin. Si una solicitud coincide con una regla de acceso, se deniega la solicitud,
aunque una regla de publicacin la permita.
Acerca de las reglas de publicacin
Forefront TMG usa los siguientes conjuntos de reglas de publicacin para habilitar el acceso desde la red externa a los servidores publicados de la red interna:

Reglas de publicacin de web: habilite el acceso de entrada a los servidores web publicados. Para solicitudes HTTP o HTTPS a una escucha web, Forefront TMG
comprueba las reglas de publicacin y, a continuacin, las reglas de encadenamiento web para determinar si se permite la solicitud y cmo se debera
administrar.

Reglas de publicacin de servidor: habilite el acceso de entrada a los servidores no web publicados. En el caso de solicitudes no HTTP, Forefront TMG
comprueba las reglas de red y, despus, las reglas de publicacin para determinar si se aceptan las solicitudes.
Procesamiento de nombres y direcciones
Las solicitudes HTTP pueden contener un nombre, un nombre de dominio completo (FQDN) o una direccin IP. Forefront TMG administra el nombre o la direccin de la
siguiente manera:

Si una solicitud HTTP usa un nombre de sitio, como http://www.fabrikam.com, Forefront TMG realiza una resolucin de nombres directa para un servidor DNS
para obtener el FQDN, los alias y las direcciones IP asociadas. A continuacin, Forefront TMG intenta hacer coincidir estos elementos con una regla.

Si una solicitud HTTP usa una direccin IP, Forefront TMG comprueba primero si una regla coincide con la direccin. Durante este proceso, si Forefront TMG
encuentra una regla que requiere un nombre, realiza la resolucin de nombres inversa para obtener el FQDN para esa direccin IP. A continuacin, Forefront
TMG puede comparar el FQDN con las definiciones de regla de acceso.

Si no se realiza correctamente la resolucin de nombres inversa, slo se utilizar la direccin IP original en la solicitud para la comparacin con las definiciones
de regla.
Nota:
Cuando un cliente SecureNAT solicita un sitio por nombre, Forefront TMG comprueba, en primer lugar, que el contenido del encabezado de host no encubra una
direccin IP independiente solicitada por el cliente. Si esta verificacin se realiza correctamente, el proceso contina como en el caso de un cliente proxy web.
Administrar reglas que requieran autenticacin
Cuando una regla especifica que se requiera la autenticacin, Forefront TMG solicita al cliente presentar credenciales. Si el cliente no puede proporcionar credenciales, se
cancela la solicitud antes de que se evale la regla. Los clientes SecureNAT no pueden proporcionar credenciales y si una solicitud de un cliente SecureNAT coincide con
una regla que necesita autenticacin, la solicitud se descarta.
Relaciones de redes
Las reglas de red especifican la manera en la que se enva el trfico entre las redes de origen y destino. Se puede usar una de las siguientes relaciones en cada regla de red:

Relacin de ruta

Relacin NAT
Relacin de ruta
Las relaciones de ruta son bidireccionales. Por ejemplo, si una regla de red define una relacin de ruta desde la red A a la red B, tambin existe una relacin desde la red B a
la red A. Las solicitudes del cliente desde la red de origen o destino se reenvan directamente a la otra red, con las direcciones IP de destino y de origen sin modificar. Utilice
una relacin de ruta donde no sea necesario que las direcciones IP estn ocultas entre redes. sta es una configuracin comn entre las dos redes con direcciones IP pblicas
o entre dos redes con direcciones privadas. En cualquier caso, los hosts de cada red deben definir la direccin IP de Forefront TMG en su red local como la ruta hacia la otra
red. En muchos casos, basta con definir la direccin IP de Forefront TMG como puerta de enlace predeterminada. Al crear reglas de acceso o reglas de publicacin de
servidores, la relacin de ruta afectar al trfico de la siguiente manera:

Cuando se usan reglas de acceso, Forefront TMG reenva el trfico manteniendo intactas las direcciones IP de origen y destino.

Cuando se usan reglas de publicacin de servidores, Forefront TMG reenva el trfico de igual manera que con las reglas de acceso, pero usa directamente filtros
de aplicacin. Por ejemplo, el filtro de protocolo simple de transferencia de correo (SMTP) no se utiliza para trfico SMTP administrado mediante una regla de
acceso, pero s para trfico administrado mediante una regla de publicacin de servidor.

43
Relacin NAT
Las relaciones de Traduccin de direcciones de red (NAT) entre redes son unidireccionales. El trfico se administra de acuerdo con el origen o destino del trfico. Forefront
TMG ejecuta NAT de la siguiente manera:

En las reglas de acceso, Forefront TMG sustituye la direccin IP del cliente en la red de origen por la direccin IP predeterminada de Forefront TMG en la red de
destino. Por ejemplo, si crea una relacin NAT en una regla de red entre la red interna y la red externa, la direccin IP de origen correspondiente a una solicitud
de la red interna se sustituye por la direccin IP predeterminada del adaptador de red de Forefront TMG conectado a la red externa. Las reglas de acceso que
administran el trfico entre redes definidas con una relacin NAT solo pueden usar la red de origen especificada en la ficha De y la red de destino especificada
en la ficha A de la regla.

En las reglas de publicacin de servidor, el cliente de la red de destino establece una conexin con la direccin IP de Forefront TMG en la que la regla de
publicacin est escuchando solicitudes. Cuando Forefront TMG reenva el trfico al servidor publicado, sustituye la direccin IP de Forefront TMG por la del
servidor interno que est publicando, pero no modifica la direccin IP de origen. Tenga en cuenta que, en una relacin NAT, las reglas de publicacin de
servidor slo pueden tener acceso a la red especificada como red de destino. Adems, como la publicacin de servidores en redes con NAT deja intacta la
direccin IP de origen al reenviar trfico al servidor publicado, ste debe usar el equipo de Forefront TMG como ltimo salto en la estructura de enrutamiento
dirigida a la red de destino. Si esto no es posible, configure las reglas de publicacin de servidor de manera que usen el valor Las solicitudes parecen provenir
del equipo de Forefront TMG. Esto hace que Forefront TMG realice una NAT completa sobre el trfico administrado por la regla.

Acerca de la directiva del sistema
Forefront TMG incluye una directiva del sistema, que es un conjunto de reglas de directiva de firewall predefinidas que controlan el acceso hacia y desde la red de host local
(el equipo con Forefront TMG). Estas reglas controlan como el firewall Forefront TMG habilita la infraestructura necesaria para administrar la conectividad y la seguridad
de la red. Forefront TMG se instala con una directiva del sistema predeterminada, diseada para resolver el equilibrio entre seguridad y conectividad.
En este tema se describe lo siguiente:

Acerca de las reglas de directiva del sistema

Servicios habilitados por la directiva del sistema
Acerca de las reglas de directiva del sistema
Algunas reglas de directiva del sistema se habilitan durante la instalacin. Estas reglas se consideran las ms bsicas y necesarias para la administracin eficaz del entorno
Forefront TMG. Posteriormente, puede habilitar las reglas de directiva del sistema que habilitan los servicios y tareas necesarios para administrar la red.
El Editor de directivas del sistema se utiliza para configurar las reglas de directiva del sistema. Dentro del Editor de directivas del sistema, la directiva del sistema se
clasifica en un conjunto de grupos de configuracin. Las reglas de directiva del sistema se procesan primero, antes del resto de reglas. No se puede modificar el orden de
estas reglas. Durante la instalacin, las reglas se aplican a redes especficas de la forma que se muestra en la tabla del tema System policy rules.
Despus de instalar Forefront TMG, puede configurar la directiva del sistema. No puede eliminar estas reglas, pero desde una perspectiva de seguridad, le recomendamos lo
siguiente:

Despus de instalacin, revise atentamente las reglas de directiva del sistema configuradas. Despus de realizar las tareas administrativas importantes, revise de
nuevo la configuracin de la directiva del sistema.

Identifique aquellos servicios y tareas que no son vitales para la administracin de la red y deshabilite las reglas de la directiva del sistema asociadas.

Adems de deshabilitar las reglas de directiva del sistema innecesarias, limite el mbito de aplicacin de las reglas slo a las entidades de red necesarias. Por
ejemplo, el grupo de Active Directory est habilitado de manera predeterminada y se aplica a todos los equipos de la red interna. Puede limitar su aplicacin a un
grupo especfico de Servicios de dominio de Active Directory (AD DS) en la red interna.
Servicios habilitados por la directiva del sistema
De manera predeterminada, la directiva del sistema permite que el firewall de Forefront TMG tenga acceso a recursos de la red vitales para el buen funcionamiento del
firewall. En funcin de su implementacin especfica, puede que desee bloquear el acceso a algunos de estos servicios.
En funcin de la implementacin especfica y de los servicios que necesite, puede determinar los grupos de configuracin de directiva del sistema que se deberan habilitar.
En esta seccin se describe alguna de estas consideraciones de implementacin.
Al deshabilitar un grupo de configuracin de directiva del sistema, no impide necesariamente el uso de un determinado protocolo. Esto se debe a que el mismo protocolo
puede haberse especificado en una regla diferente, habilitada por un grupo de configuracin distinto.
Las reglas de directiva del sistema habilitan los servicios siguientes:

Servicios de red

Servicios DHCP

Servicios de autenticacin

Habilitar trfico DCOM

Servicios de autenticacin de Windows y la autenticacin RADIUS

Servicios de autenticacin RSA SecurID

Servicios de autenticacin CRL

Administracin remota

Registro y supervisin remotos

Servicios de diagnstico

SMTP

Trabajos programados de descarga

Acceso al sitio web de Microsoft
Para obtener una lista completa de todas las reglas de directiva del sistema, vea System policy rules.
Servicios de red

44
Al instalar Forefront TMG, los servicios de red bsicos se habilitan. Despus de la instalacin, Forefront TMG puede tener acceso a los servidores de resolucin de nombres
en todas las redes y a los servicios de sincronizacin de hora en la red interna.
Si los servicios de red estn disponibles en una red diferente, debera modificar los orgenes del grupo de configuracin correspondiente (DHCP; DNS; NTP) para aplicarlos
a la red especfica. Por ejemplo, si el servidor DHCP no se encuentra en la red interna sino en una red perimetral, modifique el origen para que el grupo de configuracin
DHCP (en la ficha Desde) se aplique a la red perimetral.
Puede modificar la directiva del sistema para que solo se pueda tener acceso a determinados equipos de la red interna. Tambin puede agregar redes adicionales si los
servicios se encuentran en alguna otra ubicacin.
Modifique estos grupos de configuracin, en funcin de los servicios de red que necesite:

DHCP

DNS

NTP
Servicios DHCP
Si un servidor DHCP no se encuentra en la red interna, debe modificar la regla de directiva del sistema para que se aplique a la red donde se encuentra el servidor DHCP.
Servicios de autenticacin
Una de las caractersticas fundamentales de Forefront TMG es su capacidad para aplicar una directiva de firewall a usuarios especficos. Para autenticar a los usuarios,
Forefront TMG debe poder comunicarse con los servidores de autenticacin.
Modifique estos grupos de configuracin, en funcin de los servicios de autenticacin que necesite:

Active Directory

RADIUS

RSA SecurID

Descarga de CRL
Habilitar trfico DCOM
Cuando las reglas de Microsoft Management Console (MMC) estn habilitadas, el trfico de llamada a procedimiento remoto (RPC) se permite en la red de host local. Sin
embargo, se bloquea de forma predeterminada el trfico DCOM. Si desea permitir el trfico DCOM, deshabilite la regla de directiva del sistema Permitir la administracin
remota desde equipos seleccionados que usan MMC. A continuacin, cree una regla que permita el trfico RPC. Despus de crear la regla, en las propiedades de la regla,
configure el protocolo RPC y desactive la configuracin Hacer cumplir la comprobacin RPC estricta.
Servicios de autenticacin de Windows y la autenticacin RADIUS
De forma predeterminada, Forefront TMG puede comunicarse con los servidores AD DS (para la autenticacin de Windows) y con los servidores RADIUS que se
encuentran en la red interna. Si no necesita la autenticacin Windows o la autenticacin RADIUS, deshabilite los grupos de configuracin de directiva del sistema
aplicables.
Nota:
Al deshabilitar el grupo de configuracin de directiva del sistema Active Directory, el acceso a todos los protocolos LDAP est deshabilitado. Si necesita los
protocolos LDAP, cree una regla de acceso que permita su uso.
Si solo necesita la autenticacin de Windows, asegrese de configurar la directiva del sistema y deshabilite el uso del resto de mecanismos de autenticacin.
Servicios de autenticacin RSA SecurID
La comunicacin con los servidores de autenticacin RSA SecurID no est habilitada de forma predeterminada. Si la directiva de firewall necesita la autenticacin RSA
SecurID, asegrese de habilitar este grupo de configuracin.
Servicios de autenticacin CRL
Las listas de revocacin de certificados (CRL) no se pueden descargar de forma predeterminada, porque el grupo de configuracin de descarga de CRL no est habilitado de
forma predeterminada. Para habilitar la descarga de CRL, compruebe que el grupo de configuracin de descarga de CRL est habilitado. A continuacin, aplique este grupo
de configuracin a las entidades de red donde se encuentran las listas de revocacin de certificados.
Todo el trfico HTTP se permitir desde el firewall Forefront TMG a las entidades de red que aparecen en la ficha A.
Normalmente, administrar Forefront TMG desde un equipo remoto. Determine cuidadosamente qu equipos remotos pueden administrar y supervisar Forefront TMG.
Modifique estos grupos de configuracin, en funcin de cmo realiza la administracin remota:

Microsoft Management Console (MMC)

Terminal Server

Administracin web

ICMP (Ping)
De manera predeterminada, las reglas de directiva del sistema que permiten la administracin remota de Forefront TMG estn habilitadas. Forefront TMG se puede
administrar ejecutando un complemento remoto de Microsoft Management Console (MMC) o mediante Terminal Services.
Estas reglas se aplican de forma predeterminada al conjunto integrado de Equipos de administracin remota. Al instalar Forefront TMG, se crea este conjunto de equipos
vaco. Agregue a este conjunto vaco todos los equipos desde los que se podr administrar Forefront TMG de forma remota. Hasta que haga hecho esto, la administracin
remota no estar disponible desde ningn equipo.
Nota:

45
Limite la administracin remota a equipos especficos configurando las reglas de directiva del sistema para aplicarlas slo a direcciones IP especficas.
Registro y supervisin remotos
De manera predeterminada, se deshabilitan el registro remoto, la supervisin remota del rendimiento y la supervisin remota de Microsoft Operations Manager. Los
siguientes grupos de configuracin estn deshabilitados de forma predeterminada:

Registro remoto (NetBIOS)

Registro remoto (SQL)

Supervisin remota del rendimiento

Microsoft Operations Manager
Servicios de diagnstico
La reglas de directiva del sistema que permiten el acceso a los servicios de diagnstico estn habilitadas de forma predeterminada, junto con los siguientes permisos:

ICMP: este servicio, permitido para todas las redes, es importante para determinar la conectividad a otros equipos.

Redes de Windows: permite de forma predeterminada la comunicacin de NetBIOS con los equipos de la red interna.

Informes de error de Microsoft: permite el acceso HTTP al conjunto de direcciones URL de los sitios de Informes de error de Microsoft, para permitir la
generacin de informes de error. De forma predeterminada, este conjunto de direcciones URL incluye sitios especficos de Microsoft.

Comprobadores de conectividad HTTP: permite que el firewall de Forefront TMG use los protocolos HTTPS y HTTP para comprobar si un equipo concreto est
activo.
SMTP
El grupo de configuracin SMTP est habilitado de forma predeterminada, lo que permite la comunicacin SMTP desde Forefront TMG a los equipos de la red interna. Este
grupo es necesario, por ejemplo, cuando desea enviar una informacin de alerta en un mensaje de correo electrnico.
Importante:
Se recomienda que no habilite el grupo de configuracin SMTP si no enva informacin de alerta en un mensaje de correo electrnico.
Trabajos programados de descarga
La caracterstica de trabajos programados de descarga est deshabilitada de forma predeterminada. El grupo de configuracin de trabajos de descarga programada se
deshabilita mientras esta caracterstica est deshabilitada.
Al crear un trabajo de descarga de contenido, le solicitarn que habilite esta regla de la directiva del sistema. Forefront TMG podr tener acceso a los sitios especificados en
el trabajo de descarga de contenido.
Acceso al sitio web de Microsoft
La directiva de sistema predeterminada permite el acceso HTTP y HTTPS de la red de host local (es decir, el firewall Forefront TMG) al sitio web Microsoft.com. El acceso
al sitio web Microsoft.com se requiere por varias razones, por ejemplo, para descargar las actualizaciones de firmas del Sistema de inspeccin de red y antivirus, los
informes de error o el acceso a la documentacin del producto en el sitio web de Forefront TMG.
El grupo de configuracin Sitios permitidos est habilitado de forma predeterminada, permitiendo a Forefront TMG obtener acceso al contenido de sitios especficos
pertenecientes al conjunto de nombres de dominio de Sitios permitidos de directiva del sistema.
Este conjunto de direcciones URL contiene varios sitios web de Microsoft, de manera predeterminada. Puede modificar el conjunto de nombre de dominio para incluir sitios
web adicionales, a los que podr tener acceso Forefront TMG.
El acceso a HTTP y HTTPS se permitir en los sitios web especificados.
Acerca de la aplicacin de directivas
Al aplicar cambios a la directiva de firewall o a reglas de red, Forefront TMG se asegura de que todas las conexiones de cliente existentes cumplen con la nueva directiva o
las reglas, y termina las conexiones no permitidas.
Nota:
En la consola de Administracin de Forefront TMG, los cambios de configuracin se aplican solo al hacer clic en el botn Aplicar de la barra Aplicar cambios, esta
barra aparece automticamente, cada vez que realiza cambios de configuracin.
La aplicacin de directivas tiene lugar cuando se establece una conexin y cuando los siguientes elementos de la regla cambian:

Direccin y puerto de origen.

Direcciones, nombres y direcciones URL de destino.

Programacin: cuando una regla de directiva de firewall o una regla de red incluye una programacin, Forefront TMG se asegura continuamente de que las
solicitudes que concuerdan con esa regla no expiran. Cuando una solicitud expira, Forefront TMG termina la conexin. Observe que esto podra deberse a un
cambio en la directiva o a un cambio en la hora del servidor Forefront TMG.

Los conjuntos de usuarios y tipos de contenido que se hayan utilizado para evaluar la directiva en el momento de establecer la conexin por primera vez se
utilizan tambin para la reevaluacin.
Importante:

46
Si modifica elementos de la regla que no tienen por qu reevaluarse necesariamente, como por ejemplo conjuntos de usuarios o tipos de contenido que no se usaban
originalmente en la evaluacin, y desea asegurarse de que ninguna conexin existente infrinja la nueva directiva, deber finalizar las sesiones de los clientes
manualmente en la consola de Administracin de Forefront TMG, segn se explica en Supervisar las sesiones de los clientes, o bien reiniciar el servicio de firewall.

La reevaluacin de las sesiones HTTP existentes tiene lugar la primera vez que haya intercambio de trfico en la conexin correspondiente. Por ello, es posible
que puedan existir algunas sesiones HTTP en la vista de supervisin de sesiones incluso, si estas no estn permitidas por la nueva directiva, siempre que no pasen
trfico alguno.

En la reevaluacin de directivas no se considera ningn elemento de directivas personalizadas asociado a filtros de aplicacin. Por ejemplo, si aade un interfaz a
una definicin RPC utilizada en una regla de denegacin, no se terminarn las conexiones existentes con esa interfaz. De igual manera, si deshabilita un comando
SMTP en el filtro SMTP, no se terminarn las conexiones existentes que utilicen ese comando.

Las modificaciones en las definiciones de protocolos (cambios en las propiedades de los protocolos o incorporacin de protocolos nuevos) no afectan a las
conexiones existentes. Cada conexin se asocia a un protocolo especfico (como HTTP o FTP) solo al establecer la conexin, y esta asociacin permanece
inalterada toda la duracin de la conexin. Por ejemplo, si se ha asociado una conexin al protocolo FTP (puerto 21) y luego se agrega otro elemento de protocolo
con el mismo puerto 21, la conexin seguir coincidiendo con las reglas de la directiva que contengan el protocolo FTP y no coincidir con las reglas de la
directiva que no contengan el protocolo FTP, incluso si estas contienen el nuevo protocolo definido.
Planeacin para el acceso web
Forefront TMG proporciona control de acceso web y proteccin para los usuarios internos que tienen acceso a Internet, proporcionando autenticacin, filtrado de
paquetes, inspeccin con estado y filtrado de capa de aplicacin.
Este tema est diseado para ayudarle a planear el acceso desde la red interna de su organizacin a Internet. Proporciona informacin acerca de lo siguiente:

Autenticar usuarios internos

Controlar el acceso web

Inspeccionar y filtrar el trfico web

Acelerar el acceso web
Autenticar usuarios internos
Forefront TMG puede exigir a los usuarios internos que se autentiquen para tener acceso a Internet. Para obtener informacin, vea Planeacin para la autenticacin de acceso
web.
El acceso a la web a travs de Forefront TMG se controla con una directiva de acceso web. Una directiva de acceso web determina quin puede tener acceso a qu recursos
en Internet, y qu proteccin y otras tecnologas estn habilitadas para ayudar a proporcionar una experiencia de exploracin rpida y segura.
Para controlar el acceso web, una directiva de acceso web le permite definir:

Los destinos web a los que se permite o se bloquea el acceso. Puede controlar el acceso a las categoras de direcciones URL, conjuntos de categoras y sitios web
concretos. Por ejemplo, puede bloquear el acceso de todos los usuarios a un sitio especfico. Si lo prefiere, puede que desee permitir a los administradores tener acceso
a un conjunto de categoras de direcciones URL y denegar el acceso a otros empleados.
Nota:
En Forefront TMG SP1, puede notificar a los usuarios que han tenido acceso a un sitio web que est bloqueado por la directiva, y permitirles invalidar la restriccin de
acceso y continuar con el sitio por sesin. Para obtener ms informacin, vea Planeacin para la invalidacin del usuario de reglas de denegacin (SP1).

Qu equipos o usuarios pueden tener acceso a Internet. Por ejemplo, puede especificar que un conjunto de equipos no tenga acceso a Internet o puede permitir a un
conjunto de usuarios tener acceso a Internet y bloquear a otros.

Qu tipos de contenido se permiten, en funcin del tipo MIME y la extensin de nombre de archivo. Por ejemplo, puede bloquear el acceso al contenido que incluye
archivos de audio, como archivos MP3 y WAV.
Para obtener informacin sobre las directivas de Forefront TMG, vea Planeacin para controlar el acceso de red.
Una directiva de acceso web tambin le permite configurar diversas protecciones del contenido web malintencionado. Forefront TMG usa varias tecnologas de proteccin
para detectar el trfico web, para ayudar a proteger su red del contenido web malintencionado:

Inspeccin de malware: inspecciona los archivos y las pginas web descargadas en busca de malware. Para obtener informacin, vea Planeacin para proteger frente a
contenido web malintencionado.

Filtrado de URL: permite o bloquea el acceso a sitios web en funcin de su categorizacin en la base de datos de filtrado de direcciones URL. Para obtener
informacin, vea Planeacin del filtrado de URL.

Filtrado HTTP: filtrado HTTP de capa de aplicacin que examina los datos y los comandos HTTP. Para obtener informacin, vea Planeacin para el filtrado HTTP.

Inspeccin de HTTPS: examina el trfico para asegurar los sitios web frente a virus y otro contenido malintencionado que podra usar los tneles de capas de sockets
seguros (SSL) para infiltrarse en la organizacin no detectada. Para obtener informacin, vea Planeacin para la inspeccin de HTTPS.
Acelerar el acceso web
Puede usar Forefront TMG para almacenar en cach el contenido web solicitado con frecuencia para mejorar la velocidad de acceso web y el rendimiento de la red. Para
obtener informacin, vea Planeacin para almacenar en cach el contenido web.

47
Planeacin para la autenticacin de acceso web
Nota:
En este tema se proporciona informacin general de autenticacin de acceso web en Forefront TMG. Para obtener informacin detallada y la documentacin ms
actualizada, vea la biblioteca TechNet de Forefront TMG (http://go.microsoft.com/fwlink/?LinkID=131702).
Forefront TMG le permite solicitar a los usuarios internos autenticarse para poder tener acceso a Internet.
Puede usar uno de los siguientes mtodos para especificar que la autenticacin es necesaria para las solicitudes de acceso web:

Requerir a los usuarios que se autentiquen cada vez que solicitan acceso web. Todas las sesiones web requieren autenticacin.

Al usar este mtodo, tenga en cuenta lo siguiente:

El acceso web annimo est deshabilitado.

Forefront TMG solicita las credenciales de usuario y las valida antes de comprobar la solicitud frente a la directiva de firewall. Si los usuarios no se autentican, se
deniega su solicitud de acceso.

Este mtodo se define por red. La mayora de los clientes no interactivos, como el cliente de Windows Update, no se pueden autenticar y, por tanto, se deniega el
acceso.

Requerir a los usuarios que se autentiquen para reglas especficas: puede configurar reglas de acceso individuales para requerir autenticacin, de manera que la
autenticacin solo sea necesaria para las solicitudes que se comprueban con esas reglas. Con este mtodo, el requisito para autenticar forma parte de la regla de
acceso. Para obtener ms informacin acerca de las reglas de acceso y el procesamiento de solicitudes, vea Planeacin para controlar el acceso de red.
Nota:
Si no se requiere autenticacin, los usuarios internos pueden tener acceso a Internet sin identificarse.

Planeacin para la invalidacin del usuario de reglas de denegacin (SP1)
Importante:
La informacin de este tema es relevante para Forefront TMG SP1.
Ahora puede configurar Forefront TMG para permitir a los usuarios invalidar una restriccin de acceso a un sitio web bloqueado por solicitud. De esta manera se puede
proporcionar una directiva de acceso web ms flexible, permitiendo a los usuarios decidir por ellos mismos si desean tener acceso a un sitio que se les ha denegado. Esto
resulta de especial utilidad para los sitios web que se han clasificado de manera incorrecta.

How user override works

Implementing user override

User override log records

Known issues
Cmo funciona la invalidacin de usuario
La invalidacin de usuario funciona de la siguiente manera:
1. Un usuario intente obtener acceso a un sitio web clasificado en una categora de direccin URL o un conjunto de categoras de direcciones URL que est bloqueada
por directiva e Forefront TMG presenta una pgina de notificacin de acceso denegado HTML.
2. Si la regla est configurada para permitir la invalidacin del usuario, la pgina HTML incluye un botn denominado Invalidad restriccin de acceso.
3. Cuando el usuario hace clic en el botn Invalidar restriccin de acceso, el servidor proxy asigna al explorador del usuario una cookie que acompaa a todas las
solicitudes web posteriores a este dominio y el explorador se desencadena para volver a cargar la direccin URL.
4. El servidor proxy recibe la solicitud web con la cookie y deshabilita de manera eficaz el bloqueo de la regla solo para esta solicitud web.
Nota:
La cookie permanece vlida durante la duracin de la sesin del explorador o durante el perodo de espera configurado.
Si se realiza otra solicitud web en la misma sesin del explorador a una categora de direcciones URL o un dominio diferentes, el usuario tendr que invalidar la
restriccin de acceso (si se permite) de nuevo.
5. La solicitud web se acepta con un regla que permite el acceso al destino bloqueado anteriormente.
6. La pgina web bloqueada anteriormente se abre en el explorador del usuario y el usuario puede continuar obteniendo acceso al sitio durante la duracin de la sesin o
durante el perodo de tiempo de espera configurado.
7. Si el registro est habilitado para esta regla, se registra la solicitud del usuario y el posterior acceso del sitio.
Implementacin de la invalidacin de usuario
Hay dos pasos necesarios para implementar la invalidacin del usuario:

48
1. Cree una regla que bloquee el acceso a sitios basados en categoras URL o conjuntos de categoras URL.
2. Habilite la opcin Permitir la invalidacin del usuario en la pestaa Accin de la regla.
Nota:
Para que la invalidacin del usuario funcione, una de las reglas de directiva de firewall posteriores debe permitir el acceso al destino solicitado.
Para obtener detalles de configuracin, vea cmo Habilitar la anulacin del usuario para reglas de denegacin en Configurar las propiedades de la regla de acceso web.
Nota:
Para habilitar la invalidacin de usuario para una regla de acceso, se deben cumplir las siguientes condiciones:
El destino (y las exclusiones de destino) solo deben incluir categoras URL y conjuntos de categoras URL. El intento de agregar otro tipo de entidad de red (por
ejemplo, una direccin IP) genera un error.
El protocolo solo debe ser HTTP.
La invalidacin de usuario no se admite para trfico HTTPS. Si es necesario, cree una regla independiente que deniegue el trfico HTTPS a estas categoras de
direcciones URL.
La regla debe aplicarse a todos los tipos de contenido HTTP. Asegrese de que la regla est establecida para aplicarse a Todos los tipos de contenido en la pestaa
Tipos de contenido.
Registros de invalidacin de usuario
Las solicitudes para invalidar las restricciones de acceso se registran en el registro proxy web, permitindole identificar:
1. Quin solicit el acceso (direccin IP de origen o usuario autenticado), y cundo.
2. El sitio que se solicit y su categora de direccin URL.
3. Las reglas que bloquearon y posteriormente permitieron la solicitud.

La revisin del registro tambin le permite establecer si la invalidacin de usuario funciona adecuadamente y solucionar problemas conforme surjan.
En la tabla siguiente se ofrece un ejemplo de una regla de invalidacin de usuario de funcionamiento adecuado.
Accin
IP de
cliente
Nombre de
usuario de
cliente Regla Regla invalidada Direccin URL
Categora de
direccin URL
Conexin
denegada
10.10.10.1 annimo (Regla de bloqueo de categora
de direccin URL con
invalidacin de usuario
habilitada)
http://www.contoso.com Malintencionado
Conexin
permitida
10.10.10.1 annimo (Regla que permite categoras de
direcciones URL bloqueadas
anteriormente)
(Regla de bloqueo de categora
de direccin URL con
invalidacin de usuario
habilitada)
http://www.contoso.com Malintencionado
Nota:
La regla que ha bloqueado la solicitud de acceso inicial aparece como la Regla invalidada en la regla que permite la conexin.
En esta tabla se muestran los campos relevantes para la caractersticas de invalidacin de usuario; hay muchos otros disponibles en el visor de registro.
Problemas conocidos
En el caso de que un usuario notifique pginas HTML con marcos vacos o marcos que contienen mensajes de error, busque el archivo de registro proxy web para solicitudes
para las marcos especficos. Si encuentra que la regla que ha denegado esta conexiones tiene la invalidacin de usuario habilitada, este problema est ms relacionado con la
categorizacin de direcciones URL del contenido en el marco. Si esta clasificacin es incorrecta, puede invalidarla; para instrucciones vea Invalidar la categorizacin de
direcciones URL. Tambin puede notificar la direccin URL al Servicio de reputacin de Microsoft. Si desea obtener detalles, vea Microsoft Reputation Services
Comentarios e informes de errores (http://go.microsoft.com/fwlink/?LinkId=178581).

Planeacin de publicacin

La publicacin de Forefront TMG le permite hacer que los servicios y las aplicaciones internas estn disponibles para los usuarios internos y externos.
Los siguientes temas estn diseados para ayudarle a planear la publicacin segura de sus servidores corporativos:

Acerca de cmo publicar servidores web

Acerca de cmo publicar servidores no web

49
Acerca de cmo publicar servidores web
Al publicar servidores web, Forefront TMG usa reglas de publicacin web para permitir o denegar el acceso a las aplicaciones web internas, en funcin de las directivas de
acceso. Puede restringir el acceso a usuarios, equipos o redes concretos, exigir la autenticacin de los usuarios e inspeccionar el trfico entre clientes y los servidores de
publicacin.
Nota:
Puede configurar Forefront TMG para almacenar contenido web en cach y responder a las solicitudes de los usuarios desde la memoria cach sin reenviar dichas
solicitudes al servidor web publicado. Para obtener ms informacin, vea Planeacin para almacenar en cach el contenido web.
Al publicar una granja de servidores web que desempean el mismo rol u hospedan el mismo contenido, puede habilitar la disponibilidad alta para el acceso de
entrada mediante la configuracin de Forefront TMG para controlar el equilibrio de carga entre los servidores de la granja. Para obtener ms informacin, vea
Acerca del equilibrio de la carga para publicacin de web.
Para obtener informacin acerca de la autenticacin, vea Acerca de la autenticacin en publicacin de web.
En las siguientes secciones se proporciona informacin para ayudarle a planear la publicacin del servidor web:

Escenarios de publicacin de web compatibles

Acerca de las escuchas de web
Escenarios de publicacin de web compatibles
Forefront TMG admite los siguientes escenarios de publicacin web:

Publicar servidores web a travs de HTTP: publique un sitio web nico o un equilibrador de carga, varios sitios web o una granja de servidores a travs de HTTP.
Para obtener ms informacin, vea Publicar servidores web a travs de HTTP.

Publicar servidores web a travs de HTTPS: publique un sitio web nico o un equilibrador de carga, varios sitios web o una granja de servidores a travs de HTTPS.
Para obtener ms informacin, vea Publicar servidores web a travs de HTTPS.
Nota:
Al publicar a travs de HTTPS, se debe instalar primero un certificado de servidor en el equipo de Forefront TMG, para autenticar Forefront TMG en el equipo cliente.
Para obtener ms informacin, vea Planeacin de certificados de servidor.

Redireccin de HTTP a HTTPS y viceversa: puede publicar los servidores web de modo que la conexin entre los equipos cliente y el servidor de Forefront TMG
utilice un solo protocolo, mientras que la conexin entre el servidor de Forefront TMG y los servidores web publicados use el otro. Por ejemplo, la conexin a los
equipos cliente puede producirse sobre HTTPS y que se establezca una conexin HTTP entre el servidor de Forefront TMG y el servidor o los servidores web
publicados.
Nota:
En un escenario en el cual la conexin entre los servidores publicados y el servidor de Forefront TMG tenga lugar sobre HTTPS y la conexin entre los servidores
cliente y el servidor de Forefront TMG tenga lugar sobre HTTP, si los servidores publicados usan cookies que contienen informacin confidencial, marque estas
cookies como seguras.

Publicacin de Outlook Web Access: Outlook Web Access es el servicio de correo de Exchange que permite a los usuarios tener acceso a su buzn de correo de
Exchange desde un explorador web. Hay dos versiones de Outlook Web Access:

Outlook Web Access Light: admite las caractersticas de accesibilidad para los usuarios invidentes o con problemas visuales, y se ejecuta en la mayora de los
exploradores web. Proporciona una interfaz de usuario simplificada y un conjunto reducido de caractersticas en comparacin con Outlook Web Access Premium.

Outlook Web Access Premium: requiere Microsoft Internet Explorer 6 o versiones posteriores, y proporciona caractersticas que no estn disponibles actualmente en
la versin Light, como la Mensajera unificada y la capacidad de revisar la ortografa.
Para obtener informacin acerca de detalles de publicacin, vea Configurar la publicacin de Outlook Web Access.

Publicacin de Outlook Mobile Access: Outlook Mobile Access es la solucin de exploracin mvil de Microsoft Exchange Server 2003 (solo se admite para Outlook
Web Access 2003). Genera marcado HTML, xHTML y cHTML para la visualizacin en los dispositivos mviles aprobados en la lista de dispositivos. Para obtener
informacin acerca de detalles de publicacin, vea Configurar publicacin de Outlook Mobile Access.

Publicacin de ActiveSync: Exchange ActiveSync es un protocolo de sincronizacin de Microsoft Exchange optimizado para funcionar con redes de ancho de banda
bajo y alta latencia. El protocolo, basado en HTTP y XML, permite a los dispositivos, como telfonos mviles habilitados con explorador o dispositivos con
Microsoft Windows Mobile, tener acceso a la informacin de una organizacin en un servidor que est ejecutando Microsoft Exchange. Exchange ActiveSync
permite a los usuarios de dispositivo mvil tener acceso a su correo electrnico, calendario, contactos y tareas, y continuar teniendo acceso a esta informacin
mientras trabajan sin conexin. Para obtener informacin acerca de detalles de publicacin, vea Configurar la publicacin de ActiveSync.

Publicacin de SharePoint: Productos y Tecnologas de Microsoft SharePoint proporciona un gran nmero de caractersticas y funciones para colaboracin, portal,
bsqueda, administracin de contenido empresarial, procesos de negocio controlados por formularios y Business Intelligence. Para obtener informacin acerca de
detalles de publicacin, vea Configurar publicacin de SharePoint.
Nota:
Forefront TMG es compatible con la caracterstica Asignaciones de acceso alternativas de Productos y Tecnologas de SharePoint.

50
Acerca de las escuchas de web
Cada regla de publicacin web de Forefront TMG tiene asignada una escucha de web. La escucha de web "escucha" las conexiones entrantes en las redes definidas o puertos
y direcciones IP. Tambin define el nmero de conexiones simultneas de cliente permitidas en la conexin y el mtodo de autenticacin que se usa si se requiere
autenticacin.
Nota:
Se puede usar una escucha de web por ms de una regla de publicacin de web.
Acerca de la autenticacin en publicacin de web
Cuando los clientes solicitan acceso a servidores web internos publicados, el proceso de autenticacin en Forefront TMG consta de tres componentes:

Recepcin de credenciales de cliente.

Validacin de las credenciales de cliente mediante un proveedor de autenticacin como Servicios de dominio de Active Directory (AD DS), RADIUS o el
Administrador de autenticaciones de SecurID.

Delegacin de la autenticacin a servidores web situados detrs de Forefront TMG como, por ejemplo, los servidores que ejecutan SharePoint Portal Server 2007.
Nota:
Los dos primeros componentes se configuran en la escucha de web que recibe las solicitudes de cliente. El tercero se configura en la regla de publicacin. Esto
significa que puede utilizar la misma escucha para diferentes reglas y tener tipos de delegacin distintos.
En la ilustracin siguiente se muestra el proceso de autenticacin basada en formularios. Tenga en cuenta que se trata de una descripcin simplificada del proceso que se
proporciona para describir los principales pasos necesarios.
Paso 1, recepcin de credenciales de cliente: el cliente enva una solicitud de conexin al servidor corporativo de Outlook Web Access en la red interna. El
cliente proporciona las credenciales en HTML.
Pasos 2 y 3, envo de credenciales: Forefront TMG enva las credenciales al proveedor de autenticacin, por ejemplo, un controlador de dominio para la
autenticacin de AD DS o un servidor RADIUS, y recibe una confirmacin del proveedor de autenticacin de que el usuario est autenticado.
Paso 4, delegacin de autenticacin: Forefront TMG enva la solicitud del cliente al servidor Outlook Web Access y se autentica en el servidor Outlook Web
Access con las credenciales del cliente. El servidor Outlook Web Access revalida estas credenciales, normalmente con el mismo proveedor de autenticacin.
Nota:
El servidor web se debe configurar para utilizar el esquema de autenticacin que coincide con el mtodo de delegacin que utiliza Forefront TMG.
Paso 5, respuesta del servidor: el servidor Outlook Web Access enva al cliente una respuesta que Forefront TMG intercepta.
Paso 6, reenvo de la respuesta: Forefront TMG reenva la respuesta al cliente.
Nota:
Si no limita el acceso a usuarios autenticados, como es el caso cuando se aplica a todos los usuarios una regla que permite el acceso, el Forefront TMG no valida las
credenciales del usuario. El Forefront TMG utiliza las credenciales del usuario para autenticarse en el servidor web de acuerdo con el mtodo de delegacin
configurado.
Es recomendable aplicar todas regla de publicacin a todos los usuarios autenticados o a un conjunto de usuarios especficos, en lugar de seleccionar Solicitar la
autenticacin de todos los usuarios en la escucha de web, que requiere la autenticacin de todos los usuarios que se conecten a travs de la escucha.
Mtodos de autenticacin de cliente para la recepcin de credenciales de cliente
Las escuchas de web de Forefront TMG admiten los tipos de autenticacin de cliente siguientes:

Sin autenticacin.


Autenticacin HTTP (recibida en el encabezado HTTP)

Sin autenticacin
Puede seleccionar que Forefront TMG no requiera autenticacin. Si lo hace, no podr configurar un mtodo de delegacin en las reglas que utilicen esta escucha de web.
La autenticacin basada en formularios del Forefront TMG se puede utilizar para publicar cualquier servidor web. En Forefront TMG, estn disponibles estos tres tipos de
autenticacin basada en formularios:

Formulario de contraseas: el usuario escribe un nombre de usuario y contrasea en el formulario. Es el tipo de credenciales necesarias para la validacin de
credenciales de AD DS, LDAP y RADIUS.

Formulario de cdigo de acceso: el usuario escribe un nombre de usuario y cdigo de acceso en el formulario. Es el tipo de credenciales necesario para la
validacin de contraseas de un solo uso SecurID y RADIUS.

51

Formulario Cdigo de acceso/contrasea: el usuario escribe un nombre de usuario y una cdigo de acceso, y un nombre de usuario y una contrasea. El nombre
de usuario y el cdigo de acceso se utilizan para la autenticacin en Forefront TMG mediante la aplicacin de mtodos de autenticacin con contraseas de un
solo uso de SecurID o RADIUS. El nombre de usuario y la contrasea se utilizan para la delegacin.
Vuelta a la autenticacin bsica
De forma predeterminada, si no se puede utilizar la autenticacin basada en formularios con un cliente especfico, Forefront TMG requiere la autenticacin bsica. Esta
accin se configura en la propiedad COM del Forefront TMG, en las colecciones de asignaciones de agentes de usuario:
FPCRuleElements.UserAgentMappings
Para obtener ms informacin, vea Managing User-Agent Mappings (http://go.microsoft.com/fwlink/?LinkId=106693).
Formularios de clientes mviles
El Forefront TMG proporciona formularios para diferentes clientes mviles. Estos formularios se encuentran en las carpetas CHTML y XHTML (y representan formularios
XHTML-MP) de la siguiente ubicacin:
Forefront TMG Directorio de instalacin\Templates\CookieAuthTemplates
El Forefront TMG utiliza el encabezado User-Agent que proporciona el cliente mvil para determinar el tipo de formulario que debe suministrar.
Administracin de contraseas en la autenticacin basada en formularios
Si se utiliza la autenticacin basada en formularios, Forefront TMG permite advertir a los usuarios cuando las contraseas van a expirar (con la antelacin que se configure)
y permite a los usuarios cambiar sus contraseas. Estas dos funcionalidades se pueden utilizar por separado o combinadas. Por ejemplo, puede advertir a los usuarios que sus
contraseas estn a punto de expirar pero no permitir que las cambien. O puede permitir que cambien las contraseas, pero no avisar cuando vayan a expirar.
Si permite que los usuarios cambien sus contraseas, la opcin estar disponible en el formulario de inicio de sesin. Si configura Forefront TMG para que avise a los
usuarios cuando vaya a expirar su contrasea, los usuarios recibirn una pgina de advertencia que les ofrece la opcin se cambiar sus contraseas. Para obtener
instrucciones acerca de cmo configurar la caracterstica de cambiar contrasea, vea Configurar la caracterstica Cambiar contrasea.
Nota:
Los formularios HTML para la autenticacin basada en formularios se pueden personalizar totalmente.
Si configura Forefront TMG para que solicite autenticacin, cuando una regla de publicacin se aplique a un conjunto de usuarios especfico o a Todos los usuarios
autenticados, o si hay una escucha de web configurada para Requerir que todos los usuarios se autentiquen, Forefront TMG validar las credenciales antes de
reenviar la solicitud.
De forma predeterminada, la configuracin de idioma del explorador del cliente determina el idioma del formulario que proporcionar Forefront TMG. El Forefront
TMG proporciona formularios en 26 idiomas. Forefront TMG tambin se puede configurar para que suministre los formularios en un idioma especfico,
independientemente del idioma del explorador.
Se deberan tener en cuenta los siguientes problemas de seguridad:
Si se configura un tiempo de espera para la autenticacin basada en formularios, es recomendable que el tiempo de espera sea inferior al impuesto por el servidor
publicado. Si el servidor publicado agota el tiempo de espera antes que el Forefront TMG, el usuario puede creer (equivocadamente) que la sesin ha finalizado.
Esto podra permitir a un intruso utilizar la sesin, que permanecera abierta hasta que el usuario la cerrara activamente o hasta que Forefront TMG superara el
tiempo de espera (segn lo configurado en el formulario).
Asegrese de que la aplicacin web est diseada para resistir ataques de secuestro de sesin (tambin llamados ataques de envos entre sitios, de falsificacin de
solicitudes entre sitios o por engao) antes de publicarla mediante el Forefront TMG. Esto tiene especial relevancia para los servidores web publicados mediante
Forefront TMG, ya que los clientes deben utilizar el mismo nivel de confianza para todos los sitios web a los que obtienen acceso a travs de la publicacin del
firewall de Forefront TMG.
En el caso de una autenticacin basada en formularios que requiere un certificado de cliente y el usuario se niega a proporcionar un certificado, el usuario puede
obtener acceso al formulario de inicio de sesin. No obstante, Forefront TMG denegar el inicio de sesin por falta de un certificado de cliente.
La personalizacin de formularios implica la modificacin del archivo Strings.txt. Si proporciona el archivo Strings.txt a un tercero para su modificacin, compruebe
que no se hayan hecho adiciones que no sean texto al archivo, ya que podran hacer que las redes sean vulnerables a ataques.
Autenticacin HTTP
Forefront TMG es compatible con los siguientes tipos de autenticacin HTTP:

Autenticacin bsica: con este tipo de autenticacin, al cliente que realiza la solicitud se le solicitan credenciales. Forefront TMG valida las credenciales y, al pasar la
solicitud al servidor web, las usa para autenticarse en el servidor web de acuerdo con el mtodo de delegacin configurado. El servidor web se debe configurar para
utilizar el esquema de autenticacin que coincide con el mtodo de delegacin que utiliza Forefront TMG. Para obtener informacin acerca de la autenticacin bsica,
vea Acerca de los mtodos de autenticacin.

Autenticacin implcita y de WDigest: con este tipo de autenticacin, el cliente realiza una solicitud. Forefront TMG deniega la peticin y solicita al cliente la
informacin de autenticacin. Las credenciales se envan a un controlador de dominio para su validacin. Para obtener ms informacin, vea Acerca de los mtodos
de autenticacin.

Autenticacin de Windows integrada (NTLM): utiliza los mecanismos de autenticacin NTLM, Kerberos y Negotiate. La informacin actual de Windows del equipo
cliente se utiliza para la autenticacin. Si el intercambio de autenticacin no es correcto, el explorador pide al usuario credenciales vlidas o cierra el cuadro de
dilogo de solicitud. Para obtener ms informacin acerca de este mtodo de autenticacin, vea Acerca de los mtodos de autenticacin.
En el escenario de certificado de cliente, el cliente proporciona un certificado y el Forefront TMG autentica al cliente con dicho certificado. Tambin puede tratarse de un
certificado que est incrustado en una tarjeta inteligente o un certificado que utilice un dispositivo mvil para conectarse a Microsoft ActiveSync.
Mtodos para la validacin de credenciales de cliente

52
Forefront TMG es compatible con los tipos de servidor siguientes para la validacin de credenciales de cliente:

Sin autenticacin (permite que los servidores internos administren la autenticacin)

Active Directory de Windows

Servidor LDAP

RADIUS


SecurID
Se puede configurar la recepcin y la validacin de credenciales de cliente en la escucha de web para una regla de publicacin. Una regla de publicacin con una escucha de
web que utilice un mtodo especfico de validacin de credenciales debe utilizar un conjunto de usuarios que sea coherente con dicho mtodo de validacin. Por ejemplo,
una regla de publicacin con un escucha de web que utilice la validacin de credenciales LDAP tambin debe utilizar un conjunto de usuarios formado por usuarios LDAP.
No puede incluir a los usuarios de AD DS.
Importante:
Si utiliza la misma escucha de web para publicar varias aplicaciones en el mismo dominio, un usuario que est autenticado para una aplicacin tambin podr obtener
acceso a las otras, aunque no est habilitado el inicio de sesin nico (SSO).
Delegacin de autenticacin
Tras validar las credenciales, puede configurar reglas de publicacin para utilizar uno de los mtodos siguientes con el fin de delegar las credenciales a los servidores
publicados:

Sin delegacin y el cliente no se puede autenticar directamente.

Sin delegacin, pero el cliente se puede autenticar directamente.

Bsica

NTLM

NTLM/Kerberos (Negotiate)

SecurID

Delegacin limitada de Kerberos
Configurar la delegacin de autenticacin
La delegacin de credenciales de cliente se configura en la regla de publicacin. En el Asistente de publicacin de reglas, configure la delegacin en la pgina Delegacin de
autenticacin. En las propiedades de la regla de publicacin, los valores de autenticacin se encuentran en la ficha Delegacin de autenticacin.
Sin delegacin y el cliente no se puede autenticar directamente.
En esta opcin, Forefront TMG no delega credenciales; de esta manera, se evita la delegacin accidental de credenciales en la organizacin, donde pueden ser interceptadas.
sta es la configuracin predeterminada en algunos asistentes de publicacin de Forefront TMG, por lo que debe cambiarla si desea delegar credenciales.
Sin delegacin, pero el cliente se puede autenticar directamente.
Si selecciona el mtodo de delegacin Sin delegacin, pero el cliente se puede autenticar directamente, el Forefront TMG transfiere las credenciales del usuario al servidor
de destino sin ninguna accin adicional por parte del Forefront TMG. Entonces, el servidor de destino y el cliente negocian la autenticacin.
Bsica
En la autenticacin bsica, Forefront TMG enva las credenciales en texto sin formato al servidor que las requiere. Si se produce un error de autenticacin, Forefront TMG
solicita al usuario que se autentique mediante el tipo de autenticacin configurado en el escucha de web. Si el servidor requiere un tipo de credenciales diferente, Forefront
TMG desencadena una alerta.
NTLM
En la delegacin NTLM, Forefront TMG delega las credenciales mediante el protocolo de autenticacin NTLM de desafo y respuesta. Si se produce un error de
autenticacin, Forefront TMG reemplaza la delegacin por el tipo de autenticacin que utiliza la escucha de web. Si el servidor requiere un tipo de credenciales diferente,
Forefront TMG desencadena una alerta.
NTLM/Kerberos (Negotiate)
Si se selecciona Negotiate como mtodo de delegacin, Forefront TMG intenta obtener del controlador de dominio un vale Kerberos para el cliente. Si Forefront TMG no
recibe el vale Kerberos, utiliza el esquema de negociacin para delegar las credenciales mediante NTLM. Si Forefront TMG recibe el vale Kerberos, utiliza el esquema de
negociacin para delegar las credenciales mediante Kerberos. Si se produce un error de autenticacin, Forefront TMG enva el aviso de error del servidor al cliente. Si el
servidor requiere un tipo de credenciales diferente, Forefront TMG desencadena una alerta.
El nombre principal de servicio (SPN) predeterminado que se usa para obtener el vale es http/nombreDeSitioInterno. Si se trata de una granja de servidores, el SPN es el
nombre de la granja. En Administracin de Forefront TMG, se puede cambiar el nombre principal de servicio predeterminado en la ficha Delegacin de autenticacin de la
regla.
Nota:
En Microsoft Exchange Server 2003, Internet Information Services (IIS) se ejecuta en la cuenta de servicio de red. Forefront TMG utiliza el comodn SPN HTTP\* y
reemplaza el asterisco por el nombre de host del sitio publicado.

53
SecurID
Cuando un cliente proporciona credenciales de SecurID, puede usar la delegacin de autenticacin de SecurID. Forefront TMG transmite la cookie de SecurID de su
propiedad al servidor publicado. Recuerde que Forefront TMG y el servidor publicado deben tener el mismo nombre de cookie y secreto de dominio.
A partir de ISA Server 2006, se admite la delegacin limitada de Kerberos. Para obtener ms informacin acerca de la delegacin limitada de Kerberos, vea Kerberos
Protocol Transition and Constrained Delegation (http://go.microsoft.com/fwlink/?LinkID=56785).
Si no se utiliza la delegacin limitada de Kerberos, el Forefront TMG slo puede delegar credenciales si las credenciales de cliente se reciben mediante la autenticacin
bsica o basada en formularios. Si se utiliza la delegacin limitada de Kerberos, Forefront TMG puede aceptar otros tipos de credenciales de cliente como, por ejemplo,
certificados de cliente. Forefront TMG debe estar habilitado en el controlador de dominio para poder utilizar la delegacin limitada de Kerberos (limitada a un nombre
principal de servicio determinado).
Si se produce un error de autenticacin, Forefront TMG enva el aviso de error del servidor al cliente. Si el servidor requiere un tipo de credenciales diferente, Forefront
TMG desencadena una alerta.
Nota:
Para usar la delegacin limitada de Kerberos, debe configurar AD DS para que reconozca Forefront TMG como un servidor de confianza para la delegacin.
El nombre principal de servicio predeterminado que se usa para obtener el vale es http/nombreDeSitioInterno. Si se trata de una granja de servidores, el SPN es el
nombre de la granja. En Administracin de Forefront TMG, se puede cambiar el nombre principal de servicio predeterminado en la ficha Delegacin de
autenticacin de la regla.
Para utilizar la delegacin limitada de Kerberos, el dominio debe ejecutarse en Windows Server 2003 o un nivel funcional de dominio superior.
La autenticacin Kerberos se basa en paquetes UDP. Estos paquetes suelen estar fragmentados. Si el equipo Forefront TMG se encuentra en un dominio y habilita el
bloqueo de fragmentos IP, se producir un error en la autenticacin Kerberos. Si, por ejemplo, el equipo utiliza Kerberos para la autenticacin durante el inicio de
sesin del usuario, este no ser correcto. Si se utiliza la autenticacin Kerberos, no es recomendable habilitar el bloqueo de paquetes que contengan fragmentos IP.
SharePoint Portal Server 2003 deshabilita Kerberos de forma predeterminada, de modo que NTLM/Kerberos (Negotiate) y la delegacin limitada de Kerberos no
funcionan en la publicacin de SharePoint. Para habilitar Kerberos, siga las instrucciones de Cmo configurar un servidor virtual de Windows SharePoint Services
para utilizar autenticacin Kerberos y cmo volver a la autenticacin NTLM desde la autenticacin Kerberos (http://go.microsoft.com/fwlink/?LinkId=160327).
En Microsoft Exchange Server 2003, IIS se ejecuta en la cuenta de servicio de red. Forefront TMG utiliza el comodn SPN HTTP\* y reemplaza el asterisco por el
nombre de host del sitio publicado.
Combinaciones vlidas de credenciales de cliente y mtodos de delegacin
No todos los mtodos de delegacin son vlidos para un tipo determinado de credencial de cliente. En la tabla siguiente se resumen las combinaciones vlidas
Recepcin de credenciales de cliente Proveedor de autenticacin Delegacin
Autenticacin basada en formularios (slo con contrasea)
Bsica
AD DS (Windows)
AD DS
LDAP
RADIUS
Sin delegacin, pero el cliente se puede autenticar
directamente.
Sin delegacin y el cliente no se puede autenticar
directamente.
Bsica
NTLM
Negotiate
Implcita
Integrado
AD DS (Windows) Sin delegacin, pero el cliente se puede autenticar
directamente.
directamente.
Autenticacin basada en formularios con cdigo de acceso SecurID
Contrasea de un solo uso
RADIUS
directamente.
directamente.
SecurID
Autenticacin basada en formularios (con cdigo de acceso y
contrasea)
SecurID
Contrasea de un solo uso
RADIUS
directamente.
directamente.
Bsica
NTLM
Negotiate
SecurID (no con la contrasea de un solo uso de RADIUS)
Certificado de cliente AD DS (Windows) Sin delegacin, pero el cliente se puede autenticar
directamente.
directamente.

54
Acerca de la autenticacin de dos factores
La autenticacin de dos factores ofrece una mejor seguridad porque requiere que el usuario cumpla con dos criterios de autenticacin: una combinacin de nombre de
usuario y contrasea, y un token o certificado, denominado algo que se tiene, algo que se conoce. Forefront TMG es compatible con la autenticacin de dos factores en estos
escenarios:

El usuario tiene un certificado.

El usuario tiene un smbolo SecurID que proporciona un PASSCODE.

El usuario tiene un smbolo de contrasea de un solo uso que proporciona un PASSCODE.
Un ejemplo de autenticacin de dos factores con un certificado es el uso de una tarjeta inteligente. La tarjeta inteligente contiene el certificado, que Forefront TMG puede
validar en un servidor que contenga la informacin de usuario y certificado. Al comparar la informacin de usuario (nombre de usuario y contrasea) con el certificado
proporcionado, el servidor valida las credenciales e Forefront TMG autentica al usuario.
Importante:
La autenticacin de dos factores con un certificado de cliente no es posible al implementar Forefront TMG en un grupo de trabajo.
Acerca del almacenamiento de credenciales en cach
Forefront TMG puede almacenar en memoria cach las credenciales de usuario bsicas y basadas en formularios, lo que mejora el rendimiento de la revalidacin de las
credenciales para solicitudes de cliente adicionales. Cuando se usa el almacenamiento en cach de credenciales, Forefront TMG valida las credenciales una vez por sesin
TCP, es decir, para la primera solicitud HTTP de la sesin, y almacena en cach las credenciales como validadas. Para posteriores solicitudes HTTP, Forefront TMG valida
las credenciales comparndolas con las credenciales validadas que se almacenaron en cach en la primera solicitud.
Puede habilitar las credenciales almacenndolas en cach en las propiedades de escucha de web. Esta caracterstica est habilitada de manera predeterminada y almacena en
cach las credenciales durante 300 segundos.
El almacenamiento en cach de credenciales es compatible con la autenticacin de Servicios de dominio de Active Directory (AD DS), la autenticacin a travs de LDAP y
la autenticacin de RADIUS, y solo cuando el cliente proporciona las credenciales utilizando autenticacin de HTTP bsica o basada en formularios.
Acerca de cmo publicar servidores no web
Al publicar en servidores que no son web, Forefront TMG usa reglas de publicacin de servidor para asignar solicitudes para servidores en una red Forefront TMG
procedentes de clientes ubicados en otras redes. Los clientes pueden ser clientes externos ubicados en Internet o clientes internos ubicados en una red interna diferente.
Nota:
En algunas circunstancias, podra pensar en usar las reglas de publicacin de servidor en lugar de las reglas de acceso para acceso web; por ejemplo, permitir a los
clientes internos tener acceso a un servidor no web situado en una red perimetral.
Al planear la publicacin de servidor no web, tenga en cuenta lo siguiente:

La publicacin de servidor puede utilizarse para publicar la mayora de protocolos TCP y UDP.

El servidor publicado puede configurarse como cliente SecureNAT con una puerta de enlace predeterminada que seale a Forefront TMG.

No puede autenticar las solicitudes de usuario para los servidores no web.

Puede utilizar el control de direcciones IP para especificar quin puede tener acceso a recursos publicados.

Todas las reglas de publicacin de servidor publican un solo servidor y protocolo.

La publicacin de servidor configura Forefront TMG para escuchar en un puerto especfico y enviar las solicitudes al servidor publicado. Puede configurar las siguientes
propiedades de puertos:

Publique en un puerto distinto al puerto predeterminado. Por ejemplo, publique servicios FTP a travs del puerto 22 en Forefront TMG; a continuacin, Forefront
TMGredirige las solicitudes al puerto 21 predeterminado en el servidor publicado.

Especificar el puerto del servidor publicado al que deben enviarse las solicitudes. Puede ser el puerto predeterminado u otro diferente.

Limitar los puertos de origen desde los que se pueden recibir solicitudes de clientes.
Planeacin para almacenar en cach el contenido web
Forefront TMG implementa un mecanismo de almacenamiento en cach para mejorar el rendimiento y los tiempos de respuesta para las solicitudes web desde Internet y
desde los servidores web publicados. La memoria cach incluye contenido que se solicita con frecuencia por usuarios internos o remotos. Cuando los usuarios solicitan
contenido almacenado en cach, Forefront TMG sirve el contenido directamente desde la memoria cach. Entre las ventajas del almacenamiento web se incluyen:

Acceso ms rpido al contenido solicitado: las solicitudes se sirven desde la memoria cach en lugar de requerir una conexin a los servidores de Internet o acceso a los
servidores web publicados.

Ancho de banda reducido en la conexin a Internet y carga reducida en servidores web publicados.
En las siguientes secciones se proporciona informacin que puede ayudarle a planear sus necesidades de almacenamiento en cach:

Tipos de almacenamiento en cach compatibles

55

Consideraciones para almacenar el contenido almacenado en cach

Almacenamiento en cach en matrices de Forefront TMG
Nota:
Para obtener informacin acerca de cmo habilitar y configurar el almacenamiento en cach, vea Almacenar en memoria cach el contenido del sitio web.
Tipos de almacenamiento en cach compatibles
Forefront TMG admite dos tipos de almacenamiento en cach:

Almacenamiento en cach de reenvo: almacena en cach el contenido de Internet solicitado con frecuencia y lo sirve a los usuarios internos.

Almacenamiento en cach inversa: almacena en cach el contenido que se solicita con frecuencia desde los servidores web internos publicados por Forefront
TMG y lo sirve a usuarios remotos externos. El almacenamiento en cach inversa se habilita de manera predeterminada al habilitar el almacenamiento en cach
de reenvo.
Consideraciones para almacenar el contenido almacenado en cach
Forefront TMG almacena el contenido en cach en dos ubicaciones:

En memoria (de forma predeterminada, el diez por ciento de la RAM se usa para almacenar objetos en cach).

En disco.
Dado que los objetos que se almacenan en cach en memoria se pueden recuperar de manera ms rpida que los objetos almacenados en cach de disco, Forefront
TMG almacena el contenido ms popular en disco y en memoria. Si el archivo de contenido de cach de disco est demasiado lleno para contener un nuevo
objeto, Forefront TMG quita los objetos ms antiguos de la memoria cach. Determina qu objetos se van a quitar del disco con una frmula que evala la
antigedad del objeto y la frecuencia con la que se tiene acceso al objeto, y su tamao.
Al planear el almacenamiento en cach, tenga en cuenta lo siguiente:

Ms RAM proporciona el rendimiento ms rpido para servir el contenido almacenado en memoria cach. En implementaciones grandes, se recomienda que se
use un disco duro de alto rendimiento.

Para la memoria cach debe utilizar una particin con formato de sistema de archivos NTFS y la unidad de cach debe ser local. Al configurar una unidad cach,
se crear un archivo de contenido cach Dir1.cdat en la ubicacin: drive:\urlcache.

El tamao mximo del archivo de cach en una sola unidad es de 64 GB.

Los archivos que ocupan ms de 512 MB no permanecen en cach despus del reinicio.

Se recomienda que ubique el archivo en un disco fsico que no sea el de instalacin del sistema operativo y Forefront TMG. De esta manera se reduce la
contencin en los discos de sistema e inicio.
Los contadores de rendimiento de cach de Forefront TMG ofrecen informacin sobre el rendimiento de la memoria cach, el espacio en cach y la
administracin de direcciones URL. A partir de esta informacin, puede modificar los valores de la memoria cach segn convenga. Para obtener ms
informacin, vea Cache performance counters (http://go.microsoft.com/fwlink/?LinkId=160063).
Almacenamiento en cach en matrices de Forefront TMG
En matrices, Forefront TMG usa el protocolo de enrutamiento de matriz de cach (CARP) para proporcionar una memoria cach lgica y nica para todos los servidores de
la matriz. CARP permite utilizar miembros de la matriz de Forefront TMG para equilibrar de manera eficaz la carga de clientes basados en web y dividir entre ellos el
contenido almacenado en cach. CARP proporciona a los equipos cliente la informacin y los algoritmos necesarios para identificar el mejor servidor de la matriz para
atender su solicitud, eliminando as la necesidad de que los miembros de la matriz se reenven las solicitudes. Adems, CARP admite que los propios servidores y los
proxies encadenados realicen la seleccin del servidor de matriz.
Planeacin para BranchCache (SP1)
Importante:
La informacin de este tema solo es relevante para Forefront TMG SP1 y en equipos que estn ejecutando Windows Server 2008 R2.
BranchCache es una tecnologa de optimizacin de ancho de banda de red de rea extensa (WAN) que se incluye en algunas ediciones de los sistemas operativos Windows
Server 2008 R2 y Windows 7. Para optimizar la utilizacin del ancho de banda WAN, BranchCache copia el contenido de los servidores de contenido de oficina principal y
almacena en la memoria cach el contenido en ubicaciones de sucursal, permitiendo as a los equipos cliente en sucursales el acceso al contenido localmente en lugar de a
travs del WAN.
Nota:
BranchCache puede funcionar en cach hospedada (basada en servidor) o en el modo de cach distribuida (basada en cliente). Sin embargo, para implementar con
Forefront TMG, debe usar el modo de cach hospedada.

Modo de cach hospedada

Conexiones seguras de cach hospedada

BranchCache y Forefront TMG
Modo de cach hospedada

56
El modo de cach hospedada funciona implementando un equipo que est ejecutando Windows Server 2008 R2 como un host en la sucursal. La memoria cach hospedada
es un repositorio central de datos que se descarga de los servidores habilitados con BranchCache en la oficina principal a la sucursal. El cliente Windows 7 y los equipos
Windows Server 2008 R2 de la sucursal se configuran con el nombre de dominio completo (FQDN) del equipo host de manera que pueden recuperar contenido de la
memoria cach hospedada, cuando est disponible. Si el contenido no est disponible en la memoria cach hospedada, se recupera del servidor de contenido usando el WAN
y, a continuacin, se ofrece a la memoria cach hospedada de manera que se pueden beneficiar equipos cliente posteriores. En el modo de cach hospedada, todos los
clientes de una sucursal pueden obtener acceso a un memoria cach, incluso si se encuentran en diferentes subredes.
Para implementar BranchCache en el modo de cach hospedada, debe instalar y configurar servidores de contenido en su oficina principal, e instalar y configurar un servidor
de cach hospedada y clientes equipo en la sucursal. Adems, los equipos en sucursales deben poder tener acceso a los servidores principales de contenido de oficina a travs
de un vnculo WAN, como una conexin dedicada o red principal virtual (VPN) a peticin entre las oficinas; de lo contrario, los clientes deben usar otro mtodo para
conectarse a los servidores de contenido, como mediante DirectAccess.
Conexiones seguras de cach hospedada
La memoria cach hospedada es de confianza para equipos cliente para almacenar en cach y distribuir datos que pueden estar bajo control de acceso. Por este motivo, los
equipos cliente usan la seguridad de la capa de transporte (TLS) al comunicarse con el servidor de cach hospedada. Para admitir una conexin TLS, el servidor de cach
hospedada debe estar provisto con un certificado que sea de confianza por clientes y sea adecuado para la autenticacin del servidor. Para obtener ms informacin acerca de
la implementacin de certificados de servidor para BranchCache, vea Deploy a hosted cache mode design (http://go.microsoft.com/fwlink/?LinkId=191128).
BranchCache y Forefront TMG
Debido a que el modo de cach hospedada no requiere un servidor dedicado, puede colocar BranchCache e Forefront TMG en un equipo que ejecuta Windows Server 2008
R2.
Nota:
BranchCache tambin se puede configurar como una carga de trabajo virtual y ejecutarse en un servidor con otras cargas, posiblemente incluso en Forefront TMG.
Entre las ventajas de la colocacin de BranchCache e Forefront TMG se incluyen:

Una reduccin en el costo total de la propiedad, que es un problema comn para implementaciones de sucursal.

Implementacin simplificada. Al habilitar BranchCache mediante la consola de administracin de Forefront TMG se instala y habilita la caracterstica de Windows en
pocos pasos, y se habilitan las reglas de directiva de sistema que permiten el trfico de BranchCache que pasa por el firewall.
Para obtener informacin acerca de la configuracin de BranchCache en Forefront TMG, vea Configurar BranchCache en Forefront TMG (SP1).
Planeacin para las redes privadas virtuales
La tecnologa de la red privada virtual (VPN) habilita el acceso remoto seguro y rentable a redes privadas. Con una red privada virtual, puede extender su red privada en una
red pblica o privada, como Internet, de forma que emule un vnculo privado punto a punto. Mediante el uso del equipo Forefront TMG como servidor VPN, se beneficia de
la proteccin de la red corporativa contra conexiones VPN malintencionadas. Puesto que el servidor VPN est integrado en la funcionalidad del firewall, sus usuarios estn
sujetos a la directiva de firewall de Forefront TMG.
En las secciones siguientes se proporciona informacin que puede ayudarle a planear su implementacin VPN de Forefront TMG:

Acerca de las VPN de Forefront TMG

Protocolos VPN

Acerca de la VPN de acceso remoto

Asignacin de usuarios
Acerca de las VPN de Forefront TMG
Forefront TMG admite dos tipos de VPN:

VPN de acceso remoto: proporciona a los usuarios mviles acceso remoto seguro a la red interna.

VPN de sitio a sitio: habilita la conectividad rpida entre sitios, por ejemplo, entre una oficina central y sus sucursales.

Para obtener una descripcin detallada acerca de cmo implementar una configuracin VPN de interconexin radial o malla, vea el artculo acerca de los escenarios
de implementacin de red privada virtual en ISA Server Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=160842).
Nota:
Todas las conexiones VPN a Forefront TMG se incluyen en el registro de firewall, con el fin de que pueda supervisarlas.
Forefront TMG implementa tecnologa VPN de Windows Server. Para obtener una descripcin, vea el artculo sobre la descripcin de la VPN
(http://go.microsoft.com/fwlink/?LinkId=160092). Cuando lea este contenido, tenga en cuenta las diferencias funcionales entre Windows Server 2003 y las versiones ms
recientes de Windows como se documenta en el artculo sobre las novedades de enrutamiento y acceso remoto en Windows Server 2008
Protocolos VPN
Forefront TMG admite los siguientes protocolos VPN:

Protocolo de tnel punto a punto (PPTP): usado para acceso remoto y VPN de sitio a sitio, para servidores remotos que ejecutan sistemas operativos Windows Server
con Enrutamiento y acceso remoto. No obstante, las conexiones VPN usan un mecanismo de cifrado que no proporciona integridad de datos (prueba de que los datos
no se modificaron en trnsito) ni autenticacin de origen de datos (prueba de que los datos se enviaron por el usuario autorizado).

57

Seguridad de protocolo de tnel de capa dos/protocolo Internet (L2TP/IPSec): usada para acceso remoto y VPN de sitio a sitio, para servidores remotos que ejecutan
sistemas operativos de Windows Server con Enrutamiento y acceso remoto. Para usar el protocolo L2TP/IPSec, se debe instalar un certificado de IPsec en los
servidores VPN. IPsec proporciona confidencialidad de datos, integridad de datos y autenticacin del origen de datos.

Modo de tnel IPsec: usado para VPN de sitio a sitio y para la compatibilidad con dispositivos de terceros, como enrutadores y puertas de enlace, que no admiten
PPTP o L2TP/IPSec. Para usar el modo de tnel L2TP, se debe instalar un certificado de IPsec en los servidores VPN. IPsec proporciona confidencialidad de datos,
integridad de datos y autenticacin del origen de datos.

Para obtener informacin acerca del modo de tnel de IPsec, vea Referencia tcnica de IPSec (http://go.microsoft.com/fwlink/?linkid=69735).

Para obtener informacin de interoperabilidad, vea el artculo sobre pruebas VPNC para interoperabilidad (http://go.microsoft.com/fwlink/?LinkId=160129).

Protocolo de tnel punto a punto seguro (SSTP): usado para VPN de acceso seguro. SSTP es un formulario de tnel de VPN que permite el trfico del transporte del
protocolo de punto a punto (PPP) a travs de un canal de capa de sockets seguros (SSL). Con SSTP, mejora la capacidad de las conexiones VPN de atravesar los
firewalls y servidores proxy.
Acerca de la VPN de acceso remoto
La siguiente informacin es aplicable al acceso remoto de VPN de Forefront TMG:

Control de cuarentena

Credenciales de clientes de VPN

Clientes de VPN infectados por virus
Control de cuarentena
El control de cuarentena se usa para retrasar el acceso de los equipos remotos a una red privada hasta que se examine y se valide la configuracin del equipo. Forefront TMG
puede poner en cuarentena a los clientes de VPN, gracias a la red de clientes de VPN en cuarentena, hasta que se compruebe que cumplen los requisitos de seguridad
corporativos y puedan moverse a la red de clientes de VPN. Las dos redes de clientes de VPN estn sujetas a la directiva de acceso del firewall de Forefront TMG, con el fin
de que pueda controlar el acceso de los clientes de VPN a los recursos de la red. Por ejemplo, puede permitir el acceso a clientes en cuarentena solo a los recursos necesarios
para restaurar su cumplimiento de los requisitos de seguridad, como el acceso a actualizaciones de antivirus o al servidor Windows Update.
Puede aplicar la cuarentena mediante una de las siguientes opciones:

Proteccin de acceso a redes (NAP): le permite definir niveles de acceso a la red, en funcin de la identidad de un cliente, los grupos a los que pertenece el cliente
y el grado en el que el cliente cumple la directiva de gobierno corporativo. Si un cliente no es compatible, NAP ofrece un mecanismo para que el cliente sea
compatible automticamente (un proceso conocido como correccinn) y se aumente as de manera dinmica su nivel de acceso a la red.

El servicio de cuarentena de acceso remoto (Rqs.exe) y el cliente de cuarentena de acceso remoto (RQC): RQC determina el estado de mantenimiento del equipo
cliente y, segn sea necesario, informa a RQS de si el equipo cliente est sujeto a cuarentena.
Credenciales de clientes de VPN
Las credenciales que recibe Forefront TMG cuando un usuario se conecta a travs de una conexin de VPN de acceso remoto pueden variar segn el escenario de conexin.

Cuando un usuario remoto establece una conexin VPN, Forefront TMG asocia sus credenciales a la conexin. Si otros usuarios usan la misma conexin,
Forefront TMG no recibe sus credenciales, pero continua asociando trfico a las credenciales usadas para establecer la conexin, lo que podra ser un problema de
seguridad. Por ejemplo, si los usuarios usan Terminal Services para conectarse al equipo cliente y, a continuacin, realizan solicitudes a travs de la conexin
VPN, o si el equipo cliente se configura para actuar como un dispositivo de traduccin de direcciones de red (NAT), permitiendo el uso compartido de la
conexin VPN entre muchos usuarios de equipos diferentes.

Cuando el equipo que hospeda una conexin de cliente de VPN, o los equipos de detrs, disponen de un cliente Forefront TMG o cliente firewall bien instalado y
configurado, estos equipos se unirn a la red de clientes de VPN, pero Forefront TMG recibir las credenciales de cada usuario en lugar de recibir las credenciales
del equipo host.
Clientes de VPN infectados por virus
Los equipos clientes de VPN infectados por virus no se bloquean automticamente de manera que no puedan desbordar el equipo Forefront TMG (o la red que lo protege)
con solicitudes. Para impedir que esto ocurra, implemente prcticas de supervisin que detecten anomalas como alertas o picos inusuales en las cargas de trfico, y
configure la notificacin de las alertas por correo electrnico. Si detecta un equipo cliente de VPN infectado, realice una de las siguientes acciones:

Restringir el acceso a la VPN por nombre de usuario: use la directiva de acceso remoto para excluir a los usuarios de los clientes de VPN que pueden conectarse.

Restringir el acceso a la VPN por direccin IP: cree una red nueva que contenga las direcciones IP externas que estn bloqueadas y mueva la direccin IP del
cliente desde la red externa a esta nueva red. Slo funciona cuando un usuario siempre se conecta desde la misma direccin IP. Si al equipo cliente se le asigna
una direccin diferente cada vez que se conecta a la red pblica, se recomienda que restrinja el acceso en funcin del nombre de usuario.
Asignacin de usuarios
Al crear una directiva del firewall basada en grupos, la asignacin de usuarios se usa para asignar clientes de VPN que se conectan a Forefront TMG. Como resultado, las
reglas de acceso a las directivas de firewall, que especifican conjuntos de usuarios para los usuarios y grupos de Windows, tambin se aplican a los usuarios autenticados que
no utilizan Windows. Si no se define ninguna asignacin de usuarios para los usuarios de espacios de nombres que no se basan en Windows, no se les aplicar las reglas de
acceso a las directivas de firewall.
Al definir la asignacin de usuarios, tenga en cuenta lo siguiente:

Si el servidor del Servicio de usuario de marcado con autenticacin remota (RADIUS) y el equipo Forefront TMG estn en distintos dominios (o si uno de ellos
est en un grupo de trabajo), la asignacin de usuarios solo es compatible para los mtodos de autenticacin del protocolo de autenticacin de contrasea (PAP) y
del protocolo de autenticacin de contrasea de Shiva (SPAP). No utilice la asignacin de usuarios si est configurado cualquier otro mtodo de autenticacin.

Si no habilita la asignacin de usuarios para los usuarios que no usan Windows, debe crear para ellos un conjunto de usuarios, con el fin de que se les puedan
aplicar las reglas de directivas de firewall. Independientemente del mtodo de autenticacin (RADIUS o EAP), debe definirse el conjunto de usuarios para el
espacio de nombres RADIUS.

58

La asignacin de usuarios a cuentas de dominio no es compatible cuando Forefront TMG est instalado en un grupo de trabajo. En este escenario, la caracterstica
de asignacin de usuarios solo se puede usar con los mtodos de autenticacin PAP y SPAP.
Importante:
Para crear una directiva de firewall basada en usuarios, puede definir conjuntos de usuarios con espacios de nombres RADIUS.
Preparacin para habilitar VoIP mediante Forefront TMG

Voz sobre IP (VoIP) se usa en telefona por Internet para transmitir comunicaciones de voz y vdeo a travs de intranets, extranets e Internet.
Este tema est diseado para ayudarle a planear cmo habilitar el trfico de VoIP a travs de Forefront TMG, en funcin de la implementacin de VoIP en su organizacin,
y las relaciones entre la IP PBX (central de conmutacin de protocolo de Internet) y la red telefnica pblica conmutada (PSTN) o el proveedor de servicios de telefona de
Internet (ITSP).
Forefront TMG admite las siguientes implementaciones de VoIP:

PBX externa (hospedada)

PBX interna conectada a PSTN

PBX interna conectada a PSTN mediante un tronco SIP

PBX interna conectada a PBX externa (hospedada)
Nota:
Forefront TMG emplea la mitigacin de ataques "flood" para protegerse a s mismo y a la PBX de los mensajes REGISTER e INVITE masivos. Sin embargo, no
protege la PBX de otros tipos de ataques de VoIP; por ejemplo, la sobrecarga de llamadas establecidas con otros mensajes de SIP, o el establecimiento y la
desconexin de llamadas a telfonos concretos.
Para habilitar la compatibilidad con VoIP, debe existir una relacin de enrutamiento entre varias redes internas. No se admiten las relaciones de NAT entre las redes
internas.
PBX externa (hospedada)
En un sistema de PBX hospedada (a menudo denominada Centrex), la funcionalidad de PBX se proporciona como servicio por un ITSP. En esta implementacin:

Los usuarios internos y los usuarios mviles se deben registrar con el ITSP para poder iniciar y recibir llamadas.

Existen relaciones de Traduccin de direcciones de red (NAT) entre la red donde se encuentran los telfonos internos y las redes externas.

La PBX hospedada se encuentra en la red externa.
PBX interna conectada a PSTN
En esta implementacin, VoIP se usa en la red interna y PSTN se usa para llamadas externas. Esta implementacin requiere:

Un dispositivo de puerta de enlace del protocolo de inicio de sesin (SIP), para convertir las llamadas entre la red IP interna y el PSTN. El dispositivo puede formar
parte de la PBX interna.

Una ruta o la misma relacin de red entre las redes que contienen los componentes VoIP: telfonos, PBX y puerta de enlace de SIP.

Para permitir a los usuarios mviles que usen VoIP mientras estn conectados a la red interna mediante la red privada virtual (VPN) de acceso remoto de Forefront
TMG, se debe instalar un controlador de borde de sesin en la red externa a la que se conectan los usuarios mviles.
PBX interna conectada a PSTN mediante un tronco SIP
En esta implementacin, los servicios PSTN se proporcionan como un servicio por un ITSP. Un tronco SIP es un servicio que el ITSP proporciona para habilitar
comunicaciones entre la PBX y el ITSP sobre SIP. En esta implementacin:

El ITSP y la PBX usan el puerto 5060 para la comunicacin de SIP.

El tronco se encuentra en la red externa.

Para habilitar a los usuarios mviles para que usen VoIP mientras estn conectados a la red interna detrs de la NAT, se debe instalar un controlador de borde de
sesin en la red externa a la que se conectan los usuarios mviles.
PBX interna conectada a PBX externa (hospedada)
En esta implementacin, PBX se usa en ambas redes internas y externas; la funcionalidad de PBX externa se proporciona como un servicio por un ITSP. Entre los motivos
para elegir este modelo a travs de una conexin a una PSTN se incluyen las capacidades de ITSP, el modelo de precios de ITSP o el uso de diferentes ITSP en distintas
regiones para reducir el costo de las comunicaciones.
Gua de diseo de proteccin para Forefront TMG
La gua de diseo de proteccin para Forefront TMG est pensada para ayudarle a planear la proteccin de los equipos y servidores de su red extendida, con los mecanismos
de proteccin de Forefront TMG. Le gua a travs del proceso de diseo y proporciona informacin que le ayudar a tomar las decisiones de diseo de proteccin adecuadas
para sus objetivos de negocio y para su entorno.

59
Acerca esta gua
Esta gua est dirigida al administrador del sistema o al encargado de la seguridad responsable de proteger los recursos corporativos contra amenazas, como amenazas
basadas en web y correo electrnico, o de los ataques de red. Se supone que el lector de esta gua est familiarizado con los conceptos de red y amenazas y ataques web,
prevencin de ataques y proteccin frente amenazas.
Identificar y asignar los objetivos de diseo de proteccin
La siguiente tabla est diseada para ayudarle a identificar los objetivos de diseo de proteccin de Forefront TMG. Despus de identificar los objetivos que son adecuados
para su organizacin, puede asignarlos a los diseos pertinentes de Forefront TMG.
Objetivo de diseo Diseos de Forefront TMG
Proteger la red contra las vulnerabilidades del sistema operativo y las aplicaciones. Sistema de inspeccin de red (NIS). Para obtener ms informacin, vea
Planeacin de la proteccin frente a vulnerabilidades conocidas.
Proteger la red contra los ataques que usan caractersticas de deteccin de ataques
sofisticadas, como la deteccin de intrusiones, la mitigacin de ataques "flood" y la
deteccin de rplicas.
Deteccin de intrusiones basada en el comportamiento. Para obtener
ms informacin, vea Planeacin para proteger frente a los ataques de
red.
Proteger la organizacin del malware y otras amenazas de la Web.
Inspeccin de malware
Filtrado de URL
Filtrado HTTP
Inspeccin de HTTPS
Para obtener ms informacin, vea Planeacin para proteger frente a las
amenazas a travs de Internet.
Proteger la red del correo no deseado y de los virus. Proteccin de correo electrnico. Para obtener ms informacin, vea
Planeacin de la proteccin frente a amenazas de correo electrnico.
Mantener las definiciones de proteccin actualizadas constantemente.
Proteccin de correo electrnico
NIS
Para obtener ms informacin, vea Planeacin de las actualizaciones de
definiciones de proteccin.
Planeacin de la proteccin frente a vulnerabilidades conocidas

Este tema est diseado para ayudarle a planear cmo usar Forefront TMG para proteger la red de las vulnerabilidades de la aplicacin y del sistema operativo.
Forefront TMG protege la red contra las vulnerabilidades de seguridad conocidas en sistemas operativos y aplicaciones con el Sistema de inspeccin de red (NIS), la parte
basada en firmas del Sistema de prevencin de intrusiones de Forefront TMG.
El NIS es un sistema de inspeccin de trfico basado en la descodificacin de protocolo que usa firmas de vulnerabilidades conocidas para detectar y bloquear
potencialmente ataques en los recursos de la red proporcionando:

Proteccin completa para las vulnerabilidades de red de Microsoft; el Centro de proteccin contra malware de Microsoft (MMPC) proporciona capacidades de
investigacin y respuesta. Para obtener informacin sobre MMPC, vea el Centro de proteccin contra malware (http://go.microsoft.com/fwlink/?LinkId=160624).

Un canal de distribucin de firmas operativas que habilita la distribucin de instantneas de firmas dinmicas a travs de Microsoft Update. Para obtener ms
informacin, vea Planeacin de las actualizaciones de definiciones de proteccin.
El NIS inspecciona el trfico de web de los usuarios internos y, en funcin del anlisis de protocolo por parte del analizador de protocolos de nivel de aplicacin
genrico de Microsoft (GAPA), detecta y bloquea el trfico malintencionado. El NIS puede actualizarse con firmas MMPC en cuanto se crean, para protegerse frente
a las nuevas clases de ataques y vulnerabilidades, incluyendo ataques del da cero, para minimizar la ventana de vulnerabilidad entre las divulgaciones de
vulnerabilidades e implementacin de revisiones, desde semanas a unas horas. Para obtener informacin acerca de GAPA, vea Generic Application-Level Protocol
Analyzer and its Language (http://go.microsoft.com/fwlink/?LinkId=160623).
Cuando planee implementar el NIS en su organizacin, tenga en cuenta lo siguiente:

El NIS protege contra las vulnerabilidades de la red; no protege contra las vulnerabilidades de archivo, como transporte de virus o spyware. La caracterstica de
inspeccin de malware administra la proteccin contra las vulnerabilidades de archivo. Para obtener ms informacin, vea Planeacin para proteger frente a contenido
web malintencionado.

El NIS solo admite firmas certificadas y creadas por MMPC.

Para mantener sus sistemas protegidos de las amenazas ms recientes, compruebe que Forefront TMG tiene conectividad con el origen de actualizacin seleccionado,
Microsoft Update o Windows Server Update Services (WSUS), y que se ha habilitado la instalacin automtica del conjunto de firmas ms reciente. Para obtener ms

Cuando descargue nuevos conjuntos de firmas de MMPC, solo se aplicarn a conexiones nuevas. Al crear su directiva de seguridad, tenga en cuenta la comodidad de
los usuarios de conexiones duraderas (como conexiones de red privada virtual), frente a la seguridad de aplicar la proteccin ms actualizada a todas las conexiones.

En el host local (el equipo con Forefront TMG), NIS inspecciona slo los protocolos HTTP, HTTPS y de correo electrnico.

NIS inspecciona RPC sobre TCP; no inspecciona RPC sobre UDP. Se recomienda que utilice una regla de firewall para bloquear el trfico RPC sobre UDP. Para
obtener ms informacin, vea Configuracin de la directiva de firewall.

60
Planeacin para proteger frente a los ataques de red

Con las tcnicas de deteccin de intrusiones basadas en comportamientos, Forefront TMG puede proteger su red contra los ataques que usan caractersticas de deteccin de
ataques sofisticadas, como la deteccin de intrusiones, la mitigacin de ataques "flood" y la deteccin de rplicas. Para obtener ms informacin, vea:

Planeacin de la proteccin frente a ataques comunes y ataques DNS

Planeacin para protegerse contra los ataques de tipo flood de denegacin de servicio

Planeacin de la proteccin frente a ataques comunes y ataques DNS
Este tema est diseado para ayudarle a planear la proteccin de la red de Forefront TMG frente a ataques comunes y a los ataques del Sistema de nombres de dominio
(DNS). Describe lo siguiente:

Deteccin de ataques comunes

Deteccin de ataques DNS
Deteccin de ataques comunes
Los ataques comunes incluyen los siguientes:

Ataque de tipo windows out-of-band (WinNuke): el atacante lanza un ataque de denegacin de servicio fuera de banda (DoS) contra un host protegido mediante
Forefront TMG. Si el ataque tiene xito, se producirn errores en el equipo o se perder la conectividad con la red en los equipos vulnerables.

Ataque de tipo land: el atacante enva un paquete TCP SYN con una direccin IP de origen simulada que coincide con la direccin IP del equipo de destino y que
tiene un nmero de puerto permitido por las reglas de directiva de Forefront TMG, de modo que el equipo de destino intenta establecer una sesin TCP consigo
mismo. Si el ataque tiene xito, algunas implementaciones de TCP podran entrar en un bucle que hace que el equipo genere un error.

Ping of death: el atacante adjunta un gran volumen de informacin, que supera el tamao mximo para los paquetes IP, a la solicitud (ping) de eco del protocolo de
mensajes de control de Internet (ICMP). Si el ataque tiene xito, se produce un desbordamiento del bfer del ncleo que provoca errores en el equipo.

Ataque de tipo IP half scan: el atacante intenta conectarse repetidas veces a un equipo de destino, pero enva paquetes ACK en respuesta a los paquetes SYN/ACK.
Durante una conexin TCP normal, el origen inicia la conexin mediante el envo de un paquete SYN a un puerto del sistema de destino. Si hay algn servicio que
atiende dicho puerto, responde con un paquete SYN/ACK. A continuacin, el cliente que inicia la conexin responde con un paquete ACK y se establece la conexin.
Si el host de destino no est a la espera de la conexin en el puerto especificado, responde con un paquete RST. La mayora de registros de sistema no registran las
conexiones completadas hasta que se recibe el paquete ACK final desde el origen. El envo de otros tipos de paquetes, que no siguen esta secuencia, puede provocar
respuestas tiles del host de destino, sin que se registre ninguna conexin.

Ataque de tipo UDP bomb: el atacante intenta enviar un datagrama del protocolo de datagramas de usuario (UDP) con valores no vlidos en determinados campos,
lo que podra causar un error en los sistemas operativos anteriores cuando se recibe el datagrama. De forma predeterminada, no hay ninguna alerta configurada para
este tipo de ataque.

Ataque de tipo Port scan: el atacante sondea la respuesta de cada puerto para intentar contar los servicios que se ejecutan en un equipo. Se puede especificar el
nmero de puertos que se pueden analizar antes de que se genere un evento.
Cuando est habilitada la deteccin de intrusiones de Forefront TMG y se detectan paquetes malintencionados, estos se quitan, y se genera un evento que desencadena
una alerta "Deteccin de intrusiones". De forma predeterminada, la alerta Se detect una intrusin se restablece automticamente despus de un minuto, durante el
que Forefront TMG sigue bloqueando los paquetes malintencionados pero no emite alertas. Esta alerta se puede configurar para que enve una notificacin de correo
electrnico cuando se desencadena. Tambin se puede habilitar el registro de los paquetes eliminados.
El nombre de los tipos de ataque detectados se corresponde con una condicin adicional de la definicin del evento Se detect una intrusin. Para cada condicin
adicional (tipo de ataque), se puede definir y habilitar una alerta que especifique las acciones que se deben emprender en respuesta al evento y que el servicio Firewall
de Microsoft emitir cuando se cumplan todas las condiciones especificadas en la alerta. Las acciones que una alerta puede desencadenar incluyen: el envo de un
mensaje de correo electrnico, la invocacin de un comando, la escritura en un registro y el inicio o detencin de los servicios de Forefront TMG.
Deteccin de ataques DNS
El filtro del Sistema de nombres de dominio (DNS) de Forefront TMG intercepta y analiza todo el trfico DNS entrante destinado a la red interna y a otras redes protegidas.
Si la deteccin de ataques DNS est habilitada, puede especificar que el filtro DNS compruebe los siguientes tipos de actividades sospechosas:

Desbordamiento de nombres de host DNS: cuando una respuesta DNS para un nombre de host supera los 255 bytes, las aplicaciones que no comprueban la longitud
del nombre de host pueden inundar los bferes internos al copiar este nombre de host, lo que permite que un atacante remoto ejecute los comandos arbitrarios en un
equipo concreto.

Desbordamiento de la longitud DNS: cuando una respuesta DNS para una direccin IP supera los 4 bytes, algunas aplicaciones que ejecutan bsquedas DNS
inundarn los bferes internos, lo que permite que un atacante remoto ejecute comandos arbitrarios en un equipo concreto. Forefront TMG tambin comprueba que el
valor de RDLength no supera el tamao del resto de la respuesta DNS.

Transferencia de zona DNS: un sistema cliente utiliza una aplicacin cliente DNS para transferir zonas desde un servidor DNS interno.
Si se detectan paquetes malintencionados, se eliminan y genera un evento que desencadena una alerta Intrusin DNS. Puede configurar las alertas para que se le
notifique que se detect un ataque. Cuando el evento Intrusin DNS se genera cinco veces en un segundo para una transferencia de zona DNS, se desencadena la
alerta Intrusin de transferencia de zona DNS. De forma predeterminada, una vez que se han desencadenado las alertas predefinidas aplicables, no se vuelven a
desencadenar hasta que se restablecen manualmente.

Planeacin para protegerse contra los ataques de tipo flood de denegacin de servicio

61
Nota:
En este tema se proporciona informacin general sobre cmo protegerse de una denegacin de servicio frente a los ataques "flood" de congestin del servidor en
Forefront TMG. Para obtener informacin detallada y la documentacin ms actualizada, vea la biblioteca TechNet de Forefront TMG
(http://go.microsoft.com/fwlink/?LinkID=131702).
Los ataques "flood" de congestin del servidor de denegacin de servicio (DOS) son los intentos por parte de un usuario malintencionado (o inconsciente), proceso o sistema
para evitar que los usuarios legtimos tengan acceso a un recurso (normalmente un servicio de red), inundando las conexiones de red.
En las secciones siguientes se proporciona informacin que puede ayudarle a planear la proteccin frente a los ataques "flood" de congestin del servidor DoS en una red
con Forefront TMG:

Acerca de la mitigacin de los ataques "flood" de congestin del servidor de Forefront TMG

Lmites de conexiones
Acerca de la mitigacin de los ataques "flood" de congestin del servidor de Forefront TMG
El mecanismo de mitigacin de los ataques "flood" de congestin del servidor de Forefront TMG usa:

Lmites de conexin que se utilizan para identificar y bloquear trfico malintencionado.

Registro de eventos de mitigacin de ataques "flood" de congestin del servidor.

Alertas que se desencadenan cuando se supera un lmite de conexiones.
La configuracin predeterminada de la mitigacin de ataques "flood" de congestin del servidor contribuye a garantizar que Forefront TMG contine funcionando,
incluso si se produce uno de estos ataques. Forefront TMG clasifica el trfico y proporciona distintos niveles de servicio para los diferentes tipos de trfico. El trfico
que se considera malintencionado (cuya intencin es la de crear un ataque "flood" de congestin del servidor) se puede rechazar, mientras Forefront TMG sigue dando
servicio al resto del trfico.
El mecanismo de mitigacin de ataques "flood" de congestin del servidor de Forefront TMG contribuye a identificar los diversos tipos de estos ataques, que se enumeran a
continuacin:

Propagacin de gusanos: un host infectado examina una red para detectar hosts vulnerables; para ello, enva solicitudes de conexin TCP a direcciones IP aleatorias y
a un puerto determinado. Los recursos se agotan a gran velocidad si existen reglas de directiva basadas en nombres del Sistema de nombres de dominio (DNS), que
exigen una bsqueda DNS inversa para cada direccin IP.

Ataques de congestin TCP: el host que ataca establece numerosas conexiones TCP con un servidor de Forefront TMG o con los servidores vctimas, protegidos
mediante Forefront TMG. En ciertos casos, el atacante abre y cierra inmediatamente, en secuencia, muchas conexiones TCP, en un intento de eludir los contadores.
Esta accin consume gran cantidad de recursos.

Ataques SYN: un host atacante trata de congestionar el servidor Forefront TMG con conexiones TCP que slo estn medio abiertas, mediante el envo de gran
nmero de mensajes SYN TCP a un servidor Forefront TMG y sin completar el protocolo de desafo mutuo; as, las conexiones TCP quedan a medio abrir.

Denegacin HTTP de ataques de servicio: un nico host atacante o un nmero reducido de hosts enva un gran nmero de solicitudes HTTP a un servidor Forefront
TMG. En algunos casos, el infractor enva solicitudes HTTP a gran velocidad a travs de una conexin TCP persistente. Dado que el proxy web de Forefront TMG
autentica cada solicitud, esto consume una cantidad grande de recursos en Forefront TMG.

Ataques de denegacin de servicio distribuidos que no son TCP: un gran nmero de hosts atacantes enva solicitudes a un servidor Forefront TMG. Si bien el volumen
total de trfico enviado a la vctima es enorme, la cantidad de trfico enviado desde cada host infractor puede ser pequea.

Ataques de congestin UDP: un host atacante abre numerosas sesiones UDP simultneas con un servidor Forefront TMG.
Lmites de conexiones
Forefront TMG proporciona un mecanismo de cuotas que impone lmites de conexiones para el trfico TCP y no TCP controlado por el servicio Firewall de Microsoft. Los
lmites de conexiones se aplican a las solicitudes de los equipos cliente internos configurados como clientes SecureNAT, firewall y proxy web en escenarios de proxy hacia
adelante, as como a las solicitudes de clientes externos controladas por reglas de publicacin de web y de publicacin de servidor en escenarios de proxy inverso. El
mecanismo contribuye a prevenir ataques "flood" de congestin del servidor desde direcciones IP determinadas. Tambin ayuda a los administradores a identificar las
direcciones IP que generan un trfico excesivo, algo que puede constituir un sntoma de la existencia de un gusano u otra infeccin de cdigo malintencionado.
Se puede configurar una directiva de lmite de conexiones para una matriz de servidores o un servidor Forefront TMG independiente. Las directivas de lmite de conexiones
constan de las siguientes categoras de lmites de conexiones:

Lmites de conexiones, que establecen el nmero de solicitudes de conexin TCP y solicitudes HTTP que se admiten en un minuto desde una nica direccin IP no
incluida en la lista de excepciones de direcciones IP.

Lmites de conexiones, que establecen el nmero de conexiones simultneas del protocolo del nivel de transporte que se admiten desde una nica direccin IP no
incluida en la lista de excepciones de direcciones IP. Se incluyen los lmites de conexiones de conexiones TCP, sesiones UDP y de conexiones ICMP y otras
conexiones Raw IP.

Lmites de conexiones personalizados, que establecen el nmero de solicitudes de conexin y el nmero de conexiones simultneas del protocolo del nivel de
transporte que se admiten desde una nica direccin IP no incluida en la lista de excepciones de direcciones IP. Las excepciones de direcciones IP pueden ser los
servidores publicados, los servidores proxy en cadena y los dispositivos de traduccin de direcciones de red (NAT) (enrutadores), que exigiran muchas ms
conexiones que la mayor parte de las dems direcciones IP. Los lmites de conexiones personalizados se aplican a las conexiones TCP, las sesiones UDP y a las
conexiones ICMP y otras conexiones Raw IP.
Importante:
Un infractor puede generar un ataque "flood" de congestin del servidor suplantando direcciones IP incluidas en la lista de excepciones. Para mitigar esta amenaza, se
recomienda implementar una directiva del protocolo de seguridad de Internet (IPsec) entre Forefront TMG y las direcciones IP de confianza incluidas en la lista de
excepciones. Una directiva IPsec exige la autenticacin del trfico procedente de estas direcciones IP, lo que contribuye a bloquear el trfico suplantado.

Un lmite de conexiones que restrinja el nmero total de conexiones UDP, ICMP y otras conexiones Raw IP que se pueden crear en un segundo para una nica regla
de publicacin o de acceso de servidor.

62
Al configurar una directiva de lmite de conexiones, considere lo siguiente:

Al llegar al lmite de conexiones TCP de una direccin IP, en ella no se admiten ms conexiones TCP.

El lmite de conexiones UDP se aplica a las sesiones en lugar de a las conexiones. Si se alcanza el lmite de conexiones UDP para una direccin IP y se intenta crear
una sesin UDP adicional desde dicha direccin, se cierra la primera sesin UDP que se cre desde ella y se establece una nueva sesin.

Al llegar al lmite que restringe el nmero de conexiones creadas para una nica regla durante el segundo actual, no se crearn ms conexiones para el trfico que no
tenga una conexin asociada, se perdern los paquetes e Forefront TMG generar un evento que puede desencadenar una alerta de "Lmite de conexiones excedido
para una regla". Cuando termina el segundo actual, se vuelve a configurar el contador y se pueden crear nuevas sesiones durante el siguiente segundo hasta que se
vuelva a alcanzar el lmite.

Solo se cuentan los intentos de conexin permitidos por la directiva de firewall para los lmites de conexin descritos anteriormente. Forefront TMG mantiene un
contador independiente para los intentos de conexin que son denegados por la directiva de firewall, para cada direccin IP de origen. Cuando se excede el nmero de
paquetes TCP y no TCP denegados desde una nica direccin IP en un minuto, se genera un evento que puede desencadenar una alerta de "Lmite de conexiones
denegadas por minuto desde una direccin IP superado". Una vez que termina el minuto actual, se vuelve a configurar el contador y el evento se vuelve a generar
cuando se alcanza el lmite de nuevo. Con todo, de manera predeterminada, la alerta no se vuelve a emitir hasta que se vuelve a configurar.

Se pueden configurar ms lmites de conexiones para el trfico controlado por el filtro de proxy web en las propiedades de cada escucha de web y en las propiedades
del proxy web de cada red desde la que se pueden enviar solicitudes web salientes.

Si se especifica un lmite de conexiones en una escucha de web, se limita el nmero de conexiones permitidas con los sitios web publicados mediante la escucha de
web determinada. Las escuchas de web se usan en las reglas de publicacin de web; una escucha de web se puede usar en varias reglas.

Si se especifica un lmite de conexiones en las propiedades del proxy web de una red concreta, se limite el nmero de conexiones web salientes simultneas que se
admiten desde la red del puerto 80 en un momento dado.

Adems de la mitigacin de ataques "flood" de congestin del servidor y de propagacin de gusanos, tambin se puede limitar el nmero de conexiones de proxy web
simultneas que se admiten con el servidor Forefront TMG para controlar la asignacin de los recursos del sistema. Esta caracterstica es particularmente til a la hora
de publicar servidores web. Mediante los lmites de conexiones, puede limitar el nmero de equipos que se conectan, mientras permite a clientes especficos que sigan
estableciendo conexin, aunque se haya sobrepasado el lmite.
Planeacin para proteger frente a las amenazas a travs de Internet
Los siguientes temas estn diseados para ayudarle a planear cmo usar Forefront TMG para proteger a su organizacin de malware y otras amenazas basadas en web:

Planeacin para proteger frente a contenido web malintencionado

Planeacin del filtrado de URL

Planeacin para el filtrado HTTP

Planeacin para la inspeccin de HTTPS
Planeacin para proteger frente a contenido web malintencionado
El trfico web puede contener cdigo malintencionado, como gusanos, virus y spyware. Forefront TMG usa las definiciones de virus conocidos, gusanos y otro cdigo
malintencionado, que descarga de Microsoft Update o Windows Server Update Services (WSUS), para la inspeccin de malware. El Filtro de inspeccin de malware de
Forefront TMG examina el trfico web saliente y limpia el contenido HTTP daino o lo bloquea para que no entre en la red interna.
Nota:
La inspeccin de salida hace referencia a las solicitudes HTTP que se originan en clientes ubicados en redes protegidas por Forefront TMG.
Al examinar el contenido almacenado, si el anlisis determina que el archivo est daado, el contenido evita la deteccin y se puede abrir mediante programas de
almacenamiento como WinZip.
En las siguientes secciones se proporciona informacin para ayudarle a planear la inspeccin de malware en su organizacin:

Consideraciones de implementacin

Nivel de amenaza

Mtodos de entrega de contenido
Al planear la implementacin de inspeccin de malware en su organizacin, tenga en cuenta lo siguiente:

La inspeccin de malware se basa en suscripciones y forma parte de la licencia del servicio de seguridad web de Forefront TMG. Para obtener informacin sobre las
licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).

Microsoft Update o WSUS, y que la instalacin automtica de las firmas ms recientes est habilitada. Para obtener ms informacin, vea Planeacin de las
actualizaciones de definiciones de proteccin.

El servidor de Forefront TMG y el equipo cliente realizan una deteccin de tipo. Si la identificacin del servidor del tipo de contenido de un archivo difiere de la
identificacin del cliente del mismo archivo, el servidor no puede implementar los mecanismos de proteccin en ese archivo para este cliente. Para evitar este riesgo,
asegrese de que se apliquen todas las revisiones en el servidor y los equipos cliente de Forefront TMG de modo que la deteccin de tipo coincida entre ellos.

De forma predeterminada, Forefront TMG acumula y almacena temporalmente los archivos para la inspeccin de malware en la carpeta %SystemRoot%\Temp.
Tenga en cuenta que al descargar un gran nmero de archivos mayores de 64 KB, el rendimiento puede verse afectado. Si anticipa un gran nmero de grandes
descargas en su organizacin, se recomienda que coloque la carpeta ScanStorage en un disco fsico independiente. Para obtener ms informacin, vea Configurar la
ubicacin de almacenamiento de la inspeccin de malware.

63

Puede que desee excluir sitios web seleccionados de la inspeccin de malware por razones concretas:

Excluyendo orgenes: la razn principal para excluir orgenes de la inspeccin de malware es evitar examinar contenido ms de una vez, lo cual afecta al rendimiento
y resulta problemtico en algunos escenarios. Un escenario tpico es cuando se examina el contenido en busca de malware por parte de un proxy que sigue en la
cadena. En ese caso, debera configurar el proxy que precede en la cadena para excluir de la deteccin a todas las solicitudes que proceden del proxy posterior.

Excluyendo destinos: los dos motivos principales para excluir destinos de la inspeccin de malware son mejorar el rendimiento mediante la exclusin de sitios de
confianza, archivos grandes o sitios que tardan mucho tiempo en descargarse, y resolver los problemas de compatibilidad.
Para obtener ms informacin, vea Definir las exenciones a la inspeccin de malware.

La inspeccin de malware puede deshabilitarse de forma general, con fines de solucin de problemas, o cuando el mecanismo de inspeccin de malware de otro
desarrollador. Por ejemplo, puede deshabilitar la inspeccin de malware para determinar si el hecho de deshabilitar la inspeccin de malware mejora el rendimiento.
Nivel de amenaza
En la siguiente tabla se muestra en una lista las categoras que pueden estar asignadas a las amenazas que se detectan durante la inspeccin de malware y la accin llevada
para cada categora cuando la inspeccin de malware est habilitada. Para obtener informacin acerca de la configuracin, vea Configurar las opciones de inspeccin de
malware.
Categora de
amenaza Descripcin Accin
Amenaza de
severidad baja
El software potencialmente no deseado que podra recopilar informacin acerca de usted o de su equipo, o cambiar la
manera en la que funciona su equipo, pero est funcionando de acuerdo con las condiciones de licencia mostradas al
instalar el software.
Configurable por el
administrador de
Forefront TMG.
Valor predeterminado:
permitir
Amenaza de
severidad
media
Programas que podran afectar a su privacidad o realizar cambios en su equipo que podran afectar negativamente a su
experiencia de computacin, por ejemplo, recopilando datos personales o cambiando la configuracin.
Configurable por el
administrador de
Forefront TMG.
permitir
Amenaza de
alta
sensibilidad
Programas que podran recopilar sus datos personales y afectar negativamente a su privacidad o daar su equipo, por
ejemplo, recopilando informacin o cambiando la configuracin, normalmente sin su conocimiento o consentimiento.
Configurable por el
administrador de
Forefront TMG.
bloquear
Archivos
infectados
Tradicionalmente, los archivos infectados hacen referencia a los archivos infectados por un virus. Los virus insertan o
agregan su cdigo a un archivo para permitir que se expanda el virus. Sin embargo, los archivos infectados se pueden
describir ms ampliamente que cualquier archivo notificado como malware o software potencialmente no deseado.
Bloquear
Archivos
sospechosos
Los archivos sospechosos pueden mostrar una o ms caractersticas o comportamientos asociados a malware conocido.
Los archivos notificados como sospechosos se detectan a menudo de forma proactiva y es posible que nuestros
analistas no los hayan visto anteriormente. Los archivos detectados como sospechosos se ponen en cuarentena y se les
puede solicitar a los usuarios que nos enven estos archivos para un anlisis ms extenso, de manera que se pueda
agregar una deteccin concreta si es necesario.
Configurable por el
administrador de
Forefront TMG.
bloquear
Archivos
daados
Los archivos daados son aquellos que se han modificado de alguna manera y puede que ya no funcionen de la manera
pensada.
Configurable por el
administrador de
Forefront TMG.
permitir
Archivos
cifrados
Los archivos cifrados son aquellos que se han transformado usando el cifrado en un formato ilegible para fines de
confidencialidad. Una vez cifrados, no se pueden interpretar dichos datos (por humanos o equipos) hasta que se
descifren. El malware puede usar el cifrado para obstruir su cdigo (hacer su cdigo ilegible), esperando as
obstaculizar su deteccin y eliminacin del equipo afectado.
Configurable por el
administrador de
Forefront TMG.
bloquear
Mtodos de entrega de contenido
Dado que la inspeccin de malware puede producir retrasos en la entrega de contenido del servidor al cliente, Forefront TMG permite dar forma a la experiencia del usuario
mientras se examina el contenido web en busca de malware mediante la seleccin de uno de los siguientes mtodos de entrega para el contenido examinado:

Generacin: Forefront TMG enva partes del contenido al usuario a medida que se inspeccionan los archivos. Este proceso ayuda a evitar que la aplicacin cliente
alcance el lmite de tiempo de espera antes de que se descargue e inspeccione todo el contenido.

Notificacin de progreso: Forefront TMG enva una pgina HTML al equipo cliente para informar al usuario de que se est inspeccionando el contenido solicitado e
indicar el progreso de descarga e inspeccin. Una vez que han finalizado la descarga y la inspeccin del contenido, se informa al usuario de que el contenido est listo
y se muestra un botn para descargarlo.
Para obtener ms informacin, vea Configurar la entrega del contenido de inspeccin de malware.

64
Planeacin del filtrado de URL
El filtrado de direcciones URL de Forefront TMG permite aplicar una directiva de exploracin en toda la organizacin bloqueando el acceso a los sitios web
relacionados con la productividad, la responsabilidad y la seguridad, en funcin de las categoras de direcciones URL predefinidas.
Este tema est diseado para ayudarle a planear el filtrado de direcciones URL, de la siguiente manera:

Acerca del filtrado de direcciones URL

Ventajas de aplicar el filtrado de direcciones URL

Acerca de las categoras de direcciones URL
Acerca del filtrado de direcciones URL
El filtrado de direcciones URL identifica determinados tipos de sitios web, como los sitios malintencionados conocidos y los sitios que muestran material pornogrfico o
inadecuado, y permite o bloquea el acceso a los sitios en funcin de las categoras de direcciones URL predefinidas. El servicio de reputacin de Microsoft (MRS) determina
la categorizacin predeterminada de un sitio web concreto y el administrador del sistema de Forefront TMG la puede editar. Cuando se recibe una solicitud para tener acceso
a un sitio web, Forefront TMG consulta MRS para determinar la categorizacin del sitio web. Si el sitio web se ha categorizado como una categora o un conjunto de
categoras de direcciones URL bloqueadas, Forefront TMG bloquea la solicitud.
Cuando los usuarios solicitan acceso a un sitio web al que se bloquea el acceso, reciben una notificacin de denegacin que incluye la categora de solicitud denegada. En
algunos casos, los usuarios pueden ponerse en contacto con el administrador para cuestionar la categorizacin del sitio web. En ese caso, puede comprobar si la direccin
URL se categoriz correctamente. Si el sitio web no se categoriz correctamente, puede crear una configuracin personalizada para esta direccin URL. Para obtener
informacin, vea Introduccin a la administracin del filtrado de URL.
El filtrado de URL est basado en la suscripcin y forma parte de la licencia de Forefront TMG Web Security Service. Para obtener informacin sobre las licencias, vea
How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).
Ventajas de aplicar el filtrado de direcciones URL
Entre las ventajas de aplicar el filtrado de direcciones URL se incluyen:

La mejora de su seguridad al evitar el acceso a sitios malintencionados, como sitios de suplantacin de identidad (phishing).

La disminucin de riesgos en la seguridad al evitar el acceso a sitios que muestran materiales inadecuados, como sitios que incitan al odio, actividades penales o
pornogrficos.

La mejora de la productividad de su organizacin, al evitar el acceso a sitios improductivos, como juegos o mensajera instantnea.

El uso de entradas de registro e informes relacionados con el filtrado de direcciones URL acerca del uso de sitios web en su organizacin, como cules son las
categoras de direcciones URL ms examinadas.

La exclusin de la inspeccin de los mecanismos de inspeccin de malware y HTTPS, como la exclusin de los sitios financieros de la inspeccin de HTTPS por
razones de privacidad.
Acerca de las categoras de direcciones URL
Forefront TMG incluye ms de 70 categoras de direcciones URL. Una categora de direccin URL es una coleccin de direcciones URL que coinciden con un criterio
predefinido, como contenido malintencionado, servidores proxy annimos o medicamentos ilegales. Las categoras se agrupan por conjuntos de categoras, que se pueden
usar para simplificar la configuracin de las directivas de Forefront TMG.
Forefront TMG usa y se beneficia de MRS, un sistema de categorizacin de objetos basado en nube hospedado en centros de datos de Microsoft, para categorizar las
direcciones URL que los usuarios solicitan. MRS est diseado para proporcionar contenido completo de reputacin para habilitar escenarios de confianza principales para
las soluciones Microsoft, y mantiene una base de datos con decenas de millones de direcciones URL nicas y sus respectivas categoras.
Invalidar la categorizacin de direcciones URL
Puede invalidar la categorizacin de URL predeterminada de una direccin IP o URL. Con esta finalidad se crea una invalidacin de categoras de URL, que permite
especificar una categora de URL diferente para esa direccin. Las invalidaciones de categoras de URL se pueden crear para cada matriz por separado o se pueden aplicar a
todas las matrices de una empresa.
Nota:
El cambio de categorizacin de direcciones URL en el nivel de empresa es una nueva caracterstica de Forefront TMG 2010 SP1.
Si una direccin IP o URL se invalida para distintas categoras en los niveles de empresa y matriz, tiene prioridad la invalidacin de direcciones URL en el nivel de matriz.
Para obtener informacin, vea Invalidar la categorizacin de direcciones URL.
Puede informar de los problemas de clasificacin a Microsoft, aumentando as la probabilidad de que MRS trate las lagunas de cobertura y exactitud especficas de su
organizacin. Para obtener informacin, vea Comentarios e informes de errores de Microsoft Reputation Services (http://go.microsoft.com/fwlink/?LinkId=178581).
Este tema est diseado para ayudarle a planear el filtrado HTTP, que le permite protegerse frente a amenazas de exploracin de la Web mediante la inspeccin del
contenido que se transfiere a travs de Forefront TMG.
Nota:
En este tema tambin se proporciona una descripcin de los valores necesarios para configurar encabezados y bloqueo de URL en una directiva de HTTP para una

65
regla. Vea Informacin general sobre la configuracin de filtrado HTTP a continuacin.
Forefront TMG proporciona un control detallado y preciso del trfico HTTP en forma de filtro HTTP. El filtro de la capa de aplicacin HTTP examina los comandos y los
datos HTTP que pasan por el equipo de Forefront TMG, admitiendo solo el paso de las solicitudes que cumplan los requisitos. Al asegurarse de que los servidores solo
responden a solicitudes vlidas, la seguridad de sus servidores web se ve mejorada de manera significativa y puede controlar el acceso a Internet del cliente.
El filtrado HTTP se puede aplicar en los siguientes entornos:

Cuando los clientes internos tienen acceso a objetos HTTP (grficos y pginas HTML, u otros datos que se pueden transferir con el protocolo HTTP) en otra red
(normalmente Internet) a travs del equipo de Forefront TMG, el acceso se controla mediante las reglas de acceso de Forefront TMG. Se puede aplicar una directiva
HTTP a cada regla de acceso con el filtro HTTP.

Cuando los clientes externos tienen acceso a objetos HTTP en un servidor web que se publica a travs del servidor de Forefront TMG, las reglas de publicacin web
de Forefront TMG controlan el acceso. Una directiva HTTP puede aplicarse a cada regla de publicacin de web con el filtro HTTP.
El filtrado HTTP es especfico de una regla, por lo que se pueden definir distintos criterios para cada regla. Por ejemplo, se puede usar el filtrado HTTP para bloquear
el uso de un servicio de uso compartido de archivos de punto a punto para un conjunto de usuarios, y permitir este mismo servicio para otro conjunto. Si el contenido
est bloqueado por un filtro HTTP en una regla, los usuarios reciben un error de proxy 502 con el mensaje "El cambio fue rechazado por el filtro HTTP".
La configuracin de una directiva de filtrado HTTP para una regla requiere:

El establecimiento de un nmero mximo de bytes para un encabezado, carga , direccin URL o consulta, as como el bloqueo de solicitudes con direcciones URL
que contienen caracteres concretos. Vea Informacin general sobre la configuracin de filtrado HTTP para obtener una descripcin de algunos de los valores
necesarios para configurar encabezados y bloqueo de direcciones URL en una directiva de HTTP.

El bloqueo de mtodos HTTP concretos (verbos). Los mtodos HTTP (tambin denominados verbos HTTP) son instrucciones enviadas en un mensaje de solicitud
que notifica a un servidor HTTP la accin que debe realizar en el recurso especificado. Un ejemplo de esto sera bloquear POST, de manera que los clientes internos
no puedan publicar datos en una pgina web externa. Este mtodo es til en un entorno de red segura para impedir la publicacin de informacin confidencial en un
sitio web. Tambin puede resultar til en la publicacin web, para evitar que usuarios malintencionados publiquen material malintencionado en su sitio web.

Bloquear extensiones concretas: puede permitir todas las extensiones o solo algunas concretas. Para una configuracin segura, se recomienda que solo permita
extensiones seleccionadas. Por ejemplo, si va a publicar un sitio web, el diseador web o el administrador del servidor web pueden definir una lista de extensiones
necesarias para la funcionalidad del sitio. El bloqueo de archivos ejecutables (.exe) es un uso tpico de este mtodo.

El bloqueo de encabezados HTTP concretos.

El bloqueo de firmas concretas en los encabezados o cuerpo.
Informacin general sobre la configuracin de filtrado HTTP
En la siguiente tabla se proporciona informacin acerca de la configuracin ms compleja necesaria para configurar encabezados y bloqueo de direcciones URL en una
directiva HTTP para una regla.
Configuracin Descripcin
Longitud mxima
de encabezados
(bytes)
Esta configuracin se aplica a todas las reglas; si la cambia en una regla, se cambiar en todas ellas. Al reducir el tamao de encabezado
permitido, se reduce el riesgo de ataques que requieren encabezados complejos y largos, como los ataques de desbordamiento del bfer y
algunos ataques de denegacin de servicio. Sin embargo, el establecimiento de la longitud mxima del encabezado en un valor demasiado bajo,
podra afectar a determinadas aplicaciones legtimas que usan encabezados largos. Se recomienda empezar con un lmite de 10.000 bytes y
aumentarlo solo en caso de que se bloqueen las aplicaciones necesarias.
Permitir cualquier
longitud de carga
Al limitar la carga de las solicitudes, puede restringir la cantidad de datos que puede PUBLICAR un usuario en su sitio web en un entorno de
publicacin de web. Para determinar el lmite que debe establecer, calcule el tamao mximo de un archivo legtimo para su sitio y utilice
dicho tamao como longitud de carga permitida. De esta forma, se asume que cualquier PUBLICACIN con un tamao mayor que el lmite
definido es un ataque potencial.
Longitud mxima
de consulta (bytes)
Una consulta es la parte de la direccin URL que sigue al signo de interrogacin (?). Es aconsejable limitar la longitud de la consulta si se
conoce un ataque basado en un cadena de consulta larga. De forma predeterminada, la longitud mxima de la consulta se establece en 10240.
Las direcciones URL y las consultas largas constituyen un vector de ataque conocido para los gusanos de Internet. Estos gusanos envan una
solicitud GET larga y utilizan la direccin URL para integrar su carga.
Comprobar
normalizacin
Los servidores web reciben solicitudes de direccin URL codificada. Esto significa que algunos caracteres pueden ser reemplazados por un
signo de porcentaje (%) seguido de un nmero. Por ejemplo, %20 corresponde a un espacio, de modo que una solicitud
http://myserver/My%20Dir/My%20File.htm es igual que una solicitud http://myserver/My Dir/My File.htm. La normalizacin es el proceso de
descodificacin de solicitudes de direccin URL codificada. Dado que el signo % puede estar codificado, un atacante puede enviar una
solicitud cuidadosamente diseada a un servidor que, bsicamente, tenga una doble codificacin. Si sucede esto, es posible que el servidor web
acepte una solicitud que, de otra manera, rechazara como no vlida. Al seleccionar Comprobar normalizacin, el filtro HTTP normaliza la
direccin URL dos veces. Si, tras la segunda normalizacin, la direccin URL es diferente de la direccin URL de la primera normalizacin, el
filtro rechaza la solicitud. De esta forma, se evitan ataques basados en solicitudes con doble codificacin.
Bloquear caracteres
ASCII de 8 bits
Normalmente, son caracteres de idiomas que requieren ms de 8 bits para representar los caracteres del idioma y, por lo tanto, utilizan 16 bits.
Por ejemplo, las direcciones URL que contengan un juego de caracteres de doble byte (DBCS) o caracteres Latin 1 se bloquearn. Aunque esto
puede ayudar a bloquear algunos ataques, tambin puede bloquear solicitudes y respuestas que contengan caracteres desde uno de varios
idiomas que requieren caracteres ASCII de 8 bits. La funcin Bloquear caracteres ASCII de 8 bits puede afectar a entornos como la publicacin
de Outlook Web Access, la publicacin de Microsoft Windows SharePoint Portal Server y cualquier entorno en que una solicitud GET
transfiera un parmetro que incluya un carcter de un juego de caracteres de doble byte.
Encabezado de va Los encabezados de va permiten a los servidores proxy de la ruta de acceso de una solicitud asegurarse de que se incluyen tambin en la ruta
de acceso de la respuesta. Cada servidor de la ruta de acceso de la solicitud puede agregar su propio encabezado de va. Cada remitente de la
ruta de acceso de la respuesta quita su propio encabezado de va y enva la respuesta al servidor especificado en el prximo encabezado de va
de la pila. Por ejemplo, puede usar esta caracterstica para evitar la revelacin del nombre de servidor de Forefront TMG en una respuesta.

66
Puede usar Forefront TMG para inspeccionar el trfico HTTPS y proteger una organizacin de riesgos de seguridad como:

Los virus y otro contenido malintencionado que podran usar los tneles de Capa de sockets seguros (SSL) para infiltrarse en una organizacin sin ser detectados.

Los usuarios que omiten la directiva de acceso de la organizacin con aplicaciones de tnel a travs de un canal seguro (por ejemplo, aplicaciones punto a punto).
Nota:
Trfico saliente hace referencia al trfico que se origina de los equipos cliente en las redes protegidas por Forefront TMG.
Aunque pueda habilitar el trfico HTTPS saliente sin inspeccin, no se recomienda.
En las siguientes secciones se proporciona informacin para ayudarle a planear la inspeccin de HTTPS:

Cmo funciona la inspeccin de HTTPS

Consideraciones para habilitar la inspeccin de HTTPS

Acerca de la validacin de certificado en la inspeccin de HTTPS

Problemas de privacidad
Cmo funciona la inspeccin de HTTPS
Para proporcionar proteccin frente al trfico HTTPS, Forefront TMG acta de intermediario entre el equipo cliente que inicia la conexin HTTPS y el sitio web seguro.
Cuando un equipo cliente inicia una conexin con un sitio web seguro, Forefront TMG intercepta la solicitud y hace lo siguiente:
1. Establece una conexin segura (un tnel SSL) al sitio web solicitado y valida el certificado del servidor del sitio.
2. Copia los detalles del certificado del sitio web, crea un nuevo certificado SSL con esos detalles y lo firma con un certificado de entidad de certificacin denominado el
certificado de inspeccin de HTTPS.
3. Presenta el nuevo certificado al equipo cliente y establece un tnel SSL independiente con l.
Dado que el certificado de inspeccin de HTTPS se coloc anteriormente en el almacn de certificados de las entidades de certificacin raz de confianza del equipo
cliente, el equipo confa en cualquier certificado que est firmado por este certificado. Al cortar la conexin y crear dos tneles seguros, el servidor de Forefront TMG
puede descifrar e inspeccionar toda la comunicacin entre el equipo cliente y el sitio web seguro durante esta sesin.
Nota:
La fuerza del tnel entre el cliente y Forefront TMG no puede ser igual que la del tnel entre Forefront TMG y el servidor HTTPS de destino.
Consideraciones para habilitar la inspeccin de HTTPS
Al habilitar la inspeccin de HTTPS, tenga en cuenta lo siguiente:

Para inspeccionar el trfico HTTPS, debe haber un certificado de una entidad de certificacin (CA) en el servidor Forefront TMG, que se debe implementar adems
en todos los equipos cliente. Puede obtener el certificado de una de estas dos maneras:

Generar un certificado autofirmado en el servidor de Forefront TMG.

Importar un certificado emitido por una entidad de certificacin raz de su organizacin o por una entidad de certificacin pblica de confianza, es decir, creado por
una entidad externa como VeriSign. El certificado debe ser un archivo de intercambio de informacin personal (.pfx), y debe ser de confianza para el servidor de
Forefront TMG.

En implementaciones de varias matrices, el certificado de inspeccin de HTTPS se genera o se importa para cada una de las matrices.

SSL de validacin extendida (EV) no est admitido con la inspeccin de HTTPS. Cuando Forefront TMG realiza la inspeccin de HTTPS en un sitio que usa un
certificado SSL de EV, la visibilidad de EV que se ofrece en algunos exploradores web, como Internet Explorer 7, que hace que la barra de direccin URL cambie a
color verde, no se mostrar en los exploradores de los usuarios. Para mantener la visibilidad de EV de un sitio, debe excluirlo de la inspeccin de HTTPS.

La inspeccin de HTTPS es incompatible con las conexiones a los servidores SSTP externos y los servidores que requieran autenticacin de certificado del cliente. Si
se conoce la existencia de dicho servidor, se recomienda que lo excluya de la inspeccin de HTTPS.

Para implementar el certificado de la entidad de certificacin raz de confianza de la inspeccin de HTTPS en los equipos cliente mediante Active Directory, Forefront
TMG se debe implementar en un entorno de dominio.

La inspeccin de HTTPS no admite certificados autofirmados. Si necesita permitir el acceso a sitios que usen certificados autofirmados, se recomienda que los
excluya de la inspeccin de HTTPS. Para obtener ms informacin, vea Excluir orgenes y destinos de la inspeccin de HTTPS.

Por ejemplo, si implementa la proteccin de correo electrnico con Microsoft Forefront Protection 2010 for Exchange Server, para habilitar la descarga de
actualizaciones de definiciones de Cloudmark Antispam Engine, excluya el sitio de descarga de Cloudmark de la inspeccin de HTTPS, porque usa un certificado
autofirmado.
Nota:
Para obtener informacin acerca de cmo excluir sitios de la inspeccin de HTTPS, vea Excluir orgenes y destinos de la inspeccin de HTTPS.
Acerca de la validacin de certificado en la inspeccin de HTTPS
En la siguiente tabla se resume la validacin del certificado que Forefront TMG realiza cuando la inspeccin de HTTPS est habilitada. Para los sitios que se excluyen de la
inspeccin de HTTPS, puede seleccionar excluir con o sin validacin al configurar excepciones de destino. Para obtener informacin acerca de cmo excluir sitios de la
inspeccin de HTTPS, vea Excluir orgenes y destinos de la inspeccin de HTTPS.

67
Tipo de validacin
Trfico
inspeccionado
Sitios que se excluyen de la inspeccin de HTTPS con
validacin de certificado
Sitios que se excluyen de la inspeccin de HTTPS sin
validacin de certificado
Elegible para autenticacin
de servidor
S S S
Expiracin, revocacin S No No
Los nombres no coinciden,
confianza
S S No
Consideraciones sobre la revocacin de certificados en la inspeccin de HTTPS de Forefront TMG
Tenga en cuenta los siguientes problemas con respecto a la revocacin de certificados:

Dado que Forefront TMG almacena en cach los certificados, si un certificado necesita ser revocado, se revocar una vez que expire el tiempo de espera de
almacenamiento en cach.

Si Forefront TMG no puede conectarse con el servicio de lista de revocacin de certificados (CRL) y, por tanto, no puede comprobar la revocacin, trata el certificado
como vlido.
Problemas de privacidad
Dado que el usuario del equipo cliente no es consciente de que Forefront TMG est interrumpiendo la conexin e inspeccionando el trfico, por motivos legales y de
privacidad, podra ser conveniente lo siguiente:

Notifique a los clientes que se est inspeccionando su trfico de HTTPS. Estas acciones se pueden realizar para los equipos cliente que ejecutan el cliente de Forefront
TMG. Para obtener ms informacin, vea Notificar a los usuarios que se est inspeccionando el trfico HTTPS.

Excluya de la inspeccin categoras de direcciones URL o direcciones URL concretas, como los sitios de mantenimiento y financieros. Para obtener ms informacin,
vea Excluir orgenes y destinos de la inspeccin de HTTPS.
Planeacin de la proteccin frente a amenazas de correo electrnico
Este tema est diseado para ayudarle a planear el uso de Forefront TMG para proteger la red contra el correo no deseado y los virus que tienen acceso a su organizacin a
travs del correo electrnico. Forefront TMG inspecciona el trfico del correo en ruta hacia los servidores SMTP (Protocolo simple de transferencia de correo), antes de que
el correo llegue a los buzones de los usuarios.

Usar las tecnologas de proteccin de correo de Microsoft

Proteccin superpuesta

Beneficio de crear una directiva de correo electrnico con Forefront TMG


Pasos siguientes
Usar las tecnologas de proteccin de correo de Microsoft
Forefront TMG se beneficia de las capacidades del rol de servidor de transporte perimetral de Exchange y Forefront Protection 2010 for Exchange Server (FPES) para
ofrecer la retransmisin del correo y la proteccin contra el correo no deseado y los virus. Estas dos tecnologas incluyen una variedad de caractersticas de proteccin contra
correo electrnico no deseado y antivirus que estn diseadas para funcionar de manera acumulativa, para reducir el correo electrnico no deseado que entra y sale de su
organizacin.
Al implementar la caracterstica de proteccin de correo electrnico de Forefront TMG, se instalan Exchange Edge y FPES en el equipo de Forefront TMG. Mientras que
estos productos se pueden instalar de manera independiente en equipos distintos, su instalacin en Forefront TMG y la implementacin de la caracterstica de proteccin de
correo electrnico proporcionan varias ventajas, que se describen en Beneficio de crear una directiva de correo electrnico con Forefront TMG.
Proteccin superpuesta
Dado que los spammers o remitentes malintencionados usan varias tcnicas, Forefront TMG implementa un enfoque superpuesto y de varias facetas para reducir los virus y
el correo no deseado. El enfoque superpuesto para reducir el correo no deseado hace referencia a la configuracin de varias caractersticas antivirus y de proteccin contra
correo electrnico no deseado que filtran mensajes de entrada en un orden concreto. Cada caracterstica filtra una caracterstica o un conjunto de caractersticas relacionadas
en el mensaje entrante.
Beneficio de crear una directiva de correo electrnico con Forefront TMG
Hay varias ventajas al implementar la proteccin de correo electrnico con Forefront TMG:

Proteccin en el permetro: la caracterstica de proteccin de correo electrnico de Forefront TMG inspecciona el trfico del correo en el permetro (el punto de
entrada en las redes bsicas de una empresa), en contraposicin a examinar mensajes en busca de virus y otro malware ms all a lo largo de la ruta de acceso del flujo
de correo, ahorrando as recursos de procesamiento, ancho de banda y almacenamiento.

Administracin integrada: al crear una directiva de correo electrnico mediante Forefront TMG, configura los valores en la consola de administracin de Forefront
TMG y, a continuacin, Forefront TMG aplica su configuracin a Exchange Edge y FPES. Al usar esta solucin de administracin integrada, no es necesario abrir las
consolas de administracin de Exchange Edge o FPES (de hecho, no debera abrirlas excepto para requisitos de solucin de problemas). Por consiguiente, la
implementacin de proteccin de correo electrnico no requiere experiencia en Exchange Edge y FPES.

68

Administracin extendida: Forefront TMG permite implementar varios servidores en una matriz y administrar dichos servidores en una interfaz nica. Esto es as para
la caracterstica de proteccin de correo electrnico, que es una ventaja no disponible para otras implementaciones de Exchange y FPES. Al configurar una directiva
de correo electrnico con Forefront TMG, los valores de configuracin se almacenan para la matriz completa. La configuracin de la directiva de correo electrnico se
realiza solo una vez, tras la cual todos los miembros de la matriz reciben la configuracin al sincronizar con el almacenamiento de la configuracin.

Compatibilidad nativa para el equilibrio de carga en la red (NLB): con NLB y una direccin IP virtual, puede implementar ms servidores de Forefront TMG en un
punto nico de entrada, procesando as ms trfico de correo. De modo similar, al implementar varios servidores de Forefront TMG, cada uno de los cuales ejecuta
Exchange Edge y FPES, puede mantener con mayor facilidad un servicio de entrega de correo de alta disponibilidad y proteccin para su organizacin.
Cuando planee implementar la proteccin de correo electrnico en su organizacin, tenga en cuenta lo siguiente:

Compile la siguiente informacin antes de implementar la proteccin de correo electrnico:

La direccin IP externa que su organizacin usa para el correo entrante.
Nota:
Se debe registrar un registro de recursos de intercambiador de correo (MX) para su dominio en servidores DNS de Internet, y el registro MX debe sealar a la
direccin IP externa de Forefront TMG.

La lista de servidores SMTP internos, con sus direcciones IP.
Nota:
Si tiene una organizacin de correo de Microsoft Exchange, sus servidores SMTP internos son los servidores de transporte de concentradores.

Microsoft Update o Windows Server Update Services (WSUS), y que se ha habilitado la instalacin automtica de las firmas ms recientes. Para obtener ms

Una vez completada la instalacin, se recomienda que realice una copia de seguridad de la configuracin y almacene el archivo de copia de seguridad en una
ubicacin segura. Puede serle til para solucionar problemas de proteccin de correo electrnico en el futuro y, si es necesario revertir a la configuracin original.
Debera hacerlo para cada miembro de la matriz.

Si implementa la proteccin de correo electrnico con Microsoft Forefront Protection 2010 for Exchange Server y se habilita la caracterstica de inspeccin de HTTPS
de Forefront TMG, debe habilitar la descarga de actualizaciones de las definiciones de Cloudmark Antispam Engine al servidor de Forefront TMG. Debido a que el
sitio de descarga de Cloudmark utiliza un certificado autofirmado y la inspeccin de HTTPS de Forefront TMG no admite la inspeccin de certificados autofirmados,
debe excluir el sitio de la inspeccin de HTTPS. Para obtener ms informacin, vea Excluir orgenes y destinos de la inspeccin de HTTPS.
Pasos siguientes
Al implementar la proteccin de correo electrnico se requiere la instalacin del rol Transporte de Exchange Edge y FPES, as como sus requisitos previos asociados. Se
recomienda la instalacin de estos programas antes de instalar Forefront TMG. Lea Instalar los requisitos previos para la proteccin de correo electrnico para obtener
instrucciones de instalacin.
Planeacin de las actualizaciones de definiciones de proteccin
Algunos mecanismos de proteccin de Forefront TMG usan actualizaciones de productos Microsoft para mantener las definiciones de proteccin constantemente
actualizadas. Entre ellas se incluyen:

Antivirus de correo electrnico y proteccin contra correo no deseado. Para obtener ms informacin, vea Planeacin de la proteccin frente a amenazas de correo
electrnico.

Inspeccin de cdigo malintencionado. Para obtener ms informacin, vea Planeacin para proteger frente a contenido web malintencionado.

Sistema de inspeccin de red (NIS). Para obtener ms informacin, vea Planeacin de la proteccin frente a vulnerabilidades conocidas.
Microsoft Update proporciona los archivos de definicin actualizados y estn sujetos a licencias. Para obtener informacin sobre las licencias, vea How to Buy
Puede seleccionar actualizar archivos de definicin mediante cualquiera de los mtodos siguientes:

Microsoft Update: las actualizaciones que se publican a travs de Microsoft Update se instalan en el equipo de Forefront TMG.

Windows Server Update Services (WSUS): para las matrices de Forefront TMG, puede implementar WSUS en la red en la que se implemente Forefront TMG. Un
solo servidor descarga las actualizaciones que se publican a travs de Microsoft Update y distribuye las actualizaciones a todos los equipos con Forefront TMG de la
red. Este es el mtodo de actualizacin recomendado para las matrices de Forefront TMG, ya que, adems de posibilitar la administracin centralizada, ahorra tiempo
y ancho de banda de red. Para obtener ms informacin, vea Introduccin a Microsoft Windows Server Update Services 3.0
Nota:
Puede seleccionar usar Microsoft Update si se produce un error en la actualizacin desde WSUS.
Si va a unir un servidor de Forefront TMG de produccin a una matriz, descargue las actualizaciones en el servidor antes de unirlo a la matriz.

69
Gua de planeacin de administracin para Forefront TMG
La gua de planeacin de administracin de Forefront TMG est diseada para ayudarle a administrar su implementacin de Forefront TMG, una vez instalado y
configurado.
Identificar y asignar sus objetivos de administracin
La siguiente tabla est diseada para ayudarle a identificar sus objetivos de administracin de Forefront TMG y asignarlos a las tareas de Forefront TMG relevantes.
Objetivo de administracin Para obtener informacin, vea
Supervise las actividades y el rendimiento de Forefront TMG.
Reciba las alertas de eventos en tiempo de ejecucin, las alertas del sistema predefinidas y las alertas
personalizadas.
La informacin del registro del trfico procesado por el servicio Firewall de Microsoft y el filtro proxy web.
Genere informes que resuman y analicen la informacin del registro.
Planeacin para supervisin y registro
Preprese para desastres.
Realice copias de seguridad y restaure los ajustes de configuracin de Forefront TMG.
Realice copias de seguridad de los certificados de capa de sockets seguros (SSL).
Planeacin para copia de seguridad y
restauracin
Analice y resuma la informacin del registro. Planeacin para creacin de informes
Planeacin para supervisin y registro
Nota:
En este tema se proporciona informacin general sobre la supervisin y el registro en Forefront TMG. Para obtener informacin detallada y la documentacin ms
actualizada, vea la biblioteca TechNet de Forefront TMG (http://go.microsoft.com/fwlink/?LinkID=131702).
Forefront TMG proporciona las siguientes opciones de supervisin y registro:

Supervise las actividades y el rendimiento de Forefront TMG. Para obtener ms informacin, vea Supervisar la actividad del escritorio digital.

Reciba las alertas de eventos en tiempo de ejecucin, las alertas del sistema predefinidas y las alertas personalizadas. Para obtener ms informacin, vea
Configuracin de alertas.

La informacin del registro del trfico procesado por el servicio Firewall de Microsoft y el filtro proxy web. Para obtener ms informacin, vea Configurar los
registros de Forefront TMG.

Genere informes que resuman y analicen la informacin del registro. Para obtener ms informacin, vea Configurar los informes de Forefront TMG.
Planeacin para copia de seguridad y restauracin
El Forefront TMG incluye una caracterstica de copia de seguridad y restauracin que permite exportar su configuracin a un archivo .xml y, despus, volver a importarla en
Forefront TMG.
En Forefront TMG, a la realizacin de una copia de seguridad se le conoce como exportar y a restaurar como importar. Esta caracterstica de importacin/exportacin es
flexible, en el sentido de que permite exportar en muchos niveles de Forefront TMG. Por ejemplo, se puede exportar (y, posteriormente, importar) toda una directiva de
firewall, una sola regla o un solo objeto de red. Tambin se puede realizar una copia de seguridad de toda una configuracin y restaurarla posteriormente.

Preparacin para desastres

Acerca de la copia de seguridad y restauracin de la configuracin de Forefront TMG

Acerca de cmo realizar una copia de seguridad de los certificados SSL
Preparacin para desastres
Es importante realizar una copia de seguridad de la configuracin tanto para la recuperacin de desastres como para volver a una configuracin anterior si es necesario. Es
recomendable que realice una copia de seguridad de toda la configuracin despus de:

La configuracin inicial del equipo Forefront TMG.

Cualquier modificacin importante como, por ejemplo, el cambio del tamao o la ubicacin de la cach, la modificacin de un directiva de firewall, la configuracin
de reglas del sistema, la creacin de definiciones o reglas de red, y la delegacin de derechos administrativos o la eliminacin de una delegacin de derechos
administrativos.
Si sigue estas directrices, podr restaurar la configuracin a partir de un archivo de copia de seguridad actual en caso de una prdida catastrfica.
Acerca de la copia de seguridad y restauracin de la configuracin de Forefront TMG
Antes de realizar una copia de seguridad de la configuracin o restaurarla, tenga en cuenta lo siguiente:

70

Debe ser Administrador de empresa de Forefront TMG o Auditor de empresa para realizar una copia de seguridad y restaurar la configuracin de nivel de empresa.

Para realizar una copia de seguridad y restaurar informacin confidencial de nivel de empresa, debe ser Administrador de empresa de Forefront TMG.

Debe ser administrador de matriz de Forefront TMG para exportar informacin confidencial de nivel de matriz.

Para mayor seguridad, se recomienda guardar los archivos de copia de seguridad en una particin de disco del sistema de archivos NTFS. Slo los administradores del
equipo Forefront TMG deben tener permisos de lectura en el directorio.

Al exportar una configuracin completa, tambin se exporta la configuracin de los certificados. La configuracin del certificado en el equipo de Forefront TMG
donde importa la configuracin debe coincidir con la configuracin del certificado en el archivo exportado. Si importa en un equipo de Forefront TMG con diferentes
certificados, no se iniciar el servicio Firewall de Microsoft.

Al exportar detalles confidenciales, como contraseas de usuario, se cifra la informacin segura del archivo de copia de seguridad. Se le solicitar que especifique una
contrasea necesaria para abrir el archivo y descifrar la informacin al importar la configuracin. Se recomienda que especifique una contrasea de alta seguridad para
garantizar la proteccin adecuada de la informacin cifrada. Una contrasea se considera segura si proporciona una defensa efectiva contra el acceso no autorizado.
Una contrasea de alta de seguridad no debera contener el nombre de la cuenta de usuario, ni parte del mismo. Debera contener al menos tres de las cuatro categoras
de caracteres siguientes: caracteres en maysculas, caracteres en minsculas, dgitos en base 10 y smbolos del teclado (como !, @ y #).
Lo que se presenta a continuacin describe:

Realizar copias de seguridad de una configuracin

Restaurar una configuracin
Realizar copias de seguridad de una configuracin
Forefront TMG proporciona el Asistente para exportacin para guiarle en el proceso de exportacin de la configuracin de Forefront TMG a un archivo .xml.
Al exportar una configuracin, se exporta toda la informacin general de configuracin. El archivo de copia de seguridad incluye toda la informacin de directivas y todos
los dems datos especficos de la organizacin. Tambin incluye las reglas de acceso, las reglas de publicacin, los elementos de regla, la configuracin de alertas, la
configuracin de la cach y dems propiedades de Forefront TMG como, por ejemplo, las unidades de cach y las claves de certificados SSL (capa de sockets seguros).
Nota:
El proceso de copia de seguridad y restauracin realiza la copia de seguridad y restaura las claves de certificados SSL, lo que indica a Forefront TMG que certifica su
uso. No es lo mismo que realizar la copia de seguridad y la restaurar los certificados ellos mismos. Se recomienda mantener una copia de seguridad de los certificados
SSL, que debera realizar manualmente en una ubicacin segura.
Cuando se crea el archivo de copia de seguridad, adems de exportar toda la informacin general de configuracin, se ofrece la opcin de exportar la configuracin de
permisos de usuarios e informacin confidencial, como las contraseas de usuario. La informacin confidencial incluida en el archivo exportado se cifra usando la
contrasea especificada durante el proceso de exportacin. La informacin confidencial incluye contraseas de credenciales de usuario (por ejemplo, la contrasea que se
usa para iniciar sesin en un equipo que ejecuta Microsoft SQL Server), secretos compartidos de RADIUS (Servicio de usuario de marcado con autenticacin remota) y
claves IPSec (seguridad del protocolo Internet) previamente compartidas. Cuando la informacin confidencial se exporta con el archivo, se solicita la contrasea
especificada durante el proceso de exportacin para abrir y descifrar la informacin segura. Tenga en cuenta que los datos generales de configuracin del archivo de copia de
seguridad exportado no estn cifrados. Los datos de configuracin exportados de Forefront TMG que se encuentran en los archivos de copia de seguridad deben tratarse
como datos confidenciales que tienen el potencial de revelar informacin.
Restaurar una configuracin
Para restaurar la configuracin, se importa el archivo de configuracin de copia de seguridad en el servidor Forefront TMG. Durante el proceso de importacin, la
configuracin guardada en el archivo .xml de copia de seguridad se copia en el servidor Forefront TMG.
El proceso de restauracin reconstruye la mayor parte de la informacin de la configuracin. Cuando se importe el archivo de configuracin .xml, puede seleccionar
sobrescribir la configuracin actual o importar los detalles de configuracin en la configuracin actual. Al restaurar una configuracin, siempre debera seleccionar para
sobrescribir la configuracin existente; esta opcin reemplaza la configuracin existente por la configuracin del archivo de importacin.
Acerca de cmo realizar una copia de seguridad de los certificados SSL
Los certificados SSL se almacenan en el almacenamiento del certificado local del equipo. Puede usar Certutil.exe, un programa de lnea de comandos que se instala como
parte de Servicios de servidor de certificados, para realizar copias de seguridad y restaurar componentes de la entidad de certificacin, como el certificado SSL. Para obtener
informacin acerca de Certutil.exe, vea el artculo acerca de las herramientas para crear, ver y administrar certificados (http://go.microsoft.com/fwlink/?LinkId=152904) and
Certutil (http://go.microsoft.com/fwlink/?LinkId=152902).
Tambin puede realizar una copia de seguridad de los certificados SSL con un complemento de la consola de administracin de Microsoft (MMC) para administrar
certificados. Para obtener informacin, vea el artculo acerca de cmo realizar una copia de seguridad de un certificado de servidor
Planeacin para creacin de informes
Forefront TMG ofrece informes flexibles y personalizables que pueden ayudarle a analizar y resumir la informacin del registro, as como a crear un registro permanente de
los patrones de uso habituales.
Hay tres tipos de informes disponibles:

Informe de una sola ejecucin: proporciona una imagen inmediata de la actividad registrada por Forefront TMG en cualquier perodo especificado.

Trabajo de informe peridico: ofrece una manera de generar informes automticamente diaria, semanal o mensualmente. Los perodos de tiempo disponibles para
estos informes estn ms estructurados que los de los informes de una sola ejecucin o actividad de usuario; un informe que se genera cada da mostrar la actividad
durante un da y un informe que se genera una vez al mes mostrar exactamente la actividad durante un mes.

Informe de actividad de usuario: muestra los sitios web (incluyendo las categoras de direcciones URL) que se solicitan por parte de usuarios especficos para
cualquier perodo especificado.
Importante:
El informe de la actividad del usuario es una nueva caracterstica de Forefront TMG SP1.
Al planear la creacin de informes en Forefront TMG, tenga en cuenta lo siguiente:

71

Report categories

Custom reporting

The reporting mechanism

Publishing reports to a file share
Categoras de informes
De manera predeterminada, los informes de una sola ejecucin y los trabajos de informes peridicos muestran el intervalo completo de actividad disponible para la creacin
de informes en Forefront TMG. La actividad registrada se divide en las siguientes categoras de informes:

Resumen: ofrece informacin sobre el uso del trfico de red, ordenado por aplicacin. Esta categora es muy importante para el administrador de la red o la persona
que administra o planea la conectividad a Internet de una empresa.

Uso de web: muestra informacin sobre usuarios frecuentes de web, respuestas comunes y exploradores. Esta categora muestra cmo se utiliza la web en una
empresa. Es muy importante para el administrador de la red o la persona que administra o planea la conectividad a Internet de una empresa.

Uso de aplicaciones: muestra informacin del uso de las aplicaciones de Internet sobre los usuarios ms importantes, las aplicaciones cliente y los destinos.

Trfico y uso: muestra el uso total de Internet por aplicacin, protocolo y direccin. Esta categora tambin muestra el promedio del trfico y el nmero mximo de
conexiones simultneas, la frecuencia de aciertos de la memoria cach, los errores y otras estadsticas.

Seguridad: muestra los intentos de quebrantar la seguridad de la red.

Proteccin contra malware: muestra los nombres de las amenazas actuales, los usuarios y los sitios web que generan el mayor nmero de incidentes de malware,
estadsticas sobre el filtro de malware, as cmo un resumen diario de la actividad del malware.

Filtrado de URL: muestra la actividad del filtrado de URL de Forefront TMG.

Sistema de inspeccin de red: muestra informacin acerca de los ataques a la red detectados por el Sistema de inspeccin de red (NIS). El NIS es un sistema de
inspeccin de trfico, basado en la descodificacin de protocolo, que usa firmas de vulnerabilidades conocidas para detectar y bloquear potencialmente ataques en los
recursos de la red.
Nota:
El informe de actividad de usuario produce un informe breve que muestra los sitios, con sus categoras de direcciones URL asociadas, que los usuarios especficos han
solicitado para obtener acceso durante un perodo de tiempo especificado. A diferencia del trabajo de informes peridicos y de una sola ejecucin, el informe de
actividad de usuario no tiene categoras pero no puede modificar el nmero de sitios web que mostrar. Al crear un informe de actividad de usuario, se especifican los
nombres de usuario o los alias que desea que aparezcan en el informe. Para obtener ms informacin acerca de la creacin de un informe de actividad de usuario, vea
Crear informes.
Creacin personalizada de informes
Al configurar un informe, puede elegir excluir algunas categoras de informe, as como modificar los detalles de las subcategoras para cada categora incluida en el informe.
Por ejemplo, podra editar la categora de informe Resumen seleccionando la subcategora Protocolos ms usados y cambiando la opcin Nmero de protocolos que se van a
incluir desde el valor predeterminado 15 a 7. Tambin podra excluir la categora de informe Resumen del todo.
Para obtener ms detalles sobre cmo crear informes, vea Configurar los informes de Forefront TMG.
El mecanismo de informes
Los informes de Forefront TMG se basan en resmenes de registro que se derivan de los registros de firewall y proxy web, y que contienen as actividad del da anterior o
anteriores. Mediante los servicios de generacin de informes de SQL Server, Forefront TMG genera resmenes del registro diarios y mensuales, en los que se basan todos
los informes. Los resmenes del registro se generan de noche (a la 1:00am de forma predeterminada); sin embargo, esta hora puede configurarse.
El servidor de informes
El servidor de informes es un servidor Forefront TMG que ejecuta los servicios de informes de SQL Server para agregar los resmenes de registro. El servidor de informes
predeterminado es el primer miembro de matriz de Forefront TMG creado.
En el momento de la generacin del registro de resumen los registros de proxy web y firewall de cada miembro matriz se consolidan como registro de resumen y se
almacenan en el servidor de informes. Todos los trabajos de informes se basan en este registro de resumen consolidado.
En Forefront TMG Enterprise Edition, la pestaa Servidor de informes de las propiedades de Creacin de informes se puede usar para cambiar el servidor de informes
designado. Para obtener instrucciones, vea Cambiar el servidor de informes.
En Forefront TMG Standard Edition, el servidor de informes siempre es el servidor de Forefront TMG local.
Publicacin de informes en un recurso compartido de archivos
Al planear la publicacin de informes, piense en lo siguiente:

Cuando especifique un directorio de informes publicados, ste debe existir en el sistema de archivos. El generador de informes no crear la carpeta.

Al publicar informes, debe otorgar como mnimo permisos de acceso de lectura a aquellos usuarios que deben ver el informe en esta carpeta compartida. Si no publica
el informe, slo podr verlo en el equipo que est ejecutando la Administracin de Forefront TMG.

Al publicar un informe, el equipo Forefront TMG requiere permisos de escritura en la carpeta en la que publique el informe. De forma predeterminada se utiliza la
cuenta Sistema local para publicar el informe. Sin embargo, si publica el informe en una carpeta que resida en otro equipo, las credenciales de la cuenta Sistema local
se transfieren como la cuenta del equipo basado en Forefront TMG. Por esta razn, la cuenta del equipo basado en Forefront TMG deber tener permisos suficientes
para escribir en la carpeta de destino. Si especifica una cuenta de usuario para publicar el informe, deber asegurarse de que a esta cuenta de usuario se le otorgan
permisos de escritura sobre la carpeta de destino.

Si Forefront TMG est instalado en modo grupo de trabajo, Forefront TMG utiliza la cuenta No autenticado. En este caso, se recomienda que especifique las
credenciales de usuario al publicar informes en otro equipo.
Implementacin de Forefront TMG

72
La gua de implementacin de Forefront TMG est diseada para ayudarle a instalar e implementar Forefront TMG. Durante la fase de implementacin, configure las
opciones iniciales del sistema y de la red de Forefront TMG as como la infraestructura de soporte, como los servidores de autenticacin, las redes y los clientes
internos.
La gua de implementacin se incluyen los siguientes temas:

Lista de comprobacin de implementacin: proporciona un resumen de las principales tareas requeridas para implementar Forefront TMG.

Requisitos del sistema para Forefront TMG: proporciona una lista de los requisitos de sistema para ejecutar Forefront TMG y Administracin de Forefront TMG.

Instalar los requisitos previos para la proteccin de correo electrnico: describe las tecnologas de proteccin del correo electrnico que debe instalar antes que
Forefront TMG.

Migracin y actualizacin a Forefront TMG: proporciona informacin acerca de cmo migrar a Forefront TMG.

Instalacin de Forefront TMG: describe cmo instalar Forefront TMG.

Instalacin de Forefront TMG SP1: describe cmo instalar Forefront TMG Service Pack 1.

Configurar los valores de implementacin iniciales: describe cmo configurar o modificar la configuracin de la implementacin inicial usando el Asistente de
introduccin.

Configuracin de redes y enrutamiento: proporciona informacin acerca de cmo crear redes y reglas de redes, y cmo enrutar las solicitudes de cliente.

Configuracin de funciones y permisos: describe cmo proporciona Forefront TMG roles administrativos para los administradores de empresa y los administradores
de matriz.

Configuracin de funciones y permisos: describe cmo configurar servidores Forefront TMG en una matriz independiente o en una matriz administrada de manera
centralizada por un servidor Enterprise Management Server (EMS).

Configuracin de equipos clientes: describe cmo protege Forefront TMG a los clientes de Firewall que ejecutan software cliente de firewall, clientes proxy web y
clientes SecureNAT.

Configuracin de servidores de autenticacin de clientes: describe cmo implementar los servidores de autenticacin que utiliza Forefront TMG para autenticar a los
usuarios.

Configuracin de la Proteccin de acceso a redes: describe cmo se configuran las directivas de proteccin de acceso a redes (NAP) en el servidor de directivas de red
(NPS) y cmo se configura el NPS para establecer comunicacin con Forefront TMG.

Interoperabilidad con la gua de solucin de BranchCache: describe la manera en la que se habilita la interoperabilidad deForefront TMG y BranchCache, una
caracterstica de Windows 7 y Windows Server 2008 R2, que habilita el contenido web en una red de rea extendida (WAN) que se va a almacenar en memoria cach
en equipos de una sucursal local, mejorando as el tiempo de respuesta de la aplicacin y reduciendo el trfico WAN.

Gua de solucin de puerta de enlace web segura de Forefront TMG: le ayuda a planear, implementar y mantener una puerta de enlace web segura de Forefront TMG,
que est diseada para ayudar a proteger a los usuarios de las amenazas procedentes de Internet.
Lista de comprobacin de implementacin
Esta lista de comprobacin est diseada para ayudarle a planear una implementacin de Forefront TMG. Enumera las tareas que debe realizar para instalar e implementar
Forefront TMG correctamente. Del mismo modo, la lista de comprobacin contiene tambin vnculos a instrucciones e informacin de planeacin relativas a cada tarea.
Las tareas se agrupan en funcin de los siguientes factores:

Tareas de preinstalacin

Tareas posteriores a la instalacin

Configuracin del acceso a la red corporativa

Proteccin de la red corporativa
Tareas de preinstalacin
En la siguiente tabla se muestra una lista de las tareas que debera completar antes de instalar Forefront TMG:
Tarea Dnde buscar informacin
Compruebe que el equipo en el que desea instalar Forefront TMG
cumple los requisitos de software y hardware del sistema.
Para obtener una lista de todos los requisitos de hardware y software necesarios para instalar
Forefront TMG, vea Requisitos del sistema para Forefront TMG.
Ejecute Windows Update para asegurarse de que el equipo est
actualizado y dispone de la versin ms reciente. Si se aplican
actualizaciones, reinicie el equipo antes de instalar Forefront TMG.
Si desea obtener informacin sobre los procedimientos necesarios para asegurarse de que las
ltimas actualizaciones se han instalado en su equipo, vea Preparacin de la instalacin.
Decida si desea ejecutar la instalacin de Forefront TMG en modo
interactivo o desatendido.
Modo interactivo: se recomienda para la instalacin de un nico servidor de Forefront TMG
o de un nmero reducido de servidores de Forefront TMG. Para obtener instrucciones, vea
Instalacin de los servicios de Forefront TMG en modo interactivo.
Modo desatendido: se recomienda para la implementacin de varios servidores de Forefront
TMG. Para obtener instrucciones, vea Instalar los servicios de Forefront TMG en modo
desatendido.
Vea Planeacin para instalar Forefront TMG.
Nota: puede migrar a Forefront TMG desde ISA Server o actualizar una versin anterior de
Forefront TMG. Para obtener ms informacin, vea Planeacin de migracin.
Seleccione la opcin de instalacin necesaria en funcin del
entorno.
Estn disponibles las siguientes opciones:
Instalar un nico servidor de Forefront TMG en el equipo, incluidos todos los servicios de
Forefront TMG y la consola de administracin de Forefront TMG, para la administracin
local de Forefront TMG. Para obtener instrucciones, vea Instalacin de Forefront TMG.

73
Instalar slo la consola de administracin de Forefront TMG si desea administrar de manera
remota los servidores de Forefront TMG instalados en otros equipos. Para obtener
instrucciones, vea Instalacin de la consola de administracin para tareas de administracin
remota.
Instalar un servidor Enterprise Management Server (EMS) que le permita administrar de
manera centralizada varias matrices de Forefront TMG. Para obtener instrucciones, vea
Instalacin de un servidor Enterprise Management Server (EMS) para la administracin
centralizada.
Para obtener informacin acerca de la planeacin, vea Planeacin para instalar Forefront TMG.
Comprobar la configuracin del adaptador de red Todos los adaptadores de red se deben instalar y configurar correctamente con las direcciones
IP adecuadas antes de instalar y configurar Forefront TMG.
Para obtener informacin sobre cmo planear la configuracin del adaptador de red, vea
Planeacin de la topologa de red de Forefront TMG.
Planear la resolucin de nombres de dominio Antes de iniciar la instalacin, debe planear cmo desea configurar la resolucin de nombres
de dominio en Forefront TMG.
Vea Planeacin de resolucin de nombres de dominio.
Tareas posteriores a la instalacin
En la siguiente tabla se muestra una lista de las tareas que debe realizar una vez instalado Forefront TMG, incluidas las opciones de infraestructura que debe tener en cuenta
al configurar la red:
Configurar los valores de
implementacin bsicos
Utilice el Asistente de introduccin si desea obtener ayuda con la configuracin de los valores iniciales de la implementacin, como
los relativos al adaptador de red o al sistema operativo, entre los que se encuentran la informacin sobre el nombre del equipo y el
dominio o grupo de trabajo, y a la proteccin contra malware para el trfico web.
Para obtener instrucciones, vea Configurar los valores de implementacin iniciales.
Configurar la pertenencia a un
dominio o grupo de trabajo
Una vez completada la instalacin, puede configurar Forefront TMG como miembro de un dominio o grupo de trabajo.
Para obtener informacin sobre cmo planear estas opciones de implementacin en Forefront TMG, vea Consideraciones del
dominio o del grupo de trabajo.
Configurar la implementacin
de la matriz
La configuracin de la matriz ofrece una gran disponibilidad si se unen los servidores TMG. Una vez instalado Forefront TMG en
un servidor, puede unirlo a una matriz independiente o a una matriz administrada de manera centralizada por un EMS.
Para obtener informacin sobre cmo configurar una matriz independiente o administrada de manera centralizada, vea Planeacin
para la escalabilidad y alta disponibilidad del servidor de Forefront TMG.
Para obtener instrucciones sobre cmo configurar una matriz de servidores de Forefront TMG con el fin de efectuar la
implementacin, vea Configuracin de una matriz de Forefront TMG.
Configuracin del acceso a la red corporativa
En la siguiente tabla se muestra una lista de las tareas que puede llevar a cabo para garantizar la seguridad del acceso a la red corporativa. Para obtener informacin detallada
sobre cmo preparar el acceso a su red corporativa, vea Gua de diseo de acceso para Forefront TMG.
Configurar la autenticacin Para configurar la infraestructura de autenticacin, estn disponibles las siguientes opciones:
Instalacin de certificados de servidor emitidos por entidades de certificacin: los certificados de servidor emitidos por entidades le
permiten garantizar el cifrado de la comunicacin y la autenticacin entre el equipo cliente y Forefront TMG.
Configuracin de autenticacin basada en formularios: si utiliza Forefront TMG para publicar el acceso al cliente web de
Exchange, deber configurar la autenticacin basada en formularios en el equipo con Forefront TMG.
Configuracin de la delegacin limitada de Kerberos: si utiliza la delegacin limitada de Kerberos como mtodo de delegacin de
autenticacin, debe configurarla para el objeto del equipo de Forefront TMG en los Servicios de dominio de Active Directory.
Configuracin de la delegacin de autenticacin: si desea configurar la delegacin de autenticacin, deber asegurarse de que
coincida el mtodo de delegacin de autenticacin seleccionado con un mtodo admitido de autenticacin en el servidor publicado.
Para obtener ms informacin, vea Informacin general de autenticacin en Forefront TMG.
Configurar el acceso de red Forefront TMG permite configurar valores como la compatibilidad con el cliente de Forefront TMG con el fin de obtener acceso de
manera segura a las aplicaciones internas de una red.
Vea Planeacin para controlar el acceso de red.
Configurar el acceso web Forefront TMG permite configurar valores mediante los cuales los usuarios internos pueden obtener acceso a Internet de forma
segura.
Vea Planeacin para el acceso web.
Configurar el acceso a una
red privada virtual (VPN)
Puede configurar un sistema de manera que los clientes de una red remota puedan conectarse a una red corporativa de manera segura
mediante una red privada virtual (VPN). Vea Planeacin para las redes privadas virtuales.
Configurar la publicacin La publicacin de Forefront TMG permite a los usuarios remotos obtener acceso de manera segura a sus aplicaciones internas a

74
travs de Internet. Las reglas de publicacin en web le permiten especificar qu servidores y sitios web estarn disponibles para los
usuarios de Internet en funcin de la directiva de acceso definida.
Vea Planeacin de publicacin.
Instalar certificados de
servidor para el sitio web
publicado
Para habilitar las comunicaciones seguras entre el equipo de Forefront TMG y el sitio web publicado, debe instalar un certificado de
servidor emitido por una entidad de certificacin para el sitio web publicado.
Vea Planeacin de certificados de servidor.
Proteccin de la red corporativa
En la tabla siguiente se muestra una lista de las funciones de proteccin que puede configurar en Forefront TMG para contribuir a la proteccin de una red corporativa. Para
obtener ms informacin sobre proteccin, vea Gua de diseo de proteccin para Forefront TMG.
Configurar la proteccin contra las
vulnerabilidades conocidas
Puede configurar Forefront TMG para proteger sus equipos contra los ataques a la red y los intentos
malintencionados de beneficiarse de las vulnerabilidades conocidas tanto del sistema operativo como de otras
aplicaciones relacionadas.
Vea Planeacin de la proteccin frente a vulnerabilidades conocidas.
Configurar la proteccin contra los intentos
de intrusin y otros ataques comunes
Puede configurar Forefront TMG para proteger la red de usuarios malintencionados que pretendan, por ejemplo,
llevar a cabo ataques por denegacin de servicio HTTP, ataques de SYN o una propagacin de gusanos.
Si la deteccin de ataques de DNS est habilitada, tambin puede especificar que el filtro DNS busque tipos
concretos de actividad sospechosa.
Vea Planeacin para proteger frente a los ataques de red.
Configurar la proteccin contra las amenazas
a travs de Internet
Puede configurar Forefront TMG de manera que efecte una inspeccin de malware con el fin de detectar, eliminar y
bloquear tanto contenido como archivos dainos con formato HTTP o HTTPS.
Vea Planeacin para proteger frente a las amenazas a travs de Internet.
Configurar la proteccin contra las amenazas
a travs del correo electrnico
Si piensa implementar sistemas de proteccin del correo electrnico en una organizacin, debe configurar una
directiva de seguridad de correo electrnico con el fin de proteger su empresa.
Vea Planeacin de la proteccin frente a amenazas de correo electrnico.
Requisitos del sistema para Forefront TMG
En este tema se describen los requisitos de hardware y software mnimos para ejecutar las siguientes implementaciones de Forefront TMG:

Forefront TMG: seguridad perimetral unificada con firewall integrado, VPN, prevencin de intrusiones, inspeccin de malware y filtrado de URL.

Enterprise Management Server: administracin centralizada de las matrices de Forefront TMG. Utilice EMS para crear y actualizar directivas de empresa, as como
para crear las reglas de directiva que se asignarn a las matrices de la empresa.

Administracin de Forefront TMG: administracin remota de servidores de Forefront TMG instalados en otros equipos.
Importante:
En la siguiente tabla se muestran los requisitos mnimos de hardware para instalar el software de Forefront TMG. Para aprovisionar Forefront TMG correctamente de
acuerdo con el nmero de usuarios, el ancho de banda de la red de rea extensa, y las caractersticas y proteccin que se encuentren habilitadas, vea Recomendaciones
de hardware para Forefront TMG 2010.
Forefront TMG
Hardware Requisitos mnimos
CPU Procesador de dos ncleos (1 CPU x doble ncleo) de 64 bits a 1,86 GHz.
Memoria 2 GB, 1 GHz RAM.
Disco duro Espacio disponible de 2,5 GB. Este espacio en disco excluye el necesario para el almacenamiento en cach o el almacenamiento temporal de
archivos durante la inspeccin de malware.
Una particin del disco duro local con el formato del sistema de archivos NTFS.
Adaptadores
de red
Un adaptador de red compatible con el sistema operativo del equipo para las comunicaciones con la red interna
Nota:
Puede usar Forefront TMG en un equipo con un nico adaptador de red. Normalmente, llevar a cabo esta tarea cuando otro firewall se
encuentre en los lmites de la red, conectando los recursos corporativos a Internet. En este escenario de un adaptador nico, Forefront TMG

75
suele proporcionar una capa adicional de proteccin de filtrado de aplicaciones a los servidores publicados, o bien para almacenar en cach
el contenido de Internet.

Software Requisitos mnimos
Sistema operativo Windows Server 2008
Versin: SP2 o R2
Edicin: Standard, Enterprise o Datacenter
Roles y caractersticas de
Windows
La herramienta de preparacin de Forefront TMG instala estos roles y caractersticas:
Servidor de directivas de redes.
Servicios de enrutamiento y acceso remoto.
Herramientas de Active Directory Lightweight Directory Services.
Herramientas de equilibrio de carga de red.
Windows PowerShell.
Puede ejecutar la herramienta de preparacin desde la pgina de ejecucin automtica de Forefront TMG.
Nota:
Los roles y caractersticas de Windows que se instalan durante la instalacin de Forefront TMG no se desinstalan al desinstalar
Forefront TMG. Si es necesario, desinstlelos manualmente tras desinstalar Forefront TMG del servidor.

Otro software
Microsoft .NET Framework 3.5 SP1.
API de Servicios web de Windows.
Windows Update.
Microsoft Windows Installer 4.5.
Nota:
Los servicios y archivos de controlador instalados por Forefront TMG se ubican en la carpeta de instalacin de Forefront TMG.

Importante:
No se admite la instalacin de Forefront TMG en un controlador de dominio.
Enterprise Management Server
CPU Procesador de doble ncleo de 64 bits a 1,86 GHz.
Memoria 1 GB RAM.
Disco duro Espacio disponible de 2,5 GB.
Sistema operativo Windows Server 2008
Versin: SP2 o R2
Edicin: Foundation, Standard, Enterprise o Datacenter
Roles y caractersticas de Windows Herramientas de Active Directory Lightweight Directory Services.
Otro software
Microsoft .NET Framework 3.5 SP1.
Microsoft Windows Installer 4.5.
Importante:

76
No se admite la instalacin de EMS en un controlador de dominio o en un equipo con Forefront TMG.
Administracin de Forefront TMG
CPU Procesador de 1 GHz.
Memoria 1 GB RAM.
Disco duro Espacio disponible de 2 GB.
El sistema operativo Windows Server 2008 R2, Windows Server 2008 SP2, Windows 7 o Windows Vista SP1.
Instalar los requisitos previos para la proteccin de correo electrnico
Forefront TMG permite proteger su organizacin frente al correo no deseado, los virus y otras amenazas asociadas al correo electrnico. Para ello, se beneficia de la
proteccin que Forefront Protection 2010 for Exchange Server (FPES) proporciona al correo electrnico y del servicio de retransmisin de correo de un extremo a otro del
servidor de transporte perimetral Exchange.
Estas tecnologas de proteccin no se incluyen en la instalacin predeterminada de Forefront TMG, por lo que el usuario deber instalarlas por separado en cada miembro de
matriz de Forefront TMG.
Las versiones admitidas son:

Exchange Server 2007 SP2 y Exchange Server 2010.
Nota:
Puede descargar software de evaluacin de Exchange Server desde el sitio de descargas de Microsoft.

Forefront Protection 2010 for Exchange Server.
Se recomienda que instale estas tecnologas de proteccin del correo electrnico (y sus requisitos previos) en cada miembro de matriz en el orden siguiente:
1. Instale Active Directory Lightweight Directory Services. Para obtener instrucciones, vea Instalacin de Active Directory Lightweight Directory Services.
2. Instale el rol Transporte perimetral de Exchange Server. Para obtener instrucciones, vea Instalacin del rol Transporte perimetral de Exchange Server.
3. Instale Forefront Protection 2010 for Exchange Server. Para obtener instrucciones, vea Instalacin de Forefront Protection 2010 for Exchange Server.
4. Instale Forefront TMG. Para obtener instrucciones, vea Instalacin de Forefront TMG.
Instalacin de Active Directory Lightweight Directory Services
Debe instalar Active Directory Lightweight Directory Services (AD LDS) antes de instalar el rol Transporte perimetral de Exchange Server. Si AD LDS no est
instalado, siga las instrucciones que aparecen a continuacin para instalarlo.
Para instalar Active Directory Lightweight Directory Services
1. Desde un smbolo del sistema con privilegios elevados, escriba cmd.exe /c start /w pkgmgr.exe /iu:"DirectoryServices-ADAM".
Instalacin del rol Transporte perimetral de Exchange Server
Nota:
Si ya ha instalado Forefront TMG, debe quitar Windows Powershell 1.0 antes de instalar Exchange. Para obtener instrucciones, vea Desinstalacin de Windows
Powershell 1.0.
No puede instalar el rol Transporte perimetral de Exchange Server en un servidor con un sufijo DNS que incluye caracteres no ingleses.
Antes de instalar el rol Transporte perimetral de Exchange Server, debe comprobar que el equipo est configurado con un sufijo DNS. Utilice el procedimiento siguiente:
Para agregar un sufijo DNS a un equipo Forefront TMG
1. En el Escritorio, haga clic con el botn secundario en Equipo y seleccione Propiedades.
2. Haga clic en Configuracin avanzada del sistema y, a continuacin, en la ficha Nombre de equipo.
3. Haga clic en Cambiar y, a continuacin, en Ms.
4. En el cuadro Sufijo DNS principal de este equipo, si no hay ningn FQDN configurado, escriba uno y haga clic en Aceptar.
Para instalar el rol Transporte perimetral de Exchange Server
1. Ejecute el archivo Exchange Server Setup.exe y siga los pasos del asistente de instalacin de Exchange Server, incluida la instalacin de todos los requisitos previos.

77
2. En la pgina Tipo de instalacin, haga clic en Instalacin personalizada de Exchange Server.
3. En la pgina Seleccin de funciones de servidor, seleccione Rol Transporte perimetral y haga clic en Siguiente. En la pgina Comprobaciones de disponibilidad,
consulte el estado para determinar si las comprobaciones de los requisitos previos del rol del servidor y la organizacin se han llevado a cabo correctamente. A
continuacin, haga clic en Instalar para instalar Exchange.
4. En la pgina Finalizacin, haga clic en Finalizar.
5. Una vez completada la instalacin, se recomienda que realice una copia de seguridad de la configuracin y almacene el archivo de copia de seguridad en una
Debera hacerlo para cada miembro de la matriz. Para obtener instrucciones, vea Configurar el servidor de transporte perimetral mediante el uso de configuracin
clonada (http://go.microsoft.com/fwlink/?LinkId=177822) para Exchange 2010 y Cmo hacer una copia de seguridad de servidores de transporte perimetral mediante
las tareas de configuracin clonada (http://go.microsoft.com/fwlink/?LinkId=177823) para Exchange 2007.
Instalacin de Forefront Protection 2010 for Exchange Server.
Para instalar Forefront Protection 2010 for Exchange Server
1. Inserte el DVD de Forefront TMG y ejecute autorun.hta.
2. Haga clic en Instalar Microsoft Forefront Protection 2010 for Exchange Server.
3. Siga las instrucciones que aparecen en la pantalla del asistente de instalacin.
4. Una vez completada la instalacin, se recomienda que realice una copia de seguridad de la configuracin y almacene el archivo de copia de seguridad en una
Debera hacerlo para cada miembro de la matriz. Para obtener instrucciones, vea Copia de seguridad y restauracin (http://go.microsoft.com/fwlink/?LinkId=177824).
Desinstalacin de Windows Powershell 1.0
Nota:
Si ya ha instalado Forefront TMG, utilice el procedimiento siguiente para quitar Windows Powershell 1.0 antes de instalar Exchange:
1. Haga clic en Inicio, en Ejecutar y escriba CompMgmtLauncher. Haga clic en Aceptar.
2. En el rbol Administrador de servidores, expanda Caractersticas y, en el Resumen de caractersticas, haga clic en Quitar caractersticas.
3. En el Asistente para quitar caractersticas, desplcese a Windows Powershell y, a continuacin, desactive la casilla. Haga clic en Siguiente y, a continuacin, en Quitar.
4. Una vez completado el proceso, reinicie el equipo y, a continuacin, instale Exchange Server 2010. A travs de la pgina de requisitos previos, podr instalar Windows
Powershell 2.0.
Pasos siguientes
Tras completar la instalacin del rol de servidor Transporte perimetral de Exchange, FPES y Forefront TMG en cada miembro de su matriz, puede empezar a configurar una
directiva de correo electrnico para su organizacin. Para obtener informacin acerca de la configuracin, vea Configurar la proteccin de las amenazas basadas en correo
electrnico.
Migracin y actualizacin a Forefront TMG
Los temas de esta seccin proporcionan la siguiente informacin sobre la migracin y la actualizacin a Forefront TMG:

Migracin de ISA Server 2004/2006 a Forefront TMG

Actualizacin de Forefront TMG Standard Edition a Forefront TMG Enterprise Edition


Actualizar Forefront TMG Evaluation a RTM
Para obtener informacin sobre las limitaciones de la migracin, vea Planeacin de migracin.
Migracin de ISA Server 2004/2006 a Forefront TMG
Se admiten las siguientes rutas de migracin de Microsoft Internet Security and Acceleration (ISA) Server a Forefront TMG:

De ISA Server Standard Edition a Forefront TMG Standard Edition.

De ISA Server Standard Edition a servidor independiente de Forefront TMG Enterprise Edition.

De una matriz de servidores ISA Server Enterprise Edition (incluso una matriz que contenga un solo servidor) a una matriz de servidores de Forefront TMG
Enterprise Edition administrada por un servidor Enterprise Management Server (EMS) de Forefront TMG.
Nota:
Una matriz de servidores ISA Server no se puede migrar a una matriz de servidores de Forefront TMG no administrada por un servidor EMS de Forefront TMG.
Aunque se puede crear una matriz de servidores de Forefront TMG no administrada por un servidor EMS de Forefront TMG, esta opcin no est disponible para la
migracin.
Antes de migrar de ISA Server a Forefront TMG, lea la siguiente informacin:

Planeacin de migracin

Requisitos del sistema para Forefront TMG
Importante:

78
Si va a migrar a Forefront TMG un servidor que no es el servidor en el que est instalado ISA Server, se recomienda que mantenga la funcionalidad del servidor ISA
Server de produccin hasta que la migracin se haya completado y que compruebe que Forefront TMG funciona correctamente.
Este tema contiene las siguientes secciones:

Recopilacin de informacin

Migrar un nico servidor ISA Server a Forefront TMG

Migrar una matriz de servidores ISA Server a una matriz de servidores de Forefront TMG

Exportacin de la configuracin de ISA Server

Importacin de la configuracin a Forefront TMG
Recopilacin de informacin
Antes de comenzar el proceso de migracin, recoja la siguiente informacin sobre la implementacin de su solucin ISA Server existente:

Nombre de dominio completo (FQDN) del equipo en el que se ejecuta ISA Server.

Direccin IP, mscara de subred y direccin de servidor DNS del adaptador de red conectado a la red corporativa principal. Este adaptador de red estar asociado a la
red interna predeterminada de Forefront TMG.

Direccin IP, mscara de subred, puerta de enlace predeterminada y direccin de servidor DNS del adaptador de red conectado a la red externa (normalmente,
Internet). Si va a instalar Forefront TMG con un adaptador de red nico, no se requiere una configuracin externa del adaptador.

Direccin IP, mscara de subred y direccin de servidor DNS de adaptadores de red conectados a cualquier otra red, como una red perimetral.
Migrar un nico servidor ISA Server a Forefront TMG
Para migrar un nico servidor ISA Server a Forefront TMG se requieren las siguientes tareas:
1. Recopilar la informacin necesaria para la instalacin. Para obtener ms informacin, vea Recopilacin de informacin.
2. Exportar la configuracin de ISA Server. Para obtener ms informacin, vea Exportacin de la configuracin de ISA Server.
3. Exportar los certificados de servidor utilizados por ISA Server. Si desea obtener instrucciones sobre cmo exportar un certificado de servidor en Windows 2003, vea
Importar y exportar certificados (http://go.microsoft.com/fwlink/?LinkId=152428).
4. Si va a realizar la migracin a Forefront TMG en el mismo equipo en el que se ejecuta ISA Server, desinstalar ISA Server del equipo. Para obtener informacin
detallada, vea ISA Server SE: Uninstalling ISA Server Software (http://go.microsoft.com/fwlink/?LinkId=152933).
5. Realizar una instalacin limpia de Windows 2008 (SP2 de 64 bits o R2) en el equipo. Esto afecta tanto a equipos nuevos como al equipo que tena ISA Server
instalado (no se admiten actualizaciones en contexto de Windows 2003 de 32 bits a Windows 2008 de 64 bits). Para obtener informacin detallada, vea Instalacin de
Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=152429).
6. Instalar Forefront TMG. Para obtener ms informacin, vea Instalacin de Forefront TMG.
7. Importar el certificado de servidor en el servidor de Forefront TMG. Para obtener informacin detallada, vea Mover certificados
8. Importar y aplicar la configuracin de ISA Server en la consola de administracin de Forefront TMG. Para obtener ms informacin, vea Importacin de la
configuracin a Forefront TMG.
9. Restaurar los trabajos de informes de ISA Server y las propiedades de registro de firewall en Forefront TMG. Para obtener ms informacin, vea Configurar los
informes de Forefront TMG y Configurar los registros de Forefront TMG.
10. Si se va a instalar Forefront TMG en un servidor limpio, es decir, en un equipo en el que no se haya ejecutado antes ISA Server, actualizar el entorno de produccin
con la nueva informacin del servidor, como las direcciones IP internas y externas, y la direccin del servidor del sistema de nombres de dominio (DNS).
11. Comprobar que la configuracin es operacional y que se inician los servicios en el servidor de Forefront TMG.
Migrar una matriz de servidores ISA Server a una matriz de servidores de Forefront TMG
Al realizar este procedimiento, tenga en cuenta lo siguiente:

Es preciso ajustar la configuracin especfica del equipo de la nueva matriz de equipos con Forefront TMG en caso de que difiera de la configuracin de ISA que se
importa. Por ejemplo, FQDN, informes y registro, credenciales y certificados.

Slo la configuracin del servidor de Almacenamiento de configuracin (CSS) se migra a un equipo independiente que ejecuta Forefront TMG EMS. Aun cuando
CSS se encuentre en uno de los equipos ISA Server y no en un equipo independiente, Forefront TMG EMS se debe instalar en un equipo independiente.
Para migrar una matriz de servidores ISA Server a una matriz de servidores de Forefront
TMG se requieren las siguientes tareas:
1. Recopilar la informacin necesaria para la instalacin de cada servidor de la matriz. Para obtener ms informacin, vea Recopilacin de informacin.
2. Exportar la configuracin de ISA Server del equipo designado como CSS. Para obtener ms informacin, vea Exportacin de la configuracin de ISA Server.
3. Exportar los certificados de servidor utilizados por los servidores ISA Server. Si desea obtener instrucciones sobre cmo exportar un certificado de servidor en
Windows 2003, vea Importar y exportar certificados (http://go.microsoft.com/fwlink/?LinkId=152428).
4. Si va a migrar una matriz de equipos con Forefront TMG utilizando los mismos equipos que ejecutan ISA Server, desinstale ISA Server de los equipos. Para obtener
informacin detallada, vea ISA Server EE: Uninstalling ISA Server Software (http://go.microsoft.com/fwlink/?LinkId=152936).
5. Realizar una instalacin limpia de Windows 2008 (SP2 de 64 bits o R2) en los equipos. Esto afecta tanto a los equipos nuevos como a los equipos que tenan instalado
ISA Server (no se admiten actualizaciones en contexto de Windows 2003 de 32 bits a Windows 2008 de 64 bits). Para obtener informacin detallada, vea Instalacin
de Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=152429).
6. Instalar Forefront TMG EMS en el servidor de administracin (debe ser un equipo independiente, no uno de los equipos de la nueva matriz). Para obtener ms
informacin, vea Instalacin de un servidor Enterprise Management Server (EMS) para la administracin centralizada.
7. Importar y aplicar la configuracin de CSS de ISA Server en Forefront TMG EMS en el servidor de administracin. Para obtener ms informacin, vea Importacin
de la configuracin a Forefront TMG.
8. Instalar Forefront TMG en cada uno de los nuevos miembros de la matriz. Para obtener ms informacin, vea Instalacin de Forefront TMG.
9. Importar los certificados de servidor en los servidores de Forefront TMG. Para obtener informacin detallada, vea Mover certificados

79
10. Restaurar las propiedades de registro de firewall y los trabajos de informes de ISA Server. Para obtener ms informacin, vea Configurar los informes de Forefront
TMG y Configurar los registros de Forefront TMG.
11. Si se va a instalar Forefront TMG en un equipo en el que no se haya ejecutado antes ISA Server, actualizar el entorno de produccin con la nueva informacin del
servidor, como las direcciones IP internas y externas, y la direccin del servidor del sistema de nombres de dominio (DNS).
12. Unir cada servidor de Forefront TMG de la matriz al servidor de administracin de Forefront TMG EMS. Para obtener ms informacin, vea Unin de un servidor a
una matriz de empresa.
13. Comprobar que la configuracin est sincronizada y que los servicios se inician en cada servidor de Forefront TMG de la matriz.
Exportacin de la configuracin de ISA Server
Utilice el procedimiento siguiente para exportar la configuracin de ISA Server actual.
Para exportar la configuracin de ISA Server
1. En el rbol de la consola de administracin de ISA Server, obtenga acceso al nodo raz:

En un equipo ISA Server, expanda Microsoft Internet Security and Acceleration Server y, a continuacin, haga clic en ServerName.

En un equipo de servidor de Almacenamiento de configuracin, haga clic en Microsoft Internet Security and Acceleration Server.
Nota:
Se recomienda que exporte toda la configuracin desde el nodo raz. La otra opcin es exportar solo los nodos concretos que desee migrar a
Forefront TMG. Observe que solo se pueden migrar los siguientes nodos individualmente: los nodos correspondientes al conjunto de direcciones
URL, conjunto de nombres de dominio, conjunto de equipos, equipo, subred e intervalo de direcciones.
2. En el panel Tareas, haga clic en Exportar configuracin de ISA Server a un archivo.
3. En el Asistente para exportacin, en la pgina Exportar preferencias, seleccione las opciones siguientes:

Exportar informacin confidencial. Especifique una contrasea de un mnimo de ocho caracteres.

Exportar configuracin de permisos de usuario.
Al exportar informacin confidencial, se incluye lo siguiente en los datos exportados:

Credenciales que se usan para alertas, registro, informes, trabajos de informes, rutas principal y de reserva, conexiones de acceso telefnico y publicacin web.

El secreto compartido que se especifica si se utiliza un servidor RADIUS.

La clave previamente compartida que se especifica para la configuracin del protocolo de seguridad de Internet (IPsec).
La informacin confidencial se cifra durante el proceso de exportacin. La contrasea se utiliza para descifrar la informacin durante el proceso de
importacin.
Importante:
Para importar la configuracin a Forefront TMG, debe seleccionar la opcin Exportar informacin confidencial exista o no la informacin en el sistema.
4. En la pgina Ubicacin del archivo de exportacin, especifique un nombre y ubicacin para el archivo de copia de seguridad exportado. Si piensa actualizar este
equipo a Windows Server 2008 e instalar en l Forefront TMG, copie el archivo exportado en una ubicacin de red para que no se elimine antes de que se complete el
proceso de migracin.
5. En la barra Aplicar cambios, haga clic en Aplicar.
Importacin de la configuracin a Forefront TMG
Use el siguiente procedimiento para importar la configuracin de ISA Server a Forefront TMG.
Para importar la configuracin a Forefront TMG
1. En el rbol de la consola de administracin de Forefront TMG, obtenga acceso al nodo raz:

En un equipo con Forefront TMG, expanda Microsoft Forefront Threat Management Gateway y, a continuacin, haga clic en ServerName.

En un equipo de EMS, haga clic en Microsoft Forefront Threat Management Gateway.
2. En la pestaa Tareas, haga clic en Importar (restaurar) configuracin.
3. En Buscar en, vaya a la carpeta que contiene el archivo que desea importar.
4. En el paso Seleccionar el archivo de importacin, en Nombre de archivo, especifique el nombre del archivo .xml que va a importar.
5. Especifique la contrasea necesaria para descifrar la informacin confidencial.

Actualizacin de Forefront TMG Standard Edition a Forefront TMG Enterprise Edition
Para actualizar Forefront TMG a la versin Enterprise Edition, adquiera una licencia para su servidor y obtenga una nueva clave para el producto.
Para actualizar a Enterprise Edition
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Sistema.
2. En la ficha Sistema, haga clic con el botn secundario en el servidor y, a continuacin, haga clic en Propiedades.
3. Haga clic en la ficha Id. del producto y, a continuacin, en Actualizar a Enterprise Edition.
4. Escriba la clave del producto Forefront TMG Enterprise Edition.
5. Haga clic en Aceptar para cerrar el cuadro de dilogo Introduccin de clave de producto y, a continuacin, haga clic en Aceptar para cerrar el cuadro de dilogo
Propiedades del sistema.
Nota:

80
Tras la actualizacin, el Id. de producto mostrado en la pgina Acerca de Forefront Threat Management Gateway en el apartado Ayuda es el identificador del
producto anterior. Esto no afecta al comportamiento de la empresa.

Puede migrar las siguientes instalaciones de la versin candidata de versin comercial (RC) de Forefront TMG a la versin para fabricacin (RTM) de Forefront TMG:

Servidor de Forefront TMG Standard Edition

Servidor independiente de Forefront TMG Enterprise Edition

Forefront TMG Enterprise Management Server (EMS)
Para la migracin de Forefront TMG RC a RTM son necesarios los pasos siguientes:
1. Exportar la configuracin de Forefront TMG RC. Para obtener instrucciones, vea Exportar la configuracin de Forefront TMG RC.
2. Desinstalar Forefront TMG RC del servidor. Para obtener instrucciones, vea Desinstalacin de Forefront TMG.
3. Instalar Forefront TMG RTM en el servidor. Para obtener instrucciones, vea Instalacin de Forefront TMG y Instalacin de un servidor Enterprise Management
Server (EMS) para la administracin centralizada.
4. Importar la configuracin de Forefront TMG RC a Forefront TMG RTM. Para obtener instrucciones, vea Importar la configuracin a Forefront TMG RTM.
Exportar la configuracin de Forefront TMG RC
Para exportar la configuracin de Forefront TMG RC
1. En la consola de administracin de Forefront TMG, obtenga acceso al nodo raz:

En un servidor de Forefront TMG, expanda Microsoft Forefront Threat Management Gateway y, a continuacin, haga clic en Server_Name.

En un servidor EMS, haga clic en Microsoft Forefront Threat Management Gateway.
2. En la pestaa Tareas, haga clic en Exportar (hacer copia de seguridad) configuracin.
3. En la pgina Exportar preferencias del Asistente para exportacin:
a. Seleccione Exportar informacin confidencial y, a continuacin, especifique una contrasea que contenga por lo menos ocho caracteres.
b. Seleccione Exportar configuracin de permisos de usuario. Al exportar informacin confidencial, se incluye la siguiente informacin en los datos exportados:

Credenciales usadas para alertas, registro, informes, trabajos de informes, rutas principal y de copia de seguridad, conexiones de acceso telefnico y publicacin de
web.

El secreto compartido especific si se utiliza un servidor RADIUS.

La clave previamente compartida especificada para la configuracin de seguridad del Protocolo Internet (IPsec).
La informacin confidencial se cifra durante el proceso de exportacin. La contrasea se utiliza para descifrar la informacin durante el proceso de importacin.
Importante:
Para importar la configuracin a Forefront TMG RTM, debe seleccionar la opcin Exportar informacin confidencial exista o no la informacin en el sistema.
4. En Guardar los datos en este archivo, especifique la carpeta en la que se guardar el archivo de exportacin.
Importar la configuracin a Forefront TMG RTM
Para importar la configuracin de Forefront TMG RC
1. En la consola de administracin de Forefront TMG, obtenga acceso al nodo raz:

En un servidor de Forefront TMG, expanda Microsoft Forefront Threat Management Gateway y, a continuacin, haga clic en Server_Name.

En un servidor EMS, haga clic en Microsoft Forefront Threat Management Gateway.
2. En la pestaa Tareas, haga clic en Importar (restaurar) configuracin.
3. En Buscar en, vaya a la carpeta con el archivo que est importando.
4. En Nombre, especifique el nombre del archivo .xml que va a importar.
5. Especifique la contrasea necesaria para descifrar la informacin confidencial.

Actualizar Forefront TMG Evaluation a RTM
Hay dos maneras de actualizar la versin de evaluacin de Forefront TMG con la versin completa:

Inserte el DVD de la versin completa de Forefront TMG y ejecute la instalacin (no es necesario desinstalar antes la versin de evaluacin). Forefront TMG se
reinstalar, conservando su configuracin.
Importante:
No puede ejecutar esta instalacin desde un recurso compartido de red.

81

Alternativamente, puede desinstalar primero la versin de evaluacin y, a continuacin, instalar la versin completa de Forefront TMG. Si tambin desea conservar la
configuracin, asegrese de exportarla desde el nodo raz antes de desinstalar la versin de evaluacin de Forefront TMG; despus de instalar la versin completa de
Forefront TMG, importe la configuracin.
Nota:
Este procedimiento es idntico al que se describe en Migracin de Forefront TMG RC a RTM

Instalacin de Forefront TMG
Importante:
Si est instalando Forefront TMG Service Pack 1, vea Instalacin de Forefront TMG SP1 y Notas de la versin de Forefront TMG 2010 SP1.
En los siguientes temas se proporciona informacin para la instalacin de Forefront TMG:

Preparacin de la instalacin

Preparacin para la instalacin en un entorno de grupo de trabajo

Instalacin de servicios Forefront TMG

Installing Forefront TMG on a domain controller

Instalacin de un servidor Enterprise Management Server (EMS) para la administracin centralizada

Instalacin de la consola de administracin para tareas de administracin remota

Desinstalacin de Forefront TMG
Preparacin de la instalacin
Antes de instalar Forefront TMG, debe ejecutar la herramienta de preparacin para comprobar que las aplicaciones necesarias para la correcta instalacin de Forefront TMG
se han instalado en su equipo. Si ejecuta Forefront TMG sin ejecutar previamente la herramienta de preparacin, Forefront TMG no se instalar en caso de que el equipo no
incluya las aplicaciones necesarias. Estas aplicaciones varan en funcin del tipo de instalacin:

Forefront TMG Administracin de Forefront TMG Enterprise Management System
Funciones y caractersticas de Windows
Servidor de directivas de redes
S No No
Servicios de enrutamiento y acceso remoto
S No No
Herramientas de Active Directory Lightweight Directory Services
S No S
Herramientas de equilibrio de carga en la red
S No No
Windows PowerShell
S No No
Microsoft .NET 3.5 Framework SP1 S No S
Microsoft Windows Installer 4.5 S No S
Windows Update S No No
API de Windows Web Services S No No
Importante:
La herramienta de preparacin requiere una conexin a Internet para descargar e instalar las aplicaciones necesarias. Por ejemplo, si Forefront TMG se est ejecutando
detrs de un servidor proxy, es posible que sea necesario configurar el proxy para permitir el acceso del servidor de Forefront TMG a Internet.
Si estas aplicaciones an no estn instaladas en su equipo, la herramienta de preparacin las descargar e instalar.
Nota:
Despus de ejecutar la herramienta de preparacin y antes de instalar Forefront TMG, debe reiniciar el equipo.

82
Para ejecutar la herramienta de preparacin
En la pgina Tipo de instalacin, seleccione la opcin de tipo de instalacin requerida:

Administracin y servicios de Forefront TMG.

Solo Administracin de Forefront TMG

Enterprise Management Server (EMS) para la administracin centralizada de matrices
La herramienta de preparacin descarga e instala las aplicaciones que se consideran requisito previo, segn el tipo de instalacin de Forefront TMG seleccionado.
En la pgina Preparacin completada de la herramienta de preparacin, seleccione Iniciar el Asistente para la instalacin de Forefront TMG y, a continuacin, haga
clic en Finalizar.

Preparacin para la instalacin en un entorno de grupo de trabajo
En los temas siguientes se describen las tareas necesarias para preparar su entorno antes de instalar Forefront TMG en un grupo de trabajo:

Creacin de FQDN para los servidores de Forefront TMG

Creacin de cuentas de usuario

Creacin de certificados

Creacin de FQDN para los servidores de Forefront TMG
En este tema se describe cmo crear un nombre de dominio completo (FQDN) para Forefront TMG en un grupo de trabajo. El FQDN es un nombre utilizado para permitir
que los miembros de matriz y Enterprise Management Server (EMS) se comuniquen entre s. FQDN no est disponible de manera predeterminada en ningn grupo de
trabajo, por lo que debe crear el mismo nombre para cada servidor de Forefront TMG y para el EMS.
El procedimiento siguiente describe cmo crear un FQDN para un servidor en un grupo de trabajo.
Para crear un FQDN para un servidor de Forefront TMG
1. Haga clic en Inicio, seleccione Panel de control y, a continuacin, haga doble clic en Sistema.
2. Haga clic en la ficha Nombre de equipo.
3. Haga clic en el botn Cambiar y, a continuacin, en el cuadro de dilogo Nombre de equipo/Cambios de dominio, haga clic en el botn Ms.
4. En el cuadro de dilogo Sufijo DNS y nombre de equipo NetBIOS, en Sufijo DNS principal de este equipo, especifique el sufijo DNS que se va a anexar al nombre del
equipo. A continuacin, haga clic en Aceptar.
5. Despus de aplicar los cambios, reinicie el equipo para inicializarlo con su nuevo nombre de FQDN.
6. Compruebe que todos los servidores de Forefront TMG funcionen con el FQDN de todos los servidores (incluido el suyo propio) en IPv4.
Repita este proceso en cada uno de los servidores de Forefront TMG

Creacin de cuentas de usuario
En este tema se describe cmo crear cuentas de usuario para los servidores de Forefront TMG en un grupo de trabajo. Forefront TMG utiliza las cuentas del reflejo para
administrar los distintos servidores porque no puede definir una cuenta compartida fuera de un dominio. Tiene que definir una cuenta de administrador de reflejo en todos
los servidores creando un usuario con el mismo nombre y contrasea que el grupo de administradores local de cada servidor.
Importante:
Al crear las cuentas de usuario, no debera especificar ningn dominio ni prefijo del nombre del equipo.
Para crear una cuenta de usuario con privilegios de administrador
1. En Administracin de equipos en el servidor Forefront TMG, haga clic en Usuarios y grupos locales, haga clic con el botn secundario en Usuarios y, a continuacin,
seleccione Nuevo usuario.
2. En Nuevo usuario, escriba un nombre para el grupo, escriba una contrasea y haga clic en Crear. A continuacin, haga clic en Cerrar.
3. En Grupos, haga clic con el botn secundario en el grupo Administradores y, a continuacin, seleccione Agregar a grupo.
4. Haga clic en Agregar y escriba el nombre del usuario que ha creado.
5. Haga clic en Comprobar nombres y, a continuacin, en Aceptar.
Creacin de certificados
Lightweight Directory Access Protocol (LDAPS) requiere certificados de autenticacin de servidor. Este protocolo se utiliza para la comunicacin entre el servidor de
almacenamiento de configuracin y los servidores de Forefront TMG en una implementacin de grupo de trabajo.
El certificado se debe instalar como un certificado personal del servicio ADAM_ISASTGCTRL en el servidor de almacenamiento de configuracin. El certificado se debe
instalar durante la instalacin de Forefront TMG o despus de ella. El asunto del certificado debe ser el FQDN del servidor de almacenamiento de configuracin con el fin
de que los dems servidores de Forefront TMG acepten el certificado. Despus de instalar el certificado en el servidor de almacenamiento de configuracin, se debe instalar
el certificado de la entidad correspondiente en los otros servidores en el espacio destinado a certificados de Equipos locales con la clasificacin de "Entidades de
certificacin raz de confianza". Puede crear un certificado a travs de su propia entidad u obtener un certificado de una entidad global. Si los certificados son para uso
interno, se recomienda que cree una entidad de carcter local, de manera que ya no sea necesaria la adquisicin de un certificado comercial.
Los siguientes procedimientos describen cmo se crea y se exporta un certificado de servidor.
Creacin de un certificado de servidor

83
Para crear un certificado de servidor
1. En el equipo de la entidad de certificacin, vaya a: http://localhost/certsrv.
2. Haga clic en Solicitar un certificado.
3. Seleccione Solicitud de certificado avanzada.
4. Seleccione Crear y enviar una solicitud a esta entidad.
5. En Nombre, proporcione un nombre para el certificado. Para evitar que el cliente reciba un mensaje de error al intentar establecer la conexin, es vital que el
nombre comn especificado para el certificado coincida con el nombre del servidor. En nombre comn, escriba el nombre completo del host para el servidor de
almacenamiento de configuracin en el que se instalar el certificado, como server01.east.fabrikam.com.
6. Complete el formulario y seleccione Certificado de autenticacin de servidor en la lista desplegable Tipo.
7. Seleccione Marcar claves como exportables.
8. Seleccione Almacenar el certificado en el almacn de certificados del equipo local o Usar almacn de equipo local y haga clic en Enviar para enviar la solicitud.
Lea el mensaje de advertencia que aparece y haga clic en S.
9. Haga clic en su solicitud y elija Instalar este certificado.
Exportacin del certificado de servidor
Para exportar el certificado de servidor
1. En el men Iniciar, haga clic en Ejecutar. Escriba MMC y, a continuacin, haga clic en Aceptar.
2. En MMC, haga clic en Archivo y, a continuacin, en Agregar o quitar complemento.
3. En Agregar o quitar complemento, haga clic en Agregar para abrir el cuadro de dilogo Agregar un complemento independiente. En la lista de complementos,
seleccione Certificados y, a continuacin, haga clic en Agregar.
4. En Complemento de certificados, seleccione Cuenta de equipo y, a continuacin, haga clic en Siguiente. En Seleccionar equipo, compruebe que est seleccionado
Equipo local (el valor predeterminado) y, a continuacin, haga clic en Finalizar. Haga clic en Cerrar y, a continuacin, en Aceptar.
5. En la consola de MMC, expanda Certificados (equipo local) y Personal y haga clic en Certificados.
6. En el panel de detalles, haga clic con el botn secundario en el certificado recin creado (muestra el nombre de dominio completo (FQDN) del servidor de
almacenamiento de configuracin), seale Todas las tareas y seleccione Exportar.
7. En la pgina de bienvenida del Asistente para exportacin de certificados, haga clic en Siguiente.
8. En la pgina Exportar clave privada, seleccione Exportar la clave privada y haga clic en Siguiente.
9. En la pgina Formato de archivo de exportacin, seleccione Si es posible, incluir todos los certificados en la ruta de certificados, deje sin modificar los dems
ajustes predeterminados y, a continuacin, haga clic en Siguiente.
10. En la pgina Contrasea, puede proporcionar y confirmar una contrasea y, a continuacin, hacer clic en Siguiente.
11. En la pgina Archivo para exportar, haga clic en Examinar y vaya a la ubicacin en la que desee almacenar el archivo de certificado exportado. Esta puede ser
cualquier ubicacin de la que la instalacin de Forefront TMG pueda recuperar con facilidad el archivo al instalar los servicios de Forefront TMG en los que se
incluye el servidor de almacenamiento de configuracin. Haga clic en Siguiente.
12. En la pgina de resumen, haga clic en Finalizar.
13. Cierre MMC. Guarde la configuracin de la consola con un nombre descriptivo, como, por ejemplo, CertificadosEquipoLocal.
Instalacin de servicios Forefront TMG
Puede instalar Forefront TMG en un equipo en modo interactivo o desatendido. Para obtener informacin sobre estos modos de instalacin, consulte Planeacin de la
instalacin de Forefront TMG.
En los siguientes temas se proporcionan las instrucciones de instalacin:

Instalacin de los servicios de Forefront TMG en modo interactivo

Instalar los servicios de Forefront TMG en modo desatendido

Configuracin de Forefront TMG para la implementacin de grupos de trabajo
Instalacin de los servicios de Forefront TMG en modo interactivo
En este tema se describe cmo instalar Forefront TMG en un equipo en modo interactivo. En el modo interactivo, supervisa el proceso de instalacin y escribe la
informacin de instalacin necesaria cuando el proceso de instalacin la solicita. Para ejecutar la instalacin en modo interactivo, debe ser miembro del grupo
Administradores en el equipo local.
Para obtener instrucciones sobre cmo instalar Forefront TMG en modo desatendido, vea Instalar los servicios de Forefront TMG en modo desatendido.
Instalacin de Forefront TMG en modo interactivo
Para ejecutar una instalacin interactiva
1. Inserte el DVD de Forefront TMG en la unidad de DVD o ejecute autorun.hta desde una unidad de red compartida.
2. En la pgina de instalacin principal, haga clic en Ejecutar Windows Update. Windows Update podra requerir que el equipo se reinicie una o varias veces. Si el equipo
se reinicia, debe iniciar de nuevo la pgina de instalacin, tal y como se describe en el paso 1 de este procedimiento.
3. En la pgina de instalacin principal, haga clic en Herramienta de preparacin de la ejecucin para iniciar la herramienta de preparacin. Para obtener instrucciones
sobre cmo ejecutar la herramienta de preparacin, vea Preparacin de la instalacin.
4. En la pgina de instalacin principal, haga clic en Ejecutar Asistente para la instalacin para iniciar el Asistente para la instalacin de Forefront TMG.
5. En la pgina Tipo de instalacin, haga clic en el botn Servicios y administracin de Forefront TMG.
6. En la pgina Ruta de instalacin, especifique la ruta de instalacin de Forefront TMG.
7. En la pgina Definir red interna, haga clic en Agregar, haga clic en Agregar adaptador y, a continuacin, seleccione el adaptador que est conectado a la red
corporativa principal. Vea Agregar direcciones IP a la red interna a continuacin.
Nota:
Si va a instalar Forefront TMG en un equipo con un nico adaptador de red, todos los intervalos de direcciones IP se deberan configurar para la red interna, salvo el
siguiente:
0.0.0.0
255.255.255.255
127.0.0.0-127.255.255.255 (Host local)
224.0.0.0-254.255.255.255 (multidifusin)

84
8. En la pgina Listo para instalar el programa, haga clic en Instalar.
Nota:
La primera vez que ejecuta la consola de administracin de Forefront TMG, el Asistente de introduccin se inicia automticamente y le permite modificar la
configuracin de las direcciones IP de las redes y configurar la actualizacin. Para obtener ms informacin, vea Configurar los valores de implementacin
iniciales.
Nota:
Despus de reiniciar el equipo o los servicios de Forefront TMG, puede que aparezca el siguiente mensaje de error:
Forefront TMG detect filtros de la Plataforma de filtrado de Windows que pueden ocasionar conflictos de directiva en el servidor. Los siguientes proveedores
podran definir filtros que ocasionen conflictos con la directiva de firewall de Forefront TMG: Microsoft Corporation.
Si aparece este mensaje, deshabilite la alerta para que no aparezca de nuevo, puesto que no indica un conflicto real.
Agregar direcciones IP a la red interna
En la pgina Direcciones, seleccione alguno de los mtodos siguientes para agregar las direcciones a la red interna:

Agregar intervalo: agregue un intervalo de direcciones IP. Debe especificar la direccin IP inicial y final del intervalo; por ejemplo, 10.0.0.1 a 10.0.0.255.

Agregar adaptador: seleccione un adaptador de red. Las direcciones IP que estn incluidas en la red interna se basan en la direccin IP y la mscara de subred del adaptador
seleccionado.

Agregar privada: agregue direcciones IP definidas como no enrutables, segn el documento de solicitud de comentarios (RFC) 1918 y la caracterstica Direccin IP privada
automtica (APIPA). Para obtener ms informacin sobre las direcciones privadas, vea RFC1918 (http://rfc.net/rfc1918.html) y How to use automatic TCP/IP addressing
without a DHCP server (http://go.microsoft.com/fwlink/?linkid=51291).
En la tabla siguiente se muestran los intervalos de direcciones IP permitidos, segn RFC 1918 o APIPA.
Intervalo de direcciones IP RFC 1918 o APIPA
10.0.0.010.255.255.255 RFC 1918
172.16.0.0172.31.255.255 RFC 1918
192.168.0.0192.168.255.255 RFC 1918
169.254.0.0169.254.255.255 APIPA
Instalar los servicios de Forefront TMG en modo desatendido
Puede instalar Forefront TMG mediante una instalacin desatendida del servidor. Para ejecutar la instalacin en el modo desatendido, debe preparar la informacin de
instalacin en un archivo que usa el proceso de instalacin durante la misma. Al ejecutar un comando, en este modo, se activa la instalacin y lee la configuracin de un
archivo de respuesta. No es necesario que supervise el proceso de instalacin y escriba la informacin de instalacin cuando se pida en el proceso de configuracin. Este
modo se recomienda para la implementacin de varios servidores de Forefront TMG.
Nota:
Para ejecutar una instalacin desatendida, debe ser miembro del grupo Administradores en el equipo local.
Se recomienda deshabilitar el protector de pantalla antes de realizar una instalacin desatendida; el proceso de instalacin se pausar si el protector de pantalla del
equipo est activado.
Para ejecutar una instalacin desatendida
1. Cree un archivo de respuesta con los parmetros necesarios o modifique el archivo de respuesta de instalacin de ejemplo de Forefront
TMG(InstallStandaloneServer.ini). Puede consultar a continuacin una descripcin de los parmetros en Parmetros del archivo de respuesta.
2. Escriba lo siguiente en la ventana del smbolo del sistema:
RutaDeAccesoAInstalacinISA \Setup.exe [/r]/v" /q[b|n] FULLPATHANSWERFILE=\"RutaDeAccesoAArchivoINI\NombreDeArchivo.ini\""
donde:

RutaDeAccesoAInstalacinISA es la ruta de acceso a los archivos de instalacin de Forefront TMG. La ruta de acceso puede ser la carpeta raz del CD de Forefront
TMG o una carpeta compartida (en la red) que contenga los archivos de Forefront TMG.

/r indica una reinstalacin desatendida.

/q establece el nivel de la interfaz de usuario:

q, qn: no hay interfaz de usuario.

qb: interfaz de usuario bsica; solo con la barra de progreso de la instalacin y los mensajes de error.

RutaDeAccesoAArchivoINI es la ruta de acceso a la carpeta que contiene la informacin de la instalacin desatendida.

NombreDeArchivo.inies el nombre del archivo de respuesta.
Por ejemplo, el comando siguiente realiza una instalacin desatendida utilizando el archivo InstallStandaloneServer.ini de ejemplo como archivo de respuesta. Se
encuentra en la unidad C:\Microsoft Forefront TMG.
/v" /qn FULLPATHANSWERFILE="C:\Microsoft Forefront TMG\Unattended_Setup_Sample\InstallStandaloneServer.INI\""

El archivo InstallStandaloneServer.ini contiene informacin de configuracin que el programa de instalacin usa en modo desatendido. No tiene ningn efecto en una
instalacin interactiva de Forefront TMG.

Si no especifica un parmetro en el archivo, se utiliza el valor predeterminado.

85

El archivo InstallStandaloneServer.ini se encuentra en la carpeta siguiente en el CD de Forefront TMG:

FPC\Unattended_Setup_Sample

En una configuracin Enterprise, hay varios archivos de respuesta de ejemplo adicionales, tal y como se describe en la tabla siguiente.
Nombre de archivo Descripcin
InstallStandaloneServer.ini Instala un equipo que ejecuta los servicios de Forefront TMG.
InstallRemoteManagement.ini Solo instala la administracin de TMG.
InstallEnterpriseManagementServer.ini Instala un servidor Enterprise Management Server.
Uninstallserver.ini Desinstala un servidor.
Parmetros del archivo de respuesta
En la tabla siguiente se describen las entradas y los valores del archivo InstallStandaloneServer.ini del servidor.
Entrada Descripcin Obligatorio u opcional
PIDKEY Especifica la clave del producto. Se trata de un nmero con 25
dgitos que se encuentra en el reverso de la caja del CD de Forefront
TMG.
Se requiere en todos los escenarios
de instalacin.
UPDATESUPPRESS De forma predeterminada, Forefront TMG inicia una deteccin de las
actualizaciones en todo el sistema mediante Windows Update. Si se
especifica este parmetro, Forefront TMG no inicia la deteccin de
las actualizaciones.
Opcional.
INTERNALNETRANGES Especifica el intervalo de direcciones en la red interna.
InstallStandaloneServer.ini debe especificar una direccin IP al
menos; de lo contrario, el programa de instalacin da error. La
sintaxis es:
N De1-A1, De2-A2,... DeN-AN
donde N es el nmero de intervalos y De1-A1 representa a las
direcciones IP inicial y final de cada intervalo.
Obligatorio.
InstallDir={directorioDeInstalacin} Especifica la carpeta de instalacin de Forefront TMG. Si no se
especifica, el valor predeterminado es la primera unidad de disco con
suficiente espacio. La sintaxis es:
Unidad:\Carpeta
La carpeta predeterminada es: %Program Files%\Microsoft Forefront
TMG
Opcional para todos los escenarios
de instalacin.
COMPANYNAME=NombreDeCompaa Especifica el nombre de la compaa que instala el producto. Opcional para todos los escenarios
de instalacin.
DONOTDELLOGS = {0|1} Si el valor est establecido en 1, no se eliminan los archivos de
registro del equipo. El valor predeterminado es 0.
Opcional para desinstalar.
DONOTDELCACHE = {0|1} Si el valor est establecido en 1, no se eliminan los archivos cach
del equipo. El valor predeterminado es 0.
Opcional para desinstalar.
ADDLOCAL= {Storage_Server,MSFirewall_Management
}, {MSFirewall_Management}, {
Storage_Server,MSFirewall_Services,
MSFirewall_Management}
Especifica una lista de caractersticas (delimitada por comas) que se
deben instalar en el equipo para cada escenario de instalacin: EMS
(Storage_Server,MSFirewall_Management), Solo Administracin de
Forefront TMG (MSFirewall_Management) y Servidor
independiente (Storage_Server,MSFirewall_Services,
MSFirewall_Management)
Sugerencia:
En el escenario de EMS, Storage_Server hace referencia al
servidor EMS y, en el escenario independiente, hace referencia
al servidor de almacenamiento de configuracin.

Opcional para todos los escenarios
de instalacin. No se admite para
los modos de reparacin o
instalacin.
REMOVE=ALL Especifica que todas las caractersticas se deben quitar del servidor. Opcional para todos los escenarios
de instalacin.
IMPORT_CONFIG_FILE =ArchivoDeImportacin.xml No se admite. No se admite.
MIGRATION_PASSWORD No se admite. No se admite.
Empresa: ARRAY_AUTHENTICATIONMETHOD Ya no se admite este parmetro

86
Empresa:
ARRAY_DESCR
Describe la matriz.
Valor predeterminado: vaco.
Opcional
Empresa:
ARRAY_MODE
Especifica que la instalacin del servidor crea una nueva matriz.
Valor posible: New
Valor predeterminado: New.
Opcional
Empresa:
ARRAY_DNS_NAME
Especifica el nombre que los clientes de proxy web y Firewall
utilizan al conectarse a la matriz.
Valor predeterminado: NombreDeEquipo.
Opcional
Empresa:
ARRAY_ENTERPRISEPOLICY
Especifica qu directiva de empresa utilizar. Valor predeterminado:
Array Policy Only.
Obligatorio al instalar un servidor
en una nueva matriz. No se debera
especificar al instalar un servidor
Enterprise Management Server.
Empresa:
ARRAY_INTERNALNET
Especifica el intervalo de direcciones IP en las redes internas de la
nueva matriz. Define la descripcin de la nueva matriz.
N De1-A1, De2-A2,... DeI-AI
donde N es el nmero de intervalos y DeI-AI representa a las
direcciones IP inicial y final de cada intervalo.
Necesario al instalar los servicios
de Forefront TMG
Empresa:
ARRAY_INTERNALNET_ENTERPRISE_NETS
Especifica los nombres de las redes de empresa que estn incluidas
en la red interna de la matriz.
Sintaxis: "red1" "red2""redN".
Si un nombre de red contiene comillas dobles ("), reemplcelas con
dos comillas dobles ("").
Opcional si se especifica
ARRAY_INTERNALNET.
No se debera especificar al instalar
un servidor Enterprise
Management Server.
Empresa:
ARRAY_NAME
Especifica el nombre de la nueva matriz.
Valor predeterminado: nombre de equipo (para la instalacin de la
nueva matriz).
Opcional. No se usa al instalar el
escenario de Enterprise
Management Server.
Empresa:
CLIENT_CERTIFICATE_FULLPATH
No se admite. No se admite.
Empresa:
ENTERPRISE_DESCR
Describe la empresa.
Valor predeterminado: vaco.
Opcional al instalar el escenario de
Empresa:
ENTERPRISE_MODE
Especifica si el servidor Enterprise Management Server es una
empresa nueva o una rplica de un servidor Enterprise Management
Server existente. Valores posibles: New o Replica. Valor
predeterminado: New.
Opcional. Se usa al instalar
Empresa:
ENTERPRISE_NAME
Especifica el nombre de la empresa.
Valor predeterminado: Enterprise.
Opcional. Se usa al instalar
Empresa:
HOST_ID
Especifica el identificador de host del miembro de matriz. Cada
miembro de matriz debe tener un nmero de identificador de host
diferente.
Valor predeterminado: se asigna automticamente.
Opcional. No se usa al instalar
INTRA_ARRAY_ADDRESS_IP Define la direccin IP que usan para la comunicacin los equipos con
Forefront TMG que estn en la misma matriz. La direccin IP debe
ser una direccin IP en el equipo con Forefront TMG.
Opcional. No se usa al instalar
SERVER_CERTIFICATE_FULLPATH Especifica qu certificado de servidor utilizar. Opcional al instalar lo siguiente:
Escenario de Enterprise
Management Server.
Servidor independiente.
Se requiere en escenarios que
contienen grupos de trabajo o
dominios que no son de confianza.
SERVER_CERTIFICATE_PASSWORD Especifica la contrasea para el certificado de servidor. Debe
establecer SERVER_CERTIFICATE_PASSWORD cuando en
SERVER_CERTIFICATE_FULLPATH se especifica un certificado
cifrado.
Opcional al instalar lo siguiente:
Escenario de Enterprise
Management Server.
Servidor independiente.
Se requiere en escenarios que
contienen grupos de trabajo o
dominios que no son de confianza.

87
STORAGESERVICE_ACCOUNT No es compatible No se admite.
STORAGESERVER_COMPUTERNAME Especifica el nombre de dominio completo (FQDN) del servidor
Enterprise Management Server al que conectarse.
Un servidor Enterprise
Management server de rplica
(cuando ENTERPRISE_MODE
est establecido en Replica).
STORAGESERVER_CONNECT_ACCOUNT Especifica el nombre de la cuenta de usuario que se utilizar para
conectarse a STORAGESERVER_COMPUTERNAME. Valor
predeterminado: la cuenta de usuario que tiene iniciada una sesin
actualmente.
Opcional al instalar la rplica del
servidor Enterprise Management
Server.
STORAGESERVER_CONNECT_PWD Especifica, en texto simple, una contrasea para
STORAGESERVER_CONNECT_ACCOUNT. Valor
predeterminado: la contrasea del usuario que tiene iniciada una
sesin actualmente.
Opcional al instalar la rplica del
servidor Enterprise Management
Server.
STORAGESERVICE_PWD No se admite. No se admite.
SUPPORT_EARLIER_CLIENTS Especifica si los clientes en los que se ejecutan versiones anteriores
del cliente firewall o de sistemas operativos pueden conectarse a esta
matriz de Forefront TMG. Valores posibles: 0 (valor predeterminado)
o 1.
Opcional. No se usa al instalar el
escenario de Enterprise
Management Server.

Configuracin de Forefront TMG para la implementacin de grupos de trabajo
En el tema se describe cmo configurar Forefront TMG para una implementacin de grupo de trabajo, despus de una instalacin de Forefront TMG.
En una implementacin de grupo de trabajo, debe instalar un certificado de autenticacin de servidor en el equipo Forefront TMG para habilitar la comunicacin entre el
servidor de almacenamiento de configuracin y los servidores Forefront TMG.
Requisitos previos
Antes de comenzar, asegrese de completar los pasos descritos en Preparacin para la instalacin en un entorno de grupo de trabajo.
Para instalar un certificado de servidor de almacenamiento
1. En el rbol de la consola de Administracin de Forefront TMG, haga clic en el nodo Sistema y, en el panel de detalles, haga clic en la ficha Servidores.
2. En la ficha Tareas, haga clic en Instalar certificado de servidor.
3. Busque el certificado de servidor que cre al preparar el entorno de grupo de trabajo. Vea Creacin de certificados.
4. Compruebe que la casilla Crear automticamente el certificado de entidad de certificacin raz en este administrador de matriz est activada.
Nota:
Otros servidores Forefront TMG en la matriz deben tener el certificado de entidad de certificacin raz emitido por la misma entidad que este certificado de
servidor.
Instalacin de un servidor Enterprise Management Server (EMS) para la administracin centralizada
El servidor Enterprise Management Server (EMS) de Forefront TMG le permite administrar las matrices de Forefront TMG de forma centralizada. Puede crear y actualizar
directivas de empresa, y crear reglas de directivas que puede asignar entonces a las matrices de la empresa.
El procedimiento siguiente describe cmo instalar un EMS para la administracin centralizada.
Nota:
El equipo debe estar conectado a Internet durante el proceso de instalacin.
Para instalar un servidor Enterprise Management Server (EMS) para la administracin centralizada
1. Inserte el DVD de Forefront TMG en la unidad de DVD o ejecute autorun.hta desde una unidad de red compartida.
2. En la pgina de instalacin principal, haga clic en Ejecutar Windows Update. Windows Update podra requerir que el equipo se reinicie una o varias veces. Si el equipo
se reinicia, debe volver a iniciar la instalacin, tal y como se describe en el paso 1.
3. En la pgina de instalacin principal, haga clic en Herramienta de preparacin de la ejecucin para iniciar la herramienta de preparacin de Forefront TMG. Para
obtener instrucciones sobre cmo ejecutar la herramienta de preparation, vea Preparacin de la instalacin.
4. En la pgina de instalacin principal, haga clic en Ejecutar Asistente para la instalacin para iniciar el Asistente para la instalacin de Forefront TMG.
5. En la pgina Escenarios de instalacin, haga clic en Enterprise Management Server para la administracin centralizada de matrices.
6. En la pgina Ruta de instalacin, especifique la ruta de instalacin de Forefront TMG.
7. En la pgina Configuracin de Enterprise Management Server:

Haga clic en Crear una nueva configuracin de empresa en este EMS para crear directivas nuevas de empresa y reglas de directivas para esta instalacin de EMS.

Haga clic en Copiar una configuracin de empresa existente en este EMS para duplicar la configuracin de empresa de un EMS existente en este equipo. La
configuracin copiada incluye las directivas de empresa y la configuracin de las matrices de la empresa.
8. Si seleccion Crear una nueva configuracin de empresa en este EMS, en la pgina Crear nueva empresa, escriba el nombre de la empresa en el cuadro Nombre de
empresa y una breve descripcin de la empresa en el cuadro Descripcin.
9. Si seleccion Copiar una configuracin de empresa existente en este EMS, en la pgina Buscar servidor de Almacenamiento de configuracin, escriba el nombre de
dominio completo (FQDN) del EMS de donde copiar la configuracin de empresa y, a continuacin, seleccione qu cuenta de usuario se utilizar al conectarse al
servidor de almacenamiento de configuracin.

88
Importante:
Antes de copiar la configuracin de empresa de un EMS existente, en este debe agregar el nuevo equipo EMS a Replicar servidores de almacenamiento de
configuracin en Conjuntos de equipos de Objetos de red.
10. En la pgina Origen de rplica de configuracin de Forefront TMG:
1. Haga clic en Replicar a travs de la red para copiar la configuracin a travs de la red.
2. Haga clic en Copiar de los archivos de copia de seguridad restaurados para copiar la configuracin de una carpeta de copia de
seguridad.
11. En la pgina Entorno de implementacin de empresa, seleccione el tipo de miembros de la implementacin de empresa de Forefront TMG.
1. Haga clic en nica implementacin de dominio si los equipos de empresa estn en el mismo dominio.
2. Haga clic en Implementacin de grupo de trabajo si los equipos de empresa residen en un grupo de trabajo. Debe instalar un
certificado de servidor. Para obtener ms detalles sobre cmo instalar los certificados de servidor, vea Creacin de certificados
12. En la pgina final, puede seleccionar abrir la consola de Administracin de Forefront TMG inmediatamente.

Configuracin de matrices en EMS para la implementacin de grupos de trabajo
En este tema se describe cmo configurar las matrices en una empresa para una implementacin de grupo de trabajo:

Configuracin de la autenticacin para las matrices de un grupo de trabajo: describe cmo configurar el tipo de autenticacin para un entorno de grupo de trabajo, de modo
que los equipos de Forefront TMG de la matriz puedan conectarse al servidor de almacenamiento de la configuracin.

Asignacin de roles a los usuarios: describe cmo asignar roles a los usuarios en la matriz.
Configuracin de la autenticacin para las matrices en una implementacin de grupo de trabajo
Para configurar la autenticacin para un grupo de trabajo en la matriz de la empresa
1. En el nombre de la matriz, en la consola de Administracin de Forefront TMG, en la ficha Tareas, haga clic en Configurar propiedades de matriz.
2. Haga clic en la ficha Almacenamiento de configuracin y, a continuacin, haga clic en Seleccionar.
3. Haga clic en Autenticacin a travs de canal cifrado de SSL.
Importante:
Debe haber instalado un certificado digital en el servidor de almacenamiento de la configuracin para permitir la autenticacin a los equipos de Forefront TMG en la
matriz.
Asignacin de roles a los usuarios
Para asignar los roles a los usuarios en la matriz
1. En el nombre de la matriz, en la consola de Administracin de Forefront TMG, en la ficha Tareas, haga clic en Configurar propiedades de matriz.
2. Haga clic en la ficha Asignar roles.
3. Agregue los usuarios y grupos que pueden supervisar la matriz y, a continuacin, agregue a los usuarios con cuentas reflejadas que cre para los equipos de
Forefront TMG en el grupo de trabajo. Para obtener ms informacin sobre cuentas de usuario, vea Creacin de cuentas de usuario.
Nota:
No puede agregar a los usuarios con cuentas reflejadas a menos que haya configurado el tipo de autenticacin, utilizado para las conexiones entre los equipos de
Forefront TMG en la matriz y el servidor de almacenamiento de configuracin, como Autenticacin a travs de canal cifrado de SSL.
Instalacin de la consola de administracin para tareas de administracin remota
En este tema se describe cmo instalar la consola de administracin de Forefront TMG para administrar de manera remota los servidores de Forefront TMG que se
encuentran instalados en otros equipos. Antes de comenzar la instalacin, se recomienda que lea la seccin "Escenarios de instalacin" del tema Planeacin para instalar
Forefront TMG.
Nota:
El equipo debe estar conectado a Internet durante el proceso de instalacin.
El DVD de Forefront TMG instala la versin de 64 bits. Tambin hay una versin de 32 bits disponible para la descarga
Para instalar Forefront Threat Management Gateway Management
1. Inserte el DVD de Forefront TMG en la unidad de DVD o ejecute autorun.hta desde la unidad de red compartida.
2. En la pgina de instalacin principal, haga clic en Ejecutar asistente de instalacin.
3. En la pgina Tipo de instalacin, seleccione Solo Administracin de Forefront TMG.
4. En la pgina Ruta de instalacin, puede cambiar la ruta de instalacin predeterminada.
5. En la pgina Listo para instalar el programa, haga clic en Instalar.
6. Una vez completada la instalacin, si desea abrir Administracin de Forefront TMG, seleccione Iniciar la Administracin de Forefront TMG cuando se cierre el
asistente.
Desinstalacin de Forefront TMG
Al desinstalar Forefront TMG, se quita el servidor de la matriz, desaparecen las instancias de la base de datos de SQL Server para los informes y los registros, y se quita la
configuracin almacenada. As pues, tal vez desee hacer una copia de seguridad de la configuracin antes de proceder a la desinstalacin. Para obtener ms informacin, vea

89
Realizar copias de seguridad y restaurar la configuracin de Forefront TMG. Los programas instalados como requisito previo no se desinstalan.. Para obtener ms
informacin, vea Preparacin de la instalacin.
Para desinstalar Forefront TMG de un servidor, haga lo siguiente:
Para desinstalar Forefront TMG.
1. Haga clic en Inicio y, a continuacin, en Panel de control.
2. Haga doble clic en Programas y caractersticas.
3. Haga clic en Microsoft Forefront Threat Management Gateway y, a continuacin, haga clic en el botn Desinstalar/Cambiar.
Nota:
Los roles y caractersticas de Windows que se instalan durante la instalacin de Forefront TMG no se desinstalan al desinstalar Forefront TMG. Si es necesario,
desinstlelos manualmente tras desinstalar Forefront TMG del servidor.
Instalacin de Forefront TMG en un controlador de dominio
En esta seccin se proporcionan instrucciones acerca de cmo instalar Forefront TMG en un controlador de dominio de solo lectura (RODC). La instalacin de Forefront
TMG en un RODC es distinta de la instalacin tpica de Forefront TMG y tambin lo es de una instalacin tpica de un RODC. Para instalar Forefront TMG en un RODC,
debe completar las siguientes tareas de alto nivel:
1. Preparar el controlador de dominio de oficina principal, que incluye las siguientes tareas:
a. Crear una nueva cuenta de sucursal en Servicios de dominio de Active Directory (AD DS).
b. Crear previamente una cuenta RODC en AD DS.
Nota:
Estas cuentas deben incluir los grupos de seguridad Forefront TMG (o se debe usar el trmino de grupos de "Directiva de replicacin de contrasea"?).
2. Conectar el servidor de sucursal a la cuenta de RODC.
3. Instalar Forefront TMG SP1 mediante una instalacin integrada.
En estas instrucciones se describe cmo realizar una instalacin por fases de un RODC, en la que la instalacin se completa en dos fases por personas distintas. La primera
fase de la instalacin, que requiere credenciales administrativas de dominio, crea una cuenta para el RODC en AD DS. La segunda fase de la instalacin adjunta el servidor
real que ser el RODC en una ubicacin remota, como una sucursal, para la cuenta que se ha creado previamente para l. Puede delegar la capacidad de adjuntar el servidor
para la cuenta a un grupo o usuario no administrativo en la ubicacin remota.
Importante:
El servidor que se convertir en el RODC no se unir al dominio antes de que intente adjuntarlo a la cuenta del RODC. Como parte de la instalacin, el asistente
detecta automticamente si el nombre del servidor coincide con los nombres de cualquier cuenta de RODC que se haya creado por adelantado para el dominio. Cuando
el asistente encuentra un nombre de cuenta coincidente, solicita al usuario que use dicha cuenta para completar la instalacin de RODC. Puede usar el complemento
Usuarios y equipos de Active Directory para crear una cuenta de RODC.
Para obtener ms informacin acerca de los controladores de dominio de solo lectura, vea Gua de planeacin e implementacin de controladores de dominio de solo lectura
(puede estar en ingls) (http://go.microsoft.com/fwlink/?LinkID=160576) y para obtener informacin especfica de la instalacin de RODC por fases, vea Realizar una
instalacin de RODC por fases (puede estar en ingls) (http://go.microsoft.com/fwlink/?LinkID=196009).
En los siguientes temas se proporciona informacin para la instalacin de Forefront TMG en un RODC:

Preparacin del controlador de dominio de oficina principal

Preparacin del RODC

Instalacin de Forefront TMG en el RODC
Preparacin del controlador de dominio de oficina principal
En los procedimientos siguientes se describe cmo configurar un controlador de dominio de oficina principal que ejecute Servicios de dominio de Active Directory (AD DS)
para funcionar con los controladores de dominio de solo lectura (RODC) que se encuentran en las sucursales. En este tema se supone que tiene un controlador de dominio
configurado para la organizacin.

Ensure that the forest functional level is Windows Server 2003 or higher

Run adprep /rodcprep

Install a writable domain controller that runs Windows Server 2008

Create the branch accounts on the HQ DC

Pre-create RODC accounts
Asegrese de que el nivel funcional del bosque es Windows Server 2008 o superior
Cualquier usuario de dominio puede comprobar que el nivel funcional del bosque actual es Windows Server 2008 o superior. Para elevar el nivel funcional del bosque, debe
ser miembro del grupo Admins. del dominio en el dominio raz del bosque o un miembro del grupo Administradores de empresas.
Para asegurarse de que el nivel funcional del bosque es Windows Server 2008 o superior
1. Abra Dominios y confianzas de Active Directory.
2. En el rbol de la consola, haga clic con el botn secundario del mouse en el nombre del bosque y, a continuacin, haga clic en Propiedades.
3. En Nivel funcional del bosque, compruebe que el valor es Windows Server 2008.
4. Si es necesario elevar el nivel funcional del bosque, en el rbol de la consola, haga clic con el botn secundario del mouse en Dominios y confianzas de Active Directory y, a
continuacin, haga clic en Elevar el nivel funcional del bosque.
5. En Seleccione un nivel funcional del bosque disponible, haga clic en Windows Server 2008 y, a continuacin, en Elevar.
Ejecucin de adprep /rodcprep
En este paso se actualizan los permisos en todas las particiones de directorio de aplicaciones DNS en el bosque. Esto les permite replicarse correctamente mediante todos los
RODC que tambin son servidores DNS. Para ejecutar adprep /rodcprep, debe ser miembro del grupo Administradores de empresas.
Nota:

90
No tiene que realizar este paso si est creando un nuevo bosque que solo tendr controladores de dominio que ejecuten Windows Server 2008.
Para obtener ms informacin acerca de este comando, vea Ejecucin de Adprep.exe (puede estar en ingls) (http://go.microsoft.com/fwlink/?LinkID=142597).
Para ejecutar adprep /rodcprep
1. Inicie sesin en un controlador de dominio como miembro del grupo Administradores de empresas.
2. Realice una de las acciones siguientes:

Para Windows Server 2008, copie el contenido de la carpeta \sources\adprep del DVD de instalacin de Windows Server 2008 en el maestro de esquema.

Para Windows Server 2008 R2, copie el contenido de la carpeta \support\adprep del DVD de instalacin de Windows Server 2008 R2.
3. Abra un smbolo del sistema, cambie a la carpeta adprep, escriba el siguiente comando y, a continuacin, presione Entrar:
adprep /rodcprep
Instalacin de un controlador de dominio de escritura que ejecuta Windows Server 2008
Un RODC debe replicar las actualizaciones de dominio desde un controlador de dominio de escritura que ejecuta Windows Server 2008 o Windows Server 2008 R2. Antes
de instalar un RODC, asegrese de instalar un controlador de dominio de escritura que ejecuta Windows Server 2008 o Windows Server 2008 R2 en el mismo dominio. El
controlador de dominio puede ejecutar una instalacin completa o una instalacin Server Core de cualquier versin de Windows Server. En cualquiera de las versiones, no es
necesario que el controlador de dominio de escritura contenga el rol de maestro de operaciones de emulador de controlador de dominio principal (PDC).
Para obtener ms informacin y procedimientos paso a paso para instalar un controlador de dominio de escritura que ejecute Windows Server 2008, vea la gua paso a paso
para la instalacin y eliminacin de Servicios de dominio de Active Directory de Windows Server (http://go.microsoft.com/fwlink/?LinkId=86716).
Creacin de las cuentas de sucursal en el controlador de dominio de oficina principal
Use el script PrepareBranch.cmd para crear:

Una unidad organizativa para la nueva sucursal en el dominio.

Una cuenta de usuario administrativo para la administracin de sucursales.

Siete grupos de seguridad para SQL Server y servidor de informes de Forefront TMG.
Advertencia:
En concreto, se debe prestar atencin especial al uso de los nombres exactos de todas las cuentas de usuario administrativo en el RODC. Un error ortogrfico producir
(qu?).
Para crear las cuentas de sucursal en el controlador de dominio de oficina principal
1. En el controlador de dominio de oficina principal, cree un nuevo directorio (por ejemplo, c:\rodc).
2. Copie el texto siguiente en el Portapapeles.

Copiar cdigo
@echo off REM Este script agrega una unidad organizativa para la nueva oficina en el dominio, REM agrega grupos de seguridad para SQL Server e informes
de TMG SQL REM y crea un usuario para la administracin de sucursales

if [%2]==[] goto :usage

set SQLserverName=%1&rem set OrganizationUnitTree=%~2&rem set password=*&rem if NOT [%3]==[] set password=%3&rem

REM Crear la unidad organizativa para la sucursal si no se ha creado :VerifyOrCreateOU dsquery ou | findstr %OrganizationUnitTree% || ( echo No se encontr el rbol de
unidades organizativas %OrganizationUnitTree% echo Se crear %OrganizationUnitTree% en 10 segundos echo *** Si no desea crear %OrganizationUnitTree% echo
*** Presione Ctrl-C AHORA. timeout /t 10 Echo Creando %OrganizationUnitTree% dsadd ou %OrganizationUnitTree% || goto :OUError goto :VerifyOrCreateOU )

call :AddSecurityGroup "CN=SQLServer2005SQLBrowserUser$%SQLserverName%,%OrganizationUnitTree%" "Grupo para SQL Server Browser en SQL Server
2008." call :AddSecurityGroup "CN=SQLServerMSSQLServerADHelperUser$%SQLserverName%,%OrganizationUnitTree%" "Grupo para Servicio auxiliar de
Active Directory de SQL Server en SQL Server 2008." call :AddSecurityGroup "CN=SQLServerMSSQLUser$%SQLserverName%$ISARS,%OrganizationUnitTree%"
"Grupo para SQL Server." call :AddSecurityGroup "CN=SQLServerMSSQLUser$%SQLserverName%$MSFW,%OrganizationUnitTree%" "Grupo para SQL
Server." call :AddSecurityGroup "CN=SQLServerReportServerUser$%SQLserverName%$MSRS10.ISARS,%OrganizationUnitTree%" "Grupo para SQL Server Reporting
Services en SQL Server 2008." call :AddSecurityGroup "CN=SQLServerSQLAgentUser$%SQLserverName%$ISARS,%OrganizationUnitTree%" "Grupo para
Agente SQL Server." call :AddSecurityGroup "CN=SQLServerSQLAgentUser$%SQLserverName%$MSFW,%OrganizationUnitTree%" "Grupo para Agente SQL
Server." echo. echo Se crearon estos grupos: echo. dsquery group -name *%SQLserverName%* echo. dsadd user
"CN=%SQLserverName%Admin,%OrganizationUnitTree%" -pwd %password% dsquery user "%OrganizationUnitTree%" exit /b 0

:AddSecurityGroup REM Crear grupo de seguridad en el mbito global de controlador de dominio para SQL set SQLgroupName=%1&rem set Description=%2&rem dsadd
group %SQLgroupName% -secgrp yes -scope g -desc %Description% || ( echo --- No se pudo crear el grupo %SQLgroupName% exit /b ) exit /b 0

:usage echo Agregar al dominio un grupo de seguridad para TMG en RODC echo. echo Uso: %0 ^<Nombre de servidor^> ^<rbol de unidades organizativas^>
[contrasea] echo. echo Nombre de servidor: El nombre del RODC echo rbol de unidades organizativas: En formato DS "OU=unidad organizativa1,OU=unidad
organizativa2,DC=nombre del controlador de dominio,DC=nombre del controlador de dominio" echo contrasea: contrasea opcional para el usuario administrativo de
sucursales echo Ejemplo: %0 B4-RODC "OU=Sucursal4,OU=Sucursales,DC=YRHQ,DC=Local" p@$$w0rd echo Sugerencia : Ejecute "dsquery ou" para obtener
una lista de los ^<rboles de unidades organizativas^> echo. exit /b

:OUError echo. echo Error %errorlevel% echo No se puede crear la unidad organizativa %OrganizationUnitTree% echo porque no se puede encontrar la unidad
organizativa de contenido. exit /b
3. Abra el Bloc de notas y pegue el texto. Guarde el archivo como PrepareBranch.cmd.
4. En el smbolo del sistema con privilegios elevados, escriba dsquery ou y presione Entrar. Registre la sintaxis de la unidad organizativa, que debe ser similar a la siguiente:
"OU=Branches,DC=DC1,DC=DC2".
5. Ejecute el comando PrepareBranch con la siguiente sintaxis:
c:\rodc\PrepareBranch.cmd<nombre del servidor RODC> OU=<nombre de la sucursal que va a crear>,OU=<sucursal principal>,DC=(nombre de CD1),DC=(nombre de
CD2)" [contrasea de administrador de sucursales de RODC].

91
Sugerencia:
Por ejemplo, PrepareBranch.cmd "OU=B1,OU=Branches,DC=DC1,DC=DC2" [Pa$$word1].
Si est creando mltiples sucursales, se recomienda crear un patrn estandarizado para todas ellas. De este modo se reducir la probabilidad de errores al modificar el
archivo de respuesta para cada sucursal.
El comando PrepareBranch prepara la nueva sucursal en AD DS y agrega la cuenta del administrador de RODC y los siete grupos de seguridad. Ejecute este comando por
cada sucursal con un RODC.
Nota:
Los siguientes grupos de seguridad y usuario administrativo se crean y usan para la replicacin en el RODC (donde <Nombre de servidor de RODC> es el nombre
del servidor de RODC):
<Nombre de servidor de RODC>Admin
SQLServer2005SQLBrowserUser$<Nombre de servidor de RODC>
SQLServerMSSQLServerADHelperUser$<Nombre de servidor de RODC>
SQLServerMSSQLUser$<Nombre de servidor de RODC>$ISARS
SQLServerMSSQLUser$<Nombre de servidor de RODC>$MSFW
SQLServerReportServerUser$<Nombre de servidor de RODC>$MSRS10.ISARS
SQLServerSQLAgentUser$<Nombre de servidor de RODC>$ISARS
SQLServerSQLAgentUser$<Nombre de servidor de RODC>$MSFW
Importante:
Al configurar el equipo de servidor de sucursal, asegrese de usar el nombre exacto que especifique aqu.
Creacin previa de cuentas RODC
La creacin previa de una cuenta de sucursal RODC en Active Directory habilita al servidor de la sucursal para adjuntar la cuenta. Puede usar el Asistente para la instalacin
de los Servicios de dominio de Active Directory para la creacin previa de una sola cuenta de servidor de RODC o para generar un archivo de respuesta con la configuracin
de la sucursal, con el que puede optimizar la creacin de mltiples cuentas.
Para crear previamente cuentas de RODC
1. Haga clic en Inicio, en Herramientas administrativas y, a continuacin, en Usuarios y equipos de Active Directory.
2. Si no proporcion una cuenta al ejecutar PrepareBranch.cmd, navegue a la unidad organizativa que cre en el procedimiento anterior (normalmente en Sucursales), haga clic
con el botn secundario del mouse en la cuenta de administrador y haga clic en Restablecer contrasea para establecer una contrasea y habilitar una nueva cuenta de
administrador.
3. Haga clic con el botn secundario del mouse en Controladores de dominio y seleccione Crear previamente una cuenta de controlador de dominio de slo lectura.
4. En la pgina Asistente para la instalacin de los Servicios de dominio de Active Directory, seleccione Usar la instalacin en modo avanzado y, a continuacin, haga clic en
Siguiente.
5. En la pgina Credenciales de red, en Especifique las credenciales de cuenta que se usarn para la instalacin, haga clic en Mis credenciales de inicio de sesin actuales
[...\administrador] y, a continuacin, en Siguiente.
6. En la pgina Compatibilidad de sistema operativo, consulte la advertencia acerca de la configuracin de seguridad predeterminada para los controladores de dominio de
Windows Server 2008 y Windows Server 2008 R2; a continuacin, haga clic en Siguiente.
7. En la pgina Credenciales de red, en Especifique las credenciales de cuenta que se usarn para la instalacin, haga clic en Mis credenciales de inicio de sesin actuales o en
Credenciales alternativas y, a continuacin, en Establecer En el cuadro de dilogo Seguridad de Windows, proporcione el nombre de usuario y la contrasea para una cuenta
que pueda instalar el controlador de dominio adicional. Para instalar un controlador de dominio adicional, debe ser miembro del grupo Administradores de empresas o del
grupo Admins. del dominio. Cuando termine de proporcionar credenciales, haga clic en Siguiente.
8. En la pgina Especifique el nombre del equipo, escriba el nombre de equipo del servidor que ser el RODC y, a continuacin, haga clic en Siguiente.
Precaucin:
El nombre debe ser idntico al que proporcion al ejecutar PrepareBranch.cmd.
9. En la pgina Seleccionar sitio en el sitio de Active Directory correspondiente al RODC y, a continuacin, haga clic en Siguiente.
10. En la pgina Opciones adicionales del controlador de dominio, asegrese de que todas las casillas estn activadas (lo estn de forma predeterminada) y, a continuacin, haga
clic en Siguiente.
11. En Especificar la directiva de replicacin de contraseas, haga clic en Agregar.
12. Haga clic en Permitir la replicacin en este RODC de contraseas de la cuenta.
13. Haga clic en Opciones avanzadas y, a continuacin, en Buscar ahora para mostrar las cuentas.
14. Mantenga presionada la tecla Ctrl y haga clic en las cuentas que cre el script (un usuario administrador y 7 grupos) y, a continuacin, haga clic en Aceptar dos veces.
Nota:
Por ejemplo:
B2-RODCAdmin
SQLServer2005SQLBrowserUser$B2-RODC
SQLServerMSSQLServerADHelperUser$B2-RODC
SQLServerMSSQLUser$B2-RODC$ISARS

92
SQLServerMSSQLUser$B2-RODC$MSFW
SQLServerReportServerUser$B2-RODC$MSRS10.ISARS
SQLServerSQLAgentUser$B2-RODC$ISARS
SQLServerSQLAgentUser$B2-RODC$MSFW
Compruebe que ha seleccionado la cuenta de administrador y los grupos de seguridad correctos y, a continuacin, haga clic en Siguiente.
15. En la pgina Delegacin de instalacin y administracin de RODC, escriba el nombre del usuario administrador de RODC de la sucursal.
Sugerencia:
Puede hacer clic en Establecer, Opciones avanzadas y Buscar ahora para seleccionar la cuenta de usuario y evitar errores de ortografa.
16. Si nicamente est preparando una sola sucursal, haga clic en Siguiente dos veces y, a continuacin, en Finalizar. Este usuario podr adjuntar un servidor a la cuenta de
RODC y completar la instalacin de RODC.
17. Si est preparando varias sucursales, puede hacer lo siguiente:
a. Haga clic en Exportar configuracin para generar un archivo de respuesta dcpromo. Escriba un nombre para el archivo de respuesta y, a continuacin, haga clic en Guardar
b. Cancele el asistente.
c. Abra el archivo de respuesta dcpromo en un editor de textos y copie la sintaxis de comando que se encuentra en Uso.

Por ejemplo, Dcpromo.exe /CreateDCAccount /ReplicaDomainDNSName:YRHQ.Local /unattend:C:\RODC \PreCreateRODC_<filename.txt>
d. En el smbolo del sistema, pegue la sintaxis y presione Entrar para crear la cuenta de RODC para la sucursal que acaba de configurar.
e. Por cada sucursal adicional, modifique el archivo de respuesta segn los aspectos especficos de dicha sucursal. Deber reemplazar lo siguiente con los datos especficos de
cada sucursal:

DCAccountName

DelegatedAdmin

Cualquier lnea que incluya el nombre de servidor de RODC.
Por ejemplo, suponga que el archivo de respuesta inicial hace referencia a DCAccountName como B2-RODC y que desea modificar el archivo para crear previamente una
sucursal denominada B3-RODC. En la mayora de los casos una simple operacin de buscar y reemplazar se ocupar de todas las lneas que se deben modificar.
Pasos siguientes
El siguiente paso es comenzar a configurar los servidores de sucursal. Vea Preparacin del RODC para obtener informacin acerca de la instalacin de Windows Server
2008 R2 (si todava no lo ha hecho) y la configuracin del servidor para que funcione como un RODC.

Preparacin del RODC
En este procedimiento se describe cmo configurar el servidor de sucursal para funcionar como un controlador de dominio de solo lectura (RODC).
Para preparar un servidor de RODC
1. Instale Windows Server 2008 o Windows Server 2008 R2 en el servidor de sucursal.
2. Inicie sesin en el servidor con credenciales de administrador local.
3. Compruebe que dispone de conectividad de red para el controlador de dominio de oficina principal y que ha configurado el DNS del servidor de sucursal en dicho
controlador.
4. En el smbolo del sistema, escriba dcpromo y, a continuacin, presione Entrar para iniciar el Asistente de Servicios de dominio de Active Directory.
5. En la pgina Elegir una configuracin de implementacin, haga clic en Bosque existente, Agregar un controlador de dominio a un dominio existente y, a continuacin, en
Siguiente.
6. En la pgina Credenciales de red, escriba el nombre de un dominio en el bosque donde planea instalar el RODC. Si es necesario, escriba tambin un nombre de usuario y una
contrasea para un miembro del grupo Admins. del dominio y, a continuacin, haga clic en Siguiente.
7. Seleccione el dominio para el RODC y, a continuacin, haga clic en Siguiente.
8. Haga clic en el sitio de Active Directory correspondiente al RODC y, a continuacin, haga clic en Siguiente.
9. Active la casilla Controlador de dominio de slo lectura. De forma predeterminada, la casilla Servidor DNS tambin est activada.
10. Despus de escribir el nombre de equipo, aparece una advertencia que indica que el equipo tiene un perfil de RODC. Esto es correcto, ya que indica que la preparacin del
controlador de dominio de oficina principal se ha realizado correctamente. Acepte la advertencia y contine.
11. En la pgina Instalar desde el medio, seleccione Replicar los datos a travs de la red desde un controlador de dominio existente y haga clic en Siguiente.
12. En la pgina Controlador de dominio de origen, seleccione un controlador de dominio o deje que el asistente elija un controlador de dominio adecuado y, a continuacin,
haga clic en Siguiente.
13. Para usar las carpetas predeterminadas que estn especificadas para la base de datos de Active Directory, los archivos de registro y SYSVOL, haga clic en Siguiente.
14. Escriba y, a continuacin, confirme la contrasea de Modo de restauracin de servicios de directorio y, a continuacin, haga clic en Siguiente.
15. Confirme la informacin que aparece en la pgina de resumen y, a continuacin, haga clic en Siguiente para iniciar la instalacin de AD DS. Puede activar la casilla
Reiniciar al completar para que el resto de la instalacin se complete automticamente.
16. Si est preparando varias sucursales, haga lo siguiente:
a. Haga clic en Exportar configuracin para generar un archivo de respuesta dcpromo. Escriba un nombre para el archivo de respuesta y, a continuacin, haga clic en Guardar.
b. Cancele el asistente.
c. En el smbolo del sistema, escriba el comando que aparece despus de la lnea Uso: en el archivo de respuesta dcpromo.
Nota:
Por ejemplo: dcpromo.exe /UseExistingAccount:Attach /unattend:C:\Users\Administrator\Desktop\RODC-Dcpro.txt
d. Por cada sucursal, modifique el archivo RODC-Dcpro.txt segn los datos especficos de dicha sucursal (es posible que deba cambiar los valores de UserName, Password y
SafeModeAdminPassword).
17. Reinicie el servidor.
18. El servidor inicia sesin automticamente con la cuenta de administrador de dominio. Cierre la sesin e inciela con la cuenta de usuario de sucursal.
Importante:

93
Despus de instalar el primer RODC en el dominio, deje que transcurra tiempo suficiente para que los nuevos grupos Directiva de replicacin de contraseas se
repliquen en otros controladores de dominio antes de intentar instalar RODC adicionales. De este modo se contribuye a prevenir los errores que se puedan producir
durante la instalacin de RODC si los grupos no estn disponibles en el controlador de dominio de origen.
Pasos siguientes
El siguiente paso es instalar Forefront TMG SP1 en el servidor de sucursal. Vea Instalacin de Forefront TMG en un controlador de dominio para obtener los detalles de
configuracin.
Instalacin de Forefront TMG en el RODC
En este procedimiento se describe cmo instalar y configurar Forefront TMG SP1 en un controlador de dominio de solo lectura (RODC).
Instalacin de Forefront TMG SP1 en un controlador de dominio de solo lectura
1. Ejecute lo siguiente desde un smbolo del sistema con privilegios elevados:
ServerManagerCmd.exe -inputpath ^<ruta_de_acceso_de_DVD^>\FPC\PreRequisiteInstallerFiles\WinRolesInstallSA_Win7.xml -logPath C:\Windows\TEMP\TMG-
Prerequisites.log
2. Prepare un DVD de instalacin integrada de Forefront TMG SP1 mediante los siguientes pasos:
a. Copie el DVD de Forefront TMG y el archivo MSP de Forefront TMG SP1 en una unidad local del equipo de destino. Para la finalidad de este ejemplo, se supone que es
c:\temp\TMG.
b. En el smbolo del sistema, escriba el siguiente comando y presione Entrar.

msiexec /a c:\temp\TMG\FPC\MS_FPC_SERVER.msi /p TMG-KB981324-amd64-ENU.msp /qb /L*v c:\tmg\log.txt

Cuando se complete la operacin, tendr una instalacin completa de Forefront TMG ya actualizado a Service Pack 1.
3. Ejecute el programa de instalacin actualizado; para ello, escriba c:\temp\TMG\FPC\setup.exe en el smbolo del sistema y presione Entrar.
4. Defina la red interna para incluir las subredes de sucursal y complete la instalacin. La instalacin de Forefront TMG identifica automticamente que se est ejecutando en
un controlador de dominio y habilita la directiva de sistema que permite el trfico de controlador de dominio desde la red interna al servidor de Forefront TMG, as como de
los controladores de dominio de oficina principal (si se encuentran fuera de la red interna). Vea en la tabla siguiente una lista de los protocolos permitidos.
5. Los equipos de la red interna requieren conectividad con los controladores de dominio de oficina principal. Si Forefront TMG funciona como una puerta de enlace de red
entre la red interna y los controladores de dominio de oficina principal, cree una regla de acceso a directiva que permita:

Nombre: Permitir acceso de servicios de directorio desde la red interna a los controladores de dominio de oficina principal

De: red interna

Para: conjunto de equipos de controladores de dominio (creado automticamente durante la instalacin)

Protocolos: todos los protocolos de la tabla siguiente
Protocolo Puerto Funcin
LDAP 389 LDAP para consultas de AD
Nombre de la regla: Permitir el acceso a servicios de directorio en Forefront TMG
LDAP (UDP) 389
LDAPS 636
LDAP GC 3268
LDAPS GC 3269
Kerberos-Sec (TCP) 88 Autenticacin
Nombre de la regla: Permitir la autenticacin de Kerberos en Forefront TMG
Kerberos-Sec (UDP) 88
Contrasea de Kerberos V5 464
CIFS de Microsoft (TCP)
CIFS de Microsoft (UDP)
445 Descarga de directiva de grupo para equipos de sucursal
Nombre de la regla: Servicios de autenticacin: permitir Microsoft CIFS en Forefront TMG
RPC 135 Netlogon
Nombre de la regla: Servicios de autenticacin: permitir RPC en Forefront TMG
DNS 53 DNS para equipos de sucursal
Nombre de la regla: Permitir DNS en Forefront TMG

Usuarios: todos los usuarios
Importante:
Asegrese de que la puerta de enlace predeterminada de los equipos cliente es el servidor de Forefront TMG.
6. Cada cuenta de sucursal (usuario o equipo) que se una al dominio debe tener su propia contrasea replicada en el RODC para propsitos de autenticacin. Para replicar la
contrasea, complete los siguientes pasos en el controlador de dominio de oficina principal:
. En Usuarios y equipos de Active Directory, seleccione la sucursal Controladores de dominio, haga clic con el botn secundario del mouse en el RODC y seleccione
Propiedades.
a. Haga clic en la pestaa Directiva de replicacin de contraseas y, a continuacin, en Agregar.
b. Active Permitir la replicacin en este RODC de contraseas de la cuenta, seleccione todos los usuarios locales pertinentes para esta sucursal y, a continuacin, haga clic en
Aceptar.
c. En la pgina Propiedades de RODC, haga clic en Opciones avanzadas y compruebe que las cuentas de usuario que ha agregado aparecen en la lista de Cuentas cuyas
contraseas estn almacenadas en este controlador de dominio de slo lectura.
d. Active Directory debe completar la replicacin de la informacin de usuario en el RODC para poder iniciar sesin con estas cuentas.

94
Instalacin de Forefront TMG SP1
En este tema se describe cmo instalar y desinstalar Forefront TMG Service Pack 1 (SP1). Forefront TMG SP1 se puede instalar en una implementacin de servidor nico, o
bien en una implementacin de matriz o empresa.
En las secciones siguientes se proporciona la informacin necesaria para la instalacin del Service Pack y los distintos escenarios de implementacin, as como los
procedimientos para solucionar problemas y desinstalar Forefront TMG SP1:


Acerca de los Service Pack y las actualizaciones

Antes de la actualizacin

Instalacin de Forefront TMG en un controlador de dominio de solo lectura

Actualizacin de una implementacin de un solo servidor

Actualizacin de una implementacin de matriz o empresa

Solucin de problemas de instalacin

Desinstalacin de Forefront TMG SP1
Forefront TMG SP1 se puede adquirir en dos puntos:
1. El Centro de descarga de Microsoft (http://go.microsoft.com/fwlink/?LinkID=193239).
Nota:
Para descargar el Service Pack en su equipo, haga clic en Guardar. Este paso es necesario para ejecutar la actualizacin con privilegios de administrador.
El Service Pack est disponible en ingls y en otros 10 idiomas. Existe una versin de 64 bits y otra de 32 bits:
La versin de 64 bits, para actualizar Forefront TMG, EMS o Administracin remota en equipos de 64 bits, es TMG-KB981324-amd64-<idioma>.msp.
La versin de 32 bits, para actualizar Administracin remota en equipos de 32 bits, es TMG-KB981324-x86-<idioma>.msp.
2. Microsoft Update.
Acerca de los Service Pack y las actualizaciones
Las actualizaciones y Service Pack de Forefront TMG son acumulativos. Un Service Pack para una versin concreta de Forefront TMG contiene todas las actualizaciones y
revisiones de esa versin. Un Service Pack o una actualizacin acumulada se puede instalar en equipos que ejecuten la versin RTM de Forefront TMG o bien en equipos
que ejecuten Forefront TMG con las revisiones o actualizaciones publicadas desde dicha versin RTM.
Antes de instalar Forefront TMG SP1
Antes de comenzar la instalacin, tenga en cuenta lo siguiente:

Cuando se actualiza un miembro de matriz (o un servidor independiente), los servicios de Forefront TMG se detienen y Forefront TMG entra en modo de bloqueo. Despus
de la instalacin, los servicios se reinician automticamente a menos que sea necesario reiniciar el sistema.

En un entorno mixto, en el que algunos miembros de la matriz se han actualizado a SP1 y otros no, los servidores que ejecutan la versin original de Forefront TMG 2010
(tambin conocidos como RTM) se siguen ejecutando con la misma directiva y no reciben actualizaciones de directiva. Por este motivo se recomienda limitar la duracin del
perodo de transicin al SP1. As mismo, tenga presente que los servidores RTM:

Procesan y registran el trfico de la manera normal.

Producen datos para informes.

Se pueden supervisar desde la consola de administracin de un miembro de la matriz con SP1, un servidor de Enterprise Management Server con SP1 o a travs de la
administracin remota de SP1.

No muestran las matrices actualizadas o los miembros de matriz en la consola de administracin.
Instalacin de Forefront TMG en un controlador de dominio de solo lectura
Una nueva caracterstica de Forefront TMG SP1 es la posibilidad de instalar Forefront TMG en un controlador de dominio de solo lectura; este procedimiento de instalacin
se describe en el artculo Installing Forefront TMG on a domain controller.
Actualizacin de una implementacin de un solo servidor
Antes de la instalacin, se recomienda que realice una copia de seguridad de la configuracin de Forefront TMG y guarde dicha configuracin en una ubicacin segura. Para
obtener ms informacin, vea Realizar copias de seguridad y restaurar la configuracin de Forefront TMG.
Nota:
Asegrese de que el equipo que ejecuta Forefront TMG tenga instaladas las ltimas actualizaciones de Windows.
Para instalar Forefront TMG SP1 en una implementacin de servidor nico
1. Si descarg el Service Pack desde el Centro de descarga de Microsoft, realice el procedimiento siguiente:
a. Presione la tecla MAYS y haga clic con el botn secundario en el archivo .MSP; a continuacin, seleccione Copiar como ruta de acceso.
b. Haga clic con el botn secundario en el icono del smbolo del sistema y, a continuacin, seleccione Ejecutar como administrador.
c. Haga clic con el botn secundario en la ventana del smbolo del sistema y seleccione Pegar.
d. Siga las instrucciones del asistente.
2. Si adquiri el Service Pack a travs de Microsoft Update, haga clic en Instalar actualizaciones.
3. Una vez completada la instalacin, abra la consola de administracin de Forefront TMG, haga clic en Ayuda y, a continuacin, en Acerca de Forefront TMG. Si la
instalacin se completa correctamente, el nmero de la versin de compilacin ser 7.0.8108.200.
Actualizacin de una implementacin de matriz o empresa
Estas instrucciones son pertinentes en caso de una matriz independiente o servidor de Enterprise Management Server (EMS). Al actualizar Forefront TMG a SP1, deben
actualizarse cada uno de los siguientes elementos, si existen en la implementacin:

Servidores de Enterprise Management Server (maestro y rplicas).

Administradores de matriz.

Miembros de matriz.

95
Existen dos maneras de introducir el SP1 en una implementacin:

Actualizacin en contexto: es el mtodo ms directo, que puede ser el ms adecuado para las implementaciones de menor tamao.

Actualizacin mediante clonacin de matriz: cuando se prev que la introduccin del SP1 va a prolongarse durante ms tiempo o si los clientes desean tomar precauciones
adicionales, la creacin de una matriz clonada permite mantener la capacidad de administracin de los servidores RTM hasta que se complete la actualizacin de todos los
miembros de la matriz.
En las secciones siguientes se describe lo siguiente:

Notas acerca de la preinstalacin

Orden de instalacin

Pasos de instalacin para servidores que usan equilibrio de carga

Instalacin de Forefront TMG SP1 en una implementacin de empresa

Notas acerca de la postinstalacin
Notas acerca de la preinstalacin
Antes de realizar la instalacin, se recomienda lo siguiente:
1. Realizar una copia de seguridad de la configuracin de la empresa. Para obtener ms informacin, vea Realizar copias de seguridad y restaurar la configuracin de la
empresa.
2. Realizar una copia de seguridad de la configuracin de Forefront TMG para cada miembro de la matriz. Para obtener ms informacin, vea Realizar copias de seguridad y
restaurar la configuracin de Forefront TMG.
3. Guardar las configuraciones en una ubicacin segura.
Orden de instalacin
Se recomienda seguir el orden que se indica a continuacin para instalar el Service Pack en equipos con Forefront TMG:
1. Instale el SP1 en el servidor de EMS maestro (o administrador de matriz).
Nota:
Antes de instalar las actualizaciones en Forefront TMG, debe iniciar sesin en el servidor de EMS con las mismas credenciales que se usaron para instalarlo durante
la instalacin inicial de Forefront TMG. Si se intenta instalar la actualizacin con una cuenta de administrador diferente, quizs no se pueda realizar la instalacin.
En ese caso, aparecer el mensaje de error "El programa de instalacin no pudo inicializar la configuracin de Forefront TMG".
Como alternativa a la instalacin del Service Pack en contexto en el servidor de EMS, se puede crear un servidor de EMS clonado, como se indica a continuacin:
1. Instale Forefront TMG RTM Enterprise Management en un equipo diferente.
2. Importe la configuracin de empresa guardada.
3. Instale Forefront TMG SP1.
4. Empiece a mover los servidores actualizados al servidor de EMS clonado tal y como se describe en el procedimiento siguiente.
2. Instale el SP1 en las rplicas del servidor de EMS.
3. Instale el SP1 en los miembros de la matriz. Siga las instrucciones que correspondan a su implementacin:

En el caso de una actualizacin en contexto, para cada matriz, actualice primero el servidor de informes y, a continuacin, los miembros de la matriz.

Si se trata de una actualizacin mediante clonacin de matriz, lleve a cabo lo siguiente:
0. Cree una nueva matriz e importe la configuracin previamente exportada.
Importante:
Cuando se importa una configuracin de una copia de seguridad en el nivel de matriz para una matriz de varios servidores, aparece el mensaje Error al importar. Para
solucionar este problema, vea Importacin de una configuracin RTM en matrices de varios servidores en las Notas de la versin de Forefront TMG 2010 SP1.
1. Para cada matriz, separe primero el servidor de informes de la matriz, instale Forefront TMG SP1 y, a continuacin, nalo a la nueva matriz con SP1. Contine el
proceso con los dems miembros de la matriz.
Nota:
Para identificar el servidor de informes, en la consola de administracin de Forefront TMG, haga clic en el nodo Registros e informes. En el panel de detalles, haga clic
en la pestaa Informes. En la pestaa Tareas, haga clic en Configurar opciones de informes y, a continuacin, haga clic en la pestaa Servidor de informes.
Pasos de instalacin para servidores que usan equilibrio de carga
Si el servidor usa equilibrio de carga de red (NLB) o cualquier otro mecanismo de equilibrio de carga, realice el procedimiento siguiente:
1. Quite el servidor de la configuracin de equilibrio de carga.
2. Purgue las conexiones existentes a las que atiende el servidor.
3. Establezca nlb en "suspended" para impedir que el servidor se vuelva a unir automticamente al reiniciar.
4. Instale la actualizacin.
5. Reinicie el servidor si es necesario.
6. Inicie NLB en el servidor actualizado.
Instalacin de Forefront TMG SP1 en una implementacin de empresa
1. En cada equipo que desee actualizar, empiece la instalacin de acuerdo con el mtodo que haya utilizado para adquirir el Service Pack:

Si descarg el Service Pack desde el Centro de descarga de Microsoft, realice el procedimiento siguiente:
1. Presione la tecla MAYS y haga clic con el botn secundario en el archivo .MSP; a continuacin, seleccione Copiar como ruta de acceso.
2. Haga clic con el botn secundario en el icono del smbolo del sistema y, a continuacin, seleccione Ejecutar como administrador.

96
3. Haga clic con el botn secundario en la ventana del smbolo del sistema y seleccione Pegar.
4. Siga las instrucciones del asistente.

Si realiza la actualizacin a travs de Microsoft Update, haga clic en Instalar actualizaciones.
Nota:
En una implementacin de Forefront TMG Enterprise donde los miembros de la matriz de Forefront TMG estn instalados en modo de grupo de trabajo y el servidor
de EMS sea parte de un dominio, no se podr instalar Forefront TMG SP1 mediante el mecanismo de Microsoft Update. Este problema se debe a que no hay
credenciales disponibles para obtener acceso al servidor de EMS. En este escenario, debe usar el archivo .MSP del Centro de descarga de Microsoft. Puede
proporcionar las credenciales en el Asistente para la instalacin, o bien escribir lo siguiente en un smbolo del sistema:
msiexec /p TMG-KB981324-amd64-ENU.msp REINSTALL=all REINSTALLMODE=omus
STORAGESERVER_CONNECT_ACCOUNT=mydomain\mydomainpermitteduser STORAGESERVER_CONNECT_PWD=mypwd /qb /l*v msilogfilename.log
Si va a instalar una versin de Forefront TMG SP1 en un idioma distinto del ingls, utilice el cdigo de idioma correspondiente en lugar de ENU.
2. Una vez completada la instalacin, abra la consola de administracin de Forefront TMG, haga clic en Ayuda y, a continuacin, en Acerca de Forefront TMG. Si la
instalacin se completa correctamente, el nmero de la versin de compilacin ser 7.0.8108.200.
Notas acerca de la postinstalacin
1. Es posible que no se inicien los servicios de Forefront TMG despus de instalar o quitar Forefront TMG SP1. Este problema puede producirse si el equipo que ejecuta los
servicios no est sincronizado con el servidor de EMS. En este caso, use el nodo Supervisin de la consola de administracin de Forefront TMG para reiniciar los servicios
manualmente.
2. Es recomendable que realice una copia de seguridad de la configuracin del SP1 despus de completar la actualizacin. Para obtener ms informacin, vea Realizar copias
de seguridad y restaurar la configuracin de Forefront TMG.
3. Si se conecta a una base de datos SQL remota, debe migrar la base de datos de registro al nuevo esquema. Para obtener instrucciones sobre cmo actualizar una base de
datos SQL remota para Forefront TMG SP1, vea TechNet Wiki (http://social.technet.microsoft.com/wiki).
4. Si la implementacin de Forefront TMG SP1 se encuentra en un grupo de trabajo, se requieren algunos pasos para habilitar la funcionalidad de informes de actividad de
usuario. Para obtener informacin detallada, consulte Informe de actividad de usuario en Notas de la versin de Forefront TMG 2010 SP1
Solucin de problemas de instalacin
De manera predeterminada, no se crea ningn registro al instalar Forefront TMG SP1. Puede especificar que se cree un registro durante la instalacin. Despus, este registro
se puede usar junto con el soporte tcnico y atencin al cliente de Microsoft para solucionar problemas de instalacin. El registro es de utilidad nicamente cuando se
produce un error en la instalacin. Si vuelve a realizar la instalacin despus de una instalacin correcta, no se registra informacin til. Para especificar que se cree un
registro durante la instalacin de Forefront TMG SP1, escriba lo siguiente en un smbolo del sistema:
Msiexec /p TMG-KB981324-amd64-ENU.msp REINSTALL=ALL REINSTALLMODE=omus /l*vx! Logfile_Name.log
La sintaxis de este comando es la siguiente:
/p aplica la actualizacin.
TMG-KB981324-amd64-ENU.msp es el nombre de archivo y la ubicacin del Service Pack.
Nota:
-ENU indica que se trata del Service Pack para ingls. Forefront TMG est traducido a otros diez idiomas y el Service Pack traducido tiene un cdigo de idioma
diferente.
REINSTALL=ALL reinstala caractersticas ya instaladas. Use este comando junto con REINSTALLMODE para indicar el tipo de reinstalacin. REINSTALL se
escribe con todas las letras en mayscula.
REINSTALLMODE=omus se usa con REINSTALL para especificar el tipo de reinstalacin. REINSTALLMODE se escribe con todas las letras en mayscula. La
opcin omus indica lo siguiente:
reinstala un archivo si no se encuentra o es de una versin anterior.
m reescribe las entradas del subrbol del Registro HKEY_LOCAL_MACHINE o del subrbol del Registro HKEY_CLASSES_ROOT.
u reescribe las entradas del subrbol del Registro HKEY_CURRENT_USER o del subrbol del Registro HKEY_USERS.
s reinstala todos los accesos directos y vuelve a almacenar en cach todos los iconos.
/l activa el registro.
*vx indica un carcter comodn que registra toda la informacin con salida detallada. Logfile_Name.log es el nombre del archivo de registro.
De manera predeterminada, el archivo de registro se crea en la misma carpeta en la que se ejecuta el comando msiexec.
Tambin se puede examinar el visor de eventos en busca de informacin pertinente. Una vez completada la instalacin, se indica mediante un evento si se realiz
correctamente.
Desinstalacin de Forefront TMG SP1
Al desinstalar Forefront TMG SP1, se recomienda desinstalar el Service Pack de la implementacin en el orden inverso al de instalacin. En otras palabras, primero se
desinstala de los miembros de la matriz, despus del servidor de informes, a continuacin de los administradores de la matriz y, por ltimo, del servidor de EMS maestro y
las rplicas.
La desinstalacin de Forefront TMG SP1 requiere los pasos siguientes:
Creacin de los scripts de desinstalacin
Desinstalacin del Service Pack
Creacin de los scripts de desinstalacin
Para desinstalar el Service Pack, es necesario crear los siguientes scripts:

Uninstall-TMG-SP1.cmd: se ejecuta en el servidor de EMS, en el administrador de matriz y en cada miembro de la matriz o servidor independiente.
Nota:
Si el Control de cuentas de usuario est deshabilitado, no es necesario ejecutar este script. En su lugar, se puede desinstalar el SP1 a travs del Panel de control.

97

waitforreload.vbs: se ejecuta en cada miembro de la matriz y servidor independiente.

fixsqlserverlogin.vbs: se ejecuta en cada miembro de la matriz y servidor independiente.
Despus de crear los scripts, siga las instrucciones del procedimiento Para desinstalar Forefront TMG SP1.
Uninstall-TMG-SP1.cmd
Para crear el script uninstall-tmg-sp1, realice los pasos siguientes:

@echo off SetLocal for /F "usebackq tokens=2,*" %%f in (`reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft Forefront Threat
Management Gateway Service Pack 1" /v UninstallString 2^>NUL`) do set Uninstall_string=%%g if "%Uninstall_string%"=="" ( echo TMG SP1 no est instalado en este
equipo. exit /b 1 )

set TEST_REGKEY=HKCR\TypeLib\{Uninstall-TMG-SP1-elevation-test} REG ADD %TEST_REGKEY% /f>nul 2>&1 IF ERRORLEVEL 1 ( echo Este script se debe
ejecutar desde un smbolo del sistema con privilegios elevados. exit /b 1 ) REG DELETE %TEST_REGKEY% /f>nul 2>&1

set UNINSTALL_GEN=%temp%\Uninstall_TMG_SP1.cmd echo %Uninstall_string% %*> %UNINSTALL_GEN% call %UNINSTALL_GEN% del
%UNINSTALL_GEN%

EndLocal
2. Abra el Bloc de notas y pegue el texto.
3. Guarde el archivo como %temp%\Uninstall-TMG-SP1.cmd.
waitforreload.vbs
Para crear el script waitforreload, realice los pasos siguientes:

set root = CreateObject("FPC.Root")

On Error Resume Next currStorageName = root.ConfigurationStorageServer On Error Goto 0

If len(currStorageName) = 0 Then wscript.echo "Escriba las credenciales para conectarse al almacenamiento de configuracin." wscript.echo "Nombre de equipo del
servidor de EMS o Administrador de la matriz:" ServerName = WScript.StdIn.ReadLine wscript.echo "Dominio:" DomainName = WScript.StdIn.ReadLine wscript.echo
"Nombre de usuario:" UserName = WScript.StdIn.ReadLine wscript.echo "Contrasea:" Password = WScript.StdIn.ReadLine root.ConnectToConfigurationStorageServer
ServerName, UserName, DomainName, Password Wscript.echo "Conectado a '" & ServerName & "' con el usuario '" & DomainName & "\" & UserName & "'" Else
Wscript.echo "Conectado al almacenamiento de configuracin con las credenciales del usuario actual." End If

set arr = root.GetContainingArray wscript.echo "Esperando recarga en la matriz " & arr.name arr.WaitForReload wscript.echo "Recarga de la matriz finalizada " & arr.name
3. Guarde el archivo como %temp%\waitforreload.vbs.
fixsqlserverlogin.vbs
Para crear el script fixsqlserverlogin, realice los pasos siguientes:

Dim adStateOpen adStateOpen = 1

Set TypeLib = CreateObject("Scriptlet.TypeLib")

wscript.echo "Escriba una nueva contrasea para obtener acceso a la base de datos de informes y regstrela para su uso en el futuro. Si ejecuta este script en otro miembro de
la matriz, asegrese de usar la misma contrasea." newPassword = wscript.StdIn.ReadLine

Dim newConfigId newConfigId = TypeLib.Guid newConfigId = Left(newConfigId, Len(newConfigId)-2)

set root = CreateObject("FPC.Root")

On Error Resume Next currStorageName = root.ConfigurationStorageServer On Error Goto 0

If len(currStorageName) = 0 Then wscript.echo "Escriba las credenciales para conectarse al almacenamiento de configuracin." wscript.echo "Nombre de equipo del
servidor de EMS o Administrador de la matriz:" ServerName = WScript.StdIn.ReadLine wscript.echo "Dominio:" DomainName = WScript.StdIn.ReadLine wscript.echo
"Nombre de usuario:" UserName = WScript.StdIn.ReadLine wscript.echo "Contrasea:" Password = WScript.StdIn.ReadLine root.ConnectToConfigurationStorageServer
ServerName, UserName, DomainName, Password Wscript.echo "Conectado a '" & ServerName & "' con el usuario '" & DomainName & "\" & UserName & "'" Else
Wscript.echo "Conectado al almacenamiento de configuracin con las credenciales del usuario actual." End If

Set arr = root.GetContainingArray arr.Reports.ReportingServicesProperties.Credentials.Password = newPassword
arr.Reports.ReportingServicesProperties.ReportingServicesConfigurationId = newConfigId

wscript.echo "Cambiando contrasea de Reporting Services (" & newPassword & ") e identificador de configuracin (" & newConfigId & ")" arr.Save

wscript.echo "Esperando recarga en la matriz " & arr.name arr.WaitForReload

98
wscript.echo "Recarga de la matriz finalizada " & arr.name

Set cnn = CreateObject("ADODB.Connection") cnn.ConnectionString = "Provider=SQLOLEDB;Data Source='localhost\MSFW';Integrated Security=SSPI" cnn.Open If
cnn.State <> adStateOpen Then wscript.echo "No se pudo abrir una conexin SQL: " & cnn.ConnectionString End If

Dim sqlCommand sqlCommand = "use master;" sqlCommand = sqlCommand & " DECLARE @sys_usr varchar(100);" sqlCommand = sqlCommand & " SET @sys_usr =
SYSTEM_USER;" sqlCommand = sqlCommand & " EXEC sp_addlinkedsrvlogin 'RS_SRV', 'false', @sys_usr , 'ISA_RS_USER', '" & newPassword & "'" wscript.echo "Se
ejecutar " & sqlCommand Set rs = cnn.Execute(sqlCommand)

sqlCommand = "use master;" sqlCommand = sqlCommand & " DECLARE @TableName varchar(200) = 'WebProxyLog'; " sqlCommand = sqlCommand & " DECLARE
SysDB_Cursor CURSOR FOR " sqlCommand = sqlCommand & " SELECT [name] " sqlCommand = sqlCommand & " FROM [master].[dbo].[sysdatabases] "
sqlCommand = sqlCommand & " WHERE ([name] LIKE 'ISALOG_%%_WEB_[0-9][0-9][0-9]') " sqlCommand = sqlCommand & " OPEN SysDB_Cursor; "
sqlCommand = sqlCommand & " DECLARE @DBName varchar(50); " sqlCommand = sqlCommand & " FETCH NEXT FROM SysDB_Cursor INTO @DBName; "
sqlCommand = sqlCommand & " WHILE @@FETCH_STATUS = 0 " sqlCommand = sqlCommand & " BEGIN " sqlCommand = sqlCommand & " IF
COALESCE(COL_LENGTH(@DBName + '..' + @TableName,'SoftBlockAction'),0) != 0 " sqlCommand = sqlCommand & " BEGIN " sqlCommand = sqlCommand & "
EXECUTE ('ALTER TABLE ' + @DBName + '..' + @TableName + ' DROP COLUMN SoftBlockAction'); " sqlCommand = sqlCommand & " END " sqlCommand =
sqlCommand & " FETCH NEXT FROM SysDB_Cursor INTO @DBName; " sqlCommand = sqlCommand & " END " sqlCommand = sqlCommand & " CLOSE
SysDB_Cursor; " sqlCommand = sqlCommand & " DEALLOCATE SysDB_Cursor; "

wscript.echo "Se ejecutar " & sqlCommand Set rs = cnn.Execute(sqlCommand)

cnn.Close
3. Guarde el archivo como %temp%\fixsqlserverlogin.vbs.
Desinstalacin del Service Pack
Para desinstalar Forefront TMG SP1 es necesario:
Iniciar sesin en el equipo con una cuenta de usuario que pertenezca al grupo de administradores locales y a la que se haya asignado el rol Administrador de
matriz o Administrador de empresa de Forefront TMG.
Trabajar desde un smbolo del sistema con privilegios elevados.
En la tabla siguiente se describe el proceso de desinstalacin.
Procedimiento Descripcin y pasos Se aplica a
Desinstalar el
Service Pack
Use uninstall-TMG-SP1.cmd para quitar el Service Pack de cualquier implementacin de Forefront TMG SP1.
1. Inicie sesin en el equipo con una cuenta de usuario que pertenezca al grupo de administradores locales.
2. Escriba %temp%\Uninstall-TMG-SP1.cmd y presione ENTRAR.
Nota:
No se admite la desinstalacin de Forefront TMG SP1 especificando las credenciales en la lnea de comandos. Si la
implementacin requiere que escriba credenciales para la desinstalacin, no se puede quitar el Service Pack. En este
caso, debera exportar la configuracin, desinstalar Forefront TMG, volver a instalar Forefront TMG e importar la
configuracin de RTM.
3. Cuando se complete el proceso de desinstalacin, abra el Panel de control y compruebe que Forefront TMG SP1 no aparece
en la lista de Actualizaciones instaladas.
Cada miembro de la
matriz, administrador
de matriz, servidor de
EMS maestro y rplica,
Comprobar que
FWSRV se est
ejecutando
En cada miembro de la matriz, compruebe si se est ejecutando el servicio Firewall (FWSRV); para ello, escriba lo
siguiente en un smbolo del sistema con privilegios elevados:
sc query fwsrv
Si el estado no es EN EJECUCIN, realice el siguiente procedimiento:
1. En un smbolo del sistema con privilegios elevados, escriba cscript.exe %temp%\waitforreload.vbs y presione ENTRAR.
2. Cuando aparezca el mensaje Recarga de la matriz finalizada, inicie el servicio Firewall con este comando:

net start fwsrv
3. Si el servicio Firewall no se inicia y la consola de administracin de Forefront TMG muestra la alerta Error de inicializacin
del servicio, realice el siguiente procedimiento en cada servidor afectado:
a. En un smbolo del sistema, escriba lo siguiente y presione ENTRAR:

Copiar cdigo
reg add HKLM\SOFTWARE\Microsoft\Fpc\Storage\Cache /v InvocationID /t REG_BINARY /f /d
000000000000000000000000000000000000000000000000
b. Reinicie el equipo.
Miembros de matriz

99
Restaurar la
funcionalidad de
informes
En cada miembro de la matriz, utilice el script fixsqlserverlogin.vbs para restaurar la funcionalidad de informes despus de
desinstalar el SP1:
1. En un smbolo del sistema con privilegios elevados, escriba cscript.exe %temp%\fixsqlserverlogin.vbs y presione
ENTRAR.
Importante:
El script le solicita que escriba una nueva contrasea para obtener acceso a la base de datos de informes.
Asegrese de que registra esta contrasea, porque, si ejecuta este script en otro miembro de la matriz, debe
usar la misma.
2. Una vez en el smbolo del sistema, compruebe que el script no haya generado errores. Si la ejecucin es correcta, se
generar un resumen en el momento configurado. Ejecute un informe al da siguiente para confirmar que la revisin se ha
aplicado correctamente.
Miembros de matriz
Configurar los valores de implementacin iniciales
Utilice el Asistente de introduccin a Forefront TMG para configurar o modificar la configuracin bsica inicial de implementacin. El asistente est formado por los tres
asistentes siguientes:

Asistente para configuracin de red: se usa para configurar los adaptadores de red en el servidor. Los adaptadores de red se asocian a una nica red de Forefront TMG.

Asistente para la configuracin del sistema: este asistente se usa para configurar los valores del sistema operativo, como el nombre de equipo y el dominio o el grupo de
trabajo.

Asistente para la implementacin: este asistente se usa para configurar la proteccin contra cdigo malintencionado en el trfico web y para unirse al programa de
informacin del cliente y al servicio de telemetra.
Antes de ejecutar el Asistente de introduccin
Antes de ejecutar el Asistente de introduccin, debe:
Describir cmo usa Forefront TMG los objetos de red para representar la infraestructura. Para obtener informacin, vea Planeacin de la topologa de red de
Forefront TMG.
Descripcin de las ventajas y desventajas de convertir Forefront TMG en un miembro de dominio. Para obtener informacin, vea Consideraciones del dominio o
del grupo de trabajo.
Recopile la informacin siguiente sobre la configuracin del adaptador de red:
o La configuracin del adaptador de red conectado a la red de acceso local, como la direccin IP, la mscara de subred y la direccin del servidor del
Sistema de nombres de dominio (DNS).
o Configuracin del adaptador de red conectado a Internet. Si el proveedor de acceso a Internet (ISP) proporciona una direccin esttica, registre la
direccin IP, la mscara de subred y la direccin del servidor DNS.
o Configuracin de cualquier adaptador de red adicional del equipo; por ejemplo, un tercer adaptador de red conectado a una red perimetral.
Asegrese de que conoce el nombre de servidor y el Nombre de dominio completo (FQDN) (si el equipo pertenece a un dominio).
Ejecutar el Asistente de introduccin
Despus de la instalacin de Forefront TMG, puede ejecutar el Asistente de introduccin para configurar valores bsicos de implementacin, incluidos los de los
adaptadores de red, las directivas de actualizacin y la unin del servidor a un grupo de trabajo o dominio.
Nota:
El Asistente de introduccin solo se puede ejecutar de forma local. No est disponible mediante la administracin remota.
Nota:
Los cambios no se deberan realizar en la NIC despus de ejecutar el Asistente de introduccin.
Para abrir el Asistente de introduccin
1. En la consola de Administracin de Forefront TMG, haga clic en el nodo correspondiente al nombre del servidor.
2. En la ficha Tareas, haga clic en Iniciar el Asistente de introduccin.
Para obtener instrucciones acerca de la ejecucin de los asistentes, vea los temas siguientes:

Configurar valores de red

Configurar valores del servidor y del sistema

Configurar valores de implementacin
Configurar valores de red
Puede configurar los valores de una topologa de red de Forefront TMG mediante el Asistente para configurar la red.
Configuracin de la topologa de red
Para configurar la topologa de red
1. En el Asistente de introduccin, haga clic en Configurar opciones de red.
2. En la pgina Seleccin de plantilla de red del Asistente para la configuracin de red, seleccione la opcin que ms se ajuste a su topologa de red de Forefront TMG. Para
obtener detalles, vea Planeacin de la topologa de red de Forefront TMG.

100
3. En la pgina Configuracin de red de rea local (LAN) del asistente, en Adaptador de red conectado a LAN, haga clic en el adaptador conectado a la red corporativa
principal y escriba una direccin IP.
Si ha seleccionado aplicar la plantilla de adaptador de red nico, tiene la opcin adicional de utilizar una direccin IP dinmica asignada por DHCP.
Si ha seleccionado una configuracin distinta de la plantilla del adaptador de red nica, este adaptador solo admite una direccin IP esttica. En Especificar rutas de
topologa de matriz adicionales, haga clic en el botn Agregar para agregar rutas estticas para la ruta de topologa de matriz.
4. En la pgina Configuracin de Internet del asistente, haga clic en el adaptador conectado a Internet. Debe definir una puerta de enlace predeterminada solo en uno de los
adaptadores de red de Forefront TMG. Normalmente, es el adaptador de red asociado a Internet. Configure una nica puerta de enlace predeterminada en un adaptador de
red.
Si su proveedor de acceso a Internet (ISP) asigna una direccin IP dinmica, haga clic en el botn Obtener una direccin IP automticamente.
Si su ISP asigna una direccin IP esttica, haga clic en el botn Usar la siguiente direccin IP.
5. Si tiene un tercer adaptador de red, en la pgina Configuracin de red perimetral del asistente, haga clic en el adaptador de red conectado a la red perimetral.
Si desea aplicar la traduccin de direcciones de red (NAT) para moverse entre la red perimetral y la LAN sin mostrar las direcciones IP internas, haga clic en el botn
Pblica en Qu tipo de direccin IP utilizan los servidores de la red perimetral?. Se enruta el trfico entre la red perimetral e Internet.
Si desea aplicar la NAT para moverse entre la red perimetral e Internet sin mostrar las direcciones IP internas, haga clic en el botn Privada en Qu tipo de direccin IP
utilizan los servidores de la red perimetral?. Se enruta el trfico entre la red perimetral y la LAN, lo que expone las direcciones internas.
Configurar valores del servidor y del sistema
Para configurar el servidor de Forefront TMG y el sistema se puede usar el Asistente para la configuracin del sistema.
Configuracin del sistema
Para configurar los valores del servidor y del sistema
1. En el Asistente de introduccin, haga clic en Configurar opciones del sistema.
2. En la pgina Identificacin de host del Asistente para la configuracin del sistema, en el cuadro Nombre de equipo, escriba el nombre del servidor de Forefront TMG.
3. En Miembro de, defina si el servidor es miembro de un dominio de Windows o de un grupo de trabajo del siguiente modo:

Si selecciona Dominio de Windows, el nombre del dominio se utilizar como sufijo DNS principal y no tendr que modificar este valor. Se le solicitar que reinicie el
equipo.
Nota:
En ocasiones se produce un error al resolver un nombre de cuenta despus del reinicio. Si es as, vuelva a reiniciar para resolver el problema.

Si selecciona Grupo de trabajo, tal vez desee agregar explcitamente un sufijo DNS principal para registrar el equipo en la zona correcta siempre que DNS lo permita.
Para obtener informacin acerca de la implementacin de Forefront TMG en una topologa de dominio o grupo de trabajo, vea Consideraciones del dominio o del grupo de
trabajo.
Configurar valores de implementacin
Puede configurar los valores de implementacin mediante el Asistente para la implementacin.
Configuracin de los valores de implementacin
Para configurar los valores de implementacin
1. En el Asistente de introduccin, haga clic en Definir opciones de implementacin.
2. En la pgina Configuracin de Microsoft Update del Asistente para la implementacin, haga clic en Usar el servicio de Microsoft Update para buscar
actualizaciones (recomendado) si desea especificar que el servicio Microsoft Update se utilice para obtener las actualizaciones de definicin de cdigo
malintencionado.
Nota:
Si este equipo est configurado para recibir actualizaciones de Windows Server Update Services (WSUS), esto no se ve afectado por la configuracin de esta
pgina. Si deja de utilizar WSUS en este equipo, se aplicar la configuracin de esta pgina.
3. En la pgina Configuracin de caractersticas de proteccin de Forefront TMG del asistente, haga lo siguiente:
En Sistema de inspeccin de red, seleccione la opcin de activar la licencia complementaria y habilitar el Sistema de inspeccin de red (NIS).
En Proteccin web, seleccione el tipo de activacin de licencia para la proteccin web. Si ha seleccionado Activar la licencia de pago y habilitar la
proteccin web, escriba la clave de licencia y la fecha de caducidad de la licencia comprada.
Si desea examinar el contenido HTTP solicitado permitido por las reglas de acceso de malware, como virus y spyware, seleccione Habilitar inspeccin de
malware.
Si desea validar la direccin URL solicitada y restringir el acceso a ciertas categoras de sitios (personalizable), seleccione Habilitar el filtrado de URL.
4. En la pgina Configuracin de actualizacin de firmas de NIS del asistente, en Seleccionar accin automtica de actualizacin, seleccione el tipo de accin que
desee implementar cuando haya conjuntos de firmas nuevos o actualizados.
5. En Configuracin del nuevo conjunto de firmas, seleccione la opcin de directiva de respuesta para las nuevas firmas.
6. En la pgina Comentarios del usuario del asistente, si desea participar en el Programa para la mejora de la experiencia del usuario, haga clic en S, deseo
participar de forma annima en el Programa para la mejora de la experiencia del usuario. Este programa ayuda a Microsoft a mejorar la calidad y confiabilidad de
Forefront TMG. Si se une al programa, Microsoft recopila informacin annima de la configuracin de hardware, del uso de software y servicios, y de patrones de
tendencias. No se recopila informacin personal identificable.
Para obtener ms informacin sobre los mecanismos para recabar los comentarios de los clientes, vea Programa para la mejora de la experiencia del usuario de
Microsoft.
7. En la pgina Servicio de informes de telemetra de Microsoft, realice una de las siguientes acciones:
Haga clic en el botn Bsica para enviar a Microsoft informacin bsica relativa a direcciones URL filtradas, invalidaciones de categoras de direcciones
URL, posibles amenazas y la respuesta.
Haga clic en el botn Avanzada para proporcionar a Microsoft informacin sobre posibles amenazas como muestras de trfico y direcciones URL
completas.

101
Haga clic en el botn Ninguno para no participar en el servicio.

Configuracin de redes y enrutamiento
En esta seccin se proporciona informacin sobre la creacin de redes, reglas de redes y cmo enrutar las solicitudes del cliente.
Las redes de Forefront TMG representan la topologa de la red corporativa. Generalmente, se define una red para cada adaptador de red instalado y habilitado en el equipo.
Las redes que no requieren adaptadores de red asociados son la red de host local, que representa a Forefront TMG, y las redes virtuales privadas.
Al implementarse en el permetro de la red, Forefront TMG debera estar configurado con un mnimo de dos adaptadores de red: uno conectado a la red interna de Forefront
TMG, que representa a la red corporativa principal y, el otro, a la red externa de Forefront TMG, que normalmente representa a Internet. La red externa se define de manera
dinmica en funcin de los intervalos de las direcciones IP de otras redes. Puede configurar el intervalo de direcciones IP y otras propiedades de la red interna. Si hay
disponibles tres o ms adaptadores, tambin puede configurar las propiedades de una o ms redes perimetrales. Solo puede configurar una conexin de acceso telefnico en
una red (por ejemplo, para obtener acceso a Internet mediante el telfono).
Despus de definir las redes, deber crear las reglas de la red para permitir especficamente que las redes se comuniquen. Para obtener ms informacin, vea Definicin de
las reglas de red.
En los siguientes temas se proporcionan instrucciones sobre:

Definicin de las reglas de red

Definicin de adaptadores de red

Habilitacin de la redundancia del Proveedor de acceso a Internet (ISP)
Definicin de las reglas de red
Las reglas de red determinan la relacin entre dos redes Forefront TMG. Las redes pueden tener una relacin de ruta o de traduccin de direcciones de red (NAT).
Aunque habitualmente las relaciones de redes se definen entre redes, tambin se pueden aplicar a otros objetos de red, como conjuntos de equipos o intervalos de direcciones
IP.
Configurar reglas de red
Puede crear nuevas reglas de red, as como modificar o eliminar las existentes, en la consola de administracin de Forefront TMG, en el nodo Redes.
Para crear o editar una regla de redes
1. En la ficha Reglas de red haga clic en Crear una regla de red en la ficha Tareas.
2. Complete el Asistente para nueva regla de red. Realice las siguientes acciones en las pginas especificadas:

En la pgina Orgenes de trfico de red, especifique la red de origen.

En la pgina Destinos de trfico de red, especifique la red de destino.

En la pgina Relacin de redes, seleccione Traduccin de direcciones de red (NAT) o Ruta.

En la pgina Seleccin de direccin NAT, seleccione la opcin que Forefront TMG utiliza para determinar la direccin NAT que se usa para ocultar
los equipos en los orgenes de trfico.
Nota:
Las relaciones de ruta son bidireccionales, de forma que, si se define una relacin de ruta desde la red de origen A a la red de destino B, tambin existe una relacin
de ruta implcita desde la red B a la red A. Las solicitudes de cliente se enrutan entre redes con direcciones IP de origen y destino no modificadas. Las relaciones NAT
son unidireccionales y NAT se realiza para ocultar las direcciones IP. Para obtener ms informacin, vea Relaciones de redes.
Nota:
La regla de red predeterminada Acceso a host local no se puede eliminar.
Definicin de adaptadores de red
Forefront TMG admite adaptadores de red ilimitados en funcin de las limitaciones del hardware.
Un adaptador puede tener cero o ms direcciones. Cada direccin solo puede pertenecer a una red (estar asociada a un adaptador de red exactamente). Los intervalos de
direcciones de una red no deben superponerse.
Al crear o editar una red en un servidor Forefront TMG, puede especificar un intervalo de direcciones IP o seleccionar un adaptador de red asociado a la red que est
configurando para los siguientes tipos de red:

Red interna

Red perimetral

Red externa
Nota:

102
Tras aadir un adaptador de red a la red que est creando o editando, se recomienda que no modifique el adaptador de red configurado para su servidor ni le cambie el
nombre.
Las direcciones IP de los adaptadores de red asociados a la misma red deberan ser idnticas para todos los miembros de la matriz.
Puede seleccionar un adaptador de red para su red si ejecuta el Asistente Crear una red nueva o edita una red seleccionada.
La lista de ajustes del adaptador de red configurados en Windows Server est registrada en la ficha Adaptadores de red en el nodo Redes. Puede editar la configuracin del
adaptador de red.
Habilitacin de la redundancia del Proveedor de acceso a Internet (ISP)
En este tema se describe cmo habilitar la redundancia del proveedor de acceso a Internet (ISP), que permite vincular dos adaptadores de red externos a dos ISP diferentes.
Hay dos modos de redundancia de ISP:

El modo de alta disponibilidad designa un vnculo principal que soporta todo el trfico saliente de Internet y un vnculo de reserva que se activa automticamente
en caso de que el primer vnculo no funcione.

El modo de equilibrio de carga dirige el trfico saliente de Internet entre dos vnculos de ISP de manera simultnea y establece el porcentaje de trfico de Internet
total por vnculo. Tambin admite la conmutacin por error si uno de los vnculos no funciona.
En los siguientes procedimientos se describe:

Ejecutar el Asistente de redundancia de ISP: cmo ejecutar el asistente.

Configurar las propiedades de TCP/IP en los adaptadores de red: cmo establecer una puerta de enlace predeterminada y deshabilitar la caracterstica de mtrica
automtica. El procedimiento se debe realizar en ambos adaptadores de red.

Crear rutas estticas persistentes: cmo crear una ruta esttica persistente entre cada adaptador de red y los servidores DNS para cada ISP.
Ejecutar el Asistente de redundancia de ISP
Para ejecutar el Asistente de redundancia de ISP
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Redes.
2. En el panel de detalles, haga clic en la pestaa Redundancia de ISP.
3. En la ficha Tareas, haga clic en Habilitar redundancia de ISP y, a continuacin, siga las instrucciones en el asistente. Tenga en cuenta las consideraciones
siguientes:
a. Cada red debe tener una relacin de Traduccin de direcciones de red (NAT) con la red externa.
b. Las reglas del trfico NAT esttico tienen prioridad sobre los ajustes de configuracin de la redundancia de ISP. Esto significa que no se reenruta el
trfico NAT esttico dirigido a un vnculo de ISP concreto si el vnculo est desactivado.
c. Al configurar el equilibrio de carga, puede designar que el trfico enviado a un intervalo de direcciones IP se enrute a un vnculo de ISP especfico.
Para ello, haga clic en Destinos de rutas explcitas y, a continuacin, en Agregar intervalo. Puede agregar varios intervalos.
d. Despus de finalizar el asistente y hacer clic en Aplicar en la barra Aplicar cambios, las conexiones existentes continuarn sobre su vnculo actual de
Internet. La directiva recientemente aplicada solo es pertinente para las nuevas conexiones.
Configurar las propiedades de TCP/IP en los adaptadores de red
Para habilitar la redundancia de ISP, debe establecer una puerta de enlace predeterminada y deshabilitar la caracterstica de mtrica automtica en ambos adaptadores de red.
Para configurar los adaptadores de red
1. En Iniciar bsqueda, escriba ncpa.cpl y presione ENTRAR. Realice el siguiente procedimiento con ambos adaptadores de red:
2. Haga clic con el botn secundario en una interfaz de red externa y, a continuacin, haga clic en Propiedades.
3. Haga clic en Protocolo de Internet versin 4 (TCP/IPv4) y, a continuacin, en Propiedades.
4. Haga clic en la pestaa General y realice las siguientes acciones:
a. Seleccione Usar la siguiente direccin IP y escriba la direccin IP de la puerta de enlace predeterminada proporcionada por el ISP correspondiente.
Nota:
Puede aparecer una advertencia para alertarle de la creacin de varias puertas de enlace predeterminadas en un mismo equipo. En este caso, puede omitir la
advertencia sin ningn riesgo; haga clic en S para guardar la configuracin.
b. Haga clic en Opciones avanzadas, desactive la casilla Mtrica automtica y, a continuacin, escriba la mtrica necesaria en el campo Mtrica de la
interfaz.
Nota:
El adaptador de red con el valor de mtrica ms bajo es el de mayor prioridad. Se recomienda que establezca un valor de mtrica de interfaz ms bajo para el
adaptador de red que vaya a actuar como vnculo principal en modo de conmutacin por error o el adaptador que vaya a administrar ms trfico en modo de
equilibrio de carga.
Para obtener ms informacin sobre la caracterstica de mtrica de interfaz, vea Explicacin de la funcin de medicin automtica para las rutas del Protocolo
Internet (http://go.microsoft.com/fwlink/?LinkId=169003).
5. Repita este procedimiento con el otro adaptador de red utilizado para la redundancia de ISP.
Crear rutas estticas persistentes
Para asegurarse de que las solicitudes DNS se enrutan al ISP correcto, debe agregar una ruta esttica persistente para cada direccin IP de DNS configurada en los
adaptadores de red externos.
Para crear una ruta esttica persistente
1. Abra una ventana Comandos y cree una ruta persistente con la siguiente sintaxis:
route [-p] ADD [destination] MASK [netmask] [gateway] METRIC [metric] [IF interface]
Por ejemplo:
route -p ADD 192.168.5.1 MASK 255.255.255.0 192.168.1.1 METRIC 1 1
Observe los siguientes parmetros:

p hace que la ruta sea persistente entre arranques del sistema.

103

METRIC especifica la prioridad de esta ruta; la ruta con la mtrica ms baja tiene la mxima prioridad.

IF interface especifica el nmero de interfaz de esta ruta.
2. Repita este procedimiento con el otro adaptador de red utilizado para la redundancia de ISP.
Configuracin de funciones y permisos
Con el fin de simplificar la administracin de la concesin de permisos a los usuarios, Forefront TMG proporciona funciones administrativas para empresas y
administradores de matrices. Una funcin define un conjunto de derechos que autorizan a los usuarios y grupos a realizar acciones especficas. Al asignar un rol a un usuario
o grupo, Forefront TMG configura los objetos correspondientes para conceder los permisos necesarios para realizar las acciones permitidas por la funcin al usuario o al
grupo. Para obtener ms informacin sobre los roles administrativos de Forefront TMG, vea Acerca de los permisos y roles de Forefront TMG.
Los procedimientos siguientes describen cmo asignar roles administrativos a administradores de empresa y administradores de matriz.
Para asignar roles administrativos a administradores de empresas
1. En el rbol de la consola de Administracin de Forefront TMG, haga clic en el nodo Empresa.
2. En la ficha Tareas, haga clic en Asignar funciones administrativas.
3. En la ficha Asignar roles, haga clic en el botn Agregar superior. A continuacin, haga lo siguiente:
a. En Grupo o usuario, escriba el nombre del grupo o usuario que podr obtener acceso a la informacin almacenada en la instancia local de Active
Directory Lightweight Directory Services (AD LDS) y supervisar las matrices del dominio.
b. En Funcin, seleccione una de las opciones siguientes:

Administrador de empresa de Forefront TMG: autoriza al grupo o usuario especfico a realizar todas las tareas administrativas tanto en la empresa
como en las matrices del dominio.

Auditor de empresa de Forefront TMG: autoriza al grupo o usuario especificado a realizar tareas de supervisin y a ver la configuracin de la empresa
y la matriz.
4. Cuando termine, haga clic en Aceptar.
5. En el panel de detalles, haga clic en el botn Aplicar y, a continuacin, en Aceptar.
Para asignar funciones administrativas a administradores de matriz
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Forefront TMG.
2. En la ficha Tareas, haga clic en Asignar funciones administrativas.
3. En la ficha Asignar roles, haga clic en el botn Agregar superior. A continuacin, haga lo siguiente:
a. En Grupo o usuario, escriba el nombre del grupo o del usuario al que se permitir el acceso a la informacin almacenada en la instancia local de AD
LDS.
b. En Funcin, seleccione una de las opciones siguientes:

Administrador de matriz de Forefront TMG: autoriza al grupo o usuario especificado a realizar todas las tareas administrativas de la matriz.

Auditor de matriz de Forefront TMG: autoriza al grupo o usuario especificado a realizar todas las tareas de supervisin y a ver la configuracin de la
matriz.

Auditor de supervisin de Forefront TMG: autoriza al grupo o usuario especificado a realizar tareas de supervisin especficas.
4. Cuando termine, haga clic en Aceptar.
5. En el panel de detalles, haga clic en el botn Aplicar y, a continuacin, en Aceptar.
Configuracin de una matriz de Forefront TMG
Puede unir un servidor Forefront TMG a una matriz independiente o a una matriz de empresa administrada de manera centralizada por un servidor Enterprise Management
Server (EMS).
Al unir Forefront TMG a una matriz independiente, las nuevas directivas y valores de configuracin se actualizan desde un nico servidor de Forefront TMG, definido como
administrador de la matriz. Si necesita administrar varias matrices, puede instalar un servidor EMS con el fin de administrar de manera centralizada todas las matrices de la
red. Desde un nico punto, puede aplicar las directivas de la empresa y administrar las actualizaciones de la configuracin a todas las matrices del EMS. En los siguientes
temas se describe la informacin necesaria para configurar una matriz despus de instalar Forefront TMG:

Creacin de una matriz independiente

Unin de un servidor independiente a una matriz en una implementacin de grupo de trabajo

Creacin de una matriz de empresa

Unin de un servidor a una matriz de empresa

Eliminacin de un servidor de una matriz de empresa

Habilitacin de la comunicacin intramatricial
Nota:
nicamente puede unirse a un servidor o quitarlo desde una matriz independiente o una matriz de empresa en el servidor local. No se puede hacer esto de manera
remota.
Creacin de una matriz independiente
Una matriz independiente comprende dos o ms servidores de Forefront TMG conectados que comparten la misma configuracin. La configuracin est almacenada en uno
de los servidores, que se designa como administrador de matriz y administra los dems servidores de la matriz.
Los siguientes procedimientos describen cmo crear y administrar una matriz independiente:

Configuracin de una directiva de firewall de administrador de matriz

Unin de un servidor a una matriz independiente

Eliminacin de un servidor de una matriz independiente

Nombramiento de un nuevo administrador de matriz
Nota:

104
Para obtener informacin sobre cmo crear una matriz de empresas, vea Creacin de una matriz de empresa.
Configuracin de una directiva de firewall de administrador de matriz
Este procedimiento describe cmo configurar la directiva del firewall en el servidor que design como administrador de matriz con el fin de permitir a todos los dems
miembros que se unan a la matriz.
Para configurar una directiva de firewall de administrador de matriz
1. En el servidor designado como administrador de matriz, en la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de firewall.
2. En la ficha Herramientas, haga clic en Objetos de red, en Conjuntos de equipos y, a continuacin, haga doble clic en Equipos de servidor administrados.
3. En el cuadro de dilogo Propiedades de equipos de servidor administrados, haga clic en Agregar, seleccione Equipo y escriba los detalles del servidor que est
agregando a la lista. Repita este paso para todos los miembros de matriz que desea agregar a la lista Equipos de servidor administrados.
4. Compruebe que todos los miembros de matriz estn incluidos en la directiva del firewall. Haga clic en el nodo Supervisin y en la pestaa Configuracin, y
compruebe que todos los miembros de la matriz aparecen bajo Estado de la configuracin.
Nota:
La lista de Estado de la configuracin puede tardar algunos minutos en actualizarse.
Unin de un servidor a una matriz independiente
Repita este procedimiento para todos los miembros que configur en la directiva del firewall de la matriz.
Para unir una matriz independiente
1. En la consola de administracin de Forefront TMG, haga clic en el nodo Nombre del servidor.
2. En la ficha Tareas, haga clic en Unir matriz.
3. En la pgina Unir tipo de pertenencia, haga clic en Unir una matriz independiente administrada por un miembro designado de la matriz (administrador de la
matriz).
4. En la pgina Detalles del administrador de la matriz, escriba la direccin IP o FQDN del administrador de la matriz y, a continuacin, haga clic en Finalizar.
Eliminacin de un servidor de una matriz independiente
Para quitar un servidor de una matriz independiente
1. En la consola de administracin de Forefront TMG, haga clic en el nodo nombre de servidor.
2. En la ficha Tareas, haga clic en Separar servidor de la matriz.
3. En la pgina Seleccionar dispositivo TMG, seleccione la matriz de la que desea llevar a cabo la desconexin y, a continuacin, haga clic en Finalizar.
Nombramiento de un nuevo administrador de matriz
Si un administrador de matriz se vuelve no funcional, puede designar uno de los otros miembros de matriz como administrador de matriz, tal y como se describe en el
procedimiento siguiente.
Para designar un nuevo administrador de matriz
1. En el servidor que desea designar como administrador de matriz, en la consola de administracin de Forefront TMG, haga clic en Definir como administrador de
la matriz en la pestaa Tareas.
2. En cada uno de los miembros de matriz restantes, en la consola de administracin de Forefront TMG, haga clic en Cambiar administrador de la matriz en la
pestaa Tareas.
3. En la pgina Cambiar administrador de la matriz, escriba la direccin IP o FQDN del administrador de la matriz y, a continuacin, haga clic en Finalizar.
Nota:
Si despus de designar un nuevo administrador de la matriz, desea unir a la matriz el servidor que previamente actu como administrador, realice los siguientes pasos:
1. Quite los miembros de matriz de la lista Equipos de servidor administrados del servidor. Para obtener ms informacin, vea Configuracin de una directiva
de firewall de administrador de matriz.
2. Una el servidor a la matriz, tal y como se describe en Unin de un servidor a una matriz independiente.
Unin de un servidor independiente a una matriz en una implementacin de grupo de trabajo
Hay varias tareas que debe hacer en Forefront TMG, para poder unir el servidor Forefront TMG a una matriz independiente en un entorno de grupo de trabajo.
Entre las tareas que deben realizarse previamente se encuentran las siguientes:
1. En el servidor de almacenamiento de Forefront TMG, agregue la direccin IP del servidor Forefront TMG independiente al conjunto de equipos Equipos de
administracin remota.
2. Instale el certificado de entidad de certificacin como editor de confianza en el almacn de certificados de equipo de Forefront TMG.
3. Establezca una sesin LDAP con el servidor de almacenamiento (tal y como se describe en el procedimiento siguiente).
Para establecer una sesin LDAP con el servidor de almacenamiento
1. Haga clic en Inicio, haga clic en Ejecutar y escriba ldp.exe.
2. En el men Ldp, haga clic en Conexin y, a continuacin, en Conectarse.
3. En Servidor, escriba el FQDN del servidor de almacenamiento.
4. En Puerto, escriba 2172 y active la casilla SSL.
5. En el men, haga clic en Conectarse y, a continuacin, seleccione .Enlazar.
Importante:
Si ha iniciado sesin para utilizar una cuenta reflejo, puede hacer clic en Enlazar como usuario con sesin iniciada; de lo contrario, haga clic en Enlazar con
credenciales, especifique las credenciales de la cuenta de reflejo y deje el Dominio vaco.
Si no hay ningn error en la conexin, puede unir el servidor Forefront TMG a la matriz. Para obtener informacin detallada sobre cmo unir un servidor a una matriz
independiente, vea Creacin de una matriz independiente.
Creacin de una matriz de empresa

105
Una matriz de empresa es una matriz administrada por un EMS. En este tema se describe cmo crear una matriz de empresa.
Nota:
Si desea obtener instrucciones sobre cmo instalar un EMS, consulte Instalacin de un servidor Enterprise Management Server (EMS) para la administracin
centralizada.
Tras crear una matriz de empresa, puede unir miembros a la matriz y eliminar de ella los servidores tal y como se describe en los siguientes temas:


Nota:
Asimismo, un administrador de empresa puede crear matrices y poblarlas con servidores con solo hacer clic en el botn Unir una matriz administrada por un servidor
EMS al ejecutar el asistente de Unir matriz desde un servidor independiente.
Para crear una matriz de empresa
1. En el EMS, en la consola de administracin de Forefront TMG, haga clic en Matrices. En el panel de tareas, en la ficha Tareas, haga clic en Crear nueva matriz.
2. En el Asistente para nueva matriz, en la pgina Bienvenido al asistente para la nueva matriz, escriba el nombre de la matriz.
3. En la pgina Nombre DNS de la matriz, escriba el sistema de nombres de dominio (DNS) de la matriz.
Nota:
Los clientes de Forefront TMG y los clientes web deben ser capaces de resolver el nombre DNS.
4. En la pgina Asignar directiva de empresa, en la lista Seleccionar la directiva de empresa que se aplique a esta nueva matriz, haga clic en la directiva de empresa
para aplicarla a la matriz.
5. En la pgina Tipos de regla de directiva de matriz, seleccione los tipos de reglas que se pueden crear para la directiva de firewall de matriz.
Nota:
Solamente los usuarios con la funcin Administrador de empresa de Forefront TMG pueden configurar los tipos de reglas que se pueden crear para una matriz. El
administrador de empresa puede limitar los tipos de reglas que el administrador de la matriz puede crear, pero solo una vez creada la matriz. El administrador de
empresa no puede limitar ningn tipo de regla si el administrador de la matriz ya ha creado una regla de ese tipo.
Una matriz de empresa es una matriz administrada por un EMS. En este tema se describe cmo unir un servidor de Forefront TMG a una matriz de empresa.
Nota:
Al unir un servidor a una matriz de empresa, se sobrescribe la configuracin existente del servidor independiente.
Antes de unir un servidor a una matriz de empresa, debe actualizar las definiciones de firma del sistema de prevencin de intrusiones en el servidor. De lo
contrario, no se actualizarn las firmas en dicho servidor hasta que se produzca la actualizacin programada de la matriz.
Para unir una matriz de empresa
1. En la consola de administracin de Forefront TMG, haga clic en el nodo Nombre del servidor.
2. En la ficha Tareas, haga clic en Unir matriz.
3. En la pgina Unir tipo de pertenencia, haga clic en Unir una matriz administrada por un servidor EMS.
4. En la pgina Detalles de Enterprise Management Server, escriba el nombre de dominio completo (FQDN) del servidor EMS y, a continuacin, haga clic el
formulario de la cuenta de usuario para conectarse al servidor.
5. En la pgina Unir una matriz administrada por EMS, seleccione si desea unir una matriz existente administrada por EMS o crear una nueva matriz administrada
por EMS.
6. Si ha seleccionado la opcin de crear una nueva matriz administrada por EMS, introduzca los detalles de la nueva matriz en la pgina Crear nueva matriz.
En este tema se describe cmo quitar un servidor de Forefront TMG de una matriz de empresa; una matriz de empresa es una matriz administrada por un EMS.
Para quitar un servidor de una matriz de empresa
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Nombre del servidor.
2. En la ficha Tareas, haga clic en Desconectar de Enterprise.
3. En la pgina Seleccionar dispositivo TMG, seleccione la matriz administrada por EMS de la que desea desconectarse y, a continuacin, haga clic en Finalizar.
Habilitacin de la comunicacin intramatricial
La comunicacin intramatricial solo permite la comunicacin entre los miembros de matriz de una red dedicada.
Esta configuracin permite a los miembros de la matriz recibir valores de configuracin y actualizaciones de manera fcil y rpida, as como reducir la carga de trfico en la
red interna y externa de cada uno de los miembros de la matriz.
Para configurar la comunicacin intramatricial, necesita configurar primero una nueva red intramatricial basada en un adaptador de red dedicado.
Tras crear una red intramatricial, debe escribir la direccin IP de la red intramatricial en cada uno de los miembros de matriz.
El procedimiento siguiente describe cmo habilitar la comunicacin intramatricial entre los miembros de una matriz de empresa en EMS.

106
Configuracin de la comunicacin intramatricial para los miembros de una matriz
1. En el rbol de la consola de configuracin de Forefront TMG, expanda el Nombre de servidor de la matriz y, a continuacin, haga clic en Sistema.
2. En la ficha Servidores, seleccione un servidor y, a continuacin, en la ficha Tarea, haga clic en Configurar el servidor seleccionado.
3. En la ficha Comunicacin, en el cuadro de dilogo Comunicacin intramatricial, escriba la direccin IP utilizada para comunicarse con otros miembros de la
matriz.
Configuracin de equipos clientes
Forefront TMG protege a tres tipos de clientes en redes corporativas internas; los clientes que ejecutan software del cliente de Forefront TMG, los clientes proxy web y los
clientes SecureNAT.
En los temas siguientes se describe cmo configurar cada tipo de cliente:

Implementacin del cliente de Forefront TMG

Configurar clientes proxy web

Configuracin de los clientes SecureNAT

Configuracin de la deteccin automtica
Implementacin del cliente de Forefront TMG
El Cliente de Forefront TMG es una aplicacin que reside en los equipos cliente en una red protegida mediante Forefront TMG. El Cliente de Forefront TMG proporciona
una seguridad mejorada, compatibilidad con aplicaciones y control de acceso para los equipos cliente.
En los temas siguientes se describe cmo instalar el software de Cliente de Forefront TMG, configurar el explorador web y las aplicaciones, y cmo habilitar las solicitudes
de cliente para Forefront TMG:

Instalacin del software cliente de Forefront TMG

Implementacin de la configuracin del explorador web en clientes de Forefront TMG

Configuracin de los ajustes de la aplicacin para el software cliente de Forefront TMG

Habilitacin de una red para permitir que reciba las solicitudes del cliente de Forefront TMG

Configuracin del cliente de Forefront TMG para resolver las solicitudes locales
Instalacin del software cliente de Forefront TMG
En este tema se describe cmo distribuir e instalar el software cliente de Forefront TMG en los equipos cliente que residen en redes protegidas mediante Forefront TMG. El
software cliente de Forefront TMG incluye el archivo ms_fwc.msi de Windows Installer y est disponible en el DVD de Forefront TMG, tanto en la edicin Standard como
en la edicin Enterprise. Se admite la instalacin del cliente de Forefront TMG en sistemas operativos de 32 y 64 bits.

Cmo habilitar la compatibilidad con el cliente de Forefront TMG

La distribucin del cliente de Forefront TMG a equipos cliente

Ejecucin de una instalacin desatendida de ms_fwc.msi
Cmo habilitar la compatibilidad con el cliente de Forefront TMG
Antes de instalar el software cliente de Forefront TMG, debe habilitar la compatibilidad del cliente de Forefront TMG en el servidor de Forefront TMG tal como se indica a
continuacin:
1. En el rbol de consola de administracin de Forefront TMG, haga clic en Redes.
2. En el panel de detalles, haga clic en la ficha Redes.
3. Haga clic con el botn secundario en la red que desee y luego haga clic en Propiedades.
4. En la ficha Cliente de Forefront TMG, seleccione Habilitar la compatibilidad con el cliente de Forefront TMG para esta red.
La distribucin del cliente de Forefront TMG a equipos cliente
Puede utilizar los siguientes mtodos de distribucin para implementar de forma centralizada el software cliente de Forefront TMG en los equipos cliente de la red:

Script de inicio de sesin: un script de inicio de sesin comprueba si el equipo tiene instalado el software cliente de Forefront TMG. Si no est instalado, el script
de inicio de sesin instala el software desde un recurso compartido de red. El usuario registrado debe ser miembro del grupo de administradores del equipo.

Directiva de grupo: utilice la opcin de directiva de grupo para instalar el software cliente de Forefront TMG por usuario (es decir, cuando un usuario inicie
sesin) o por equipo.

Microsoft System Center Configuration Manager 2007: utilice System Center Configuration Manager para asegurarse de que el software cliente de Forefront
TMG est instalado en los equipos pertinentes de la organizacin. Para obtener ms informacin, vea System Center Configuration Manager 2007
Ejecucin de una instalacin desatendida de ms_fwc.msi
En este procedimiento se explica cmo ejecutar una instalacin desatendida del archivo de Windows Installer que instala el software cliente de Forefront TMG.
Para ejecutar una instalacin desatendida de ms_fwc.msi
1. Escriba lo siguiente en la ventana del smbolo del sistema: msiexec /i ms_fwc.msi <SERVER_NAME_OR_IP=tmgserver> <ENABLE_AUTO_DETECT=0>
<REFRESH_WEB_PROXY=0> /qb /L*v c:\fwc_inst.log.
En los comandos se utilizan los parmetros siguientes:

Ruta de acceso: ubicacin del archivo de instalacin del cliente de Forefront TMG. Debe especificar un valor.

SERVER_NAME_OR_IP=tmgserver: nombre o direccin IP del equipo con Forefront TMG al que debe conectarse el equipo cliente.

107

ENABLE_AUTO_DETECT: especifique el valor 1 para indicar que el equipo cliente de Forefront TMG debe detectar automticamente el equipo con Forefront
TMG al que debe conectarse. Un valor de 0 indica que el cliente no tiene habilitada la deteccin automtica.

REFRESH_WEB_PROXY: especifique el valor 1 para indicar que la configuracin del cliente de Forefront TMG debe actualizarse con la configuracin del
proxy web especificada en Administracin de Forefront TMG. Un valor de 0 indica que el cliente no est actualizado.
Las opciones del comando son las siguientes:

/Q y /qb: indican una instalacin desatendida. La opcin /qb muestra un pequeo cuadro de dilogo con el progreso. Tambin se puede especificar /qn, que no
muestra ningn indicador de progreso.

/L*v c:\fwc_inst.log: genera un registro de instalacin que puede ser de utilidad para solucionar problemas.
Las opciones siguientes de Windows Installer tambin pueden ser tiles:

Puede utilizar la propiedad REBOOT para solicitar o forzar un reinicio al final de la instalacin. Para obtener ms informacin, vea REBOOT Property

Si la propiedad REBOOTPROMPT est establecida en S (o Suppress), los reinicios se efectan automticamente sin necesidad de que intervenga el usuario. Para
obtener ms informacin, vea REBOOTPROMPT Property (http://go.microsoft.com/fwlink/?LinkId=93331).
Para obtener ms informacin, vea Command-Line Options (http://go.microsoft.com/fwlink/?LinkId=92823) y Modificadores de la lnea de comandos para la herramienta
Microsoft Windows Installer (http://go.microsoft.com/fwlink/?LinkId=92824).
Implementacin de la configuracin del explorador web en clientes de Forefront TMG
En este tema se describe cmo configurar Forefront TMG para implementar la configuracin del explorador web en los equipos que estn ejecutando el software de cliente
de Forefront TMG.
Para configurar la configuracin del explorador web para los equipos que ejecutan el software de cliente de Forefront TMG
1. En el rbol de la consola de Administracin de Forefront TMG, haga clic en Redes.
2. En el panel de detalles, haga clic en la ficha Redes y, a continuacin, seleccione la red correspondiente.
3. En la ficha Tareas, haga clic en Editar red seleccionada.
4. Seleccione la opcin requerida para ajustar la configuracin del explorador web en los equipos que ejecutan el software de cliente de Forefront TMG:

Detectar la configuracin automticamente. Al seleccionar esta opcin, el explorador web intentar encontrar el servidor que alberga la configuracin
de dicho explorador a travs de DHCP o DNS.

Usar script de configuracin automtica. Al seleccionar esta opcin, el explorador web obtiene su propia configuracin a travs de un script, bien
mediante una URL predeterminada o a partir de la URL especificada.

Usar un servidor proxy web. Al seleccionar esta opcin, el explorador web obtiene su propia configuracin a travs del servidor proxy web.
Configuracin de los ajustes de la aplicacin para el software cliente de Forefront TMG
Puede definir la configuracin de la aplicacin de Forefront TMG correspondiente a todos los equipos en los que est instalado el cliente de Forefront TMG en redes
protegidas por Forefront TMG. La configuracin de la aplicacin consiste en pares {clave, valor} que especifican cmo se comporta el software de cliente de Forefront
TMG con una aplicacin especfica.
El siguiente procedimiento describe cmo configurar las nuevas opciones de la aplicacin, modificar las opciones ya existentes y eliminar la configuracin de la aplicacin.
Para configurar las opciones de la aplicacin para el software de cliente de Forefront TMG
1. En el rbol de la consola de Administracin de Forefront TMG, haga clic en Redes y, a continuacin, en la ficha Redes.
2. En la ficha Tareas del panel de tareas, en Tareas relacionadas, seleccione Configurar cliente firewall.
3. Para configurar los nuevos valores de la aplicacin, haga lo siguiente:
a. En la ficha Configuracin de aplicaciones, haga clic en Nueva.
b. En el cuadro de dilogo Configuracin de la entrada de la aplicacin, escriba el nombre de la aplicacin, la clave y el valor, y a continuacin haga clic
en Aceptar.
4. Para modificar un valor existente de una aplicacin, haga clic en la aplicacin en la lista Configuracin y, a continuacin, en Editar. Aplique el cambio y haga
clic en Aceptar.
5. Para eliminar un valor existente de una aplicacin, haga clic en la aplicacin en la lista Configuracin y, a continuacin, en Quitar.
Puede modificar los valores de la aplicacin en Administracin de Forefront TMG y aplicrselos a todos los equipos en los que est instalado el cliente de Forefront TMG.
En la siguiente tabla se muestra una lista de las entradas que puede incluir al configurar los valores de la aplicacin cliente de Forefront TMG. En la primera columna
aparecen las claves que se pueden incluir en los archivos de configuracin. La segunda columna describe los valores en los que se pueden establecer las claves. Tenga en
cuenta que algunos de los valores solo se pueden configurar en el equipo en el que est instalado el cliente de Forefront TMG.
configuracin de la aplicacin
Claves Valor
NombreDeServidor Especifica el nombre del equipo del servidor Forefront TMG al que debe conectarse el cliente de Forefront TMG.
Deshabilitar Valores posibles: 0 1. Cuando el valor se establece en 1, la aplicacin cliente de Forefront TMG se deshabilita para la aplicacin
cliente especfica, excepto cuando la configuracin del cliente de Forefront TMG exime de forma explcita al proceso que inicia el
trfico.
DisableEx Valores posibles: 0 1. Cuando el valor se establece en 1, la aplicacin cliente de Forefront TMG se deshabilita para la aplicacin
cliente especfica. Cuando se establece, reemplaza la opcin Deshabilitar. Por ejemplo, para svchost, se habilita DisableEx de
forma predeterminada.
Deteccin automtica Valores posibles: 0 1. Cuando el valor se establece en 1, la aplicacin cliente de Forefront TMG busca automticamente el
equipo de Forefront TMG al que debe conectarse.
NameResolution Valores posibles: L o R. De manera predeterminada, los nombres de dominio de Internet se redirigen al equipo de Forefront TMG
para resolver el nombre, mientras que todos los dems nombres se resuelven en el equipo local. Si el valor se establece en R, todos
los nombres se redirigen al equipo de Forefront TMG para que se resuelva el nombre. Si el valor se establece en L, todos los

108
nombres se resuelven en el equipo local.
LocalBindTcpPorts Especifica un puerto, lista o intervalo de TCP enlazado de forma local.
LocalBindUdpPorts Especifica un puerto, lista o intervalo de UDP enlazado de forma local.
DontRemoteOutboundTcpPorts Especifica una lista, un intervalo o un puerto TCP de salida que no se conectar mediante Forefront TMG (solicitudes de conexin
que no se enviarn a Forefront TMG). Utilice esta entrada para especificar los puertos en los que los clientes no deben
comunicarse con Forefront TMG. Esto resulta til para proteger el firewall de Forefront TMG de ataques en la red interna, que se
expanden al obtener acceso a un puerto fijo en ubicaciones aleatorias.
DontRemoteOutboundUdpPorts Especifica un puerto, lista o intervalo de UDP saliente enlazado de forma local.
RemoteBindTcpPorts Especifica un puerto, lista o intervalo de TCP enlazado de forma remota.
RemoteBindUdpPorts Especifica un puerto, lista o intervalo de UDP enlazado de forma remota.
ProxyBindIP Especifica una direccin IP o una lista que se utiliza al enlazar con un puerto correspondiente. Utilice esta entrada cuando varios
servidores que utilizan el mismo puerto se deben enlazar al mismo puerto en direcciones IP diferentes en el equipo de Forefront
TMG. La sintaxis de la entrada es: ProxyBindIp = [puerto]: [Direccin IP], [puerto]: [Direccin IP] Los nmeros de puerto
corresponden tanto a puertos TCP como UDP.
ServerBindTcpPorts Especifica un puerto, lista o intervalo de TCP para todos los puertos que deben aceptar ms de una conexin.
Persistent Valores posibles: 0 1. Si el valor se establece en 1, puede mantenerse un estado determinado del servidor en el equipo de
Forefront TMG en caso de que un servicio se detenga y se reinicie, o bien que el servidor no responda. El cliente enva
peridicamente un mensaje de mantenimiento al servidor durante una sesin activa. Si el servidor no responde, el cliente intenta
restaurar el estado de los sockets de enlace y de escucha al reiniciar el servidor.
ForceCredentials Se utiliza al ejecutar un servicio o aplicacin de servidor de Windows como, por ejemplo, la aplicacin cliente de Forefront TMG.
Si el valor se establece en 1, se obliga a utilizar credenciales de autenticacin de usuario alternativas que se almacenan de forma
local en el equipo que ejecuta el servicio. Las credenciales de usuario se almacenan en el equipo cliente mediante la aplicacin
FwcCreds.exe que se suministra con Forefront TMG. Las credenciales de usuario deben indicar una cuenta de usuario que
Forefront TMG pueda autenticar, ya sea de forma local en Forefront TMG o en un dominio de confianza de Forefront TMG.
Habitualmente, se establece que la cuenta de usuario no expira. En caso contrario, hay que recuperar las credenciales del usuario
cada vez que expira la cuenta.
NameResolutionForLocalHost Valores posibles: L (predeterminado), P o E. Se utiliza para especificar el modo en que debe resolverse el nombre del equipo
(cliente) local al realizar una llamada a la funcin gethostbyname del API. El nombre del equipo LocalHost se resuelve llamando a
la funcin gethostbyname, del API de Winsock, y utilizando como argumento la cadena LocalHost, una cadena vaca o NULL. Las
aplicaciones de Winsock llaman a la funcin gethostbyname(LocalHost) para que busque la direccin IP local y la enve a un
servidor de Internet. Si esta opcin se establece en L, gethostbyname() devuelve las direcciones IP del equipo host local. Si esta
opcin se establece en P, gethostbyname() devuelve las direcciones IP del equipo de Forefront TMG. Si esta opcin se establece en
E, gethostbyname() devuelve solo las direcciones IP externas del equipo de Forefront TMG, es decir, las direcciones IP que no se
incluyen en la tabla de direcciones locales.
ControlChannel Valores posibles: Wsp.udp o Wsp.tcp (predeterminado). Especifica el tipo de canal de control utilizado.
EnableRouteMode Valores posibles: 0 1 (predeterminado). Cuando EnableRouteMode se establece en 1 y se configura una relacin de ruta entre el
equipo de cliente de Forefront TMG y el destino solicitado, la direccin IP del cliente de Forefront TMG se utiliza como direccin
de origen. Si el valor se establece en 0, se utiliza la direccin IP del equipo de Forefront TMG. Esta marca no se aplica a las
versiones anteriores del cliente de Firewall.
Habilitacin de una red para permitir que reciba las solicitudes del cliente de Forefront TMG
En este tema se describe cmo habilitar una red en Forefront TMG para recibir las peticiones del cliente de Forefront TMG.
Para permitir que una red reciba las solicitudes del cliente de Forefront TMG
1. En la consola de administracin de Forefront TMG, haga clic en Redes.
4. En la ficha Cliente de Forefront TMG, haga lo siguiente:
a. Para habilitar la red de manera que reciba las solicitudes del cliente de Forefront TMG, seleccione Habilitar la compatibilidad con el cliente de
Forefront TMG para esta red.
b. En el cuadro Nombre o direccin IP de Forefront TMG, escriba el nombre del dominio completo (FQDN) o especifique una direccin IP del servidor
de Forefront TMG a la que los clientes de Forefront TMG puedan realizar las solicitudes.
Configuracin del cliente de Forefront TMG para resolver las solicitudes locales
Puede definir direcciones o nombres de dominio que habilitan a los clientes de Forefront TMG para resolver una solicitud de red sin enviar a Forefront TMGlocalmente.
En la seccin siguiente se describe cmo configurar las direcciones y dominios que habilitan a los equipos que tienen el cliente de resolver las solicitudes de red sin enviar la
solicitud a Forefront TMG.

109
Configuracin para resolver las solicitudes locales en el cliente de Forefront TMG
De manera predeterminada, el cliente de Forefront TMG considera las direcciones siguientes como locales:

Todos los sufijos de dominio especificados en la ficha Dominios de las propiedades de la red. Esta lista incluye una tabla de dominios locales (LDT).

Todas las direcciones en la red del cliente. Forefront TMG proporciona los intervalos de direcciones de red a todos los equipos que tienen el cliente de Forefront
TMG en la red, de acuerdo con las direcciones definidas en la ficha Direcciones de las propiedades de red. El cliente de Forefront TMG almacena en la memoria
estos intervalos de direcciones IP.

Todas las direcciones especificadas en la tabla de enrutamiento local en el equipo de cliente de Forefront TMG.

Todas las direcciones IP contenidas en un archivo de tabla de direcciones locales (LAT), LocalLAT.txt, creado en el equipo del cliente de Forefront TMG.
La tabla LDT y otros valores del cliente de Forefront TMG configurados en Forefront TMG se insertan en los clientes durante la instalacin del cliente de Forefront TMG
siempre que se especifica una actualizacin manual en el cliente o cada seis horas.
En las secciones siguientes se describe cmo crear una tabla de dominio local y un archivo LocalLAT.txt.
Creacin de una tabla de dominios locales
El cliente de Forefront TMG examina la tabla de dominios locales (LDT) para determinar qu dominios locales se pueden omitir. Los sufijos de dominio pueden
especificarse en la ficha Dominios de las propiedades de la red del cliente. Esta lista incluye una tabla de dominios locales (LDT).
Para crear una LDT
1. En la consola de Administracin de Forefront TMG, haga clic en Redes.
4. En la ficha Dominios, elija entre los procedimientos siguientes:

Para especificar un dominio al que los clientes de Forefront TMG de la red deben tener acceso directo, haga clic en Agregar. En el cuadro de dilogo
Propiedades del dominio, escriba el nombre de dominio completo (FQDN) del dominio y haga clic en Aceptar.

Para quitar un dominio del acceso directo, en la lista Nombres de dominio, haga clic en el dominio y haga clic en Quitar.

Para modificar un nombre de dominio existente, en la lista Nombres de dominio, haga clic en el dominio y haga clic en Editar.
Crear un archivo LocalLAT.txt
Puede agregar direcciones locales a un archivo Locallat.txt que cree. Este archivo le ayuda a mantener una lista independiente de direcciones IP a las que el cliente debera
tener acceso directamente. El archivo Locallat.txt debera contener direcciones IP en pares. Cada par de direcciones define un intervalo de direcciones IP o una sola.
Para crear un archivo LocalLAT.txt
1. En el equipo cliente de Forefront TMG, navegue hasta una de las carpetas siguientes y, a continuacin, cree un nuevo archivo de texto denominado
LocalLAT.txt:

Si ejecuta Windows XP:

\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004

Si ejecuta Windows Vista:

\ProgramData\Microsoft\Firewall Cliente 2004
2. En el archivo, especifique pares de intervalos de direcciones IP para el acceso instantneo al origen requerido. Cada par de direcciones define un intervalo de
direcciones IP o una sola direccin IP. El ejemplo siguiente muestra un archivo Locallat.txt que tiene dos entradas; la primera es un intervalo de direcciones IP y
la segunda es una nica direccin IP.

10.51.0.0 - 10.51.255.255

10.52.144.103 - 10.52.144.103
3. Guarde y cierre el archivo.
4. Si est ejecutando Windows Vista, haga lo siguiente:

Haga clic en Inicio, haga clic con el botn secundario en Equipo y, a continuacin, haga clic en Administracin.

Haga doble clic en Servicios y aplicaciones y haga clic en Servicios.

Haga clic con el botn secundario en el servicio Agente Cliente de Forefront TMG y, a continuacin, haga clic en Reiniciar.
Puede usar cualquier mtodo de implementacin de software, como la directiva de grupo, para enviar el archivo LocalLAT.txt a los clientes de Forefront TMG.
Configurar clientes proxy web
Los clientes proxy web son aplicaciones que realizan solicitudes de descarga HTTP, HTTPS o FTP a travs de HTTP al puerto TCP en el que Forefront TMG escucha las
solicitudes web salientes de la red del cliente.
Una aplicacin cliente proxy web debe ser:

Compatible con CERN: es decir, entiende el mtodo correcto para realizar una solicitud de proxy web.

Proporciona un medio para que los clientes especifiquen un nombre (o direccin IP) y un puerto para utilizar con las solicitudes de proxy web.
Los clientes proxy web presentan las caractersticas siguientes:

Una aplicacin que se ejecuta en un equipo cliente de una red interna puede ser un cliente proxy web si realiza solicitudes, como se ha descrito anteriormente.
Normalmente, los clientes son aplicaciones de explorador web conformes con HTTP 1.1. El explorador especifica Forefront TMG como proxy o utiliza la
deteccin automtica para recibir la configuracin proxy desde otro servidor.

Los clientes utilizan la deteccin automtica para detectar el servidor Forefront TMG que se va a utilizar para las solicitudes proxy web.

Los protocolos estn limitados a solicitudes HTTP, HTTPS y FTP sobre HTTP.

Los clientes se pueden autenticar en Forefront TMG mediante autenticacin bsica, implcita o WDigest, o integrada.

Forefront TMG resuelve las solicitudes en nombre de los clientes proxy web.
Configuracin de los clientes proxy web y los clientes del explorador para utilizar Forefront TMG como proxy web
Configure los clientes proxy web como sigue:

Habilite una red interna o perimetral para escuchar para las solicitud de los clientes proxy web. Forefront TMG escucha las solicitud web salientes de los clientes
que se encuentran en la red interna predeterminada en el puerto 8080.
Configure los clientes del explorador para que utilicen Forefront TMG como proxy web de la forma siguiente:

Especifique manualmente un proxy esttico en la configuracin del explorador.

110

Tambin puede utilizar un mtodo de deteccin automtica para que los clientes utilicen un script de configuracin o el protocolo WPAD para descubrir el
servidor proxy que deben utilizar. Para obtener ms informacin, vea Configuracin de la deteccin automtica.
Para clientes con el software de cliente de Forefront TMG instalado, puede configurar las opciones del explorador web del cliente en Administracin de Forefront TMG.
Estas opciones se insertan en los clientes despus de la instalacin, a peticin o peridicamente.
Los clientes proxy web se pueden configurar para que tengan acceso directo a los recursos ubicados en su propia red y para omitir el proxy para direcciones y nombres de
dominio determinados. Para obtener ms informacin, vea Omisin de Forefront TMG para las solicitudes de cliente proxy web.
Habilitar una red para recibir solicitudes de proxy web
En este tema se proporcionan instrucciones para configurar una red interna o perimetral para la escucha de solicitudes del proxy web. Un cliente proxy web es una aplicacin
o un equipo que enva solicitudes al puerto TCP en el que una red Forefront TMG escucha las solicitudes web salientes. De manera predeterminada, Forefront TMG escucha
estas solicitudes en el puerto 8080 de la red interna predeterminada. Normalmente, los clientes son exploradores web. Para obtener ms informacin, vea Internal and
perimeter network properties y Acerca de los equipos cliente de firewall.
La configuracin de una red para que reciba solicitudes del proxy web consiste en:

Habilitar solicitudes del proxy web en la red y especificar un puerto en el que la red escuche estas solicitudes.

Opcionalmente, especificar un lmite personalizado para conexiones proxy web simultneas en la red. El valor predeterminado es sin lmite.

Si se exige a todos los clientes ubicados en la red autenticarse para el acceso al proxy web, configurar un mtodo de autenticacin.
Configurar propiedades de red
Dnde empezar. Para abrir las propiedades de red, en el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Redes. En la ficha Redes, haga clic
con el botn secundario en la red correspondiente y, a continuacin, haga clic en Propiedades.
Para habilitar solicitudes del proxy web en una red
1. En la ficha Proxy web de las propiedades de la red, seleccione Habilitar HTTP.
2. En Puerto HTTP, especifique un puerto en el que la red debe escuchar las solicitudes HTTP. De manera predeterminada, Forefront TMG escucha estas
solicitudes en el puerto 8080. Las solicitudes del proxy web no se pueden configurar para conectar con Forefront TMG mediante SSL. La opcin Habilitar SSL
slo se utiliza para encadenar solicitudes de forma segura a travs de HTTPS con un servidor web que precede en la cadena.
Para limitar las conexiones proxy web simultneas en una red
1. En la pestaa Proxy web de las propiedades de la red, haga clic en Opciones avanzadas.
2. En el cuadro de dilogo Configuracin avanzada, seleccione Sin lmite para especificar que no hay ningn lmite en cuanto al nmero de conexiones simultneas
del proxy web.
3. En Mximo por servidor, escriba un lmite para las conexiones simultneas del proxy web que se permiten en la red y, a continuacin, escriba un valor en Tiempo
de espera de la conexin para indicar cuntos segundos deben transcurrir antes de que las conexiones inactivas se desconecten.
Para requerir autenticacin para todas las solicitudes del proxy web
1. En la pestaa Proxy web de las propiedades de red, haga clic en Autenticacin.
2. En la lista de mtodos de autenticacin, seleccione un mtodo de autenticacin adecuado.
Nota:
La autenticacin implcita, integrada o bsica requiere que Forefront TMG y los clientes que realizan la solicitud sean miembros del dominio. Para obtener ms
informacin, vea Planeacin para la autenticacin de acceso web.
Nota:
La autenticacin del certificado SSL slo se utiliza al encadenar solicitudes del proxy web a un proxy web que precede en la cadena. Los clientes que realizan
solicitudes del proxy web en Forefront TMG no pueden presentar un certificado SSL.
3. Seleccione Requerir que todos los usuarios se autentiquen para especificar que todas las solicitudes administradas por el filtro proxy web requieren autenticacin.
Si esta opcin est seleccionada, no se permite ninguna solicitud annima y, antes de evaluar las reglas de acceso web, se requieren y validan las credenciales de
usuario.
Nota:
Si esta opcin est seleccionada, se denegar el acceso a los clientes que no puedan presentar credenciales o que no superen la validacin.
Nota:
Al seleccionar esta opcin, se puede bloquear el trfico a algunos sitios, como Microsoft Update, que no admiten autenticacin de usuarios.
Nota:
Si selecciona esta opcin y no selecciona un mtodo de autenticacin, se producirn errores en las solicitudes de los clientes.
5. Haga clic en Seleccionar dominio para especificar el dominio al que pertenecen los usuarios autenticados.
6. Haga clic en Servidores RADIUS si desea utilizar un servidor RADIUS para autenticar a los usuarios que realicen solicitudes web salientes. En el cuadro de
dilogo Servidor RADIUS, especifique la informacin del servidor.
Omisin de Forefront TMG para las solicitudes de cliente proxy web
Las aplicaciones que realizan solicitudes como clientes proxy web pueden omitir el filtro proxy web para tener acceso directamente a los recursos situados en su red local, o
para tener acceso a sitios web externos, sin tener que pasar a travs de Forefront TMG.
Puede configurar los clientes proxy web para el acceso directo de la forma siguiente:

111

Los exploradores cliente que no utilizan deteccin automtica mediante un script de configuracin automtica o una entrada de la deteccin automtica de proxy
web (WPAD, Web Proxy Automatic Discovery) deben configurarse manualmente para el acceso directo. Para obtener ms informacin acerca de la deteccin
automtica, vea Configuracin de la deteccin automtica.

Los exploradores cliente configurados para utilizar un script de configuracin automtica de Forefront TMG pueden obtener informacin de acceso directo.
Si una solicitud que omite el filtro proxy web est destinada a recursos que no se encuentran en la red del cliente, el cliente se puede configurar como cliente SecureNAT o
como cliente Forefront TMG. Esto permite a Forefront TMG atender la solicitud y aplicar la inspeccin de trfico y el filtrado.
Configurar acceso directo para clientes proxy web que no utilizan deteccin automtica
En este procedimiento se supone que el explorador web es Windows Internet Explorer.
Para configurar exploradores web para que utilicen el script de configuracin automtica
1. En Internet Explorer, haga clic en el men Herramientas y, a continuacin, en Opciones de Internet.
2. Haga clic en la ficha Conexiones y, a continuacin, haga clic en Configuracin de LAN.
3. Active la casilla No usar servidor proxy para direcciones locales para configurar el explorador de forma que no reenve solicitudes para nombres de host (por
ejemplo, http://contoso.com) al filtro proxy web. Esta opcin est disponible nicamente para nombres de una sola etiqueta. Los nombres o direcciones con un
punto (.), como las direcciones IP de un nombre de dominio completo (FQDN), se reenvan al filtro proxy web. Este tipo de entradas deben especificarse en el
cuadro Excepciones de la forma siguiente:

Haga clic en Opciones avanzadas y, a continuacin, en el cuadro Excepciones, escriba el nombre de dominio o la direccin IP que no desea que el
filtro proxy web procese.
Configurar acceso directo para clientes proxy web que utilizan deteccin automtica
La configuracin de acceso directo establecida en Forefront TMG llega a los clientes en un script de configuracin automtica cada seis horas. Internet Explorer puede
especificar la ubicacin esttica del script o utilizar el protocolo WPAD para detectar un servidor en el que se encuentre el script de configuracin. Para obtener
instrucciones acerca de cmo configurar los clientes, vea Configuracin de exploradores web para la deteccin automtica. Puede configurar el acceso directo en la consola
de Administracin de Forefront TMG de la forma siguiente.
Para configurar la configuracin de acceso directo
3. Haga clic con el botn secundario en la red interna o perimetral que desee y luego haga clic en Propiedades.
4. En la ficha Explorador web, realice una de las acciones siguientes:

Seleccione No usar servidor proxy para servidores web en esta red para especificar que los clientes proxy web no deben utilizar el filtro proxy web
para servidores web ubicados en la red del cliente.

Seleccione Obtener acceso directo a equipos especificados en la ficha Dominios para permitir que los clientes proxy web omitan el filtro proxy web
para los destinos especificados en la ficha Dominios.

Seleccione Obtener acceso directo a los equipos especificados en la ficha Direcciones para permitir que los clientes de proxy web omitan el filtro
proxy web para los destinos de la ficha Direcciones. De manera predeterminada, la ficha Direcciones contiene el intervalo de direcciones IP de la red.

Seleccione Agregar para especificar que un intervalo de direcciones IP, un dominio o un equipo tengan acceso directo. Para quitar una entrada de la
lista Obtener acceso directo a los servidores o dominios siguientes, seleccinela y haga clic en Quitar. Para modificar una entrada de la lista,
seleccinela y haga clic en Editar.

Seleccione Acceso directo para especificar que los clientes de proxy web deben omitir el filtro proxy web si Forefront TMG no est disponible.
Configurar dominios para acceso directo
Para configurar un dominio para acceso directo
3. Haga clic con el botn secundario en la red interna o perimetral que desee y luego haga clic en Propiedades.
4. En la ficha Dominios, haga lo siguiente:

Para agregar una entrada, haga clic en Agregar y escriba el dominio que va a tener acceso directo. Repita para cada dominio que desee agregar.

Para quitar una entrada, seleccinela en la lista Nombres de dominio, haga clic en la entrada que desea quitar y haga clic en Quitar.

Para modificar una entrada, en la lista Nombres de dominio haga clic en ella y, despus, haga clic en Editar.
Configuracin de los clientes SecureNAT
Forefront TMG Cliente SecureNAT es un equipo que ejecuta un sistema operativo que utilice redes TCP/IP. Forefront TMG no tiene conocimiento de los clientes
SecureNAT, salvo en el contexto de la direccin IP y el protocolo utilizado en las solicitudes de cliente. Los clientes SecureNAT presentan las caractersticas siguientes:

En un escenario de red sencilla, sin enrutadores entre el cliente e Forefront TMG, la puerta de enlace predeterminada seala a la direccin IP de la red de
Forefront TMG donde se encuentra el cliente (normalmente, la red interna). En una red compleja, con enrutadores de puente en las subredes que hay entre el
equipo cliente e Forefront TMG, la configuracin de la puerta de enlace predeterminada en el ltimo enrutador de la cadena deber apuntar a Forefront TMG. De
forma ptima, el enrutador debera utilizar la puerta de enlace predeterminada que conecta por la ruta ms corta con el equipo Forefront TMG.

Los clientes SecureNAT pueden utilizar cualquier protocolo simple definido en Forefront TMG. Los clientes SecureNAT pueden utilizar protocolos complejos
que requieren conexiones secundarias si existe un filtro de aplicacin de Forefront TMG para el protocolo.

Los clientes SecureNAT no se pueden autenticar en Forefront TMG. Si se requiere la autenticacin para una solicitud, en el cliente aparecer una ventana
emergente de autenticacin o se denegar la solicitud.

Las aplicaciones proxy web que se ejecutan en equipos cliente SecureNAT pueden utilizar la deteccin automtica de configuracin proxy. Para obtener ms
informacin, vea Configuracin de la deteccin automtica.
Para configurar los clientes SecureNAT, especifique la puerta de enlace predeterminada que seala a Forefront TMG o a un enrutador. Asegrese de que el servidor
Forefront TMG sea la ruta predeterminada a Internet para el cliente.

112
Configurar la resolucin de nombres
Los clientes SecureNAT pueden solicitar objetos tanto de equipos de la red local como de Internet, y deben poder resolver nombres de ambos. Forefront TMG no realiza la
resolucin de nombres en nombre de los clientes SecureNAT. Se recomienda lo siguiente:

Para obtener acceso nicamente a Internet, configure TCP/IP en el cliente para usar los servidores del Sistema de nombres de dominio (DNS) en Internet. Cree
una regla de acceso que permita a los clientes SecureNAT utilizar el protocolo DNS y configure el filtro DNS para los clientes SecureNAT.

Si los clientes SecureNAT solicitan datos tanto de Internet como de recursos internos, deben utilizar un servidor DNS ubicado en la red interna. El servidor DNS
se debe configurar para que resuelva tanto direcciones internas como direcciones de Internet.
Evite los bucles de retroceso a travs de Forefront TMG para solicitudes de clientes SecureNAT de recursos internos. Por ejemplo, si el cliente realiza una solicitud a un
recurso interno publicado por Forefront TMG en la red externa, la resolucin de nombres no debe resolver la solicitud en una direccin IP pblica de la red externa. Si la
hace y el cliente SecureNAT enva una solicitud a la direccin IP externa, el servidor de publicacin puede responder directamente al cliente SecureNAT y la respuesta se
descarta. La direccin IP de origen del cliente se sustituye por la direccin IP del adaptador de la red interna de Forefront TMG, que el servidor publicado reconoce como
interna. El servidor puede responder por consiguiente directamente al cliente SecureNAT, haciendo que los paquetes que van en una direccin atraviesen una ruta que no
implica a Forefront TMG y los paquetes que van en la otra direccin atraviesen Forefront TMG. Como resultado, Forefront TMG descarta la respuesta como no vlida.
Configuracin de la deteccin automtica
Los temas de esta seccin proporcionan informacin sobre cmo configurar la deteccin automtica de configuracin del proxy web para las aplicaciones cliente proxy web.
Forefront TMG proporciona la deteccin automtica por medio de un script de configuracin automtica o una entrada WPAD en Active Directory, DNS o DHCP. Forefront
TMG puede actuar como un servidor WPAD para los clientes proxy web.
Los temas siguientes describen cmo:

Configurar el servidor WPAD

Creacin de una entrada WPAD en DHCP1

Crear una entrada WPAD en DNS

Configuracin de Active Directory para la deteccin automtica

Quitar WPAD de la lista de bloqueo de DNS

Configuracin del cliente de Forefront TMG para la deteccin automtica

Configuracin de exploradores web para la deteccin automtica
Configurar el servidor WPAD
Puede usar el servidor Forefront TMG como servidor WPAD en el que se encuentran los archivos de configuracin Wpad.dat y Wspad.dat. En este tema se describe cmo
configurar el servidor WPAD. Se explica cmo configurar la red en la que se encuentran los clientes para publicar informacin de deteccin automtica y cmo especificar
el nmero de puerto en el que el equipo Forefront TMG debe poner la informacin de deteccin automtica.
Para configurar el servidor WPAD
1. En el rbol de la consola de Administracin de Forefront TMG, haga clic en Redes.
2. En el panel de detalles, haga clic en la ficha Redes y, a continuacin, seleccione la red en la que desea escuchar las solicitudes WPAD de los clientes
(normalmente, la red interna predeterminada).
4. En la ficha Deteccin automtica, seleccione Publicar informacin sobre la deteccin automtica para esta red.
5. En Utilizar este puerto para las solicitudes de deteccin automtica, especifique el puerto en el que el servidor WPAD de Forefront TMG debe escuchar las
solicitudes WPAD de los clientes.
Nota:
De manera predeterminada, Forefront TMG publica la informacin de deteccin automtica en el puerto 8080. Si utiliza una entrada WPAD en DNS, debe publicarla
en el puerto 80. Las entradas WPAD en DHCP pueden utilizar cualquier puerto.
Creacin de una entrada WPAD en DHCP1
El procedimiento siguiente describe cmo configurar una entrada WPAD en el servidor DHCP del controlador de dominio de la red desde la cual se recibirn las solicitudes
de deteccin automtica de clientes (normalmente, la red interna predeterminada).
Para crear una entrada de opcin 252 en DHCP
1. Haga clic en Inicio, elija Todos los programas, despus Herramientas administrativas y, por ltimo, haga clic en DHCP.
2. En el rbol de la consola, haga clic con el botn secundario en el servidor DHCP aplicable, haga clic en Establecer opciones predefinidas y, a continuacin, en
Agregar.
3. En Nombre, escriba WPAD.
4. En Cdigo, escriba 252.
5. En Tipo de datos, seleccione Cadena y, a continuacin, haga clic en Aceptar.
6. En Cadena, escriba http://NombreDeEquipo:Puerto/wpad.dat donde Puerto es el nmero de puerto en el que se publica la informacin de deteccin automtica.
Puede especificar cualquier nmero de puerto. De manera predeterminada, . Asegrese de utilizar letras minsculas cuando escriba wpad.dat. 8080 utiliza
wpad.dat y distingue entre maysculas y minsculas. Forefront TMG utiliza wpad.dat y distingue entre maysculas y minsculas.
7. Haga clic con el botn secundario del "mouse" en Opciones del servidor y, a continuacin, haga clic en Configurar opciones. Confirme que Opcin 252 est
seleccionado.
No es necesario crear nada especficamente para Wspad.dat. Wspad.dat utiliza la misma opcin 252 que wpad.dat y modifica el nombre wpad.dat por Wspad.dat, segn
convenga.
Crear una entrada WPAD en DNS

113
Puede configurar una entrada DNS en el servidor DNS del controlador de dominio de la red desde la cual se recibirn las solicitudes de deteccin automtica de clientes
(normalmente, la red interna) de la forma siguiente:
1. Configure un registro de host (A) para el servidor WPAD. Se recomienda reservar un nombre de host DNS esttico para WPAD, como se describe en el artculo
de Microsoft 934864: Cmo configurar Microsoft DNS y WINS para reservar el registro de WPAD (http://go.microsoft.com/fwlink/?LinkId=180364).
2. Cree un registro de alias (CNAME) para sealar al registro de host (tal y como se describe en el procedimiento siguiente).
Para configurar un alias para la entrada WPAD
1. Haga clic en Inicio, seleccione Todos los programas, seleccione Herramientas administrativas y, por ltimo, haga clic en DNS.
2. En el rbol de la consola, haga clic con el botn secundario en la zona de bsqueda directa del dominio y haga clic en Nuevo alias (CNAME).
3. En Nombre de alias, escriba WPAD.
4. En Nombre completo del host de destino, escriba el FQDN del servidor WPAD. Si el equipo o la matriz de Forefront TMG ya tienen definido un registro de host
(A), haga clic en Examinar para buscar el nombre del servidor de Forefront TMG en el espacio de nombres de DNS.
El rol de servidor DNS en Windows Server 2008 introduce una lista de bloqueo de consultas global para reducir la vulnerabilidad asociada al protocolo de actualizacin
dinmica de DNS. Esto puede afectar a la implementacin WPAD.
Configuracin de Active Directory para la deteccin automtica
Forefront TMG utiliza el marcador de Active Directory (AD) para la deteccin automtica de la ubicacin de Forefront TMG. La herramienta TmgAdConfig es una
herramienta de deteccin automtica que configura Active Directory con una clave de marcador que seala al equipo de Forefront TMG. El cliente de Forefront TMG utiliza
esta clave para localizar el equipo con Forefront TMG y conectarse a l.
Advertencia:
El marcador de AD no se admite en una implementacin de grupo de trabajo. Si un equipo no es miembro de un dominio, agrguelo a un dominio o desactive la casilla
Usar Active Directory (recomendado) en la configuracin avanzada del cliente de Forefront TMG para usar los mtodos de deteccin heredados.
Para ejecutar la herramienta de marcador de AD para la deteccin automtica
1. Para almacenar la clave de marcador en Active Directory, en el smbolo del sistema, escriba: TmgAdConfig.exe add -default -type winsock -url <service-url> [-
f], donde:

La entrada service-url debera tener el formato http://<nombre de servidor TMG>:8080/wspad.dat.
En los comandos se pueden usar los parmetros siguientes:

Para eliminar una clave de Active Directory, escriba lo siguiente en un smbolo del sistema: TmgAdConfig.exe del -default -type winsock

Para configurar el marcador de Active Directory para un sitio concreto, utilice el parmetro de la lnea de comandos -site.

Para ver la lista de opciones completa, escriba TmgAdConfig.exe -?

Para obtener informacin detallada sobre el uso, escriba TmgAdConfig.exe <comando> -help
La herramienta TmgAdConfig crea la clave del Registro siguiente en Active Directory: LDAP://Configuration/Services/Internet Gateway("Container") /Winsock
Proxy("ServiceConnectionPoint")
La informacin de enlace del servidor de la clave se establecer en <URL-de-servicio>. Esta clave ser recuperada por el cliente de Forefront TMG y se usar para descargar
el archivo de configuracin de wspad.
Quitar WPAD de la lista de bloqueo de DNS
El rol de servidor DNS en Windows Server 2008 introduce una lista de consultas bloqueadas global para reducir la vulnerabilidad asociada al protocolo de actualizacin
dinmica de DNS.
Si desea utilizar WPAD con DNS, tenga en cuenta lo siguiente:

Si se configuran las entradas WPAD en DNS antes de actualizar el servidor DNS en Windows Server 2008, no es necesario realizar ninguna accin.

Si configura o quita WPAD despus de implementar el rol de servidor DNS en un servidor que ejecute Windows Server 2008, debe actualizar la lista de
bloqueados en todos los servidores DNS que hospedan las zonas afectadas por el cambio. Las zonas afectadas son las zonas donde registr los servidores WPAD.
Actualizar la lista de bloqueados
Utilice la herramienta de lnea de comandos dnscmd para administrar la lista de consultas bloquedas global. Abra una ventana del smbolo del sistema y haga lo siguiente:
1. Para comprobar si el bloqueo de consultas global est habilitado, escriba lo siguiente:

dnscmd /info /enableglobalqueryblocklist
2. Para mostrar los nombres de host de la lista de bloqueados actual, escriba lo siguiente:

dnscmd /info /globalqueryblocklist
3. Para deshabilitar la lista de bloqueados y garantizar que el servicio Servidor DNS no omita las consultas de nombres en la lista de bloqueados, escriba lo
siguiente:

dnscmd /config /enableglobalqueryblocklist 0
4. Para habilitar la lista de bloqueados y garantizar que el servicio Servidor DNS omita las consultas de nombres en la lista de bloqueados, escriba lo siguiente:

dnscmd /config /enableglobalqueryblocklist 1
5. Para quitar todos los nombres de la lista de bloqueados, escriba lo siguiente:

dnscmd /config /globalqueryblocklist
6. Para sustituir la lista de bloqueados actual por una lista de nombres concreta, escriba lo siguiente:

dnscmd /config /globalqueryblocklist name [name]

114
Para obtener ms informacin e instrucciones, vea el documento acerca de la lista global de consultas bloqueadas del servidor DNS que se puede descargar en la pgina
Sistema de nombres de dominio de Microsoft TechNet.
Configuracin del cliente de Forefront TMG para la deteccin automtica
Para facilitar la implementacin, cuando configure la compatibilidad con el cliente de Forefront TMG en una red Forefront TMG, puede configurar las propiedades de la red
para habilitar los exploradores web en los equipos cliente a fin de que utilicen la deteccin automtica, ya sea mediante WPAD o mediante un script de configuracin
esttica.
Esta configuracin se aplicar cuando se instale el software cliente de Forefront TMG en los equipos cliente. Si posteriormente se realizan cambios en los valores de
configuracin del cliente en el equipo con Forefront TMG, Forefront TMG actualiza automticamente la configuracin, como se indica a continuacin:

Cada vez que el cliente de Forefront TMG se reinicia.

Cada vez que se hace clic en Detectar ahora o en Probar servidor en la pestaa Configuracin de la consola de administracin del cliente de Forefront TMG en el
equipo cliente.

Cada seis horas tras la ltima actualizacin.
Nota:
La configuracin se aplica a todos los usuarios en el equipo cliente de Forefront TMG.
Configuracin del explorador de un equipo cliente de Forefront TMG para usar WPAD
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Redes.
2. En el panel de detalles, haga clic en la ficha Redes y, a continuacin, seleccione la red correspondiente (normalmente la red interna).
4. Asegrese de que la opcin Habilitar la compatibilidad con el cliente de Forefront TMG para esta red est seleccionada en la ficha Cliente de Forefront TMG, y
seleccione Detectar la configuracin automticamente.
Configuracin del explorador en un equipo cliente de Forefront TMG para que utilice un script de configuracin esttica
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Redes.
2. En el panel de detalles, haga clic en la ficha Redes y, a continuacin, seleccione la red correspondiente (normalmente la red interna).
4. Asegrese de que la opcin Habilitar la compatibilidad con el cliente de Forefront TMG para esta red est seleccionada en la ficha Cliente de Forefront TMG y
seleccione Usar script de configuracin automtica.
5. Seleccione una de las siguientes opciones:

Utilizar la direccin URL predeterminada: Forefront TMG proporciona un script de configuracin predeterminado en la ubicacin siguiente:
http://FQDN:8080/array.dll?Get.Routing.Script, donde FQDN es el nombre de dominio completo del equipo con Forefront TMG. Este script contiene
la configuracin especificada en la ficha Explorador web de las propiedades de la red.

Utilizar la direccin URL personalizada: como alternativa al script predeterminado, puede crear un archivo de configuracin automtica de proxy
(PAC) y situarlo en un servidor web. Cuando el explorador web del cliente busca el script en la direccin URL especificada, el servidor web recibe la
solicitud y devuelve el script personalizado al cliente.
Configuracin de exploradores web para la deteccin automtica
En equipos cliente que no ejecuten el cliente de Forefront TMG, puede habilitar la deteccin automtica en las propiedades del explorador. La deteccin automtica se
admite en Internet Explorer 8, Internet Explorer 7 e Internet Explorer 6.
Los procedimientos siguientes describen cmo configurar los exploradores web para la deteccin automtica utilizando WPAD o un script de configuracin esttica.
Habilitar exploradores para la deteccin automtica mediante WPAD
2. En la ficha Conexiones, haga clic en Configuracin de LAN.
3. En la ficha Configuracin de la red de rea local (LAN), seleccione Detectar la configuracin automticamente.
Habilitar exploradores para la deteccin automtica mediante un script de configuracin esttica
2. En la ficha Conexiones, haga clic en Configuracin de LAN.
3. En la ficha Configuracin de la red de rea local (LAN), seleccione Usar secuencia de comandos de configuracin automtica. Escriba la ubicacin del script en
el siguiente formato: http://fqdnserver:port/array.dll?Get.Routing.Script, donde fqdnserver es el nombre de dominio completo (FQDN) del servidor de Forefront
TMG. La ubicacin del script de configuracin se puede especificar en cada explorador o se puede definir para todos los clientes que utilicen la directiva de
grupo.
Nota:
Si la deteccin WPAD est habilitada y se ha especificado un script de configuracin automtica, se utilizar la ubicacin del script si se produce un error en la
deteccin WPAD.
Configuracin de servidores de autenticacin de clientes

115
Forefront TMG admite una serie de servidores de autenticacin que se pueden usar para validar las credenciales de los clientes. En la siguiente tabla se muestran los
servidores de autenticacin admitidos.
Servidor de autenticacin Descripcin
LDAP en AD LDS Forefront TMG admite el servicio de directorio del protocolo ligero de acceso a directorios (LDAP) que proporciona el servidor de
Active Directory Lightweight Directory Services (AD LDS).
RADIUS en NPS Forefront TMG admite el Servicio de autenticacin remota telefnica de usuario (RADIUS) que proporciona el Servidor de
directivas de redes (NPS).
Administrador de
autenticaciones RSA
Forefront TMG admite la autenticacin SecurID de RSA para la seguridad de autenticacin de dos factores.
Para obtener ms informacin sobre los servidores y mtodos de autenticacin que admite Forefront TMG, vea Informacin general de autenticacin en Forefront TMG.
En los siguientes temas se proporciona informacin de configuracin para implementar servidores de autenticacin que funcionen con Forefront TMG:

Configurar la autenticacin LDAP en AD LDS

Configurar la autenticacin RADIUS en NPS

Cmo configurar un servidor de SecurID
Configurar la autenticacin LDAP en AD LDS
El siguiente procedimiento describe cmo configurar los conjuntos de servidores LDAP para permitir que Forefront TMG autentique los usuarios del dominio aun cuando
Forefront TMG no forme parte del dominio. Realiza la autenticacin a travs de la conexin de LDAP al dominio.
Para configurar los conjuntos de servidores LDAP
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso web.
2. En la ficha Tareas, haga clic en Configurar ajustes del servidor LDAP.
3. Haga clic en Agregar para agregar un conjunto de servidores LDAP.
4. Indique un nombre para el conjunto de servidores LDAP.
5. Haga clic en Agregar para agregar cada nombre de servidor LDAP, descripcin y perodo de tiempo de espera. Tiempo de espera es el tiempo (en segundos) que
Forefront TMG intenta obtener respuestas del servidor LDAP antes de probar con el siguiente servidor LDAP de la lista ordenada. Tenga en cuenta que es
posible modificar el orden en el que se tiene acceso a los servidores utilizando las teclas FLECHA ARRIBA y FLECHA ABAJO.
6. En Dominio, indique el nombre de dominio completo (FQDN) para Active Directory. Tenga en cuenta que ste es el dominio en el que se definen las cuentas de
usuario y no el dominio al que est unido Forefront TMG.
7. Seleccione Usar catlogo global (GC) si est utilizando un catlogo global.
8. Seleccione Conectar los servidores LDAP a travs de una conexin segura si desea cifrar la comunicacin LDAP (utilizar el protocolo LDAPS).
9. Es posible indicar las credenciales utilizadas para conectar a Active Directory para la comprobacin del estado de la cuenta de usuario y la modificacin de
contraseas de cuenta. De esta forma dispondr de funciones de administracin de contraseas para la autenticacin de formularios HTML.
10. Haga clic en Aceptar para cerrar el cuadro de dilogo Agregar conjunto de servidores LDAP.
11. En Expresin de inicio de sesin, haga clic en Nuevo para agregar una expresin de inicio de sesin. Una expresin de inicio de sesin permite asignar un
conjunto de servidores LDAP a un grupo de usuarios concreto. Por ejemplo, es posible asignar un conjunto de servidores LDAP a los usuarios FABRIKAM\*, y
otro conjunto de servidores LDAP a los usuarios CONTOSO\*. Forefront TMG consulta las expresiones de inicio de sesin en la lista ordenada. Es posible
cambiar el orden utilizando las teclas de direccin ARRIBA y ABAJO.
Configurar la autenticacin RADIUS en NPS
En este tema se describe cmo configurar un servidor RADIUS que ejecuta NPS (Servidor de directivas de redes) de modo que Forefront TMG lo use para la autenticacin
de clientes. Antes de comenzar, debe conocer las medidas de seguridad descritas en Informacin general de autenticacin en Forefront TMG
La configuracin de la autenticacin de RADIUS con NPS consta de los siguientes pasos:
1. Instalacin de NPS. NPS se instala como componente de Windows. Para obtener ms informacin, vea Network Policy Server Infrastructure
2. Configurar Forefront TMG como cliente RADIUS en NPS.
3. Configurar el servidor RADIUS en la consola de administracin de Forefront TMG. Asegrese de que esta configuracin sea la misma que la especificada al
configurar Forefront TMG como cliente RADIUS. Tenga en cuenta que la configuracin de servidor RADIUS especificada se aplica a todos los tipos de reglas
que utilizan autenticacin RADIUS.
4. Modificar la regla de directiva de sistema de Forefront TMG, si es necesario. La regla supone que el servidor RADIUS est ubicado en la red interna
predeterminada y permite el trfico mediante los protocolos RADIUS desde la red de host local (el equipo Forefront TMG) a la red interna. Modifique la regla si
la ubicacin de la red es incorrecta o si desea especificar la direccin del servidor RADIUS en vez de la red interna completa. De manera predeterminada, la regla
est habilitada.
Para configurar Forefront TMG como cliente de RADIUS en NPS
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc y, a continuacin, presione ENTRAR. Deje abierta la consola de
administracin para las siguientes tareas de configuracin del servidor NPS.
2. En el rbol de la consola de administracin NPS, expanda Clientes y servidores de RADIUS, haga clic con el botn secundario en Clientes de RADIUS y, a
continuacin, haga clic en Nuevo cliente de RADIUS.
3. En el cuadro de dilogo Nuevo cliente RADIUS, en el cuadro Nombre descriptivo, escriba una descripcin de Forefront TMG. En el cuadro Direccin (IP o
DNS), escriba la direccin IP de Forefront TMG.
4. En el cuadro Secreto compartido, escriba el secreto compartido que cre en Configurar Forefront TMG como un cliente RADIUS.
5. En el cuadro Confirmar secreto compartido, escriba de nuevo el secreto compartido.
6. Active la casilla El cliente RADIUS es compatible con NAP y, a continuacin, haga clic en Aceptar.
Para configurar el servidor RADIUS en Forefront TMG

116
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de firewall.
2. En el recuadro Tareas, haga clic en Configurar acceso del cliente.
3. En la ficha Redes, seleccione la red en la que se encuentra el servidor RADIUS y, a continuacin, haga clic en Configurar.
4. En la ficha Proxy web, haga clic en Autenticacin.
5. En Mtodo, borre cualquier otro mtodo seleccionado y, a continuacin, seleccione RADIUS.
6. Haga clic en Servidores RADIUS y, a continuacin, en Agregar.
7. En Nombre de servidor, escriba el nombre o la direccin IP del servidor RADIUS que se va a utilizar para la autenticacin.
8. Haga clic en Cambiar y, en Secreto nuevo y en Confirmar secreto nuevo, escriba el secreto compartido que se va a utilizar para las comunicaciones entre el
servidor Forefront TMG y el servidor RADIUS. Asegrese de escribir el mismo secreto especificado al configurar Forefront TMG como cliente en el servidor
RADIUS.
9. En Puerto de autenticacin, especifique el puerto UDP que utiliza el servidor RADIUS para las solicitudes de autenticacin RADIUS entrantes. El valor
predeterminado de 1812 se basa en RFC 2138.
10. En Tiempo de espera (s), escriba el tiempo (en segundos) durante el cual Forefront TMG debe intentar obtener una respuesta del servidor RADIUS antes de
probar con otro servidor.
11. Haga clic en Aceptar cinco veces para salir de todas las ventanas y, a continuacin, en la barra Aplicar cambios, haga clic en el botn Aplicar.
Para modificar la regla de directiva del sistema RADIUS
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de firewall y, a continuacin, en el recuadro Tareas, haga clic en
Editar directiva del sistema.
2. En la seccin Servicios de autenticacin de la lista Grupos de configuracin, haga clic en RADIUS.
3. En la ficha General, compruebe que la opcin Habilitar este grupo de configuracin est seleccionada.
4. Para especificar otra ubicacin, en la pestaa Para, seleccione Interna y, a continuacin, haga clic en Quitar. Haga clic en Agregar y, a continuacin, especifique
el objeto de red que representa al servidor RADIUS.
Cmo configurar un servidor de SecurID
RSA SecurID se basa en tecnologa de RSA Security Inc.
Forefront TMG puede utilizar SecurID para autenticar los clientes para el acceso a redes virtuales privadas (VPN) remotas y servidores web corporativos internos publicados
a travs de Forefront TMG. SecurID exige a los clientes que proporcionen su nmero de identificacin personal (PIN) para obtener acceso a los recursos protegidos, y un
token que genera una contrasea de un solo uso con lmite de tiempo. Tenga en cuenta que tanto el PIN como la contrasea de un solo uso son necesarios para obtener
acceso a dichos recursos.
La configuracin de un servidor de autenticacin SecurID para Forefront TMG consta de los siguientes pasos:
1. Tras instalar el Administrador de autenticaciones RSA de acuerdo con la documentacin de RSA, cree un Registro del host de agente para configurar el
Administrador de autenticaciones RSA de manera que acepte conexiones de Forefront TMG para la autenticacin de usuarios.
2. Compruebe la configuracin de los permisos y de los adaptadores de red.
3. Compruebe la conexin con el Administrador de autenticaciones RSA.
4. Configure las propiedades de SecurID.
Los procedimientos siguientes describen cmo:

Crear un registro de host de agente.

Comprobar la configuracin de los permisos y los adaptadores.

Comprobar la conexin.
Para crear un registro de host de agente
1. En el equipo que ejecuta el Administrador de autenticaciones RSA, haga clic en Inicio y, a continuacin, en Modo host del Administrador de autenticaciones
RSA.
2. En el men Host de agente, haga clic en Agregar host de agente.
3. En el cuadro Nombre, escriba el nombre del equipo que ejecuta Forefront TMG. El nombre debe resolverse en una direccin IP de la red local del Administrador
de autenticaciones RSA.
4. Si es necesario, en el cuadro Direccin de red, escriba la direccin IP del equipo que ejecuta Forefront TMG.
5. En la lista Tipo de agente, haga clic en Agente del sistema operativo de red.
6. Si desea que todos los usuarios puedan realizar la autenticacin, seleccione Abrir para todos los usuarios conocidos localmente.
7. En Host de agente, haga clic en Generar archivos de configuracin. Haga clic en Un host de agente y en Aceptar, luego haga doble clic en el nombre del equipo
que ejecuta Forefront TMG y, a continuacin, guarde el archivo Sdconf.rec en la carpeta %windir%\system32 en el equipo que ejecuta Forefront TMG.
Nota:
De manera predeterminada, el archivo Sdconf.rec se encuentra en la carpeta ACE\Data del equipo del Administrador de autenticaciones RSA.
Para comprobar los permisos y la configuracin de los adaptadores
1. En el equipo que ejecuta Forefront TMG, compruebe que la cuenta del servicio de red local tenga acceso de lectura y escritura para la siguiente clave del
Registro:
HKLM\Software\SDTI\ACECLIENT
De esta forma se garantiza que Forefront TMG pueda escribir el secreto en el Registro.
2. En el equipo que ejecuta Forefront TMG, configure la cuenta del servicio de red con permisos de lectura para el archivo Sdconfig.rec.
3. Si el equipo que ejecuta Forefront TMG est configurado con varios adaptadores de red, debe configurar de forma explcita la direccin del adaptador de red a
travs del cual Forefront TMG se conecta al Administrador de autenticaciones RSA para la autenticacin. Para ello, especifique la direccin IP como un valor de
cadena en la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP
El valor especificado debe coincidir con el establecido en el Registro de host de agente.
Comprobar la conexin
Puede probar la autenticacin de SecurID mediante la utilidad de prueba de autenticacin RSA. Para obtener ms informacin sobre la herramienta, vea Utilidad de prueba
de autenticacin RSA para Internet Security and Acceleration Server (ISA) (http://www.microsoft.com/downloads/details.aspx?FamilyID=7b0ca409-55d0-4d33-bb3f-
1ba4376d5737&DisplayLang=en). Esta herramienta comprueba la conectividad entre el equipo que ejecuta Forefront TMG y el servidor que ejecuta el Administrador de
autenticaciones RSA. La herramienta tambin puede obtener el secreto necesario para el cifrado de las comunicaciones entre los servidores.
Configuracin de la Proteccin de acceso a redes

117
En esta seccin se describe cmo se configuran las directivas de proteccin de acceso a redes (NAP) en el servidor de directivas de red (NPS) y cmo se configura el NPS
para establecer comunicacin con Forefront TMG. NPS es la implementacin de Microsoft de un servidor del Servicio de usuario de marcado con autenticacin remota
(RADIUS) y, como tal, realiza la autenticacin, autorizacin y contabilidad de conexiones para numerosos tipos de accesos de red, incluidas conexiones inalmbricas y de
redes privadas virtuales (VPN). NPS tambin funciona como servidor de evaluacin del estado de mantenimiento para NAP. Para obtener ms informacin, consulte
Proteccin de acceso a redes (http://go.microsoft.com/fwlink/?LinkID=28629).
En combinacin con Forefront TMG, NAP puede aplicar una directiva de mantenimiento cuando los equipos clientes intentan conectarse a la red a travs de una conexin
VPN. La aplicacin de la directiva de VPN ofrece acceso limitado a las redes para todos los equipos que obtienen acceso a la red mediante una conexin VPN.
Configurar NAP en el servidor NPS incluye las tareas siguientes:

Instalacin de la funcin NPS

Configuracin de Forefront TMG como cliente de RADIUS

Creacin de directivas y validadores de mantenimiento del sistema

Creacin de directivas de red

Creacin de directivas de solicitud de conexin

Habilitacin del servicio NAP en equipos clientes compatibles con NAP
Notas de implementacin

Tenga en cuenta que en esta seccin se describe una implementacin en la que Forefront TMG y el servidor NPS estn instalados en equipos Windows Server
2008 independientes. Una ventaja de este tipo de implementacin es la capacidad de utilizar fcilmente el servidor NPS para evaluar el estado de mantenimiento
de los clientes que tienen acceso a la red por medios distintos a VPN.

Puede utilizar la funcin NPS que se instal en el servidor de Forefront TMG para evaluar los clientes carentes de conexin VPN. Para ello, necesita crear una
regla de acceso desde Forefront TMG a NPS y asegurarse de que incluye el nmero de puerto utilizado por la funcin NPS para las conexiones de RADIUS.
Instalar la funcin Servidor de directivas de red
Servidor de directivas de redes (NPS) es la implementacin de Microsoft de un servidor y un proxy de servicio de usuario de acceso telefnico de autenticacin remota
(RADIUS) en Windows Server 2008. NPS sustituye al servicio de autenticacin de Internet en Windows 2003.
Como servidor RADIUS, NPS realiza autenticaciones de conexiones, autorizaciones y administracin de cuentas centralizadas para muchos tipos de acceso de red, incluidas
las conexiones inalmbricas y virtuales de carcter privado (VPN). Como proxy de RADIUS, NPS reenva mensajes de autenticacin y administracin de cuentas a otros
servidores de RADIUS. NPS tambin acta como servidor de evaluacin del estado de mantenimiento de la proteccin de acceso a redes (NAP).
NPS como servicio de funciones
NPS es un servicio de la funcin del servidor de directivas de redes y servicios de acceso (NPAS). Entre otros servicios de la funcin de NPAS, figuran el servicio de
enrutamiento y acceso remoto, el de autoridad de registro del estado de mantenimiento y el protocolo de autorizacin de credenciales para hosts.
Administracin de NPS
Despus de instalar NPS, puede administrarlo de la siguiente manera:

De manera local mediante el complemento de la consola de administracin de Microsoft (MMC), la consola de NPS esttica de Herramientas administrativas o
los comandos del shell de la red (Netsh) para NPS

Desde un servidor NPS remoto, a travs del complemento de MMC, los comandos Netsh para NPS o una conexin a escritorio remoto

Desde una estacin de trabajo remota mediante la conexin a escritorio remoto
Instalacin de la funcin NPS
El procedimiento siguiente proporciona las instrucciones para la instalacin de la funcin NPS.
Para instalar la funcin de servidor de directivas de red
1. Haga clic en Inicio, luego en Ejecutar, escriba CompMgmtLauncher y, a continuacin, presione INTRO.
2. En la ventana Administrador de servidores, en Resumen de funciones, haga clic en Agregar funciones y, a continuacin, en Siguiente.
3. Active la casilla de verificacin Servicios de acceso y directivas de redes y, a continuacin, haga clic en Siguiente dos veces.
4. Active la casilla de verificacin Servidor de directivas de redes, haga clic en Siguiente y, a continuacin, haga clic en Instalar.
5. Compruebe que la instalacin sea correcta y haga clic en Cerrar.
6. En la ventana Administrador de servidores, haga clic en Cerrar.
Configurar un cliente RADIUS en el servidor NPS
Se recomienda que el servidor de directivas de redes (NPS) e Forefront TMG se instalen en equipos distintos. Una ventaja de este tipo de implementacin es la capacidad de
utilizar fcilmente el servidor NPS para evaluar el estado de mantenimiento de los clientes que tienen acceso a la red por medios distintos a VPN.
En este tipo de implementacin, en la que Forefront TMG enva los mensajes de RADIUS al NPS para la autenticacin y autorizacin de la conexin VPN, debe configurar
NPS para que reconozca el equipo de Forefront TMG como un cliente de RADIUS.
Nota:
Puede utilizar la funcin NPS que se instal en el servidor de Forefront TMG para evaluar los clientes carentes de conexin VPN. Para ello, necesita crear una regla de
acceso desde Forefront TMG a NPS y asegurarse de que incluye el nmero de puerto utilizado por la funcin NPS para las conexiones de RADIUS.
Para configurar Forefront TMG como cliente de RADIUS en el NPS
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc; a continuacin, presione ENTRAR para abrir la consola de
administracin de NPS. Deje esta ventana abierta para las siguientes tareas de configuracin del servidor NPS.
2. En el rbol, expanda Clientes y servidores de RADIUS, haga clic con el botn secundario en Clientes de RADIUS y, a continuacin, haga clic en Nuevo cliente
de RADIUS. El cuadro de dilogo Nuevo cliente de RADIUS se abre.
3. En el cuadro de dilogo Nuevo cliente de RADIUS, en el cuadro Nombre descriptivo, escriba una descripcin de Forefront TMG. En el cuadro Direccin (IP o
DNS), escriba la direccin IP de Forefront TMG.
4. En el cuadro Secreto compartido, escriba un secreto compartido. Registre el secreto compartido para usarlo al configurar Forefront TMG como cliente de
RADIUS (vea Configurar Forefront TMG como un cliente RADIUS para obtener informacin detallada).
5. En el cuadro Confirmar secreto compartido, escriba de nuevo el secreto compartido.

118
6. Active la casilla El cliente de RADIUS es compatible con NAP y, a continuacin, haga clic en Aceptar.
Configuracin de directivas y validadores de mantenimiento del sistema NPS
En este tema se describe cmo configurar directivas de Proteccin de acceso a redes (NAP) en el servidor de directivas de red (NPS). NPS es la implementacin de
Microsoft de un servidor del Servicio de usuario de marcado con autenticacin remota (RADIUS) y, como tal, realiza la autenticacin, autorizacin y control de las
conexiones para numerosos tipos de accesos de red, incluidas las conexiones inalmbricas y de redes privadas virtuales (VPN). NPS tambin funciona como servidor de
evaluacin del estado de mantenimiento para la proteccin de acceso a redes (NAP). Para obtener ms informacin, vea Proteccin de acceso a redes
Configurar validadores de mantenimiento del sistema
Los validadores de mantenimiento del sistema (SHV) definen los requisitos de configuracin para los equipos que intentan conectar con la red. Para este tema, deber
configurar el validador de mantenimiento de seguridad de Windows para exigir que solo el firewall de Windows est habilitado.
Para configurar validadores de mantenimiento del sistema
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc; a continuacin, presione ENTRAR para abrir la consola de
2. En el rbol, haga doble clic en Proteccin de acceso a redes y, a continuacin, haga clic en Validadores de mantenimiento del sistema.
3. En el panel central, en Nombre, haga doble clic en Validador de mantenimiento de seguridad de Windows.
4. En el cuadro de dilogo Propiedades del validador de mantenimiento de seguridad de Windows, haga clic en Configurar.
5. Desactive todas las casillas de verificacin excepto Firewall habilitado para todas las conexiones de red.
6. En el cuadro de dilogo Validador de mantenimiento de seguridad de Windows, haga clic en Aceptar y, en el cuadro de dilogo Propiedades del validador de
mantenimiento de seguridad de Windows, haga clic en Aceptar.
Configuracin de directivas de mantenimiento del sistema
Las directivas de mantenimiento definen qu validadores de mantenimiento del sistema (SHV) se evalan y cmo se utilizan para validar la configuracin de los equipos que
intentan conectar con la red. Las directivas de mantenimiento clasifican el estado de mantenimiento del cliente segn los resultados de las comprobaciones de los validadores
de mantenimiento del sistema. En este tema, debe configurar dos directivas de mantenimiento correspondientes a un estado de mantenimiento compatible y a uno no
compatible.
Para configurar las directivas de mantenimiento del sistema
1. En el rbol de la consola de administracin NPS, haga doble clic en Directivas.
2. Haga clic con el botn secundario en Directivas de mantenimiento y haga clic en Nueva.
3. En el cuadro de dilogo Crear nuevas directivas de mantenimiento, en Nombre de directiva, escriba Compatible.
4. En Comprobaciones de SHV para clientes, compruebe que la opcin El cliente supera todas las comprobaciones de SHV est seleccionada.
5. En SHV usados en estas directivas de mantenimiento, active la casilla Validador de mantenimiento de seguridad de Windows y, a continuacin, haga clic en
Aceptar.
6. Haga clic con el botn secundario en Directivas de mantenimiento y haga clic en Nueva.
7. En el cuadro de dilogo Crear nuevas directivas de mantenimiento, en Nombre de directiva, escriba No compatible.
8. En Comprobaciones de SHV para clientes, seleccione El cliente no supera una o ms comprobaciones de SHV.
9. En SHV usados en estas directivas de mantenimiento, active la casilla Validador de mantenimiento de seguridad de Windows y, a continuacin, haga clic en
Aceptar.

Configuracin de las directivas de red NPS
Las directivas de red utilizan condiciones, configuraciones y restricciones para determinar quin puede conectarse a la red. Debe existir una directiva de red que se aplique a
los equipos compatibles con los requisitos de mantenimiento y una directiva de red que se aplique a los equipos no compatibles. En este tema, se permite a los equipos
cliente acceso sin restricciones a la red. Los clientes considerados no compatibles con los requisitos de mantenimiento se sitan en la red de clientes de VPN en cuarentena
de Forefront TMG. A los clientes no compatibles se les conceder acceso a los servidores de actualizaciones, que disponen de las revisiones, configuraciones y aplicaciones
necesarias para que los clientes obtengan el estado correcto. Los clientes no compatibles tambin se actualizan opcionalmente a un estado compatible y, posteriormente, se
les concede acceso sin restricciones a la red.
Importante:
Forefront TMG no admite filtros IP configurados en el servidor de directiva de red (NPS). Para permitir que los clientes no compatibles tengan acceso a uno o varios
servidores de actualizaciones, cree en el servidor Forefront TMG una regla de acceso de la red de clientes de VPN en cuarentena a los servidores de actualizaciones
correspondientes.
Configurar una directiva de red para equipos cliente compatibles
Primero, cree una directiva de red que coincida con las solicitudes de acceso a la red realizadas por equipos cliente compatibles.
Para configurar una directiva de red para equipos cliente compatibles
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc y, a continuacin, presione ENTRAR para abrir la consola de
2. En el rbol, haga doble clic en Directivas.
3. Haga clic en Directivas de red.
4. En Nombre de directiva, haga clic con el botn secundario en las dos directivas predeterminadas y, a continuacin, haga clic en Deshabilitar.
5. Haga clic con el botn secundario en Directivas de red y luego en Nueva.
6. En la ventana Especificar el nombre de directiva de red y el tipo de conexin, en el cuadro Nombre de directiva, escriba Acceso-total-compatible y, a
continuacin, haga clic en Siguiente.
7. En la ventana Especificar condiciones, haga clic en Agregar.
8. En el cuadro de dilogo Seleccionar condicin, haga doble clic en Directivas de mantenimiento.
9. En el cuadro de dilogo Directivas de mantenimiento, en Directivas de mantenimiento, seleccione Compatible y, a continuacin, haga clic en Aceptar.
10. En el apartado Condiciones de la ventana Especificar condiciones, compruebe que est especificado Directiva de mantenimiento con un valor de Compatible y, a
11. En la ventana Especificar permiso de acceso, compruebe que est seleccionado Acceso concedido y, a continuacin, haga clic en Siguiente tres veces.
12. En la ventana Configurar valores, haga clic en Cumplimiento NAP. Compruebe que Permitir acceso completo a la red est seleccionado y haga clic en Siguiente.
13. En la ventana Finalizacin de nueva directiva de red, haga clic en Finalizar.
Configurar una directiva de red para equipos cliente no compatibles
A continuacin, cree una directiva de red que coincida con las solicitudes de acceso a la red realizadas por equipos cliente no compatibles.

119
Para configurar una directiva de red para equipos cliente no compatibles
1. En el rbol de la consola de administracin NPS, haga clic con el botn secundario en Directivas de red y, a continuacin, haga clic en Nuevo.
2. En la ventana Especificar tipo de conexin y nombre de directiva de red, en el cuadro Nombre de directiva, escriba Restringido-no compatibley haga clic en
Siguiente.
4. En el cuadro de dilogo Seleccionar condicin, haga doble clic en Directivas de mantenimiento.
5. En el cuadro de dilogo Directivas de mantenimiento, en Directivas de mantenimiento, seleccione No compatible y, a continuacin, haga clic en Aceptar.
6. En la ventana Especificar condiciones, compruebe que Directiva de mantenimiento est especificado en Condiciones con un valor de No compatible y, a
7. En la ventana Especificar permiso de acceso, compruebe que est seleccionada la opcin Acceso concedido.
Importante:
Un valor de Acceso concedido no significa que se conceda acceso completo a la red a los clientes no compatibles. Especifica que la directiva debe continuar evaluando a
los clientes que coincidan con estas condiciones.
8. Haga clic en Siguiente tres veces.
9. En la ventana Configurar valores, haga clic en Cumplimiento NAP. Seleccione Permitir acceso limitado y Habilitar actualizacin automtica de equipos cliente.
10. En la ventana Configurar valores, haga clic en Siguiente y, a continuacin, en la ventana Finalizacin de nueva directiva de red, haga clic en Finalizar.
Configuracin de una directiva de red para clientes no compatibles con NAP (opcional)
Si la implementacin incluye clientes no compatibles con NAP, se recomienda crear una directiva de red que coincida con las solicitudes de acceso a la red realizadas por
estos clientes. Esta directiva permite a los clientes no compatibles con NAP conectarse correctamente y que se les site en la red de cuarentena. Para obtener informacin de
configuracin, vea Configurar un control de cuarentena basado en RQS y RQC.
Para configurar una directiva de red para equipos cliente no compatibles
1. En el rbol de la consola de administracin NPS, haga clic con el botn secundario en Directivas de red y, a continuacin, haga clic en Nuevo.
2. En la ventana Especificar tipo de conexin y nombre de directiva de red, en el cuadro Nombre de directiva, escriba no compatible con NAPy haga clic en
Siguiente.
4. En el cuadro de dilogo Seleccionar condicin, haga doble clic en Equipos compatibles con NAP, seleccione Slo equipos no compatibles con NAP, haga clic en
Aceptar y, a continuacin, en Siguiente.
5. En la pgina Especificar permiso de acceso, haga clic en el botn Acceso concedido y, a continuacin, haga clic en Siguiente.
6. En la pgina Configurar mtodos de autenticacin, defina los mtodos de autenticacin necesarios para la implementacin y haga clic en Siguiente.
7. En la pgina Configurar restricciones, haga clic en Siguiente.
8. En la pgina Configurar valores, seleccione Especfico del proveedor y haga clic en Agregar.
9. En la ventana Agregar atributo especfico de proveedor, haga clic en Microsoft en el men situado en Proveedor.
10. Seleccione MS-Quarantine-Session-Timeout, haga clic en Agregar, en la ventana Informacin del atributo, en el cuadro Valor del atributo escriba 1200y, a
continuacin, haga clic en Aceptar.
11. Haga clic en Cerrar y, a continuacin, en la pgina Configurar valores, haga clic en Siguiente.
12. Compruebe que la directiva de red est configurada correctamente y haga clic en Finalizar.
Configuracin de las directivas de solicitud de conexin al servidor NPS
Las directivas de solicitud de conexin son condiciones y valores que validan las solicitudes de acceso a la red y determinan dnde se realiza esta validacin. En este
escenario se utiliza una nica CRP para autenticar al cliente para el acceso VPN.
Para configurar directivas de solicitud de conexin
1. En el equipo en el que ha instalado NPS, haga clic en Inicio y en Ejecutar, escriba nps.msc y, a continuacin, presione ENTRAR para abrir la consola de
2. En el rbol, haga clic en Directivas de solicitud de conexin.
3. En Nombre de directiva, haga clic con el botn secundario en la directiva CRP predeterminada y, a continuacin, haga clic en Deshabilitar.
4. Haga clic con el botn secundario en Directivas de solicitud de conexin y haga clic en Nueva.
5. En la ventana Especificar nombre de directiva de solicitud de conexin y tipo de conexin, en el cuadro Nombre de directiva, escriba conexiones VPN.
6. En Tipo de servidor de acceso a la red, seleccione Servidor de acceso remoto (VPN-Dial up) y haga clic en Siguiente.
8. Haga doble clic en Direccin IPv4 del cliente y especifique la direccin IP interna de Forefront TMG en el cuadro de dilogo Direccin IPv4 del cliente.
9. Haga clic en Aceptar en el cuadro de dilogo Direccin IPv4 del cliente y, a continuacin, haga clic en Siguiente.
10. En la ventana Especificar reenvo de solicitudes de conexin, compruebe que Autenticar solicitudes en este servidor est seleccionado y haga clic en Siguiente.
11. En la ventana Especificar mtodos de autenticacin, seleccione Invalidar la configuracin de autenticacin de la directiva de red.
12. En Tipos EAP, haga clic en Agregar. En el cuadro de dilogo Agregar EAP, en Mtodos de autenticacin, haga clic en Microsoft: EAP protegido (PEAP) y, a
continuacin, haga clic en Aceptar.
13. En Tipos EAP, haga clic en Agregar. En el cuadro de dilogo Agregar EAP, en Mtodos de autenticacin, haga clic en Microsoft: Contrasea segura (EAP-
MSCHAP v2) y, a continuacin, haga clic en Aceptar.
14. En Tipos EAP, haga clic en Microsoft: EAP protegido (PEAP) y, a continuacin, haga clic en Editar.
15. Seleccione el certificado de servidor adecuado. Normalmente, el certificado de servidor se instala automticamente al unirse al dominio.
16. Compruebe que la opcin Habilitar comprobaciones de cuarentena est seleccionada y haga clic en Aceptar.
17. Agregue los mtodos de autenticacin que desee de entre los siguientes: Tarjeta inteligente u otro certificado y Contrasea segura (EAP-MSCHAP v2).
18. Si ha configurado una directiva de red para clientes no compatibles con NAP, seleccione el protocolo de autenticacin que utiliza (o piensa utilizar) para estos
clientes, como Autenticacin cifrada de Microsoft versin 2 (MS-CHAP-v2).
19. Al terminar, haga clic dos veces en Siguiente y, a continuacin, haga clic en Finalizar.
Habilitar NAP en clientes VPN
En este tema se describe cmo configurar los clientes de red privada virtual (VPN) para que utilicen el cumplimiento de la proteccin de acceso a redes (NAP). Esto incluye
las tareas siguientes:

Habilitar el cliente de cumplimiento de cuarentena para el acceso remoto

120

Habilitar e iniciar el servicio Agente NAP

Modificar conexiones VPN

Alojamiento de los clientes no compatibles con NAP (opcional)
Requisitos
En los procedimientos detallados aqu se supone que se ha configurado y probado correctamente una conexin de cliente VPN antes de instalar y configurar NAP.
NAP es compatible con clientes con los siguientes sistemas operativos:

Windows Server 2008

Windows Vista

Windows XP con Service Pack 3
Para obtener una lista actualizada de los sistemas operativos de cliente compatibles con NAP, vea "Qu versiones de Windows son compatibles con Proteccin de acceso a
redes como cliente?" en Proteccin de acceso a redes: preguntas ms frecuentes (http://go.microsoft.com/fwlink/?LinkId=153403).
Habilitar el cliente de cumplimiento de cuarentena para el acceso remoto
El mtodo de cumplimiento VPN NAP exige que el cliente de cumplimiento de cuarentena para el acceso remoto est habilitado en todos los equipos NAP cliente.
Para habilitar el cliente de cumplimiento de cuarentena para el acceso remoto
1. Haga clic en Inicio, Todos los programas, Accesorios y, por ltimo, haga clic en Ejecutar.
2. Tipo napclcfg.mscy, a continuacin, presione ENTRAR.
3. En el rbol de la consola, haga clic en Clientes de cumplimiento.
4. En el panel de detalles, haga clic con el botn secundario en Cliente de cumplimiento de cuarentena para el acceso remoto y, a continuacin, haga clic en
Habilitar.
5. En la ventana Configuracin del cliente de NAP, haga clic en Cerrar.
Habilitar e iniciar el servicio Agente NAP
De manera predeterminada, el servicio Agente de Proteccin de acceso a redes de equipos que ejecutan Windows Vista est configurado con un tipo de inicio Manual. Cada
cliente debe estar configurado de forma que el servicio Agente de Proteccin de acceso a redes se inicie automticamente y el servicio debe iniciarse.
Para habilitar e iniciar el servicio Agente NAP
1. Haga clic en Inicio, Panel de control, Sistema y mantenimiento y, a continuacin, haga clic en Herramientas administrativas.
2. Haga doble clic en Servicios.
3. En la lista de servicios, haga doble clic en Agente de Proteccin de acceso a redes.
4. En el cuadro de dilogo Propiedades de Agente de Proteccin de acceso a redes, cambie el Tipo de inicio a Automtico y, a continuacin, haga clic en Inicio.
5. Espere a que el servicio Agente NAP se inicie y haga clic en Aceptar.
6. Cierre la consola Servicios y las ventanas Herramientas administrativas y Sistema y mantenimiento.
Modificar conexiones VPN
Para modificar las conexiones VPN
1. Haga clic en Inicio, Ejecutar, escriba NCPA.cpl y presione ENTRAR.
2. En la ventana Conexiones de red, haga clic con el botn secundario en la conexin VPN adecuada, haga clic en Propiedades y, a continuacin, haga clic en la
ficha Seguridad.
3. Confirme que Avanzada (configuracin personalizada) est habilitada y haga clic en Configuracin.
4. Para Seguridad de inicio de sesin, seleccione UsarProtocolo de autenticacin extensible (EAP) y EAP protegido (PEAP) (cifrado habilitado) y, a continuacin,
haga clic en Propiedades.
5. Haga clic en Configurar y, a continuacin, en Aceptar.
6. En Seleccionar mtodo de autenticacin, elija Contrasea segura (MS-CHAP v2) o Tarjeta inteligente u otro certificado, en funcin de la implementacin.
7. Seleccione Habilitar cuarentena.
8. En las ventanas Propiedades de conexin VPN, haga clic en Aceptar tres veces.
Alojamiento de los clientes no compatibles con NAP (opcional)
Los clientes que ejecutan otros sistemas operativos pueden formar parte de una implementacin de NAP. Estos clientes deben conectarse a la red a travs de Connection
Manager. Debe configurar el servidor de directivas de red (NPS) para situar a estos clientes en la red de cuarentena. A continuacin, podrn unir la red de Clientes de VPN
mediante el servicio de cuarentena de acceso remoto (RQS) o el cliente de cuarentena de acceso remoto (RQC).
Para obtener informacin sobre cmo utilizar Connection Manager, obtenga acceso al Kit de administracin de Connection Manager
Para obtener detalles de configuracin en NPS, vea "Configurar una directiva de red para los clientes no compatibles con NAP" en Configuracin de las directivas de red
NPS.
Interoperabilidad con la gua de solucin de BranchCache
Importante:
Forefront TMG2010 Service Pack 1 (SP1) ofrece la implementacin simplificada de BranchCache en la sucursal, usando Forefront TMG como servidor de cach
hospedada de BranchCache. Para obtener informacin sobre la planificacin y configuracin de BranchCache en SP1, vea Planeacin para BranchCache (SP1) y
Configurar BranchCache en Forefront TMG (SP1).
Esta gua de solucin trata de la interoperabilidad de Forefront TMG y BranchCache, una caracterstica de Windows 7 y Windows Server 2008 R2, que habilita el contenido
web en una red de rea extendida (WAN) que se va a almacenar en memoria cach en equipos de una sucursal local, mejorando as el tiempo de respuesta de la aplicacin y
reduciendo el trfico WAN.
Los administradores de sucursal que desean consolidar varias soluciones de redes, acceso, proteccin y almacenamiento en cach, en un nico host, pueden implementar
Forefront TMG y BranchCache a la vez:

Forefront TMG ofrece para el almacenamiento en memoria cach del trfico de Internet desde el acceso a Internet directo o un proxy de Forefront TMG que
precede en la cadena que se encuentran en las sedes centrales.

BranchCache ofrece el almacenamiento en cach de las aplicaciones de la lnea de negocio HTTP/1.1, HTTPS/1.1, BITS, SMB2.1 (incluyendo la firma SMB
2.1), incluso cuando se usa con IPsec.
Forefront TMG tambin ofrece:

Acceso web seguro mediante la inspeccin de HTTPS, filtrado de URL y proteccin contra malware.

Firewall y sistema de inspeccin de red (NIS).

121

Proxy inverso (publicacin de web) de las aplicaciones web en la sucursal.

VPN de sitio a sitio.

VPN de usuario mvil.
Implementacin de Forefront TMG y BranchCache
Para eliminar los problemas que no estn relacionados con la interoperacin de Forefront TMG y BranchCache, debera validar que BranchCache e Forefront TMG
funcionan de la manera esperada cada uno por su cuenta, mientras el otro est deshabilitado.
Sugerencia:
Para obtener ms informacin acerca de BrancheCache, lea la gua de implementacin de BranchCache (http://go.microsoft.com/fwlink/?LinkId=179753).
Escenarios
Hay dos escenarios principales para la interoperabilidad de Forefront TMG y BranchCache:

Forefront TMG y BranchCache se implementan en el mismo host.
Para obtener una descripcin de este escenario, vea Forefront TMG y cach hospedada de BranchCache implementadas en el mismo host.

Forefront TMG o ISA Server 2006 se usa como la puerta de enlace de red a la red corporativa, y BranchCache se implementa en el modo distribuido o de cach
hospedada.
Para obtener una descripcin de este escenario, vea Implementacin de Forefront TMG o ISA Server 2006 como puerta de enlace de red.
Ms informacin

Vea BranchCache en TechNet (http://go.microsoft.com/fwlink/?LinkId=179754).

Protocolos de BranchCache: comprobar las siguientes referencias: MS-PCCRC; MS-PCCRD; MS-PCCRR; MS-PCCRTP; MS-PCHC
Forefront TMG y cach hospedada de BranchCache implementadas en el mismo host
Importante:
Forefront TMG 2010 Service Pack 1 (SP1) ofrece la implementacin simplificada de BranchCache en la sucursal, usandoForefront TMG como servidor de cach
hospedada de BranchCache. Para obtener informacin sobre la planeacin y configuracin de BranchCache en SP1, vea Planeacin para BranchCache (SP1) y
Configurar BranchCache en Forefront TMG (SP1).
Se deben comunicar los clientes de BranchCache y la memoria cach hospedada de BranchCache. Sin embargo, de manera predeterminada, Forefront TMG bloquea la
mayor parte del trfico destinado de manera explcita para el host o proveniente del mismo (vea System policy rules). Para permitir que BranchCache funciona en el modo
de cach hospedada, debe definir las reglas de directiva de Forefront TMG especficas.
Un cliente inicia el protocolo de cach hospedada (PCHC, puerto predeterminado 443) para anunciar la disponibilidad del nuevo contenido que ha recuperado para el
servidor de cach hospedada. A su vez, el servidor de cach hospedada iniciar una nueva conexin con el protocolo de recuperacin (PCCRR, puerto predeterminado 80),
para recuperar los datos anunciados del cliente. Los datos se almacenan ahora en la memoria cach del servidor de la memoria cach hospedada. Otro cliente que tiene que
recuperar datos almacenados en cach iniciar el protocolo de recuperacin (PCCRR) para ponerse en contacto con el servidor de cach hospedada y recuperar el contenido
de la memoria cach. Para permitir esta comunicacin debe definir dos reglas de directiva de Forefront TMG:
1. Permitir las conexiones de entrada de la memoria cach hospedada: regla que permite a los clientes anunciar nuevo contenido al servidor de cach hospedada y
recuperar datos del servidor de cach hospedada.
2. Permitir conexiones de salida de la memoria cach hospedada: regla que permite al servidor de cach hospedada recuperar el contenido anunciado del cliente.
En los pasos siguientes se describe cmo crear e implementar las reglas.
Nota:
En estos pasos se recomiendan los nombres usados para definir las reglas y los protocolos para mejorar la legibilidad al consultar el registro para realizar un
seguimiento de las comunicaciones de BranchCache.
Paso 1: Escribir qu clientes de puertos estn configurados realmente para su uso
Elija cualquier cliente de BranchCache y compruebe el Registro. Las claves del Registro siguiente contendrn el valor real si se han modificados los valores
predeterminados.

La clave del Registro de puerto de Recuperacin (si no se especifica, el valor predeterminado es 80):
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\PeerDist\DownloadManager\Peers\Connection

La clave del Registro de puerto Cach hospedada (si no se especifica, el valor predeterminado es 443):
HKLM\Software\Microsoft\Windows NT\CurrentVersion\PeerDist\HostedCache\Connection
Paso 2: Definir el protocolo Recuperacin
1. Seleccione el nodo Directiva de firewall.
2. Seleccione la pestaa Herramientas.
3. Expanda Protocolos.
4. Haga clic en Nuevo y, a continuacin, seleccione Protocolo.
5. Especifique el nombre de definicin de protocolo como BranchCache: recuperacin y haga clic en Siguiente.
6. Haga clic en Nuevo y agregue el nuevo protocolo, de la siguiente manera:
a. Tipo de protocolo: TCP
b. Direccin: Salida

122
c. Intervalo de puertos: De 80 a 80 (reemplace 80 si se identifica de otra manera en el paso 1)
d. Haga clic en Aceptar.
Paso 3: Definir el protocolo de cach hospedada
2. Seleccione la pestaa Herramientas.
3. Expanda Protocolos.
4. Haga clic en Nuevo y, a continuacin, seleccione Protocolo.
5. Especifique el nombre de definicin de protocolo como BranchCache: anuncio y haga clic en Siguiente.
6. Haga clic en Nuevo y agregue el nuevo protocolo, de la siguiente manera:
a. Tipo de protocolo: TCP
b. Direccin: Salida
c. Intervalo de puertos: De 443 a 443 (reemplace 443 si se identifica de otra manera en el paso 1)
Paso 4: Crear una regla para permitir las conexiones de entrada de cach hospedada
2. Seleccione la pestaa Tareas.
3. Haga clic en Crear regla de acceso.
4. Defina el nombre de la regla como Permitir las conexiones de entrada de la memoria cach hospedada y, a continuacin, haga clic en Siguiente.
5. En la pgina Accin de la regla, seleccione Permitir y, a continuacin, haga clic en Siguiente.
6. En la pgina Esta regla se aplica a:
a. Elija Protocolos seleccionados en la lista y, a continuacin, haga clic en el botn Agregar.
b. En el cuadro de dilogo Agregar protocolos, expanda la carpeta Protocolos definidos por el usuario.
c. Seleccione el protocolo BranchCache: recuperacin y haga clic en Agregar.
d. Seleccione el protocolo BranchCache: anuncio, haga clic en Agregar y, a continuacin, haga clic en Cerrar.
e. Haga clic en Siguiente.
7. En la pgina Orgenes de regla de acceso:
a. Haga clic en Agregar.
b. En el cuadro de dilogo Agregar entidades de red, expanda la carpeta Redes, seleccione Red interna, haga clic en Agregar y, a continuacin, en Cerrar.
c. Haga clic en Siguiente.
8. En la pgina Destinos de regla de acceso:
b. En el cuadro de dilogo Agregar entidades de red, expanda la carpeta Redes, seleccione Host local, haga clic en Agregar y, a continuacin, en Cerrar.
9. En la pgina Conjuntos de usuario, haga clic en Siguiente para aplicar la regla a todos los usuarios.
10. En la pgina Completar el Asistente para nueva regla de acceso, haga clic en Finalizar para cerrar el asistente.
Paso 5: Crear una regla para permitir las conexiones de salida de cach hospedada
1. Seleccione la pestaa Directiva de firewall.
2. Seleccione la pestaa Tareas.
3. Haga clic en Crear regla de acceso.
4. Defina el nombre de la regla como Permitir las conexiones de salida de la memoria cach hospedada y haga clic en Siguiente.
5. En la pgina Accin de la regla, seleccione Permitir y, a continuacin, haga clic en Siguiente.
6. En la pgina Esta regla se aplica a:
a. Elija Protocolos seleccionados en la lista y, a continuacin, haga clic en el botn Agregar.
b. En el cuadro de dilogo Agregar protocolos, expanda la carpeta Protocolos definidos por el usuario.
c. Seleccione el protocolo BranchCache: recuperacin y haga clic en Agregar.
d. Haga clic en Siguiente.
7. En la pgina Orgenes de regla de acceso:
b. En el cuadro de dilogo Agregar entidades de red, expanda la carpeta Redes, seleccione Host local, haga clic en Agregar y, a continuacin, en Cerrar.
8. En la pgina Destinos de regla de acceso:
b. En el cuadro de dilogo Agregar entidades de red, expanda la carpeta Redes, seleccione Red interna, haga clic en Agregar y, a continuacin, en Cerrar.
9. En la pgina Conjuntos de usuario, haga clic en Siguiente para aplicar la regla a todos los usuarios.
10. En la pgina Completar el Asistente para nueva regla de acceso, haga clic en Finalizar para cerrar el asistente.
Paso 6: Aplicar la directiva actualizada
Haga clic en Aplicar para guardar los cambios y actualizar la configuracin.
Paso 7: Validar que la memoria cach hospedada est trabajando correctamente
1. Elija cualquier cliente en la sucursal.
2. Abra el Monitor de rendimiento y realice un seguimiento del contador Bytes de la memoria cach de BranchCache y anote el valor actual
Sugerencia:
Para obtener ms informacin sobre los contadores de BranchCache, vea Contadores de rendimiento (http://go.microsoft.com/fwlink/?LinkId=165667).
3. Abra el explorador de Internet. Borre la memoria cach del explorador para asegurarse de que no se utiliza en esta validacin.
Nota:

123
Instrucciones para borrar la memoria cach con Internet Explorer 8:
a. En el men Herramientas, seleccione Opciones de Internet.
b. En la pestaa General, en la seccin Historial de exploracin, haga clic en el botn Eliminar.
c. En el cuadro de dilogo abierto, active la casilla Archivos temporales de Internet y desactive las dems casillas y, a continuacin, haga clic en Eliminar.
d. Espere a que se complete la operacin y, a continuacin, cierre los cuadros de dilogo.
4. Con el cliente, obtenga acceso a un objeto y descrguelo con un tamao conocido desde una aplicacin HTTP/S de un servidor Windows 2008 R2.
5. Resultado esperado:

Si nunca se ha obtenido acceso al objeto desde la sucursal, el contador debera incrementarse por el tamao del objeto en el tercer intento de obtener
acceso al mismo (entre intentos, asegrese de borrar la memoria cach del explorador).

Si ya se ha obtenido acceso al objeto desde la sucursal, el contador debera incrementarse por el tamao del objeto en el primer o el segundo intento.
Paso 8: (Opcional) Reducir el impacto de la inspeccin del NIS en el trfico de cach hospedada
El NIS es una caracterstica de inspeccin de trfico basado en la descodificacin de protocolo Forefront TMGque usa firmas de vulnerabilidades conocidas para detectar y
bloquear potencialmente ataques en los recursos de la red (para obtener ms informacin acerca del NIS, vea Habilitar y configurar el sistema de inspeccin de red).
Este tema no es aplicable si el NIS no est habilitado. Para comprobar si el NIS est habilitado:
1. Seleccione el nodo Sistema de prevencin de intrusiones.
2. En el panel Tareas, haga clic en Configurar propiedades.
3. En la ficha General compruebe que la casilla Habilitar NIS est activada.
Al habilitarse, el NIS inspeccione todo el trfico, incluyendo el trfico destinado de manera explcita para el host o proveniente del mismo. Como resultado, los usuarios
pueden tener un aumento en la latencia al recuperar objetos almacenados en cach del servidor de cach hospedada.
En el caso de que el impacto sea importante, se recomienda elegir una de las siguientes opciones para mitigar el problema:
1. Deshabilite la inspeccin del NIS de manera exclusiva para el trfico destinado de manera explcita para el host o proveniente del mismo.
Nota:
El riesgo de deshabilitar el NIS para el trfico destinado de manera explcita para el host o proveniente del mismo es mnimo, por los siguientes motivos:
El NIS se aplica a todo los dems trficos, continuando defendiendo todas las mquinas internas sin revisiones. El propio Forefront TMG, como dispositivo de
seguridad perimetral, se espera que reciba revisiones en todo momento y est protegido de esta manera de todas las amenazas conocidas.
De manera predeterminada, el NIS no inspecciona trfico que no sea HTTP/HTTPS destinado explcitamente al host o proveniente del mismo; as, al
deshabilitar el NIS en el host local no se vern afectados otros protocolos.
Forefront TMG no inicia el acceso web saliente. Como resultado, la vulnerabilidad del propio host a las amenazas de origen web es muy baja. Como prctica de
seguridad habitual, a los administradores se les aconseja no explorar Internet desde el host de Forefront TMG.
Para deshabilitar el NIS para el trfico destinado de manera explcita al host o proveniente del mismo:
d. La siguiente clave del Registro tiene un valor predeterminado de 1. Para deshabilitar la inspeccin del trfico de localhost, use Regedit en el host para
asignarle un valor de 0.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\IPS\IPS_LOCALHOST_INSPECTION_MODE
e. Vuelva a aplicar la directiva de Forefront TMG:

Abra cualquier regla de directiva de firewall y agregue un espacio en cualquier lugar de la descripcin de la regla. Haga clic en Aplicar.
2. Cambie los nmeros de puerto predeterminados de los protocolos de BranchCache (desde 80 y 443) a los nmeros de puerto personalizados.

Explicacin: de forma predeterminada el NIS inspecciona solo HTTP y HTTPS en el trfico de localhost. Para conservar dicha inspeccin sin afectar al
rendimiento de BranchCache, es necesario que los puertos predeterminados de BranchCache se cambien a cualquier otro puerto disponible.

Implementacin de Forefront TMG o ISA Server 2006 como puerta de enlace de red
El trfico de BranchCache debe poder atravesar cualquier puerta de enlace que se implemente entre la red corporativa y la sucursal. En este tema se hace referencia a casos
en los que se implementa Forefront TMG o ISA Server 2006 como puerta de enlace y el modo de Cach hospedada de BranchCache se implementa en un servidor diferente.
Implementacin de Forefront TMG como puerta de enlace
Cuando se implementa Forefront TMG como puerta de enlace entre la red corporativa y la sucursal, no se necesita ninguna directiva explcita para permitir el paso del
trfico de BranchCache entre la sucursal y la red corporativa. De forma predeterminada, Forefront TMG bloquea todo el trfico entre la sucursal y la red corporativa, de
modo que, para permitir el acceso a las aplicaciones de lnea de negocio (LOB) a travs de HTTP o HTTPS, se debe configurar la directiva de Forefront TMG
correspondiente. Los protocolos de BranchCache se implementan encima del transporte HTTP y HTTPS normal, Forefront TMG lo reconoce y permite el trfico de
BranchCache como si fuese trfico HTTP/HTTPS normal. De este modo, la misma directiva de HTTP/HTTPS que permite el acceso a las aplicaciones LOB permitir sin
problemas el trfico de BranchCache a travs de Forefront TMG (frente a lo que sucede desde o hacia Forefront TMG).
Implementacin de ISA Server 2006 como puerta de enlace
ISA Server 2006 no reconoce el trfico de BranchCache y, por consiguiente, no puede validarlo. Como resultado, de forma predeterminada, ISA Server 2006 bloquea el
trfico de BranchCache para reducir el riesgo. Para permitir el paso del trfico de BranchCache entre la sucursal y la red corporativa, es preciso deshabilitar el filtro web de
compresin de ISA Server 2006.
Sugerencia:

124
Al deshabilitar el filtro web de compresin, tambin se permite el paso de contenido de aceptacin de codificacin (Accept-Encoding) no reconocido. La ltima
versin, es decir, Forefront TMG, reconoce el trfico de BranchCache (as como otras codificaciones conocidas) y permite su paso, mientras que bloquea el trfico no
reconocido. Adems, las caractersticas de inspeccin de red (NIS) y contra malware de Forefront TMG examinan el trfico en busca de cdigo malintencionado y
ataques conocidos antes de permitir el paso del trfico.
Para deshabilitar el filtro de compresin en ISA Server 2006:
1. Seleccione el nodo del sistema.
2. Haga clic en la pestaa Filtros web.
3. Haga doble clic en la entrada Filtro de compresin para abrir las propiedades del filtro.
4. Desactive la casilla Habilitar este filtro.
5. Haga clic en Aceptar y, a continuacin, en Aplicar para implementar el cambio.
Gua de solucin de puerta de enlace web segura de Forefront TMG
Forefront Threat Management Gateway (Forefront TMG) permite a los empleados de la empresa usar Internet de forma segura y productiva en su trabajo, sin tener que
preocuparse del malware ni de otras amenazas. Proporciona varias capas de proteccin que se actualizan continuamente y se encuentran integradas en una puerta de enlace
unificada fcil de administrar, lo que reduce el costo y la complejidad de la seguridad web.
Nota:
Se da por supuesto que Forefront TMG se instal de acuerdo con la topologa de implementacin correcta. Para obtener ms informacin, vea Planear la
implementacin de la puerta de enlace web segura de Forefront TMG.
Acerca esta gua
Esta gua est dirigida a administradores de seguridad e ingenieros de operaciones de TI que conocen bien el funcionamiento de Forefront TMG a nivel funcional, as como
los requisitos organizativos que quedarn reflejados en el diseo de la puerta de enlace web segura. Esta gua tiene como objetivo ayudarle a planear, implementar y
mantener una puerta de enlace web segura de Forefront TMG de acuerdo con los requisitos de su organizacin y el diseo concreto que desee crear.
Esta gua contiene los siguientes temas:

Acerca de la puerta de enlace web segura de Forefront TMG

Caractersticas de la puerta de enlace web segura de Forefront TMG

Planear la implementacin de la puerta de enlace web segura de Forefront TMG

Configurar la puerta de enlace web segura de Forefront TMG

Comprobar la implementacin de la puerta de enlace web segura de Forefront TMG
Sugerencia:
Para conocer el hardware recomendado para la puerta de enlace web segura de Forefront TMG, vea Forefront TMG 2010 hardware recommendations
Para obtener informacin sobre cmo solucionar los problemas de algunas de las caractersticas de la puerta de enlace web segura de Forefront TMG, vea
Troubleshooting Web access protection (http://go.microsoft.com/fwlink/?LinkId=183985).
Si desea consultar la documentacin completa de Forefront TMG, vaya a la biblioteca TechNet (http://go.microsoft.com/fwlink/?LinkID=131702) de Forefront
TMG.
Acerca de la puerta de enlace web segura de Forefront TMG
Una puerta de enlace web segura es una solucin diseada para ayudar a proteger a los usuarios de las amenazas procedentes de la Web. Forefront TMG proporciona una
solucin de puerta de enlace web segura completa para la proteccin de los usuarios de la empresa, tanto de la sede central como las sucursales, cuando navegan por Internet.
La proteccin se proporciona mediante la integracin de varias tecnologas de proteccin contra las amenazas, que incluyen el filtrado de URL, la inspeccin de HTTPS, la
proteccin contra malware y la deteccin basada en firmas de vulnerabilidades conocidas del sistema operativo y las aplicaciones.
Los mecanismos de control granular de la puerta de enlace web segura de Forefront TMG permiten exigir el cumplimiento de las directivas reguladoras y corporativas,
proporcionando a los empleados un acceso seguro al contenido aprobado, incluido el contenido cifrado mediante SSL, con las siguientes ventajas:

Mejora de la seguridad de la red de la empresa al evitar el acceso a sitios malintencionados, como sitios de suplantacin de identidad (phishing).

Disminucin de los riesgos de responsabilidad legal al evitar el acceso a sitios que muestran material inapropiado, como sitios con contenido pornogrfico o que
incitan al odio o actividades delictivas.

Mejora de la productividad de la organizacin, al evitar el acceso a sitios improductivos, como pginas de juegos o mensajera instantnea.

Proteccin de la privacidad del empleado, al excluir sitios confidenciales, como pginas de bancos, de la inspeccin.
Caractersticas de la puerta de enlace web segura de Forefront TMG
En este tema se proporciona informacin general acerca de las caractersticas de la puerta de enlace web segura de Forefront TMG y se facilita la tarea de identificar los
objetivos de implementacin de la puerta de enlace web segura que son ms adecuados para la organizacin. En funcin de los objetivos de implementacin, se puede
seleccionar la implementacin de todas las caractersticas de la puerta de enlace web segura o una combinacin de caractersticas que se ajuste a sus objetivos concretos.
Para obtener ms informacin, vea Identificar los objetivos de implementacin de la puerta de enlace web segura.
Informacin general acerca de las caractersticas de la puerta de enlace web segura
La puerta de enlace web segura de Forefront TMG incorpora las siguientes caractersticas:

125

Filtrado de URL: las direcciones URL de destino se examinan para determinar si cumplen la directiva corporativa y si constituyen un riesgo potencial para los
sitios web de destino. El filtrado de URL identifica determinados tipos de sitios web, como sitios malintencionados conocidos y sitios que muestran material
pornogrfico o inadecuado, y permite o bloquea el acceso a dichos sitios en funcin de las categoras de URL predefinidas correspondientes. Se puede permitir o
bloquear el acceso a las categoras configuradas los das de la semana seleccionados (por ejemplo, durante el fin de semana) o en momentos concretos del da
(por ejemplo, durante las horas laborables).
Nota:
Se entiende por URL de destino las solicitudes HTTP que se originan en clientes ubicados en redes protegidas por Forefront TMG.

El filtrado de URL comprueba las direcciones URL en Microsoft Reputation Services, que combina varios orgenes para aumentar la cobertura de direcciones
URL, as como la clasificacin por categoras y caractersticas, a ms de 90 categoras de URL (como Malintencionados, Anonimato o Drogas ilegales). Segn la
directiva creada por el administrador de Forefront TMG, el filtrado de URL permite o bloquea el acceso al sitio solicitado.

Tambin puede ejecutar el filtrado de URL en modo de informe para que se supervise el trfico y obtener informes sin llegar a bloquear o permitir el acceso.
Puede usar los informes y las entradas de registro para obtener informacin acerca del uso que hace su organizacin de Internet; por ejemplo, cules son las
categoras de URL que ms se examinan. Para obtener ms informacin, vea Planeacin para el filtrado URL (http://go.microsoft.com/fwlink/?LinkId=168614).

Inspeccin de HTTPS: permite a Forefront TMG inspeccionar el contenido del trfico web cifrado mediante SSL de los usuarios. Al inspeccionar el interior de
estas sesiones cifradas, Forefront TMG puede detectar posible malware y aplicar la directiva corporativa, por ejemplo, bloqueando el acceso a los sitios cuyos
certificados estn anticuados. Los sitios que contienen informacin confidencial, como sitios de bancos, se pueden excluir de la inspeccin por motivos de
privacidad. Para obtener ms informacin, vea Planeacin para la inspeccin de HTTPS (http://go.microsoft.com/fwlink/?LinkId=168613).

Inspeccin de malware: el trfico web saliente, incluidos los archivos de carpetas almacenadas, se inspecciona en busca de virus y malware. Se pueden bloquear
los archivos cifrados.
Nota:
La inspeccin de salida hace referencia a las solicitudes HTTP que se originan en clientes ubicados en redes protegidas por Forefront TMG.

Dado que la inspeccin de malware puede producir retrasos en la entrega de contenido del servidor al cliente, Forefront TMG permite dar forma a la experiencia
del usuario mientras se examina el contenido web en busca de malware mediante la seleccin de uno de los siguientes mtodos de entrega para el contenido
examinado:

Generacin: Forefront TMG enva partes del contenido al usuario a medida que se inspeccionan los archivos. Este proceso ayuda a evitar que la aplicacin
cliente alcance el lmite de tiempo de espera antes de que se descargue e inspeccione todo el contenido.

Notificacin de progreso: Forefront TMG enva una pgina HTML al equipo cliente para informar al usuario de que se est inspeccionando el contenido
solicitado e indicar el progreso de descarga e inspeccin. Una vez que han finalizado la descarga y la inspeccin del contenido, se informa al usuario de que
el contenido est listo y se muestra un botn para descargarlo.
Para obtener ms informacin, vea Planeacin para proteger frente a contenido web malintencionado (http://go.microsoft.com/fwlink/?LinkId=168615).

Sistema de inspeccin de red (NIS): es posible inspeccionar el trfico para detectar vulnerabilidades conocidas de los sistemas operativos y las aplicaciones. A
partir del anlisis de protocolos, NIS permite bloquear los ataques y, al mismo tiempo, minimizar los falsos positivos; los conjuntos de firmas y motores se
actualizan de forma continua y automtica para administrar nuevas amenazas y vulnerabilidades, por ejemplo, a travs de la publicacin regular de
actualizaciones de seguridad de Microsoft el segundo martes de cada mes.

NIS, que es un componente de firmas de vulnerabilidad del Sistema de prevencin de intrusiones (IPS) de Forefront TMG, incluye una directiva recomendada
predefinida, lista para usar. Adems, NIS proporciona control granular y funcionalidad de configuracin de directivas para cumplir las necesidades especficas y
los requisitos de solucin de problemas y de investigacin de cada organizacin. Para obtener ms informacin, vea Planeacin de la proteccin frente a
vulnerabilidades conocidas (http://go.microsoft.com/fwlink/?LinkId=168616).

Almacenamiento en cach: Forefront TMG proporciona a las organizaciones que administran grandes volmenes de trfico web funcionalidad de
almacenamiento en cach para mejorar la experiencia de navegacin de los usuarios en la Web y reducir el costo del ancho de banda. Con el mecanismo de reglas
de cach centralizado de Forefront TMG se puede configurar el modo de recuperar y proporcionar desde la memoria cach los objetos almacenados en ella. Para
obtener ms informacin, vea Planeacin para almacenar en cach el contenido web (http://go.microsoft.com/fwlink/?LinkId=168617).

En el caso de las implementaciones de sucursal, Forefront TMG puede interoperar con BranchCache, una caracterstica de Windows 7 y Windows Server 2008
R2 que permite almacenar en cach el contenido web de una red de rea extensa (WAN) en los equipos de una sucursal local, mejorando tiempo de respuesta de
la aplicacin y reduciendo el trfico en la red WAN. Para obtener ms informacin, vea los siguientes artculos:

BranchCache (http://go.microsoft.com/fwlink/?LinkId=168634)

Interoperability with BranchCache solution guide (http://go.microsoft.com/fwlink/?LinkID=179641)
Nota:
La inspeccin de malware y NIS usan las actualizaciones de productos de Microsoft para mantener las definiciones de proteccin actualizadas en todo momento. Para
obtener ms informacin, vea Planeacin de las actualizaciones de definiciones de proteccin.
Identificar los objetivos de implementacin de la puerta de enlace web segura
En la siguiente tabla se enumeran los posibles objetivos de implementacin de la puerta de enlace web segura de Forefront TMG. Despus de identificar los objetivos
adecuados para su organizacin, puede asignarlos a las caractersticas de Forefront TMG pertinentes.
Objetivo de implementacin Caractersticas de Forefront TMG
Proteger la organizacin del malware y otras amenazas de la Web
Filtrado de URL

126
Inspeccin de HTTPS
Proteger la red contra las vulnerabilidades del sistema operativo y las aplicaciones NIS
Reducir el costo del ancho de banda
Filtrado de URL
Almacenamiento en cach
Mejorar el rendimiento y los tiempos de respuesta de las solicitudes web Almacenamiento en cach
Planear la implementacin de la puerta de enlace web segura de Forefront TMG
El objetivo de este tema es ayudarle a planear la implementacin de la puerta de enlace web segura de Forefront TMG en su organizacin.
Nota:
Antes de empezar, asegrese de que Forefront TMG se ha instalado, configurado y probado en su entorno. Para obtener informacin, vaya a la biblioteca
TechNet (http://go.microsoft.com/fwlink/?LinkID=131702) de Forefront TMG.
Para conocer el hardware recomendado para la puerta de enlace web segura de Forefront TMG, vea Forefront TMG 2010 hardware recommendations

Planear la topologa de red de la puerta de enlace web segura

Planeacin para el filtrado URL



Plan para generar informes de Forefront TMG
Planear la topologa de red de la puerta de enlace web segura
Normalmente, las organizaciones implementan la puerta de enlace web segura dentro de la red, no en el permetro de la red. En el caso de la puerta de enlace web segura de
Forefront TMG, la ubicacin de Forefront TMG en la red depende de la funcionalidad de la implementacin, como se indica a continuacin:
Si solo utiliza Forefront TMG como puerta de enlace web segura, se implementa dentro de la red. Se recomiendan las siguientes topologas de red de Forefront TMG para
implementar nicamente la puerta de enlace web segura:

Firewall posterior: en esta topologa, Forefront TMG se encuentra en el back-end de la red y otros elementos de red, como una red perimetral o un dispositivo de
seguridad perimetral, se encuentran entre Forefront TMG y la red externa.

Adaptador de red nico: esta topologa proporciona una funcionalidad de Forefront TMG limitada. En esta topologa, Forefront TMG est conectado nicamente
a una red, bien la red interna o una red perimetral.

Si usa Forefront TMG como puerta de enlace web segura y como firewall, se implementa fuera de la red. Las siguientes topologas de red de Forefront TMG son adecuadas
para este tipo de implementacin:

Firewall perimetral: en esta topologa, Forefront TMG se encuentra en el permetro de la red, donde acta como firewall perimetral de la organizacin, y est
conectado a dos redes: la red interna y la red externa (normalmente, Internet).

Permetro de 3 secciones: esta topologa implementa una red perimetral. Forefront TMG est conectado por lo menos a tres redes fsicas: la red interna, una o ms
redes perimetrales, y la red externa.

Para obtener ms informacin, vea Planeacin de la topologa de red de Forefront TMG (http://go.microsoft.com/fwlink/?LinkId=179309).
Nota:
Se entiende por red de Forefront TMG la red fsica o lgica en la que se instala Forefront TMG.
Planeacin para el filtrado URL
El filtrado de URL est basado en la suscripcin y forma parte de la licencia de Forefront TMG Web Security Service. Para obtener informacin sobre las licencias, vea
How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).
Para inspeccionar el trfico HTTPS, debe haber un certificado de una entidad de certificacin (CA) en el servidor Forefront TMG, que se debe implementar adems en todos
los equipos cliente.
Puede obtener el certificado de una de estas dos maneras:

127

Generar un certificado autofirmado en el servidor de Forefront TMG.

Importar un certificado emitido por una entidad de certificacin raz de su organizacin o por una entidad de certificacin pblica de confianza, es decir, creado
por una entidad externa como VeriSign. El certificado debe ser un archivo de intercambio de informacin personal (.pfx), y debe ser de confianza para el servidor
de Forefront TMG.
Si piensa importar un certificado, colquelo en el servidor de Forefront TMG antes de configurar la inspeccin de HTTPS. Para obtener ms informacin, vea Administrar
los certificados de inspeccin de HTTPS.
En implementaciones de varias matrices, el certificado de inspeccin de HTTPS se genera o se importa para cada una de las matrices.
La inspeccin de malware y el Sistema de inspeccin de red (NIS) usan las actualizaciones de productos de Microsoft para mantener las definiciones de proteccin
actualizadas en todo momento.
Nota:
Microsoft Update proporciona los archivos de definicin actualizados y estn sujetos a licencias. Para obtener informacin sobre las licencias, vea How to Buy
Puede optar por actualizar los archivos de definicin mediante uno de los dos mtodos siguientes:

Microsoft Update: las actualizaciones que se publican a travs de Microsoft Update se instalan en el equipo de Forefront TMG.

Windows Server Update Services (WSUS): para las matrices de Forefront TMG, puede implementar WSUS en la red en la que se implemente Forefront TMG.
Un solo servidor descarga las actualizaciones que se publican a travs de Microsoft Update y distribuye las actualizaciones a todos los equipos con Forefront
TMG de la red. Este es el mtodo de actualizacin recomendado para las matrices de Forefront TMG, ya que, adems de posibilitar la administracin
centralizada, ahorra tiempo y ancho de banda de red. Para obtener ms informacin, vea Introduccin a Microsoft Windows Server Update Services 3.0
Nota:
Puede seleccionar usar Microsoft Update si se produce un error en la actualizacin desde WSUS.
Si va a unir un servidor de Forefront TMG de produccin a una matriz, descargue las actualizaciones en el servidor antes de unirlo a la matriz.
Para obtener informacin sobre cmo seleccionar el mtodo de actualizacin, vea Administrar las actualizaciones de definiciones para la inspeccin de malware y NIS.
Forefront TMG permite de forma predeterminada la entrada y salida de trfico desde los distintos sitios de actualizacin de Microsoft. Sin embargo, si experimenta
problemas de conexin con el sitio de Microsoft Update, consulte la seccin sobre cmo solucionar los problemas de conectividad con los sitios de actualizacin en
Configurar la conectividad para actualizar los sitios (http://go.microsoft.com/fwlink/?LinkId=179312).
Plan para generar informes de Forefront TMG
Los informes de Forefront TMG permiten resumir y analizar las actividades de Forefront TMG, incluidos el uso de la Web y las actividades de los mecanismos de
proteccin de Forefront TMG. Las categoras de informes de la puerta de enlace web segura de Forefront TMG incluyen las siguientes:

Uso de web

Proteccin contra cdigo malintencionado

Filtrado de URL

Para obtener informacin general sobre los informes de Forefront TMG, as como instrucciones para configurarlos y consultarlos, vea Configurar los informes de Forefront
TMG (http://go.microsoft.com/fwlink/?LinkId=179492).
Configurar la puerta de enlace web segura de Forefront TMG
Los temas de esta seccin tienen como objeto guiarle en el proceso de configuracin de la puerta de enlace web segura de Forefront TMG.
Nota:
Se supone que Forefront TMG ya se encuentra instalado e implementado en la organizacin.
Los pasos de configuracin que debe realizar dependen de la implementacin de la puerta de enlace web segura y los objetivos de implementacin que identific y asign a
las caractersticas de Forefront TMG, tal y como se describe en Identificar los objetivos de implementacin de la puerta de enlace web segura.
En los siguientes temas se describen los pasos que pueden ser necesarios para configurar una puerta de enlace web segura de Forefront TMG:

Configurar el filtrado de URL en la puerta de enlace web segura de Forefront TMG

Configurar la inspeccin de HTTPS en la puerta de enlace web segura de Forefront TMG

Configurar la inspeccin de malware en la puerta de enlace web segura de Forefront TMG

Configurar NIS en la puerta de enlace web segura de Forefront TMG

Administrar las actualizaciones de definiciones para la inspeccin de malware y NIS

Configurar el almacenamiento en cach en la puerta de enlace web segura de Forefront TMG
Configurar el filtrado de URL en la puerta de enlace web segura de Forefront TMG
En este tema se proporciona la siguiente informacin sobre cmo configurar la caracterstica de filtrado de URL en la puerta de enlace web segura de Forefront TMG:

Requisitos previos

Informacin general sobre la configuracin

128

Pasos de configuracin
Requisitos previos

El filtrado de URL est basado en la suscripcin y forma parte de la licencia de Forefront TMG Web Security Service. Para obtener informacin sobre las
licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).

El filtrado de URL permite o bloquea el acceso a los sitios solicitados de acuerdo con las categoras de URL predefinidas. Cuando no se encuentra la
categorizacin del sitio en la memoria cach de Forefront TMG, Forefront TMG consulta la categora en Microsoft Reputation Services (MRS). Para consultar el
sitio de MRS remoto, el servidor de Forefront TMG debe estar conectado a Internet.
La caracterstica de filtrado de URL forma parte de la directiva de acceso web de Forefront TMG. El proceso de configuracin se compone de las fases siguientes:
1. Al definir la directiva de acceso web de la organizacin, utilice el filtro para excluir los tipos de categoras de destino web que no desea que estn accesibles para
los usuarios, como sitios malintencionados o improductivos. Para obtener ms informacin, vea Bloquear los destinos en las reglas de directiva de acceso web.
2. Si es pertinente, defina los perodos de tiempo o los momentos concretos en los que el acceso est restringido. Defina, por ejemplo, que el acceso a los sitios
improductivos se bloquee nicamente durante el horario laboral. Para obtener ms informacin, vea Definir el perodo de actividad de una regla.
3. Si es necesario, puede omitir la categorizacin existente. Cuando los usuarios solicitan acceso a un sitio web y el acceso al sitio web est bloqueado, reciben una
notificacin de denegacin que incluye la categora de solicitud denegada; el texto de la notificacin se puede personalizar. Si sospecha de que un sitio est
categorizado incorrectamente, compruebe su categorizacin y, si se confirma su sospecha, asgnele la categora correcta. Para obtener ms informacin, vea
Buscar e invalidar la categora de URL de un sitio.

Puede informar de los problemas de clasificacin a Microsoft, aumentando as la probabilidad de que MRS trate las lagunas de cobertura y exactitud especficas
de su organizacin. Para obtener informacin, vea Comentarios e informes de errores de Microsoft Reputation Services
4. Puede personalizar las notificaciones de denegacin que los usuarios reciben cuando se bloquea el acceso. Para cada regla de la directiva de acceso web, puede
seleccionar una de las siguientes opciones de personalizacin:

Personalizar el mensaje de denegacin de acceso predeterminado. Para obtener ms informacin, vea Personalizar el mensaje de denegacin de acceso
predeterminado.

Redirigir a los usuarios a una pgina web que contenga el mensaje personalizado. Para obtener ms informacin, vea Redirigir a los usuarios a una
pgina de denegacin de acceso personalizada.
Los siguientes procedimientos le guiarn en la configuracin del filtrado de URL.
Bloquear los destinos en las reglas de directiva de acceso web
2. En el panel Tareas, haga clic en Configurar directiva de acceso web.
3. En la pgina Reglas de directiva de acceso web del Asistente para directivas de acceso web, permita que Forefront TMG cree una regla predeterminada que
bloquee el acceso a los sitios web que no desea que estn accesibles para los usuarios.
4. En la pgina Destinos web bloqueados, bloquee el acceso a las categoras de URL y conjuntos de categoras de URL necesarios.
5. Despus de finalizar el asistente, en la barra Aplicar cambios, haga clic en Aplicar.
Definir el perodo de actividad de una regla
2. En el panel de detalles, haga clic con el botn secundario en la regla que desea modificar, haga clic en Propiedades y, a continuacin, haga clic en la pestaa
Programacin.
3. En la lista Programar, seleccione una de las opciones siguientes:

Siempre, para especificar que la regla siempre es aplicable.

Fines de semana, para especificar que la regla solo se aplica en sbado y domingo.

Horas laborables, para especificar que la regla est activa de lunes a viernes, desde las 9:00 hasta las 17:00.
Nota:
Cuando modifica una regla para que solo se aplique en momentos determinados (mediante la configuracin de la programacin), la programacin modificada solo se
aplica a las conexiones nuevas. El trfico de las conexiones existentes seguir pasando, aunque se produzca en un momento no permitido.
4. Puede modificar los das y las horas de las programaciones predeterminadas, o crear nuevas, como se indica a continuacin:
a. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de firewall.
b. En la ficha Herramientas, haga clic en Programaciones.
c. Para modificar una programacin existente, haga clic para expandir Programaciones y, a continuacin, haga doble clic en la programacin que desea
modificar. En la pestaa Programacin, seleccione un intervalo de tiempo y, a continuacin, seleccione Activo o Inactivo.
d. Para crear una nueva programacin, en la barra de herramientas situada bajo Programaciones, haga clic en Nueva y, a continuacin, en la pgina de
propiedades Nueva programacin, especifique la configuracin de la programacin.
Buscar e invalidar la categora de URL de un sitio
2. En el panel Tareas, haga clic en Consultar categora de URL.
3. En la pestaa Consulta de categoras, escriba una direccin URL o una direccin IP y, a continuacin, haga clic en Consulta. El resultado de la categora se
muestra en la pestaa, as como cierta informacin acerca del origen de la categorizacin, como la invalidacin, la direccin IP o el alias de direccin URL.
4. Para cambiar la categorizacin de un sitio, copie la direccin URL o direccin IP, haga clic en la pestaa Invalidacin de categoras de URL y, a continuacin,
haga clic en Agregar.
5. En Invalidar la categora de URL predeterminada para este patrn de URL, escriba una direccin URL con el formato: www.contoso.com/*.
Nota:
Todas las direcciones URL deben incluir un nombre de host y una ruta de acceso, y pueden incluir una cadena de consulta y caracteres de escape (como %20
para representar un espacio).
No incluya un protocolo (como HTTP://) con la direccin URL.
Forefront TMG no admite el uso de direcciones URL de nombres de dominio internacionalizados (IDN).
6. En Mover patrn de URL a esta categora de URL, seleccione una categora de URL correcta.

129
7. Haga clic en Aceptar. Se cierra el dilogo Invalidacin de categoras de URL. Haga clic en Aceptar de nuevo y, a continuacin, en la barra Aplicar cambios, haga
clic en Aplicar.
Personalizar el mensaje de denegacin de acceso predeterminado
2. En el panel de detalles, haga clic con el botn secundario en la regla que desea modificar y, a continuacin, haga clic en Propiedades.
3. En la pestaa Accin, en Accin de solicitud URL denegada, compruebe que se ha seleccionado Mostrar notificacin de denegacin al usuario. En el cuadro de
Agregar texto personalizado o HTML a la notificacin (opcional), escriba el mensaje que desea mostrar a los usuarios que intenten obtener acceso a los sitios
web bloqueados.
Nota:
Puede usar etiquetas HTML, como:
<a href="mailto:admin@contoso.com?subject=Access to Web site denied">Contact the system administrator</a>.
4. Puede exponer la categora de URL del sitio web bloqueado a los usuarios seleccionando Agregue la categora de la solicitud denegada a la notificacin. Esta
opcin solo est disponible cuando el filtrado de URL est habilitado.
Redirigir a los usuarios a una pgina de denegacin de acceso personalizada
3. En la pestaa Accin, bajo Accin de solicitud URL denegada, seleccione Redirigir el cliente web a la siguiente direccin URL y, a continuacin, escriba la
direccin URL completa con el formato: http://URL.
Configurar la inspeccin de HTTPS en la puerta de enlace web segura de Forefront TMG
En los temas de esta seccin se proporciona informacin sobre la configuracin de la inspeccin de HTTPS en la puerta de enlace web segura de Forefront TMG.
La caracterstica de inspeccin de HTTPS forma parte de la directiva de acceso web de Forefront TMG. Puede usarla para implementar uno de los dos tipos de proteccin
siguientes:

Inspeccin del trfico HTTPS y validacin de los certificados de sitio HTTPS.

Solo validacin de certificados.
Los pasos necesarios para configurar la inspeccin de HTTPS varan en funcin del tipo de proteccin que se haya elegido implementar, tal y como se describe en los
siguientes temas:

Habilitar y configurar la caracterstica de inspeccin de HTTPS: describe los pasos necesarios para ambos tipos de proteccin.

Administrar los certificados de inspeccin de HTTPS: describe los pasos necesarios si opta por implementar solo la inspeccin del trfico HTTPS; no son
necesarios si decide implementar la inspeccin HTTPS solo para la validacin de certificados.

Notificar a los usuarios la inspeccin de HTTPS: describe los pasos necesarios para que los usuarios reciban notificaciones cuando Forefront TMG inspeccione el
trfico HTTPS. Puede ser necesario para cumplir las directivas de privacidad corporativas o las leyes estatales.
Habilitar y configurar la caracterstica de inspeccin de HTTPS
En los siguientes procedimientos se explica cmo habilitar y configurar la caracterstica de inspeccin de HTTPS en Forefront TMG:

Habilitar la inspeccin de HTTPS

Excluir sitios y equipos de la inspeccin de HTTPS

Configurar la directiva de validacin de certificado
3. En la pgina Configuracin de la inspeccin de HTTPS del Asistente para directivas de acceso web, seleccione Permitir a los usuarios establecer conexiones
HTTPS con sitios web y, a continuacin, seleccione el tipo de proteccin necesario:
El siguiente paso depende del tipo de proteccin seleccionado:

Si selecciona Inspeccionar el trfico HTTPS y validar los certificados de los sitios HTTPS, contine en el paso siguiente de este procedimiento.

Si selecciona No inspeccionar el trfico HTTPS, pero validar los certificados de los sitios HTTPS, ha completado este procedimiento. Haga clic en
Siguiente para continuar en el siguiente paso del asistente. Al final del asistente, haga clic en Finalizar y, a continuacin, en la barra Aplicar cambios,
haga clic en Aplicar. Vaya a Configurar la directiva de validacin de certificado.
4. En la pgina Preferencias de inspeccin de HTTPS del asistente, seleccione si desea notificar a los usuarios que se est inspeccionando el trfico HTTPS.
Importante:
Si decide habilitar las notificaciones al usuario, habilite las notificaciones de inspeccin de HTTPS en el cliente de Forefront TMG en todos los equipos cliente; para
ello, seleccione Notificarme cuando se inspeccione el contenido enviado a sitios web seguros en la pestaa Inspeccin de conexin segura.
5. En la pgina Preferencias de inspeccin de HTTPS del asistente, seleccione si desea crear el certificado de inspeccin de HTTPS con Forefront TMG,
personalizar ciertos aspectos del certificado (como su nombre) o importar un certificado existente. Para obtener ms informacin, vea Administrar los certificados
de inspeccin de HTTPS.
6. En la pgina Preferencias de implementacin de certificados del asistente, seleccione si se implementar el certificado de entidad de certificacin raz de
confianza de inspeccin de HTTPS automticamente mediante Active Directory o manualmente con la exportacin e importacin del certificado.
Nota:
Cuando se use Active Directory para implementar el certificado de inspeccin de HTTPS en los equipos cliente, en el cuadro Nombre del administrador del dominio,

130
escriba el nombre con el formato Dominio\Nombre de usuario. Tenga en cuenta que el dominio en el que se definen las cuentas de usuario debe ser el mismo dominio
al que est unido Forefront TMG. Para obtener ms informacin, vea Administrar los certificados de inspeccin de HTTPS.
7. Siga avanzando a travs del asistente y, al final de este, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar.
Excluir sitios y equipos de la inspeccin de HTTPS
2. En el panel Tareas, haga clic en Configurar inspeccin de HTTPS.
3. Para excluir sitios de la inspeccin, en la pestaa Excepciones de destino, haga clic en Agregar.
4. En el cuadro de dilogo Agregar entidades de red, seleccione las categoras de URL, los conjuntos de categoras de URL y los nombres de dominio que desea
excluir de la inspeccin de HTTPS y, a continuacin, haga clic en Agregar. Si desea excluir un conjunto de categoras o un conjunto de dominios que no est en
las listas existentes, haga clic en Nuevo y cree el conjunto que precisa.
Cuando haya terminado de agregar sitios, haga clic en Cerrar.
5. De forma predeterminada, Forefront TMG inspecciona la validez del certificado HTTPS para todos los sitios, incluso los que se excluyan de la inspeccin. Si no
desea que Forefront TMG lleve a cabo esta comprobacin de seguridad para un sitio determinado, haga clic en el sitio y, a continuacin, haga clic en Sin
validacin.
6. Para excluir equipos de la inspeccin, en la pestaa Excepciones de origen, haga clic en Agregar.
7. En el cuadro de dilogo Agregar entidades de red, seleccione los equipos y conjuntos de equipos que desea excluir de la inspeccin de HTTPS y, a continuacin,
haga clic en Agregar. Si desea excluir un equipo o conjunto de equipos que no est en las listas existentes, haga clic en Nuevo y cree la entrada que precise.
Cuando haya terminado de agregar equipos, haga clic en Cerrar.
2. En el recuadro Tareas, en Tareas de proteccin web, haga clic en Configurar inspeccin de HTTPS.
3. En la ficha Validacin de certificados, ajuste la configuracin de validacin de certificado segn sea necesario.
Nota:
Para que Forefront TMG compruebe si se ha revocado un certificado, debe habilitarse la regla de la directiva del sistema "Permitir todo el trfico HTTP desde
Forefront TMG hacia todas las redes (para las descargas de CRL)". Si no se habilita esta regla, Forefront TMG puede permitir el acceso a los sitios HTTPS sin validar
el estado de revocacin de los certificados.
4. Si el tipo de proteccin que seleccion cuando habilit la inspeccin de HTTPS incluye la inspeccin del trfico HTTPS, seleccione la pestaa Excepciones de
destino y revise la lista de sitios HTTPS excluidos de la inspeccin. De forma predeterminada, Forefront TMG comprueba la validez de los certificados para estos
sitios. Si no desea que Forefront TMG valide el certificado de un sitio excluido de la inspeccin de HTTPS, haga clic en el sitio y, a continuacin, en Sin
validacin.
5. Haga clic en Aceptar y, a continuacin, en la barra Aplicar cambios, haga clic en Aplicar.
Administrar los certificados de inspeccin de HTTPS
En este tema se explica cmo instalar e implementar los certificados de inspeccin de HTTPS para la inspeccin del trfico HTTPS, incluidos los requisitos previos y los
procedimientos de configuracin. Esos pasos no sern necesarios si solo implementa la inspeccin de HTTPS para la validacin de certificados.
Requisitos previos

Para inspeccionar el trfico HTTPS, debe haber un certificado de una entidad de certificacin (CA) en el servidor Forefront TMG, que se debe implementar
adems en todos los equipos cliente. Para obtener informacin sobre cmo se puede obtener el certificado, vea Planeacin para la inspeccin de HTTPS.

En una matriz administrada por un servidor EMS (Enterprise Management Server), el certificado se debe instalar en cada una de las matrices administradas por
dicho servidor.

Cuando se usa un certificado de una entidad de certificacin local o pblica, el certificado debe ser de confianza para el servidor de Forefront TMG.

La implementacin automtica del certificado requiere que Forefront TMG se implemente en un entorno de dominio; en un entorno de grupo de trabajo, el
certificado se implementa manualmente en cada equipo cliente.

En el caso de las aplicaciones que usan almacenes de certificados de su propiedad, como Mozilla Firefox, es preciso implementar el certificado manualmente, lo
que incluye la implementacin para los usuarios del dominio.

Para notificar a los usuarios la inspeccin del trfico HTTPS, el cliente de Forefront TMG debe estar instalado en los equipos cliente.
Para administrar la certificacin de la inspeccin de HTTPS se requieren dos pasos:
1. Ubicar un certificado de una entidad de certificacin en el servidor de Forefront TMG; este certificado acta como certificado de inspeccin de HTTPS. Para
obtener ms informacin, vea Ubicar el certificado de inspeccin de HTTPS en el servidor de Forefront TMG.
2. Implementar el certificado de inspeccin de HTTPS en los equipos cliente y ubicarlo en el almacn de certificados de entidades de certificacin raz de confianza.
Para obtener ms informacin, vea Implementar el certificado de inspeccin de HTTPS en los equipos cliente.
Ubicar el certificado de inspeccin de HTTPS en el servidor de Forefront TMG
En los siguientes procedimientos se describe cmo ubicar el certificado de inspeccin de HTTPS en el servidor de Forefront TMG. Debera seleccionar el mtodo adecuado
para el certificado que desea usar.

Generar un certificado autofirmado

Importar un certificado de una entidad de certificacin local o pblica
Generar un certificado autofirmado
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuacin, en el recuadro Tareas, haga clic en
Configurar inspeccin de HTTPS.
2. En el cuadro de dilogo Inspeccin de HTTPS saliente, en la pestaa General, bajo Configuracin de certificado de inspeccin de HTTPS, seleccione Usar
Forefront TMG para generar un certificado y, a continuacin, haga clic en Generar.
3. En el cuadro de dilogo Generar certificado, puede personalizar los detalles del certificado; escriba, por ejemplo, un nombre personalizado para el certificado de
inspeccin de HTTPS o seleccione una fecha de expiracin. Despus de especificar los detalles necesarios, haga clic en Generar certificado ahora.
4. En el cuadro de dilogo Certificado, haga clic en Aceptar.

131
Importante:
No haga clic en Instalar certificado.
El prximo paso es implementar el certificado en los equipos cliente. Sin cerrar el cuadro de dilogo Inspeccin de HTTPS saliente, vaya a Implementar el certificado de
inspeccin de HTTPS en los equipos cliente.
Importar un certificado de una entidad de certificacin local o pblica
2. En el cuadro de dilogo Inspeccin de HTTPS saliente, en la pestaa General, bajo Configuracin de certificado de inspeccin de HTTPS, seleccione Importar
una certificado, haga clic en Importar y, a continuacin, utilice el cuadro de dilogo Abrir para seleccionar el certificado que desea importar.
El prximo paso es implementar el certificado en los equipos cliente. Sin cerrar el cuadro de dilogo Inspeccin de HTTPS saliente, vaya a Implementar el certificado de
inspeccin de HTTPS en los equipos cliente.
Implementar el certificado de inspeccin de HTTPS en los equipos cliente
Puede recurrir a uno de los siguientes mtodos para implementar el certificado en los equipos cliente:

Automticamente, a travs de Servicios de dominio de Active Directory (AD DS). Para obtener ms informacin, vea Implementar el certificado de inspeccin de
HTTPS manualmente.

Si no usa AD DS, debe instalar el certificado manualmente en cada equipo cliente y ubicarlo en el almacn de certificados de entidades de certificacin raz de
confianza del equipo. Para obtener ms informacin, vea Implementar el certificado de inspeccin de HTTPS manualmente.
Nota:
Este procedimiento describe cmo implementar el certificado de inspeccin de HTTPS en equipos cliente que ejecuten un explorador web que usa los almacenes de
certificados de Windows, como Internet Explorer. Para configurar los dems exploradores web para que confen en el certificado, consulte la documentacin del
explorador web.
Implementar el certificado de inspeccin de HTTPS automticamente
2. En el cuadro de dilogo Inspeccin de HTTPS saliente, en la pestaa General, haga clic en Opciones de certificado de entidad de certificacin raz de confianza
HTTPS.
3. En el cuadro de dilogo Opciones de implementacin de certificados, seleccione Automticamente a travs de Active Directory (recomendado) y, a continuacin,
haga clic en Credenciales de administrador de dominio.
4. En el cuadro de dilogo Microsoft Threat Management Gateway, escriba las credenciales y, a continuacin, haga clic en Aceptar.
Nota:
Las credenciales que escriba deben tener privilegios suficientes para actualizar AD DS y permitir ejecutar los procesos en Forefront TMG.
5. Cierre los cuadros de dilogo Opciones de implementacin de certificados e Inspeccin de HTTPS saliente. En la barra Aplicar cambios, haga clic en Aplicar. No
se necesita ninguna configuracin adicional; el certificado se reenva a Active Directory y se implementa automticamente a los equipos cliente.
Importante:
La implementacin en los equipos cliente se produce una vez aplicada la directiva de grupo; el proceso puede tardar hasta ocho horas.
Hasta que los equipos cliente reciben el certificado, el acceso a los sitios web HTTPS generar un mensaje de advertencia en Internet Explorer. Para evitarlo, se
recomienda que deshabilite la inspeccin de HTTPS temporalmente. Para ello haga clic en Configurar inspeccin de HTTPS en el panel Tareas del nodo
Directiva de acceso web y desactive la casilla Habilitar inspeccin de HTTPS. Cuando la implementacin haya finalizado, vuelva a habilitar la inspeccin de
HTTPS.
Implementar el certificado de inspeccin de HTTPS manualmente
La implementacin manual del certificado de CA raz de confianza de inspeccin HTTPS requiere dos acciones:
1. Exportar el certificado desde Forefront TMG.
2. Importar el certificado a todos los equipos cliente. Para esta operacin se requieren derechos administrativos en el equipo cliente.
Para exportar el certificado
2. En el cuadro de dilogo Inspeccin de HTTPS saliente, en la pestaa General, haga clic en Opciones de certificado de entidad de certificacin raz de confianza
HTTPS.
3. En el cuadro de dilogo Opciones de implementacin de certificados, seleccione Manualmente en cada equipo cliente, haga clic en Exportar al archivo y, a
continuacin, use el cuadro de dilogo Guardar como para exportar el certificado.
Para importar el certificado a un equipo cliente
1. En el equipo cliente, haga clic en Inicio, Todos los programas, Accesorios y, a continuacin, haga clic en Ejecutar.
2. Escriba MMC y, a continuacin, presione ENTRAR.
3. En Microsoft Management Console, haga clic en el men Archivo, en Agregar o quitar complemento, haga clic en Certificados y, a continuacin, haga clic en
Agregar.
4. En el cuadro de dilogo Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente. En la ventana Agregar o quitar complementos, haga
clic en Aceptar. Se cerrar la ventana Agregar o quitar complementos.
5. En la ventana Seleccionar equipo, asegrese de que Equipo local est seleccionado y, a continuacin, haga clic en Finalizar.
6. En Microsoft Management Console, en el panel Nombre de almacn lgico, haga clic con el botn secundario en Entidades de certificacin raz de confianza,
haga clic en Todas las tareas y, a continuacin, haga clic en Importar.
7. En el Asistente para importacin de certificados, busque el archivo que guard al exportar el certificado y, a continuacin, haga clic en Siguiente.

132
8. En la pgina Almacn de certificados, asegrese de que todos los certificados se colocan en el almacn de certificados Entidades de certificacin raz de
confianza, haga clic en Siguiente y, a continuacin, haga clic en Finalizar.
Notificar a los usuarios la inspeccin de HTTPS
En este tema se describe cmo habilitar la notificacin de la inspeccin de HTTPS a los equipos cliente que ejecutan el cliente de Forefront TMG, incluidos los requisitos
previos y los pasos de configuracin. Puede ser necesario habilitar la notificacin de cliente para cumplir las directivas de privacidad corporativas.
Nota:
La notificacin de cliente no es aplicable si solo se implementa la inspeccin de HTTPS para la validacin de certificados.
Requisitos previos

Para recibir notificaciones de certificado de inspeccin de HTTPS, los equipos cliente deben tener el certificado de la entidad de certificacin (CA) raz de
confianza instalado en el almacn de certificados Entidades de certificacin raz de confianza. Si el certificado no se instala en este almacn de certificados
exacto, el usuario no recibir notificaciones de globo de la inspeccin de HTTPS. Para obtener ms informacin, vea Administrar los certificados de inspeccin
de HTTPS.

Los clientes de Forefront TMG solo pueden recibir notificaciones de inspeccin de HTTPS si realiza la inspeccin un servidor proxy que sigue en la cadena y no
un servidor proxy que precede en la cadena. Para habilitar las notificaciones de cliente en un escenario de encadenamiento de web, asegrese de que la inspeccin
de HTTPS est habilitada en el proxy que sigue en la cadena.

La regla de directiva del sistema para permitir notificaciones de cliente, que permite las notificaciones a los clientes de Forefront TMG, no se actualiza
dinmicamente con redes que no sean las predeterminadas: VPN, cuarentena e interna. Utilice el editor de directivas del sistema para agregar manualmente otras
redes que contengan clientes de Forefront TMG a las redes de destino de esta regla.
Para habilitar notificaciones de inspeccin de HTTPS se requieren los siguientes procedimientos:
1. Habilitar las notificaciones de inspeccin de HTTPS en Forefront TMG
2. Habilitar las notificaciones de inspeccin de HTTPS en el cliente de Forefront TMG
Habilitar las notificaciones de inspeccin de HTTPS en Forefront TMG
3. En la ficha Notificacin de cliente, haga clic en Notificar a los usuarios que se est inspeccionando su trfico HTTPS y, a continuacin, haga clic en Aceptar.
Habilitar las notificaciones de inspeccin de HTTPS en el cliente de Forefront TMG

En la ficha Inspeccin de conexin segura, seleccione Notificarme cuando se inspeccione el contenido enviado a sitios web seguros.
Configurar la inspeccin de malware en la puerta de enlace web segura de Forefront TMG
En los siguientes temas se proporciona informacin sobre la configuracin de la inspeccin de malware en la puerta de enlace web segura de Forefront TMG:

Habilitar la caracterstica de inspeccin de malware

Configurar las actualizaciones de definiciones de la inspeccin de malware

Configurar los valores opcionales de la inspeccin de malware

Definir las exenciones de la inspeccin de malware

Configurar la entrega de contenido para la inspeccin de malware

Configurar la ubicacin de almacenamiento para la inspeccin de malware
Nota:
Para mantener sus sistemas protegidos de las amenazas ms recientes, compruebe que Forefront TMG tiene conectividad con el origen de actualizacin
seleccionado, Microsoft Update o Windows Server Update Services (WSUS), y que se ha habilitado la instalacin automtica del conjunto de firmas ms
reciente. Para obtener ms informacin, vea Administrar las actualizaciones de definiciones para la inspeccin de malware y NIS.
Dispone de una descripcin de los niveles de amenazas de la inspeccin de malware en el tema Planeacin para proteger frente a contenido web
malintencionado (http://go.microsoft.com/fwlink/?LinkId=168615).
Para detectar malware en el trfico HTTPS, debe habilitar la inspeccin de HTTPS. Para obtener ms informacin, vea Configurar la inspeccin de HTTPS en
la puerta de enlace web segura de Forefront TMG.
Habilitar la caracterstica de inspeccin de malware
En este tema se describe cmo habilitar la inspeccin de malware del trfico HTTP en las solicitudes salientes.
La inspeccin de malware primero se habilita de forma global y, a continuacin, por regla, tal y como se describe en los siguientes procedimientos:

Habilitar la inspeccin global de malware

Habilitar la inspeccin de malware por regla
Nota:
Aunque se recomienda que se mantenga la configuracin predeterminada, se pueden establecer opciones de inspeccin de malware para reglas especficas que sean
diferentes de las establecidas globalmente. Para obtener ms informacin, vea Configurar los valores opcionales de la inspeccin de malware.
Habilitar la inspeccin global de malware

133
La configuracin de inspeccin de malware global se aplica a todas las reglas de acceso para las que se habilita la inspeccin de malware.
Para habilitar la inspeccin global de malware
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo nombre de servidor.
2. En la ficha Tareas, haga clic en el asistente para Iniciar Introduccin y, a continuacin, haga clic en Definir las opciones de implementacin.
3. Realice una seleccin en la pgina Configuracin de Microsoft Update y haga clic en Siguiente. Para obtener ms informacin, vea Planeacin de las
actualizaciones de definiciones de proteccin.
4. En la pgina Configuracin de caractersticas de proteccin de Forefront TMG, haga lo siguiente:
a. Seleccione una de las licencias para habilitar la proteccin web.
b. Si selecciona Activar la licencia de pago y habilitar la proteccin web, escriba el cdigo de activacin de la licencia junto a Clave.
c. Compruebe que la opcin Habilitar inspeccin de malware est seleccionada.
5. Siga avanzando a travs del asistente y, a continuacin, haga clic en Finalizar.
Nota:
Al habilitar la inspeccin de malware, Forefront TMG descarga automticamente el motor de inspeccin de malware y las firmas ms recientes. Esta descarga inicial
puede tardar varios minutos, tiempo durante el cual el trfico de HTTP no se inspecciona en busca de malware. De forma predeterminada, el trfico se permite en las
reglas en las que se aplica la inspeccin de malware. Sin embargo, puede bloquear el trfico en dichas reglas. Para ello, en el nodo de Directiva de acceso web, haga
clic en Configurar inspeccin de malware y, a continuacin, en la pestaa General, haga clic en Bloquear trfico en las reglas pertinentes hasta que se complete la
descarga.
Habilitar la inspeccin de malware por regla
Despus de habilitar el filtro de inspeccin de malware globalmente, se debe habilitar en reglas de acceso concretas, tanto nuevas como existentes.
Para habilitar la inspeccin de malware al crear una regla de acceso web
Configurar directiva de acceso web.
2. Siga las instrucciones en pantalla para crear reglas de directiva de acceso web.
3. En la pgina Configuracin de la inspeccin de malware, haga clic en Inspeccionar el contenido web solicitado desde Internet. Si es necesario, seleccione
Bloquear archivos cifrados (por ejemplo, archivos zip).
4. Siga avanzando a travs del asistente. Despus de hacer clic en Finalizar, haga clic en Aplicar en la barra Aplicar cambios.
Para habilitar la inspeccin de malware en reglas existentes
3. En la ficha Inspeccin de malware, seleccione Inspeccionar contenido descargado de servidores web a clientes.
Configurar las actualizaciones de definiciones de la inspeccin de malware
En este tema se describe cmo configurar actualizaciones automticas de definiciones de malware. La inspeccin del malware usa definiciones, desarrolladas por el Centro
de proteccin contra malware de Microsoft, para proteger los equipos cliente del contenido malintencionado en la web.
Para proteger sus sistemas de las amenazas de malware ms recientes, se recomienda que compruebe que tiene conectividad con el origen de actualizacin adecuado y que
habilita la instalacin automtica de las definiciones ms recientes.
Para obtener ms informacin sobre cmo configurar la conectividad a Microsoft Update o Windows Server Update Services (WSUS), vea Administrar las actualizaciones
de definiciones para la inspeccin de malware y NIS.
Para que Forefront TMG pueda inspeccionar el trfico en busca de malware, debe descargar las definiciones y el motor de inspeccin de malware ms recientes.
En los siguientes procedimientos se describe cmo configurar y comprobar las actualizaciones de definiciones de malware:

Configurar las actualizaciones de definicin de malware

Comprobar que el mecanismo de actualizacin de inspeccin de malware funciona
2. En la pestaa Tareas, en Tareas de proteccin web, haga clic en Configurar inspeccin de malware.
3. En el cuadro de dilogo Inspeccin de malware, haga clic en la pestaa Actualizaciones de definiciones y, a continuacin, en Seleccione la accin automtica de
actualizacin de definiciones, elija una de las configuraciones siguientes:

Buscar e instalar definiciones (recomendado): seleccione esta configuracin para descargar e instalar automticamente las actualizaciones de
definicin de malware ms recientes.

Slo buscar definiciones: seleccione esta configuracin si desea que se le notifique sobre las nuevas definiciones para la descarga.

Ninguna accin automtica: seleccione esta configuracin para deshabilitar las acciones de actualizacin automtica.
4. En Frecuencia de sondeo automtico, seleccione la frecuencia de sondeo adecuada para su organizacin; la frecuencia predeterminada es Cada 15 minutos.
Comprobar que el mecanismo de actualizacin de inspeccin de malware funciona
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Centro de actualizaciones.
2. En el panel de detalles, en Actualizar informacin, compruebe si la ltima actualizacin de inspeccin de malware fue correcta.
3. Si se produjera un error en la actualizacin, bajo Mecanismo de proteccin, haga clic en Inspeccin de malware y, a continuacin, en el recuadro Tareas, haga
clic en Buscar definiciones.
4. Si el sistema no puede descargar una actualizacin para la inspeccin de malware, compruebe su configuracin de la red.
Configurar los valores opcionales de la inspeccin de malware
Al crear una regla de acceso web y habilitar la inspeccin de malware en dicha regla, se aplica un conjunto predeterminado de opciones de inspeccin de malware y
umbrales a dicha regla.
Para ajustar estas opciones y umbrales, modifique la siguiente configuracin:

Configuracin de inspeccin de malware global: la configuracin se aplica de manera predeterminada a cada regla de acceso en la que la inspeccin de malware
est habilitada. Vea Configurar valores globales para inspeccin de cdigo malintencionado.

Configuracin de reglas de acceso web individuales: la configuracin por regla invalida la configuracin de inspeccin de malware global. Vea Configurar las
opciones de la inspeccin de malware por regla.
Para ambas opciones de configuracin, tenga en cuenta lo siguiente:

134

Si Intentar limpiar archivos infectados est habilitado, los archivos que no se pueden limpiar se purgan. Al usar la generacin, Forefront TMG cierra la conexin
TCP y graba el motivo en el registro. Al usar la notificacin de progreso, Forefront TMG emite una pgina HTML para notificar al usuario que se ha bloqueado
el archivo.

Para obtener informacin acerca de la generacin y la notificacin del progreso, vea Configurar la entrega de contenido para la inspeccin de malware.

La configuracin Bloquear archivos sospechosos est diseada para bloquear archivos que parecen estar infectados con malware desconocido.

De manera predeterminada, la opcin Bloquear archivos daados est desactivada. Activar esta opcin puede provocar un falso positivo y bloquear archivos que
en realidad no son dainos.

La opcin Bloquear archivos si el nivel de profundidad del archivo supera est diseada para bloquear malware que llega en archivos con anidamiento profundo
para evitar la deteccin.

La configuracin Bloquear archivos de almacenamiento si el tamao del contenido desempaquetado es superior a (MB) est diseada para evitar la
descompresin de archivos de almacenamiento pequeos en un tamao grande cuando se desempaquetan
Configurar valores globales para inspeccin de cdigo malintencionado
2. En la ficha Tareas, haga clic en Configurar inspeccin de malware.
3. Haga clic en la pestaa Configuracin de inspeccin y ajuste los umbrales de bloqueo y otras opciones de la inspeccin de malware.
Configurar las opciones de la inspeccin de malware por regla
3. En la pestaa Inspeccin de malware, compruebe que est seleccionado Inspeccionar contenido descargado de servidores web a clientes. Haga clic en Usar la
configuracin especfica de la regla para la inspeccin de malware y, a continuacin, haga clic en Configuracin de reglas.
4. Use el cuadro de dilogo Editar la configuracin de inspeccin de malware de las reglas para ajustar los umbrales de bloqueo y otras opciones de la inspeccin de
malware para esta regla.
Definir las exenciones de la inspeccin de malware
En este tema se explica cmo excluir las entidades de red de los exmenes de la inspeccin de malware y cmo configurar la inspeccin de malware en una implementacin
de encadenamiento de proxy web.
Puede excluir orgenes y destinos, de la siguiente manera:

La razn principal para la exclusin de orgenes de la inspeccin de malware es evitar examinar contenido ms de una vez, lo cual afecta al rendimiento y resulta
problemtico en algunos escenarios. Un escenario tpico es cuando se examina el contenido en busca de malware por parte de un proxy que sigue en la cadena.
En ese caso, debera configurar el proxy que precede en la cadena para excluir de la deteccin a todas las solicitudes que proceden del proxy posterior.

Los dos principales motivos para excluir destinos de la inspeccin de malware son mejorar el rendimiento mediante la exclusin de sitios de confianza y resolver
los problemas de compatibilidad.

Para obtener ms informacin, vea Eximir orgenes y destinos de la inspeccin de malware.

En una implementacin de encadenamiento de proxy web, no est admitido habilitar la inspeccin de malware a la vez en el servidor de Forefront TMG que
precede y que sigue en la cadena. Si tiene dicha implementacin, debe asegurarse de que la inspeccin de malware est habilitada nicamente en el servidor que
precede o en el que sigue en la cadena. Para obtener ms informacin, vea Configuracin de la inspeccin de malware con el encadenamiento de proxy web.
Eximir orgenes y destinos de la inspeccin de malware
3. Haga clic en la pestaa Excepciones de destino o en la pestaa Excepciones de origen y, a continuacin, haga clic en Agregar.
4. En el cuadro de dilogo Agregar entidades de red, haga clic en Nueva y, a continuacin, seleccione los objetos de red excluidos. Puede especificar una red
completa, equipos o direcciones IP, o conjuntos de nombres de dominio y conjuntos de direcciones URL. Si selecciona nombres de dominio, asegrese de que
puedan resolverse por un Sistema de nombres de dominio (DNS).
5. Para modificar el conjunto de dominios predeterminado (solo excepciones de destino) u otros objetos de red excluidos, seleccione la entrada correspondiente y
haga clic en Editar.
6. Para quitar sitios de la lista de excepciones, seleccione la entrada correspondiente y, a continuacin, haga clic en Quitar.
7. Cuando finalice, haga clic en Aceptar y, a continuacin, en la barra Aplicar cambios, haga clic en Aplicar.
Configuracin de la inspeccin de malware con el encadenamiento de proxy web
En una implementacin de encadenamiento de proxy web, asegrese de que la inspeccin de malware est habilitada en el servidor que precede en la cadena o en el servidor
que sigue en la cadena.
Para configurar la inspeccin de malware en el servidor que precede en la cadena
1. Al usar el encadenamiento de proxy web, la identidad de cada cliente se conoce en el servidor que sigue en la cadena pero no se propaga al servidor precedente.
Como resultado, todas las solicitudes de los usuarios que se encuentran detrs del servidor posterior comparten el mismo lmite de almacenamiento temporal en el
servidor que precede en la cadena. Para evitar que los usuarios que siguen en la cadena consuman todo este lmite de almacenamiento temporal relativamente
pequeo, agregue el servidor que sigue en la cadena al conjunto de equipos del servidor que precede en la cadena. Para ello, abra la consola de administracin de
Forefront TMG en el servidor que precede en la cadena. En el rbol, haga clic en el nodo Sistema de prevencin de intrusiones, y en la ficha Deteccin de
intrusiones por comportamiento, haga clic en Configurar mitigacin de ataques ''flood'' de congestin del servidor. En la ficha Excepciones IP, haga clic en
Agregary agregue el servidor que sigue en la cadena a la lista.
2. Deshabilite la inspeccin de malware que sigue en la cadena o en la regla de encadenamiento de web.
Para configurar la inspeccin de malware en el servidor que sigue en la cadena

Realice una de las acciones siguientes:

Deshabilite la inspeccin de malware en el servidor que precede en la cadena.

Excluya el trfico procedente de detrs del servidor que sigue en la cadena de la inspeccin por el servidor que precede en la cadena. Para ello, abra la
consola de administracin de Forefront TMG en el servidor que precede en la cadena. En el rbol, haga clic en el nodo Directiva de acceso web, y en la ficha
Tareas, haga clic en Configurar inspeccin de malware. En la ficha Excepciones de origen, haga clic en Agregary excluya el servidor que sigue en la cadena
del filtro de inspeccin de malware.
Configurar la entrega de contenido para la inspeccin de malware

135
En este tema se describe cmo configurar la entrega de contenido de inspeccin de malware. Dado que la inspeccin de malware puede producir algn retraso en la entrega
de contenido del servidor al cliente, Forefront TMG permite controlar la experiencia del usuario mientras se examina el contenido web en busca de malware.
Puede seleccionar uno de los siguientes mtodos de entrega para el contenido examinado:

Generacin: Forefront TMG enva partes del contenido al usuario a medida que se inspeccionan los archivos. Este proceso ayuda a evitar que la aplicacin cliente
alcance el lmite de tiempo de espera antes de que se descargue e inspeccione todo el contenido. Puede seleccionar el uso de la generacin estndar, la generacin
rpida o una combinacin de ambas.

Notificacin de progreso: Forefront TMG enva una pgina HTML al equipo cliente para informar al usuario de que se est inspeccionando el contenido
solicitado e indicar el progreso de descarga e inspeccin. Una vez que han finalizado la descarga y la inspeccin del contenido, se informa al usuario de que el
contenido est listo y se muestra un botn para descargarlo.
Nota:
Al aplicar el mtodo de entrega con notificacin de progreso, despus de que un usuario descarga un archivo, al hacer clic en Atrs en la ventana del explorador, puede
que el archivo se muestre como una pgina en formato binario.
Configurar la entrega del contenido de inspeccin de malware
2. En la ficha Tareas, haga clic en Configurar inspeccin de malware y, a continuacin, haga clic en la ficha Entrega de contenido.
3. En Mtodo de entrega de contenido predeterminado para el contenido examinado, seleccione uno de los siguientes:

Generacin estndar: Forefront TMG mantiene la mayor parte del archivo en el servidor pero enva pequeas cantidades de datos a la aplicacin
cliente para conservar la conexin. Se examina todo el archivo antes de enviarse al usuario.
Nota:
Si selecciona la generacin estndar como mtodo predeterminado para la entrega de contenido, puede configurar que ciertos tipos de contenido se procesen para la
notificacin de progreso y otros para la generacin rpida.

Generacin rpida: Forefront TMG enva los datos de la manera ms rpida posible al usuario pero retiene la ltima parte para completar el examen
antes de completar la transferencia. Este mtodo requiere ms recursos del servidor de Forefront TMG pero tambin ofrece una mejor experiencia al
usuario.
Nota:
Si selecciona la generacin rpida como mtodo predeterminado para la entrega de contenido, puede configurar que determinados tipos de contenido se procesen para
la notificacin de progreso.
4. Para especificar los tipos de contenido para los que se debe utilizar una notificacin de progreso en lugar de la opcin de generacin seleccionada, realice el
procedimiento siguiente:
a. Active la casilla Usar notificacin de progreso en lugar del mtodo de entrega de contenido predeterminado para los tipos de contenido seleccionados.
b. Haga clic en Tipos de contenido para notificacin de progreso y, a continuacin, en la ventana de propiedades de Tipos de contenido que muestran
notificaciones de progreso, haga clic en la pestaa Tipos de contenido.
c. En Tipos disponibles, escriba un tipo de contenido en el cuadro o seleccione los tipos de contenido para agregarlos a la lista predeterminada y, a
continuacin, haga clic en Agregar. Para quitar un tipo de contenido, seleccinelo en la lista Tipos seleccionados y, a continuacin, haga clic en
Quitar.
d. Cuando haya terminado de especificar los tipos de contenido, haga clic en Aceptar.
5. Para especificar tipos de contenido que usan el mtodo de entrega de generacin rpida, haga lo siguiente:
. Active la casilla Usar generacin rpida para los tipos de contenido seleccionados.
a. Haga clic en Tipos de contenido para generacin rpida y, a continuacin, en la ventana de propiedades Tipos de contenido para generacin rpida,
haga clic en la pestaa Tipos de contenido.
b. En Tipos disponibles, escriba un tipo de contenido en el cuadro o seleccione los tipos de contenido para agregarlos a la lista predeterminada y, a
continuacin, haga clic en Agregar. Para quitar un tipo de contenido, seleccinelo en la lista Tipos seleccionados y, a continuacin, haga clic en
Quitar.
c. Cuando haya terminado de especificar los tipos de contenido, haga clic en Aceptar.
Configurar la ubicacin de almacenamiento para la inspeccin de malware
En este tema se describe el modo de cambiar la ubicacin predeterminada de los archivos que se someten a inspeccin de malware. Forefront TMG crea una carpeta
denominada ScanStorage para almacenarlos. La ubicacin predeterminada es %SystemRoot%\Temp\ScanStorage.
Nota:
Al descargar un gran nmero de archivos mayores de 64 KB, el rendimiento puede verse afectado. Si tiene estos problemas, se recomienda que mueva la carpeta
ScanStorage a un disco fsico independiente.
Especificar una ubicacin en la que almacenar archivos temporalmente para inspeccin
3. En la pestaa Almacenamiento, especifique la carpeta donde se deben conservar temporalmente los archivos para su inspeccin.
Importante:

136
La ruta de acceso especificada debe existir en todos los servidores de Forefront TMG de la matriz. Por consiguiente, se recomienda usar una variable de entorno
(como %SystemRoot%) dentro del nombre de ruta para permitir el ajuste por servidor de la ruta de acceso.
Asegrese de excluir esta carpeta de la inspeccin por parte de cualquier otra aplicacin de deteccin de malware que se ejecute en el servidor de Forefront
TMG.
Configurar NIS en la puerta de enlace web segura de Forefront TMG
Cuando se configura el Sistema de inspeccin de red (NIS) en la puerta de enlace web segura de Forefront TMG, el trfico se inspecciona en busca de vulnerabilidades de
seguridad conocidas en los sistemas operativos y aplicaciones.
NIS usa las firmas de vulnerabilidades conocidas del Centro de proteccin contra malware de Microsoft (http://go.microsoft.com/fwlink/?LinkId=160624) para ayudar a
detectar y bloquear trfico malintencionado. Para que Forefront TMG pueda comenzar a bloquear ataques de vulnerabilidades conocidas, debe descargar el conjunto de
firmas de NIS ms reciente de Microsoft Update o Windows Server Update Services (WSUS). Para obtener informacin sobre cmo configurar la conectividad a Microsoft
Update o Windows Server Update Services (WSUS), vea Administrar las actualizaciones de definiciones para la inspeccin de malware y NIS.
En los siguientes temas se describe cmo configurar y administrar NIS y las firmas de NIS:

Habilitar y configurar NIS

Administrar las firmas de NIS
Habilitar y configurar NIS
En este tema se explica cmo habilitar y configurar el Sistema de inspeccin de red (NIS) en la puerta de enlace web segura de Forefront TMG.

Habilitar el NIS

Configurar la respuesta de NIS ante anomalas de protocolo
Nota:
Se entiende por anomalas de protocolo en el trfico de red el hecho de que el trfico no cumpla los estndares de protocolo, como las RFC y las implementaciones
comunes.

Eximir las entidades de red de los anlisis de NIS
Sugerencia:
Una entidad tpica que podra desear excluir es una direccin IP de deteccin, que es una direccin IP aislada y desprotegida que usa un administrador de firewall para
obtener informacin sobre los ataques a la red.

Pasos siguientes
Habilitar el NIS
3. En la pgina Configuracin de Microsoft Update, seleccione un mtodo de actualizacin y haga clic en Siguiente.
4. En la pgina Configuracin de caractersticas de proteccin de Forefront TMG, compruebe que la licencia de NIS est establecida en Activar licencia
complementaria y habilitar NIS.
5. En la pgina Configuracin de actualizacin de firmas de NIS, tenga en cuenta lo siguiente:
a. Si desea instalar automticamente nuevos conjuntos de firmas, asegrese de que la opcin Comprobar e instalar actualizaciones (recomendado) est
seleccionada.
b. En Frecuencia de sondeo automtico, seleccione la frecuencia de sondeo adecuada para su organizacin. La frecuencia predeterminada es Cada 15
minutos. Observe que esta configuracin solo se aplica a NIS; la configuracin de la frecuencia de sondeo para otras protecciones actualizables se
encuentran en el Centro de actualizacin.
c. La opcin Seleccione la directiva de respuesta de las nuevas firmas solo se aplica a las firmas descargadas e instaladas recientemente. La
configuracin se aplica a todos los conjuntos de firmas que se descargan. Todas las firma que no estn establecida en la respuesta predeterminada de
Microsoft se marcan como que requieren atencin en la ficha Sistema de inspeccin de red, que se encuentra en el panel de detalles Sistema de
prevencin de intrusiones.
Configurar la respuesta de NIS ante anomalas de protocolo
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Sistema de prevencin de intrusiones.
2. En la pestaa Tareas, haga clic en Definir excepciones.
3. En la ficha Directiva de anomalas de protocolo, configure la respuesta del NIS en anomalas de protocolo.
4. Cuando haya finalizado, en la barra Aplicar cambios, haga clic en Aplicar.
Eximir las entidades de red de los anlisis de NIS
2. Haga clic en la ficha Sistema de inspeccin de red (NIS) y en la ficha Tareas, haga clic en Definir excepciones.
3. En la ficha Excepciones, haga clic en Agregar y, a continuacin, seleccione las entidades de red que desea excluir de la inspeccin.
Pasos siguientes
Para poder usar Forefront TMG con el objeto de bloquear los ataques basados en vulnerabilidades conocidas, asegrese de que Forefront TMG est actualizado con el ltimo
conjunto de firmas de NIS. Para obtener ms informacin, vea Configuring and verifying NIS signature set downloads.
Administrar las firmas de NIS

137
En los siguientes procedimientos se describe cmo administrar las firmas de NIS:

Configurar y comprobar las descargas de conjuntos de firmas de NIS. Para poder utilizar Forefront TMG para bloquear los ataques que aprovechan las
vulnerabilidades conocidas, debe descargar el ltimo conjunto de firmas de NIS.
Nota:
Las firmas descargadas recientemente solo se aplican a las nuevas conexiones. Sin embargo, NIS inspecciona el contenido almacenado en memoria cach con el
conjunto de firmas activo cada vez que un cliente lo solicita.

Activar un conjunto de firmas diferente. Se puede usar el control de versiones para revertir a un conjunto de firmas anterior, por ejemplo, con el objeto de
solucionar problemas o para activar la versin ms actualizada.
Nota:
Al activar un conjunto de firmas de NIS anterior la red puede quedar expuesta a amenazas descubiertas recientemente.

>Modificar la directiva de respuesta de NIS para firmas individuales. Es posible cambiar la directiva de respuesta de NIS para una firma concreta, para grupos de
firmas o para todo el sistema.
Configurar y comprobar las descargas de conjuntos de firmas de NIS
2. Haga clic en la pestaa Sistema de inspeccin de red (NIS) y, en la pestaa Tareas, haga clic en Configurar propiedades.
3. En la pestaa Actualizaciones de definiciones, en Accin automtica de actualizacin de definiciones, seleccione una de las siguientes opciones:

Buscar e instalar actualizaciones (recomendado): seleccione esta configuracin para descargar e instalar automticamente las actualizaciones de
definicin de firmas ms recientes.

Solo buscar definiciones: seleccione esta configuracin para recibir notificacin de la disponibilidad de las nuevas firmas para descargarlas.

Ninguna accin automtica: seleccione esta configuracin para deshabilitar las actualizaciones automticas.
4. En Directiva de respuesta para nuevas firmas, seleccione una de las siguientes opciones:

Directiva predeterminada de Microsoft (recomendado): seleccione esta configuracin para aceptar la directiva de respuesta que recomienda Microsoft
para las nuevas firmas descargadas.

Detectar solo respuesta: seleccione esta configuracin para establecer todas las nuevas firmas descargadas en modo de solo registro de manera que el
trfico coincidente se registre pero no se bloquee.
Sugerencia:
Puede configurar Forefront TMG para que se enve una alerta por correo electrnico cuando se encuentre una vulnerabilidad de seguridad. Para obtener ms
informacin, vea Configurar acciones de alerta (http://go.microsoft.com/fwlink/?LinkId=179304).

Sin respuesta (deshabilitar firma): seleccione esta configuracin para deshabilitar todas las nuevas firmas descargadas. En este modo, no se realiza
ninguna accin ni se registra nada cuando se detecta trfico que coincide con una nueva firma.
Nota:
Si ms adelante decide inspeccionar el trfico para una firma deshabilitada, deber habilitarla manualmente.
5. En el rbol de la consola, haga clic en Centro de actualizacin.
6. En el panel de detalles, compruebe si la ltima actualizacin de NIS se realiz correctamente.
7. Si no es as, haga clic en Sistema de inspeccin de red y, a continuacin, en el recuadro Tareas, haga clic en Buscar definiciones.
8. Si el sistema no puede descargar una actualizacin de NIS, compruebe la configuracin de la red.
Activar un conjunto de firmas diferente
2. En la ficha Tareas, haga clic en Configurar propiedades.
3. En la pestaa Actualizaciones de definiciones, haga clic en Control de versiones.
4. Haga clic en Seleccione el conjunto de firmas de NIS que desee activar; a continuacin, en la lista, seleccione el conjunto de firmas necesario en funcin del
nmero de versin o la fecha, y haga clic en Activar.
Nota:
Forefront TMG guarda hasta cinco conjuntos de firmas para facilitar la reversin.
Modificar la directiva de respuesta de NIS
Modificar la directiva de respuesta de NIS para firmas individuales
2. En el panel de detalles de la pestaa Sistema de inspeccin de red (NIS), haga clic en la firma que desea modificar y, a continuacin, en la pestaa Tareas, haga
clic en Configurar propiedades de firma.
3. En la ficha General, puede cambiar la configuracin efectiva de la firma. Para invalidar la configuracin predeterminada de Microsoft, haga clic en Invalidar,
haga clic en Habilitar y, a continuacin, seleccione Bloquear o Solo detectar en la lista.
Nota:

138
Para obtener ms informacin acerca de esta firma, haga clic en Ms informacin sobre esta firma de NIS en lnea.
Modificar la directiva de respuesta para un grupo de firmas
2. En el panel de detalles de la pestaa Sistema de inspeccin de red (NIS), en la lista Agrupar por, seleccione la categora segn la que desea agrupar las firmas
pertinentes.
3. Haga clic con el botn secundario en el ttulo de grupo de la seccin que desea modificar (por ejemplo, si las firmas se agrupan por Gravedad, puede hacer clic
con el botn secundario en Moderada), o haga clic con el botn secundario en una firma o seleccin de firmas y, a continuacin, haga clic en Habilitar firmas
seleccionadas, Deshabilitar firmas seleccionadas o Establecer respuesta en valor predeterminado de Microsoft.
Modificar la directiva de respuesta para todo el sistema
2. En la ficha Sistema de inspeccin de red (NIS), seleccione una de las siguientes opciones del panel Tareas:

Establecer todas las respuestas a los valores predeterminados de Microsoft.

Establecer todas las respuestas a Solo detectar.
3. En la ventana Configuracin de la directiva de respuesta global, seleccione Aplicar la configuracin seleccionada a los conjuntos de firmas recin descargados si
desea que esta configuracin se aplique tambin a las nuevas firmas.
Administrar las actualizaciones de definiciones para la inspeccin de malware y NIS
La inspeccin de malware y el Sistema de inspeccin de red (NIS) usan las actualizaciones de productos de Microsoft para mantener las definiciones de proteccin
actualizadas en todo momento.
En este tema se describen los requisitos previos y pasos de configuracin necesarios para actualizar las definiciones de proteccin en Forefront TMG.
Para obtener informacin sobre cmo planear las actualizaciones de definiciones de proteccin, vea Planeacin de las actualizaciones de definiciones de proteccin.
Requisitos previos
Microsoft Update proporciona los archivos de definicin actualizados y estn sujetos a licencias. Para activar las licencias de mecanismo de proteccin, debe optar por usar
Microsoft Update. Es necesario aun cuando se piensa utilizar Windows Server Update Services (WSUS).
Para obtener informacin sobre las licencias, vea How to Buy (http://go.microsoft.com/fwlink/?LinkId=179848).
La actualizacin de las definiciones de proteccin incluye los siguientes procedimientos:

Habilitar Microsoft Update y activar licencias

Modificar las definiciones de Microsoft Update para una caracterstica
3. En la pgina Configuracin de Microsoft Update, haga clic en Usar el servicio Microsoft Update para buscar actualizaciones (recomendado).
Nota:
Si el servidor de Forefront TMG se configura para recibir actualizaciones de WSUS, omitir la configuracin de la pgina Configuracin de Microsoft Update.
4. En la pgina Configuracin de caractersticas de proteccin de Forefront TMG, active las licencias para las caractersticas de proteccin que desea habilitar. Slo
puede descargar e instalar definiciones actualizadas para las caractersticas que ha habilitado.
5. Si ha activado la licencia de NIS, en la pgina Configuracin de actualizacin de firmas de NIS, seleccione la accin de actualizacin automtica que necesite.
6. Complete el asistente y, a continuacin, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar.
Modificar las definiciones de Microsoft Update para una caracterstica
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Centro de actualizaciones.
2. En el panel Tareas, haga clic en Configurar opciones y, a continuacin, revise la configuracin de cada mecanismo de proteccin en la ficha Actualizaciones de
definiciones.
3. Haga clic en el mecanismo de proteccin que desea modificar y, a continuacin, en Configurar seleccin.
4. En la ventana Actualizar configuracin, cambie la accin de actualizacin automtica o la configuracin de frecuencia de sondeo automtico segn sea necesario
y, a continuacin, haga clic en Aceptar.
Configurar el almacenamiento en cach en la puerta de enlace web segura de Forefront TMG
En este tema se proporciona la siguiente informacin sobre cmo configurar el almacenamiento en cach en la puerta de enlace web segura de Forefront TMG:

Requisitos previos


Requisitos previos

El almacenamiento en cach solo se puede habilitar en una unidad de disco con el sistema de archivos NTFS.

El tamao mximo de un archivo de cach en una sola unidad es de 64 GB. Si se requiere un almacenamiento en cach ms grande, configrelo en unidades
adicionales.

Para ejecutar trabajos de descarga de contenido, el servicio Programador de trabajos de Forefront TMG debe estar en ejecucin.
La caracterstica de almacenamiento en cach forma parte de la directiva de acceso web de Forefront TMG. El proceso de configuracin se compone de las fases siguientes:

139

Habilitar el almacenamiento en cach mediante la asignacin de espacio de disco en una o ms unidades de disco en el servidor de Forefront TMG. Si ejecuta una
matriz de Forefront TMG, debe asignar espacio de almacenamiento en cach en cada servidor de la matriz.

Configurar reglas de cach para especificar los tipos de contenido que se almacenan en cach.

Configurar los trabajos de descarga de contenido para actualizar de forma proactiva la memoria cach para anticiparse a las solicitudes de cliente, lo que mejora
el rendimiento y ahorra ancho de banda.
Para obtener ms informacin, vea Para habilitar y configurar el almacenamiento en cach.
Para habilitar y configurar el almacenamiento en cach
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso web y, a continuacin, bajo Tareas relacionadas, haga
clic en Configurar almacenamiento en cach web.
2. En la pestaa Unidades de cach, seleccione el servidor y haga clic en Configurar.
3. Seleccione la unidad requerida. En Tamao mximo de cach, especifique el tamao mximo (en megabytes) y haga clic en Establecer. Si es necesario, repita
este paso para configurar el almacenamiento en cach en unidades adicionales. Cuando haya terminado de asignar el tamao de almacenamiento en cach
necesario, haga clic en Aceptar.
4. En la ficha Reglas de cach, haga clic en Nueva. Siga las instrucciones del asistente.
5. En la ficha Descarga de contenido, haga clic en Nueva. Siga las instrucciones del asistente.
Comprobar la implementacin de la puerta de enlace web segura de Forefront TMG
Este tema tiene como objeto ayudarle a probar y validar la funcionalidad de las caractersticas de la puerta de enlace web segura de Forefront TMG que ha implementado.
Ejecute las pruebas despus de completar la implementacin y antes de implementar la puerta de enlace web segura en el entorno de produccin.

Probar la funcionalidad de proxy y cach. Antes de iniciar las pruebas, compruebe lo siguiente:

Se ha configurado el almacenamiento en cach web. Para obtener ms informacin, vea Configurar el almacenamiento en cach en la puerta de enlace web
segura de Forefront TMG.

Se ha creado al menos una regla de acceso web. Para obtener ms informacin, vea Crear una directiva de acceso web bsica

Se ha configurado una tabla de direcciones locales (LAT) en el servidor de Forefront TMG. Para obtener ms informacin, vea Understanding the ISA Server
2000 Local Address Table (http://go.microsoft.com/fwlink/?LinkId=179663).

Probar el filtrado de direcciones URL. Antes de iniciar las pruebas, compruebe lo siguiente:

Una o ms categoras de destino web se han definido como Destinos web bloqueados. Para obtener ms informacin, vea Bloquear los destinos en las reglas
de directiva de acceso web.

Se ha definido Invalidacin de categoras de URL al menos para un sitio web. Para obtener ms informacin, vea Buscar e invalidar la categora de URL de
un sitio.

La notificacin de denegacin que los usuarios reciben cuando se bloquea el acceso se personaliza de una de las siguientes maneras:

Se personaliza el mensaje de denegacin de acceso predeterminado de Forefront TMG. Para obtener ms informacin, vea Personalizar el mensaje de
denegacin de acceso predeterminado.

Los usuarios se redirigen a una pgina web que contiene un mensaje personalizado. Para obtener ms informacin, vea Redirigir a los usuarios a una
pgina de denegacin de acceso personalizada.

Probar la inspeccin de HTTPS. Antes de iniciar las pruebas, compruebe lo siguiente:

La inspeccin de HTTPS est habilitada y configurada. Para obtener ms informacin, vea Configurar la inspeccin de HTTPS en la puerta de enlace web

La inspeccin de malware est habilitada y configurada. Para obtener ms informacin, vea Configurar la inspeccin de malware en la puerta de enlace web

Al menos un equipo o sitio web de origen o destino se ha excluido de la inspeccin de HTTPS. Para obtener ms informacin, vea Excluir sitios y equipos de
la inspeccin de HTTPS.

El cliente de Forefront TMG est instalado en el equipo cliente. Para obtener ms informacin, vea Implementacin del cliente de Forefront TMG

Las notificaciones de inspeccin de HTTPS a los usuarios finales estn habilitadas en Forefront TMG y en el cliente de Forefront TMG. Para obtener ms
informacin, vea Notificar a los usuarios la inspeccin de HTTPS.

Probar la inspeccin de malware. Antes de iniciar las pruebas, compruebe que se haya habilitado y configurado la inspeccin de malware. Para obtener ms
informacin, vea Configurar la inspeccin de malware en la puerta de enlace web segura de Forefront TMG.

Probar NIS. Antes de iniciar las pruebas, compruebe que se haya habilitado y configurado NIS. Para obtener ms informacin, vea Configurar NIS en la puerta de
enlace web segura de Forefront TMG.
Sugerencia:
Para obtener informacin sobre los informes de Forefront TMG, as como instrucciones para configurarlos y consultarlos, vea Configurar los informes de
Forefront TMG (http://go.microsoft.com/fwlink/?LinkId=179662).
Para obtener informacin sobre cmo solucionar los problemas de algunas de las caractersticas de la puerta de enlace web segura de Forefront TMG, vea
Troubleshooting Web access protection (http://go.microsoft.com/fwlink/?LinkId=183985).
Probar la funcionalidad de proxy y cach
1. En el explorador del equipo cliente, establezca Configuracin de red de rea local (LAN) de modo que use el servidor de Forefront TMG como servidor proxy
para la red LAN.
2. Vaya a What Is My IP (http://go.microsoft.com/fwlink/?LinkId=179317) y confirme la configuracin del proxy y de la direccin IP externa.
3. Vaya al sitio web de la intranet. Debera pasar por el proxy si el indicador para omitirlo est desactivado en el explorador cliente.
4. Vaya al sitio de Outlook Web Access y realice una sesin corta.
5. Desplcese a sitios web conocidos, como http://www.bing.com. Asegrese de que todos estn accesibles y de que las pginas se muestren correctamente.
6. Descargue un archivo grande desde dos equipos diferentes. Puesto que el archivo se debera proporcionar desde la memoria cach, la segunda descarga debera
ser mucho ms rpida que la primera. Compruebe que es as en el visor de registros de Forefront TMG.
7. Abra una conexin FTP en ftp://ftp.hp.com. Debera poder iniciar sesin en el sitio, as como mostrar y descargar archivos.
8. Si no consigue crear una sesin de proxy web o si se producen errores en alguna de las pruebas, en el rbol de la consola de Administracin de Forefront TMG,
haga clic en Registros e informes. En el panel de detalles, haga clic en la pestaa Registro e inicie una consulta para detectar y analizar el trfico procedente del
equipo cliente.

140
Probar el filtrado de direcciones URL
1. En el equipo cliente, vaya a los sitios web en los que el filtrado de URL se haya configurado para el bloqueo y compruebe que se muestra su mensaje
personalizado.
2. Vaya a un sitio web para el que se haya definido la invalidacin de categoras y compruebe si se permiten o se bloquean de acuerdo con la configuracin de
invalidacin.
3. Compruebe que puede consultar la base de datos de filtrado de URL:
a. En el rbol de la consola de Administracin de Forefront TMG, haga clic en Directiva de acceso web.
b. En el recuadro Tareas, haga clic en Configurar filtrado de URL y, a continuacin, haga clic en Consultar categora de URL.
c. En la pestaa Consulta de categoras, escriba una direccin URL o una direccin IP y, a continuacin, haga clic en Consulta.
4. Compruebe que puede notificar problemas de clasificacin en el sitio Comentarios e informes de errores de Microsoft Reputation Services
5. En el rbol de la consola de Administracin de Forefront TMG, haga clic en Registros e informes. En el panel de detalles, haga clic en la pestaa Registro e inicie
una consulta filtrada por la regla Destinos web bloqueados. Compruebe los resultados de la consulta y confirme si se ha detectado la categora de URL correcta.
Probar la inspeccin de HTTPS
1. En el equipo cliente, vaya a The Anti-Virus or Anti-Malware test file (http://go.microsoft.com/fwlink/?LinkId=179319) y descargue uno de los archivos de virus
de prueba sobre HTTPS. Compruebe si la proteccin contra malware de Forefront TMG notifica al equipo cliente que el acceso al archivo se encuentra
bloqueado.
2. Vaya a un sitio web seguro y, a continuacin, haga lo siguiente:

Compruebe si, mientras se inspecciona el trfico HTTPS, el cliente de Forefront TMG muestra un globo de notificacin de Inspeccin de conexin
segura en el equipo cliente.

Compruebe los detalles del certificado del sitio para confirmar que fue emitido por la Entidad de certificacin de la inspeccin de HTTPS de
Microsoft Forefront TMG.

Compruebe si el equipo cliente confa en el certificado, es decir, no se muestra ninguna pgina de error de certificado.
3. Desplcese a un sitio web no incluido en la inspeccin de HTTPS o desplcese a cualquier sitio web desde un equipo no incluido en la inspeccin de HTTPS y
compruebe si el certificado no fue emitido por la Entidad de certificacin de la inspeccin de HTTPS de Microsoft Forefront TMG.
una consulta filtrada por Resultado de la inspeccin de malware = Archivo infectado y Hora de registro. Compruebe los resultados de la consulta y confirme si
Puerto de destino es 443 y Protocolo es https-inspect.
Probar la inspeccin de malware
1. En el equipo cliente, vaya a The Anti-Virus or Anti-Malware test file (http://go.microsoft.com/fwlink/?LinkId=179319) y descargue uno de los archivos de virus
de prueba sobre HTTP. Compruebe si la proteccin contra malware de Forefront TMG notifica al equipo cliente que el acceso al archivo se encuentra bloqueado.
una consulta filtrada por Resultado de la inspeccin de malware = Archivo infectado.
Compruebe los resultados de la consulta para confirmar que se bloque el archivo.
3. Asegrese de que las definiciones de malware estn actualizadas. Para obtener ms informacin, vea Configurar las actualizaciones de definiciones de la
inspeccin de malware.
Probar NIS
1. En el equipo cliente, intente desplazarse a la siguiente direccin URL: http://www.contoso.com/testNIS.aspx?testValue=1!2@34$5%256%5e%5b%7bNIS-Test-
URL%7d%5d1!2@34$5%256%5e
Compruebe si se produce un error en el intento y si aparece este mensaje en el explorador: Mensaje de acceso a redes: No se puede mostrar la pgina.
2. En Forefront TMG, compruebe que se gener esta alerta: NIS bloque el trfico que coincida con una firma conocida.
una consulta filtrada por Resultado del examen de NIS = Bloqueado. Compruebe los resultados de la consulta para confirmar que se detect la firma.
4. En el rbol de la consola de Administracin de Forefront TMG, haga clic en Centro de actualizacin. En la pestaa Actualizaciones de definiciones, compruebe
que Forefront TMG recibe las actualizaciones de las definiciones de firmas.
Operaciones de Forefront TMG
La gua de operaciones de Forefront TMG proporciona informacin para ayudarle a configurar los escenarios empresariales de Forefront TMG, y a administrar y mantener
sus servidores de Forefront TMG. En la gua se incluyen los siguientes temas:

Configuracin del acceso a Internet y a los recursos corporativos: proporciona instrucciones sobre cmo configurar el acceso a Internet para los usuarios internos,
obtener acceso para los usuarios remotos y sitios a la red interna mediante la red privada virtual, y obtener acceso para los usuarios internos y externos a los
recursos corporativos, como SharePoint y Outlook Web Access.

Proteger sus redes: proporciona instrucciones sobre cmo proteger los equipos y servidores en su red extendida.

Administrar Forefront TMG: proporciona instrucciones sobre cmo supervisar, respaldar y realizar otras tareas administrativas para Forefront TMG.
Configuracin del acceso a Internet y a los recursos corporativos
Uno de los escenarios corporativos principales para Forefront TMG es la habilitacin del acceso seguro a Internet y a los recursos corporativos internos. En los temas
siguientes se proporciona informacin que puede ayudarle a configurar tipos diferentes de acceso en Forefront TMG:

Configuracin de la directiva de firewall: proporciona informacin acerca de cmo crear reglas de acceso y recomendaciones con respecto al orden de las reglas.

Configurar acceso web: proporciona informacin sobre cmo crear una directiva de acceso web para los usuarios y clientes conectados a una red corporativa.

Configurar acceso VPN: proporciona informacin sobre cmo configurar el acceso a redes privadas virtuales (VPN) de clientes remotos y sitio a sitio.

Configurar la publicacin: proporciona informacin sobre cmo configurar el acceso a recursos corporativos como SharePoint y Exchange.
Configuracin de la directiva de firewall
En los temas siguientes se proporciona informacin sobre cmo configurar una directiva de firewall en Forefront TMG:

Creacin de una directiva de firewall: proporciona informacin general sobre cmo crear una directiva de firewall.

Crear una regla de acceso: describe los pasos bsicos para crear una regla de acceso.

141

Recomendaciones de configuracin de las directivas de firewall: contiene instrucciones para optimizar las directivas de firewall.

Configurar VoIP: describe cmo crear reglas de acceso que permiten el trfico de voz sobre IP (VoIP).
Creacin de una directiva de firewall
Con Forefront TMG, puede crear una directiva de firewall, que incluye un conjunto de reglas de acceso y reglas de publicacin. Estas reglas, junto con las de red,
determinan el modo en que los clientes tienen acceso a los recursos a travs de las redes. Para obtener informacin general sobre las reglas de acceso, vea Planeacin para
controlar el acceso de red. Para obtener informacin general de las reglas de publicacin, vea Planeacin de publicacin.
Trabajo con reglas de acceso
Las reglas de acceso controlan el acceso de una red a otra. Una de las funciones principales de Forefront TMG es servir de conexin entre las redes de origen y de destino, al
tiempo que las protege de accesos malintencionados. Para facilitar esta conectividad, se usa Forefront TMG para crear una directiva de acceso que permita a los clientes de
la red de origen el acceso a equipos determinados de la red de destino. La directiva de acceso determina el modo en que los clientes tienen acceso a otras redes.
Para obtener informacin sobre cmo crear reglas de acceso, vea Crear una regla de acceso.
Para obtener informacin sobre cmo crear reglas de acceso de web saliente, es decir, el acceso desde un equipo cliente a Internet, vea Configurar acceso web.
Trabajo con reglas de publicacin web
Las reglas de publicacin controlan el acceso entrante a los servidores publicados. Forefront TMG puede hacer que los servidores sean accesibles para los clientes de otra
red de forma segura. Forefront TMG se usa para crear una directiva de publicacin a fin de publicar los servidores de un modo seguro. La directiva de publicacin (qu
consta de reglas de publicacin de web, reglas de publicacin de servidor, reglas de publicacin de web seguras y reglas de publicacin de servidores de correo) y las reglas
de encadenamiento web determinan el modo de acceso a los servidores publicados.
Puede utilizar una de las reglas de Forefront TMG siguientes para publicar los servidores:

Reglas de publicacin de web: sirven para publicar el contenido de los servidores web.

Reglas de publicacin de servidor: para publicar cualquier otro contenido.

Servidores de publicacin web seguros: para publicar contenido de Capa de sockets seguros (SSL).

Reglas de publicacin de correo Exchange: para publicar el acceso de correo de cliente web en un servidor Exchange o granja de servidores.
Cuando Forefront TMG procesa una solicitud HTTP o HTTPS desde un cliente, comprueba las reglas de publicacin y las reglas de encadenamiento web para determinar si
se permite la solicitud, y qu servidor la atender.
En el caso de solicitudes no HTTP, Forefront TMG comprueba las reglas de red y, despus, las reglas de publicacin para determinar si se permiten las solicitudes.
Para obtener informacin sobre cmo crear las reglas de publicacin de web, vea Configurar la publicacin de web.
Para obtener informacin sobre cmo crear reglas de publicacin de servidor, vea Configurar la publicacin de otros protocolos.
Crear una regla de acceso
En este tema se describe cmo crear reglas de acceso mediante el Asistente para nueva regla de acceso.
Para crear una regla de acceso mediante el Asistente para nueva regla de acceso
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de firewall y, en el recuadro Tareas, haga clic en Crear regla de
acceso.
2. Siga las instrucciones hasta completar el Asistente para nueva regla de acceso:

En la pgina Accin de la regla, especifique si la regla debe permitir o denegar el acceso.

En la pgina Protocolos, para seleccionar los protocolos FTP, HTTP o HTTPS, deje la configuracin predeterminada Protocolos seleccionados y haga
clic en Agregar. En el cuadro de dilogo Agregar protocolos, haga clic para expandir Web y, a continuacin, seleccione FTP, HTTP o HTTPS. No
seleccione los protocolos que terminan en "Server". Estos protocolos se utilizan para reglas de publicacin de servidor no web, no para el acceso
saliente.

En la pgina Inspeccin de cdigo malintencionado, seleccione si se habilita la inspeccin de cdigo malintencionado para la regla. Para habilitar esta
configuracin, la inspeccin de cdigo malintencionado debe estar habilitada de forma global. Para obtener ms informacin, vea Habilitar la
inspeccin de malware.

En la pgina Orgenes de regla de acceso, seleccione los objetos de red desde los que se recibirn las solicitudes.

En la pgina Destinos de regla de acceso, seleccione los lugares adonde se enviarn las solicitudes recibidas. Para el acceso web seleccione la red
Externa (Internet).

En la pgina Usuarios, seleccione si las solicitudes para la regla se deben autenticar. Para el acceso annimo deje la configuracin Todos los usuarios
predeterminada. Para especificar que la regla solo se aplicar a un grupo concreto de usuarios, haga clic en Agregar y, a continuacin, seleccione
conjuntos de usuarios predefinidos o cree un conjunto de usuarios personalizado.
3. Configurar VoIP
En los siguientes temas se proporciona informacin acerca de:
Configurar el acceso para VoIP: cmo crear reglas de acceso que permitan VoIP sobre Forefront TMG.
Configurar los valores de VoIP: cmo configurar las opciones de VoIP que permitan a los clientes de la red interna recibir y enviar llamadas a travs del sistema IP
PBX (central de conmutacin de protocolo de Internet).

Configurar el acceso para VoIP
Con Forefront TMG puede configurar reglas de directiva que permitan el trfico de voz sobre IP (VoIP) a travs de Forefront TMG.
VoIP se lleva a cabo mediante el protocolo de datagramas de usuario (UDP), que se basa en otros dos protocolos: protocolo de inicio de sesin (SIP) para el establecimiento
y finalizacin de llamadas, y el protocolo en tiempo real (RTP) para multimedia (audio y vdeo).
Un sistema telefnico de central de conmutacin de protocolo de Internet (IP PBX) conmuta las llamadas entre los usuarios de VoIP. El sistema IP PBX transfiere la voz a
travs de las redes de datos, como las redes de rea local (LAN) y las redes de rea extensa (WAN), y tambin puede conmutar llamadas entre un usuario de VoIP y un
usuario de telefona tradicional, o entre dos usuarios de telefona tradicional. Cuando Forefront TMG se implementa en el permetro o dentro de la organizacin, se pueden
configurar las reglas de directiva que permiten que el trfico SIP y RTP pase por Forefront TMG.

142

Configurar un sistema IP PBX externo (hospedado)

Configurar una IP PBX interna conectada a la RTC

Configurar una IP PBX interna con un tronco SIP

Configurar una IP PBX interna con una IP PBX externa (hospedada)
Configurar un sistema IP PBX externo (hospedado)
Utilice esta configuracin al utilizar un sistema IP PBX externo u hospedado que proporcione un proveedor de servicios de telefona de Internet (ITSP). Esta configuracin
de VoIP agrega las siguientes reglas:

Permitir trfico SIP entre telfonos e IP PBX: permite que el trfico SIP de los telfonos internos llegue al sistema PBX externo.

Permitir el trfico RTP en la red externa: permite que el trfico multimedia de los telfonos internos llegue a la red externa.

Permitir trfico RTP entre telfonos: permite el trfico multimedia entre los telfonos internos.
Para configurar un sistema IP PBX hospedado
1. En el servidor de Forefront TMG, haga clic en el nodo Directiva de firewall.
2. En la ficha Tareas, haga clic en Configurar VoIP.
3. En el Asistente para la configuracin de SIP, seleccione Los telfonos IP se conectan directamente a una IP PBX externa (hospedada).
4. Siga los pasos del asistente para especificar la ubicacin de la IP PBX externa (normalmente, su ITSP le proporcionar un nombre DNS) y especifique las
direcciones de red de los telfonos que se utilizarn para el trfico SIP.
5. La pgina de finalizacin detalla las reglas de directiva de Forefront TMG que se crearn. Las reglas especifican el origen y destino por los que se permite el
trfico especificado.
Configurar una IP PBX interna conectada a la RTC
Utilice esta configuracin si usa una IP PBX interna y la RTC para las llamadas externas. En este caso, necesita una puerta de enlace de SIP que convierta las llamadas entre
la red IP y la RTC. Esta configuracin de VoIP agrega las siguientes reglas:

Permitir el trfico RTP en la puerta de enlace de SIP: permite que el trfico multimedia (RTP) de los telfonos internos y la IP PBX llegue a la puerta de enlace
de SIP.

Permitir el trfico RTP en la IP PBX interna: permite que el trfico multimedia (RTP) de los telfonos internos y la puerta de enlace de SIP llegue a la IP PBX.

Permitir trfico RTP en los telfonos: permite que el trfico multimedia (RTP) de la IP PBX y la puerta de enlace de SIP llegue a los telfonos IP.

Permitir el trfico SIP entre IP PBX de SIP y los componentes SIP internos: permite el trfico entre los telfonos IP, la IP PBX y la puerta de enlace de SIP.
Para configurar una IP PBX interna conectada a la RTC
3. En el Asistente para la configuracin de SIP, seleccione Los telfonos IP se conectan a una IP PBX interna.
4. Seleccione La PBX interna no est conectada a un proveedor de servicios externo y La PBX interna est conectada a una puerta de enlace RTC a travs de SIP.
5. Siga los pasos del asistente para especificar la ubicacin de la puerta de enlace de SIP y la direccin IP de la PBX interna, y especifique las direcciones de red de
los telfonos IP internos.
Configurar una IP PBX interna con un tronco SIP
Utilice esta configuracin si usa una IP PBX interna y un tronco de SIP entre su IP PBX y la RTC para las llamadas externas. Esta configuracin de VoIP agrega las
siguientes reglas:

Permitir el trfico RTP en la IP PBX interna: permite que el trfico multimedia (RTP) de los telfonos internos llegue a la IP PBX, es decir, el servidor proxy SIP
interno.

Permitir trfico RTP en los telfonos: permite que el trfico multimedia (RTP) de la IP PBX llegue a los telfonos IP.

Permitir el trfico RTP en la red externa: permite que el trfico multimedia (RTP) de los telfonos internos y la IP PBX llegue a la red externa.

Permitir trfico SIP entre IP PBX internas y externas: permite que el trfico SIP de la IP PBX interna llegue a la IP PBX externa.

Permitir SIP entre los componentes de SIP internos: permite SIP entre los telfonos IP y la IP PBX.

Publicar IP PBX interna en la red externa: permite que el trfico de la IP PBX externa llegue a la IP PBX interna.
Para configurar una IP PBX interna con un tronco SIP
4. Seleccione La PBX interna es atendida por el servicio de troncos SIP.
5. Siga los pasos del asistente para especificar la direccin IP de la IP PBX interna, la ubicacin de la IP PBX externa (normalmente, su ITSP le proporcionar un
nombre DNS) y especifique las direcciones de red de los telfonos IP internos.
Configurar una IP PBX interna con una IP PBX externa (hospedada)
Utilice esta configuracin si usa una IP PBX interna y una PBX hospedada. Esta configuracin de VoIP agrega las siguientes reglas:

Permitir el trfico RTP en la IP PBX interna: permite que el trfico multimedia (RTP) de los telfonos internos llegue a la IP PBX, es decir, el servidor proxy SIP
interno.

Permitir trfico RTP en los telfonos: permite que el trfico multimedia (RTP) de la IP PBX llegue a los telfonos IP.

Permitir el trfico RTP en la red externa: permite que el trfico multimedia (RTP) de los telfonos internos y la IP PBX llegue a la red externa.

Permitir trfico SIP entre IP PBX internas y externas: permite que el trfico SIP de la IP PBX interna llegue a la IP PBX externa.

Permitir el trfico SIP entre los componentes de SIP internos y la PBX interna: habilita SIP entre los componentes de SIP internos y la IP PBX de SIP.
Para configurar una IP PBX interna con una IP PBX externa (hospedada)
4. Seleccione La PBX interna es atendida por un servicio externo (hospedado).
5. Siga los pasos del asistente para especificar la direccin IP de la IP PBX interna, la ubicacin de la IP PBX externa (normalmente, su ITSP le proporcionar un
nombre DNS) y especifique las direcciones de red de los telfonos IP internos.
Configurar los valores de VoIP

143
La configuracin de VoIP permite a los clientes de la red interna recibir y enviar llamadas a travs del sistema IP PBX. En los siguientes procedimientos se describe cmo
habilitar y configurar los valores de VoIP y cuotas SIP.
Para configurar los valores de VoIP
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Directiva de firewall.
2. En la ficha Tareas, haga clic en Configurar valores de VoIP.
3. Seleccione Habilitar clientes SIP internos para el registro externo para habilitar a los clientes de la red interna para que reciban las llamadas entrantes del IP PBX.
4. En el cuadro de dilogo Direccin IP del registro externo, escriba una direccin IP de red dedicada al sistema IP PBX. Si usa 0.0.0.0, se usa la direccin IP
externa de Forefront TMG.
5. En el Nmero de puertos de registro para SIP adems del puerto predeterminado, escriba el nmero de veces que el mismo cliente se puede registrar con una IP
PBX externa.
Para configurar las cuotas SIP
2. En la ficha Tareas, haga clic en Configurar valores de VoIP.
3. Haga clic en Configurar cuotas de SIP.
4. En Nmero mximo global de registros en el filtro, escriba el nmero de clientes internos que se pueden registrar con el IP PBX externo.
5. En Nmero mximo de registros para una direccin IP especfica, escriba el nmero de clientes internos que se pueden registrar con el IP PBX externo a travs
de una direccin IP concreta.
6. En Nmero mximo global de llamadas en el filtro, escriba el nmero de llamadas simultneas permitidas de los clientes internos al IP PBX externo.
7. En Nmero mximo de llamadas para una direccin IP especfica, escriba el nmero de llamadas simultneas permitidas de los clientes internos al IP PBX
externo a travs de una direccin IP interna concreto.
Configurar acceso web
En los siguientes temas se proporciona informacin sobre cmo configurar el acceso web en Forefront TMG:

Introduccin a la configuracin del acceso web: describe las distintas fases implicadas en la creacin de una directiva de acceso web con Forefront TMG.

Habilitar el acceso a Internet: describe cmo crear y configurar las reglas de directiva de acceso web.

Almacenar en memoria cach el contenido del sitio web: describe cmo configurar el almacenamiento en memoria cach de contenido descargado con frecuencia
para mejorar la velocidad del acceso web y el rendimiento de la red.

Configurar BranchCache en Forefront TMG (SP1): en este tema se describe cmo habilitar y configurar BranchCache en el modo Cach hospedada en un equipo
Forefront TMG. BranchCache es una tecnologa de optimizacin de ancho de banda de red de rea extensa (WAN) que permite a los equipos cliente de las
sucursales obtener acceso al contenido desde una memoria cach local.
Introduccin a la configuracin del acceso web
En Forefront TMG, puede crear una directiva de acceso web para controlar quin puede obtener acceso a determinados recursos en Internet, as como la proteccin y las
tecnologas que estn habilitadas para proporcionar una experiencia de exploracin rpida y segura.
Una directiva de acceso web permite controlar:

Qu destinos web se permiten o bloquean. Puede controlar el acceso a las categoras de URL, conjuntos de categoras y sitios web concretos. Por ejemplo, puede
bloquear el acceso de todos los usuarios a un sitio especfico. Si lo prefiere, puede permitir a los administradores tener acceso a un conjunto de categoras de
direcciones URL que desea denegar a otros empleados.

Qu equipos o usuarios pueden tener acceso a Internet. Por ejemplo, puede especificar que un conjunto de equipos no tenga acceso a Internet o puede permitir a
un conjunto de usuarios tener acceso a Internet pero bloquear otros.

Qu tipos de contenido se permiten, en funcin del tipo MIME y la extensin de nombre de archivo. Por ejemplo, puede bloquear el acceso al contenido que
incluye archivos de audio, como archivos MP3 y WAV.
Para obtener informacin acerca de cmo controlar el acceso web, vea Habilitar el acceso a Internet.
Acelerar el acceso al contenido solicitado con frecuencia
Una directiva de acceso web tambin permite configurar el almacenamiento en cach del contenido web, a fin de mejorar la velocidad del acceso web y el rendimiento de la
red. Para obtener ms informacin, vea Almacenar en memoria cach el contenido del sitio web.
Una directiva de acceso web tambin permite configurar varias protecciones contra el contenido web malintencionado. Forefront TMG incluye varias tecnologas de
proteccin que pueden examinar el trfico web:

Inspeccin de malware: cuando est habilitada la inspeccin de malware, se inspeccionan las pginas web descargadas y los archivos permitidos por las reglas de
acceso en busca de malware. El filtro de inspeccin de malware limpia o bloquea el contenido HTTP y los archivos perjudiciales (como gusanos, virus y
spyware). Para obtener ms informacin acerca de cmo proteger los clientes del contenido HTTP malintencionado, vea Configurar la proteccin de las
amenazas basadas en web.

Inspeccin de HTTPS: cuando la inspeccin de HTTPS est habilitada, se examina el trfico a los sitios web seguros en busca de virus y otro contenido
malintencionado que podra usar tneles de la capa de sockets seguros (SSL) para infiltrarse en la organizacin sin ser detectado. Para obtener ms informacin
acerca de cmo proteger los clientes del contenido HTTPS malintencionado, vea Configurar la inspeccin de HTTPS.

Filtrado HTTP: puede configurar el filtrado de HTTP de capa de aplicacin que examina los comandos y los datos HTTP. Por ejemplo, puede usar el filtrado
HTTP para bloquear el uso de un determinado servicio de uso compartido de archivos de punto a punto. Para obtener ms informacin acerca del filtrado HTTP,
vea Configurar filtrado HTTP.
Crear reglas de acceso

144
Al configurar una directiva de acceso web, se crea un conjunto de reglas de acceso que controlan cmo se administran las solicitudes de los clientes de recursos web que se
encuentran en otras redes. En el Asistente para directivas de acceso web, puede establecer opciones de configuracin globales que determinan el modo en que se administra
el trfico web.
Las herramientas para crear una directiva de acceso web se encuentran en el nodo Directiva de acceso web. En l, puede abrir el Asistente para directivas de acceso web y
editar otros aspectos de la directiva.
Habilitar el acceso a Internet
En Forefront TMG, el acceso a la Web se habilita mediante la creacin de reglas de acceso. Al crear una directiva de acceso web para su organizacin, se recomienda que
haga lo siguiente:
1. Use el Asistente para directivas de acceso web con el fin de crear una directiva de acceso web bsica. Esta directiva bsica proporciona acceso annimo para los
usuarios internos a todos los destinos web, excepto los destinos web que seleccione. Puede usar las categoras de URL predefinidas para excluir los tipos de
destinos web a los que no desee que tengan acceso sus usuarios. Tambin puede designar usuarios o conjuntos de usuarios a los que no se apliquen estos
bloqueos. El asistente tambin permite habilitar las tecnologas de proteccin para las amenazas basadas en Web.
2. Despus de completar el Asistente para directivas de acceso web, puede optimizar la directiva de acceso web si edita las propiedades de las reglas de acceso web.
Entre otras opciones, puede obligar a los usuarios a que se autentiquen antes de concederles acceso a Web, configurar diferentes reglas de acceso para usuarios
distintos, controlar las horas a las que pueden obtener acceso a Web y los tipos de archivo que pueden descargar.
En los temas siguientes se describe cmo habilitar y configurar el acceso web en su organizacin:

Crear una directiva de acceso web bsica: describe cmo crear una directiva acceso web simple.

Configurar las propiedades de la regla de acceso web: describe cmo diferenciar la directiva de acceso web para distintos usuarios y equipos.

Personalizar los mensajes de error HTML en Forefront TMG: describe cmo personalizar los mensajes de error que los clientes de explorador web reciben a
veces como resultado de una solicitud web.
Crear una directiva de acceso web bsica
En este procedimiento se explica cmo crear una directiva de acceso web bsica mediante el Asistente para directivas de acceso web. El asistente crea una regla
predeterminada que concede acceso a Internet a todos los usuarios internos. El asistente tambin permite definir excepciones a la regla.
Para crear una directiva de acceso web bsica
3. Siga los pasos del Asistente para directivas de acceso web.
4. En la pgina Reglas de directiva de acceso web, puede permitir a Forefront TMG crear una regla predeterminada que bloquee el acceso a los sitios web
categorizados como malintencionados.
Nota:
En la pgina Destinos web bloqueados, puede bloquear el acceso a todos los tipos de entidades de red, incluidas las categoras de direcciones URL y conjuntos de
categoras de direcciones URL. Para configurar su directiva de acceso rpidamente, use los conjuntos de categoras de direcciones URL, que combinan direcciones
URL similares. Si es necesario, puede agregar dominios concretos y otros destinos web.
5. Despus de finalizar el asistente, en la barra Aplicar cambios, haga clic en Aplicar.
Pasos siguientes
Puede personalizar ms la directiva de acceso web mediante la edicin de las reglas que ha creado. Para obtener informacin detallada, vea Configurar las propiedades de la
regla de acceso web.
Configurar la inspeccin de cdigo malintencionado
Configurar las propiedades de la regla de acceso web
Tras la creacin de una regla de acceso web mediante el Asistente para directivas de acceso web o el Asistente para nueva regla de acceso, puede configurar la regla con
detalles adicionales si edita sus propiedades. Hay muchas propiedades de reglas de acceso web que puede configurar. En el siguiente procedimiento se describe cmo
modificar estas propiedades.
Modificar una regla de acceso web
1. En el rbol de la consola de administracin de Forefront TMG, en el rbol, haga clic en el nodo Directiva de acceso web.
3. Modifique las propiedades de la regla de acceso segn sea necesario, en funcin de las tareas descritas en la siguiente tabla.
Tarea y
descripcin Pasos
Habilitar o
deshabilitar la
regla
Si una regla
est
deshabilitada, el
motor de reglas
no la evala.
Haga clic en la pestaa General y, a continuacin, active o desactive la casilla Habilitar.
Modificar la
accin de la
regla
Haga clic en la pestaa Accin y seleccione Permitir para permitir la coincidencia del trfico con la regla o en Denegar para denegar la coincidencia
del trfico con la regla.

145
Establezca la
accin que se
tomar si se
cumplen todas
las condiciones
especificadas en
la regla.
Habilitar la
anulacin del
usuario para
reglas de
denegacin
(solo SP1)
Habilite la
invalidacin del
usuario si desea
permitir que los
usuarios
decidan por
ellos mismos si
desean tener
acceso a un
sitio que les
estaba
anteriormente
denegado.
Cuando la
invalidacin del
usuario est
habilitada y
configurada
correctamente,
la pgina
HTML de
acceso
denegado
ofrece la opcin
de continuar al
sitio
restringido.
Haga clic en la pestaa Accin de una regla de acceso de denegacin y, a continuacin, seleccione Permitir la invalidacin del usuario.
Importante:
La invalidacin del usuario solo est disponible para las reglas de denegacin que disponen de categoras de direcciones URL o
conjuntos de categoras de direcciones URL como su destino.
Cuando un usuario hace clic en Invalidar restriccin de acceso, la regla se quita de la consideracin mientras esta solicitud de acceso
especfica se evala con la base de regla de directiva de firewall. En consecuencia, para que la invalidacin del usuario funcione, una de
las reglas de directiva de firewall posteriores debe permitir el acceso al destino solicitado.
Si desea limitar la longitud de la sesin, seleccione Invalidacin efectiva durante (minutos). El perodo predeterminado de tiempo es de 30 minutos;
puede ajustar este tiempo segn sea necesario para la directiva.
Para obtener ms informacin, vea Planeacin para la invalidacin del usuario de reglas de denegacin (SP1).
Modificar la
notificacin de
denegacin
Cuando una
regla de
directiva de
acceso web
deniega el
acceso a un
sitio web o a un
conjunto de
sitios web,
puede crear un
mensaje
personalizado
que avise a los
clientes de que
se les ha
denegado el
acceso. Puede
crear un
mensaje de
acceso
denegado
diferente para
cada regla de la
directiva de
acceso web.
Tambin puede
dirigir los
clientes web a
una pgina web
hospedada
personalizada
Haga clic en la pestaa Accin de una regla de acceso de denegacin y en Opciones avanzadas y, a continuacin, realice una de las siguientes
opciones:
Para modificar el mensaje de denegacin predeterminado, compruebe que la opcin Mostrar la notificacin de denegacin al usuario est
seleccionada. En el cuadro de Agregar texto personalizado o HTML a la notificacin (opcional), escriba el mensaje que desea mostrar a los
usuarios que intenten obtener acceso a los sitios web bloqueados.
Nota:
Puede usar etiquetas HTML, como:

<a href="mailto:admin@contoso.com?subject=Access to web site denied">Contact the system administrator</a>.
Si la regla bloquea el acceso a una categora de direccin URL, puede exponer la categora de direccin URL del sitio web bloqueado a
los usuarios seleccionando Agregar categora de la solicitud denegada a la notificacin. Esta opcin solo est disponible cuando el
filtrado de URL est habilitado.
Para dirigir a los clientes web a una pgina web personalizada hospedada en un servidor web, seleccione Redirigir el cliente web a la siguiente
URL y escriba la direccin URL completa, con el siguiente formato: http://URL.
Nota:
En Forefront TMG 2010 Service Pack 1, puede usar los siguientes tokens en la pgina web personalizada:
[DESTINATIONURL]: muestra la direccin URL denegada.
[URLCATEGORYNAME]: muestra la categora de direccin URL denegada en el idioma de instalacin de Forefront TMG.
[URLCATEGORYID]: muestra un nmero que representa el Id. de categora de direccin URL denegada si desea visualizar la
categora de direccin URL en la configuracin de idioma predeterminada del explorador del usuario.
[OVERRIDEGUID]: muestra el GUID de matriz, necesario si desea crear un botn de invalidacin de usuario similar al de la pgina
de notificacin predeterminada.

146
en un servidor
web.
Por ejemplo:
http://192.168.1.3/Default.aspx?OrigUrl=[DESTINATIONURL]&Category=[URLCATEGORYNAME]&CategoryId=[URLCATEGORYI
D].

Habilitar o
deshabilitar el
registro de una
regla
Con el registro
habilitado, las
solicitudes de
cliente que se
permitan o
denieguen con
esta regla se
guardarn en el
registro
correspondiente
.
Haga clic en la pestaa Accin y, a continuacin, active o desactive la casilla Registrar solicitudes que coincidan con esta regla.
Modificar los
protocolos para
una regla
La regla de
acceso se aplica
al trfico IP que
usa los
protocolos
seleccionados
aqu. Una regla
diseada para
permitir el
trfico web
permitir HTTP
y, segn sus
requisitos,
HTTPS y FTP.
1. Haga clic en la pestaa Protocolos y para Esta regla se aplica a, seleccione una de las siguientes opciones:
Para especificar que la regla solo se aplica a los protocolos relacionados con Internet, seleccione Protocolos seleccionados y, a
continuacin, haga clic en Agregar. En el cuadro de dilogo Agregar protocolos, haga clic para expandir Web, seleccione FTP,
HTTP y HTTPS; para ello, haga clic en Agregar despus de cada uno. A continuacin, haga clic en Cerrar.
Nota:
No seleccione los protocolos que terminan en "Server". Estos protocolos se usan para la publicacin de web y no para el acceso saliente.
Para indicar que la regla se aplica a todos los protocolos, seleccione Todo el trfico saliente.
Para especificar que esta regla se aplica a todo el trfico excepto a los protocolos seleccionados, elija Todo el trfico saliente excepto
el seleccionado y, a continuacin, haga clic en Agregar. En el cuadro de dilogo Agregar protocolos, seleccione el protocolo
necesario, haga clic en Agregar y, a continuacin, en Cerrar.
Nota:
Para obtener informacin acerca de la creacin y la edicin de definiciones de protocolo predeterminadas, vea Configuring protocols.
2. Para permitir solo el trfico de un determinado intervalo de puertos, haga clic en Puertos y, a continuacin, seleccione Limitar acceso al
trfico de este intervalo de puertos de origen. Escriba el intervalo de los puertos de origen permitidos en los cuadros De y A.
3. Para permitir el trfico nicamente con caractersticas de HTTP especficas, haga clic en Filtrado y seleccione Configurar HTTP. Para
obtener informacin acerca de cmo crear el filtro HTTP, vea Configurar filtrado HTTP.
Modificar los
orgenes de
regla
Especifique las
redes, los
equipos, las
subredes, los
intervalos de
direcciones y
las categoras
de direcciones
URL de origen
(o conjuntos de
cada uno de
ellos) que se
aplican a cada
regla.
Haga clic en la ficha De y realice una de las siguientes acciones:
Para agregar un origen de trfico a la regla, haga clic en Agregar en la lista Esta regla se aplica al trfico de estos orgenes. En el cuadro de
dilogo Agregar entidades de red, seleccione los orgenes de trfico a los que desea que se aplique esta regla, haga clic en Agregar y, a
continuacin, haga clic en Cerrar.
Para especificar las excepciones a la regla, haga clic en Agregar en la lista Excepciones y, a continuacin, especifique las entidades de red a las
que no se aplica esta regla.
Modificar los
destinos de
regla
Especifique las
redes, los
equipos, las
subredes, los
Haga clic en la ficha A y realice una de las siguientes acciones:
Para agregar un destino de trfico a la regla, haga clic en Agregar en la lista Esta regla se aplica al trfico enviado a estos destinos. En el cuadro
de dilogo Agregar entidades de red, seleccione los orgenes de trfico a los que desea que se aplique esta regla, haga clic en Agregar y, a
continuacin, haga clic en Cerrar.
Para especificar las excepciones a la regla, haga clic en Agregar en la lista Excepciones y, a continuacin, especifique las entidades de red a las

147
intervalos de
direcciones y
las categoras
de direcciones
URL de destino
(o conjuntos de
cada uno de
ellos) que se
aplican a cada
regla.
que no se aplica esta regla.
Modificar los
requisitos de
autenticacin
para una regla
La regla de
acceso se aplica
a los conjuntos
de usuarios
enumerados en
la ficha
Usuarios.
Haga clic en la pestaa Usuarios y realice una de las siguientes acciones:
Para especificar que la regla es annima y que los usuarios no tienen que autenticarse, compruebe que el elemento Todos los usuarios se
encuentra en la lista de conjuntos de usuarios.
Para agregar un conjunto de usuarios a la regla, haga clic en Agregar y, a continuacin, seleccione lo siguiente en el cuadro de dilogo Agregar
usuarios:
Para indicar que slo se debe permitir el acceso a los usuarios que se puedan autenticar, seleccione Todos los usuarios autenticados.
Para especificar el acceso annimo, seleccione Todos los usuarios.
Tambin puede seleccionar un grupo de usuarios personalizado, si se ha creado uno. Para obtener ms informacin, vea Configuring user
sets.
Si desea especificar excepciones a la regla, haga clic en Agregar en la lista Excepciones y, a continuacin, especifique los usuarios que estn
exentos de los requisitos de autenticacin de usuarios de la regla.
Nota:
Si establece que una regla requiere autenticacin, los usuarios se autentican segn el mtodo de autenticacin proxy web para la red de
origen especificada en la pestaa De de la regla.
Si las propiedades del proxy web de la red de origen indican que se requiere autenticacin, este valor tendr prioridad sobre la
configuracin de autenticacin de una regla determinada. Para obtener ms informacin, vea Planeacin para la autenticacin de acceso
web.
Si una regla requiere autenticacin, se denegar el acceso a los usuarios que no puedan presentar credenciales de autenticacin, as
como a los usuarios que presenten credenciales que no pasen el proceso de autenticacin.

Modificar la
programacin
de una regla
Especifique
cundo desea
aplicar esta
regla.
Haga clic en la ficha Programacin y en la lista Programar, seleccione una de las opciones siguientes:
Siempre, para especificar que la regla siempre es aplicable.
Fines de semana, para especificar que la regla solo se aplica en sbado y domingo.
Horas laborables, para especificar que la regla est activa de lunes a viernes, desde las 9:00 hasta las 17:00.
Nota:
Puede modificar los das y horas de estas programaciones predeterminadas, o crear nuevas. Para obtener ms informacin acerca de
cmo crear y editar los calendarios, vea Configuring schedules.
Cuando modifica una regla para que slo se aplique en momentos determinados (mediante la configuracin de la programacin), la
regla modificada slo se aplicar en las conexiones nuevas. El trfico de las conexiones existentes seguir pasando, aunque se produzca
en un momento no permitido.

Modificar tipos
de contenido
para una regla
Puede usar esta
opcin para
especificar los
tipos de
contenido que
se aplican a una
regla.
1. Haga clic en la ficha Tipos de contenido.
2. Haga clic en Tipos de contenido seleccionados y seleccione los conjuntos de tipos de contenido adecuados en la lista Tipos de contenido.
3. Para ver los tipos MIME y de archivo incluidos en un determinado conjunto de tipos de contenido, realice lo siguiente:
a. Seleccione el conjunto de tipos de contenido y, a continuacin, haga clic en Detalles.
b. Haga clic en la ficha Tipos de contenido de la ventana Propiedades de aplicaciones y revise la lista Tipos seleccionados.
c. Para agregar un tipo MIME o de archivo a la lista Tipos seleccionados, seleccinelo en la lista Tipos disponibles.
d. Cuando haya finalizado, haga clic en Aceptar.
4. Para definir un nuevo tipo de contenido, haga clic en Nuevo y, a continuacin, especifique la configuracin del tipo de contenido.
Nota:
Para obtener ms informacin acerca de los tipos de contenido, vea Configuring content types.
5.
Modificar la
configuracin
1. Haga clic en la ficha Inspeccin de malware.
2. Para habilitar la descripcin de malware para el trfico permitido por esta regla, seleccione Inspeccionar contenido descargado de servidores

148
de inspeccin
de malware
para una regla
Especifique si
se debe detectar
malware en el
contenido
descargado de
los servidores
web y
modifique las
opciones de
inspeccin de
malware
especficas de
la regla.
web a clientes.
3. Aunque se recomienda que conserve la configuracin predeterminada, puede establecer las opciones de inspeccin de malware para esta
regla que son diferentes de las establecidas globalmente. Para ello, haga clic en Usar la configuracin especfica de la regla para la
inspeccin de malware. A continuacin, haga clic en Configuracin de reglas para ajustar con precisin los umbrales de bloque de
inspeccin de malware y otras opciones para esta regla. Tenga en cuenta las consideraciones siguientes:
Si Intentar limpiar archivos infectados est habilitado, se purgarn los archivos que no se pueden limpiar. Se emite una pgina
HTML para notificar al usuario que el archivo se ha bloqueado.
La configuracin Bloquear archivos sospechosos est diseada para bloquear archivos que parecen estar infectados con malware
desconocido.
De manera predeterminada, la opcin Bloquear archivos daados est desactivada. Activar esta opcin puede provocar un falso
positivo y bloquear archivos que en realidad no son dainos.
La opcin Bloquear archivos si el nivel de profundidad del archivo supera est diseada para bloquear malware que llega en
archivos con anidamiento profundo para evitar la deteccin.
La configuracin Bloquear archivos de almacenamiento si el tamao del contenido desempaquetado es superior a (MB) est
diseada para evitar que los archivos de almacenamiento pequeos se descompriman en un tamao grande cuando se
desempaquetan.
Nota:
La inspeccin de malware solo se puede configurar en la regla si est habilitada de forma global. Para obtener ms informacin, vea
Habilitar la inspeccin de malware.
Para detectar malware en el trfico HTTPS, debe habilitar la inspeccin de HTTPS. Para obtener ms informacin, vea Configurar la
inspeccin de HTTPS.

Personalizar los mensajes de error HTML en Forefront TMG
En este tema se describen los mensajes de error HTML que se proporcionan con Forefront TMG y se explica cmo personalizarlos. Tambin se indica cmo crear nuevos
mensajes de error.
Acerca de los mensajes de error HTML
A veces, los clientes de explorador web reciben mensajes de error en el explorador como resultado de una solicitud web. Si un error de solicitud web se produce en el cliente
antes de llegar al equipo con Forefront TMG, Internet Explorer genera el mensaje de error.
Cuando las solicitudes web llegan al equipo con Forefront TMG, Forefront TMG incluye un conjunto de mensajes de error que se pueden devolver a los clientes de
explorador web. Forefront TMG distingue entre las solicitudes de cliente externas e internas.
Editar los mensajes de error HTML
Puede editar los archivos .htm cuando y como considere necesario. Recuerde hacer una copia de seguridad del archivo original antes de realizar modificaciones. Los
mensajes de error correspondientes al idioma de su versin de Forefront TMG se encuentran en el directorio ErrorHtmls del directorio de instalacin de Forefront TMG. Se
utiliza la siguiente sintaxis para identificar los archivos:

Para los clientes internos, los archivos se denominan Error_nmero.htm.

Para los clientes externos, los archivos se denominan Error_nmeroR.htm (donde R es "reverse" y significa inverso).
En la siguiente tabla se enumeran los mensajes de error de esta carpeta.
Nombres de
archivo Descripcin
64.htm y
64R.htm
Se ha perdido la conexin al servidor web especificado.
401R.htm El cliente no se ha autenticado correctamente (solo el cliente externo).
407.htm El servidor proxy no ha autenticado el cliente (solo el cliente interno).
502.htm y
502R.htm
No se pudo establecer conexin con un servidor de contenido que precede en la cadena.
504.htm y
504R.htm
Se agot el tiempo de espera al intentar establecer conexin con un servidor que precede en la cadena.
1460.htm y
1460R.htm
Se agot el tiempo de espera de una conexin solicitada al servidor web especificado.
10054.htm y
10054R.htm
El servidor web de destino especificado restableci la conexin.
10060.htm y
10060R.htm
No se pudo establecer contacto con el servidor web especificado y se agot el tiempo de espera de la solicitud.

149
10061.htm y
10061R.htm
El servidor web especificado no pudo establecer una conexin. Normalmente sucede al intentar establecer conexin con un servicio inactivo del
servidor.
11001.htm y
11001R.htm
No se encontr el host especificado.
11002.htm y
11002R.htm
No se pudo establecer contacto con el servidor de nombres DNS para el host especificado.
11004.htm y
11004R.htm
No se encontr el host.
12206.htm y
12206R.htm
Se ha detectado una configuracin de bucle de cadena de proxy. Podra indicar un problema de configuracin del proxy.
12221R.htm El certificado de cliente utilizado para establecer la conexin SSL con el equipo de Forefront TMG no procede de una entidad de certificacin
(CA) de confianza.
12222R.htm El certificado de cliente utilizado para establecer la conexin SSL con el equipo de Forefront TMG no es aceptable. No se cumplieron las
restricciones del certificado de cliente.
12223.htm y
12223R.htm
El sistema de proteccin contra intrusiones (IPS) bloque la pgina.
12224.htm El certificado de servidor SSL proporcionado por un servidor de destino todava no es vlido.
12225.htm El certificado de servidor SSL proporcionado por un servidor de destino ha expirado.
12226.htm El equipo local no confa en la entidad de certificacin que emiti el certificado de servidor SSL proporcionado por un servidor de destino.
12227.htm El nombre que consta en el certificado de servidor SSL proporcionado por un servidor de destino no coincide con el nombre del host solicitado.
12228.htm El certificado SSL proporcionado por un servidor de destino no se puede utilizar para validar el servidor porque no es un certificado de servidor.
12229.htm El sitio web requiere un certificado de cliente, pero no se puede proporcionar un certificado de cliente cuando la inspeccin de HTTPS se aplica a
la solicitud.
12230.htm La entidad de certificacin que emiti el certificado de servidor SSL proporcionado por un servidor de destino lo ha revocado.
12231.htm Forefront TMG deneg el Localizador uniforme de recursos (URL) especificado. (Esta pgina se usa cuando la regla de denegar se establece para
mostrar la categora de URL pero no el mensaje personalizado; [URLCATEGORY] se reemplazar con el nombre de la categora).
mostrar el mensaje personalizado pero no la categora de URL; [ADMINMESSAGE] se reemplazar con el mensaje personalizado).
mostrar tanto el mensaje personalizado como la categora de URL; [URLCATEGORY] se reemplazar con el nombre de la categora y
[ADMINMESSAGE] se reemplazar con el mensaje personalizado).
Crear mensajes de error HTML personalizados
Adems de modificar los archivos existentes, puede crear mensajes de error HTML adicionales personalizados para su organizacin. Hay dos archivos de error HTML
predeterminados en la carpeta \ErrorHtmls que se pueden utilizar como plantillas para crear pginas de mensajes de error HTML adicionales:

DEFAULT.htm (clientes internos)

DEFAULTR.htm (clientes externos)
Puede modificar estos archivos .htm predeterminados como lo hara con cualquier pgina HTML. Guarde los mensajes de error que cree con el formato CdigoError.htm.
Modifquelos como se indica a continuacin:
1. Reemplace [ERRORNUM] con el cdigo de error correspondiente.
2. Reemplace [ERRORTEXT] con el texto del mensaje de error correspondiente.
3. Reemplace [SERVERNAME] con el nombre del servidor que devuelve la pgina HTML.
4. Reemplace [VIAHEADER] con la cadena de mensaje del encabezado Via que recibe el equipo con Forefront TMG.
Puede utilizar grficos insertados en forma de archivos .gif o .jpg en sus mensajes de error HTML personalizados. Sin embargo, estos archivos deben almacenarse en un
directorio compartido independiente en el equipo con Forefront TMG, y deben usarse direcciones URL completas en los archivos de los mensajes de error HTML para
sealar a los grficos insertados.
Despus de modificar los mensajes existentes o despus de crear mensajes nuevos, reinicie el servicio de proxy web para que los cambios surtan efecto.
Almacenar en memoria cach el contenido del sitio web
Forefront TMG implementa una caracterstica de cach que mejora el rendimiento y los tiempos de respuesta a las solicitudes web. El almacenamiento en cach de salida
proporciona objetos web almacenados en la memoria cach a los usuarios internos que realizan solicitudes en Internet, proporcionando as acceso ms rpido y trfico

150
reducido en la conexin a Internet. En los temas de esta seccin se describe cmo habilitar y configurar el almacenamiento en cach, cmo crear reglas que especifiquen el
contenido que debe almacenarse en cach y cmo crear trabajos de descarga de contenido para especificar cmo debe recopilarse el contenido.
En esta seccin

Habilitar el almacenamiento en memoria cach

Configurar reglas de cach

Configurar trabajos de descarga de contenido
Habilitar el almacenamiento en memoria cach
Forefront TMG implementa una memoria cach de objetos solicitados con frecuencia para mejorar la velocidad de acceso web y el rendimiento de la red. Para habilitar el
almacenamiento en cach, debe asignar especficamente espacio de disco a la memoria cach. De manera predeterminada, despus de la instalacin no existe espacio
definido para la memoria cach. Puede habilitar el almacenamiento en cach al ejecutar el Asistente para acceso web o puede habilitarlo con las instrucciones de este tema.
Los siguientes procedimientos describen cmo habilitar el almacenamiento en cach y cmo configurar la forma en que los objetos estn almacenados en cach y los objetos
expirados se atienden desde la memoria cach.
Para habilitar el almacenamiento en cach
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso web y, en Tareas relacionadas, haga clic en Configurar
almacenamiento en cach web.
2. En la ficha Unidades de cach, seleccione la entrada del servidor y haga clic en Configurar.
3. Seleccione la unidad necesaria y, en Tamao mximo de cach, especifique el tamao mximo en megabytes. Haga clic en Establecer para guardar la
configuracin. Haga clic en Restablecer para definir de nuevo el valor en 0. El tamao mximo para un nico archivo de memoria cach es 64 GB. Si es
necesario un almacenamiento en cach mayor, puede dividirlo entre varios archivos de distintas unidades.
Nota:
La memoria cach solo se puede habilitar en una unidad de disco con el sistema de archivos NTFS.
4. Para deshabilitar el almacenamiento en cach, establezca el tamao de unidad de cach en 0. Compruebe las reglas de cach antes de deshabilitar el
almacenamiento en cach. El contenido que se atiende solo desde la memoria cach no estar disponible si el almacenamiento en cach est deshabilitado.
5. Para configurar las propiedades avanzadas del almacenamiento en cach, deje abierto el cuadro de dilogo Configuracin de la memoria cach y contine con el
siguiente procedimiento.
Para configurar la forma en que se almacenan en cach los objetos y la forma en que se atienden los objetos expirados desde la memoria cach
1. En el cuadro de dilogo Configuracin de la memoria cach, haga clic en la ficha Opciones avanzadas.
2. Deje la configuracin predeterminada Almacenar en cach los objetos sin fecha de ltima modificacin especificada habilitada para especificar que esas pginas
u objetos que no tienen marca de tiempo de la ltima modificacin se puedan seguir almacenando en cach.
3. Deje la configuracin predeterminada Almacenar en cach los objetos, aunque no tengan un cdigo de estado HTTP de 200 para especificar que las pginas sin
este cdigo de estado deben almacenarse en cach. El cdigo de estado HTTP 200 es una respuesta de confirmacin a un servidor web que indica que se ha
satisfecho una solicitud y que se ha obtenido una pgina completa.
4. En Tamao mximo de la direccin URL de cach en memoria, especifique el lmite mximo de tamao de los objetos que se pueden almacenar en la memoria.
Esto impide el excesivo almacenamiento en cach de objetos grandes, como grficos. Un lmite demasiado bajo puede entorpecer el rendimiento del
almacenamiento en cach, ya que los objetos se atienden con mayor rapidez desde la memoria cach (RAM).
5. Seleccione No devolver el objeto expirado (devolver una pgina de error) para especificar que no debe utilizarse el almacenamiento en cach con resultados
negativos. El almacenamiento en cach con resultados negativos permite especificar en qu circunstancias los objetos de cach expirados deben devolverse a los
usuarios cuando un servidor web solicitado no est disponible.
6. Seleccione Devolver el objeto cuando haya expirado slo si la expiracin fue para indicar que en algunas circunstancias se debe devolver un objeto expirado. A
continuacin, seleccione una de las siguientes opciones:

Seleccione En un valor inferior a este porcentaje del perodo de vida original para especificar durante cunto tiempo debe servirse desde la memoria
cach un objeto expirado segn un porcentaje del perodo de vida original (TTL). En cada regla de cach que se crea, se especifica un valor TTL. Por
ejemplo, si especifica un valor de 59, el perodo de tiempo mximo durante el cual se devuelve el objeto expirado es del 50 por ciento del valor TTL
original.

Seleccione Pero no superior a (minutos) para indicar que no debe devolverse un objeto expirado si el tiempo de expiracin era mayor que el nmero
de minutos especificado, aunque se encuentre dentro del valor TTL especificado anteriormente.
7. En Porcentaje de memoria disponible que se usar para almacenar en cach, especifique el porcentaje de RAM para el almacenamiento en cach. El valor
predeterminado es 10%.
Las reglas de cach de Forefront TMG especifican los tipos de contenido almacenados en cach, as como la forma en que se atienden los objetos desde la memoria cach.
Puede configurar las reglas de cach mediante el Asistente para nueva regla de cach, tal como se indica a continuacin:
Para configurar las reglas de cach
2. En la ficha Tareas, haga clic en Configurar el almacenamiento en cach de web.
3. En la ficha Reglas de cach, haga clic en Nueva. Siga las instrucciones del asistente y tenga en cuenta lo siguiente:
a. En la pgina Almacenar el contenido en cach, al seleccionar almacenar en cach Contenido dinmico, si los encabezados de origen y de solicitud
indican almacenamiento en cach, Forefront TMG almacenar en cach los objetos recuperados, incluso si no estn marcados para almacenarse en
cach.
b. En la pgina Almacenar el contenido en cach, al seleccionar almacenar en cach Contenido que requiere autenticacin de usuario para recuperarse, si
los encabezados de origen y de solicitud indican almacenamiento en cach, Forefront TMG almacenar en cach el contenido solicitado por los
usuarios autenticados. Despus, servir el contenido desde la cach sin comprobar los permisos de acceso, los usuarios no autenticados pueden tener
acceso a la cach.
c. En la pgina Configuracin avanzada de la cach, el valor Almacenar en cach respuestas SSL se aplica al trfico con puente. El trfico del tnel SSL
no se almacena en cach. Esto significa que se puede almacenar el trfico SSL en escenarios de almacenamiento en cach inversa, en los que los sitios
web internos se publican a travs de SSL y la solicitud SSL se termina en el firewall de Forefront TMG. Las solicitudes SSL salientes a Internet no se
pueden almacenar en cach.

151
d. En la pgina Almacenamiento en cach HTTP, la configuracin Establecer TTL de objetos (% de la edad de contenido) indica a Forefront TMG que
mantenga los objetos vlidos en la memoria cach segn la configuracin de TTL. La configuracin de TTL se basa en el TTL definido en el
encabezado de respuesta y los lmites de TTL definidos en la regla de cach. El porcentaje de edad de contenido es un porcentaje del tiempo de la
existencia del contenido. Cuanto mayor sea el porcentaje, menor es la frecuencia de actualizacin de la cach.
Configurar trabajos de descarga de contenido
Los trabajos de descarga de contenido de Forefront TMG actualizan de forma proactiva la memoria cach para anticiparse a las solicitudes de cliente, lo que mejora el
rendimiento y ahorra ancho de banda. En el siguiente procedimiento se describe cmo configurar un trabajo de descarga de contenido:
Configurar un trabajo de descarga de contenido
Para configurar un trabajo de descarga de contenido
2. En la ficha Tareas, haga clic en Configurar el almacenamiento en cach de web.
3. En la ficha Descarga de contenido, haga clic en Nueva. Siga las instrucciones del asistente y tenga en cuenta lo siguiente:
a. Los trabajos de descarga slo se puede ejecutar si el servicio Programador de trabajos de Forefront TMG est en ejecucin.
b. La seleccin de Almacenar todo el contenido en cach incluye las respuestas de redireccin (301, 302 y 307).
Configurar BranchCache en Forefront TMG (SP1)
Importante:
La informacin de este tema solo es relevante para Forefront TMG SP1 y en equipos que estn ejecutando Windows Server 2008 R2.
En este tema se describe cmo habilitar y configurar BranchCache en el modo Cach hospedada en Forefront TMG. BranchCache es una tecnologa de optimizacin de
ancho de banda de red de rea extensa (WAN) que se incluye en algunas ediciones de los sistemas operativos Windows Server 2008 R2 y Windows 7. Para optimizar el
ancho de banda WAN, BranchCache copia el contenido de los servidores de contenido de oficina principal y almacena en la memoria cach el contenido en ubicaciones de
sucursal, permitiendo a los equipos cliente de las sucursales el acceso al contenido localmente en lugar de a travs del WAN. Puede configurar Forefront TMG para
hospedar la memoria cach en el modo Cach hospedada. Para obtener ms informacin, vea Planeacin para BranchCache (SP1).
Para habilitar BranchCache en Forefront TMG
2. En el panel Tareas, haga clic en Configurar BranchCache.
3. En la ficha General, seleccione Habilitar BranchCache (modo Cach hospedada).
4. En la ficha Autenticacin, haga clic en Seleccionar y seleccione el certificado adecuado en la lista.
Nota:
Si Forefront TMG forma parte de un grupo de trabajo, no seleccione Requerir a los equipos cliente que sean miembros del mismo dominio que Forefront TMG.
5. En la ficha Almacenamiento, revise la configuracin para la ubicacin de la memoria cach y su tamao relativo para la particin, y modifquela en caso
necesario.
Configurar acceso VPN
Forefront TMG proporciona acceso de red privada virtual (VPN) a la red corporativa interna para los clientes en redes remotas y los clientes mviles que se conectan a
travs de Internet. En los siguientes temas se proporciona informacin acerca de cmo configurar el acceso VPN en Forefront TMG:

Configurar el acceso VPN de sitio a sitio: describe cmo crear una conexin VPN a una red remota. Esto permite a los clientes de la red remota obtener acceso a
los recursos de la red corporativa con una elevada seguridad, a la vez que los clientes de la red corporativa pueden obtener acceso a los recursos del sitio remoto.

Configurar el acceso VPN de cliente remoto: describe cmo permitir a los usuarios que trabajan de forma remota conectarse a la red corporativa a travs de
Internet con alta seguridad.
Configurar el acceso VPN de sitio a sitio
Con Forefront TMG, puede permitir a los clientes de las redes remotas conectarse a los recursos de su red corporativa estableciendo un conexin a redes privadas virtuales
(VPN) de sitio a sitio. En los temas siguientes se describe cmo configurar una conexin VPN de sitio a sitio:

Crear una cuenta de usuario para autenticar el sitio remoto: describe cmo crear una cuenta de usuario de manera que el sitio remoto se pueda autenticar a la
puerta de enlace VPN.

Crear una conexin de sitio remoto VPN: proporciona instrucciones paso a paso para crear una conexin del sitio remoto con el asistente para Crear conexin de
VPN de sitio a sitio.

Probar la configuracin (sitio a sitio): describe cmo probar la conectividad de sitio a sitio intentando obtener acceso a un equipo de la red remota.

Configurar las direcciones para los sitios remotos habilitados con NLB: describe las consideraciones especiales al trabajar con sitios remotos que usan el
Equilibrio de carga en la red.

Configurar la autenticacin EAP: describe cmo completar la configuracin de las redes del protocolo de tnel punto a punto (PPTP) y el protocolo de tnel de
capa dos (L2TP), con el protocolo de autenticacin extensible (EAP).

Finalizar automticamente las conexiones VPN inactivas: describe cmo configurar Forefront TMG para finalizar las conexiones inactivas en las redes VPN del
PPTP y del L2TP.
Crear una cuenta de usuario para autenticar el sitio remoto

152
En el siguiente procedimiento se describe cmo crear una cuenta de usuario de manera que el sitio remoto se pueda autenticar en la puerta de enlace de VPN. Solo se debe
crear una cuenta de acceso telefnico para redes PPTP (protocolo de tnel punto a punto) o L2TP (protocolo de tnel de capa dos). No se crea una cuenta de acceso
telefnico para redes IPsec (seguridad del protocolo Internet).
Crear una cuenta de usuario para la puerta de enlace de sitio remoto
Para crear una cuenta de usuario para la puerta de enlace de sitio remoto
1. En el servidor de Forefront TMG, haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Administracin de equipos.
2. En el rbol de la consola Administracin de equipos, haga clic en Herramientas del sistema, en Usuarios y grupos locales y, a continuacin, en Usuarios.
3. En el panel de detalles, haga clic con el botn secundario en el usuario correspondiente y, a continuacin, haga clic en Propiedades.
4. En la ficha Marcado, en Permiso de acceso remoto (acceso telefnico o red privada virtual), seleccione Permitir acceso.
Nota:
Para que la red remota inicie una conexin con la red local, debe configurarse un usuario con propiedades de acceso telefnico configurado en la red local. La cuenta
de usuario y la red de sitio a sitio deben tener el mismo nombre. Por ejemplo, si crea una red de sitio a sitio en el SitioA que representa el SitioB, tambin debe crear
un usuario denominado SitioB. El SitioB se conecta al SitioA con las credenciales del usuario denominado SitioB.
En un entorno de dominio, defina los permisos de acceso remoto en la cuenta de usuario basada en el dominio de Active Directory.
Crear una conexin de sitio remoto VPN
El Asistente para la creacin de nueva red VPN de sitio a sitio ayuda a configurar Forefront TMG para crear una conexin de red privada virtual (VPN) desde un sitio
remoto a su red corporativa.
En el asistente, puede realizar las siguientes tareas:

Especificar un protocolo de trfico VPN.

Asignar direcciones IP a la conexin del cliente VPN remota.

Especificar la cuenta usada para autenticar en el sitio remoto.

Configurar la autenticacin para el sitio remoto.

Especificar un mtodo de autenticacin de IPsec.

Especificar intervalos de direcciones IP de la red del sitio remoto.

Crear una regla de red para enrutar el trfico a la red remota y desde ella.

Crear una regla de acceso para permitir el trfico a la red remota y desde ella.
Despus de ejecutar el asistente, puede configurar los valores adicionales para habilitar la conexin VPN.
En el siguiente procedimiento se describe cmo configurar una VPN de sitio a sitio en Forefront TMG.
Crear una conexin de sitio remoto VPN
Para crear una red VPN de sitio a sitio
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Directiva de acceso remoto (VPN).
2. En el panel de detalles, haga clic en la ficha Sitios remotos.
3. En la ficha Tareas, haga clic en Crear conexin VPN de sitio a sitio.
4. En el asistente Crear conexin VPN de sitio a sitio, siga las instrucciones en pantalla y tenga en cuenta lo siguiente:
a. En la pgina Bienvenido, en el cuadro de texto Nombre de la red de sitio a sitio, debe escribir el nombre exacto de la puerta de enlace de la red remota.
b. Tenga en cuenta lo siguiente acerca del protocolo de tunelizacin del protocolo de tnel de seguridad del protocolo Internet (IPsec):

Si se crea o modifica una red de sitio remoto que utiliza IPsec, se debe reiniciar el servicio Microsoft Firewall de modo que los filtros IPsec
se puedan modificar para reflejar la nueva configuracin. Este proceso puede tardar varios minutos, en funcin del nmero de subredes
incluidas en los intervalos de direcciones de la red. Para reducir el efecto, se recomienda definir intervalos de direcciones IP que estn
alineados con los lmites de las subredes.

Si detiene o reinicia el servicio PolicyAgent de IPSec, se pierde toda la informacin de la configuracin dinmica de IPsec, incluidos los
valores de la configuracin IPsec de la VPN de sitio a sitio de Forefront TMG, y los clientes de VPN se desconectan. Para restaurar la
configuracin, inicie el servicio PolicyAgent o reinicie el servicio de firewall.
c. Si el servidor de Forefront TMG es miembro de una matriz, en la pgina Propietario de conexin, haga clic en el miembro de la matriz que actuar
como el extremo del tnel de VPN en la matriz. Si el Equilibrio de carga en la red (NLB) se habilita para la matriz, no tiene que especificar un
propietario de la conexin; se asignar automticamente.
d. Si usa la autenticacin de certificado con el protocolo VPN L2TP/IPSec, es necesario que los servidores de Forefront TMG de ambos lados de la VPN
tengan certificados digitales de la misma entidad de certificacin. Tenga en cuenta que la autenticacin del certificado es la recomendada y el mtodo
de protocolo ms seguro.
e. Al especificar un intervalo de direcciones para el servidor VPN remoto en la pgina Direcciones de red, debe coincidir con la mscara de subred y la
definicin de red exacta del sitio remoto.
5. Para ver un resumen de la configuracin de red VPN de sitio a sitio, haga clic con el botn secundario en la red seleccionada y, a continuacin, haga clic en
Resumen de sitio a sitio en la ficha Sitios remotos.
Probar la configuracin (sitio a sitio)
Una vez configurada la VPN de sitio a sitio, puede probar la conexin intentando tener acceso a un equipo de la red remota desde un equipo de la red local (para el que las
reglas de red y la directiva de acceso permiten el acceso). Si puede tener acceso al equipo de la red remota, habr configurado correctamente la conexin VPN de sitio a
sitio.
Comprobacin de la conectividad VPN de sitio a sitio
Para comprobar la conectividad VPN de sitio a sitio
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Supervisin.
2. En el panel de detalles, en la ficha Sesiones, compruebe si aparece su sesin VPN. La sesin de la VPN de sitio a sitio tiene las siguientes propiedades:

Tipo de sesin muestra VPN de sitio a sitio.

Nombre de host de cliente muestra la direccin IP pblica del servidor VPN remoto (si la sesin la inici el servidor VPN local, este campo estar
vaco).

IP de cliente muestra que la direccin IP asignada para la sesin VPN.

153

Nombre de aplicacin muestra que es una conexin VPN e indica adems el protocolo usado para la conexin. Nombre de aplicacin no aparece de
forma predeterminada. Para agregarlo, haga clic con el botn secundario en uno de los encabezados de columna en la ficha Sesiones y haga clic en
Nombre de aplicacin.
3. Para crear un filtro de sesin que solo muestre sesiones de VPN de sitio a sitio:
a. En la ficha Tareas, haga clic en Modificar filtro.
b. En el cuadro de dilogo Modificar filtro, en Filtrar por, seleccione Tipo de sesin. En Condicin, seleccione Igual a; y en Valor, seleccione Sitio VPN
remoto.
c. Haga clic en Agregar a la lista y, a continuacin, en Iniciar consulta. Debe hacer clic en Iniciar consulta para guardar el filtro.
Configurar las direcciones para los sitios remotos habilitados con NLB
Al configurar direcciones para sitios remotos habilitados con NLB, tenga en cuenta lo siguiente:

La direccin que especifica para el extremo del tnel remoto debe ser la direccin IP virtual de la matriz habilitada con NLB.

Al crear la red del sitio remoto, especifique todas las direcciones en el sitio remoto.

Para las redes del protocolo de seguridad de Internet (IPsec), proxy HTTP o trfico de traduccin de direcciones de red (NAT) entre sitios, debe incluir todas las
direcciones IP dedicadas de los adaptadores de red asociados a la red del sitio remoto. Las direcciones IP de origen para el proxy HTTP y el trfico NAT desde
sitios remotos estn sujetas a la traduccin de direcciones (en el lado remoto), de modo que el sitio local ve el trfico como si llegara de la direccin IP primaria
del sitio remoto; es decir, desde su direccin IP dedicada.

Cuando la red de sitio remoto es una matriz habilitada para NLB, la conexin inicial de esta matriz de equipos servidores Forefront TMG se har en la direccin
IP virtual del equipo. El tnel se establecer desde una de las direcciones IP dedicadas en la matriz remota. Por este motivo, debe especificar todas las direcciones
IP dedicadas como extremos de tnel remoto adicionales. Esto slo se admite en redes VPN de Enrutamiento y acceso remoto (RRAS) (PPTP y L2TP).
Configurar la autenticacin EAP
Si crea una red de sitio remoto de VPN (red privada virtual) que use una conexin de protocolo de tnel punto a punto (PPTP), y selecciona el Protocolo de autenticacin
extensible (EAP) como protocolo de autenticacin, es necesario completar la configuracin de EAP. La configuracin de EAP se realiza con el complemento Enrutamiento y
acceso remoto de Microsoft Management Console (MMC).
Finalizacin de la configuracin de EAP
Para finalizar la configuracin de EAP
1. En el equipo de Forefront TMG, haga clic en Inicio, en Herramientas administrativas y, a continuacin, haga clic en Enrutamiento y acceso remoto.
2. En el complemento Enrutamiento y acceso remoto de MMC, seleccione el nodo Interfaces de red.
3. Cuando haya aplicado los cambios en la configuracin de Forefront TMG, se crear una interfaz de marcado a peticin con el mismo nombre especificado para la
red. Seleccione esta interfaz de marcado a peticin y, a continuacin, haga clic en Propiedades.
4. En la ficha Seguridad, debera seleccionarse la opcin de configuracin avanzada personalizada. Haga clic en Configuracin para abrir la configuracin avanzada
de seguridad.
5. Seleccione el protocolo de autenticacin extensible (EAP) que va a usar y, a continuacin, haga clic en Propiedades para configurar el protocolo en funcin del
proveedor EAP.
Finalizar automticamente las conexiones VPN inactivas
En este tema se describe cmo configurar Forefront TMG para finalizar las conexiones inactivas en las redes VPN del protocolo de tnel punto a punto (PPTP) y el
protocolo de tnel de capa dos (L2TP).
Finalizar automticamente las conexiones VPN inactivas
Para finalizar automticamente las conexiones VPN inactivas
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Redes privadas virtuales (VPN).
2. En el panel de detalles, haga clic en la ficha Sitios remotos y, a continuacin, seleccione la red remota correspondiente (nicamente las redes PPTP y L2TP).
4. En el cuadro de lista Anular conexiones inactivas despus de de la ficha Conexin, seleccione el tiempo que puede permanecer inactiva una sesin antes de
anularla.
Configurar el acceso VPN de cliente remoto
Habilitar el acceso remoto a travs de una red privada virtual (VPN) permite a los usuarios que trabajan de forma remota conectarse con la red privada de una organizacin a
travs de Internet. Para obtener informacin acerca de cmo planear la implementacin de VPN, vea Planeacin para las redes privadas virtuales. En los siguientes temas se
proporciona informacin acerca de cmo configurar el acceso de cliente remoto a travs de una VPN en Forefront TMG:

Definir clientes de VPN remotos

Habilitar el acceso bsico al cliente remoto

Configurar el acceso de cliente remoto con seguridad mejorada

Instalar la herramienta de cuarentena de acceso remoto

Configurar un control de cuarentena basado en RQS y RQC

Aplicacin de los requisitos de mantenimiento de cliente de VPN con NAP
Definir clientes de VPN remotos
En este tema se describe cmo configurar usuarios y grupos para el acceso VPN remoto. La definicin de los clientes de VPN remotos consta de los siguientes pasos:

Crear usuarios y grupos para clientes de VPN remotos: especifique y configure las cuentas de usuario que pueden conectarse a Forefront TMG como clientes de
VPN remotos. Los usuarios se pueden identificar como usuarios RADIUS (Servicio de autenticacin remota telefnica de usuario) o como usuarios de Windows.

Configurar los grupos de dominio para el acceso remoto: especifique los grupos de dominio que permiten el acceso VPN.

154

Habilitar la asignacin de usuarios para los clientes que se autentican a travs de RADIUS o EAP (opcional): habilite la asignacin de usuarios si piensa usar la
autenticacin RADIUS o EAP, y el equipo de Forefront TMG es miembro del dominio.
Crear usuarios y grupos para clientes de VPN remotos
Tenga en cuenta que los grupos y los usuarios se configuran en "Administracin de equipos" de Microsoft Management Console.
Para crear usuarios y grupos
1. Haga clic en Inicio, luego en Ejecutar, escriba compmgmt.msc y, a continuacin, presione INTRO.
2. En la ventana Administracin de equipos, haga clic en Usuarios y grupos locales, haga clic con el botn secundario en Grupos y, a continuacin, seleccione
Nuevo grupo.
3. En Nuevo grupo, escriba un nombre para el grupo, haga clic en Crear y, despus, en Cerrar.
4. Haga clic en Usuarios. Por cada usuario que desee que tenga acceso VPN remoto, realice lo siguiente:
a. Haga doble clic en el usuario para mostrar sus propiedades.
b. En la ficha Miembro de, haga clic en Agregar.
c. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre del grupo y, a continuacin, haga clic en Aceptar.
d. En la ficha Marcado, seleccione Controlar acceso a travs de la directiva de acceso remoto y, a continuacin, haga clic en Aceptar.
Importante:
nicamente los usuarios que tengan propiedades de marcado configuradas pueden utilizar Forefront TMG para el acceso de cliente de VPN remoto.
Nota:
Cuando se configura un acceso de cliente de VPN para especificar los grupos locales que tienen acceso remoto, slo se pueden agregar los grupos siguientes:
HelpServicesGroup
IIS_WPG
TelnetClients
No se pueden agregar otros grupos locales integrados, como Administradores, Operadores de copia de seguridad o Usuarios avanzados. Estos grupos locales son
genricos e Forefront TMG no distingue entre administradores locales y administradores de dominio.
Nota:
En los dominios de Active Directory en modo nativo, las cuentas de dominio tienen acceso de marcado controlado, de forma predeterminada, por la directiva de
acceso remoto. En los dominios de Active Directory en modo no nativo (mixtos), debe habilitar el acceso de marcado para las cuentas de usuario del dominio que
requieran acceso de VPN. Seleccione, para cada cuenta, Permitir acceso en la ficha Marcado.
Configurar los grupos de dominio para el acceso remoto
Utilice el siguiente procedimiento para permitir que los miembros de los grupos de dominio obtengan acceso a la VPN de forma remota.
Para permitir el acceso remoto a los miembros de los grupos de dominio
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN).
2. En el panel de detalles, haga clic en la ficha Clientes de VPN.
3. En la ficha Tareas, haga clic en Configurar acceso de clientes de VPN.
4. En la ficha Grupos, haga clic en Agregar.
5. Escriba los nombres de los usuarios o los grupos que pueden obtener acceso a la red de clientes de VPN.
Habilitar la asignacin de usuarios para los clientes que se autentican a travs de RADIUS o EAP (opcional)
Use el siguiente procedimiento para asegurarse de que las reglas de acceso de la directiva de firewall que se aplica a los conjuntos de usuarios para los usuarios y grupos de
Windows tambin se aplican a los clientes de VPN que se autentican en la red a travs de RADIUS o EAP. Para ello, debe habilitar la asignacin de usuarios.
Para habilitar la asignacin de usuarios
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN).
2. En el panel de detalles, haga clic en la ficha Clientes de VPN.
4. En la ficha Asignacin de usuarios, haga clic en Habilitar asignacin de usuarios.
5. Si el nombre de usuario que va a asignar no incluye un nombre de dominio, seleccione Usar este dominio cuando el nombre de usuario no contenga un dominio y
escriba el nombre de dominio que se usar.
Nota:
Si el servidor RADIUS e Forefront TMG se encuentran en dominios distintos (o si uno est en un grupo de trabajo), la asignacin de usuarios solo se admite
para la autenticacin del protocolo de autenticacin de contrasea. No utilice la asignacin de usuarios si est configurado cualquier otro mtodo de
autenticacin.
La asignacin de usuarios solamente se puede usar cuando Forefront TMG est instalado en un dominio. No habilite la asignacin de usuarios en un entorno de
grupo de trabajo.
La caracterstica de asignacin de usuarios slo se requiere cuando crea una directiva de firewall basada en grupos. Para crear una directiva basada en usuarios,
puede definir conjuntos de usuarios con espacios de nombres RADIUS en su lugar.
Habilitar el acceso bsico al cliente remoto
En este tema se describe cmo habilitar el acceso bsico para los clientes remotos con una red privada virtual (VPN). Despus de finalizar los procedimientos que se indican
a continuacin, y de comprobar que dispone de conectividad VPN, se recomienda que implemente un nivel superior de seguridad, como se detalla en Configurar el acceso de
cliente remoto con seguridad mejorada. Para habilitar el acceso de cliente remoto bsico, complete los siguientes procedimientos:

Asignar direcciones IP a clientes de VPN remotos: especifique la manera en la que los clientes de VPN reciben direcciones IP al conectarse a la red corporativa.

155

Configurar redes de acceso de cliente de VPN y mtodos de autenticacin: especifique las redes desde las que los clientes de VPN pueden iniciar conexiones
VPN y compruebe que MS-CHAPv2 es el nico mtodo de autenticacin habilitado.

Habilitar el acceso de cliente de VPN y establecer el protocolo de tnel: habilite la red privada virtual en Forefront TMG para clientes remotos y compruebe que
el protocolo de tnel punto a punto (PPTP) es el nico protocolo de tnel habilitado.

Probar la conectividad VPN bsica: inicia una conexin VPN de una red externa y supervisa el uso del acceso remoto y los intentos de autenticacin mediante el
visor Sesiones.
Requisitos previos
Antes de comenzar, se recomienda que cree un grupo Clientes de VPN como se describe en el procedimiento "Crear usuarios y grupos para clientes de VPN remotos" en
Definir clientes de VPN remotos.
Asignar direcciones IP a clientes de VPN remotos
Para asignar direcciones IP a clientes de VPN remotos
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la
ficha Clientes de VPN.
2. En el panel de detalles, haga clic en Configurar mtodo de asignacin de direcciones.
3. En la ficha Asignacin de direcciones, seleccione una de las siguientes opciones:

Grupo de direcciones estticas: si desea asignar direcciones estticas a los clientes de VPN remotos.

Protocolo de configuracin dinmica de host (DHCP): si desea asignar direcciones a los clientes VPN remotos de manera dinmica.
Nota:
Puede configurar Forefront TMG con el fin de usar un servidor DHCP para asignar direcciones IP para clientes remotos de VPN slo para matrices de servidor nico.
Use la asignacin de direcciones de grupo esttico siempre que haya varios miembros de matriz.
4. Si ha seleccionado Grupo de direcciones estticas, proceda del modo siguiente:
b. En las matrices con ms de un miembro de matriz, en Seleccione el servidor, seleccione el miembro de matriz para el que est definiendo el grupo de
direcciones estticas.
Nota:
En una implementacin con varios miembros de matriz, un cliente VPN puede conectarse a cualquiera de ellos. Esta configuracin define qu grupo de direcciones
puede usar cada miembro de la matriz. Los grupos de direcciones para cada miembro de matriz no deben coincidir con el grupo de direcciones de cualquier otro
miembro de la matriz.
c. En Direccin inicial, escriba la primera direccin del intervalo de direcciones que desea asignar a los clientes de VPN.
d. En Direccin final, escriba la ltima direccin del intervalo de direcciones que desea asignar a los clientes de VPN.
e. Haga clic en Aceptar para cerrar el cuadro de dilogo.
5. En Usar la siguiente red para obtener servicios DHCP, DNS y WINS, seleccione la red en la que se encuentran los servidores de resolucin de nombres.
6. Si desea configurar los valores de servidor WINS y DNS, haga clic en Opciones avanzadas.
. Establezca la configuracin de la direccin de servidor DNS seleccionando una de las siguientes opciones:

Obtener direcciones de servidor DNS por medio de la configuracin DHCP.

Usar las siguientes direcciones de servidor DNS: para proporcionar la direccin IP esttica del servidor DNS que deben usar los clientes de
VPN para la resolucin de nombres. Si selecciona esta opcin, en Principal, escriba la direccin IP de un servidor DNS ubicado en la red
interna que puedan usar los clientes de VPN para resolver los nombres de la red interna. En Reserva, escriba la direccin IP de un servidor
DNS ubicado en la red interna que puedan usar los clientes de VPN para resolver los nombres de la red interna cuando el servidor DNS
principal no est disponible.
a. Establezca la configuracin de la direccin del servidor WINS seleccionando una de las siguientes opciones:

Obtener direcciones de servidor WINS por medio de la configuracin DHCP: si los clientes VPN deberan obtener el servidor WINS con
una configuracin de DHCP.

Usar las siguientes direcciones de servidor WINS: para proporcionar la direccin IP esttica del servidor WINS que deben usar los clientes
de VPN para la resolucin de nombres. Si selecciona esta opcin, en Principal, escriba la direccin IP de un servidor WINS ubicado en la
red interna que puedan usar los clientes de VPN para resolver los nombres en la red interna. En Reserva, escriba la direccin IP de un
servidor WINS ubicado en la red interna que puedan usar los clientes de VPN para resolver los nombres en la red interna cuando el
servidor DNS principal no est disponible.
7. Si no ha especificado grupos o usuarios de acceso remoto, vea Definir clientes de VPN remotos.
8. Deje la ventana Propiedades de directiva de acceso remoto (VPN) abierta para el prximo paso al habilitar el acceso al cliente remoto bsico (VPN).
Nota:
Las direcciones asignadas a travs de Active Directory (en la ficha Marcado de las propiedades de usuario de Administracin de equipos) no se pueden usar en
matrices con ms de un servidor miembro.
Configurar redes de acceso de cliente de VPN y mtodos de autenticacin
Para configurar redes de acceso de cliente de VPN y mtodos de autenticacin
1. Haga clic en la ficha Redes de acceso de la ventana Propiedades de Directiva de acceso remoto (VPN).
2. Compruebe que la red Externa est seleccionada y active la casilla para cualquier otra red desde la cual los clientes iniciarn las conexiones al servidor VPN.
3. Haga clic en la ficha Autenticacin en la ventana Propiedades de Directiva de acceso remoto (VPN).
4. Compruebe que la opcin Autenticacin cifrada de Microsoft versin 2 (MS-CHAPv2) est seleccionado y desactive cualquier otro mtodo de autenticacin.
5. Haga clic en Aceptar para guardar los cambios y, a continuacin, en la barra Aplicar cambios, haga clic en Aplicar.
Habilitar el acceso de cliente de VPN y establecer el protocolo de tnel
Para habilitar el acceso del cliente de VPN y seleccionar un protocolo de tnel
1. En el panel Tareas, haga clic en Configurar acceso de clientes de VPN y en la ficha General, haga clic en Habilitar acceso de clientes de VPN.
Nota:

156
Al habilitar el acceso a cliente de VPN, se habilita tambin una regla de la directiva de sistema denominada Permitir los clientes de VPN al firewall. Esta regla
establece una relacin de ruta entre la red interna y las dos redes de clientes de VPN (clientes de VPN y clientes de VPN en cuarentena).
Cree reglas de acceso para permitir el acceso adecuado a los clientes de VPN. Puede crear, por ejemplo, una regla que permita el acceso desde la red de clientes
de VPN a la red interna en todos los protocolos o en protocolos especficos.
2. Si es necesario, ajuste el nmero mximo de clientes conectados de manera simultnea Mximo de clientes de VPN permitidos (por miembro de matriz).. La
configuracin predeterminada es 100 y la configuracin mxima es 1000.
3. Haga clic en la ficha Protocolos y compruebe que la opcin Habilitar PPTP est seleccionada.
Sugerencia:
Se recomienda que comience a probar slo la conectividad VPN con el protocolo PPTP. Despus de haber comprobado la conectividad, debera habilitar el protocolo
de tnel de capa dos (L2TP) sobre la autenticacin del protocolo de seguridad de Internet (IPsec) y el protocolo de cifrado para seguridad aumentada. Para obtener
instrucciones, vea Configurar el acceso de cliente remoto con seguridad mejorada.
Probar la conectividad VPN bsica
Para probar la conectividad VPN bsica
1. Con un cliente remoto, inicie una conexin VPN desde una red externa.
3. En la ficha Tareas, haga clic en Supervisar clientes de VPN. El visor Sesiones muestra los datos de los clientes de VPN que estn conectados al Forefront TMG.
Configurar el acceso de cliente remoto con seguridad mejorada
En este tema se describe cmo configurar una conexin VPN ms segura para los clientes de acceso remoto. Para ello, primero se implementa un certificado de equipo en
Forefront TMG y en los clientes de VPN remotos y, a continuacin, se habilita la autenticacin de Protocolo de tnel de capa dos (L2TP) a travs de IPsec (seguridad del
protocolo de Internet) y el protocolo de cifrado para una mayor seguridad, y se habilita el protocolo de autenticacin extensible (EAP).
Requisitos previos
Antes de comenzar, asegrese de completar los pasos descritos en Habilitar el acceso bsico al cliente remoto.
Implementar certificados en Forefront TMG y clientes de VPN
Al configurar el acceso de cliente remoto con seguridad mejorada, debe implementar los certificados en Forefront TMG y en los clientes remotos.
Para implementar certificados en Forefront TMG y clientes de VPN
1. Obtenga un certificado de servidor. Debe configurar una entidad de certificacin (CA) local y solicitar un certificado de servidor o usar un certificado emitido por
una CA comercial.
2. Instale el certificado de servidor.
3. Instale el certificado raz en los equipos cliente.
Habilitar el protocolo de tnel L2TP
Para habilitar el protocolo de tnel L2TP
3. Haga clic en la ficha Protocolos y seleccione Habilitar L2TP.
4. Haga clic en Aceptar y, para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.
Habilitar la autenticacin EAP
Para habilitar la autenticacin EAP
2. En la ficha Tareas, haga clic en Seleccionar los mtodos de autenticacin.
3. En la ficha Autenticacin, seleccione Protocolo de autenticacin extensible (EAP) con tarjeta inteligente u otro certificado.
Habilitar el protocolo de tnel de sockets seguros
El protocolo de tnel de sockets seguros (SSTP) es una forma de tnel de VPN que permite el trfico del transporte del protocolo de punto a punto (PPP) a travs de un canal
de capa de sockets seguros (SSL). Con SSTP mejora la capacidad de las conexiones VPN para atravesar los firewalls y los servidores proxy.
En el procedimiento siguiente se describe cmo habilitar SSTP al configurar una directiva VPN de acceso remoto.
Para habilitar SSTP
2. En el panel de detalles, haga clic en Comprobar propiedades de VPN y en la ficha Protocolos, haga clic en Habilitar SSTP.
3. Haga clic en Configurar y seleccione una escucha de web existente en la lista o haga clic en Nuevo para crear una nueva escucha de web.
Nota:
Puede usar una escucha de web existente si cumple los criterios siguientes:
Escucha el trfico HTTP en el puerto 443.
Solo tiene un certificado.
No se ha configurado en Requerir la autenticacin de los usuarios ni Requerir certificado SSL de cliente.
4. Si ha seleccionado Nuevo, siga las instrucciones que aparecen en la pantalla en el Asistente para nueva escucha de web.
Configurar un control de cuarentena basado en RQS y RQC

157
En este tema se describe la forma de configurar Forefront TMG para colocar en cuarentena a los clientes de una red privada virtual (VPN) con acceso remoto mediante el
servicio de cuarentena de acceso remoto (RQS, Remote Access Quarantine Service) y el cliente de cuarentena de acceso remoto (RQC, Remote Access Quarantine Client).
El control de cuarentena proporciona acceso por fases a la red a los clientes remotos, ya que los limita al modo de cuarentena antes de permitirles obtener acceso a la red.
Dos componentes de software proporcionan un mecanismo para el control de cuarentena. El servicio de cuarentena de acceso remoto (Rqs.exe) se ejecuta en el equipo
Forefront TMG como componente de escucha. El cliente de cuarentena de acceso remoto (Rqc.exe) se ejecuta en el equipo cliente con acceso remoto como componente de
notificacin con el fin de informar al componente de escucha Rqs.exe de que el equipo cliente cumple la directiva de seguridad.
Una vez que la configuracin del equipo cliente se ajusta o se tiene intencin de ajustar a las restricciones de cuarentena especficas de su organizacin, se aplica una
directiva estndar de VPN a la conexin, en funcin del tipo de cuarentena que se especifique.
Habilitar y configurar el control de cuarentena
Para habilitar y configurar el control de cuarentena
2. En la ficha Tareas, haga clic en Configurar el control de cuarentena.
3. En la ficha Cuarentena, haga clic en Habilitar el control de cuarentena.

Poner en cuarentena de acuerdo con las directivas del servidor RADIUS. Cuando un cliente de VPN intenta conectarse, la directiva de Enrutamiento y
acceso remoto determina si la solicitud de conexin se transmite a Forefront TMG. Una vez comprobada la directiva de Enrutamiento y acceso
remoto, el cliente se une a la red de clientes de VPN.

Poner clientes de VPN en cuarentena de acuerdo con las directivas de Forefront TMG. Cuando un cliente VPN intenta conectarse al equipo de
Forefront TMG, Enrutamiento y acceso remoto transfiere incondicionalmente la solicitud a Forefront TMG. Forefront TMG coloca el cliente que se
conecta en la red de clientes VPN en cuarentena, sujeto a la directiva del firewall para dicha red. Cuando el cliente retira la cuarentena, lo desplaza a la
red de clientes de VPN. Cuando selecciona esta opcin, debe deshabilitar la caracterstica de cuarentena de Enrutamiento y acceso remoto para que
pueda establecerse la conexin VPN.
5. Si los clientes en cuarentena deben desconectarse a una hora concreta, seleccione Desconectar usuarios en cuarentena despus de (s) y, a continuacin, escriba los
segundos que debern pasar para que el cliente desaparezca de la red de clientes de VPN en cuarentena y se desconecte de Forefront TMG.
Importante:
Si selecciona esta opcin, debe configurar el control de cuarentena en el equipo de Forefront TMG y en los clientes de VPN remotos que intenten conectarse a la red
corporativa. De lo contrario, los clientes de VPN remotos permanecern en modo de cuarentena hasta que pase el tiempo especificado y se desconecten de Forefront
TMG.
6. Si desea eximir a usuarios determinados del control de cuarentena, haga clic en Agregar y, a continuacin, en Conjuntos de usuarios disponibles, seleccione los
usuarios que deben estar exentos del control de cuarentena.
Nota:
Los usuarios exentos del control de cuarentena se convierten automticamente en miembros de la red de clientes de VPN.
Instalar la herramienta de cuarentena de acceso remoto
En este tema se describe la forma de preparar Forefront TMG como escucha del Agente de cuarentena de acceso remoto (RQS, Remote Access Quarantine Agent). Para ello,
ejecute la herramienta de cuarentena de acceso remoto. Esta herramienta es un script que crea una regla de acceso que permite la comunicacin en el puerto RQS (7250)
desde los clientes VPN y las redes de clientes VPN en cuarentena a la red de host local. Esta regla de acceso habilita a Forefront TMG para recibir el aviso de que el cliente
ha cumplido los requisitos de conexin.
Para configurar Forefront TMG como escucha de RQS
1. Descargue la herramienta en el sitio web de Microsoft TechNet (http://go.microsoft.com/fwlink/?LinkID=153407).
2. Haga clic con el botn secundario en el icono del smbolo del sistema y, a continuacin, seleccione Ejecutar como administrador.
3. En el smbolo del sistema, escriba cscript ConfigureRqs.vbs /install <AllowedSet>.
Nota:
Incluya la ruta de acceso completa del script.
< AllowedSet> es la clave que los clientes deberan enviar cuando cumplen los requisitos para dejar la cuarentena.
Pasos siguientes
Tras ejecutar la herramienta, tendr que crear un perfil de Connection Manager. Para obtener ms informacin, vaya a la biblioteca de Microsoft TechNet
Aplicacin de los requisitos de mantenimiento de cliente de VPN con NAP
En los siguientes temas se describe cmo configurar el Forefront TMG para que trabaje con el cumplimiento de la proteccin de acceso a redes (NAP).
Importante:
Antes de configurar el cumplimiento NAP, se supone que ha configurado su red privada virtual (VPN) y ha comprobado que la conexin VPN est funcionando
correctamente.

Configurar EAP como mtodo de autenticacin para clientes de VPN: describe cmo configurar Forefront TMG para usar el Protocolo de autenticacin
extensible (EAP) para autenticar los clientes de la red privada virtual (VPN).

158

Configurar Forefront TMG como un cliente RADIUS: describe cmo establecer RADIUS como el protocolo de acceso de red y el servidor de directiva de red
(NPS) como el servidor RADIUS primario.

Habilitar el control de cuarentena basado en NAP: describe cmo configurar Forefront TMG para poner en cuarentena los clientes VPN segn las directivas del
servidor RADIUS.

Habilitar la cuarentena para clientes no compatibles con NAP: describe cmo configurar Forefront TMG como escucha del Agente de cuarentena de acceso
remoto (RQS) para admitir clientes heredados.
Configurar EAP como mtodo de autenticacin para clientes de VPN
En este tema se describe cmo configurar Forefront TMG para usar el Protocolo de autenticacin extensible (EAP) para autenticar los clientes de la red privada virtual
(VPN).
Para configurar EAP como mtodo de autenticacin para clientes de VPN
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la ficha
Clientes de VPN.
2. En la ficha Tareas, haga clic en Seleccionar los mtodos de autenticacin.
3. En la ficha Autenticacin, haga clic en Protocolo de autenticacin extensible (EAP) con tarjeta inteligente u otro certificado.
Configurar Forefront TMG como un cliente RADIUS
En este tema se describe cmo configurar Forefront TMG como un cliente RADIUS. Como cliente RADIUS, Forefront TMG enva mensajes RADIUS al servidor de
directivas de (NPS) para la autenticacin y autorizacin de la conexin de red privada virtual (VPN).
Para configurar Forefront TMG como un cliente RADIUS
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Directiva de acceso remoto (VPN) y, en el panel de detalles, haga clic en la ficha
Clientes de VPN.
2. Haga clic en Especificar la configuracin RADIUS.
3. En la ficha RADIUS, haga clic en Usar RADIUS para autenticacin y, a continuacin, haga clic en Servidores RADIUS.
4. Si no hay configurado ningn servidor RADIUS que represente a NPS, haga clic en Agregar para hacerlo. Si se ha configurado un servidor RADIUS, compruebe
que la configuracin coincida con la especificada en los pasos siguientes.
5. En el cuadro Nombre del servidor, especifique el nombre o la direccin IP del servidor NPS.
6. Para crear un nuevo secreto compartido, haga clic en Cambiar. Registre el secreto compartido para utilizarlo al configurar el servidor NPS.
Importante:
Si surgen problemas de comunicacin entre Forefront TMG y el servidor NPS, considere la posibilidad de aumentar el valor de tiempo de espera, que se puede
configurar en el servidor RADIUS.
7. En el cuadro de dilogo Agregar servidor RADIUS, haga clic en Aceptar.
8. Si se enumeran varios servidores RADIUS en el cuadro de dilogo Servidores RADIUS, use la flecha arriba para aumentar el nivel del servidor RADIUS NPS a
la parte superior de la lista y, a continuacin, hacen clic en Aceptar.
Habilitar el control de cuarentena basado en NAP
En este tema se describe cmo habilitar el control de cuarentena basado en NAP. Al utilizar la aplicacin de la proteccin de acceso a redes (NAP) para la red privada virtual
(VPN), debe configurar Forefront TMG para que ponga en cuarentena los clientes VPN segn las directivas del servidor RADIUS.
Para habilitar el control de cuarentena basado en NAP
2. En la ficha Tareas, haga clic en Configurar el control de cuarentena.
3. En la ficha Cuarentena, active las casillas Habilitar el control de cuarentena y Poner en cuarentena segn las directivas del servidor RADIUS y, a continuacin,
haga clic en Aceptar.
Habilitar la cuarentena para clientes no compatibles con NAP
4. Publicada: noviembre de 2009
5. Actualizado: febrero de 2010
6. Se aplica a: Forefront Threat Management Gateway (TMG)
7. Si su implementacin incluye clientes que no pueden utilizar Proteccin de acceso a redes (NAP), se recomienda que habilite la compatibilidad con estos clientes
a travs de la cuarentena basada en Forefront TMG.
8. Para habilitar la cuarentena para estos clientes, necesita preparar Forefront TMG como una escucha de agente de cuarentena de acceso remoto (RQS). Para
obtener instrucciones acerca de cmo hacerlo, vea Instalar la herramienta de cuarentena de acceso remoto.
9. Para obtener una lista actualizada de los sistemas operativos cliente que admiten NAP, consulte "Versiones de Windows compatibles con la proteccin de acceso
a redes como cliente" en Proteccin de acceso a redes: Preguntas ms frecuentes (http://go.microsoft.com/fwlink/?LinkID=153403).
Configurar la publicacin
En los siguientes temas se proporciona informacin acerca de cmo configurar la publicacin en Forefront TMG:

Configurar la publicacin de web

Configurar la publicacin de otros protocolos
Configurar la publicacin de web

159
Con Forefront TMG, puede publicar servidores web sobre conexiones seguras o no seguras. En los siguientes temas se describe la manera de configurar diferentes tipos de
publicacin web:

Configurar la publicacin de web: Informacin general

Publicar servidores web a travs de HTTP

Publicar servidores web a travs de HTTPS

Configurar la publicacin de Outlook Web Access

Configurar publicacin de Outlook Mobile Access

Configurar la publicacin de ActiveSync

Configurar publicacin de SharePoint

Configurar las reglas de publicacin de web

Personalizar los formularios HTML

Configuracin de la priorizacin del ancho banda

Configurar la compresin HTTP
Configurar la publicacin de web: Informacin general
La publicacin de web de Forefront TMG permite que el contenido web est disponible de forma segura para los grupos de usuarios o todos los usuarios que enven
solicitudes a su organizacin desde Internet. El contenido web se almacena normalmente en servidores web de la red interna o en una red perimetral (denominada tambin
subred filtrada o zona desmilitarizada (DMZ)).
Mediante reglas de publicacin de web, puede admitir o rechazar solicitudes en funcin de directivas de acceso definidas. Puede restringir el acceso a usuarios, equipos o
redes concretos, exigir la autenticacin de los usuarios e inspeccionar el trfico. El almacenamiento del contenido en cach permite a Forefront TMG almacenar contenido
web en cach y responder a las solicitudes de los usuarios desde la memoria cach sin reenviar dichas solicitudes en direccin descendente hasta el servidor web publicado.
Las reglas de publicacin de web cuentan con numerosas caractersticas, entre las que se incluyen las siguientes:

Asignacin de solicitudes a rutas de acceso internas determinadas para limitar las partes de los servidores web a las que se puede tener acceso.

Delegacin de las credenciales de usuario para autenticar Forefront TMG en el servidor web despus de la autenticacin por parte de Forefront TMG, sin que los
usuarios tengan que volver a proporcionar sus credenciales.

Traduccin de vnculos para sustituir las rutas de acceso y los nombres de host internos y del contenido web con nombres pblicos y rutas de acceso externas.

Protocolo de puente de Secure Sockets Layer (SSL), que permite a Forefront TMG inspeccionar las solicitudes HTTPS entrantes y, posteriormente, reenviarlas al
servidor web a travs de un canal SSL cifrado.

Equilibrio de la carga de las solicitudes de clientes entre los servidores web de una granja, con el mantenimiento de la afinidad con el cliente para aumentar la
disponibilidad y mejorar el rendimiento.
Para obtener ms informacin general acerca de la configuracin en las reglas de publicacin de web, vea Planeacin de publicacin.
En los temas siguientes se describe cmo configurar la publicacin de servidor web a travs de conexiones no seguras (HTTP):

Publicar un solo sitio web o equilibrio de carga a travs de HTTP

Publicar varios sitios web a travs de HTTP

Publicar una granja de servidores a travs de HTTP
Publicar un solo sitio web o equilibrio de carga a travs de HTTP
En este tema se ofrecen instrucciones para publicar a travs de HTTP. Para obtener informacin acerca de cmo publicar a travs de una conexin SSL segura, vea Publicar
un solo sitio web o equilibrio de carga a travs de HTTPS.
Para publicar un solo sitio web o equilibrio de carga a travs de HTTP
2. En el panel Tareas, haga clic en la ficha Herramientas.
3. En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y despus seleccione Escucha de web para abrir el Asistente para nueva escucha de web.
4. En la siguiente tabla se indica cmo completar el Asistente para nueva escucha de web.
Pgina Campo o propiedad Valor o accin
Bienvenido al Asistente
para nueva escucha de
web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba:
Escucha de web a travs de HTTP
Seguridad de conexin de
cliente
Seleccione No requerir conexiones seguras SSL con los clientes.
Direcciones IP de
escuchas de web
Escuchar solicitudes web entrantes
en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuacin, seleccione
Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En Direcciones
IP disponibles, seleccione la direccin IP del sitio web, haga clic en Agregar y luego en Aceptar.
Valores de autenticacin Seleccione la forma en que los
clientes facilitarn sus
credenciales a Forefront TMG.
En la lista desplegable, seleccione Sin autenticacin.
Configuracin de inicio
de sesin nico
Habilitar SSO para sitios web
publicados con esta escucha
El inicio de sesin nico (SSO) slo est disponible si se utiliza la autenticacin basada en
formularios. Para habilitar SSO, haga clic en Agregar y, a continuacin, especifique un dominio

160
dentro del cual se aplicar el SSO.
Finalizacin del Asistente
web
Revise la configuracin y haga clic en Finalizar.
5. En el panel Tareas, haga clic en la ficha Tareas.
6. En la ficha Tareas, haga clic en Publicar sitios web para abrir el Asistente para nueva regla de publicacin de web.
7. En la siguiente tabla se indica cmo completar el Asistente para nueva regla de publicacin de web.
para nueva regla de
publicacin de web
Nombre de regla de publicacin de web Escriba un nombre para la regla de publicacin de web. Por ejemplo, escriba:
Sitio web nico
Seleccionar accin de
regla
Accin Seleccione Permitir.
Tipo de publicacin Seleccione Publicar un nico sitio web o equilibrio de carga.
servidor
Seleccione Usar conexiones no seguras para conectar el servidor web o granja de
servidores publicada.
Detalles internos de
publicacin (1)
Nombre interno del sitio Escriba el nombre de host que Forefront TMG va a usar en los mensajes de solicitud HTTP
enviados al servidor publicado.
Si va a publicar un solo servidor web y el nombre interno del sitio especificado en este
campo no puede resolverse y no es el nombre del equipo o la direccin IP del servidor
publicado, seleccione Usar un nombre de equipo o direccin IP para conectar al servidor
publicado; a continuacin, escriba un nombre de equipo o direccin IP del servidor
publicado que se pueda resolver.
publicacin (2)
Ruta de acceso (opcional) Escriba la ruta de acceso de su sitio web.
Reenve el encabezado de host original
en vez del que efectivamente se ha
especificado en la pgina anterior, en el
campo Nombre interno del sitio.
Active esta casilla solo si su sitio web incluye caractersticas especficas que necesitan el
encabezado de host original que Forefront TMG recibe del cliente.
Detalles del nombre
pblico
Aceptar solicitudes para Seleccione Este nombre de dominio (escrbalo a continuacin).
Nombre pblico Escriba el nombre de dominio completo (FQDN) o la direccin IP pblicos que los
usuarios externos utilizarn para obtener acceso al sitio web publicado.
Seleccionar escucha de
web
Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A
continuacin, puede hacer clic en Editar para cambiar las propiedades de la escucha de
web seleccionada.
Delegacin de
autenticacin
Seleccione el mtodo utilizado por
Forefront TMG para autenticar el
servidor web publicado.
Seleccione Sin delegacin y el cliente no se puede autenticar directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de
los siguientes conjuntos de usuarios
No cambie la opcin predeterminada, Todos los usuarios.
Proteccin contra cdigo
malintencionado
Seleccione Habilitar la inspeccin de cdigo malintencionado para esta regla.
para nueva regla de
publicacin de web
8. En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
Nota:
El escucha de web tambin se puede configurar para la autenticacin HTTP o basada en formularios. Tenga en cuenta, sin embargo, que la autenticacin del
cliente se realizar a travs de HTTP sin cifrado. Dado que las credenciales del usuario se transmitirn en texto sin formato, dichas configuraciones se
considerarn como inseguras y quedarn deshabilitadas de forma predeterminada. Para habilitar dicha configuracin, abra las propiedades de la escucha de
web. En la ficha Autenticacin, haga clic en Opciones avanzadas y, a continuacin, active la casilla de verificacin Permitir la autenticacin de cliente a travs
de HTTP. Si desea aplicar una buena prctica de seguridad, use dicha configuracin slo si tiene un acelerador SSL delante del equipo Forefront TMG.
Forefront TMG trata las granjas de servidores de un dispositivo de equilibrio de carga como un solo servidor. Aunque esta opcin se admite para la publicacin

161
de una granja de equilibrio de carga, se recomienda usar la compatibilidad de equilibrio de carga integrada que se proporciona mediante una granja de
servidores creada en Forefront TMG, en lugar de un dispositivo de equilibrio de carga. La publicacin de Forefront TMG para las granjas de servidores
proporciona una mejor afinidad de clientes, que se puede configurar para funcionar con una cookie, en vez de depender de la direccin IP de cliente. Esto
supone una clara ventaja en situaciones donde un dispositivo situado entre el dispositivo de equilibrio de carga e Forefront TMG (por ejemplo, un dispositivo
NAT) oculta la direccin IP de cliente.
Las reglas de publicacin de web comparan las solicitudes de clientes entrantes con el sitio web correspondiente del servidor web.
Puede crear reglas de publicacin de web que deniegan el trfico para bloquear el trfico entrante que coincide con las condiciones de la regla.
Forefront TMG no distingue maysculas y minsculas en las rutas. Si, por ejemplo, su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en
una de esas dos carpetas, deber publicar ambas.
Para obtener ms informacin acerca de otra configuracin en las reglas de publicacin de web, vea Planeacin de publicacin.
Publicar varios sitios web a travs de HTTP
varios sitios web a travs de HTTPS.
Para publicar varios sitios web a travs de HTTP
web
Escucha de web a travs de HTTP
Seguridad de conexin
de cliente
Direcciones IP de
escuchas de web
Escuchar solicitudes web
entrantes en estas redes
Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En la lista
Direcciones IP disponibles, seleccione la direccin IP apropiada, haga clic en Agregar y, a
continuacin, en Aceptar.
de sesin nico
formularios. Si habilita SSO, deber hacer clic en Agregar y, a continuacin, especificar un
dominio dentro del cual se aplicar el SSO.
web
Bienvenido al Asistente para
nueva regla de publicacin de
web
Nombre de regla de publicacin de
web
Escriba un nombre para la regla de publicacin de web. Por ejemplo, escriba:
Varios sitios web (HTTP)
Seleccionar accin de regla Accin Seleccione Permitir.
Tipo de publicacin Seleccione Publicar mltiples sitios web.
Especificar los sitios web que
se van a publicar
Sitios publicados Para cada sitio web que desee publicar, haga clic en Agregar y, a continuacin, en Nombre
interno del sitio; escriba el nombre de host que usar el Forefront TMG en los mensajes de
solicitud HTTP enviados al sitio web publicado.
No seleccione Forefront TMG utilizar SSL para conectarse al sitio web.
Nombres pblicos de sitios
web publicados
Sufijo del nombre pblico Escriba el sufijo que se aadir al final de los nombres internos de sitio especificados en la
pgina Especificar los sitios web que se van a publicar para crear los nombres pblicos que
utilizarn los usuarios para obtener acceso a los sitios web publicados.
Seleccionar escucha de web Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A
continuacin, puede hacer clic en Modificar para cambiar las propiedades de la escucha de

162
web seleccionada.
Delegacin de autenticacin Seleccione el mtodo utilizado por
Conjuntos de usuarios Esta regla se aplica a las solicitudes
de los siguientes conjuntos de
usuarios
No cambie la opcin predeterminada, Todos los usuarios.
para nueva regla de
publicacin de web
Nota:
El escucha de web tambin se puede configurar para la autenticacin HTTP o basada en formularios. Tenga en cuenta, sin embargo, que la autenticacin del
cliente se realizar a travs de HTTP sin cifrado. Dado que las credenciales del usuario se transmitirn en texto sin formato, dichas configuraciones se
considerarn como inseguras y quedarn deshabilitadas de forma predeterminada. Para habilitar dicha configuracin, abra las propiedades de la escucha de
web. En la ficha Autenticacin, haga clic en Opciones avanzadas y, a continuacin, active la casilla de verificacin Permitir la autenticacin de cliente a travs
de HTTP. Si desea aplicar una buena prctica de seguridad, use dicha configuracin slo si tiene un acelerador SSL delante del equipo Forefront TMG.
Este procedimiento crea una regla de publicacin de web aparte para cada uno de los sitios publicados especificados, aunque todos utilizan el mismo escucha de
web.
Al publicar mltiples sitios web siguiendo este procedimiento, el sufijo del nombre pblico se aada a cada uno de los nombres internos del sitio que
especifique. Por ejemplo, si desea publicar los sitios news.fabrikam.com, sports.fabrikam.com y weather.fabrikam.com, especifique los nombres internos de
sitio news, sports y weather; a continuacin, indique el sufijo del nombre pblico fabrikam.com. El asistente crear tres reglas de publicacin web, una para
cada uno de los sitios, utilizando la misma escucha de web.
Puede configurar la forma en que las credenciales se pasan al servidor publicado en una regla de publicacin de web.
Forefront TMG no distingue maysculas y minsculas en las rutas. Si su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en una de esas dos
carpetas, deber publicar ambas.
Para obtener ms informacin acerca de otra configuracin en las reglas de publicacin web, vea Planeacin de publicacin.
Publicar una granja de servidores a travs de HTTP
una granja de servidores a travs de HTTPS.
Para publicar una granja de servidores a travs de HTTP
3. En la ficha Herramientas, haga clic en Objetos de red, haga clic en Nuevo y, a continuacin, seleccione Granja de servidores.
4. En la siguiente tabla se indica cmo finalizar el Asistente para nueva granja de servidores.
Asistente para nueva
granja de servidores
Nombre de granja de
servidores
Escriba un nombre para la granja de servidores. Por ejemplo, escriba:
Granja de servidores de contenido
Servidores Servidores incluidos en
esta granja
Para cada servidor web que desee incluir en la granja de servidores, haga clic en Agregar. A continuacin, en
Detalles de servidor, haga clic en Examinar, en Escriba el nombre del objeto que se va a seleccionar y escriba el
nombre NetBIOS del servidor web. Haga clic en Comprobar nombres, en Aceptar y, por ltimo, de nuevo en
Aceptar.
Supervisin de
conectividad de
Mtodo usado para
supervisar la
conectividad de la
Seleccione un mtodo que Forefront TMG usar para comprobar la conectividad con los servidores web en la
granja de servidores. Si selecciona Enviar una solicitud GET de HTTP y HTTPS y desea especificar una
direccin URL que difiera de la direccin URL que se establecer en la regla de publicacin de web para esta
granja de servidores, o bien si desea especificar un encabezado de host personalizado que difiera del que se
enviar basndose en la regla de publicacin de web, haga clic en Configurar, escriba la direccin URL y
encabezado HOST y haga clic en Aceptar.
Finalizacin del
5. Si aparece un cuadro de mensaje en el que se indica que va a habilitarse la regla de directiva de sistema Permitir solicitudes HTTP/HTTPS de Forefront TMG a
servidores seleccionados para los comprobadores de conectividad, haga clic en Aceptar.

163
web
Escucha de la granja de servidores HTTP
de cliente
Direcciones IP de
escuchas de web
Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En la lista
Direcciones IP disponibles, seleccione la direccin IP apropiada, haga clic en Agregar y, a
continuacin, en Aceptar.
de sesin nico
web
Bienvenido al Asistente para nueva
regla de publicacin de web
Nombre de regla de publicacin de web Escriba un nombre para la regla de publicacin de web. Por
ejemplo:
Granja de servidores (HTTP)
Tipo de publicacin Seleccione Publicar una granja de servidores web con equilibrio de
carga.
Seguridad de conexin de servidor Seleccione Usar conexiones no seguras para conectar el servidor
web o granja de servidores publicada.
Detalles internos de publicacin (1) Nombre interno del sitio Escriba el nombre de dominio completo (FQDN) de uno de los
elementos miembros de la granja de servidores.
Detalles internos de publicacin (2) Ruta de acceso (opcional) Escriba la ruta de acceso de su sitio web.
Especificar granja de servidores Seleccione la granja de servidores que desee
publicar.
En la lista desplegable, seleccione la granja de servidores que haya
creado en el paso 4.
Seleccione la forma en que Forefront TMG
equilibrar la carga de solicitudes de web entrantes.
Seleccione Equilibrio de carga basado en cookies.
Detalles del nombre pblico Aceptar solicitudes para Seleccione Este nombre de dominio (escrbalo a continuacin).
Nombre pblico Escriba el FQDN o la direccin IP pblica que los usuarios
externos utilizarn para obtener acceso al sitio web publicado.
Seleccionar escucha de web Escucha de web En la lista desplegable, seleccione la escucha de web que haya
Delegacin de autenticacin Seleccione el mtodo utilizado por Forefront TMG
para autenticar el servidor web publicado.
Seleccione Sin delegacin y el cliente no se puede autenticar
directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los
siguientes conjuntos de usuarios
No cambie el valor predeterminado Todos los usuarios.
Proteccin contra cdigo
malintencionado
Seleccione Habilitar la inspeccin de cdigo malintencionado para
esta regla.
Finalizacin del Asistente para nueva Revise la configuracin y haga clic en Finalizar.

164
Nota:
El nombre interno del sitio debe poder resolverse en forma de direccin IP.
Forefront TMG crea automticamente una asignacin de traduccin de vnculos entre el nombre interno del sitio y el primer nombre pblico especificado en la
regla. Esta asignacin se utiliza para traducir vnculos que utilicen el nombre interno del sitio para hacer referencia a la granja de servidores en pginas web y
en mensajes de correo electrnico que puedan recibir los usuarios externos.
De forma predeterminada, Forefront TMG cambia el encabezado de host original que proporciona una aplicacin de explorador a un encabezado de host
correspondiente al nombre interno del sitio.
En los temas siguientes se describe cmo configurar la publicacin de servidor web a travs de conexiones seguras (HTTPS):

Publicar un solo sitio web o equilibrio de carga a travs de HTTPS

Publicar varios sitios web a travs de HTTPS

Publicar una granja de servidores a travs de HTTPS

Uso de la autenticacin de certificado de cliente para publicar a travs de HTTPS

Configurar inicio de sesin nico

Configurar valores de traduccin de vnculos

Publicar tras un acelerador SSL

Configurar el cierre de sesin seguro

Configurar certificados de servidor para la publicacin de web segura

Utilizar certificados comodn
Publicar un solo sitio web o equilibrio de carga a travs de HTTPS
Para publicar un solo sitio web o equilibrio de carga a travs de HTTPS
web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de sitio web HTTPS
.
de cliente
Seleccione Requerir conexiones seguras SSL con los clientes.
Direcciones IP de
escuchas de web
Escuchar solicitudes web entrantes en
estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuacin,
seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada.
En Direcciones IP disponibles, seleccione la direccin IP del sitio web, haga clic en Agregar y
luego en Aceptar.
Certificados SSL de
escucha
Seleccione Usar un nico certificado para esta escucha de web, haga clic en Seleccionar
certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen
para tener acceso al sitio web publicado aparezca en el campo Emitido a.
clientes facilitarn sus credenciales a
Forefront TMG.
Para autenticacin HTTP (opcin predeterminada), active una o ms de las casillas de
verificacin. Al implementar un grupo de trabajo, slo se podr seleccionar Bsica.
Si desea exigir a los clientes que proporcionen un certificado, en la lista desplegable,
seleccione Autenticacin de certificados SSL de cliente.
Para autenticacin basada en formularios, seleccione en la lista desplegable Autenticacin de
formularios HTML.
Recopile otras credenciales de
delegacin en el formulario.
Esta casilla de verificacin aparece
Active esta casilla solo si piensa seleccionar OTP de RADIUS o SecurID.

165
slo si se ha seleccionado
Autenticacin de formularios HTML.
Seleccione la forma en que Forefront
TMG validar las credenciales del
cliente.
Para autenticacin HTTP, si selecciona autenticacin bsica en la implementacin de un grupo
de trabajo, podr seleccionar LDAP (Active Directory) o RADIUS.
Para autenticacin basada en formularios, seleccione una de las opciones disponibles.
de sesin nico
El inicio de sesin nico (SSO) est disponible slo si se utiliza la autenticacin basada en
Finalizacin del
escucha de web
para nueva regla de
publicacin de web
Nombre de regla de publicacin de web Escriba un nombre para la regla de publicacin de web. Escriba, por ejemplo, Sitio web
nico (HTTPS).
Seleccionar accin de
regla
Accin Seleccione Permitir.
Tipo de publicacin Seleccione Publicar un nico sitio web o equilibrio de carga.
de servidor
Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada.
publicacin (1)
Si va a publicar un solo servidor web y el nombre interno del sitio especificado en este
campo no puede resolverse y no es el nombre del equipo o la direccin IP del servidor
publicacin (2)
Ruta de acceso (opcional) Escriba la ruta de acceso de su sitio web.
Reenve el encabezado de host original en
vez del que efectivamente se ha
especificado en la pgina anterior, en el
campo Nombre interno del sitio.
Active esta casilla solo si su sitio web incluye caractersticas especficas que necesitan el
encabezado de host original que Forefront TMG recibe del cliente.
Detalles del nombre
pblico
Aceptar solicitudes para Seleccione Este nombre de dominio (escrbalo a continuacin).
Nombre pblico Escriba el FQDN o la direccin IP pblica que los usuarios externos utilizarn para obtener
acceso al sitio web publicado.
Seleccionar escucha de
web
Escucha de web Seleccione en la lista desplegable la escucha de web que haya creado en el paso 4. A
continuacin, puede hacer clic en Editar para cambiar las propiedades de la escucha de web
seleccionada.
Delegacin de
autenticacin
Seleccione el mtodo utilizado por
Forefront TMG para autenticar el servidor
web publicado.
Seleccione Sin delegacin, pero el cliente se puede autenticar directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los
siguientes conjuntos de usuarios
No cambie la opcin predeterminada (Todos los usuarios autenticados).
Finalizacin del
regla de publicacin de
web
Nota:

166
Al publicar a travs de SSL, deber instalarse en el almacn personal correspondiente al equipo local de cada equipo de Forefront TMG de la matriz, un
certificado de servidor SSL emitido para el nombre de host pblico del sitio web publicado. Si la regla de publicacin requiere una conexin SSL entre el
equipo Forefront TMG y el servidor publicado, debe instalarse en el servidor publicado un certificado de servidor SSL que se haya emitido para el nombre de
host especificado en el nombre interno del sitio. Para obtener ms informacin acerca de la obtencin e instalacin de los certificados del servidor SSL, vea
Configurar certificados de servidor para la publicacin de web segura.
de una granja de equilibrio de carga, se recomienda usar la compatibilidad de equilibrio de carga integrada que se proporciona mediante una granja de
servidores creada en Forefront TMG, en lugar de un dispositivo de equilibrio de carga. La publicacin de Forefront TMG para las granjas de servidores
proporciona una mejor afinidad de clientes, que se puede configurar para funcionar con una cookie, en vez de depender de la direccin IP de cliente. Esto
supone una clara ventaja en situaciones donde un dispositivo situado entre el dispositivo de equilibrio de carga e Forefront TMG (por ejemplo, un dispositivo
NAT) oculta la direccin IP de cliente.
Publicar varios sitios web a travs de HTTPS
Para publicar varios sitios web a travs de HTTPS
web
Escucha de web a travs de HTTPS
de cliente
Direcciones IP de
escuchas de web
estas redes
seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En
la lista Direcciones IP disponibles, seleccione la direccin IP apropiada, haga clic en Agregar
y, a continuacin, en Aceptar.
Forefront TMG.
Si desea exigir a los clientes que proporcionen un certificado, en la lista desplegable, seleccione
Autenticacin de certificados SSL de cliente.
formularios HTML.
cliente.
Para autenticacin HTTP, si selecciona autenticacin bsica en un grupo de trabajo, podr
seleccionar LDAP (Active Directory) o RADIUS.
de sesin nico
El inicio de sesin nico (SSO) est
disponible slo si se utiliza la
autenticacin basada en formularios.
No seleccione esta opcin.
Finalizacin del
escucha de web

167
para nueva regla de
publicacin de web
web
Escriba un nombre para la regla de publicacin de web. Por ejemplo, escriba:
Varios sitios web (HTTPS)
Tipo de publicacin Seleccione Publicar mltiples sitios web.
Especificar los sitios web
que se van a publicar
Sitios publicados Para cada sitio web que publique, haga clic en Agregar y, en Nombre interno del sitio, escriba
el nombre de host que utilizar Forefront TMG en los mensajes de solicitud HTTP enviados al
servidor publicado; a continuacin, seleccione Forefront TMG utilizar SSL para conectarse al
sitio web.
Nombres pblicos de sitios
web publicados
Sufijo del nombre pblico Escriba el sufijo que se aadir al final de los nombres internos de sitio especificados en la
pgina Especificar los sitios web que se van a publicar para crear los nombres pblicos que
utilizarn los usuarios para obtener acceso a los sitios web publicados.
continuacin, puede hacer clic en Modificar para cambiar las propiedades de la escucha de web
seleccionada.
Conjuntos de usuarios Esta regla se aplica a las
solicitudes de los siguientes
conjuntos de usuarios
No cambie la opcin predeterminada (Todos los usuarios autenticados).
para nueva regla de
publicacin de web
Nota:
Al publicar a travs de SSL, deber instalarse en el almacn personal correspondiente al equipo local de cada equipo de Forefront TMG de la matriz, un
certificado de servidor SSL emitido para el nombre de host pblico de cada sitio web publicado. Si la regla de publicacin requiere una conexin SSL entre el
equipo Forefront TMG y el servidor publicado, debe instalarse en el servidor publicado un certificado de servidor SSL que se haya emitido para el nombre de
host especificado como nombre interno del sitio correspondiente. Para obtener ms informacin acerca de la obtencin e instalacin de los certificados del
servidor SSL, vea Configurar certificados de servidor para la publicacin de web segura.
Mediante este procedimiento se crea una regla de publicacin web independiente para cada sitio publicado que se especifique.
Al publicar mltiples sitios web siguiendo este procedimiento, el sufijo del nombre pblico se aada a cada uno de los nombres internos del sitio que
especifique. Por ejemplo, si desea publicar los sitios news.fabrikam.com, sports.fabrikam.com y weather.fabrikam.com, especifique los nombres internos de
sitio news, sports y weather; a continuacin, indique el sufijo del nombre pblico fabrikam.com. El asistente crear tres reglas de publicacin web, una para
cada uno de los sitios, utilizando la misma escucha de web.
Publicar una granja de servidores a travs de HTTPS
Para publicar una granja de servidores a travs de HTTPS
3. En la ficha Herramientas, haga clic en Objetos de red, haga clic en Nuevo y, a continuacin, seleccione Granja de servidores.
4. En la siguiente tabla se indica cmo finalizar el Asistente para nueva granja de servidores.
Nombre de granja de
servidores
Escriba un nombre para la granja de servidores. Por ejemplo, escriba Granja de servidores de contenido.
Servidores Servidores incluidos en
esta granja
Para cada servidor web que desee incluir en la granja de servidores, haga clic en Agregar. A continuacin, en
Detalles del servidor, haga clic en Examinar y, en Escriba el nombre del objeto que se va a seleccionar, escriba
el nombre de NetBIOS del servidor web. Haga clic en Comprobar nombres, en Aceptar y, por ltimo, de nuevo
en Aceptar.

168
Supervisin de
conectividad de
Mtodo usado para
supervisar la
conectividad de la
Seleccione un mtodo que Forefront TMG utilizar para verificar la conectividad con los servidores web en la
granja de servidores. Si selecciona Enviar una solicitud GET de HTTP y HTTPS y desea especificar una
direccin URL que difiera de la direccin URL que se establecer en la regla de publicacin de web para esta
granja de servidores, o bien si desea especificar un encabezado de host personalizado que difiera del que se
enviar basndose en la regla de publicacin de web, haga clic en Configurar, escriba la direccin URL y
encabezado HOST y haga clic en Aceptar.
Finalizacin del
5. Si aparece un cuadro de mensaje en el que se indica que va a habilitarse la regla de directiva de sistema Permitir solicitudes HTTP/HTTPS de Forefront TMG a
servidores seleccionados para los comprobadores de conectividad, haga clic en Aceptar.
web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de granja de
servidores HTTPS.
de cliente
Direcciones IP de
escuchas de web
estas redes
seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada.
En Direcciones IP disponibles, seleccione la direccin IP correspondiente, haga clic en
Agregar y luego en Aceptar.
Certificados SSL de
escucha
Forefront TMG.
formularios HTML.
cliente.
Para autenticacin HTTP, si selecciona autenticacin bsica en un grupo de trabajo, podr
seleccionar LDAP (Active Directory) o RADIUS.
de sesin nico
El inicio de sesin nico (SSO) est disponible slo si se utiliza la autenticacin basada en
Finalizacin del
escucha de web
Nombre de regla de publicacin de web Escriba un nombre para la regla de publicacin de web. Por
ejemplo, escriba Granja de servidores (HTTPS).
Tipo de publicacin Seleccione Publicar una granja de servidores web con equilibrio de
carga.
Seguridad de conexin de servidor Seleccione Usar SSL para conectar el servidor web o granja de
servidores publicada.

169
Detalles internos de publicacin (1) Nombre interno del sitio Escriba el nombre de dominio completo (FQDN) de uno de los
elementos miembros de la granja de servidores.
Detalles internos de publicacin (2) Ruta de acceso (opcional) Escriba la ruta de acceso de su sitio web.
Especificar granja de servidores Seleccione la granja de servidores que desee
publicar.
En la lista desplegable, seleccione la granja de servidores que haya
Seleccione la forma en que Forefront TMG
equilibrar la carga de solicitudes de web entrantes.
Seleccione Equilibrio de carga basado en cookies.
Nombre pblico Escriba el FQDN o la direccin IP pblica que los usuarios
externos utilizarn para obtener acceso al sitio web publicado.
Seleccionar escucha de web Escucha de web En la lista desplegable, seleccione la escucha de web que haya
Delegacin de autenticacin Seleccione el mtodo utilizado por Forefront TMG
para autenticar el servidor web publicado.
Seleccione Sin delegacin y el cliente no se puede autenticar
directamente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes de los siguientes
No cambie la opcin predeterminada (Todos los usuarios
autenticados).
Finalizacin del Asistente para nueva
Nota:
El nombre interno del sitio debe poder resolverse en forma de direccin IP.
Forefront TMG crea automticamente una asignacin de traduccin de vnculos entre el nombre de sitio interno y el primer nombre pblico especificado en la
regla. Esta asignacin se utiliza para traducir vnculos que utilicen el nombre interno del sitio para hacer referencia a la granja de servidores en pginas web y
en mensajes de correo electrnico que puedan recibir los usuarios externos.
De manera predeterminada, Forefront TMG cambia el encabezado de host original proporcionado por una aplicacin de explorador por un encabezado de host
que corresponde al nombre de sitio interno.
Al publicar a travs de SSL, deber instalarse en el almacn personal correspondiente al equipo local del equipo Forefront TMG un certificado de servidor SSL
emitido para el nombre de host pblico del sitio web publicado. Si la regla de publicacin de web requiere una conexin SSL entre el equipo Forefront TMG y
un miembro de la granja de servidores publicados, puede instalarse en cada miembro de la granja de servidores publicados un nico certificado de servidor con
un nombre correspondiente al nombre o direccin IP del servidor, o bien puede instalarse en todos los miembros de la granja de servidores el mismo certificado
con un nombre correspondiente al nombre de sitio interno. Para obtener ms informacin acerca de la obtencin e instalacin de los certificados del servidor
SSL, vea Configurar certificados de servidor para la publicacin de web segura.
Uso de la autenticacin de certificado de cliente para publicar a travs de HTTPS
Para usar la autenticacin de certificado de cliente para publicar a travs de HTTPS
2. En el panel de detalles, haga clic en la regla de publicacin de web correspondiente.
3. En la ficha Tareas, haga clic en Editar regla seleccionada.
4. En la ficha Escucha, haga clic en Propiedades.
5. En la ficha Conexiones, compruebe que Habilitar conexiones SSL (HTTP) en el puerto est seleccionado.
6. Si no desea permitir conexiones HTTP sin autenticacin de certificado de cliente, compruebe que Habilitar conexiones HTTP en el puerto no est seleccionado.
7. En la ficha Autenticacin, realice una de las acciones siguientes:
a. Si Mtodo que los clientes usan para autenticarse en Forefront TMG est establecido en Autenticacin HTTP o Sin autenticacin, seleccione
Autenticacin de certificados SSL de cliente en la lista desplegable y haga clic en Opciones avanzadas.
b. Si Mtodo que los clientes usan para autenticarse en Forefront TMG est establecido en Autenticacin de formularios HTML, haga clic en Opciones
avanzadas. Debe seleccionar Requerir certificado SSL de cliente solo si desea exigir que en la solicitud HTTPS se enve un certificado SSL de cliente
antes de que se presente el formulario HTML al usuario.
8. En la ficha Lista de confianza de certificados de cliente, seleccione una de las opciones siguientes:

Aceptar cualquier certificado de cliente en el que confe el equipo de Forefront TMG. Seleccione esta opcin si desea que la lista de entidades de
certificacin aceptables incluya todas las entidades cuyo certificado raz est instalado en el almacn Entidades de certificacin raz de confianza del
equipo de Forefront TMG.

Aceptar nicamente certificados emitidos por las entidades de certificacin seleccionadas a continuacin. Seleccione esta opcin si desea limitar la
lista de entidades de certificacin cuyos certificados se considerarn de confianza.

170
9. En la ficha Restricciones de certificado de cliente, defina las restricciones con las que deben coincidir los certificados SSL de cliente.
10. Haga clic en Aceptar para cerrar la pgina Opciones avanzadas de autenticacin.
11. En la ficha Certificados, compruebe que haya seleccionado un certificado de servidor SSL y, a continuacin, haga clic en Aceptar.
12. Para la autenticacin basada en formularios, en la ficha Trfico, seleccione Requerir certificado SSL de cliente.
13. Haga clic en Aceptar.
Nota:
Un certificado de cliente presentado a Forefront TMG se considera de confianza solo cuando el certificado raz de la entidad de certificacin que lo ha emitido
est instalado en el almacn Autoridades de certificacin raz de confianza del equipo de Forefront TMG.
Al publicar a travs de SSL, deber instalarse en el almacn personal correspondiente al equipo local de cada equipo de Forefront TMG de la matriz, en la que
est configurada la regla de publicacin de web, un certificado de servidor SSL emitido para el nombre de host pblico del sitio web publicado. Para obtener
ms informacin acerca del uso de los certificados de servidor para publicacin de web segura, vea Configurar certificados de servidor para la publicacin de
web segura.
Cuando un cliente se intenta conectar a travs de Forefront TMG, Forefront TMG proporciona una lista de entidades de certificacin aceptables al cliente como
parte del protocolo de enlace SSL. Esto permite a la aplicacin cliente, como un explorador web, utilizar slo los certificados de cliente emitidos por una
entidad de certificacin de confianza concreta.
Para restringir ms el conjunto de certificados que un cliente puede enviar a Forefront TMG, cree restricciones con las que los certificados SSL de cliente deban
coincidir. De esta manera, puede eliminar la necesidad de que la aplicacin cliente muestre una lista de certificados para que el usuario seleccione el certificado
de cliente adecuado.
Configurar inicio de sesin nico
Para configurar el inicio de sesin nico
2. En el panel Tareas, haga clic en la regla de publicacin de web correspondiente.
5. En la ficha Autenticacin, compruebe que Mtodo que los clientes usan para autenticarse en Forefront TMG est definido en Autenticacin de formularios
HTML.
6. En la ficha SSO, seleccione Habilitar inicio de sesin nico.
7. En Especificar los dominios de inicio de sesin nico para esta escucha de web, realice los pasos siguientes para los sitios web en los que desee permitir el inicio
de sesin nico (SSO).
b. Escriba el dominio SSO para dos o ms sitios web.
Nota:
El inicio de sesin nico (SSO) permite a los usuarios hacer clic en un vnculo de una pgina web proporcionada por un sitio web y desplazarse de forma segura
a otro sitio web sin tener que presentar sus credenciales de nuevo.
El dominio SSO para un conjunto de sitios web es el sufijo DNS de los nombres de host de los sitios web. Por ejemplo, el dominio SSO para
portal.contoso.com y ventas.contoso.com es .contoso.com.
El inicio de sesin nico est disponible para sitios web publicados por reglas que utilizan la misma escucha de web. La escucha de web debe estar configurada
para utilizar autenticacin basada en formularios HTML y SSO debe estar habilitado para ella.
El inicio de sesin nico entre distintas aplicaciones requiere cookies permanentes, que se deshabilitan de manera predeterminada. Por ejemplo, las cookies
permanentes permiten a los usuarios llegar a documentos de Word desde vnculos proporcionados por un sitio de Microsoft Office SharePoint Server sin que se
les soliciten credenciales. Como procedimiento recomendado de seguridad, se aconseja utilizar cookies permanentes slo en equipos privados.
Configurar valores de traduccin de vnculos
Para configurar la traduccin de vnculos
2. En el panel de tareas, haga clic en la regla de publicacin de web correspondiente.
4. En la ficha Traduccin de vnculos, seleccione Aplicar traduccin de vnculos a esta regla.
5. Si desea que se traduzcan los vnculos de pginas web que contengan otros juegos de caracteres, seleccione Aplicar tambin traduccin de vnculos al contenido
web que use este juego de caracteres y, a continuacin, seleccione un juego de caracteres en la lista desplegable.
6. Para configurar asignaciones locales, haga clic en Configurar y, a continuacin, realice los pasos siguientes para cada asignacin local que desee agregar a la
regla de publicacin de web seleccionada.
b. En Reemplazar este texto, escriba una direccin URL que contenga un nombre de host interno (o una direccin IP).
c. En Con este texto, escriba una direccin URL que contenga un nombre de host que se pueda resolver pblicamente (o una direccin IP).
7. Haga clic en Aceptar y luego de nuevo en Aceptar.
8. Repita los pasos del 2 al 7 para otras reglas de publicacin de web en las que desee configurar opciones de traduccin de vnculos especficas.
9. En la ficha Tareas, haga clic en Configurar opciones de traduccin global de vnculos.
10. En la ficha General, compruebe que Habilitar la traduccin de vnculos est seleccionado.
11. En la ficha Asignaciones globales, realice los pasos siguientes para cada asignacin global que desee agregar.

171
b. En el campo Direccin URL interna, escriba una direccin URL que contenga un nombre de host interno (o una direccin IP).
c. En el campo Direccin URL traducida, escriba una direccin URL que contenga un nombre de host que se pueda resolver pblicamente (o una
direccin IP).
12. Para habilitar y configurar el redireccionamiento de vnculos en sitios internos no publicados, en la ficha Redireccionamiento de vnculo, haga lo siguiente:
a. Seleccione Redirigir usuarios que vayan a estos sitios no publicados.
b. Haga clic en Agregar para agregar o crear un conjunto de direcciones URL que contenga las direcciones URL internas de los sitios no publicados.
c. En Redirigir usuarios a esta direccin URL publicada, especifique la direccin URL a la que se debe redirigir a los usuarios cuando utilicen vnculos
que apunten a uno de los sitios publicados.
13. Para configurar tipos de contenido, en la ficha Tipos de contenido, en Tipos de contenido seleccionados, seleccione uno o ms tipos de contenido.
14. Haga clic en Aceptar y luego de nuevo en Aceptar.
Nota:
Las asignaciones implcitas que asignan el nombre interno (o direccin IP) del servidor publicado por la regla de publicacin de web al nombre pblico (o
direccin IP) del sitio web o, si existen varios nombres pblicos, al primer nombre pblico, se crean automticamente.
Las direcciones URL de asignaciones locales pueden contener un protocolo vlido (http:// o https://) y una ruta de acceso. Sin embargo, las direcciones URL
especificadas en asignaciones globales deben empezar por un protocolo vlido (http:// o https://). Tambin se puede especificar un puerto; sin embargo, este
tipo de asignacin se excluir de las bsquedas de vnculos sin puerto. Por ejemplo, una asignacin que especifique la direccin URL interna
http://www.miInterna:80 no traducir la direccin URL http://www.miInterna.
Forefront TMG traduce nicamente direcciones URL completas o parte de direcciones URL seguidas de un carcter de terminacin, como un espacio o una
barra diagonal. Por ejemplo, si la cadena de bsqueda de una asignacin es http://contoso y la respuesta contiene la direccin URL http://noticiascontoso, esta
direccin URL no se traducir mediante esta asignacin. Esto significa que las asignaciones no son especficas de las rutas de acceso. Por ejemplo, la cadena de
bsqueda http://www.miInterna coincidir con un vnculo para http://www.miInterna/docs.
De manera predeterminada, cuando la traduccin de vnculos est habilitada para una regla, Forefront TMG bloquea las solicitudes de intervalo para el tipo de
contenido al que se aplica la regla. Mientras que este comportamiento no se puede modificar en la Administracin de Forefront TMG, el bloqueo de solicitudes
de intervalo se puede deshabilitar mediante programacin con la propiedad RangeRequestsAllowedWithLinkTranslation del objeto COM de administracin de
FPCWebPublishingProperties en el Kit de desarrollo de software (SDK) de Forefront TMG. Si el bloqueo de solicitudes de intervalo est deshabilitado, la
traduccin de vnculos no se utilizar para solicitudes de intervalo.
Habilite el redireccionamiento de vnculos cuando desee redireccionar a los usuarios que soliciten un sitio no publicado a una direccin URL determinada, en
lugar de que reciban un mensaje de error.
De manera predeterminada, el filtro de traduccin de vnculos funciona nicamente en respuestas web que incluyan un tipo de archivo o un tipo MIME
especificado en el tipo de contenido de los documentos HTML. De manera predeterminada, el tipo de contenido de los documentos HTML especifica los tipos
MIME text/css, text/html y text/webviewhtml y las extensiones de archivo .htm, .html, .htt, .stm y .xsl.

Para ver o modificar los tipos MIME y los tipos de archivo especificados para la revisin por el filtro de traduccin de vnculos, haga lo siguiente:
En una implementacin de empresa de varias matrices, la traduccin de vnculos usa la configuracin en los tipos de contenido de nivel de empresa para
determinar si tiene que realizar la traduccin en el cuerpo del mensaje. Para revisar o modificar estos tipos de contenido, expanda Empresay haga clic en
Directivas de empresa. En el panel derecho, haga clic en Herramientas y seleccione Tipos de contenido.
En una implementacin de matriz nica, haga clic en el nodo Directiva de firewall. En el panel derecho, haga clic en Herramientas y seleccione Tipos de
contenido.
Se recomienda usar la pgina de errores de ejemplo incluida en Forefront TMG o, de forma alternativa, una basada en la pgina de errores de ejemplo, para
evitar crear una vulnerabilidad a los ataques de introduccin de scripts entre sitios. Para obtener ms informacin acerca de la introduccin de scripts entre
sitios, vea "Informacin acerca de la vulnerabilidad de seguridad mediante la introduccin de scripts entre sitios" (en ingls) en el sitio web de Microsoft
TechNet.
Publicar tras un acelerador SSL
Para publicar tras un acelerador SSL
Bienvenido al
escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba: Escucha de acelerador SSL
de cliente
Direcciones IP de
escuchas de web
Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En la lista Direcciones
IP disponibles, seleccione la direccin IP en la que Forefront TMG escuchar las solicitudes HTTP del
acelerador SSL, haga clic en Agregar y, a continuacin, haga clic en Aceptar.
Valores de
autenticacin
Seleccione la forma en que
los clientes facilitarn sus
credenciales a Forefront

172
TMG.
de sesin nico
El inicio de sesin nico no est disponible en esta configuracin.
Finalizacin del
escucha de web
5. En el panel de detalles, haga clic en el botn Aplicar para guardar y actualizar la configuracin, y luego en Aceptar.
6. Para establecer el puerto al que Forefront TMG devolver las respuestas al acelerador SSL, copie el siguiente cdigo en un archivo del Bloc de notas y gurdelo
como SetSslAcceleratorPort.vbs. A continuacin, para un escucha de web denominado Escucha de acelerador SSL, en el smbolo del sistema, escriba:
CScript SetSslAcceleratorPort.vbs "Escucha de acelerador SSL"

Copiar cdigo
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' Copyright (c) de Microsoft Corporation. Reservados todos los derechos.
' ESTE CDIGO EST DISPONIBLE TAL CUAL, SIN GARANTA DE NINGN TIPO.
' TODO RIESGO DERIVADO DEL USO DE ESTE CDIGO O EL RESULTADO DE SU USO ES RESPONSABILIDAD DEL USUARIO.
' POR LA PRESENTE, SE PERMITE EL USO Y LA REDISTRIBUCIN DE ESTE CDIGO, CON O SIN MODIFICACIN.
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Option Explicit

' Define the constant needed
const Error_FileNotFound = &H80070002

Main(WScript.Arguments)

Sub Main(args)
If(args.Count = 1) Then
SetSslAcceleratorPort args(0)
Else
Usage()
End If
End Sub

Sub SetSslAcceleratorPort(wlName)

' Create the root object.
Dim root ' The FPCLib.FPC root object
Set root = CreateObject("FPC.Root")

' Declare the other objects needed.
Dim tmgArray ' An FPCArray object
Dim webListener ' An FPCWebListener object
Dim text ' A String
Dim input ' A String

' Get a reference to the local array object.
Set tmgArray = root.GetContainingArray()

' Get a reference to the Web listener specified.
On Error Resume Next
Set webListener = _
tmgArray.RuleElements.WebListeners.Item(wlName)
If Err.Number = Error_FileNotFound Then
WScript.Echo _
"No se pudo encontrar la escucha web especificada."
Else
Err.Clear
On Error GoTo 0
With webListener.Properties
If .SSLAcceleratorPort = 0 Then
text = "No hay configurado ningn puerto de acelerador SSL." _
& VbCrLf _
& "Puede especificar un valor distinto de cero para habilitar" _
& VbCrLf _
& "un puerto de acelerador SSL."
Else
text = "Puerto de acelerador SSL actual: " _
& .SSLAcceleratorPort _
& VbCrLf _
& "Puede cambiar este valor o escribir 0" _
& VbCrLf _

173
& "para deshabilitar el puerto de acelerador SSL."
End If
input = InputBox(text,"Puerto de acelerador SSL", "443")
End With
If CInt(input) <> _
webListener.Properties.SSLAcceleratorPort Then
WScript.Echo "Cambiando el puerto de acelerador SSL a " _
& CInt(input) & "..."
webListener.Properties.SSLAcceleratorPort = CInt(input)
End If
If webListener.Properties.SSLAcceleratorPort <> 0 Then
WScript.Echo "Comprobando que el puerto SSL est definido en 0..."
webListener.Properties.SSLPort = 0
End If
webListener.Save
End If
End Sub

Sub Usage()
WScript.Echo "Usage:" & VbCrLf _
& " CScript " & WScript.ScriptName & " WebListener" _
& VbCrLf & "" & VbCrLf _
& " WebListener - Nombre de la escucha web"
WScript.Quit
End Sub
Nota:
Si dispone de un dispositivo acelerador SSL externo delante de Forefront TMG, el dispositivo intercepta todo el trfico web y, a continuacin, se transmite a
Forefront TMG. Cuando el dispositivo recibe trfico HTTPS de un cliente, finaliza la conexin SSL en el dispositivo, descifra el trfico y, a continuacin, lo
trasmite como HTTP a Forefront TMG, que normalmente recibe el trfico en el puerto 80. Este procedimiento configura Forefront TMG para que reconozca
que hay un acelerador SSL entre l e Internet. Este procedimiento tambin configura Forefront TMG para enviar respuestas al puerto correcto del acelerador
SSL y para proporcionar vnculos HTTPS en la respuesta que devolver el acelerador SSL.
En el caso concreto de que la solicitud HTTPS originada en el cliente sea una solicitud de Microsoft Outlook Web Access, Forefront TMG anexa
automticamente un encabezado que indica al servidor de acceso web de Outlook que debe devolver una respuesta HTTPS. Esto tiene lugar
independientemente de que Forefront TMG se haya configurado para que funcione tras el acelerador SSL.
Este procedimiento se puede aplicar nicamente en un acelerador SSL externo conectado a Internet que se encuentre delante del equipo Forefront TMG, que
comunica con l a travs de una conexin de red. Si dispone de una tarjeta aceleradora SSL instalada directamente en el equipo Forefront TMG o de un
dispositivo externo conectado al equipo Forefront TMG con una interfaz estndar de equipos pequeos (SCSI), no son necesarios cambios de configuracin en
Forefront TMG.
La escucha de web debe escuchar las solicitudes HTTP en una direccin IP independiente, en la que no exista ninguna otra escucha de web para solicitudes
HTTP. Esto exige que haya una direccin IP adicional en el adaptador de red conectado a la red externa o un adaptador de red independiente dedicado al
acelerador SSL. Si utiliza un adaptador de red independiente, deber definir una nueva red que contenga el acelerador SSL y configurar la escucha de web para
que acte en esa red.
Si el acelerador SSL est conectado a Internet, el nombre de su certificado de servidor SSL debe coincidir con el nombre de host pblico o con la direccin IP
pblica que los clientes externos escribirn en su explorador web para obtener acceso al sitio web publicado.
El puerto al que Forefront TMG devuelve las respuestas a un dispositivo acelerador SSL externo delante de Forefront TMG no se puede definir en la
Administracin de Forefront TMG. El script proporcionado tambin garantiza que la escucha HTTPS est deshabilitada en la escucha de web.
Configurar el cierre de sesin seguro
Para configurar el cierre de sesin seguro
2. En el panel de detalles, haga clic en la regla de publicacin de web correspondiente que utiliza autenticacin basada en formularios HTML.
4. En la ficha Configuracin de aplicaciones, en el campo Direccin URL de cierre de sesin de servidor publicado, escriba la cadena que se utiliza en el vnculo de
cierre de sesin de la pgina web publicada para indicar una solicitud de cierre de sesin; por ejemplo, ?Cmd=logoff, o logoff=1.
7. En la ficha Formularios, haga clic en Opciones avanzadas.
8. En Configuracin de cookies puede proporcionar un nombre para la cookie que Forefront TMG proporciona al cliente cuando la autenticacin basada en
formularios es correcta. En la lista desplegable puede seleccionar si las cookies son permanentes (siguen presentes en el cliente tras el final de la sesin) en todos
los equipos, slo en equipos privados o nunca.
9. En Omitir la direccin IP del explorador para la comprobacin de cookies, defina si desea permitir que los clientes utilicen la misma cookie desde distintas
direcciones IP. Por ejemplo, puede parecer que las solicitudes de un nico cliente proceden de distintas direcciones IP, como cuando existe un equilibrio de carga
entre Forefront TMG y el cliente.
10. En Configuracin de seguridad del cliente, seleccione:

Considerar como tiempo mximo de inactividad, para establecer un perodo de espera segn el tiempo que el cliente permanezca inactivo.

Considerar como duracin mxima de la sesin, para establecer un perodo de espera segn la duracin de la sesin. A continuacin, especifique los
perodos de espera para los equipos pblicos y privados, que se utilizar para establecer el tiempo mximo de inactividad o la duracin mxima de la
sesin.

Aplicar tiempo de espera de sesin a clientes no de explorador, para aplicar el perodo de espera a los clientes que no estn basados en explorador
(como Outlook RPC/HTTP o ActiveSync).
11. Haga clic en Aceptar, haga clic de nuevo en Aceptar y vuelva a hacer clic en Aceptar.

174
Nota:
Cuando Forefront TMG recibe la direccin URL de cierre de sesin configurada en una solicitud de usuario, cierra la sesin del usuario, quita la cookie de
autenticacin del equipo cliente y anota que la cookie se ha revocado. A continuacin, Forefront TMG presenta la pgina de cierre de sesin al usuario, lo que
indica que el cierre de sesin se ha realizado correctamente.
Las cookies no permanentes se eliminan del equipo cliente cuando se cierran todas las ventanas del explorador (lo que finaliza el proceso del explorador) o
cuando el usuario cierra la sesin en el equipo. Las cookies permanentes permanecen en el equipo despus de cerrar la ventana del explorador y slo se
eliminan cuando el usuario cierra la sesin en el equipo. Tambin puede configurar un tiempo mximo de inactividad de forma que, si un usuario abandona un
equipo y deja el explorador abierto e inactivo, la cookie expira automticamente.
Si selecciona utilizar cookies permanentes, puede especificar si se utilizan en equipos pblicos o privados. Tenga en cuenta que, al iniciar una sesin, el usuario
indica si lo hace desde un equipo pblico o privado.
En un equipo pblico, si el usuario no cierra sesin, el siguiente usuario puede utilizar la cookie de sesin para obtener acceso a sitios publicados. Esta amenaza
se puede mitigar no habilitando cookies persistentes para equipos pblicos.
Utilice cookies permanentes para permitir la apertura de documentos desde Microsoft Windows SharePoint Services sin que los usuarios tengan que
proporcionar credenciales de nuevo. No obstante, se recomienda habilitar cookies permanentes nicamente en equipos privados.
Como medida adicional para evitar problemas de seguridad asociados a las cookies, se recomienda crear un proceso de cierre de sesin que elimine las cookies
y acostumbrar a los usuarios corporativos a cerrar la sesin cada vez que abandonen un equipo pblico. El proceso de cierre de sesin debe activarse al hacer
clic en un vnculo o en un botn de la pgina web corporativa.
Cuando una sesin llega al final del perodo de espera, los clientes tienen que iniciar la sesin con sus credenciales de usuario.
Se recomienda que, al configurar el perodo de espera para la autenticacin basada en formularios, el perodo de espera sea inferior al impuesto por el servidor
publicado. Si el servidor publicado agota el tiempo de espera antes que Forefront TMG, el usuario puede creer (equivocadamente) que la sesin ha finalizado.
Esto podra permitir a un intruso usar la sesin, que permanecera abierta hasta que el usuario la cerrara activamente o hasta que Forefront TMG superara el
tiempo de espera (segn lo configurado en el formulario).
Configurar certificados de servidor para la publicacin de web segura
Al publicar servidores web u Outlook Web Access, Forefront TMG utiliza los certificados de la forma siguiente:

Protocolo puente de HTTPS a HTTP:

Conexin HTTPS entre el cliente externo y el equipo Forefront TMG.

Conexin HTTP entre el equipo Forefront TMG y el servidor web backend.
Nota:
Este escenario requiere un certificado de servidor en el equipo Forefront TMG para autenticarlo en el cliente externo.

Protocolo puente de HTTPS a HTTPS:

Conexin HTTPS entre el cliente externo y el equipo Forefront TMG

Conexiones HTTP entre el equipo Forefront TMG y el servidor web backend
Nota:
Este escenario requiere un certificado de servidor en el equipo Forefront TMG para autenticarlo en el cliente externo y requiere un certificado de servidor en el
servidor web backend para autenticarlo en el equipo Forefront TMG.
Para obtener instrucciones, consulte los procedimientos siguientes:

Solicitar un certificado de una entidad de certificacin comercial

Instalar un certificado de una entidad de certificacin comercial

Exportar un certificado de un servidor web

Importar un certificado a un equipo Forefront TMG

Quitar un certificado de un servidor web

Solicitar un certificado de una entidad de certificacin local
Solicitar un certificado de una entidad de certificacin local
Si los certificados de servidor son para uso interno, puede crear una entidad de certificacin local (CA) en vez de comprar un certificado comercial.
Para configurar una entidad de certificacin local
1. Abra el Panel de control.
2. Haga doble clic en Agregar o quitar programas.
3. Haga clic en Agregar o quitar componentes de Windows.
4. Haga doble clic en Servidor de aplicaciones.
5. Haga doble clic en Internet Information Services (IIS).
6. Haga doble clic en Servicio World Wide Web.
7. Seleccione Pginas Active Server.
8. Haga clic en Aceptar para cerrar el cuadro de dilogo Servicio World Wide Web, haga clic en Aceptar para cerrar el cuadro de dilogo Internet Information
Services (IIS) y, a continuacin, haga clic en Aceptar para cerrar el cuadro de dilogo Servidor de aplicaciones.

175
9. Seleccione Servicios de servidor de certificados. Lea el mensaje de advertencia sobre el nombre del equipo y su pertenencia a un dominio. En el cuadro de
dilogo de la advertencia, haga clic en S si desea continuar y, a continuacin, haga clic en Siguiente en la pgina Componentes de Windows.
10. En la pgina Tipo de entidad de certificacin, elija una de las siguientes opciones y haga clic en Siguiente:

CA raz de la empresa. Se debe instalar una entidad de certificacin raz de empresa en un miembro del dominio. La entidad de certificacin raz de
empresa emitir certificados automticamente cada vez que se los soliciten los usuarios autorizados (reconocidos por el controlador de dominio).

Entidad de certificacin raz independiente. Una entidad de certificacin raz independiente necesita que el administrador emita cada certificado
solicitado.
11. En la pgina Identificacin de la entidad de certificacin, escriba un nombre comn para la entidad de certificacin, compruebe el sufijo de nombre completo,
seleccione un perodo de validez y, a continuacin, haga clic en Siguiente.
12. En la pgina Configuracin de la base de datos de certificados, revise la configuracin predeterminada. Compruebe las ubicaciones de la base de datos. Haga clic
en Siguiente.
13. En la pgina Finalizacin del Asistente para componentes de Windows, revise la informacin de resumen y haga clic en Finalizar.
Nota:
Este procedimiento tambin instala los servicios que permiten a los equipos obtener los certificados a travs de una pgina web. Si prefiere utilizar un enfoque distinto
para obtener los certificados de los equipos, no es necesario que realice las instalaciones de IIS (Internet Information Server) ni de las pginas Active Server (ASP) que
se describen en este procedimiento.
Debe publicar el sitio web de la entidad de certificacin para permitir el acceso a l. Para limitar el acceso al sitio web, puede publicar nicamente las carpetas
especficas del sitio web necesarias para un grupo especfico de usuarios, en lugar de publicar un servidor completo para todos los usuarios. Para obtener ms
informacin acerca de la publicacin de web, vea Planeacin de publicacin.
Para instalar un certificado de servidor
1. Abra Internet Explorer.
2. En el men, seleccione Herramientas y, a continuacin, Opciones de Internet.
3. Seleccione la ficha Seguridad y, en Seleccionar una zona para ver o modificar la configuracin de seguridad, haga clic en Sitios de confianza.
4. Haga clic en el botn Sitios para que se abra el cuadro de dilogo Sitios de confianza.
5. En Agregar este sitio web a la zona de, proporcione el nombre del sitio web del servidor de certificados (http://direccin IP del servidor de entidad de
certificacin/certsrvname) y, a continuacin, haga clic en Agregar.
6. Haga clic en Cerrar para que se cierre el cuadro de dilogo Sitios de confianza y, a continuacin, haga clic en Aceptar para cerrar Opciones de Internet.
7. Vaya a la direccin:
http://direccin IP del servidor de la entidad de certificacin/certsrv
8. Solicite un certificado.
9. Seleccione Solicitud de certificado avanzada.
10. Seleccione Crear y enviar una solicitud a esta entidad.
11. Complete el formulario y seleccione Certificado de autenticacin de servidor en la lista desplegable Tipo. Para evitar que el cliente reciba un mensaje de error al
intentar establecer la conexin, es vital que el nombre comn especificado para el certificado coincida con el nombre del servidor publicado, como se indica a
continuacin:

En un entorno de publicacin de servidor, escriba el nombre de dominio completo (FQDN) para el servidor que est publicando en Nombre comn.
Nota:
Si desea ver una explicacin de las opciones disponibles en la pgina Solicitud de certificado avanzada, consulte el artculo sobre el uso de pginas web de Servicios
de Certificate Server en Windows Server 2003 (http://www.microsoft.com).

En un entorno de publicacin de web, para solicitar un certificado del equipo Forefront TMG, escriba el nombre de host que los clientes externos
escribirn en su explorador web para obtener acceso al sitio web; por ejemplo, news.adatum.com.

En un entorno de publicacin de web, si instala tambin un certificado de servidor en el servidor web, adems del certificado necesario en el equipo
Forefront TMG, el nombre comn debe ser el nombre de host que utiliza el equipo Forefront TMG para enviar mensajes de solicitud HTTP al servidor
web mediante la regla de publicacin de web. Este nombre debe poder resolverse en forma de direccin IP del servidor web y debe ser el mismo que
el FQDN del servidor web, por ejemplo, webserver1.adatum.com.
12. Seleccione Almacenar el certificado en el almacn de certificados del equipo local y enve la solicitud haciendo clic en Enviar. Lea el mensaje de advertencia que
aparece y haga clic en S.
13. Si ha instado una entidad de certificacin raz independiente, realice los pasos siguientes en el equipo de la entidad de certificacin. En una entidad de
certificacin raz de empresa, estos pasos estn automatizados.
a. Haga clic en Inicio, Todos los programas, Herramientas administrativas y, a continuacin, en Entidad de certificacin para abrir el complemento
Entidad de certificacin de Microsoft Management Console (MMC).
b. Expanda el nodo NombreCA, donde NombreCA es el nombre de su entidad de certificacin.
c. Haga clic en el nodo Solicitudes pendientes, haga clic con el botn secundario en su solicitud, seleccione Todas las tareas y, a continuacin, seleccione
Emitir.
14. En el equipo Forefront TMG, vuelva a la pgina web http://direccin IP del servidor de la entidad de certificacin/certsrv y, a continuacin, haga clic en Ver
estado de solicitud pendiente.
15. Haga clic en su solicitud y elija Instalar este certificado.
16. Siga estos pasos para comprobar que el certificado de servidor se ha instalado correctamente.
. Haga clic en Inicio, seleccione Ejecutar, escriba mmc en el cuadro de texto Abrir y, a continuacin, haga clic en Aceptar.
a. En la ventana Console1, haga clic en el men Archivo y luego en Agregar o quitar complemento.
b. En el cuadro de dilogo Agregar o quitar complemento, seleccione Certificados y, a continuacin, haga clic en Agregar.
c. En la pgina Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.
d. En la pgina Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.
e. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Aceptar.
f. En el rbol de la consola, ample el nodo Certificados (equipo local), expanda Personal, haga clic en Certificados y, a continuacin, haga doble clic en
el nuevo certificado de servidor. En la ficha General, deber figurar la siguiente nota: Tiene una clave privada correspondiente a este certificado. En la
ficha Ruta de certificado, deber verse una relacin jerrquica entre su certificado y la entidad de certificacin (CA), as como la siguiente nota: Este
certificado es correcto.
g. Cierra la ventana Console1.

176
Nota:
Este procedimiento debe realizarse en un equipo que requiera un certificado digital. En el caso de la publicacin de web, este sera, como mnimo, el equipo Forefront
TMG, aunque podra incluirse tambin el equipo del servidor web. En el caso de la publicacin de servidor, se tratara nicamente del equipo del servidor que se est
publicando. Si instal una entidad de certificacin raz independiente en lugar de una entidad de certificacin raz de empresa, tambin se deben realizar determinadas
acciones en la entidad de certificacin.
En un equipo Forefront TMG, el certificado de servidor de la entidad de certificacin debe guardarse en el almacn personal de certificados del equipo de Forefront
TMG. El certificado raz de la entidad de certificacin debe guardarse en el almacn Entidades de certificacin raz de confianza del equipo de Forefront TMG.
Para que un equipo cliente confe en los certificados de servidor que ha instalado desde una entidad de certificacin local, este equipo tiene que tener instalado el certificado
raz de la entidad de certificacin. Siga este procedimiento en cualquier equipo cliente que requiera el certificado raz. Tenga en cuenta que tambin puede transferir el
certificado raz en un medio como, por ejemplo, un disco, e instalarlo a continuacin en el equipo cliente.
Para instalar un certificado raz
1. Abra Internet Explorer.
2. En el men, seleccione Herramientas y, a continuacin, Opciones de Internet.
3. Seleccione la ficha Seguridad y haga clic en Personalizar nivel para abrir el cuadro de dilogo Configuracin de seguridad. En el men desplegable Restablecer
configuracin personal, establezca el valor en Media, haga clic en Aceptar para cerrar el cuadro de dilogo Configuracin de seguridad y, a continuacin, haga
clic en Aceptar para cerrar el cuadro de dilogo Opciones de Internet.
Nota:
No es posible instalar el certificado cuando la configuracin de seguridad tiene el valor Alta.
4. Vaya a la direccin:
http:// direccin IP del servidor de la entidad de certificacin/certsrv
5. Haga clic en Descargar certificado de entidad de certificacin, cadena de certificados o lista de revocacin de certificados. En la pgina siguiente, haga clic en
Descargar certificado de entidad de certificacin. Este es el certificado raz de la entidad de certificacin que debe instalarse en el equipo Forefront TMG. En el
cuadro de dilogo Descarga de archivos, haga clic en Abrir.
6. En el cuadro de dilogo Certificado, haga clic en Instalar certificado para iniciar el Asistente para importacin de certificados.
7. En la pgina de bienvenida del Asistente para importacin de certificados, haga clic en Siguiente. En la pgina Almacn de certificados, seleccione Colocar todos
los certificados en el siguiente almacn y haga clic en Examinar. En el cuadro de dilogo Seleccionar almacn de certificados, seleccione Mostrar almacenes
fsicos. Expanda Entidades de certificacin raz de confianza, seleccione Equipo local y, a continuacin, haga clic en Aceptar. En la pgina Almacn de
certificados, haga clic en Siguiente.
8. En la pgina Finalizacin del Asistente para importacin de certificados, revise los detalles y haga clic en Finalizar.
9. Siga estos pasos para comprobar que el certificado raz se ha instalado correctamente.
a. Abra el complemento Certificados (equipo local) de Microsoft Management Console (MMC).
b. Expanda el nodo Entidades de certificacin raz de confianza, haga clic en Certificados y compruebe que el certificado raz est en su lugar.
Nota:
Tambin puede instalar los certificados en un equipo desde el complemento de MMC Certificados (Equipo local). Sin embargo, esto solo proporciona acceso a las
entidades de certificacin del mismo dominio.
Instalar un certificado de una entidad de certificacin comercial
Este procedimiento se puede utilizar para instalar un certificado obtenido de una entidad de certificacin comercial slo en el equipo desde donde se solicit el certificado.
Para instalar un certificado de una entidad de certificacin comercial
1. En el equipo que aloja el sitio web que prev publicar, haga clic en Inicio y, a continuacin, seleccione Herramientas administrativas. Haga clic en Administrador
de Internet Information Services (IIS).
2. En el Administrador de Internet Information Services (IIS), expanda Sitios web.
3. Haga clic con el botn secundario en el sitio web que tenga una solicitud de certificado pendiente y, a continuacin, haga clic en Propiedades.
4. Haga clic en la ficha Seguridad de directorios.
5. En Comunicaciones seguras, haga clic en Certificado de servidor.
6. En la pgina Bienvenido al Asistente para certificados de servidor web, haga clic en Siguiente.
7. Seleccione Procesar la solicitud pendiente e instalar el certificado y haga clic en Siguiente.
8. Escriba la ruta de acceso al archivo de respuesta del certificado (o examine para localizar el archivo) y, a continuacin, haga clic en Siguiente.
9. En la pgina Puerto SSL, seleccione el puerto SSL que utilizar el sitio web. De forma predeterminada, el puerto 443.
10. En la pgina Resumen del certificado, revise la informacin para asegurarse de que se est procesando el certificado correcto y, a continuacin, haga clic en
Siguiente.
11. En la pgina Finalizacin del Asistente para certificados de servidor web, haga clic en Finalizar.
12. Compruebe que el certificado de servidor se ha instalado correctamente mediante los pasos siguientes.
a. Haga clic en Inicio, seleccione Ejecutar, escriba mmc en el cuadro de texto Abrir y haga clic en Aceptar.
b. En la ventana Console1, haga clic en el men Archivo y luego en Agregar o quitar complemento.
c. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Agregar.
d. En el cuadro de dilogo Agregar un complemento independiente, seleccione Certificados y haga clic en Agregar.
e. En la pgina Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.
f. En la pgina Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.
g. En el cuadro de dilogo Agregar un complemento independiente, haga clic en Cerrar.
h. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Aceptar.
i. En el rbol de consola, despliegue el nodo Certificados (equipo local), despliegue Personal, haga clic en Certificados y haga doble clic en el nuevo
certificado de servidor. En la ficha General, deber figurar la siguiente nota: Tiene una clave privada correspondiente a este certificado. En la ficha
Ruta de certificado, deber verse una relacin jerrquica entre su certificado y la entidad de certificacin (CA), as como la siguiente nota: Este
j. Cierra la ventana Console1. Guarde la configuracin de la consola con un nombre descriptivo, como, por ejemplo, CertificadosEquipoLocal.msc.

177
Nota:
Si desea instalar el certificado en un equipo Forefront TMG, debe instalarlo antes en el servidor web desde donde se solicit, exportarlo a un archivo, copiar el
archivo en el equipo Forefront TMG y, a continuacin, importar el certificado del archivo.
Una vez haya realizado este procedimiento correctamente, puede exportar el certificado a un archivo que se puede importar a otro equipo. Para obtener
instrucciones, vea Exportar un certificado de un servidor web.
Exportar un certificado de un servidor web
Para exportar un certificado de un servidor web
1. En el equipo donde ha instalado el certificado del sitio web que planea publicar, haga clic en Inicio, haga clic en Ejecutar, escriba mmc en el cuadro de texto
Abrir y, a continuacin, en Aceptar.
2. En la ventana Console1, haga clic en el men Archivo y luego en Agregar o quitar complemento.
3. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Agregar.
4. En el cuadro de dilogo Agregar un complemento independiente, seleccione Certificados y haga clic en Agregar.
5. En la pgina Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.
6. En la pgina Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.
7. En el cuadro de dilogo Agregar un complemento independiente, haga clic en Cerrar.
8. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Aceptar.
9. En el rbol de la consola, despliegue el nodo Certificados (equipo local), despliegue Personal y haga clic en Certificados.
10. Haga clic con el botn secundario en el certificado para el que aparezca el nombre del sitio web en la columna Emitido a del panel de detalles, haga clic en Todas
las tareas y, a continuacin, haga clic en Exportar.
11. En la pgina de bienvenida del Asistente para exportacin de certificados, haga clic en Siguiente.
12. En la pgina Exportar clave privada, seleccione Exportar la clave privada y haga clic en Siguiente.
13. En la pgina Formato de archivo de exportacin, seleccione Intercambio de informacin personal. Conserve la configuracin predeterminada de las tres casillas
de verificacin y haga clic en Siguiente.
14. En la pgina Contrasea, asigne una contrasea para proteger el archivo exportado, confrmela y haga clic en Siguiente.
15. En la pgina Archivo que se va a exportar, especifique un nombre y ubicacin para el archivo de exportacin, haga clic en Guardar y, a continuacin, haga clic en
Siguiente.
16. En la pgina Finalizacin del Asistente para exportacin de certificados, haga clic en Finalizar. Asegrese de proteger el archivo recin creado porque la
capacidad para utilizar el protocolo SSL depende de este archivo.
17. Copie el archivo que ha creado en el equipo Forefront TMG.
Nota:
La opcin Exportar la clave privada no est disponible en la pgina Exportar clave privada del Asistente para exportacin de certificados si la clave privada ya
se ha exportado a otro equipo o si nunca ha existido en el servidor web. Este certificado no se puede utilizar en el equipo Forefront TMG. Debe solicitar un
nuevo certificado de Forefront TMG para este sitio web.
Tras realizar correctamente este procedimiento, puede importar el certificado a un equipo Forefront TMG. Para obtener instrucciones, vea Importar un
certificado a un equipo Forefront TMG.
Importar un certificado a un equipo Forefront TMG
Antes de realizar esta tarea, debe exportar el certificado a un archivo desde el servidor web en el que se solicit e instal el certificado y debe copiar el archivo en el equipo
de Forefront TMG.
Para importar un certificado a un equipo Forefront TMG
1. En el equipo Forefront TMG, haga clic en Inicio, haga clic en Ejecutar, escriba mmc el cuadro de texto Abrir y haga clic en Aceptar.
3. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Agregar.
4. En el cuadro de dilogo Agregar un complemento independiente, seleccione Certificados y haga clic en Agregar.
7. En el cuadro de dilogo Agregar un complemento independiente, haga clic en Cerrar.
8. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Aceptar.
9. En el rbol de la consola, despliegue el nodo Certificados (equipo local) y haga clic con el botn secundario en Personal.
10. Seleccione Todas las tareas y haga clic en Importar.
11. En la pgina de bienvenida del Asistente para importacin de certificados, haga clic en Siguiente.
12. En la pgina Archivo para importar, busque el archivo creado anteriormente al exportar el certificado y, a continuacin, haga clic en Siguiente.
13. En la pgina Contrasea, escriba la contrasea para el archivo y haga clic en Siguiente.
Importante:
La pgina Contrasea incluye la opcin Marcar esta clave como exportable. No seleccione esta opcin si desea impedir la exportacin de la clave del equipo de
Forefront TMG.
14. En la pgina Almacn de certificados, compruebe que Colocar todos los certificados en el siguiente almacn est seleccionado, compruebe que Almacn de
certificados est definido en Personal (la configuracin predeterminada) y haga clic en Siguiente.
15. En la pgina Finalizacin del Asistente para importacin de certificados, haga clic en Finalizar.
16. Compruebe que el certificado de servidor se ha instalado correctamente mediante los pasos siguientes:
a. Haga clic en Inicio, seleccione Ejecutar, escriba mmc en el cuadro de texto Abrir y haga clic en Aceptar.
b. En la ventana Console1, haga clic en el men Archivo y luego en Agregar o quitar complemento.
c. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Agregar.

178
d. En el cuadro de dilogo Agregar un complemento independiente, seleccione Certificados y haga clic en Agregar.
e. En la pgina Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente.
f. En la pgina Seleccionar equipo, seleccione Equipo local y haga clic en Finalizar.
g. En el cuadro de dilogo Agregar un complemento independiente, haga clic en Cerrar.
h. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Aceptar.
i. En el rbol de consola, despliegue el nodo Certificados (equipo local), despliegue Personal, haga clic en Certificados y haga doble clic en el nuevo
certificado de servidor. En la ficha General, deber figurar la siguiente nota: Tiene una clave privada correspondiente a este certificado. En la ficha
Ruta de certificado, deber verse una relacin jerrquica entre su certificado y la entidad de certificacin (CA), as como la siguiente nota: Este
j. Cierra la ventana Console1.
Nota:
Una vez realizado correctamente este procedimiento, puede eliminar el certificado del servidor web en que se solicit e instal el certificado.
Quitar un certificado de un servidor web
Si desea utilizar otro certificado para el sitio web que va a publicar en el servidor web, tras exportar el certificado desde el servidor web en el que se solicit el certificado e
importar el certificado a un equipo Forefront TMG, debe desasociar el certificado exportado del sitio web en Internet Information Services (IIS). Se recomienda adems
eliminar el certificado del servidor web. De esta forma, reducir la posibilidad de que se utilice el certificado en cualquier otra ubicacin.
Utilice los siguientes procedimientos para eliminar el certificado del servidor web. Estos procedimientos disocian el certificado del sitio web en IIS y eliminan el certificado
del equipo.
Para disociar el certificado del sitio web en IIS
1. En el servidor web, haga clic en Inicio y, a continuacin, seleccione Herramientas administrativas. Haga clic en Administrador de Internet Information Services
(IIS).
2. En el Administrador de Internet Information Services (IIS), despliegue Sitios web, haga clic con el botn secundario en el nombre del sitio web correspondiente y
luego haga clic en Propiedades.
3. En el cuadro de dilogo Propiedades, haga clic en la ficha Seguridad de directorios.
4. En la ficha Seguridad de directorios, haga clic en el botn Certificado de servidor para iniciar el Asistente para certificados de servidor web.
6. En la pgina Modificar la asignacin de certificados actual, seleccione Quitar el certificado actual y, a continuacin, haga clic en Siguiente.
7. En la pgina Quitar un certificado, haga clic en Siguiente.
9. Cierre el Administrador de Internet Information Services (IIS).
Para eliminar el certificado del equipo
1. Abra la consola MMC que cre en Instalar un certificado de una entidad de certificacin comercial. Para hacerlo, haga clic en Inicio, elija Todos los programas,
elija Herramientas administrativas y seleccione LocalComputerCertificates.msc (o el nombre que haya especificado al guardar la configuracin de la consola).
2. En el rbol de la consola, despliegue el nodo Certificados (equipo local), despliegue Personal, haga clic en Certificados y haga clic con el botn secundario en el
certificado. Haga clic en Eliminar y, a continuacin, en Aceptar en el cuadro de dilogo de advertencia.
Solicitar un certificado de una entidad de certificacin comercial
Para solicitar un certificado de una entidad de certificacin comercial
1. En el equipo que hospeda el sitio web que prev publicar, haga clic en Inicio y, a continuacin, seleccione Herramientas administrativas. Haga clic en
Administrador de Internet Information Services (IIS).
2. En el Administrador de Internet Information Services (IIS), despliegue Sitios web, haga clic con el botn secundario en el nombre del sitio web correspondiente y
luego haga clic en Propiedades.
3. En el cuadro de dilogo Propiedades, haga clic en la ficha Seguridad de directorios.
4. En la ficha Seguridad de directorios, haga clic en el botn Certificado de servidor para iniciar el Asistente para certificados de servidor web.
6. En la pgina Certificado de servidor, seleccione Crear un certificado nuevo y luego en Siguiente.
7. En la pgina Solicitud demorada o inmediata, seleccione Preparar la solicitud ahora pero enviarla ms tarde y, a continuacin, haga clic en Siguiente.
8. En la pgina Nombre y configuracin de seguridad, especifique un nombre descriptivo para el sitio. Este nombre no es vital para el funcionamiento del
certificado, as que escoja un nombre fcil de utilizar y recordar.
9. En la lista desplegable Longitud en bits, seleccione la longitud en bits de la clave que desea utilizar, indique si desea seleccionar un proveedor de servicios de
cifrado (CSP) para el certificado y, a continuacin, haga clic en Siguiente.
10. En la pgina Informacin de la organizacin, escriba el nombre de la organizacin en el cuadro de texto Organizacin y escriba el nombre de una unidad
organizativa en el cuadro de texto Unidad organizativa. Por ejemplo, si su empresa se llama Fabrikam, Inc. y desea configurar un servidor web para el
departamento de ventas, puede escribir Fabrikam para la organizacin y Ventas para la unidad organizativa. Haga clic en Siguiente.
11. En la pgina Nombre comn de su sitio web, especifique el nombre comn (CN) del sitio web en el cuadro de texto Nombre comn.
Importante:
En la publicacin de web, si se va a exportar el certificado al equipo Forefront TMG, el nombre del certificado debe coincidir con el nombre pblico utilizado para
publicar el sitio web en la regla de publicacin de web. Si el certificado va a permanecer en el servidor web, el nombre del certificado debe coincidir con el nombre de
host que utiliza Forefront TMG en los mensajes de solicitud HTTP enviados al sitio web. Este nombre es el nombre de sitio interno especificado en la ficha A de la
regla de publicacin de web.
En la publicacin de servidor, el certificado debe tener el nombre que utilizarn los usuarios para conectarse al servidor.
12. Haga clic en Siguiente.
13. En la pgina Informacin geogrfica, en Pas o regin, seleccione su pas o regin de la lista. En Estado o provincia y en Ciudad o localidad, escriba los nombres
correspondientes sin utilizar abreviaturas y, a continuacin, haga clic en Siguiente.
14. En la pgina Nombre de archivo de solicitud de certificado, escriba un nombre para el archivo de solicitud de certificado que est a punto de crear. Este archivo
contendr toda la informacin incluida en este procedimiento, as como la clave pblica del sitio. Con esta opcin, se crea un archivo .txt una vez completados los
pasos del procedimiento. El nombre predeterminado del archivo es Certreq.txt. Haga clic en Siguiente.

179
15. En la pgina Resumen del archivo de solicitud, compruebe que toda la informacin sea correcta y, a continuacin, haga clic en Siguiente.
17. Enve el archivo de solicitud a una entidad de certificacin (CA) comercial segn las instrucciones proporcionadas por ella. La entidad de certificacin genera un
archivo de respuesta de certificado que contiene su clave pblica y que est firmada digitalmente por la entidad de certificacin comercial. El archivo de
respuesta se usa para instalar el certificado.
Nota:
Para enviar el archivo de solicitud a la entidad de certificacin comercial, debe obtener acceso al sitio web de la entidad. Es recomendable copiar el archivo de
solicitud del servidor web en un equipo con acceso a Internet y enviarlo a continuacin a la entidad de acuerdo con sus instrucciones.
Tambin puede permitir la conectividad desde el servidor web a la entidad de certificacin comercial si crea una regla acceso de Forefront TMG en los
protocolos que usa la entidad de certificacin. La regla de acceso debe ser lo ms especfica posible. Por ejemplo, si necesita acceso con el protocolo HTTP a
un conjunto de direcciones URL relacionadas nicamente con el sitio web de la entidad de certificacin, cree una regla de permiso de un conjunto de equipos
que contenga slo el servidor web y que permita slo el trfico HTTP.
Tras realizar correctamente este procedimiento, la siguiente tarea es instalar el certificado en el servidor web. Para obtener instrucciones, vea Instalar un
certificado de una entidad de certificacin comercial.
Utilizar certificados comodn
Al usar Forefront TMG para publicar de forma segura varios sitios web con diferentes nombres de host, puede usar varios certificados de servidor SSL con diferentes
nombres en una nica escucha de web para el protocolo de enlace SSL con los clientes web. No obstante, cuando se especifican varios certificados de servidor SSL en una
nica escucha de web, debe asignar cada certificado a una direccin web diferente del equipo de Forefront TMG. Otra forma de publicar de forma segura varios sitios web
con diferentes nombres de host es utilizar una nica escucha de web, si especifica un certificado comodn en la escucha de web.
De forma similar, al publicar varios sitios web con diferentes nombres de host en el mismo servidor web, puede instalar un certificado comodn en el servidor web, que se
puede usar para comprobar la identidad del servidor web en el equipo Forefront TMG.
En los siguientes temas se proporcionan instrucciones para usar certificados comodines.

Solicitar un certificado comodn

Exportar un certificado comodn a un archivo

Importar un certificado comodn al almacn personal del equipo local

Quitar un certificado comodn de un servidor web

Obtener un certificado en un servidor web
Solicitar un certificado comodn
Para solicitar un certificado comodn
1. En el equipo que hospeda uno de los sitios web que prev publicar, haga clic en Inicio y, a continuacin, seleccione Herramientas administrativas. Haga clic en
2. En el Administrador de Internet Information Services (IIS), despliegue Sitios web, haga clic con el botn secundario en Sitio web predeterminado y luego en
Propiedades.
3. En el cuadro de dilogo Propiedades del sitio web predeterminado, haga clic en la ficha Seguridad de directorios.
4. En la ficha Seguridad de directorios, haga clic en Certificado de servidor.
7. En la pgina Solicitud demorada o inmediata, seleccione Enviar la solicitud inmediatamente a una entidad de certificacin en lnea y luego en Siguiente.
8. En la pgina Nombre y configuracin de seguridad, deje la configuracin predeterminada en el cuadro de texto Nombre y en la lista desplegable Longitud en bits.
10. En la pgina Informacin de la organizacin, escriba el nombre de la organizacin en el cuadro de texto Organizacin y, a continuacin, escriba el nombre de una
unidad organizativa en el cuadro de texto Unidad organizativa.
12. En la pgina Nombre comn de su sitio web, escriba el nombre que se incluir en el certificado comodn del dominio. Por ejemplo, si todos los servidores web
que prev publicar se encuentran en el dominio fabrikam.com, debe crear un certificado comodn para el dominio fabrikam.com. En este caso, escribira
*.fabrikam.com en el cuadro de texto Nombre comn.
14. En la pgina Informacin geogrfica, en Pas o regin, seleccione su pas o regin de la lista. En Estado o provincia y en Ciudad o localidad, escriba los nombres
correspondientes.
16. En la pgina Puerto SSL, utilice el valor predeterminado de 443 y haga clic en Siguiente.
17. En la pgina Seleccionar entidad de certificacin, utilice la entrada predeterminada, que corresponde a la entidad de certificacin del equipo local y luego en
Siguiente.
18. Repase la informacin de la pgina Envo de solicitud de certificado y luego en Siguiente.
20. Deje el cuadro de dilogo Propiedades del sitio web predeterminado abierto de manera que quede listo para el siguiente procedimiento.
Nota:
Tras realizar correctamente este procedimiento, la siguiente tarea es exportar el certificado comodn a un archivo. Para obtener instrucciones, vea Exportar un
certificado comodn a un archivo.
Exportar un certificado comodn a un archivo
Para exportar un certificado comodn a un archivo

180
1. En el Administrador de Internet Information Services (IIS), en la ficha Seguridad de directorios del cuadro de dilogo Propiedades del sitio web predeterminado,
haga clic en el botn Certificado de servidor.
3. En la pgina Modificar la asignacin de certificados actual, seleccione Exportar el certificado actual a un archivo .pfx y, a continuacin, haga clic en Siguiente.
4. En la pgina Exportar certificado, utilice la ubicacin predeterminada del cuadro de texto Ruta de acceso y nombre de archivo y haga clic en Siguiente.
5. En la pgina Contrasea de certificado, especifique una contrasea para proteger la clave privada en el cuadro de texto Contrasea y confrmela en el cuadro de
texto Confirmar contrasea.
6. Revise la configuracin de la pgina Resumen de exportacin del certificado y, a continuacin, haga clic en Siguiente.
8. En el cuadro de dilogo Propiedades del sitio web predeterminado, haga clic en Aceptar.
Nota:
En este procedimiento, el certificado se exporta a un archivo con su clave privada.
Tras realizar correctamente este procedimiento, la siguiente tarea es importar el certificado comodn al equipo de Forefront TMG. Para obtener instrucciones,
vea Importar un certificado comodn al almacn personal del equipo local.
Importar un certificado comodn al almacn personal del equipo local
Para importar un certificado comodn al almacn personal del equipo local
1. Copie el archivo que contiene el certificado comodn exportado en el equipo Forefront TMG.
2. Haga clic en Inicio, seleccione Ejecutar, escriba mmc en el cuadro de texto Abrir y, a continuacin, haga clic en Aceptar.
4. En el cuadro de dilogo Agregar o quitar complementos, seleccione Certificados y haga clic en Agregar.
7. En el cuadro de dilogo Agregar o quitar complementos, haga clic en Aceptar.
8. En el rbol de la consola, despliegue el nodo Certificados (equipo local). Haga clic con el botn secundario en el nodo Personal, seleccione Todas las tareas y
haga clic en Importar.
9. En la pgina de bienvenida del Asistente para importacin de certificados, haga clic en Siguiente.
10. En la pgina Archivo para importar, haga clic en Examinar y busque y seleccione el archivo de certificado que ha copiado en el equipo Forefront TMG local.
Haga clic en Siguiente cuando el nombre del archivo seleccionado aparezca en el cuadro de texto Nombre de archivo.
11. En la pgina Contrasea, escriba la contrasea asignada al archivo de certificado en el cuadro de texto Contrasea y, a continuacin, seleccione Marcar esta clave
como exportable.
12. En la pgina Almacn de certificados, compruebe que Colocar todos los certificados en el siguiente almacn est seleccionado y haga clic en Siguiente.
13. En la pgina Finalizacin del Asistente para importacin de certificados, haga clic en Finalizar.
14. En el cuadro de dilogo Asistente para importacin de certificados que informa de que la importacin ha sido correcta, haga clic en Aceptar.
15. En el rbol de la consola, despliegue el nodo Personal y haga clic en Certificados.
16. En el panel de detalles, haga doble clic en certificado comodn. En la ficha Ruta de certificado, el nombre de la entidad de certificacin (CA) que emiti el
certificado debe aparecer al principio de la lista. Si no hace, reinicie el equipo de Forefront TMG y abra este complemento. Si el nombre de entidad de
certificacin no aparece en la parte superior de la lista, el certificado de la CA raz no se instala en el almacn Entidades de certificacin raz de confianza. Como
hemos instalado una entidad de certificacin de empresa y el equipo de Forefront TMG es miembro del mismo dominio que la entidad de certificacin de
empresa, el certificado de la entidad de certificacin raz debe agregarse automticamente al almacn Entidades de certificacin raz de confianza del equipo.
17. Expanda el almacn Entidades de certificacin raz de confianza del equipo. En el panel de detalles, debe aparecer el nombre de la entidad que ha emitido el
certificado raz.
18. Cierre la consola MMC y no guarde los cambios.
Nota:
Una vez haya realizado correctamente este procedimiento, la siguiente tarea consiste en eliminar el certificado raz del servidor web en el que se obtuvo. Para obtener
instrucciones, vea Quitar un certificado comodn de un servidor web.
Quitar un certificado comodn de un servidor web
Para quitar un certificado comodn de un servidor web
1. En el servidor web donde se obtuvo el certificado comodn, haga clic en Inicio y, a continuacin, seleccione Herramientas administrativas. Haga clic en
Propiedades.
4. En la ficha Seguridad de directorios, haga clic en el botn Certificado de servidor.
6. En la pgina Modificar la asignacin de certificados actual, seleccione Quitar el certificado actual y, a continuacin, haga clic en Siguiente.
7. En la pgina Quitar un certificado, haga clic en Siguiente.
9. Deje el cuadro de dilogo Propiedades del sitio web predeterminado abierto de manera que quede listo para el siguiente procedimiento.
Nota:
Tras realizar correctamente este procedimiento, la siguiente tarea consiste en obtener un certificado de servidor SSL en cada uno de los servidores web que se
publicarn mediante el certificado comodn. Estos certificados se usarn para autenticar los servidores web en Forefront TMG. Para obtener instrucciones, vea Obtener
un certificado en un servidor web.

181
Obtener un certificado en un servidor web
Para obtener un certificado en un servidor web
1. Si el cuadro de dilogo Propiedades del sitio web predeterminado est abierto, siga en el paso 4.
2. Haga clic en Inicio y seleccione Herramientas administrativas. Haga clic en Administrador de Internet Information Services (IIS).
Propiedades.
5. En la ficha Seguridad de directorios, haga clic en el botn Certificado de servidor.
8. En la pgina Solicitud demorada o inmediata, seleccione Enviar la solicitud inmediatamente a una entidad de certificacin en lnea y luego en Siguiente.
9. En la pgina Nombre y configuracin de seguridad, deje la configuracin predeterminada en el cuadro de texto Nombre y en la lista desplegable Longitud en bits
y, a continuacin, haga clic en Siguiente.
10. En la pgina Informacin de la organizacin, escriba el nombre de la organizacin en el cuadro de texto Organizacin y el nombre de una unidad organizativa en
el cuadro de texto Unidad organizativa y, a continuacin, haga clic en Siguiente.
11. En la pgina Nombre comn de su sitio web , escriba el nombre de host que Forefront TMG usa para reenviar solicitudes al servidor web. Este nombre debe
incluir el nombre del dominio donde residen todos los servidores web que se van a publicar con el certificado comodn. Por ejemplo, escriba news.fabrikam.com
en el cuadro de texto Nombre comn.
13. En la pgina Informacin geogrfica, en Pas o regin, seleccione el pas o regin en la lista. En Estado o provincia y en Ciudad o localidad, escriba los nombres
correspondientes y, a continuacin, haga clic en Siguiente.
14. En la pgina Puerto SSL, utilice el valor predeterminado de 443 y haga clic en Siguiente.
15. En la pgina Seleccionar entidad de certificacin, utilice la entrada predeterminada, que corresponde a la entidad de certificacin del equipo local y luego en
Siguiente.
16. Repase la informacin de la pgina Envo de solicitud de certificado y luego en Siguiente.
18. En el cuadro de dilogo Propiedades del sitio web predeterminado, haga clic en Aceptar.
Nota:
Una vez haya realizado correctamente este procedimiento para cada servidor web, debe crear una escucha de web que acte en el puerto SSL y que utilice el
certificado comodn. A continuacin, debe crear una regla de publicacin de web que utilice esta escucha de web en cada sitio web.
Puede utilizar Forefront TMG para publicar un servidor Outlook Web Access para que los usuarios puedan tener acceso a sus mensajes de correo electrnico tanto desde los
equipos de sus casas como desde cibercafs. Al publicar Outlook Web Access, resulta importante que no se transmitan las credenciales de usuario a travs de Internet en
texto sin formato, que no se dejen en los equipos cliente y que la conexin entre el equipo Forefront TMG y el servidor de Exchange sea segura, de forma que solo el
propietario de un buzn de correo tenga acceso a l.
En los siguientes temas se describe cmo configurar la publicacin de Outlook Web Access.

Configurar acceso para clientes de Outlook Web Access

Configurar Outlook Web Access con autenticacin basada en formularios

Impedir que los datos adjuntos alcancen clientes Outlook Web Access

Para configurar el perodo de tiempo de espera de sesin inactiva para clientes Outlook Web Access
Configurar acceso para clientes de Outlook Web Access
Para configurar el acceso para clientes de Outlook Web Access
web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de cliente OWA.
cliente
Direcciones IP de
escuchas de web
en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione Direcciones IP
especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP
disponibles, seleccione la direccin IP del sitio web, haga clic en Agregar y luego en Aceptar.
En una matriz con varios miembros de matriz, seleccione la misma direccin IP virtual para
todos los miembro de la matriz si el equilibrio de carga de red est habilitado. De lo contrario,
seleccione una direccin IP adecuada para cada miembro de la matriz.

182
Certificados SSL de
escucha
certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen para
tener acceso al sitio web publicado aparezca en el campo Emitido a.
Para obtener instrucciones sobre cmo usar Autenticacin de formularios HTML, vea Configurar
Outlook Web Access con autenticacin basada en formularios.
Forefront TMG validar las
credenciales del cliente.
Para autenticacin HTTP, si selecciona autenticacin bsica en la implementacin de un grupo de
trabajo, podr seleccionar LDAP (Active Directory) o RADIUS.
de sesin nico
formularios.
web
Revise la configuracin y haga clic en Finalizar. Si aparece un cuadro de mensaje, haga clic en S
para habilitar la regla de directiva de sistema Permitir todo el trfico HTTP desde el servidor
Forefront TMG hacia todas las redes (para las descargas de CRL).
6. En la ficha Tareas, haga clic en Publicar acceso de cliente web de Exchange para abrir el Asistente para nueva regla de publicacin de Exchange.
7. En la siguiente tabla se indica cmo finalizar el Asistente para nueva regla de publicacin de Exchange.
para nueva regla de
publicacin de Exchange
Nombre de la regla de
Escriba un nombre para la regla de publicacin de Exchange. Por ejemplo, escriba Clientes
OWA.
Seleccionar Servicios Versin de Exchange Seleccione la versin de Exchange Server que est en ejecucin en sus servidores Exchange.
Servicios de correo de cliente de
web
Seleccione Outlook Web Access.
Tipo de publicacin Seleccione Publicar un nico sitio web o equilibrio de carga. Las otras opciones no entran en el
mbito de este procedimiento.
servidor
Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada. Esta opcin
requiere instalar en cada servidor front-end Exchange un certificado de servidor SSL en el que el
nombre de host que Forefront TMG use para contactar con un servidor Exchange aparezca en el
campo Emitido a.
publicacin
Si el nombre interno del sitio especificado en este campo no puede resolverse y no es el nombre
del equipo la direccin IP del servidor publicado, seleccione Usar un nombre de equipo o
direccin IP para conectar al servidor publicado y escriba un nombre de equipo o direccin IP del
servidor publicado que se pueda resolver.
Nombre pblico Escriba el nombre de dominio completo (FQDN) o la direccin IP pblicos que los usuarios
externos utilizarn para obtener acceso al sitio publicado de Outlook Web Access.
seleccionada.
Delegacin de autenticacin Seleccione el mtodo utilizado
por Forefront TMG para
autenticar el servidor web
publicado.
Si ejecuta Exchange Server 2010, Exchange Server 2007 o Exchange Server 2003 en los
servidores Exchange, puede seleccionar Delegacin limitada de Kerberos. De lo contrario, debe
seleccionar una opcin diferente.
Si utiliza validacin con credenciales de Windows, no cambie la opcin predeterminada (Todos
los usuarios autenticados). Si utiliza validacin RADIUS o LDAP, deber utilizar un conjunto de
usuarios configurado para el espacio de nombres RADIUS o LDAP, respectivamente.
para nueva regla de

183
Nota:
Al publicar a travs de SSL, deber instalarse en el almacn personal correspondiente al equipo local de cada equipo de Forefront TMG de la matriz,un
certificado de servidor SSL emitido para el nombre de host pblico del sitio web publicado. Para obtener ms informacin acerca de la obtencin e instalacin
de los certificados del servidor SSL, vea Configurar certificados de servidor para la publicacin de web segura.
En la pgina Direcciones IP de escucha de web del Asistente para nueva escucha de web, tambin podr seleccionar Direcciones IP predeterminadas para los
adaptadores de red de esta red. Si se ha habilitado Equilibrio de la carga en la red, esta opcin seleccionar automticamente la direccin IP virtual. De lo
contrario, se seleccionar automticamente la direccin IP predeterminada para cada adaptador de red.
Para la autenticacin de certificado de cliente SSL, la regla de directiva de sistema Permitir todo el trfico HTTP desde Forefront TMG hacia todas las redes
(para descargas de CRL) debe estar habilitada. Esta regla de directiva de sistema permite a Forefront TMG recibir actualizaciones sobre las listas de revocacin
de certificados para validar los certificados del cliente.
Si usa validacin con credenciales RADIUS, el equipo de Forefront TMG deber estar registrado como cliente RADIUS en el servidor RADIUS y deber
habilitarse la regla de directiva de sistema RADIUS para permitir el trfico de RADIUS desde el equipo de Forefront TMG (red host local) a la red interna. Esta
regla supone que el servidor RADIUS est ubicado en la red interna.
Si selecciona validacin con credenciales RADIUS, LDAP o RADIUS OTP, deber modificar las propiedades de la escucha de web que haya creado
especificando los servidores RADIUS o LDAP a los que se enviarn las consultas de autenticacin.
Los usuarios se conectan con Outlook Web Access abriendo una direccin URL que suele tener el formato https://nombre_host/exchange. Es posible que tenga
que modificar las asignaciones entre las rutas de acceso especificadas por los usuarios y las rutas internas en la ficha Rutas de acceso de las propiedades de su
Configurar Outlook Web Access con autenticacin basada en formularios
Para configurar Outlook Web Access con autenticacin basada en formularios
web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha basada en
formularios OWA.
de cliente
Direcciones IP de
escuchas de web
estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione Direcciones
IP especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP
disponibles, seleccione la direccin IP del sitio web, haga clic en Agregar y luego en
Aceptar.
Certificados SSL de
escucha
Valores de autenticacin Seleccione la forma en que los clientes
facilitarn sus credenciales a Forefront
TMG.
En la lista desplegable, seleccione Autenticacin de formularios HTML.
Para obtener instrucciones acerca de cmo utilizar la autenticacin de HTTP (la opcin
predeterminada) o Autenticacin de certificados SSL de cliente, vea Configurar acceso para
clientes de Outlook Web Access.
cliente.
Seleccione una de las opciones disponibles. Si se trata de una implementacin de grupo de
trabajo, solo puede utilizar RADIUS, LDAP (Active Directory), RADIUS OTP o SecurID.
de sesin nico
Si habilita el inicio de sesin nico (SSO), deber hacer clic en Agregar y, a continuacin,
especificar un dominio dentro del cual se aplicar el inicio de sesin nico.
web
Revise la configuracin y haga clic en Finalizar. Si aparece un cuadro de mensaje, haga clic
en S para habilitar la regla de directiva de sistema Permitir todo el trfico HTTP desde el
servidor Forefront TMG hacia todas las redes (para las descargas de CRL).

184
para nueva regla de
Escriba un nombre para la regla de publicacin de Exchange. Por ejemplo, escriba Basado en
formularios OWA.
Seleccionar Servicios Versin de Exchange Seleccione la versin de Exchange Server que est en ejecucin en sus servidores Exchange.
web
Seleccione Outlook Web Access.
servidor
requiere instalar en cada servidor front-end Exchange un certificado de servidor SSL en el que el
nombre de host que Forefront TMG use para ponerse en contacto con un servidor Exchange
aparezca en el campo Emitido a.
publicacin
Nombre pblico Escriba el FQDN o la direccin IP pblicos que los usuarios externos utilizarn para obtener
acceso al sitio publicado de Outlook Web Access.
seleccionada.
publicado.
Seleccione Autenticacin bsica.
los usuarios autenticados). Si utiliza validacin RADIUS o LDAP, deber utilizar un conjunto de
usuarios configurado para el espacio de nombres RADIUS o LDAP, respectivamente.
para nueva regla de
Nota:
Al publicar a travs de SSL, deber instalarse en el almacn personal correspondiente al equipo local del equipo de Forefront TMG un certificado de servidor
SSL emitido para el nombre de host pblico del sitio web publicado. Para obtener ms informacin acerca de la obtencin e instalacin de los certificados del
servidor SSL, vea Configurar certificados de servidor para la publicacin de web segura.
Si desea que los usuarios presenten un certificado de cliente SSL, habilite la regla de directiva de sistema Permitir todo el trfico HTTP desde Forefront TMG
hacia todas las redes (para las descargas de CRL). Esta regla de directiva de sistema permite a Forefront TMG recibir actualizaciones sobre las listas de
revocacin de certificados para validar los certificados del cliente.
La autenticacin basada en formularios se puede habilitar en el equipo de Forefront TMG o en el servidor Exchange, pero no en ambos. Este procedimiento
hace referencia a la autenticacin basada en formularios en el equipo de Forefront TMG, no en los servidores Exchange.
En la autenticacin basada en formularios, se desva el usuario a un formulario HTML. Una vez que el usuario ha proporcionado sus credenciales en el
formulario y se han validado dichas credenciales, el sistema emite una cookie que contiene un vale. En las posteriores solicitudes, el sistema primero
comprueba la cookie para ver si el usuario ya estaba autenticado y, si es as, el usuario no tendr que volver a escribir las credenciales.
Si usa la validacin con credenciales RADIUS, el equipo de Forefront TMG deber estar registrado como cliente RADIUS en el servidor RADIUS y la regla de
directiva de sistema RADIUS deber estar habilitada para permitir el trfico de RADIUS desde el equipo de Forefront TMG (red de host local) a la red interna.
Esta regla supone que el servidor RADIUS est ubicado en la red interna.
Los usuarios se conectan con Outlook Web Access abriendo una direccin URL que suele tener el formato https://nombre_host/exchange. Es posible que tenga

185
En la autenticacin basada en formularios y la autenticacin bsica, las credenciales enviadas al equipo de Forefront TMG se pueden delegar al servidor
publicado.
Despus de completar esta tarea, vea Impedir que los datos adjuntos alcancen clientes Outlook Web Access.
Impedir que los datos adjuntos alcancen clientes Outlook Web Access
Antes de efectuar esta tarea, deber contar con una regla de publicacin de web que utilice autenticacin basada en formularios para Outlook Web Access.
Para impedir que los datos adjuntos alcancen a los clientes Outlook Web Access
2. En el panel de detalles, seleccione la regla de publicacin de web aplicable que utilice autenticacin basada en formularios HTML para Outlook Web Access.
4. En la ficha Configuracin de la aplicacin, en la seccin Publicacin de bloqueo de datos adjuntos de Exchange, seleccione Equipos pblicos o Equipos privados
(o ambas opciones) y, a continuacin, haga clic en Aceptar.
Nota:
Dado que, en general, Outlook Web Access se utiliza desde equipos pblicos, probablemente desee controlar la capacidad del usuario para ver y guardar
archivos adjuntos, de manera que la informacin privada de la empresa no se almacene en la cach ni se guarde en ningn equipo pblico.
Los ajustes descritos en este procedimiento impiden a los usuarios abrir y guardar adjuntos haciendo clic en vnculos en sus exploradores web. Seguir
indicndose la presencia de datos adjuntos en mensajes de correo electrnico, y los datos adjuntos permanecern en el buzn de correo del usuario hasta que
ste elimine el mensaje.
Si usa Exchange Server 2003, Exchange Server 2007 o Exchange Server 2010, se recomienda configurar el bloqueo de datos adjuntos en el servidor Exchange
en lugar de hacerlo en Forefront TMG.
Antes de efectuar esta tarea, deber contar con una escucha de web que utilice autenticacin basada en formularios para Outlook Web Access.
3. En la ficha Herramientas, haga clic en Objetos de red, expanda Escuchas de web y seleccione la escucha de web pertinente.
4. En la barra de herramientas ubicada debajo de Objetos de red, haga clic en Editar.
5. En la ficha Formularios, haga clic en Opciones avanzadas.
6. En Configuracin de seguridad del cliente, seleccione Considerar como duracin mxima de la sesin.
7. En Tiempo de espera para equipos pblicos (minutos), establezca el tiempo mximo que los usuarios pueden permanecer inactivos en equipos pblicos antes de
que se les desconecte.
8. En Tiempo de espera para equipos privados (minutos), establezca el tiempo mximo que los usuarios pueden permanecer inactivos en equipos privados
confiables antes de que se les desconecte.
9. Haga clic en Aceptar para cerrar Opciones de formularios avanzadas y, a continuacin, haga clic en Aceptar de nuevo para cerrar las propiedades de la escucha de
web.
Nota:
De forma predeterminada, el perodo de tiempo de espera de sesin en equipos pblicos es de 10 minutos, y su intervalo de valores permitidos es entre 1 y
9.999 minutos.
De forma predeterminada, el perodo de tiempo de espera de sesin en equipos privados confiables de 360 minutos, y su intervalo de valores permitidos es entre
1 y 9.999 minutos.
Normalmente, se suele configurar un perodo de tiempo de espera inactivo de sesin ms breve en equipos pblicos que en equipos privados, para as reducir el
riesgo de que una tercera persona pueda obtener acceso al correo electrnico de un usuario, en caso de que el usuario abandone el equipo pblico sin cerrar
sesin.
Configurar la caracterstica Cambiar contrasea
Configurar la caracterstica Cambiar contrasea
La caracterstica Cambiar contrasea se admite cuando los clientes facilitan credenciales mediante la utilizacin de autenticacin basada en formularios e Forefront TMG
autentica clientes utilizando uno de los mtodos siguientes:

Autenticacin con validacin de las credenciales del cliente mediante Active Directory en un controlador de dominio.

Autenticacin con validacin de credenciales de cliente mediante un servidor LDAP.
Tenga en cuenta que tanto Active Directory como un servidor LDAP utilizan el protocolo LDAP para la comunicacin. Antes de configurar esta caracterstica, compruebe lo
siguiente:

186

La conexin al servidor LDAP o Active Directory del controlador de dominio debe efectuarse a travs de LDAP seguro (LDAPS). Para utilizar una conexin
LDAP segura, es necesario que se encuentre instalado en el controlador de dominio un certificado de servidor. El nombre comn del certificado debe coincidir
con el nombre de dominio completo (FQDN) que especifica para el servidor de autenticacin.

El equipo de Forefront TMG debe tener el certificado raz de la entidad de certificacin (CA) que emite el certificado de servidor en el almacn de entidades de
certificacin raz de confianza para el equipo local.

Si utiliza autenticacin LDAP, debe crear un servidor LDAP que contenga los servidores LDAP que se utilizarn para autenticar usuarios. Configure los
siguientes ajustes para el conjunto de servidores LDAP:

Habilite la conexin al servidor LDAP a travs de una conexin segura.

Indique un FQDN para el nombre del servidor LDAP. Asegrese de que el FQDN coincide con el nombre comn especificado en el certificado de servidor
instalado en el servidor LDAP (controlador de dominio).

Deshabilite la realizacin de consultas del catlogo global (GC).

Indique el dominio en el que pueden identificarse cuentas de usuario e indique los detalles de una cuenta que se utilizar para enlazar al servidor LDAP y
para realizar consultas sobre las credenciales de los usuarios conectados.

Para enlazar al servidor de autenticacin y comprobar el nombre de usuario y el estado de la contrasea es necesaria una cuenta. En el caso de autenticacin
de dominio, debe ser una cuenta con los privilegios necesarios para realizar modificaciones en Active Directory.
Para crear un conjunto de servidores LDAP
2. En la ficha Tareas, haga clic en Configurar servidor de autenticacin.
3. En la ficha Servidores LDAP, haga clic en Agregar para abrir el cuadro de dilogo Agregar conjunto de servidores LDAP.
4. Indique un nombre para el conjunto de servidores LDAP.
5. Haga clic en Agregar para agregar cada nombre de servidor LDAP, descripcin y perodo de tiempo de espera. El perodo de tiempo de espera es el tiempo, en
segundos, durante el que Forefront TMG intentar obtener respuestas desde un servidor LDAP antes de intentarlo con el siguiente servidor LDAP de la lista.
Tenga en cuenta que es posible modificar el orden en el que se tiene acceso a los servidores utilizando las teclas FLECHA ARRIBA y FLECHA ABAJO.
6. En Dominio, indique el nombre de dominio completo (FQDN) para Active Directory. Tenga en cuenta que ste es el dominio en el que se definen las cuentas de
usuario y no el dominio al que Forefront TMG est unido.
7. Seleccionar Utilizar catlogo global provoca que sea necesario consultar el catlogo global del servidor LDAP.
8. Seleccione Conectar los servidores LDAP a travs de una conexin segura si desea cifrar la comunicacin LDAP (utilizar el protocolo LDAPS).
9. Es posible indicar las credenciales utilizadas para conectar a Active Directory para la comprobacin del estado de la cuenta de usuario y la modificacin de
contraseas de cuenta. De esta forma dispondr de funciones de administracin de contraseas, para la autenticacin de formularios HTML.
10. Haga clic en Aceptar para cerrar el cuadro de dilogo Agregar conjunto de servidores LDAP.
11. En Expresin de inicio de sesin, haga clic en Nuevo para agregar una expresin de inicio de sesin. Una expresin de inicio de sesin permite asignar un
conjunto de servidores LDAP a un grupo de usuarios concreto. Por ejemplo, es posible asignar un conjunto de servidores LDAP a los usuarios FABRIKAM\*, y
otro conjunto de servidores LDAP a los usuarios CONTOSO\*. Forefront TMG intenta coincidir con las expresiones de inicio de sesin en el orden mostrado. Es
posible cambiar el orden utilizando las teclas FLECHA ARRIBA y FLECHA ABAJO.
12. Haga clic en Cerrar.
Nota:
Para obtener informacin acerca de la autenticacin en el Forefront TMG, vea Informacin general de autenticacin en Forefront TMG.
Al configurar Forefront TMG para autenticacin LDAP, la configuracin de los servidores LDAP se aplica a todas las reglas u objetos de red que usan la
autenticacin LDAP.
Configuracin de escucha de web para cambio de contrasea
Para la escucha de web asociada con una regla de publicacin Outlook Web Access que utilice autenticacin basada en formularios, utilice el siguiente procedimiento para
permitir a los usuarios cambiar su contrasea.
Para configurar una escucha de web para cambio de contrasea
2. En el panel de detalles, haga clic en la regla de publicacin Outlook Web Access correspondiente.
4. En la ficha Escucha, haga clic en Propiedades. O, si lo desea, puede seleccionar primero una escucha de web diferente en la lista desplegable, o hacer clic en
Nuevo para crear una escucha de web nueva para esta regla.
5. En la ficha Autenticacin, compruebe que est seleccionado Autenticacin de formularios HTML.
6. En la ficha Formularios, realice una de las acciones siguientes.
a. Seleccione Usar formularios HTML personalizados en lugar del predeterminado.
b. En Escriba el directorio del conjunto de formularios HTML personalizados, escriba nicamente el nombre del directorio, como por ejemplo
MisFormularios, en lugar de la ruta completa.
c. En la lista desplegable Mostrar el formulario HTML en este idioma, seleccione el idioma que desee. Por ejemplo, para asegurarse de que se muestran
los formularios slo en ingls, seleccione English [en].
d. Seleccione Permitir a los usuarios cambiar sus contraseas.
e. Seleccione Recordar a los usuarios que su contrasea expirar en este nmero de das: y, a continuacin, seleccione el nmero de das pertinente.
7. Haga clic en Aceptar y, a continuacin, en Aceptar de nuevo para cerrar los cuadros de dilogo.
Tras configurar correctamente la escucha de web para la regla de publicacin Outlook Web Access, se avisar a los usuarios conectados mediante la autenticacin basada en
formularios si su contrasea est a punto de expirar, y tendrn la posibilidad de cambiar su contrasea antes y despus de que caduque.
Configurar publicacin de Outlook Mobile Access
Outlook Mobile Access es una caracterstica de Microsoft Exchange 2003 que permite a los usuarios tener acceso a los buzones de los servidores Exchange desde
dispositivos mviles.
Para configurar la publicacin de Outlook Mobile Access

187
web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha OMA.
cliente
Direcciones IP de
escuchas de web
en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione Direcciones IP
especificadas en el equipo de Forefront TMG en la red seleccionada. En Direcciones IP
disponibles, seleccione la direccin IP del sitio web, haga clic en Agregar y luego en Aceptar.
Certificados SSL de
escucha
certificado y seleccione un certificado en el que el nombre de host que los usuarios empleen para
tener acceso al sitio web publicado aparezca en el campo Emitido a.
En la lista desplegable, seleccione Autenticacin de formularios HTML.
Deje esta casilla de verificacin desactivada.
Forefront TMG validar las
Si Forefront TMG se implementa en un dominio, seleccione Windows (Active Directory). Si se
trata de una implementacin de grupo de trabajo, puede seleccionar LDAP (Active Directory),
para nueva regla de
Escriba un nombre para la regla de publicacin de Exchange. Por ejemplo, escriba Clientes
OMA.
Seleccionar Servicios Versin de Exchange Seleccione Exchange Server 2003.
web
Seleccione Outlook Mobile Access.
servidor
requiere la instalacin en todos los servidores Exchange cliente de un certificado de servidor SSL
para el que el nombre de host especificado como nombre interno del sitio se muestra en el campo
Emitido a.
publicacin
externos utilizarn para obtener acceso al sitio publicado de Outlook Mobile Access.
seleccionada.
publicado.
los usuarios autenticados). Si selecciona validacin con RADIUS, LDAP o SecurID, deber
utilizar un conjunto de usuarios configurado para el espacio de nombres correspondiente.
para nueva regla de

188
credenciales del cliente. RADIUS, RADIUS OTP o SecurID.
Configuracin de inicio de
sesin nico
web
2. En el panel de tareas, haga clic en la ficha Tareas.
Nota:
SSL emitido para el nombre de host del sitio web publicado. Para obtener ms informacin acerca de la obtencin e instalacin de un certificado del servidor
Si usa la validacin con credenciales RADIUS, el equipo de Forefront TMG deber estar registrado como cliente RADIUS en el servidor RADIUS, y la regla
de directiva de sistema RADIUS deber estar habilitada para permitir el trfico de RADIUS desde el equipo de Forefront TMG (red de host local) a la red
interna. Esta regla supone que el servidor RADIUS est ubicado en la red interna.
Outlook Mobile Access slo es compatible con Exchange Server 2003. Para Exchange Server 2007, configure Exchange ActiveSync.
Outlook Mobile Access se puede utilizar con cualquier dispositivo que tenga acceso a Internet.
Forefront TMG usa el encabezado User-Agent en las solicitudes de clientes para determinar el formulario HTML que se usar en la respuesta devuelta al
explorador web. Se admiten los tipos de formularios HTML 4.01, XHTML-MP y cHTML. Si el encabezado User-Agent de la solicitud no est asignado a un
formato, Forefront TMG volver a la autenticacin bsica.
Los usuarios se conectan con Outlook Mobile Access abriendo una direccin URL que suele tener el formato https://nombre_host/oma. Es posible que tenga
Exchange ActiveSync permite a los usuarios obtener acceso a sus buzones de Exchange desde dispositivos basados en Microsoft Windows Mobile, como Windows
Mobile 2003 Software for Pocket PC, incluido Pocket PC Phone Edition, y Windows Mobile 2003 Software for Smartphone de forma muy segura. Los usuarios pueden
sincronizar los mensajes de correo electrnico, las citas, la informacin de contacto y las tareas en sus buzones, y utilizar esta informacin cuando el dispositivo mvil no
tiene conexin.
Al usar Exchange Server 2007 o Exchange Server 2010, puede autenticar una conexin de ActiveSync mediante la autenticacin basada en certificados de cliente. Forefront
TMG admite la delegacin limitada de Kerberos, que permite a Forefront TMG autenticar una conexin de cliente con un certificado de cliente y obtener un vale Kerberos.
Este vale se puede presentar al servidor web publicado, que acepta el vale Kerberos en lugar de credenciales de cliente.
Para configurar la publicacin de ActiveSync
nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de
ActiveSync.
cliente
Direcciones IP de escuchas
de web
Escuchar solicitudes web entrantes en estas
redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione
Direcciones IP especificadas en el equipo de Forefront TMG en la red seleccionada. En
Direcciones IP disponibles, seleccione la direccin IP del sitio web, haga clic en
Agregar y luego en Aceptar.
Certificados SSL de escucha Seleccione Usar un nico certificado para esta escucha de web, haga clic en Seleccionar
certificado y seleccione un certificado en el que el nombre de host que los usuarios
empleen para tener acceso al sitio web publicado aparezca en el campo Emitido a.
En la lista desplegable, seleccione Autenticacin de formularios HTML. Si desea utilizar
la delegacin limitada de Kerberos, seleccione Autenticacin de certificados SSL de

189
TMG. cliente.
cliente.
Si Forefront TMG se implementa en un dominio, seleccione Windows (Active
Directory). Si se trata de una implementacin de grupo de trabajo, puede seleccionar
LDAP (Active Directory), RADIUS, RADIUS OTP o SecurID.
sesin nico
Habilitar SSO para sitios web publicados
con esta escucha
para nueva escucha de web
para nueva regla de
Escriba un nombre para la regla de publicacin de Exchange. Por ejemplo, escriba Clientes de
ActiveSync.
Seleccionar Servicios Versin de Exchange Seleccione Exchange Server 2003, Exchange Server 2007 o Exchange Server 2010.
web
Seleccione Exchange ActiveSync.
servidor
requiere la instalacin en todos los servidores Exchange cliente de un certificado de servidor SSL
para el que el nombre de host especificado como nombre interno del sitio se muestra en el campo
Emitido a.
publicacin
externos utilizarn para obtener acceso al sitio publicado de Exchange ActiveSync.
seleccionada.
publicado.
Para la autenticacin basada en formularios, seleccione Autenticacin bsica. Para la
autenticacin basada en certificado de cliente SSL, seleccione Delegacin limitada de Kerberos.
los usuarios autenticados). Si selecciona validacin con RADIUS, LDAP o SecurID, deber
utilizar un conjunto de usuarios configurado para el espacio de nombres correspondiente.
para nueva regla de
Nota:
SSL emitido para el nombre de host del sitio web publicado. Para obtener ms informacin acerca de la obtencin e instalacin de un certificado del servidor

190
Exchange ActiveSync slo es compatible con Exchange Server 2003 y Exchange Server 2007.
Exchange ActiveSync permite a los usuarios sincronizar de forma muy segura sus buzones de Exchange desde dispositivos basados en Microsoft Windows
Mobile, como Windows Mobile 2003 Software for Pocket PC, incluido Pocket PC Phone Edition, y Windows Mobile 2003 Software for Smartphone.
Forefront TMG usa el encabezado User-Agent en las solicitudes de clientes para determinar el formulario HTML que se usar en la respuesta devuelta al
explorador web. Se admiten los tipos de formularios HTML 4.01, XHTML-MP y cHTML. Si el encabezado User-Agent de la solicitud no est asignado a un
formato, Forefront TMG volver a la autenticacin bsica.
Para conectarse con Exchange ActiveSync, los usuarios abren una direccin URL que suele tener el formato https://nombre_host/Microsoft-Server-ActiveSync.
Es posible que tenga que modificar las asignaciones entre las rutas de acceso especificadas por los usuarios y las rutas internas en la ficha Rutas de acceso de
las propiedades de su regla de publicacin de web.
Cuando los sitios de Microsoft Office SharePoint Server se exponen a los usuarios de Internet, Forefront TMG puede ayudar a que estos sitios estn disponibles a los
usuarios externos sin sacrificar la seguridad de la red de su organizacin. Forefront TMG protege el contenido interno al interceptar las solicitudes entrantes para servidores
web y al responder en su nombre.
Para configurar la publicacin de SharePoint
nueva escucha de web
Nombre de la escucha de web Escriba un nombre para la escucha de web. Por ejemplo, escriba Escucha de SharePoint.
cliente
Direcciones IP de escuchas
de web
estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y seleccione
Direcciones IP especificadas en el equipo de Forefront TMG en la red seleccionada. En
Direcciones IP disponibles, seleccione la direccin IP del sitio de SharePoint, haga clic
en Agregar y luego en Aceptar.
Certificados SSL de escucha Seleccione Usar un nico certificado para esta escucha de web, haga clic en Seleccionar
certificado y seleccione un certificado en el que el nombre de host que los usuarios
empleen para tener acceso al sitio publicado de SharePoint aparezca en el campo Emitido
a.
TMG.
Seleccione Autenticacin HTTP (la opcin predeterminada)
Seleccione Bsica.
Si Forefront TMG est implementado en un dominio, tambin puede seleccionar
Integrada. Al implementar un grupo de trabajo, slo se podr seleccionar Bsica.
cliente.
Si ha seleccionado la autenticacin bsica e Forefront TMG est implementado en un
dominio, seleccione Windows (Active Directory).
Si ha seleccionado la autenticacin bsica en una implementacin de grupo de trabajo,
podr seleccionar LDAP (Active Directory) o RADIUS.
sesin nico
El inicio de sesin nico (SSO) slo est disponible si se utiliza la autenticacin basada
en formularios.
para nueva escucha de web
6. En la ficha Tareas, haga clic en Publicar sitios de SharePoint para abrir el Asistente para nueva regla de publicacin de SharePoint.
7. En la siguiente tabla se indica cmo completar el Asistente para nueva regla de publicacin de SharePoint.
SharePoint
Escriba un nombre para la regla de publicacin de SharePoint. Por ejemplo, escriba
SharePoint.

191
SharePoint
Seleccionar accin de regla Accin Permitir
Tipo de publicacin Seleccione Publicar un nico sitio web o equilibrio de carga. Si desea seleccionar Publicar
una granja de servidores web con equilibrio de carga, debe crear una granja de servidores
SharePoint.
servidor
Seleccione Usar SSL para conectar el servidor web o granja de servidores publicada. Esta
opcin requiere la instalacin en cada servidor SharePoint de un certificado de servidor SSL
en el que el nombre de host indicado en el encabezado de host que utiliza el Forefront TMG
para ponerse en contacto con un servidor SharePoint aparezca en el campo Emitido a.
Detalles internos de publicacin Nombre interno del sitio Escriba el nombre de host que utilizan los usuarios internos en una direccin URL para
tener acceso al sitio de SharePoint.
Si va a publicar un solo servidor SharePoint y el nombre interno del sitio especificado en
este campo no puede resolverse y no es el nombre del equipo o la direccin IP del servidor
externos utilizarn para obtener acceso al sitio publicado de SharePoint.
continuacin, puede hacer clic en Modificar para cambiar las propiedades de la escucha de
web seleccionada.
Configuracin de asignacin de
acceso alternativa
Seleccione la opcin correspondiente.
Conjuntos de usuarios Esta regla se aplica a las solicitudes
de los siguientes conjuntos de
usuarios
No cambie el valor predeterminado Todos los usuarios autenticados.
Finalizacin del Asistente para
SharePoint
Nota:
Para las conexiones SSL entre los usuarios e Forefront TMG, en el almacn Personal del equipo local en cada equipo de Forefront TMG de la matriz se debe
instalar un certificado de servidor SSL que se ha emitido para el nombre de host del sitio SharePoint publicado. Para obtener ms informacin acerca de la
obtencin e instalacin de un certificado del servidor SSL, vea Configurar certificados de servidor para la publicacin de web segura.
Si configura la autenticacin integrada en el Forefront TMG, no podr tener la autenticacin integrada en el servidor SharePoint. Con la autenticacin bsica,
puede disponer de autenticacin en el equipo de Forefront TMG y en el servidor SharePoint.
Si selecciona la validacin con credenciales RADIUS o LDAP, deber editar las propiedades de la escucha de web que haya creado especificando los
servidores RADIUS o LDAP a los que se enviarn las consultas de autenticacin.
de una granja de equilibrio de carga, se recomienda usar la compatibilidad de equilibrio de carga integrada mediante una granja de servidores creada en
Forefront TMG, en lugar de un dispositivo equilibrio de carga. La publicacin de Forefront TMG para las granjas de servidores proporciona una mejor afinidad
de clientes, que se puede configurar para funcionar con una cookie, en vez de depender de la direccin IP de cliente. Esto supone una clara ventaja en
situaciones donde un dispositivo situado entre el dispositivo de equilibrio de carga e Forefront TMG (por ejemplo, un dispositivo NAT) oculta la direccin IP
de cliente.
El Asistente para nueva regla de publicacin de SharePoint configura la nueva regla de publicacin de web para que enve el encabezado de host original en
lugar del encabezado de host correspondiente al nombre o la direccin IP especificados en el campo Nombre interno del sitio.
Para obtener informacin acerca de cmo configurar la asignacin de acceso alternativa, vea Configurar asignaciones de acceso alternativas en un servidor de
SharePoint.

192
Configurar asignaciones de acceso alternativas en un servidor de SharePoint
En Microsoft Office SharePoint Server 2007, cada aplicacin web puede asociarse a una coleccin de asignaciones entre direcciones URL pblicas e internas. Las
direcciones URL internas y pblicas consisten en el protocolo y la porcin de dominio de la direccin URL completa (por ejemplo, https://www.fabrikam.com). Una
direccin URL pblica es lo que los usuarios escriben para obtener el sitio de SharePoint y dicha direccin URL es lo que aparece en los vnculos de las pginas. Las
direcciones URL internas se encuentran en las solicitudes de direcciones URL que se envan al sitio de SharePoint. Es posible asociar varias direcciones URL internas a una
nica direccin URL pblica en granjas de varios servidores (por ejemplo, cuando un equilibrio de carga enruta solicitudes a direcciones IP concretas a diversos servidores
del clster de equilibrio de carga).
Cada aplicacin web admite cinco colecciones de asignaciones por direccin URL; las cinco colecciones corresponden a cinco zonas (predeterminada, intranet, extranet,
Internet y personalizada). Cuando la aplicacin web recibe una solicitud de direccin URL interna en una zona determinada, los vnculos de las pginas devueltos al usuario
tendrn la direccin URL pblica de dicha zona.
Las siguientes tareas se efectan en el servidor de SharePoint para configurar la asignacin de acceso alternativo
Para administrar las asignaciones de acceso alternativo
1. Haga clic en Inicio, elija Todos los programas, Microsoft Office Server y, a continuacin, haga clic en Administracin central de SharePoint 3.0.
2. En la pgina principal de Administracin central, en la barra de navegacin superior, haga clic en Operaciones.
3. En la pgina Operaciones, seccin Configuracin global, haga clic en Asignaciones de acceso alternativas.
Para agregar una direccin URL interna
1. En la pgina Asignaciones de acceso alternativas, haga clic en Agregar direcciones URL internas.
2. Si no se especifica la coleccin de asignaciones que desea modificar, seleccione una. En la seccin Coleccin de asignaciones de acceso alternativas, haga clic en
Cambiar coleccin de asignaciones de acceso alternativas, en el men Coleccin de asignaciones de acceso alternativas.
3. En la pgina Seleccionar una coleccin de asignaciones de acceso alternativas, haga clic en una coleccin de asignaciones.
4. En la seccin Agregar direccin URL interna, escriba en el cuadro Protocolo, host y puerto URL la nueva direccin URL interna (por ejemplo,
https://www.fabrikam.com).
5. En la lista Zone, haga clic en la zona de la direccin URL interna.
6. Haga clic en Guardar.
Para modificar o eliminar una direccin URL interna
1. En la pgina Asignaciones de acceso alternativas, haga clic en la direccin URL interna que desea editar o eliminar.
2. En la seccin Editar direccin URL interna, modifique la direccin URL en el cuadro Protocolo, host y puerto URL.
3. En la lista Zone, haga clic en la zona de la direccin URL interna.
4. Realice una de las acciones siguientes:

Haga clic en Guardar para guardar los cambios.

Haga clic en Cancelar para descartar los cambios y volver a la pgina Asignaciones de acceso alternativas.
5. Haga clic en Eliminar para eliminar la direccin URL interna.
Nota:
No es posible eliminar la ltima direccin URL interna de la zona predeterminada.
Para modificar direcciones URL pblicas
1. En la pgina Asignaciones de acceso alternativas, haga clic en Editar direcciones URL pblicas.
2. Si no se especifica la coleccin de asignaciones que desea modificar, seleccione una. En la seccin Coleccin de asignaciones de acceso alternativas, haga clic en
Cambiar coleccin de asignaciones de acceso alternativas, en el men Coleccin de asignaciones de acceso alternativas.
3. En la pgina Seleccionar una coleccin de asignaciones de acceso alternativas, haga clic en una coleccin de asignaciones.
4. En la seccin Direcciones URL pblicas, podra agregar nuevas direcciones URL o editar las existentes en cualquiera de los siguientes cuadros de texto:

Valor predeterminado

Intranet

Extranet

Internet

Personalizado
Nota:
Debe haber siempre una direccin URL pblica para la zona predeterminada.
Asignacin a un recurso externo
Tambin es posible definir asignaciones para recursos que se encuentran fuera de las aplicaciones web internas. Para hacerlo deber indicar un nombre exclusivo, una
direccin URL inicial y una zona para dicha direccin URL. (La direccin URL debe ser exclusiva de la granja.)
Para asignar a un recurso externo
1. En la pgina Asignaciones de acceso alternativas, haga clic en Asignar a recurso externo.
2. En la pgina Crear asignacin a recurso externo, escriba un nombre exclusivo en el cuadro Nombre del recurso.
3. En el cuadro Protocolo, host y puerto URL, escriba la direccin URL inicial.
Configurar las reglas de publicacin de web
La publicacin de web de Forefront TMG permite que el contenido web est disponible de forma segura para los grupos de usuarios o todos los usuarios que enven
solicitudes a su organizacin desde Internet. El contenido web solicitado suele almacenarse en servidores web en la red interna o en una red perimetral (tambin conocida
como subred protegida o zona desmilitarizada (DMZ)).
El contenido web se publica mediante reglas de publicacin de web, reglas que se crean ejecutando un asistente. Despus de crear una regla de publicacin de web, es
posible que necesite modificar algunas de sus propiedades o establecer propiedades avanzadas que no configura el asistente. En los siguientes temas se proporcionan
instrucciones detalladas para realizar estas tareas:

Crear una regla de publicacin en web

193

Configurar el nombre del servidor web que se desea publicar

Configurar un nombre pblico para una regla de publicacin en web

Configurar la asignacin de rutas de acceso

Configurar cmo redirigir solicitudes HTTP para la publicacin en web

Configurar una escucha de web para una regla de publicacin de web

Reemplazar vnculos absolutos en pginas web
Crear una regla de publicacin en web
En Forefront TMG, los sitios web se publican mediante reglas de publicacin web, reglas que se crean ejecutando un asistente. Cada asistente que crea una regla de
publicacin de web establece propiedades concretas para la situacin en cuestin que no puede configurarse en la Administracin de Forefront TMG.
Para obtener informacin detallada acerca de la creacin de reglas de publicacin de web para situaciones concretas, consulte el procedimiento pertinente en uno de los
temas que aparecen en la lista siguiente:





El siguiente procedimiento general incluye los pasos necesarios para la creacin de una regla de publicacin de web.
Para crear una regla de publicacin de web
2. En la ficha Tareas, haga clic en Publicar sitios web.
3. En el Asistente para nueva regla de publicacin de Web, siga las instrucciones que aparecen en pantalla.
Nota:
Para obtener ms informacin sobre la publicacin de web, vea Planeacin de publicacin.
Para un nico sitio web publicado en un nico servidor web, en la pgina Detalles internos de publicacin del asistente, para el nombre de sitio interno, escriba
el nombre de host que usar Forefront TMG en mensajes de solicitud HTTP enviados al servidor publicado. Si el nombre interno del sitio especificado en este
campo no puede resolverse o no es el nombre del equipo la direccin IP del servidor publicado, seleccione Usar un nombre de equipo o direccin IP para
conectar al servidor publicado y, a continuacin, escriba un nombre de equipo o direccin IP del servidor publicado que se pueda resolver. Para obtener
informacin acerca de la configuracin del nombre del sitio interno en otras situaciones, consulte el procedimiento detallado pertinente.
Forefront TMG no distingue maysculas y minsculas en las rutas. Si, por ejemplo, su servidor web incluye carpetaa y carpetaA y desea publicar una ruta en
una de esas dos carpetas, deber publicar ambas.

Configurar el nombre del servidor web que se desea publicar
Despus de crear una regla de publicacin de web en Forefront TMG, puede cambiar el nombre de sitio interno o configurar el nombre o la direccin IP del servidor web
publicado.
Para configurar el nombre del servidor web que se desea publicar
2. En el panel de detalles, haga clic en la regla de publicacin de web correspondiente.
4. En la ficha Para, realice una o ambas de las acciones siguientes:

Si desea cambiar el nombre de sitio interno especificado en la regla, en Esta regla se aplica a este sitio publicado:, escriba el nuevo nombre del sitio
interno.

Si no es posible resolver el nombre del sitio interno en la direccin IP del servidor publicado, en Direccin IP o nombre del equipo, escriba un nombre
que se pueda resolver o la direccin IP del servidor web publicado.
5. Seleccione Reenviar el encabezado de host original en lugar del real si el servidor publicado hospeda varios sitios web e Forefront TMG debe transferir el
encabezado de host original al servidor publicado. Cuando Forefront TMG transfiere el encabezado de host original, el nombre de dominio completo (FQDN)
especificado en el encabezado de host puede usarse para enrutar las solicitudes de cliente a un sitio web concreto en el servidor publicado.
Nota:
Los cambios realizados en las propiedades de una regla de publicacin en web o el escucha de web asociado se aplican nicamente a las conexiones nuevas.

Configurar un nombre pblico para una regla de publicacin en web
Despus de crear una regla de publicacin de web en Forefront TMG, puede modificar el nombre pblico del sitio web publicado o agregar otro nombre pblico.
Para configurar un nombre pblico para una regla de publicacin de web
2. En el panel de detalles, haga clic en la regla correspondiente.

194
4. En la ficha Nombre pblico, en Esta regla se aplica a, seleccione una de las opciones siguientes:

Todas las solicitudes. Seleccione esta opcin cuando la regla se aplique a cualquier solicitud de una direccin URL que contenga cualquier nombre de
host que se resuelva en una direccin IP especificada para escuchar en la escucha de web asociada a la regla.

Solicitudes para los sitios web siguientes. Seleccione esta opcin cuando la regla se aplicar nicamente a solicitudes de direcciones URL que
contengan un nombre de host especificado como nombre pblico en la regla.
5. Si seleccion Solicitudes para los sitios web siguientes, para cada nombre pblico de un sitio web al que se pueda tener acceso, haga clic en Agregar, escriba el
nombre pblico y haga clic en Aceptar.
Nota:
Es recomendable que publique slo un sitio web por regla. Esto se debe a que los datos personales que pertenecen a un sitio web pueden ser visibles al tener
acceso a otro sitio web publicado utilizando el mismo nombre pblico.
Los nombres de sitios web pblicos deben registrarse con el Sistema de nombres de dominio (DNS).

Despus de crear una regla de publicacin de web Forefront TMG, es posible que desee modificar las asignaciones de rutas que podran especificarse en solicitudes para el
sitio web publicado a las rutas del servidor web publicado.
Para configurar las asignaciones de ruta de acceso
4. En la ficha Rutas de acceso, haga clic en Agregar.
5. En el cuadro de texto, escriba una ruta de acceso en el servidor web publicado (la ruta interna).

Igual que la carpeta publicada. Seleccione esta opcin si la ruta que se especificar en las solicitudes (la ruta externa) es idntica a la ruta interna.

La siguiente carpeta. Seleccione esta opcin si se va a asignar una ruta externa diferente a la ruta interna que especific en el paso 5. Escriba la ruta
externa que se asignar a la ruta del servidor web publicado.
8. Repita los pasos desde el 4 hasta el 7 para cada asignacin que desee crear.
Nota:
Cuando un cliente efecta una solicitud web, puede que en la misma se especifique una ruta. Esta ruta se conoce como ruta externa. Forefront TMG cambia
todas las rutas externas especificadas en una asignacin de ruta a la ruta interna correspondiente del servidor web.
Cuando especifique la ruta de acceso interna a la que debe asignarse una ruta externa, utilice este formato: /miruta/*.
No es posible utilizar un carcter comodn dentro de un nombre de carpeta. Por ejemplo, no especifique miruta*/ ni /miruta*.
Evite especificar un nombre de archivo cuando configure la asignacin de ruta de acceso. Si especifica un nombre de archivo, slo se atender una solicitud
para la ruta de acceso completa.
Las rutas de acceso deben ser distintas. Una ruta no puede ser prefijo de otra. Esto se aplica a rutas tanto internas como externas. Por ejemplo, /rutaA/* y
/rutaB/* son rutas distintas. Sin embargo, /rutaA/* es un prefijo de la /rutaA/a/, e Forefront TMG no permitir que se escriban estas dos rutas.

Despus de crear una regla de publicacin de web Forefront TMG, es posible que desee modificar las asignaciones de rutas que podran especificarse en solicitudes para el
sitio web publicado a las rutas del servidor web publicado.
Para configurar las asignaciones de ruta de acceso
4. En la ficha Rutas de acceso, haga clic en Agregar.
5. En el cuadro de texto, escriba una ruta de acceso en el servidor web publicado (la ruta interna).

Igual que la carpeta publicada. Seleccione esta opcin si la ruta que se especificar en las solicitudes (la ruta externa) es idntica a la ruta interna.

La siguiente carpeta. Seleccione esta opcin si se va a asignar una ruta externa diferente a la ruta interna que especific en el paso 5. Escriba la ruta
externa que se asignar a la ruta del servidor web publicado.
8. Repita los pasos desde el 4 hasta el 7 para cada asignacin que desee crear.

195
Nota:
Cuando un cliente efecta una solicitud web, puede que en la misma se especifique una ruta. Esta ruta se conoce como ruta externa. Forefront TMG cambia
todas las rutas externas especificadas en una asignacin de ruta a la ruta interna correspondiente del servidor web.
Cuando especifique la ruta de acceso interna a la que debe asignarse una ruta externa, utilice este formato: /miruta/*.
No es posible utilizar un carcter comodn dentro de un nombre de carpeta. Por ejemplo, no especifique miruta*/ ni /miruta*.
Evite especificar un nombre de archivo cuando configure la asignacin de ruta de acceso. Si especifica un nombre de archivo, slo se atender una solicitud
para la ruta de acceso completa.
Las rutas de acceso deben ser distintas. Una ruta no puede ser prefijo de otra. Esto se aplica a rutas tanto internas como externas. Por ejemplo, /rutaA/* y
/rutaB/* son rutas distintas. Sin embargo, /rutaA/* es un prefijo de la /rutaA/a/, e Forefront TMG no permitir que se escriban estas dos rutas.

Configurar cmo redirigir solicitudes HTTP para la publicacin en web
Despus de crear una regla de publicacin de web en Forefront TMG, puede que desee modificar la forma en la que se redirigen las solicitudes HTTP al servidor publicado.
Para configurar el sistema de redireccionamiento de solicitudes HTTP para la regla de publicacin de web
4. En la ficha Protocolo de puente, especifique si las solicitudes se van a redirigir a un servidor FTP o a un servidor web seleccionando una de las siguientes
opciones:

Servidor FTP. Si selecciona esta opcin, escriba en el cuadro de texto el puerto del servidor FTP al que se redirigir la solicitud.

Servidor web.
5. Si seleccion Servidor web, efecte las siguientes acciones:

Si las solicitudes HTTP se van a transferir al servidor web con el protocolo HTTP, haga clic en Redirigir solicitudes al puerto HTTP.

Si las solicitudes HTTP se van a transferir al servidor web a travs de conexiones SSL, haga clic en Redirigir solicitudes al puerto SSL.
6. (Opcional) Si seleccion Redirigir solicitudes al puerto SSL, haga clic en Utilizar un certificado para autenticar el servidor web SSL y en Seleccionar para
seleccionar el certificado que se debe usar.
Nota:
Si seleccion Redirigir solicitudes al puerto SSL, el equipo Forefront TMG abrir un nuevo canal de control seguro hacia el servidor web publicado.
Al seleccionar redirigir solicitudes del servidor web tanto a los puertos HTTP como a los SSL, el trfico entrante se enruta a travs del protocolo y puerto
pertinente. Al seleccionar slo una opcin, se enruta todo el trfico a travs de dicho puerto.
Si selecciona Servidor FTP en el paso 4, Forefront TMG no efectuar la traduccin de vnculos.

Configurar una escucha de web para una regla de publicacin de web
Despus de crear una regla de publicacin de web en Forefront TMG, es posible que desee modificar las propiedades de la escucha de web asociada a ella, asociarla a una
escucha de web diferente o crear una nueva escucha de web para ella.
Para configurar la escucha para una regla de publicacin de web
4. En la ficha Escucha, seleccione la escucha de web correspondiente en la lista desplegable. Como alternativa, haga clic en Nueva para crear una escucha de web
nueva para esta regla.
5. Haga clic en Propiedades.
6. Si la escucha de web est configurada para utilizar la autenticacin basada en formularios y desea utilizar formularios personalizados, en la ficha Formularios,
haga lo siguiente:
a. Seleccione Usar formularios HTML personalizados en lugar del predeterminado.
b. Escriba el nombre de la carpeta en la que se encuentran almacenados los formularios personalizados.
c. En Mostrar el formulario HTML en este idioma, seleccione el idioma en el que se mostrarn los formularios personalizados.
7. Si la escucha de web est configurada para utilizar la autenticacin basada en formularios y desea configurar las opciones avanzadas de formularios, en la ficha
Formularios, haga clic en Avanzadas, cambie la configuracin segn sus preferencias y haga clic en Aceptar.
8. Si desea configurar los valores de puerto, configure los puertos HTTP y SSL en la ficha Conexiones.
Nota:

196
En un escenario en el que desea crear una escucha de web que usa autenticacin basada en formularios y RSA SecurID, al habilitar Recopilar credenciales de
delegacin adicionales en el formulario en el formulario, Forefront TMG no comprueba si el usuario escribe el mismo nombre o un nombre diferente en las
credenciales adicionales.
Una regla de publicacin de web con una escucha de web que utiliza un mtodo determinado de validacin de credenciales debe utilizar un conjunto de
usuarios coherente con el mtodo de validacin en cuestin. Por ejemplo, una regla de publicacin con un escucha de web que utilice la validacin de
credenciales LDAP tambin debe utilizar un conjunto de usuarios formado por usuarios LDAP. No puede incluir usuarios de Active Directory.

Reemplazar vnculos absolutos en pginas web
Despus de crear una regla de publicacin de web en Forefront TMG, puede que desee habilitar la traduccin de vnculos de la regla y definir asignaciones para la
sustitucin de vnculos absolutos en las pginas web que publica la regla.
Para reemplazar vnculos absolutos en pginas web
4. En la ficha Traduccin de vnculos, compruebe que est seleccionada la opcin Aplicar traduccin de vnculos a esta regla.
5. Si desea que se traduzcan los vnculos de pginas web que contengan otros juegos de caracteres, seleccione Aplicar tambin traduccin de vnculos a contenido
web que use este juego de caracteres y seleccione un juego de caracteres de la lista desplegable.
6. Para configurar asignaciones locales (agregar vnculos al diccionario de traduccin de vnculos local), haga clic en Configurar. Para cada nueva asignacin,
efecte las siguientes acciones:
b. En Reemplazar este texto, escriba una cadena que se traducir. Normalmente, esta cadena contiene el nombre de un sitio o servidor interno al que no
tienen acceso los clientes externos.
c. En Con este texto, escriba el texto que sustituir la cadena. Normalmente, este texto contiene el nombre de un host al que tienen acceso clientes
externos como, por ejemplo, los nombres de dominio completos (FQDN) del equipo Forefront TMG.
7. Haga clic en Aceptar y, a continuacin, haga clic en Aceptar para cerrar el cuadro de dilogo.
Nota:
Al seleccionar Aplicar traduccin de vnculos a esta regla, se crea automticamente un diccionario de traduccin de vnculos. En la mayora de los casos, no es
necesario agregar ms entradas al diccionario predeterminado.
Forefront TMG solo realiza la traduccin de vnculos en las cadenas de los documentos HTML, como nombres de equipos internos, que estn especificados en
formato UTF-8 (UCS Transformation Format 8).
Al agregar una asignacin local, no incluya una barra al final de la cadena que desee reemplazar.
Al seleccionar Aplicar traduccin de vnculos a esta regla, los nombres de servidores internos de los vnculos se traducen al nombre pblico. A esta regla de
publicacin se aplican asignaciones de traduccin locales y globales.
La traduccin de vnculos no se aplican a las reglas que publican servidores FTP.
Cuando se habilita la traduccin de vnculos, la regla debe especificar un nombre de dominio pblico explcito. El dominio no puede incluir un asterisco (*).
Al agregar compatibilidad para una pgina de cdigos que usa el Kit de desarrollo de software (SDK) de Forefront TMG, asegrese de que sea un cdigo
compatible e instalado en todos los miembros de la matriz. En caso de agregar o cambiar compatibilidad con una pgina de cdigo a travs de un equipo de
administracin remota, asegrese de que la compatibilidad con pgina de cdigo est instalada en todos los miembros de la matriz y en los equipos de
administracin remota.

Personalizar los formularios HTML
Forefront TMG proporciona varios mtodos de autenticacin que se pueden aplicar a las reglas de publicacin web para los clientes que tengan acceso a los servidores web
publicados. Cuando se selecciona la autenticacin basada en formularios, se conduce a los usuarios a un formulario HTML para que proporcionen las credenciales de
autenticacin. Forefront TMG incluye conjuntos de formularios predeterminados que se usan para la autenticacin basada en formularios. Es posible personalizar estos
conjuntos de formularios para dar un aspecto diferente a los formularios de inicio de sesin en funcin del sitio web publicado.
En este tema se proporciona informacin general sobre los conjuntos de formularios de Forefront TMG y se explica cmo personalizarlos.
Informacin general sobre los formularios HTML
En las siguientes secciones se describen los conjuntos de formularios HTML que se incluyen con Forefront TMG y la estructura de los directorios de los conjuntos de
formularios de Forefront TMG:

Conjuntos de formularios de Forefront TMG

Directorios de conjuntos de formularios
Conjuntos de formularios de Forefront TMG
Forefront TMG incluye conjuntos de formularios preconfigurados en las siguientes carpetas:

ISA: incluye todos los formularios HTML que pueden ser necesarios para la autenticacin basada en formularios, tal y como se especifica en la escucha de web o
en la regla de publicacin web de Forefront TMG.

197

Exchange: incluye todos los formularios HTML que pueden ser necesarios para la autenticacin basada en formularios de acceso al cliente web de Microsoft
Exchange.
Forefront TMG admite tres clases de formularios HTML, que se organizan en conjuntos de formularios:

HTML, dirigido a los exploradores estndar.

cHTML, dirigido a los exploradores que admiten cHTML, como los dispositivos mviles i-mode.

xHTML, dirigido a los exploradores que admiten xhtml-mp, como Microsoft Windows Mobile y otros dispositivos mviles.
Nota:
Forefront TMG determina el tipo de formulario que proporcionar a partir del encabezado User-Agent que proporciona el cliente mvil.
Cada conjunto de formularios incluye todos los formularios HTML que los clientes pueden necesitar para la autenticacin basada en formularios, como un formulario de
inicio de sesin, un formulario del cierre de sesin y formularios SecurID. De forma predeterminada, al crear una nueva escucha de web con la autenticacin basada en los
formularios HTML como mtodo de autenticacin, se selecciona automticamente un conjunto de formularios. Dependiendo del mtodo de validacin de autenticacin
especificado para la escucha de web, Forefront TMG presenta uno de los siguientes tipos de formularios de inicio de sesin:

Formulario de contraseas: el usuario escribe un nombre de usuario y una contrasea en el formulario. Estas credenciales son necesarias para la validacin de
credenciales de Active Directory, Protocolo ligero de acceso a directorios (LDAP) y Servicio de autenticacin remota telefnica de usuario (RADIUS).

Formulario de cdigo de acceso: el usuario escribe un nombre de usuario y un cdigo de acceso en el formulario. Estas credenciales son necesarias para la
validacin de contrasea nica para SecurID y RADIUS.

Formulario de cdigo de acceso/contrasea: el usuario escribe un nombre de usuario y un cdigo de acceso, y un nombre de usuario y una contrasea. El nombre
de usuario y cdigo de acceso se utilizan para la autenticacin para Forefront TMG mediante mtodos de autenticacin de contraseas de un solo uso SecurID o
RADIUS y el nombre de usuario y contrasea se utilizan para la delegacin. Este formulario se utiliza cuando el administrador decide recopilar credenciales
adicionales en el formulario.
Despus de crear la escucha de web y la regla de la publicacin web, puede especificar el uso de un conjunto de formularios diferente. Adems, las propiedades de
formulario HTML de una regla de publicacin web pueden invalidar el conjunto de formularios de su escucha de web. Un conjunto de formularios se determina de una de
estas dos formas:

Conjunto de formularios especificado en la escucha de web.

Conjunto de formularios especificado en la regla de publicacin web.
Para obtener informacin sobre cmo crear conjuntos de formularios, vea Crear conjuntos de formularios personalizados.
Directorios de conjuntos de formularios
El directorio \%Directorio de instalacin de Forefront TMG%\Templates\CookieAuthTemplates contiene los directorios de formularios de ISA y Exchange que se incluyen
con Forefront TMG. Sus subdirectorios inmediatos contienen los directorios de los distintos conjuntos de formularios.
Cada directorio de conjunto de formularios contiene el conjunto de formularios HTML (archivos .htm) completo. Cuando Forefront TMG muestra un formulario HTML,
reemplaza los marcadores de posicin de los archivos .htm con las cadenas del archivo strings.txt correspondiente a la configuracin de idioma del explorador del usuario,
que se encuentra en la carpeta de idioma del directorio de idiomas (nls), como se indica a continuacin.
Directorio ISA
Cuando se crea una regla de publicacin web o una regla de publicacin de Microsoft SharePoint, se utiliza automticamente un conjunto de formularios del directorio ISA.
Directorio Exchange
Cuando se crea una regla de publicacin de acceso a correo de cliente web mediante el Asistente para nueva regla de publicacin de Exchange, se selecciona
automticamente para esa regla el conjunto de formularios HTML de Exchange. La carpeta de Exchange contiene nicamente el conjunto de formularios HTML. Para usar
los conjuntos de formularios cHTML o XHTML para el acceso al cliente web de Exchange, se deben crear los directorios Exchange\cHTML o Exchange\xHTML y, a
continuacin, copiar el contenido de Exchange\HTML en ellos.
Nota:
Para usar el Asistente de publicacin de reglas de Exchange, en el rbol de consola de Administracin del servidor, haga clic en Directiva de firewall y, a
continuacin, en la pestaa Tareas, haga clic en Publicar acceso de cliente web de Exchange.
Directorio de idioma
El directorio de idioma, nls, contiene un nico subdirectorio con un archivo strings.txt para cada idioma admitido. Cuando Forefront TMG muestra un formulario HTML,
reemplaza los marcadores de posicin de los archivos .htm con las cadenas del archivo strings.txt del idioma correspondiente al encabezado Accept-Language enviado por el
explorador del cliente.
Cuando Forefront TMG no encuentra ninguna coincidencia con el encabezado Accept-Language enviado por el explorador del cliente, Forefront TMG utiliza el archivo
strings.txt del directorio del conjunto de formularios predeterminado. Tenga en cuenta que strings.txt es la versin inglesa del archivo.
Permisos de los directorios de conjuntos de formularios
Cuando se instala Forefront TMG, se establecen automticamente los permisos de los directorios de formularios. Nunca se debera cambiar estos permisos:

Control total: se aplica a los miembros del grupo Administradores local.

Solo lectura: se aplica a la cuenta Servicio de red de modo que Forefront TMG pueda leer el contenido de este directorio cuando se ejecuta bajo la cuenta
Servicio de red.
Para conservar la herencia de permisos de la carpeta primaria, se recomienda que copie los archivos en el directorio del conjunto de formularios en lugar de moverlos.
Personalizar los conjuntos de formularios
En algunos casos, puede que desee proporcionar una apariencia diferente a los formularios de algunos sitios web publicados. Cada estilo se define mediante un conjunto de
formularios. Puede modificar un conjunto de formularios existente o crear el suyo propio.

198

Personalizar las cadenas de texto

Usar grficos personalizados

Crear conjuntos de formularios personalizados
Nota:
Al personalizar los formularios, debe mantener todos los campos de formulario originales y todos los marcadores de posicin que Forefront TMG reemplaza
con campos ocultos. Todas las etiquetas de entrada <input > y etiquetas de formulario <form> deben mantenerse sin cambios en los archivos .htm para que
los formularios funcionen. Tampoco puede cambiar el formato del archivo strings.txt.
Las carpetas Exchange e ISA se sobrescriben durante la actualizacin. Si personaliza los formularios HTML, asegrese de realizar una copia de seguridad de
los archivos actualizados antes de aplicar cualquier revisin, Service Pack o actualizacin.
Si ejecuta Forefront TMG Enterprise Edition, debera realizar los cambios de los conjuntos de formularios de Forefront TMG en cada miembro de matriz de
Forefront TMG.
Para que los cambios surtan efecto, debe reiniciar el servicio de Firewall.
Todos los archivos situados en el directorio de personalizacin de formularios estn accesibles a usuarios annimos, por lo que no deberan contener
informacin confidencial.
Personalizar las cadenas de texto
Cuando Forefront TMG muestra un formulario HTML, reemplaza los marcadores de posicin de los archivos .htm con las cadenas del archivo strings.txt del idioma
especificado en la configuracin de idioma del explorador del cliente o tal y como se especifique en la escucha de web. La personalizacin de cadenas de texto se realiza
mediante la modificacin de las cadenas del archivo strings.txt que corresponden a los marcadores de posicin de los archivos .htm.
Nota:
Antes de personalizar el contenido del archivo strings.txt, se recomienda que realice una copia de seguridad del archivo strings.txt que est modificando.
Debe codificar correctamente cualquier cadena que modifique o agregue de modo que cumpla la sintaxis HTML. El carcter < no puede estar incluido en la
cadena y se debe reemplazar con <. Adems, para incluir una comilla, debe utilizar la comilla sencilla en lugar de la comilla doble.
En el siguiente ejemplo se muestra cmo cambiar la cadena de texto correspondiente a la entrada de nombre de usuario de la pgina de inicio de sesin estndar de
"Domain\user name:" a "Alias:".
Para cambiar el texto de la entrada del nombre de usuario en la pgina de inicio de sesin estndar
1. Abra el archivo strings.txt de la carpeta de idioma correspondiente del directorio nls.
2. Encuentre la cadena que coincide con el marcador de posicin @@L_username_ text. La cadena aparece en el archivo strings.txt de este modo:
L_UserName_Text="Domain\User name:".
3. Cambie la cadena de texto a L_UserName_Text="Alias:".
4. Guarde el archivo strings.txt. Cuando se genere el formulario HTML, el nuevo valor de @@L_username_text se mostrar en el formulario.
5. Para que los cambios surtan efecto, reinicie el servicio Microsoft Firewall.
Adems de modificar cadenas de texto, puede agregar nuevas cadenas a un formulario. En el siguiente ejemplo se muestra cmo agregar una cadena a un formulario.
Para agregar una cadena a un formulario
1. Abra el archivo .htm.
2. Agregue un marcador de posicin para la cadena y guarde el archivo. El marcador de posicin debe tener el formato @@L_stringname. El marcador de posicin
no puede contener espacios.
3. Guarde el archivo .htm.
4. Agregue la cadena correspondiente al archivo strings.txt. La cadena se debe escribir con el formato L_stringname="string text".
5. Guarde el archivo strings.txt.
6. Para que los cambios surtan efecto, reinicie el servicio Firewall. Cuando se genere el formulario HTML, el valor de @@L_stringname se mostrar en el
formulario.

Consideraciones acerca de la seguridad
Si proporciona el archivo strings.txt a un tercero para su modificacin, compruebe que no se haya agregado nada que no sea texto al archivo, ya que las redes podran ser
vulnerables a ataques.

Usar grficos personalizados
Puede reemplazar un grfico en un formulario concreto o reemplazar globalmente un grfico en todos los formularios para que el cambio aparezca en todos los archivos .htm
que hagan referencia a ese grfico.
Todos los grficos que Forefront TMG utiliza en los formularios HTML estn situados en los directorios de formularios predeterminados (ISA y Exchange). La direccin
URL utilizada para hacer referencia a los grficos se escribe del modo que se indica a continuacin, siendo <nombre de archivo> el nombre del archivo con su extensin:
/cookieauth.dll?GetPic?formdir=@@FORMDIR&image=<nombre de archivo>.
En el siguiente ejemplo se muestra cmo reemplazar el grfico del logotipo <lgntop.gif> con el logotipo de su compaa <logo.gif>; en el ejemplo se muestra cmo
modificar un formulario del directorio HTML.

Para reemplazar el grfico del logotipo
1. Copie logo.gif al directorio del conjunto de formularios \%Directorio de instalacin de Forefront TMG%\Templates\CookieAuthTemplates\ISA\HTML.
2. Abra el archivo .htm que incluye el grfico que desea reemplazar.
3. Modifique la direccin URL del grfico, reemplazando el nombre de archivo existente <lgntop.gif>. La direccin URL modificada es:
/cookieauth.dll?GetPic?formdir=@@FORMDIR&image=logo.gif.
4. Guarde el archivo.
5. Para que los cambios surtan efecto, reinicie el servicio Firewall. Cuando se genere el formulario, logo.gif se mostrar en el formulario.
Como alternativa, para reemplazar un grfico en todos los formularios globalmente, copie su grfico en el directorio de formularios utilizando el nombre de archivo del
grfico que va a reemplazar.

Crear conjuntos de formularios personalizados
Puede proporcionar formularios personalizados con el fin de especificar un directorio para los formularios que no sea el directorio ISA o Exchange que proporciona
Forefront TMG. Por ejemplo, considere un escenario en el que vaya a publicar el acceso de cliente web para dos compaas diferentes y desea que cada compaa tenga su
propio logotipo en la pgina, as como otras cadenas de texto personalizadas.
En el siguiente procedimiento se describe cmo proporcionar formularios personalizados para este ejemplo.

199

Para proporcionar formularios personalizados
1. Cree una nueva carpeta en el directorio \CookieAuthTemplates\; por ejemplo, \%Directorio de instalacin de Forefront
TMG%\Templates\CookieAuthTemplates\Company1.
2. Copie el contenido de la carpeta ISA o Exchange en la nueva carpeta que cre. Si tiene nicamente exploradores estndar, solo necesita copiar la carpeta HTML.
3. Personalice el formulario en el directorio copiado. Realice cambios de texto en el archivo strings.txt de la carpeta de idioma correspondiente o reemplace los
archivos grficos. No cambie ninguno de los elementos de formulario HTML, como <FORM> e <INPUT>.
4. Para que los cambios surtan efecto, reinicie el servicio Firewall.
5. Para aplicar el nuevo conjunto de formularios a una escucha de web, especifique el nombre de directorio en la pestaa Formularios de la escucha de web.
Proporcione nicamente el nombre del directorio, como Company1, no la ruta de acceso completa. Como alternativa, para aplicar el nuevo conjunto de
formularios a una regla de publicacin web, en la pestaa Configuracin de la aplicacin de la regla, habilite la casilla Usar formularios HTML personalizados y
proporcione el nombre del directorio.
6. Para asegurarse de que los formularios solo se muestran en un idioma concreto, en la pestaa Formularios de la escucha de web, bajo Mostrar el formulario
HTML en este idioma, seleccione el idioma. Por ejemplo, para asegurarse de que un formulario slo se muestra en ingls, sin tener en cuenta la configuracin del
explorador cliente, seleccione Ingls [en].
7. Repita el procedimiento para la segunda compaa (Company2).
8. Haga clic en Aplicar de la barra Aplicar cambios para actualizar la configuracin.
Nota:
Si ejecuta Forefront TMG Enterprise Edition, el directorio de formularios debe aparecer en todos los miembros de matriz de Forefront TMG.
Configuracin de idioma
De forma predeterminada, Forefront TMG genera los formularios HTML utilizando el archivo strings.txt de la carpeta de idioma especificada en la opcin Idiomas de las
opciones de Internet del explorador cliente. Puede invalidar la configuracin de idioma del cliente especificando un idioma en la escucha de web. Adems, si Forefront TMG
no encuentra el archivo strings.txt que corresponde a la configuracin de idioma, utilizar el archivo strings.txt predeterminado.
Nota:
El idioma del archivo strings.txt del directorio predeterminado es el ingls. Para cambiar el idioma del archivo strings.txt predeterminado, reemplcelo con el archivo
strings.txt de cualquiera de las carpetas de idioma.

Configuracin de la priorizacin del ancho banda
En este tema se describe cmo configurar DiffServ para el trfico web. Forefront TMG admite el control de ancho de banda para el trfico HTTP y HTTPS al proporcionar
la prioridad de paquetes mediante el protocolo Servicios diferenciados (DiffServ).
La configuracin de DiffServ consta de los siguientes pasos:
1. Habilitar la prioridad de trfico mediante DiffServ.
2. Crear prioridades.
3. Configurar las prioridades de direcciones URL y dominios.
4. Configurar una red para que utilice DiffServ. Debe configurarse al menos una red.
Dnde empezar: Para modificar las propiedades de DiffServ, en el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso web. A
continuacin, en Tareas relacionadas, haga clic en Configurar preferencias de DiffServ.
Habilitar la prioridad de trfico mediante DiffServ

En la ficha General, seleccione Habilitar la aplicacin de prioridades de trfico de red de acuerdo con los bits DiffServ (Calidad de servicio).
Configurar prioridades
1. En la ficha Prioridades, haga clic en Agregar.
2. En el cuadro de dilogo Agregar prioridad, haga lo siguiente:

En Nombre de prioridad, escriba un nombre para esta prioridad.

En Bits DiffServ, escriba la cadena binaria de seis dgitos correspondiente que represente el valor DiffServ (tambin denominado Punto de cdigo de
servicios diferenciados, DSCP). La cadena binaria debe coincidir con la cadena binaria utilizada por el enrutador para una configuracin de Calidad de
servicio (QoS) especfica.
3. En la ficha Prioridades, seleccione Aplicar un lmite de tamao a esta prioridad si la prioridad debe aplicarse slo a solicitudes o respuestas de un tamao
mximo. A continuacin, en Lmite de tamao, especifique el tamao mximo en bytes.
4. Seleccione Permitir el tratamiento especial de encabezados de solicitud y respuesta si Forefront TMG debe controlar los encabezados con una prioridad diferente
(superior) a otras partes de las solicitudes y respuestas. Esta opcin se aplica al primer bloque de trfico, no al primer paquete.
5. A continuacin, en Usar esta prioridad, seleccione la prioridad que se aplicar a los encabezados.
Asignar la prioridad DiffServ a una direccin URL
1. En la ficha Direcciones URL, haga clic en Agregar.
2. En el cuadro de dilogo Agregar prioridad de direccin URL, haga lo siguiente:

En Direccin URL, escriba una direccin URL para la que establecer la prioridad. Para especificar un grupo de direcciones URL, utilice un asterisco
(carcter comodn) al final de la direccin URL.

En Prioridad, seleccione la prioridad que va a asignar a la direccin URL especificada.

200
3. En la ficha Direcciones URL, utilice las teclas FLECHA ARRIBA y FLECHA ABAJO para colocar las direcciones URL en orden de prioridad. Si una direccin
URL ms general precede a otra especfica, no se establecer la coincidencia de la direccin URL especfica.
Forefront TMG usa las prioridades enumeradas en la ficha Direcciones URL para aplicar DiffServ al contenido que Forefront TMG puede inspeccionar. El contenido
enviado por tnel a travs de HTTPS no se puede inspeccionar y no debe utilizarse una prioridad de direccin URL. Como alternativa, utilice un nombre de dominio.
Asignar la prioridad DiffServ a un dominio
1. En la ficha Dominios, haga clic en Agregar.
2. En el cuadro de dilogo Agregar prioridad de dominio, haga lo siguiente:
3. En Dominio, escriba un dominio para el que establecer la prioridad. Para especificar un dominio completo, utilice un asterisco (carcter comodn).
4. En Prioridad, seleccione la prioridad que va a asignar al dominio especificado.
5. En la ficha Direcciones URL, utilice las teclas FLECHA ARRIBA y FLECHA ABAJO para ordenas las prioridades de dominios.
Configurar una red para que utilice DiffServ

En la ficha Redes, seleccione las redes en las que se debe aplicar DiffServ. Tenga en cuenta que la prioridad de paquetes con DiffServ slo funciona en redes
cuyos enrutadores sean compatibles con la funcionalidad Calidad de servicio (QoS).
Configurar la compresin HTTP

En este tema se proporcionan instrucciones acerca de la configuracin de la compresin de contenido HTTP. La compresin HTTP utiliza el algoritmo estndar del sector
GZIP para eliminar datos redundantes y reducir el tamao de los archivos de datos HTTP.
La configuracin de la compresin HTTP consta de los siguientes pasos:

Habilitar la compresin

Especifique los objetos de red desde los cuales se permitir a los clientes solicitar respuestas HTTP comprimidas.

Especifique los objetos de red desde los cuales Forefront TMG solicitar respuestas HTTP comprimidas.

Habilitar la inspeccin de contenido

Especifique los tipos de contenido que se van a comprimir
Dnde empezar. Configure la funcin de compresin en Administracin de Forefront TMG, en el nodo Directiva de acceso web de la ficha Directiva de acceso web. En el
panel Tareas, en Tareas relacionadas, haga clic en Configurar compresin HTTP para abrir y configurar las propiedades de compresin HTTP.
Para habilitar la compresin

En la ficha General de las propiedades de compresin HTTP, compruebe que Habilitar compresin HTTP est seleccionado.
Para especificar los objetos de red desde los cuales los clientes pueden solicitar respuestas HTTP comprimidas
1. En la ficha Devolver datos comprimidos, haga clic en Agregar para agregar los objetos de red desde los cuales se permitir a los clientes solicitar respuestas
HTTP comprimidas.
2. Opcionalmente, en Excepciones, puede hacer clic en Agregar para agregar los objetos de red que constituirn excepciones para el cliente al que se permitir
solicitar respuestas HTTP comprimidas.
Para especificar los objetos de red desde los cuales Forefront TMG puede solicitar respuestas HTTP comprimidas
1. En la ficha Solicitar datos comprimidos, haga clic en Agregar para agregar los elementos de red que constituirn excepciones de los elementos de red desde los
cuales Forefront TMG solicitar respuestas HTTP comprimidas.
2. Opcionalmente, en Excepciones, puede hacer clic en Agregar para agregar los elementos de red que constituirn excepciones para el cliente al que se permitir
solicitar respuestas HTTP comprimidas.
Para habilitar la inspeccin de contenido

En la ficha Inspeccin de contenido, seleccione Descomprimir los paquetes entrantes para permitir que los filtros web de Forefront TMG inspeccionen el
contenido.
Para seleccionar los tipos de contenido que se van a comprimir
1. En la ficha Tipos de contenido, seleccione una de las siguientes opciones:

Comprimir todos los tipos de contenido excepto los seleccionados para especificar los tipos de contenido que se excluirn (todos los dems se
incluirn).

Comprimir slo los tipos de contenido seleccionados para especificar los tipos de contenido que se incluirn (todos los dems se excluirn). Si
selecciona esta opcin y despus no selecciona ningn tipo de contenido, se comprimir todo el trfico.
2. En Tipos de contenido, seleccione los tipos de contenido especficos que se excluirn o incluirn.
3. Si selecciona Comprimir todos, puede agregar nuevos tipos de contenido y aplicarles despus la compresin HTTP. Para obtener instrucciones acerca de cmo
crear los nuevos tipos de contenido, vea Configuring content types. Hay algunos tipos de contenido que no se pueden comprimir.

Configurar la publicacin de otros protocolos
Con Forefront TMG puede publicar servidores que ejecutan protocolos distintos de HTTP. Forefront TMG emplea reglas de publicacin de servidor para reenviar las
solicitudes de clientes entrantes de servidores que no son HTTP situados en una red protegida por Forefront TMG. Las reglas de publicacin de servidor asignan un nmero
de puerto y una o ms direcciones IP en las que el equipo de Forefront TMG escucha solicitudes de cliente a un nmero de puerto y una direccin IP del servidor publicado.
En los temas siguientes se describe cmo crear las reglas de publicacin de servidor:

Crear y utilizar un protocolo de servidor

Configurar la publicacin de un servidor FTP

Configurar la publicacin de un servidor SQL Server

Configurar la publicacin de RDP

Crear y utilizar un protocolo de servidor
Para crear y utilizar un protocolo de servidor

201
2. En el panel de Tareas, en la ficha Herramientas, haga clic en Protocolos .
3. En la barra de herramientas que hay debajo de Protocolos, haga clic en Nuevo y, despus, en Protocolo.
4. En la siguiente tabla se indica cmo completar el Asistente para nueva definicin de protocolos.
nueva definicin de
protocolos
Nombre de definicin
de protocolo
Escriba un nombre para definir el protocolo. Por ejemplo, escriba Servidor MiProtocolo.
Informacin acerca de la
conexin principal
En una definicin de protocolo de servidor tpica, para configurar la conexin principal, haga clic en Nuevo.
A continuacin, en Tipo de protocolo, seleccione TCP, en Direccin, seleccione Entrante, en De y A,
escriba el mismo nmero de puerto aplicable y, finalmente, haga clic en Aceptar.
Informacin acerca de la
conexin secundaria
Desea utilizar
conexiones
secundarias?
Seleccione No.
para nueva definicin de
protocolos
5. En el panel de tareas, en la ficha Tareas, haga clic en Publicar protocolos de servidor no web para abrir el Asistente para nueva regla de publicacin de servidor.
6. En la siguiente tabla se indica cmo finalizar el Asistente para nueva regla de publicacin de servidor.
regla de publicacin de servidor
publicacin de servidor
Escriba un nombre para definir el protocolo. Por ejemplo, escriba Publicar servidor MiProtocolo.
Seleccionar servidor Direccin IP del
servidor
Escriba la direccin IP del servidor que desea publicar.
Seleccionar protocolo Protocolo seleccionado En la lista desplegable, seleccione el protocolo definido en el Paso 4. A continuacin, haga clic en
Puertos si desea sobrescribir los puertos predeterminados en la definicin de protocolo.
Puertos (aparece slo si hace clic en
Puertos en la pgina Seleccionar
protocolo)
Puertos del firewall Seleccione una de las siguientes opciones:
Publicar a travs del puerto predeterminado en la definicin de protocolo. Con esta opcin,
Forefront TMG acepta solicitudes de cliente entrantes en el puerto predeterminado.
Publicar en este puerto en lugar del puerto predeterminado. Con esta opcin, Forefront
TMG acepta solicitudes de cliente entrantes en el puerto no estndar que se especifique y, a
continuacin, las reenva al puerto designado en el servidor publicado.
Puertos del servidor
publicado
Seleccione una de las siguientes opciones:
Enviar solicitudes al puerto predeterminado en el servidor publicado. Con esta opcin,
Forefront TMG acepta solicitudes para el servicio publicado en el puerto predeterminado
especificado en la definicin de protocolo.
Enviar solicitudes a este puerto en el servidor publicado. Con esta opcin, Forefront TMG
acepta solicitudes para el servicio publicado en un puerto diferente al predeterminado.
Puertos de origen Seleccione una de las siguientes opciones:
Permitir trfico de cualquier puerto de origen permitido. Con esta opcin, Forefront TMG
acepta solicitudes de cualquier puerto en los equipos cliente permitidos.
Limitar acceso al trafico de este intervalo de puertos de origen. Con esta opcin, Forefront
TMG acepta solicitudes solo de los puertos especificados.
Direcciones IP de escucha de red Escuchar solicitudes de
estas redes
Seleccione la red Externa. Para seleccionar en qu direcciones IP especficas se desea que escuche
Forefront TMG, haga clic en Direcciones y seleccione Direcciones IP especificadas en el equipo de
Forefront TMG en la red seleccionada. En Direcciones IP disponibles, seleccione la direccin IP
correspondiente, haga clic en Agregar y luego en Aceptar.
En una matriz con varios miembros de matriz, seleccione la misma direccin IP virtual para cada
miembro de matriz si se habilita el equilibrio de carga de red. De lo contrario, seleccione una
direccin IP adecuada para cada miembro de la matriz.
Finalizacin del Asistente para
servidor

202
Nota:
La direccin de la conexin principal, en la publicacin de servidores, para un protocolo TCP debe ser entrante.
En una implementacin de empresa de varias matrices, los protocolos tambin se pueden definir en el nivel de empresa desde el nodo Directivas de empresa.
Los protocolos que se definen o se modifican en el nivel de la empresa se pueden usar en reglas en el nivel de matriz. Sin embargo, estos protocolos de nivel de
empresa no se pueden modificar en el nivel de matriz.
Si el protocolo requiere una funcin de filtrado que no proporciona el servicio Firewall de Microsoft, como un canal de datos secundario, asocie el protocolo
con un filtro de aplicacin que ofrezca la funcin necesaria.
Si desea ver una lista completa de los protocolos que utilizan los productos y los subcomponentes de Microsoft Windows, consulte "Introduccin al servicio y
requisitos del puerto de red para el sistema Windows Server" en Ayuda y soporte tcnico de Microsoft (http://www.microsoft.com/).
De forma predeterminada, las solicitudes de clientes reenviadas por Forefront TMG al servidor publicado parecen provenir de la direccin IP del cliente
original. En este caso, la puerta de enlace predeterminada del servidor publicado debe establecerse en la direccin IP del adaptador de red del equipo Forefront
TMG a travs del que se conecta el servidor publicado. Como alternativa, puede configurar su regla de publicacin de servidor de manera que las solicitudes de
clientes reenviadas parezcan provenir del equipo Forefront TMG en la ficha A de las propiedades de la regla de publicacin de servidor.
Las reglas de publicacin de servidor suelen utilizarse cuando hay una relacin NAT (traduccin de direcciones de red) definida por una regla de red entre la
red donde se encuentran los clientes que envan solicitudes al servidor publicado y la red en la que se encuentra el servidor publicado. Las reglas de publicacin
de servidor tambin pueden utilizarse cuando la regla de red entre la red del cliente y la red donde se encuentra el servidor define una relacin de enrutamiento.
Sin embargo, en este caso, los clientes deben enviar solicitudes directamente a la direccin IP del servidor publicado.
Las reglas de publicacin de servidor no se admiten en una configuracin del adaptador de red nico.
Configurar la publicacin de un servidor FTP
Para publicar un servidor FTP
2. En el panel Tareas, en la pestaa Tareas, haga clic en Publicar protocolos de servidor no web para abrir el Asistente para nueva regla de publicacin de servidor.
3. Complete el Asistente para nueva regla de publicacin de servidor como se indica en la tabla siguiente.
nueva regla de publicacin
de servidor
Nombre de la regla
de publicacin de
servidor
Escriba un nombre para definir el protocolo. Por ejemplo, escriba:
Publicar servidor FTP
servidor
Escriba la direccin IP del servidor FTP que desea publicar.
Seleccionar protocolo Protocolo
seleccionado
En la lista desplegable, seleccione Servidor FTP. A continuacin, haga clic en Puertos si desea reemplazar
los puertos predeterminados en la definicin del protocolo.
Puertos (aparece slo si hace
clic en Puertos en la pgina
Seleccionar protocolo)
Publicar a travs del puerto predeterminado en la definicin de protocolo. Con esta opcin, Forefront
TMG acepta solicitudes de cliente entrantes en el puerto 21.
Publicar en este puerto en lugar del puerto predeterminado. Con esta opcin, Forefront TMG acepta
solicitudes de clientes entrantes en el puerto no estndar que se especifique y, a continuacin, las
reenva al puerto designado en el servidor publicado.
publicado
Enviar solicitudes al puerto predeterminado en el servidor publicado. Con esta opcin, Forefront
TMG acepta solicitudes para el servicio publicado en el puerto 21.
Enviar solicitudes a este puerto en el servidor publicado. Con esta opcin, Forefront TMG acepta
solicitudes para el servicio publicado en un puerto diferente al puerto 21.
Permitir trfico de cualquier puerto de origen permitido. Con esta opcin, Forefront TMG acepta
solicitudes de cualquier puerto en los equipos cliente permitidos.
Limitar acceso al trafico de este intervalo de puertos de origen. Con esta opcin, Forefront TMG
acepta solicitudes slo de los puertos especificados.
Direcciones IP de escucha de
red
Escuchar solicitudes
de estas redes
Seleccione la red Externa. Para seleccionar a qu direcciones IP especficas se desea que escuche Forefront
TMG, haga clic en Direcciones y, a continuacin, seleccione Direcciones IP especificadas del equipo
Forefront TMG de la red seleccionada. En la lista Direcciones IP disponibles, seleccione la direccin IP
apropiada, haga clic en Agregar y, a continuacin, en Aceptar.
En una matriz con varios miembros de matriz, seleccione la misma direccin IP virtual para cada miembro
de matriz si se habilita el equilibrio de carga de red. De lo contrario, seleccione una direccin IP adecuada
para cada miembro de la matriz.

203
para nueva regla de
4. Si desea habilitar las descargas FTP, siga estos pasos.
a. En el panel de detalles, haga clic con el botn secundario sobre el nombre de la regla que acaba de crear.
b. Haga clic en Configurar FTP.
c. En la pgina Configurar directiva de protocolo FTP, desactive Solo lectura.
Nota:
Para obtener ms informacin sobre la publicacin en el servidor, vea Acerca de cmo publicar servidores no web.
Cuando se crea una regla de publicacin de servidor FTP, el filtro de acceso a FTP se configura para que bloquee las descargas de FTP.
original. En este caso, la puerta de enlace predeterminada del servidor FTP debe establecerse en la direccin IP del adaptador de red del equipo Forefront TMG
a travs del que se conecta el servidor FTP. Como alternativa, puede configurar su regla de publicacin de servidor de manera que las solicitudes de clientes
reenviadas parezcan provenir del equipo Forefront TMG en la ficha A de las propiedades de la regla de publicacin de servidor.
Si va a publicar un servidor FTP en el equipo Forefront TMG, la direccin IP del servidor publicado puede ser la direccin IP del adaptador de red del equipo
Forefront TMG en la red externa o la direccin IP del adaptador de red del equipo Forefront TMG en la red protegida.
Configurar la publicacin de un servidor SQL Server
Para publicar un equipo SQL Server
2. En el panel Tareas, en la ficha Tareas, haga clic en Publicar protocolos de servidor no web para abrir el Asistente para nueva regla de publicacin de servidor.
3. Complete el Asistente para nueva regla de publicacin de servidor como se indica en la siguiente tabla.
de servidor
Nombre de la regla
de publicacin de
servidor
Publicar SQL Server
servidor
Escriba la direccin IP del equipo SQL Server que desea publicar.
seleccionado
En la lista desplegable, seleccione Microsoft SQL Server. A continuacin, haga clic en Puertos si desea
reemplazar los puertos predeterminados en la definicin del protocolo.
publicado
Direcciones IP de escucha de Escuchar solicitudes Seleccione la red Externa. Para seleccionar a qu direcciones IP especficas se desea que escuche Forefront

204
red de estas redes TMG, haga clic en Direcciones y, a continuacin, seleccione Direcciones IP especificadas del equipo
para nueva regla de
Nota:
original. En este caso, la puerta de enlace predeterminada en el equipo SQL Server debe estar establecida en la direccin IP del adaptador de red del equipo
Forefront TMG a travs del cual el equipo SQL Server conecta con ella. Como alternativa, puede configurar su regla de publicacin de servidor de manera que
las solicitudes de clientes reenviadas parezcan provenir del equipo Forefront TMG en la ficha A de las propiedades de la regla de publicacin de servidor.
Tras publicar el equipo SQL Server en el firewall, configure los equipos cliente para que utilicen el protocolo TCP en el puerto 1433. Para configurar los
equipos cliente, puede utilizar la Herramienta de red de cliente SQL. Tambin puede especificarlo en la cadena de conexin SQL.
Configurar la publicacin de RDP
Para publicar un servidor RDP
2. En el panel Tareas, en la ficha Tareas, haga clic en Publicar protocolos de servidor no web para abrir el Asistente para nueva regla de publicacin de servidor.
3. Complete el Asistente para nueva regla de publicacin de servidor como se indica en la siguiente tabla.
de servidor
Nombre de la regla
de publicacin de
servidor
Publicar servidor RDP
servidor
Escriba la direccin IP del servidor RDP que desea publicar.
seleccionado
En la lista desplegable, seleccione Servidor RDP (Servicios de Terminal Server). A continuacin, haga clic
en Puertos si desea reemplazar los puertos predeterminados en la definicin del protocolo.
publicado

205
Direcciones IP de escucha de
red
Escuchar solicitudes
de estas redes
Seleccione la red Externa. Para seleccionar a qu direcciones IP especficas se desea que escuche Forefront
TMG, haga clic en Direcciones y, a continuacin, seleccione Direcciones IP especificadas del equipo
para nueva regla de
4. Si desea que el Forefront TMG slo permita a equipos especficos de Internet conectarse al servidor RDP publicado, siga estos pasos.
a. En el panel de detalles, seleccione la regla que acaba de crear.
b. En la ficha Tareas, haga clic en Editar regla seleccionada.
c. En la ficha De, haga clic en En cualquier lugar y, a continuacin, en Quitar.
d. Haga clic en Agregar, en Nuevo y, a continuacin, en Conjunto de equipos.
e. Escriba un nombre para el nuevo conjunto de equipos y agregue al conjunto de equipos los equipos que podrn conectarse al servidor RDP.
f. Haga clic en Aceptar.
g. En la pgina Agregar entidades de red, seleccione el conjunto de equipos que ha creado, haga clic en Agregar y, a continuacin, en Cerrar.
h. Haga clic en Aceptar.
Nota:
original. En este caso, la puerta de enlace predeterminada del servidor RDP debe establecerse en la direccin IP del adaptador de red del equipo Forefront TMG
a travs del que se conecta el servidor RDP. Como alternativa, puede configurar su regla de publicacin de servidor de manera que las solicitudes de clientes
reenviadas parezcan provenir del equipo Forefront TMG en la ficha A de las propiedades de la regla de publicacin de servidor.

Proteger sus redes
Forefront TMG tiene varias tecnologas de proteccin que le permiten proteger los equipos y servidores en su red extendida. En los siguientes temas se describe cmo
habilitar, configurar y conservar actualizadas estas protecciones:
Nota:
Para obtener ms informacin sobre estas protecciones, vea Gua de diseo de proteccin para Forefront TMG.

Configurar la proteccin de las vulnerabilidades conocidas: describe cmo proteger sus redes de los intentos de aprovecharse de las vulnerabilidades conocidas en
aplicaciones y sistemas operativos.

Configurar la proteccin de los ataques a la red: describe cmo proteger sus redes del desbordamiento, DNS y otros tipos de ataques.

Configurar la proteccin de las amenazas basadas en web: describe cmo proteger su organizacin del malware y otras amenazas basadas en web:

Configurar la proteccin de las amenazas basadas en correo electrnico: describe cmo proteger sus servidores de correo SMTP (y, por consiguiente, los
destinatarios de correo electrnico) de correo no deseado, virus y otro malware.

Administrar actualizaciones de definicin para Forefront TMG: describe cmo configurar los mecanismos de actualizacin para estas protecciones.
Configurar la proteccin de las vulnerabilidades conocidas
En los temas siguientes se describe cmo proteger su organizacin de los ataques que aprovechan las vulnerabilidades conocidas en los sistemas operativos y aplicaciones de
Microsoft:

Habilitar y configurar el sistema de inspeccin de red: describe cmo habilitar y configurar el sistema de inspeccin de red (NIS), que es la parte basada en firmas
del sistema de prevencin de intrusiones de Forefront TMG.

Administrar las descargas de firmas de NIS: describe cmo configurar las actualizaciones de firmas automticas para el sistema de inspeccin de red.

Activar un conjunto de firmas diferente: describe cmo cambiar la versin del conjunto de firmas activo, lo que resulta til para solucionar problemas.

Definir excepciones del sistema de inspeccin de red: describe cmo excluir las entidades de red de las detecciones del sistema de inspeccin de red (NIS).

Administrar firmas de NIS individuales: describe cmo modificar la directiva de respuesta de NIS para una firma individual.

Probar la funcionalidad del NIS: describe cmo comprobar que el NIS funciona correctamente.
Habilitar y configurar el sistema de inspeccin de red

206
En este tema se describe cmo habilitar y configurar el Sistema de inspeccin de red (NIS), que es la parte basada en firmas del Sistema de prevencin de intrusiones de
Forefront TMG. NIS usa las firmas de vulnerabilidades conocidas del Centro de proteccin contra malware de Microsoft (http://go.microsoft.com/fwlink/?LinkId=160624)
para ayudar a detectar y bloquear trfico malintencionado. El NIS, que se habilita de forma predeterminada, se puede configurar desde el Asistente de introduccin.

Habilitar el NIS

Configurar la respuesta en anomalas de protocolo
Nota:
Para que Forefront TMG pueda empezar a bloquear ataques a vulnerabilidades conocidas, debe descargar el conjunto de firmas de NIS ms reciente. Para obtener
instrucciones, vea Administrar las descargas de firmas de NIS.
Habilitar el NIS
Para habilitar el NIS
3. Realice una seleccin en la pgina Configuracin de Microsoft Update y haga clic en Siguiente.
4. En la pgina Configuracin de caractersticas de proteccin de Forefront TMG, compruebe que la licencia para NIS est establecida en Activar licencia
complementaria y habilitar NIS.
5. En la pgina Configuracin de actualizacin de firmas de NIS, tenga en cuenta lo siguiente:
a. Si desea instalar automticamente nuevos conjuntos de firmas, asegrese de que la opcin Comprobar e instalar actualizaciones (recomendado) est
seleccionada.
b. La configuracin Frecuencia de sondeo automtico solo se aplica al NIS. La configuracin de la frecuencia de sondeo para otras protecciones
actualizables se encuentra en el Centro de actualizacin.
c. La opcin Seleccione la directiva de respuesta de las nuevas firmas solo se aplica a las firmas descargadas e instaladas recientemente. La
configuracin se aplica a todos los conjuntos de firmas que se descargan. Todas las firma que no estn establecida en la respuesta predeterminada de
Microsoft se marcan como que requieren atencin en la ficha Sistema de inspeccin de red, que se encuentra en el panel de detalles Sistema de
prevencin de intrusiones.
Configurar la respuesta en anomalas de protocolo
Para configurar la respuesta del NIS en anomalas de protocolo
2. En la ficha Tareas, haga clic en Definir excepciones del sistema de inspeccin de red.
3. En la ficha Directiva de anomalas de protocolo, configure la respuesta del NIS en anomalas de protocolo.
Administrar las descargas de firmas de NIS
En este tema se describe cmo configurar las actualizaciones de firmas automticas para el sistema de inspeccin de red (NIS), que es la parte basada en firmas del sistema
de prevencin de intrusiones de Forefront TMG. NIS utiliza firmas desarrolladas por el Centro de proteccin contra malware de Microsoft
(http://go.microsoft.com/fwlink/?LinkId=160624) para proteger sistemas que no se hayan actualizado con las ltimas actualizaciones de software de los ataques que
aprovechan vulnerabilidades conocidas de los sistemas operativos y aplicaciones de Microsoft. Para mantener los sistemas protegidos de las amenazas de malware ms
recientes, se recomienda que compruebe que tiene conectividad con el origen de actualizacin adecuado y que habilita la instalacin automtica de las firmas ms recientes.
Para obtener ms informacin sobre cmo configurar la conectividad a Microsoft Update o Windows Server Update Services (WSUS), vea Administrar actualizaciones de
definicin para Forefront TMG.
Para poder utilizar Forefront TMG para bloquear los ataques que aprovechan las vulnerabilidades conocidas, debe descargar el ltimo conjunto de firmas de NIS. En los
siguientes procedimientos se proporcionan instrucciones acerca de cmo configurar las actualizaciones de los conjuntos de firmas de NIS y cmo comprobar que NIS est
recibiendo las actualizaciones.
Nota:
Las firmas descargadas recientemente solo se aplican a las nuevas conexiones. Sin embargo, NIS inspecciona el contenido almacenado en memoria cach con el
conjunto de firmas activo cada vez que un cliente lo solicita.
Para configurar las descargas de conjuntos de firmas de NIS
2. En la ficha Tareas, haga clic en Configurar propiedades.
3. En la ficha Actualizaciones de definiciones, en Accin automtica de actualizacin de definiciones, seleccione una de las siguientes opciones:

Buscar e instalar actualizaciones (recomendado): seleccione esta configuracin para descargar e instalar automticamente las actualizaciones de
definicin de firmas ms recientes.

Solo buscar definiciones: seleccione esta configuracin para recibir notificacin de la disponibilidad de las nuevas firmas para descargarlas.

Ninguna accin automtica: seleccione esta configuracin para deshabilitar las actualizaciones automticas.
4. En Directiva de respuesta para nuevas firmas, seleccione una de las siguientes opciones:

Directiva predeterminada de Microsoft (recomendado): seleccione esta configuracin para aceptar la respuesta predeterminada a la firma.

Detectar solo respuesta: seleccione esta configuracin para guardar un registro solo cuando se detecte trfico que coincida con esta firma.

Sin respuesta (deshabilitar firma): seleccione esta configuracin para no realizar ninguna accin y no se guardar un registro si detecta trfico que
coincida con esta firma.
Para comprobar que NIS est recibiendo las actualizaciones
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Centro de actualizaciones.
2. En el panel de detalles, compruebe si la ltima actualizacin de NIS se realiz correctamente.
3. Si no es as, haga clic en Sistema de inspeccin de red (NIS) y, a continuacin, en el panel Tareas, haga clic en Buscar definiciones.
4. Si el sistema no puede descargar una actualizacin de NIS, compruebe la configuracin de la red.
Activar un conjunto de firmas diferente

207
En este tema se describe cmo cambiar la versin del conjunto de firmas activo, lo que resulta til para solucionar problemas. El sistema de inspeccin de red (NIS)
actualiza peridicamente la base de datos de vulnerabilidades conocidas mediante la descarga de un nuevo conjunto de firmas desde Microsoft Update. Puede usar el control
de versiones para deshacer hasta un conjunto de firmas anterior o activar la versin ms reciente.
Nota:
Al activar un conjunto de firmas del sistema de inspeccin de red anterior puede exponer la red a amenazas recin descubiertas.
Para activar otro conjunto de firmas
2. En la ficha Tareas, haga clic en Configurar opciones.
3. En la ficha Actualizar configuracin, haga clic en Control de versiones.
4. Haga clic en Seleccione el conjunto de firmas de NIS que desee activar; a continuacin, en la lista, seleccione el conjunto de firmas requerido y haga clic en
Activar.
Definir excepciones del sistema de inspeccin de red
En este tema se describe cmo excluir las entidades de red de las detecciones del Sistema de inspeccin de red (NIS). Una entidad tpica que podra desear excluir es una
direccin IP de deteccin, que es una direccin IP aislada y desprotegida que usa un administrador del firewall para obtener informacin sobre varios ataques a la red.
Para que las entidades de red queden exentas de las detecciones del Sistema de inspeccin de red
2. Haga clic en la ficha Sistema de inspeccin de red (NIS) y en la ficha Tareas, haga clic en Definir excepciones.
3. En la ficha Excepciones, haga clic en Agregar y, a continuacin, seleccione las entidades de red que desea excluir de la inspeccin.
Sugerencia:
Si desea quitar una entidad de red de la lista, seleccinela y haga clic en Quitar.
Administrar firmas de NIS individuales
En este tema se describe cmo configurar la directiva de respuesta del sistema de inspeccin de red (NIS). NIS usa las firmas de vulnerabilidades conocidas del Centro de
proteccin contra malware de Microsoft (http://go.microsoft.com/fwlink/?LinkId=160624) para ayudar a detectar y a bloquear potencialmente el trfico malintencionado.
Puede configurar cada firma, habilitar o deshabilitar las firmas y establecer firmas para bloquear o solo detectar los ataques.
Puede cambiar la directiva de respuesta de NIS para una firma individual, para grupos de firmas o para el sistema completo, tal y como se describe en los siguientes
procedimientos.
Para modificar la directiva de respuesta de NIS para una firma individual
2. En el panel de detalles de la ficha Sistema de inspeccin de red (NIS), haga clic en la firma que desea modificar y, a continuacin, en la ficha Tareas, haga clic en
Configurar propiedades.
3. En la ficha General, puede cambiar la configuracin efectiva de la firma. Para invalidar la configuracin predeterminada de Microsoft, haga clic en
Personalizada, haga clic en Habilitar y, a continuacin, seleccione Bloquear en la lista.
Nota:
Para obtener ms informacin acerca de esta firma, haga clic en Ms informacin sobre esta firma de NIS en lnea.
Para modificar la directiva de respuesta de NIS para un grupo de firmas
2. En el panel de detalles de la ficha Sistema de inspeccin de red (NIS), en la lista Agrupar por, seleccione la categora segn la que desea agrupar las firmas
pertinentes.
3. Haga clic con el botn secundario en el ttulo de grupo de la seccin que desea modificar y haga clic en Habilitar firma o Deshabilitar. (Por ejemplo, si ha
agrupado las firmas por Gravedad, haga clic con el botn secundario en Moderada).
Para modificar la directiva de respuesta de NIS para todo el sistema
2. En la ficha Sistema de inspeccin de red (NIS), seleccione una de las siguientes opciones del panel Tareas:

Establecer todas las respuestas a los valores predeterminados de Microsoft.

Establecer todas las respuestas a Solo detectar.
3. En la ventana Configuracin de la directiva de respuesta global, seleccione Aplicar la configuracin seleccionada a los conjuntos de firmas recin descargados si
desea que esta configuracin se aplique tambin a las nuevas firmas.
Probar la funcionalidad del NIS
En este tema se describe cmo comprobar que el Sistema de inspeccin de red (NIS) est configurado correctamente y protegiendo activamente sus redes del ataque. En
todos los conjuntos de firmas de NIS se incluyen varias firmas de pruebas que puede usar para probar que el NIS est funcionando de manera correcta.
En el siguiente procedimiento se describe cmo confirmar que el NIS est configurado correctamente, y de no ser as, cmo diagnosticar y resolver el problema.
Requisitos previos
Para probar que el NIS est funcionando de la manera esperada, debe tener un cliente interno que pueda tener acceso a Internet a travs de Forefront TMG.
Para probar la funcionalidad del NIS

208
2. En el panel de detalles de la ficha Sistema de inspeccin de red (NIS), haga doble clic en la firma Plcy:Win32/NIS.Signature.Test!0000-0000.
3. En la ficha General, compruebe que la configuracin efectiva de la firma est establecida en Personalizada, Habilitar y Bloquear. Anote o copie la ruta de acceso
completa del nombre de dominio que se muestra en el cuadro de descripcin de firma.
4. En el explorador del cliente interno, escriba o pegue la ruta de acceso completa del nombre de dominio e intente tener acceso al sitio web. Si el NIS est
funcionando correctamente, recibir un mensaje de error del explorador: Mensaje de acceso a redes: no se puede mostrar la pgina. Nota en la seccin
Informacin tcnica (para personal de soporte tcnico), el cdigo de error es 502 Error de proxy. IPS bloque el trfico.
5. Si no recibe una pgina de error, puede deberse a una de las siguientes razones:

El NIS no est habilitado. Para obtener instrucciones acerca de cmo habilitar el NIS, vea Habilitar y configurar el sistema de inspeccin de red.

La solicitud HTTP no se enva a travs de este servidor de Forefront TMG. Compruebe la configuracin del proxy del explorador y los registros de
Forefront TMG para ver si el trfico web del equipo cliente est alcanzando este servidor.

El equipo cliente se excluye de la inspeccin del NIS. Para obtener instrucciones acerca de cmo agregar y quitar entidades de red de la lista de
exclusin de NIS, vea Definir excepciones del sistema de inspeccin de red.

La direccin URL especificada en la barra de direcciones del explorador es incompleta. Compruebe que coincide exactamente con la direccin URL
de la descripcin de la firma.
Configurar la proteccin de los ataques a la red
Forefront TMG proporciona proteccin frente a los ataques a las redes con caractersticas de deteccin de ataques sofisticados, como, por ejemplo, la deteccin de
intrusiones, la mitigacin de los ataques "flood" de congestin del servidor y la deteccin de suplantacin de identidad.
En los temas siguientes se describe cmo proteger su organizacin de los ataques de DNS y de otro tipo, y cmo definir la configuracin para la mitigacin de los ataques
"flood" de congestin del servidor:

Proteger frente a DNS y otros ataques: describe cmo configurar el filtro DNS como ayuda para mitigar los ataques de DNS.

Establecer los lmites de conexin de mitigacin de los ataques "flood": describe cmo proteger el sistema de los ataques "flood" de congestin del servidor.
Proteger frente a DNS y otros ataques
En Forefront TMG, el Filtro DNS intercepta y analiza todo el trfico DNS destinado para los servidores DNS publicados (es decir, servidores DNS a los que se tiene acceso
a travs de reglas de publicacin). Cuando la deteccin de ataques DNS est habilitada, puede especificar los tipos de actividades sospechosas que desea que compruebe el
Filtro DNS.
Para obtener ms informacin acerca de la deteccin de los ataque DNS, vea Planeacin de la proteccin frente a ataques comunes y ataques DNS.
Para habilitar la deteccin y el filtrado de ataques de DNS
2. En el panel de detalles de la ficha Deteccin de intrusiones por comportamiento, haga clic en Configurar la deteccin de ataques de red habituales.
3. En la ficha Ataques de DNS, seleccione Habilitar la deteccin y filtrado de ataques de DNS.
4. Seleccione uno o ms de los tipos siguientes de actividad sospechosa:

Desbordamiento de nombres de host DNS: seleccione esta opcin si desea que Forefront TMG compruebe los intentos de desbordamiento del nombre
de host DNS. El filtro DNS intercepta y analiza el trfico DNS destinado a la red interna. Se produce un desbordamiento de nombres de host DNS
cuando una respuesta DNS para un nombre de host sobrepasa una longitud fija especificada (255 bytes).

Desbordamiento de longitud DNS: seleccione esta opcin si desea que Forefront TMG compruebe los intentos de desbordamiento de longitud DNS.
Se produce un desbordamiento de longitud DNS cuando la respuesta DNS para una direccin IP sobrepasa una longitud especificada de 4 bytes.

Transferencia de zona DNS: seleccione esta opcin si desea que Forefront TMG compruebe los intentos de transferencia de zona DNS. Se produce un
intento de transferencia de zona DNS cuando un sistema cliente utiliza una aplicacin cliente DNS para transferir zonas desde un servidor DNS
interno.
6. En el panel de detalles, haga clic en Aplicar para guardar y actualizar la configuracin, y luego en Aceptar.
Nota:
De manera predeterminada, la deteccin de ataques de DNS est habilitada para detectar intentos del desbordamiento de longitud DNS y nombre de host DNS.
Cuando la deteccin de ataques de DNS est habilitada y se detectan paquetes malintencionados, stos se eliminan y se genera un evento que activa una alerta
de intrusin DNS.
Establecer los lmites de conexin de mitigacin de los ataques "flood"
En este tema se describe cmo proteger su sistema de los ataques "flood" de congestin del servidor. Los ataques "flood" de congestin del servidor son intentos por parte de
usuarios malintencionados de atacar a una red mediante un ataque de denegacin de servicio HTTP, un ataque de SYN, propagacin de gusanos u otros medios que puedan
agotar los recursos de la vctima o deshabilitar sus servicios.
Aunque las opciones de configuracin predeterminada para la mitigacin de los ataques "flood" de congestin del servidor ayudan a garantizar que Forefront TMG puede
seguir funcionando en un ataque de este tipo, hay algunas acciones que se pueden realizar durante dicho ataque para mitigar ms su efecto. Para obtener ms informacin
acerca de la deteccin y mitigacin de los ataques "flood" de congestin del servidor, as como otra configuracin que pueda resultar adecuada para su implementacin, vea
Planeacin para protegerse contra los ataques de tipo flood de denegacin de servicio.
Forefront TMG proporciona un mecanismo de mitigacin de ataque "flood" de congestin del servidor que usan los siguientes elementos:

Lmites de conexin que se utilizan para identificar y bloquear trfico malintencionado.

Registro de eventos de mitigacin de ataques "flood" de congestin del servidor.

Alertas que se desencadenan cuando se supera un lmite de conexiones.
Para configurar la mitigacin del desbordamiento
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Sistema de prevencin de intrusiones y, a continuacin, haga clic en la ficha
Deteccin de intrusiones por comportamiento.
2. En el panel de detalles, haga clic en Configurar mitigacin de ataques ''flood'' de congestin del servidor.

209
3. En la ficha Mitigacin de ataques "flood" de congestin del servidor, compruebe que est seleccionado Habilitar prevencin para ataques de tipo "flood" y
propagacin de gusanos. Esta opcin est seleccionada de forma predeterminada.
4. Para modificar la configuracin de cada lmite de conexin, haga clic en Editar. En la tabla siguiente se muestra una lista de los posibles predeterminados.
Ajuste del lmite de conexiones Valores predeterminados
Mximo de solicitudes de conexin TCP por minuto y direccin IP 600 (personalizado: 6,000)
Mximo de conexiones TCP simultneas por direccin IP 160 (personalizado: 400)
Mximo de conexiones TCP semiabiertas (no configurable) 80
Mximo de solicitudes HTTP por minuto y direccin IP 600 (personalizado: 6,000)
Mximo de nuevas sesiones no TCP por minuto por regla 1,000
Mximo de sesiones UDP simultneas por direccin IP 160 (personalizado: 400)
Especificar cuntos paquetes denegados desencadenarn una alerta 600
5. Para registrar el trfico bloqueado, asegrese de que Registrar trfico bloqueado por la configuracin de mitigacin de ataques "flood" de congestin del servidor
se ha seleccionado. Esta opcin est seleccionada de forma predeterminada.
6. En la ficha Excepciones IP, haga clic en Agregar para agregar los objetos de red a los que desea aplicar los lmites personalizados.
Configurar la proteccin de las amenazas basadas en web
En los temas siguientes se describe cmo proteger su organizacin del malware y otras amenazas procedentes de Internet:

Configurar la inspeccin de cdigo malintencionado: describe cmo habilitar y configurar la inspeccin de los archivos y las pginas web solicitadas por el
usuario para ver el contenido perjudicial.

Configurar la inspeccin de HTTPS: describe cmo habilitar la inspeccin de trfico HTTPS de salida, para proteger su organizacin ante los riesgos de
seguridad inherentes a los tneles de capa de sockets seguros (SSL).

Configurar filtrado HTTP: describe cmo configurar el filtro HTTP de capa de aplicacin para permitir nicamente el trfico HTTP que cumple la directiva
corporativa y las necesidades de seguridad.
Configurar la inspeccin de cdigo malintencionado
Con Forefront TMG puede inspeccionar el trfico HTTP saliente en busca de malware (como gusanos, virus y spyware). Al habilitar la inspeccin de malware en las reglas
de acceso web, el filtro de inspeccin de malware analiza las pginas web y los archivos que han solicitado los equipos cliente, y limpia el contenido HTTP perjudicial o
impide que tenga acceso a la red corporativa.
Nota:
La inspeccin de salida hace referencia a las solicitudes HTTP que se originan en los clientes en redes protegidas por Forefront TMG.
El filtro de inspeccin de malware se puede configurar tanto en el nivel global para todos los miembros de la matriz como en el nivel de regla de acceso. Para obtener
informacin general acerca del filtro de inspeccin de malware, vea Planeacin para proteger frente a contenido web malintencionado.
Configurar los valores globales de malware
En los temas siguientes se describe cmo configurar los valores globales del filtro de inspeccin de malware:

Habilitar la inspeccin de malware: describe cmo habilitar la proteccin contra malware en Forefront TMG.

Configurar las opciones de inspeccin de malware: describe cmo configurar los niveles de umbral y otras opciones de deteccin.

Definir las exenciones a la inspeccin de malware: describe cmo especificar los orgenes o los destinos que se desean excluir de la inspeccin de malware.

Configurar la entrega del contenido de inspeccin de malware: describe cmo establecer el mtodo por el que se debe informar a los clientes del progreso de las
descargas de archivo y otro contenido, a medida que se inspeccionan.

Configurar las actualizaciones de definicin de malware: describe cmo configurar la actualizacin automtica de las definiciones de malware y el motor de
malware.

Configurar la ubicacin de almacenamiento de la inspeccin de malware: describe cmo especificar una ubicacin para almacenar archivos durante el proceso de
inspeccin.
Configurar los valores de malware por regla
Para obtener instrucciones acerca de cmo configurar malware para reglas de acceso individuales, vea el tema Configurar las propiedades de la regla de acceso web. En
concreto, vea:

Modificar la configuracin de inspeccin de malware para una regla: describe cmo habilitar la inspeccin de malware y configurar los valores de malware
personalizados para una regla especfica.

Modificar la notificacin de denegacin: describe cmo crear un mensaje personalizado para los usuarios cuando Forefront TMG deniega el acceso a contenido
web infectado por malware.
Habilitar la inspeccin de malware

210
En este tema se describe cmo habilitar la inspeccin de cdigo malintencionado en el trfico HTTP de las solicitudes salientes. En Forefront TMG, la inspeccin de
malware se habilita globalmente y, a continuacin, por reglas.
Para habilitar la inspeccin de malware en Forefront TMG, debe:
1. Activar la licencia de proteccin web.
2. Habilitar la inspeccin de malware en reglas de acceso web.
En los siguientes procedimientos se describe cmo completar los pasos anteriores habilitando la inspeccin de malware:

Habilitar la inspeccin global de cdigo malintencionado

Habilitar inspeccin de malware en reglas de directiva de acceso web
Habilitar la inspeccin global de cdigo malintencionado
Para habilitar la inspeccin global de malware
3. Realice una seleccin en la pgina Configuracin de Microsoft Update y haga clic en Siguiente.
4. En la pgina Configuracin de caractersticas de proteccin de Forefront TMG, haga lo siguiente:
a. Seleccione una de las licencias para habilitar la proteccin web.
b. Si ha seleccionado la opcin Activar la licencia de pago y habilitar la proteccin web, escriba el cdigo de activacin de la licencia junto a la Clave.
c. Compruebe que la opcin Habilitar inspeccin de malware est seleccionada.
Nota:
Al habilitar la inspeccin de malware, Forefront TMG descarga automticamente el motor de inspeccin de malware y las firmas ms recientes. Esta descarga inicial
puede tardar varios minutos, tiempo durante el cual el trfico de HTTP no se inspecciona en busca de malware. De forma predeterminada, el trfico se permite en las
reglas de acceso en las que se aplica la inspeccin de malware. Sin embargo, puede bloquear el trfico en dichas reglas. Para ello, en el nodo de Directiva de acceso
web, haga clic en Configurar inspeccin de malware y, a continuacin, en la ficha General, haga clic en Bloquear el trfico en las reglas pertinentes hasta que se
complete la descarga.
Habilitar inspeccin de malware en reglas de directiva de acceso web
Despus de habilitar la inspeccin de malware globalmente en Forefront TMG, debe habilitarlo en reglas de acceso concretas, de la siguiente manera:

Si est creando nuevas reglas de acceso, puede habilitar la inspeccin mediante el Asistente para directivas de acceso web o el Asistente para nueva regla de
acceso.

Si ya dispone de una regla en la que desea aplicar inspeccin de malware, puede modificar las propiedades de la regla.
Para habilitar la inspeccin de malware mediante el Asistente para directivas de acceso web
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso web y, en el recuadro Tareas, haga clic en Configurar
directiva de acceso web.
2. Siga las instrucciones en pantalla para crear reglas de directiva de acceso web.
3. En la pgina Configuracin de la inspeccin de malware, haga clic en Inspeccionar el contenido web solicitado desde Internet. Si es necesario, seleccione
Bloquear archivos cifrados (por ejemplo, archivos zip).
4. Siga avanzando a travs del asistente. Despus de hacer clic en Finalizar, haga clic en Aplicar en la barra Aplicar cambios.
Para habilitar la inspeccin de malware con el Asistente para nueva regla de acceso
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de acceso web y, en el recuadro Tareas, haga clic en Crear regla de
acceso.
2. Siga las instrucciones en pantalla para crear una regla de acceso. Para obtener ms informacin, vea Crear una regla de acceso.
3. En la pgina Inspeccin de cdigo malintencionado, seleccione Habilitar la inspeccin de cdigo malintencionado para esta regla.
Para habilitar la inspeccin de malware en reglas existentes
3. En la ficha Inspeccin de malware, seleccione Inspeccionar contenido descargado de servidores web a clientes.
4. Aunque se recomienda que conserve la configuracin predeterminada, puede establecer las opciones de inspeccin de malware para esta regla que son diferentes
de las establecidas globalmente. Para ello, haga clic en Usar la configuracin especfica de la regla para la inspeccin de malware. A continuacin, haga clic en
Configuracin de reglas para ajustar con precisin los umbrales de bloque de inspeccin de malware y otras opciones para esta regla. Para obtener ms
informacin acerca de la configuracin de inspeccin de malware, vea Configurar las opciones de inspeccin de malware.
Configurar las opciones de inspeccin de malware
Al crear una regla de acceso web y habilitar la inspeccin de malware en dicha regla, se aplica un conjunto predeterminado de opciones de inspeccin de malware y
umbrales a dicha regla.
Puede ajustar estas opciones y umbrales de dos maneras diferentes:

Modificando la configuracin de la inspeccin del malware global: la configuracin se aplica de manera predeterminada a todas las reglas de acceso en la que la
inspeccin de malware est habilitada.

Modificando la configuracin para las reglas de acceso web individuales: la configuracin por regla invalida la configuracin de inspeccin de malware global.
Para obtener ms informacin, vea Crear una regla de acceso.
Para obtener una descripcin de tipos de archivos de inspeccin de malware, vea Planeacin para proteger frente a contenido web malintencionado.
En el siguiente procedimiento se describe cmo configurar las opciones de inspeccin de malware globales.
Para configurar las opciones de inspeccin de malware globales
3. Haga clic en la ficha Configuracin de inspeccin y especifique si el motor de inspeccin de malware debe intentar limpiar los archivos y qu tipo de contenido
se debe bloquear. Se recomienda conservar la configuracin predeterminada. Tenga en cuenta las consideraciones siguientes:

211

Si Intentar limpiar archivos infectados est habilitado, los archivos que no se pueden limpiar se purgan. Al usar la generacin, Forefront TMG cierra la
conexin TCP y graba el motivo en el registro. Al usar la notificacin de progreso, Forefront TMG emite una pgina HTML para notificar al usuario
que se ha bloqueado el archivo.
Nota:
Para obtener ms informacin acerca de la generacin y la notificacin del progreso, vea Configurar la entrega del contenido de inspeccin de malware.

La configuracin Bloquear archivos sospechosos est diseada para bloquear archivos que parecen estar infectados con malware desconocido.

De manera predeterminada, la opcin Bloquear archivos daados est desactivada. Activar esta opcin puede provocar un falso positivo y bloquear
archivos que en realidad no son dainos.

La opcin Bloquear archivos si el nivel de profundidad del archivo supera est diseada para bloquear malware que llega en archivos con anidamiento
profundo para evitar la deteccin.

La configuracin Bloquear archivos de almacenamiento si el tamao del contenido desempaquetado es superior a (MB) est diseada para evitar la
descompresin de archivos de almacenamiento pequeos en un tamao grande cuando se desempaquetan
Nota:
Para detectar malware en el trfico HTTPS, debe habilitar la inspeccin de HTTPS. Para obtener ms informacin, vea Configurar la inspeccin de HTTPS.
Definir las exenciones a la inspeccin de malware
En este tema se describe cmo excluir las entidades de red de las detecciones de inspeccin de malware.
Puede excluir orgenes y destinos, de la siguiente manera:

Excluyendo orgenes: la razn principal para la exclusin de orgenes de la inspeccin de malware es evitar examinar contenido ms de una vez, lo cual afecta al
rendimiento y resulta problemtico en algunos escenarios. Un escenario tpico es cuando se examina el contenido en busca de malware por parte de un proxy que
sigue en la cadena. En ese caso, debera configurar el proxy que precede en la cadena para excluir de la deteccin a todas las solicitudes que proceden del proxy
posterior.

Excluyendo destinos: las dos razones principales para excluir destinos de la inspeccin de malware son mejorar el rendimiento mediante la exclusin de sitios de
confianza y resolver los problemas de compatibilidad.
En el siguiente procedimiento se describe cmo excluir destinos y orgenes de la inspeccin de malware.
Para especificar orgenes y destinos exentos de la inspeccin de malware
3. Haga clic en la pestaa Excepciones de destino o en la pestaa Excepciones de origen y, a continuacin, haga clic en Agregar.
4. En el cuadro de dilogo Agregar entidades de red, haga clic en Nueva y, a continuacin, seleccione los objetos de red excluidos. Puede especificar una red
completa, equipos o direcciones IP, o conjuntos de nombres de dominio y conjuntos de direcciones URL. Si selecciona nombres de dominio, asegrese de que
puedan resolverse por el Sistema de nombres de dominio (DNS).
5. Para modificar el conjunto de dominios predeterminado (solo excepciones de destino) u otros objetos de red excluidos, seleccione la entrada correspondiente y
haga clic en Editar.
6. Para quitar sitios de la lista de excepciones, seleccione la entrada correspondiente y, a continuacin, haga clic en Quitar.
7. Cuando haya finalizado, haga clic en Aceptar y, a continuacin, en la barra Aplicar cambios, haga clic en Aplicar.
Configuracin de la inspeccin de malware con el encadenamiento de proxy web
En una implementacin de encadenamiento de proxy web, no est admitido habilitar la inspeccin de malware a la vez en el servidor de Forefront TMG que precede y que
sigue en la cadena. Si tiene dicha implementacin, debe asegurarse de que la inspeccin de malware seguro solo est habilitada en servidor precedente o en uno que sigue en
la cadena, de la siguiente manera:

Configuracin requerida cuando la inspeccin de malware est habilitada en el servidor precedente:

Realice los dos pasos siguientes:
1. Al usar el encadenamiento de proxy web, la identidad de cada cliente se conoce en el servidor que sigue en la cadena pero no se propaga al servidor
precedente. Como resultado, todas las solicitudes de los usuarios que se encuentran detrs del servidor posterior comparten el mismo lmite de
almacenamiento temporal en el servidor que precede en la cadena. Para evitar que los usuarios que siguen en la cadena consuman todo este lmite de
almacenamiento temporal relativamente pequeo, agregue el servidor que sigue en la cadena al conjunto de equipos del servidor que precede en la
cadena. Para ello, abra la consola de administracin de Forefront TMG en el servidor que precede en la cadena. En el rbol, haga clic en el nodo
Sistema de prevencin de intrusiones, y en la ficha Deteccin de intrusiones por comportamiento, haga clic en Configurar mitigacin de ataques
''flood'' de congestin del servidor. En la pestaa Excepciones IP, haga clic en Agregar y agregue el servidor que sigue en la cadena a la lista.
2. Deshabilite la inspeccin de malware que sigue en la cadena o en la regla de encadenamiento de web.

Configuracin requerida cuando la inspeccin de malware est habilitada en el servidor que sigue en la cadena:

Realice una de las acciones siguientes:

Deshabilite la inspeccin de malware en el servidor que precede en la cadena.

Excluya el trfico procedente de detrs del servidor que sigue en la cadena de la inspeccin por el servidor que precede en la cadena. Para ello, abra la
consola de administracin de Forefront TMG en el servidor que precede en la cadena. En el rbol, haga clic en el nodo Directiva de acceso web, y en la ficha
Tareas, haga clic en Configurar inspeccin de malware. En la ficha Excepciones de origen, haga clic en Agregar y excluya el servidor que sigue en la cadena
del filtro de inspeccin de malware.
Configurar la entrega del contenido de inspeccin de malware

212
En este tema se describe cmo puede dar forma a la experiencia de usuario mientras se examina el contenido web en busca de malware. La inspeccin de malware puede
causar retrasos en la entrega de contenido del servidor al cliente, por lo que Forefront TMG enva parte del contenido conforme se inspeccionan los archivos. Este proceso,
denominado generacin, evita que la aplicacin cliente alcance el lmite de tiempo de espera antes de que todo el contenido se descargue e inspeccione.
Un mtodo de entrega de contenido alternativo se denomina notificacin de progreso. En lugar de enviar partes del contenido solicitado durante la inspeccin de malware,
Forefront TMG enva una pgina HTML al cliente, en la que se informa al usuario de que se est inspeccionando contenido solicitado y en la que se muestra un indicador
del progreso de descarga e inspeccin. Una vez que han finalizado la descarga y la inspeccin del contenido, se informa al usuario de que el contenido est listo y se muestra
un botn para descargarlo.
Nota:
Al aplicar el mtodo de entrega con notificacin de progreso, despus de que un usuario descarga un archivo, al hacer clic en Atrs en la ventana del explorador, puede
que el archivo se muestre como una pgina en formato binario.
En el siguiente procedimiento se describe cmo configurar la entrega de contenido de inspeccin de malware.
Para configurar la entrega del contenido de inspeccin de malware
2. En la ficha Tareas, haga clic en Configurar inspeccin de malware y, a continuacin, haga clic en la ficha Entrega de contenido.
3. En Mtodo de entrega de contenido predeterminado para el contenido examinado, seleccione uno de los siguientes:

Generacin estndar: Forefront TMG mantiene la mayor parte del archivo en el servidor pero enva pequeas cantidades de datos a la aplicacin
cliente para conservar la conexin. Se examina todo el archivo antes de enviarse al usuario.
Nota:
Si ha seleccionado la generacin estndar como su mtodo de entrega de contenido predeterminado, puede configurar tipos de contenido concretos que se van a
procesar para la notificacin de progreso y otros para la generacin rpida.

Generacin rpida: Forefront TMG enva los datos de la manera ms rpida posible al usuario pero retiene la ltima parte para completar el examen
antes de completar la transferencia. Este mtodo requiere ms recursos del servidor de Forefront TMG pero tambin ofrece una mejor experiencia al
usuario.
Nota:
Si ha seleccionado la generacin rpida como su mtodo de entrega de contenido predeterminado, puede configurar determinados tipos de contenido que se van a
procesar para la notificacin de progreso.
4. Para especificar tipos de contenido que deberan desencadenar una pgina HTML de notificacin de progreso, haga lo siguiente:
a. Haga clic en Usar notificacin de progreso en lugar del mtodo de entrega de contenido predeterminado para los tipos de contenido seleccionados.
b. Haga clic en Tipos de contenido para notificacin de progreso y, a continuacin, en la ventana de propiedades de Tipos de contenido que muestran notificaciones
de progreso, haga clic en la ficha Tipos de contenido.
c. En Tipos disponibles, escriba un tipo de contenido en el cuadro o seleccione los tipos de contenido para agregarlos a la lista predeterminada y, a continuacin,
haga clic en Agregar. Para quitar un tipo de contenido, seleccinelo en la lista Tipos seleccionados y, a continuacin, haga clic en Quitar.
d. Cuando haya terminado de especificar los tipos de contenido, haga clic en Aceptar.
5. Para especificar tipos de contenido que usan el mtodo de entrega de generacin rpida, haga lo siguiente:
. Haga clic en Usar generacin rpida para los tipos de contenido seleccionados.
a. Haga clic en Tipos de contenido para generacin rpida y, a continuacin, en la ventana de propiedades Tipos de contenido para generacin rpida, haga clic en la
ficha Tipos de contenido.
b. En Tipos disponibles, escriba un tipo de contenido en el cuadro o seleccione los tipos de contenido para agregarlos a la lista predeterminada y, a continuacin,
haga clic en Agregar. Para quitar un tipo de contenido, seleccinelo en la lista Tipos seleccionados y, a continuacin, haga clic en Quitar.
c. Cuando haya terminado de especificar los tipos de contenido, haga clic en Aceptar.
En este tema se describe cmo configurar actualizaciones automticas de definiciones de malware. La inspeccin del malware usa definiciones, desarrolladas por el Centro
de proteccin contra malware de Microsoft, para proteger los equipos cliente del contenido malintencionado en la web.
Para proteger sus sistemas de las amenazas de malware ms recientes, se recomienda que compruebe que tiene conectividad con el origen de actualizacin adecuado y que
habilita la instalacin automtica de las definiciones ms recientes.
Para obtener ms informacin sobre cmo configurar la conectividad a Microsoft Update o Windows Server Update Services (WSUS), vea Administrar actualizaciones de
definicin para Forefront TMG.
Para que Forefront TMG pueda inspeccionar el trfico en busca de malware, debe descargar las definiciones y el motor de inspeccin de malware ms recientes.
En los siguientes procedimientos se describe cmo configurar las actualizaciones de definicin de malware y cmo comprobar que el mecanismo de actualizacin de
inspeccin de malware est funcionando.
Para configurar las actualizaciones de definicin de malware
3. Haga clic en la ficha Actualizaciones de definiciones y, a continuacin, en Seleccione la accin automtica de actualizacin de definiciones, elija una de las
configuraciones siguientes:

Buscar e instalar definiciones (recomendado): seleccione esta configuracin para descargar e instalar automticamente las actualizaciones de
definicin de malware ms recientes.

Slo buscar definiciones: seleccione esta configuracin si desea que se le notifique sobre las nuevas definiciones para la descarga.

Ninguna accin automtica: seleccione esta configuracin para deshabilitar las acciones de actualizacin automtica.
4. En Frecuencia de sondeo automtico, seleccione la frecuencia de sondeo adecuada para su organizacin. La frecuencia predeterminada es Cada 15 minutos.
Para comprobar que el mecanismo de actualizacin de inspeccin de malware est funcionando
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Centro de actualizacin.
2. En el panel de detalles, compruebe si la ltima actualizacin de Inspeccin de malware fue correcta.

213
3. Si se produjera un error en la actualizacin, haga clic en Inspeccin de malware, y a continuacin en el panel Tareas, haga clic en Buscar definiciones.
4. Si el sistema no puede descargar una actualizacin para la inspeccin de malware, compruebe su configuracin de la red.
Configurar la ubicacin de almacenamiento de la inspeccin de malware
En este tema se describe cmo cambiar la ubicacin de archivo predeterminada de los archivos que se inspeccionan en busca de malware. Forefront TMG crea una carpeta
denominada ScanStorage en la que almacenar archivos para inspeccin de malware. La ubicacin predeterminada es %SystemRoot%\Temp\ScanStorage.
Nota:
Al descargar un gran nmero de archivos mayores de 64 KB, el rendimiento puede verse afectado. Si tiene estos problemas, se recomienda que mueva la carpeta
ScanStorage a un disco fsico independiente.
En el siguiente procedimiento se describe cmo puede modificar la ruta de acceso a la carpeta ScanStorage de su sistema.
Para especificar una ubicacin en la que almacenar archivos temporalmente para inspeccin
3. En la ficha Almacenamiento, especifique la carpeta donde se deben conservar temporalmente los archivos para su inspeccin.
Importante:
La ruta de acceso especificada debe existir en todos los servidores de Forefront TMG de la matriz. Por consiguiente, se recomienda usar una variable de entorno
(como %SystemRoot%) dentro del nombre de ruta para permitir el ajuste por servidor de la ruta de acceso.
Asegrese de excluir esta carpeta de la inspeccin por cualquier otra aplicacin de proteccin contra malware que se ejecute en el servidor de Forefront TMG.
Configurar la inspeccin de HTTPS
Con Forefront TMG, puede inspeccionar el trfico HTTPS saliente para proteger su organizacin de los riesgos para la seguridad inherentes a los tneles de la capa de
sockets seguros (SSL), como:

Los virus y otro contenido malintencionado que podran infiltrarse en la organizacin sin detectarse.

Los usuarios que omiten la directiva de acceso de la organizacin con aplicaciones de tnel a travs de un canal seguro (por ejemplo, aplicaciones punto a punto).
Para obtener informacin general acerca de la inspeccin de HTTPS, incluida la informacin con respecto a los certificados necesaria para la implementacin, vea
Planeacin para la inspeccin de HTTPS.
En los siguientes temas se describe cmo configurar e implementar la inspeccin de HTTPS.

Habilitar la inspeccin de HTTPS: describe cmo habilitar y configurar la inspeccin de HTTPS.

Generar el certificado de inspeccin de HTTPS: describe cmo generar el certificado de inspeccin de HTTPS o importar un certificado de una entidad de
certificacin (CA) existente a Forefront TMG.

Implementar el certificado de CA raz de confianza de inspeccin HTTPS en los equipos cliente: describe cmo implementar el certificado de la entidad de
certificacin raz de confianza de inspeccin de HTTPS en equipos cliente, a travs de los Servicios de dominio de Active Directory o mediante importacin
manual.

Configurar la directiva de validacin de certificado : describe cmo revisar la directiva de validacin de certificado predeterminada y ajustarla si es necesario.

Excluir orgenes y destinos de la inspeccin de HTTPS: describe cmo excluir sitios de la directiva de inspeccin de HTTPS.

Notificar a los usuarios que se est inspeccionando el trfico HTTPS: describe cmo configurar la notificacin del cliente de que el trfico de HTTPS se est
inspeccionando.
En este tema se proporcionan instrucciones acerca de cmo habilitar el certificado de inspeccin de HTTPS en las reglas de directiva de acceso web. Para ello, primero
configure Forefront TMG para permitir a los usuarios que establezcan conexiones HTTPS a los sitios web y, a continuacin, seleccione el tipo de inspeccin que desea
habilitar. Puede configurar Forefront TMG para:
Inspeccionar el trfico HTTPS saliente y validar los certificados de sitio HTTPS
Validar los certificados de sitio HTTPS solamente
Permitir el acceso a todos los sitios HTTPS, sin inspeccin
1
.
Utilizar el Asistente para directivas de acceso web

Puede habilitar y configurar el acceso a los sitios HTTPS con el Asistente para directivas de acceso web o si edita las propiedades de Inspeccin de HTTPS. El Asistente
para directivas de acceso web le ayuda a configurar la mayora de los aspectos de la inspeccin de HTTPS; sin embargo, otras opciones solo estn disponibles en las
propiedades de Inspeccin de HTTPS. Las instrucciones del siguiente procedimiento se aplican al Asistente para directivas de acceso web.

214
Para habilitar la inspeccin de HTTPS
3. En la pgina Configuracin de la inspeccin de HTTPS del Asistente para directivas de acceso web, seleccione Permitir a los usuarios establecer conexiones
HTTPS con sitios web y, a continuacin, seleccione uno de los siguientes tipos de proteccin:
Para habilitar el certificado de inspeccin de HTTPS, seleccione Inspeccionar el trfico HTTPS y validar los certificados de los sitios HTTPS y, a
Para habilitar solamente la validacin del certificado, seleccione No inspeccionar el trfico HTTPS, pero validar los certificados de los sitios HTTPS.
Nota:
Si solo habilita la validacin del certificado, no son pertinentes los restantes pasos de este procedimiento. Siga avanzando a travs del asistente y, al final de
este, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar. El prximo paso es configurar la directiva de validacin de certificados. Para
obtener informacin acerca de la configuracin, vea Configurar la directiva de validacin de certificado
2
.
4. En la pgina Preferencias de inspeccin de HTTPS del asistente, seleccione si desea notificar a los usuarios que se est inspeccionando el trfico HTTPS. Si
decide habilitar la notificacin, realice lo siguiente:
a. Asegrese de que cada equipo cliente est ejecutando el cliente de Forefront TMG.
b. Asegrese de que cada equipo cliente tiene el certificado de la entidad de certificacin raz de confianza de la inspeccin de HTTPS instalado en el
almacn de certificados de entidades de certificacin raz de confianza. Para obtener ms informacin, vea Implementar el certificado de CA raz de
confianza de inspeccin HTTPS en los equipos cliente
3
.
5. En la pgina Preferencias de inspeccin de HTTPS, seleccione si desea crear el certificado de inspeccin de HTTPS con Forefront TMG, personalizar ciertos
aspectos del certificado (como su nombre) o importar un certificado existente. Para obtener ms informacin, vea Generar el certificado de inspeccin de
HTTPS
4
.
6. En la pgina Preferencias de implementacin de certificados, seleccione si se implementar el certificado de la entidad de certificacin raz de confianza de la
inspeccin de HTTPS mediante los Servicios de dominio de Active Directory (AD DS) o mediante la exportacin e importacin del certificado (implementacin
manual).
Nota:
Al utilizar AD DS para implementar el certificado de la entidad de certificacin raz de confianza de la inspeccin de HTTPS en los equipos cliente, en el
cuadro Nombre del administrador del dominio, escriba el nombre con el formato Dominio\Nombre de usuario. Tenga en cuenta que el dominio en el que se
definen las cuentas de usuario debe ser el mismo dominio al que est unido Forefront TMG. Para obtener ms informacin, vea Implementar el certificado de
CA raz de confianza de inspeccin HTTPS en los equipos cliente
3
.
7. Siga avanzando a travs del asistente y, al final de este, haga clic en Finalizar. En la barra Aplicar cambios, haga clic en Aplicar.
Generar el certificado de inspeccin de HTTPS
En este tema se describe cmo generar el certificado de inspeccin de HTTPS que Forefront TMG usa para inspeccionar el trfico para sitios web seguros. Cuando se
habilita la inspeccin de HTTPS, Forefront TMG intercepta cualquier solicitud para tener acceso a un sitio HTTPS por un equipo cliente y suplanta dicho sitio web
generando un certificado de Capa de sockets seguros (SSL) de ese sitio como y cuando sea necesario. Forefront TMG usa el certificado de inspeccin de HTTPS para firmar
el certificado del sitio web creado recientemente.
Hay dos mtodos por los que puede generar un certificado de inspeccin de HTTPS:
Usando Forefront TMG
Usando una entidad de certificacin local (CA)
En el siguiente procedimiento se describe cmo generar el certificado con Forefront TMG. Para obtener informacin respecto a la generacin del certificado de inspeccin
de HTTPS mediante una CA local, vea Solicitar un certificado de una entidad de certificacin local
1
.
Nota:
Al usar un certificado generado por una CA local, el certificado debe ser de confianza en el equipo de Forefront TMG.
2
.
Para generar el certificado de inspeccin de HTTPS

2. En el panel Tareas, haga clic en Configurar directiva de acceso web y, a continuacin, siga las instrucciones del Asistente para directivas de acceso web.
3. En la pgina Configuracin de la inspeccin de HTTPS del asistente, seleccione Permitir a los usuarios establecer conexiones HTTPS con sitios web y, a
continuacin, seleccione Inspeccionar el trfico HTTPS y validar los certificados de los sitios HTTPS. Haga clic en Siguiente.
4. En la pgina Preferencias de inspeccin de HTTPS del asistente, seleccione una de las siguientes opciones:
Usar un certificado generado automticamente por Forefront TMG: es la opcin predeterminada, adecuada para la mayora de las implementaciones.
Usar un certificado personalizado: al elegir esta opcin podr realizar una de las siguientes opciones:
Escribir un nombre personalizado para el certificado de inspeccin de HTTPS y proporcionar otros detalles, como una fecha de expiracin.

215
Importar un certificado existente, lo que puede desear hacer si tiene una CA local. Si usa esta opcin, asegrese de que el certificado que
importa es un archivo de Intercambio de informacin personal (.pfx) y de que el uso de claves del certificado est definido para Firma de
certificados.
Nota:
Esta opcin se encuentra en la pgina Seleccionar entidad de certificacin a la que se tiene acceso seleccionando primero Usar un certificado
personalizado.
5. Haga clic en Finalizar y, a continuacin, en la barra Aplicar cambios, haga clic en Aplicar.
Nota:
El certificado de inspeccin de HTTPS se almacena en el almacenamiento de configuracin y los miembros de la matriz pueden empezar a usar el certificado
de inspeccin de HTTPS despus de la sincronizacin con el almacenamiento de configuracin.
Pasos siguientes

Implementar el certificado de CA raz de confianza de inspeccin HTTPS en los equipos cliente
3

Implementar el certificado de CA raz de confianza de inspeccin HTTPS en los equipos cliente
En este tema se describe cmo importar el certificado de la entidad de certificacin (CA) de raz de confianza de inspeccin HTTPS a los equipos clientes. Al implementar la
inspeccin HTTPS en su organizacin, este certificado se debe instalar en todos los equipos cliente.
Hay dos mtodos con los que se puede importar el certificado de CA raz de confianza de inspeccin HTTPS en equipos clientes:
Automticamente a travs de los Servicios de dominio de Active Directory (AD DS): la implementacin automtica con AD DS es el mtodo recomendado porque
el certificado se almacena en una ubicacin segura y ahorra a los administradores la sobrecarga de la implementacin manual.
Nota:
La implementacin automtica de certificados requiere que Forefront TMG se implemente en un entorno de dominio.
Manualmente en cada equipo cliente: si no est usando AD DS, el certificado se debe instalar manualmente en todos los equipos cliente y se debe colocar en el
almacn de certificados del equipo local.
Nota:
En este tema se describe cmo implementar o importar el certificado de CA de raz de confianza de inspeccin HTTPS en los equipos cliente que usan Internet Explorer
para tener acceso a los sitios HTTPS. Para configurar los dems exploradores web para que confen en el certificado, consulte la documentacin del explorador web.
Implementar el certificado automticamente
Quitar un certificado implementado automticamente
Implementar el certificado de la entidad emisora de certificados (CA) manualmente
Implementar el certificado automticamente

Para implementar el certificado mediante AD DS
3. En la pgina Preferencias de implementacin de certificados, en el cuadro Nombre del administrador del dominio, escriba el nombre con el formato
Dominio\Nombre de usuario.
Nota:
4. Siga avanzando a travs del asistente y haga clic en Finalizar al final En la barra Aplicar cambios, haga clic en Aplicar. No se necesita ninguna configuracin
adicional; el certificado se reenva a Active Directory y se implementa automticamente a los equipos cliente.
Importante:
La implementacin en los equipos clientes se produce una vez aplicada la directiva de grupo y puede tardar hasta ocho horas.

216
Hasta que los equipos cliente reciben el certificado, el acceso a los sitios web HTTPS generar un mensaje de advertencia en Internet Explorer. Para
evitarlo, se recomienda que deshabilite la inspeccin de HTTPS temporalmente. Para ello haga clic en Configurar inspeccin de HTTPS en el panel
Tareas del nodo Directiva de acceso web y desactive la casilla Habilitar inspeccin de HTTPS. Cuando la implementacin haya finalizado, vuelva a
habilitar la inspeccin de HTTPS.
Quitar un certificado implementado automticamente

Si es necesario quitar un certificado que se implement automticamente en los equipos cliente, puede hacerlo mediante la ejecucin del siguiente comando:
certutil.exe dc <Domain Controller> -dsdel <Subject_Name>
<Subject_Name> hace referencia al nombre de asunto del certificado de inspeccin de HTTPS.
Nota:
La implementacin en los equipos clientes se produce una vez aplicada la directiva de grupo y puede tardar hasta ocho horas.
Implementar el certificado de la entidad emisora de certificados (CA) manualmente

La implementacin manual del certificado de CA raz de confianza de inspeccin HTTPS requiere dos acciones:
1. Exportar el certificado desde Forefront TMG.
2. Importar el certificado a todos los equipos cliente.
Para exportar el certificado
2. En el panel Tareas, haga clic en Configurar directiva de acceso web y, a continuacin, siga las instrucciones del asistente.
3. En la pgina Preferencias de implementacin de certificados, seleccione Exportar e implementar manualmente el certificado, escriba un nombre de archivo y
ubicacin y, a continuacin, haga clic en Siguiente.
La operacin siguiente requiere derechos administrativos en el equipo cliente.
Para importar el certificado manualmente a un equipo cliente
1. En el equipo cliente, haga clic en Inicio, Todos los programas, Accesorios y, a continuacin, haga clic en Ejecutar.
2. Escriba MMC y, a continuacin, presione ENTRAR.
3. En Microsoft Management Console, haga clic en el men Archivo, en Agregar o quitar complemento, haga clic en Certificados y, a continuacin, haga clic en
Agregar.
4. En el cuadro de dilogo Complemento de certificados, seleccione Cuenta de equipo y haga clic en Siguiente. En la ventana Agregar o quitar complementos, haga
clic en Aceptar. Se cerrar la ventana Agregar o quitar complementos.
5. En la ventana Seleccionar equipo, asegrese de que Equipo local est seleccionado y, a continuacin, haga clic en Finalizar.
6. En Microsoft Management Console, en el panel Nombre de almacn lgico, haga clic con el botn secundario en Entidades de certificacin raz de confianza,
haga clic en Todas las tareas y, a continuacin, haga clic en Importar.
7. En el Asistente para importacin de certificados, busque el archivo creado anteriormente al exportar el certificado y, a continuacin, haga clic en Siguiente.
8. En la pgina Almacn de certificados, asegrese de que todos los certificados se colocan en el almacn de certificados Entidades de certificacin raz de
confianza, haga clic en Siguiente y, a continuacin, haga clic en Finalizar.
Pasos siguientes

1

En este tema se describe cmo configurar una directiva de validacin de certificado de sitio HTTPS. Despus de haber habilitado el certificado de inspeccin de HTTPS,
Forefront TMG examina el certificado por cada sitio web seguro al que tiene acceso un equipo cliente. Puede configurar si se tiene en cuenta la validacin de certificado
cada vez que se tiene acceso a cualquier sitio o a sitios HTTPS concretos, as como los parmetros que definen cundo un certificado se considera no vlido. Para obtener
ms informacin acerca de la validacin de certificado, vea Planeacin para la inspeccin de HTTPS
1
.

Para configurar la directiva de validacin de certificado
3. En la ficha General, asegrese de que Habilitar inspeccin de HTTPS est seleccionado y, a continuacin, seleccione una de las siguientes opciones:
a. Inspeccionar el trfico y validar los certificados de sitio: es la configuracin predeterminada.
b. No inspeccionar el trfico, sino validar los certificados de sitio: seleccione esta opcin para comprobar solo la validez de los certificados de sitio web
seguro.
4. En la ficha Validacin de certificados, ajuste la configuracin de validacin de certificado segn sea necesario.
5. En la ficha Excepciones de destino, revise la lista de sitios HTTPS que no estn sujetos a inspeccin. De forma predeterminada, Forefront TMG comprueba la
validez de los certificados para estos sitios. Si no desea que Forefront TMG valide el certificado de un sitio excluido de la inspeccin de HTTPS, haga clic en el
sitio y, a continuacin, en Sin validacin.

217
Nota:
Para obtener informacin acerca de cmo excluir categoras de URL, conjuntos de categoras URL y nombres de dominio de la inspeccin de HTTPS, vea
Excluir orgenes y destinos de la inspeccin de HTTPS
2
.
Nota:
Para que Forefront TMG compruebe si se ha revocado un certificado, la regla de la directiva del sistema "Permitir todo el trfico HTTP desde el Forefront
TMG hacia todas las redes (para las descargas de CRL)". Si no se habilita esta regla, Forefront TMG permite el acceso a los sitios HTTPS sin validar el estado
de revocacin de certificados.
Pasos siguientes

2

En este tema se describe cmo excluir dominios, sitios web y categoras de sitios web, as como clientes internos, de la inspeccin de HTTPS.
Nota:
La inspeccin de HTTPS es incompatible con las conexiones a los servidores SSTP externos y servidores que requieran autenticacin del cliente. Si es consciente de dicho
servidor, se recomienda que lo agregue a la lista Excepciones de destino.
Excluir los sitios de la inspeccin de HTTPS

Por motivos legales y de privacidad, puede que desee excluir direcciones URL concretas o categoras de direcciones URL, como sitios financieros y de mantenimiento, de la
inspeccin. Use las siguientes instrucciones para excluir destinos de la inspeccin.
Para excluir sitios de la inspeccin de HTTPS
3. En la ficha Excepciones de destino, haga clic en Agregar.
4. En el cuadro de dilogo Agregar entidades de red, haga lo siguiente:
a. Si es necesario, haga clic en Nueva y cree una Conjunto de categoras de URL o Conjunto de nombres de dominio para excluir de la inspeccin.
b. Seleccione las categoras de direcciones URL, conjuntos de categoras de direccin URL y los nombres de dominio que desea excluir de las
detecciones HTTPS.
c. Haga clic en Agregar despus de cada seleccin y cuando finalice, haga clic en Cerrar.
5. De forma predeterminada, Forefront TMG inspecciona la validez del certificado HTTPS para cada uno de los sitios web excluidos de la inspeccin de HTTPS,
proporcionando as algo de seguridad mnima. Si no desea lleve a cabo esta comprobacin de seguridad para un sitio determinado, haga clic en el sitio y, a
continuacin, haga clic en Sin validacin.
Exclusin de los clientes de la inspeccin de HTTPS

Para excluir los clientes de la inspeccin de HTTPS
3. En la ficha Excepciones de origen, haga clic en Agregar.
4. En el cuadro de dilogo Agregar entidades de red, haga lo siguiente:
a. Si es necesario, haga clic en Nuevo y cree un Conjunto de equipos o Equipo para excluirlo de la inspeccin.
b. Seleccione los equipos y los conjuntos de equipos que desea excluir de las detecciones HTTPS.
c. Haga clic en Agregar despus de cada seleccin y cuando finalice, haga clic en Cerrar.
Pasos siguientes

Notificar a los usuarios que se est inspeccionando el trfico HTTPS
1

Notificar a los usuarios que se est inspeccionando el trfico HTTPS
En este tema se describe cmo habilitar la notificacin de la inspeccin de HTTPS a los clientes que ejecutan el cliente de Forefront TMG. Puede ser necesario habilitar la
notificacin de cliente para cumplir las directivas de privacidad corporativas.
Requisitos previos

Para recibir notificaciones de certificado de inspeccin de HTTPS, los equipos cliente deben tener el certificado de la entidad de certificacin (CA) raz de confianza
instalado en el almacn de certificados Entidades de certificacin raz de confianza. Si el certificado no se instala en este almacn de certificados exacto, el usuario no

218
recibir notificaciones de globo de la inspeccin de HTTPS. Para obtener ms informacin, vea Implementar el certificado de CA raz de confianza de inspeccin HTTPS en
los equipos cliente
1
.
Nota:
Los clientes de Forefront TMG no recibirn las notificaciones de inspeccin de HTTPS si realiza la inspeccin un servidor proxy que precede en la cadena. Para
habilitar las notificaciones de cliente en un escenario de encadenamiento de web, asegrese de que la inspeccin de HTTPS est habilitada en el proxy que sigue
en la cadena.
La regla de directiva del sistema para permitir notificaciones de cliente, que permite las notificaciones a los clientes de Forefront TMG, no se actualiza
dinmicamente con redes adicionales que no sean las predeterminadas: VPN, cuarentena e interna. Utilice el editor de directivas del sistema para agregar
manualmente cualquier otra red que contenga clientes de Forefront TMG a las redes de destino de esta regla.
Habilitar las notificaciones de inspeccin de HTTPS en Forefront TMG

Para habilitar las notificaciones de inspeccin de HTTPS en servidor de Forefront TMG
3. En la ficha Notificacin de cliente, haga clic en Notificar a los usuarios que se est inspeccionando su trfico HTTPS y, a continuacin, haga clic en Aceptar.
Habilitar las notificaciones de inspeccin de HTTPS en el cliente de Forefront TMG

Para habilitar la notificacin de inspeccin de HTTPS en el cliente de Forefront TMG
1. En la ficha Inspeccin de conexin segura, seleccione Notificarme cuando se inspeccione el contenido enviado a sitios web seguros.
Configurar filtrado HTTP
En este tema se describe cmo configurar los filtros HTTP. Puede usar un filtro HTTP en las reglas de acceso entrantes y salientes para controlar los tipos de datos y los
comandos HTTP que desea permitir que atraviesen el firewall.
Para obtener informacin ms detallada acerca del filtrado HTTP, vea Planeacin para el filtrado HTTP
1
.
En los procedimientos siguientes se describen los pasos que se deben realizar para configurar el filtrado HTTP en una regla de acceso:
Obtener acceso a la regla para el filtrado HTTP: describe cmo obtener acceso al cuadro de dilogo Configurar directiva HTTP para la regla, en el que se puede
configurar el filtrado HTTP.
Configurar el bloqueo de encabezados y de direcciones URL: describe cmo establecer el nmero mximo de bytes para un encabezado, una carga, una direccin
URL o una consulta, y cmo bloquear las solicitudes para direcciones URL que contienen caracteres especficos.
Configurar mtodos HTTP (verbos): describe cmo bloquear mtodos (verbos), extensiones y encabezados HTTP especficos.
Configurar el bloqueo de extensiones HTTP: describe cmo bloquear extensiones, como, por ejemplo, archivos ejecutables (.exe).
Configurar el bloqueo de encabezados: describe cmo bloquear encabezados HTTP especficos.
Configurar firmas bloqueadas: describe cmo bloquear firmas especficas, que pueden ser cualquier cadena del encabezado o del cuerpo.
Determinar firmas: describe cmo supervisar el trfico de red especfico para determinar su firma.
Obtener acceso a la regla para el filtrado HTTP

Para obtener acceso a la regla en la que se configura el filtrado HTTP
2. En el panel de detalles, haga clic con el botn secundario en la regla que desea modificar y, a continuacin, haga clic en Configurar HTTP. Se abre el cuadro de
dilogo Configurar directiva HTTP para la regla.
3. Configure el filtrado HTTP segn las necesidades de su red, con las instrucciones de los siguientes procedimientos.
Configurar el bloqueo de encabezados y de direcciones URL

Nota:
Para obtener una descripcin de los parmetros que se deben configurar en este procedimiento, vea Informacin general de la configuracin del filtrado HTTP en
1
.
Para configurar el bloqueo de encabezados y de direcciones URL
1. Haga clic en la ficha General en el cuadro de dilogo Configurar directiva HTTP para la regla.
2. En Longitud mxima de encabezados (bytes), especifique el nmero mximo de bytes permitidos en la direccin URL y el encabezado HTTP de una solicitud
HTTP antes de que se bloquee.
Nota:

219
Esta configuracin se aplica a todas las reglas, por lo que si la cambia en una regla, se cambiar en todas las reglas.
3. Desactive Permitir cualquier longitud de carga para bloquear las solicitudes que superen el nmero de bytes especificado en Longitud mxima de carga (bytes).
4. En Longitud mxima de direccin URL (bytes), escriba la longitud mxima permitida de direccin URL . Las solicitudes con direcciones URL que superen este
valor se bloquearn.
5. En Longitud mxima de consulta (bytes), escriba la longitud mxima de las consultas permitida en las solicitudes. Las solicitudes con consultas que superen este
valor se bloquearn.
6. Seleccione Comprobar normalizacin para bloquear las solicitudes que contengan direcciones URL con caracteres de escape tras la normalizacin.
Nota:
Aunque se recomienda el uso de la comprobacin de la normalizacin, tenga en cuenta que tambin puede bloquear las solicitudes legtimas que contengan el
signo %.
7. Seleccione Bloquear caracteres ASCII de 8 bits para especificar que se bloquearn las direcciones URL con caracteres ASCII de 8 bits.
8. Seleccione Bloquear respuestas que incluyan contenido ejecutable de Windows para especificar el bloqueo de las respuestas que contengan contenido ejecutable
de Windows (respuestas que empiecen por MZ).
Configurar mtodos HTTP (verbos)

Los mtodos HTTP (tambin denominados verbos HTTP) son instrucciones enviadas en un mensaje de solicitud que notifica a un servidor HTTP la accin que debe realizar
en el recurso especificado. Un ejemplo de bloqueo por mtodo sera bloquear POST, para que los clientes internos no puedan publicar datos en una pgina web externa. Este
mtodo es til en un entorno de red segura para impedir la publicacin de informacin confidencial en un sitio web. Tambin puede resultar til en la publicacin web, para
evitar que usuarios malintencionados publiquen material malintencionado en su sitio web.
Para configurar mtodos HTTP (verbos)
1. Haga clic en la ficha Mtodos en el cuadro de dilogo Configurar directiva HTTP para la regla.
2. En Especificar la accin que se realiza para mtodos HTTP, seleccione la accin que se debe realizar para los mtodos de la lista. Es posible permitir todos los
mtodos, bloquear los de la lista y admitir todos los dems, o permitir los de la lista y bloquear los dems. Se recomienda que solo permita los mtodos
seleccionados, ya que es la configuracin ms segura.
3. Para agregar un mtodo, haga clic en Agregar. En el cuadro de dilogo Mtodo, escriba el mtodo que desee agregar.
4. Para eliminar un mtodo existente, seleccione el mtodo en la lista y, a continuacin, haga clic en Quitar.
5. Para editar un mtodo existente, seleccione el mtodo en la lista y, a continuacin, haga clic en Editar.
Configurar el bloqueo de extensiones HTTP

Puede permitir todas las extensiones o slo las de la lista. Tambin puede seleccionar la opcin de bloquear las extensiones de la lista y permitir todas las dems. Se
recomienda que solo permita las extensiones seleccionadas, ya que es la configuracin ms segura. Por ejemplo, si va a publicar un sitio web, el diseador web o el
administrador del servidor web podr definir una lista de extensiones necesarias para la funcionalidad del sitio.
El bloqueo de archivos ejecutables (.exe) es un uso tpico de este mtodo.
Para configurar el bloqueo de extensiones HTTP
1. Haga clic en la ficha Extensiones en el cuadro de dilogo Configurar directiva HTTP para la regla.
2. En Especificar la accin realizada para extensiones de archivo, seleccione una accin.
3. Active Bloquear solicitudes que contengan extensiones ambiguas para bloquear las solicitudes que tengan extensiones que no se puedan determinar.
4. Para agregar una extensin, haga clic en Agregar. En el cuadro de dilogo Extensin, escriba la extensin que desee agregar.
5. Para editar una extensin existente, seleccinela en la lista y, a continuacin, haga clic en Editar.
6. Para eliminar una extensin existente, seleccinela en la lista y, a continuacin, haga clic en Quitar.
Configurar el bloqueo de encabezados

Para configurar el bloqueo de encabezados
1. Haga clic en la ficha Encabezados en el cuadro de dilogo Configurar directiva HTTP para la regla.
2. Haga clic en Agregar para agregar un encabezado que deba bloquearse. A continuacin, en el cuadro de dilogo Encabezado, seleccione Solicitar encabezados o
Encabezados de la respuesta en Buscar en y escriba el nombre del encabezado. Se permiten todos los encabezados excepto los que aparecen en la lista Permitir
todos los encabezados excepto.
3. Para editar un encabezado, seleccinelo en la lista y, a continuacin, haga clic en Editar. Para permitir un encabezado que se encuentra en la lista de bloqueados,
seleccinelo y, a continuacin, haga clic en Quitar.
4. En Encabezado de servidor, especifique cmo se devolver el encabezado de servidor en la respuesta. El encabezado de servidor es un encabezado de respuesta
que contiene informacin como el nombre de la aplicacin de servidor y la versin de software, por ejemplo, HTTP: Server = Microsoft-IIS/6.0. Los valores
posibles son los siguientes:
Enviar encabezado original: el encabezado original se devolver la respuesta.
Quitar el encabezado de la respuesta: no se devolver ningn encabezado en la respuesta.
Modificar el encabezado en la respuesta: se selecciona esta opcin, en Cambiar a escriba el valor que aparecer en la respuesta. Se recomienda que
modifique el encabezado del servidor. El valor que aparecer en la respuesta puede ser cualquiera, ya que los clientes raramente utilizan el encabezado
del servidor.
5. En Encabezado de va, especifique cmo se reenviar el encabezado de va en la solicitud o cmo se devolver en la respuesta. Para obtener una descripcin, vea
Longitud mxima de consulta (bytes), en Planeacin para el filtrado HTTP
1
.
Los valores posibles son los siguientes:
Enviar predeterminado: se usar el encabezado predeterminado.

220
Modificar el encabezado en la solicitud y respuesta: el encabezado de va se reemplazar por un encabezado modificado. Si selecciona esta opcin, en
Cambiar a, escriba el encabezado que aparecer en lugar del encabezado de va.
Configurar firmas bloqueadas

Puede especificar si desea permitir o bloquear las solicitudes, en funcin de firmas especficas de los encabezados o del cuerpo.
Para configurar firmas bloqueadas
1. Haga clic en la ficha Firmas en el cuadro de dilogo Configurar directiva HTTP para la regla.
2. Haga clic en Agregar para agregar una firma bloqueada. A continuacin, en el cuadro de dilogo Firma, especifique lo siguiente:
En Buscar en, especifique si la firma aparece en el cuerpo o encabezado de la direccin URL de solicitud o en el cuerpo o encabezado de la respuesta.
En Encabezado HTTP, escriba el nombre del encabezado, si ha especificado una firma de tipo de encabezado.
En Firma, escriba la cadena de firmas. Una firma puede ser cualquier cadena de un encabezado o cuerpo. Se recomienda seleccionar cadenas que sean lo
suficientemente especficas para bloquear nicamente las solicitudes o respuestas que desea bloquear. Por ejemplo, si agrega una letra "a" como firma,
se bloquearn todas las solicitudes o respuestas que contengan la letra "a". De modo similar, se especifica "Mozilla" en una firma, se bloquearn la
mayora de los exploradores web. Un ejemplo de firma ms tpica sera Usuario-Agente: adatum-software-abc.
En Intervalo de bytes, especifique los valores De y A, si ha seleccionado Cuerpo de la respuesta o Solicitar cuerpo como tipo de firma. De forma
predeterminada, el Forefront TMG slo analiza los 100 primeros bytes del cuerpo de la solicitud y la respuesta. Si aumenta este valor predeterminado, el
rendimiento del sistema podra verse afectado.
3. Puede habilitar o deshabilitar las firmas usando las casillas de verificacin situadas junto a sus nombres. Haga clic en Mostrar slo cadenas de bsqueda
habilitadas para ver nicamente las firmas habilitadas.
4. Para modificar una firma bloqueada, seleccinela en la lista Bloquear contenido que contenga estas firmas y, a continuacin, haga clic en Editar.
5. Para admitir una firma bloqueada, seleccinela en la lista Bloquear contenido que contenga estas firmas y, a continuacin, haga clic en Quitar.
Determinar firmas

Puede determinar una firma para que bloquee trfico especfico mediante la supervisin del trfico de red.
Importante:
Algunas herramientas de supervisin del trfico de red suponen un riesgo de seguridad, por lo que se recomienda el uso de estas herramientas nicamente en entornos de
laboratorio, no de produccin.
Para determinar las firmas
1. Agregar las herramientas de supervisin de red de Windows. Esta opcin est disponible en la seccin de herramientas de administracin y supervisin de los
componentes opcionales de Windows.
2. Para abrir el Monitor de red tras la instalacin, haga clic en Inicio, Herramientas administrativas y, finalmente, en Monitor de red. Si aparece un mensaje
recordndole que seleccione una red, cirrelo.
3. En el cuadro de dilogo Seleccionar una red, expanda Equipo local. Si los clientes internos se encuentran en la red interna predeterminada del Forefront TMG,
seleccione Interna para hacer un seguimiento de las firmas utilizadas por dichos clientes. De esta forma, puede utilizar firmas rastreadas para bloquear el acceso
de cliente a servicios especficos de Internet.
4. El Monitor de red captura todos los paquetes de la red interna. Los resultados se pueden filtrar tras la captura, aunque tambin se puede crear un filtro antes de
iniciar la captura. Para crear un filtro antes de empezar, en el men, haga clic en Capturar y seleccione Filtro (o presione F8). En el cuadro de dilogo Filtro de
captura, seleccione la entrada INCLUDE *ANY < - > *ANY y, a continuacin, haga clic en Editar.
5. Haga clic en Modificar direccin y, en Agregar, haga clic en Direccin. En el cuadro de dilogo Expresin de direccin, haga clic en Modificar direcciones.
6. En el cuadro de dilogo Base de datos de direcciones, haga clic en Agregar para abrir el cuadro de dilogo Informacin de direccin.
7. En el cuadro de dilogo Informacin de direccin, especifique el nombre del equipo cliente. Indique la direccin IP del equipo cliente en Direccin y, en la lista
Tipo, seleccione IP. A continuacin, seleccione Aceptar y haga clic en Cerrar para cerrar el cuadro de dilogo Base de datos de direcciones.
8. En Expresin de direccin, compruebe que est seleccionada la opcin Incluir. En la columna Estacin 2, seleccione al cliente que acaba de crear. Deje el valor
predeterminado de Direccin (ambas direcciones), seleccione como destino, en la columna Estacin 1, el equipo con Forefront TMG y haga clic en Aceptar.
9. Haga clic en Aceptar para cerrar el cuadro de dilogo Filtro de captura.
10. Si hay mucho trfico entre los dos equipos, puede que tenga que aumentar el bfer de captura. Puede realizar esta operacin desde el men si hace clic en
Capturar y selecciona Configuracin de bfer. En el cuadro de dilogo Capturar configuracin del bfer, aumente el Tamao del bfer. Haga clic en Aceptar.
11. En el cliente, cierre todas las aplicaciones, salvo la aplicacin de la que desea capturar un firma.
12. En el men Monitor de red, haga clic en Capturar y seleccione Iniciar (o presione F10).
13. En el equipo cliente, inicie la aplicacin. Por ejemplo, inicie sesin en Windows Live Messenger o en AOL Instant Messenger.
14. En el men Monitor de red, haga clic en Capturar y seleccione Detener y ver (o presione Mays+F11). Inspeccione los paquetes capturados. Normalmente, el
cuarto paquete (el siguiente despus de los paquetes de desafo mutuo SYN, SYNACK y ACK) es un paquete de solicitud HTTP del equipo cliente que contiene
la informacin que busca, aunque es posible que deba examinar los siguientes paquetes.
15. Haga doble clic en el paquete para ver los detalles. Busque una firma exclusiva relacionada con la aplicacin que desea bloquear. Si el Monitor de red ha
analizado el paquete correctamente, podr ver y hacer clic en todos los encabezados por separado en el panel de detalles (el panel central) y ver la firma completa
en el panel Hexadecimal (el panel inferior). De lo contrario, tendr que buscar la firma en el panel Hexadecimal.
Configurar la proteccin de las amenazas basadas en correo electrnico
En los siguientes temas se describe cmo proteger su organizacin del malware que se entrega por correo electrnico.
Configurar rutas SMTP
1
: describe la manera de definir el flujo de correo en su organizacin.
Configurar el filtrado de correo no deseado
2
: describe la manera de administrar las caractersticas contra correo no deseado en Forefront TMG.
Configurar el filtrado de virus
3
: describe la manera de administrar las caractersticas antivirus en Forefront TMG.

221
Configuracin del filtrado de contenido
4
: describe cmo crear filtros de contenido para buscar palabras concretas dentro de un mensaje de correo electrnico, y
datos adjuntos con un tipo y nombre especficos.
Antes de comenzar
Para poder configurar una directiva de correo electrnico, debe instalar algunas aplicaciones de requisito previo. Para obtener ms informacin, vea Instalar los requisitos
previos para la proteccin de correo electrnico
5
.
Configurar rutas SMTP
En este tema se describe la manera de definir el flujo de correo en su organizacin. El primer paso para crear la directiva de correo electrnico es configurar la manera en la
que Forefront TMG enruta el trfico a y desde los servidores internos del Protocolo simple de transferencia de correo (SMTP) de su organizacin. El servidor de transporte
perimetral de Exchange instalado en su servidor de Forefront TMG acta como rel entre sus servidores SMTP internos y los de fuera de su organizacin y aplica la
directiva de correo electrnico que crea para el correo en trnsito.
En Forefront TMG, estas rutas de correo se denominan rutas SMTP. Debe crear al menos dos rutas, de la siguiente manera:
En la ruta Servidores_de_correo_internos, se escriben las direcciones IP de sus servidores de correo internos y los dominios SMTP de su organizacin de correo (lo
que se conoce como dominios autoritarios aceptados en Microsoft Exchange) y redes desde las que se puede enviar correo. Esto indica a Forefront TMG que acepte
y retransmita solo correo interno desde estas direcciones IP, dominios y redes autorizados.
En la ruta Servidores_de_correo_externo, define de qu redes se permite que el correo entre en la organizacin de correo, selecciona el mtodo de enrutamiento de
correo que se va a usar para enviar el correo interno a redes externas y escribe la direccin IP o FQDN registrada pblicamente que los servidores de correo externo
deberan usar como direccin para su organizacin de correo.
Cada ruta SMTP tiene una escucha de correo electrnico que responde a solicitudes de redes y direcciones IP permitidas.
Puede crear estas rutas SMTP iniciales con el Asistente para directiva de correo electrnico y, a continuacin, crear rutas adicionales con el Asistente para crear ruta SMTP.
En este tema se describen los procedimientos para:
Configurar las rutas SMTP iniciales
Configurar rutas SMTP adicionales
Requisitos previos

Para configurar las rutas SMTP, debe instalar el rol de servidor Transporte de Exchange Edge y Forefront Protection 2010 for Exchange Server (FPES) en todos los
servidores de Forefront TMG de la matriz, como se describe en Instalar los requisitos previos para la proteccin de correo electrnico
1
.
Antes de comenzar

Para configurar las rutas SMTP, necesitar la siguiente informacin acerca de su organizacin de correo SMTP interno:
Los nombres de equipo y las direcciones IP de sus servidores SMTP internos
Los dominios autoritarios aceptados desde los que su organizacin de correo acepta mensajes de correo
El registro de recursos del intercambiador de correo (MX) registrado en DNS pblico para el correo de esta organizacin. Forefront TMG responder a SMTP
(HELO, EHLO) con este nombre de dominio pblico o direccin IP.
Configurar las rutas SMTP iniciales

Advertencia:
Si ya ha configurado las rutas SMTP, al ejecutar el Asistente para directiva de correo electrnico, se elimina toda la configuracin existente. Para modificar la
configuracin actual, haga clic con el botn secundario en la ruta pertinente en el panel de detalles de la ficha Directiva de correo electrnico y haga clic en Propiedades.
Para configurar las rutas SMTP iniciales
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Directiva de correo electrnico.
2. En la ficha Tareas, haga clic en Configurar directiva de correo electrnico y, a continuacin, siga las instrucciones del asistente.
3. En la pgina Configuracin del servidor de correo interno, haga lo siguiente:
En Servidores de correo internos, haga clic en Agregar y escriba el nombre del equipo y la direccin IP de su servidor SMTP interno (por ejemplo,
mail.internal.contoso.com). Realice esta operacin para cada uno de sus servidores SMTP internos.
Nota:
Si est usando una organizacin de mensajera de Microsoft Exchange, escriba el nombre del equipo y la direccin IP del servidor de transporte de
concentradores adecuado.
En Dominios autoritarios aceptados, haga clic en Agregar y escriba los nombres de dominio SMTP o direcciones IP desde las que sus servidores SMTP
internos aceptan mensajes de correo (por ejemplo, mailsrv.internal.contoso.com). Realice esta operacin para cada servidor SMTP interno.
4. En la pgina Configuracin de escucha de correo electrnico interna, en Redes, seleccione las redes que Forefront TMG debera escuchar para solicitudes de
correo desde dentro de su organizacin, que Forefront TMG retransmitir entonces a los servidores SMTP externos. Una seleccin tpica es la red Interna.
Nota:

222
Si est usando el equilibrio de carga de red o desea especificar de otra manera las direcciones IP desde las que Forefront TMG responder a las
solicitudes de correo internas, haga clic en Seleccionar direcciones y seleccione la opcin adecuada en la lista.
La escucha de correo electrnico interna solo acepta correo de las direcciones IP de los servidores SMTP internos que haya definido en la pgina
anterior del asistente. As se evita que una mquina cliente puesta en peligro enve correo directamente a Forefront TMG en un intento de evitar las
protecciones de correo en el servidor SMTP interno.
5. En la pgina Configuracin de escucha de correo electrnico externa, haga lo siguiente:
Seleccione las redes que Forefront TMG debera escuchar para solicitudes de correo y retransmitirlas a sus servidores SMTP internos. Una seleccin
tpica es la red Externa.
Nota:
La direccin IP que escribe aqu debera coincidir con la registrada en DNS como el registro MX de la organizacin.
Si est usando el equilibrio de carga de red o desea especificar de otra manera las direcciones IP desde las que Forefront TMG responder a
las solicitudes de correo externas, haga clic en Seleccionar direcciones y seleccione la opcin adecuada en la lista.
Escriba el FQDN o la direccin IP que la escucha externa usar para responder a solicitudes de correo desde fuera de la red corporativa (por ejemplo,
mail.corp.contoso.com).
6. En la pgina Configuracin de directiva de correo electrnico, haga clic en las caractersticas de proteccin de correo que desea habilitar.
7. Haga clic en Finalizar.
Nota:
Si es la primera vez que configura las rutas SMTP, se abre un cuadro de dilogo en el que se le pregunta si desea habilitar las reglas de directiva del sistema
para la directiva de correo electrnico. Haga clic en S.
Configurar rutas SMTP adicionales

Tras crear las rutas SMTP iniciales con el Asistente para directiva de correo electrnico, puede crear rutas SMTP adicionales segn sea necesario con el Asistente para crear
ruta SMTP.
Para configurar una ruta SMTP adicional
2. En la ficha Tareas, haga clic en Asistente para crear ruta SMTP y, a continuacin, escriba un nombre para la nueva ruta SMTP.
3. En la pgina Tipo de ruta SMTP, seleccione si esta ruta es a un servidor de la red Interna o a un servidor externo. Tenga en cuenta las consideraciones siguientes:
Para Servidores de correo interno, haga clic en Agregar y escriba el nombre del equipo y la direccin IP del servidor SMTP interno adecuado. Por
ejemplo, escriba mail.internal.contoso.com. Puede agregar varios servidores SMTP internos.
Para Servidores de correo externo, haga clic en Segn FQDN o direccin IPy escriba el nombre de dominio completo (FQDN) o direccin IP para
reenviar correo o haga clic Usar registros "MX" de sistema de nombres de dominio (DNS) para enrutar el correo automticamente.
Nota:
Forefront TMG usa este FQDN o direccin IP para enrutar el correo a los espacios de direcciones (es decir, nombres de dominio) asociados
a la ruta.
Para usar DNS con el fin de enrutar correo saliente, seleccione esta opcin. Forefront TMG usa DNS para buscar el registro de
intercambiador de correo (MX) del servidor SMTP remoto. El registro MX muestra la direccin IP del servidor remoto, que Forefront TMG
usa para entregar el correo. Si selecciona este mtodo de enrutamiento, compruebe que su servidor DNS puede resolver nombres
correctamente en Internet.
4. En la pgina Nombres de dominio, haga clic en Agregar y escriba un dominio autoritario aceptado del FQDN asociado a esta ruta.
Nota:
Para agregar ms de un FQDN, use un prefijo comodn para especificar varios FQDN en una lnea (*.contoso .com).
5. En la pgina Configuracin de escucha de correo electrnico interna, haga lo siguiente:
Seleccione las redes que Forefront TMG debera escuchar para solicitudes de correo y retransmtalas.
Nota:
Si ha seleccionado Servidores de correo internos en el paso 3, debera seleccionar las redes internas aqu. Si ha seleccionado Servidores de correo
externos, debera seleccionar la red Externa.
Nota:

223
Si est usando el equilibrio de carga de red o desea especificar de otra manera las direcciones IP desde las que Forefront TMG responder a las
solicitudes de correo, haga clic en Seleccionar direcciones y seleccione la opcin adecuada en la lista.
Escriba el FQDN que la escucha para esta ruta usar para responder a solicitudes de correo (por ejemplo, mail.corp.contoso.com).
6. Haga clic en Finalizar y, a continuacin, en la barra Aplicar cambios, haga clic en Aplicar.
Nota:
El Asistente para crear ruta SMTP no es reentrante: despus de crear la ruta, no puede modificarla a travs del asistente. Para editar la configuracin, haga clic con el
botn secundario en la ruta en el panel de detalles de la ficha Directiva de correo electrnico y haga clic en Propiedades
Configurar el filtrado de correo no deseado
En este tema se proporciona informacin que le ayudar a administrar las caractersticas contra correo electrnico no deseado en Forefront TMG. Los spammers, o
remitentes malintencionados, usan varias tcnicas para enviar correo electrnico no deseado a su organizacin. No hay una nica herramienta o proceso que pueda eliminar
todo el correo electrnico no deseado. Forefront TMG proporciona un enfoque superpuesto y de mltiples facetas para reducir el correo electrnico no deseado. El enfoque
superpuesto para reducir el correo no deseado hace referencia a la configuracin de varias caractersticas de proteccin contra correo electrnico no deseado que filtran
mensajes de entrada en un orden concreto. Cada caracterstica filtra una determinada caracterstica o conjunto de caractersticas relacionadas en el mensaje entrante.
En los procedimientos siguientes se describe cmo obtener acceso a la ficha Filtrado de correo no deseado y configurar los filtros que desea usar:
Obtener acceso a la ficha Filtrado de correo no deseado
Configurar la lista de direcciones IP permitidas
Configurar los proveedores de listas de direcciones IP permitidas
Configurar la lista de direcciones IP bloqueadas
Configurar los proveedores de listas de direcciones IP bloqueadas
Configurar el filtrado de contenido
Configurar el filtrado de destinatarios
Configurar el filtrado de remitentes
Configurar el identificador de remitente
Configurar la reputacin del remitente
Requisitos previos

Antes de configurar los filtros de correo electrnico no deseado, asegrese de que completa lo siguiente:
Instale el rol de servidor Transporte de Exchange Edge y Forefront Protection 2010 para Exchange Server (FPES) en todos los servidores de Forefront TMG de la
matriz, como se describe en Instalar los requisitos previos para la proteccin de correo electrnico
1
.
Cree las rutas de SMTP iniciales con el Asistente para directiva de correo electrnico, como se describe en Configurar rutas SMTP
2
.
Habilite la proteccin contra correo electrnico no deseado con Asistente para directiva de correo electrnico o haga clic en Habilitar filtrado de correo electrnico
no deseado en el panel Tareas de la ficha Filtrado de correo no deseado.
Obtener acceso a la ficha Filtrado de correo no deseado

Para obtener acceso a la ficha Filtrado de correo no deseado
2. En el panel de detalles, haga clic en la ficha Filtrado de correo no deseado.
3. Haga clic en el filtro que desee configurar en la lista y configrelo segn las instrucciones que se indican a continuacin.
Configurar la lista de direcciones IP permitidas

Use la lista de direcciones IP permitidas para crear y administrar una lista de direcciones IP especficas a para las que Forefront TMG debe enviar mensajes de entrada a sus
destinos sin procesamiento adicional por parte de otros agentes contra correo electrnico no deseado.
Para configurar la lista de direcciones IP permitidas
1. Haga clic en Lista de direcciones IP permitidas y, en la ficha General, compruebe que Estado est establecido en Habilitado.
2. En la ficha Direcciones permitidas, haga clic en Agregar. Escriba un intervalo de direcciones IP y, a continuacin, haga clic en Aceptar para agregarlo a la lista
Direcciones IP remotas.
3. Haga clic en Aceptar. Para guardar los cambios, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar los proveedores de listas de direcciones IP permitidas

Los proveedores de listas de direcciones IP permitidas son servicios que mantienen listas de direcciones IP que se sabe con seguridad que no estn asociadas a ninguna
actividad de correo electrnico no deseado. Cuando se habilita un proveedor de listas de direcciones IP permitidas, los mensajes se comprueban a medida que entran en el
servidor de transporte perimetral.

224
Para configurar los proveedores de listas de direcciones IP permitidas
1. Haga clic en Proveedores de listas de direcciones IP permitidas y, en la ficha General, compruebe que Estado est establecido en Habilitado.
2. En la ficha Proveedores, haga clic en Agregar para agregar un nuevo proveedor a los proveedores de listas de direcciones IP permitidas.
3. Escriba la siguiente informacin:
Nombre del proveedor: en este campo escriba el nombre del servicio de proveedores de listas de direcciones IP permitidas. Este nombre es para uso
propio para identificar el proveedor.
Dominio de bsqueda: en este campo, escriba el nombre de dominio que el agente de filtro de conexin consulta para buscar informacin de lista de
direcciones IP permitidas.
Establecer coincidencia con cualquier cdigo de retorno: al seleccionar esta opcin, el agente de filtro de conexin trata cualquiera cdigo de estado de
direccin IP que devuelve el servicio de proveedores de listas de direcciones IP permitidas como una coincidencia.
Establecer coincidencia con la siguiente mscara: al seleccionar esta opcin, el agente de filtro de conexin solo acta en los mensajes que coinciden
con el cdigo de estado de devolucin de 127.0.0.x, donde el entero x es uno de los siguientes valores:

1: la direccin IP est en una lista de direcciones IP permitidas.

2: el servidor SMTP (Protocolo simple de transferencia de correo) est configurado para actuar como un retransmisor abierto.

4: la direccin IP admite una direccin IP de acceso telefnico.
Establecer coincidencia con una de las siguientes respuestas: al seleccionar esta opcin, el agente de filtro de conexin acta nicamente en los
mensajes que coinciden con el mismo cdigo de estado de direccin IP que devuelve el servicio de proveedores de listas de direcciones IP permitidas.
Configurar la lista de direcciones IP bloqueadas

Utilice la caracterstica de lista de direcciones IP bloqueadas para designar direcciones IP que no pueden enviar mensajes a este servidor. Si una direccin IP de origen
coincide con una direccin IP o un intervalo de direcciones IP de la lista de direcciones IP bloqueadas, Forefront TMG desconecta la sesin SMTP (Protocolo simple de
transferencia de correo) despus de haber procesado todos los encabezados RCPT TO: del mensaje.
Para configurar la lista de direcciones IP bloqueadas
1. Haga clic en Lista de direcciones IP bloqueadas y, en la ficha General, compruebe que Estado est establecido en Habilitado.
2. En la ficha Direcciones bloqueadas, haga clic en Agregar y escriba una direccin SMTP o un intervalo de direcciones para bloquear. Si desea establecer una
fecha de expiracin, en Expiracin, haga clic en Bloquear hasta fecha y hora y seleccione una fecha y una hora.
3. Haga clic en Aceptar para agregar las direcciones bloqueadas a la lista Direcciones bloqueadas.
Configurar los proveedores de listas de direcciones IP bloqueadas

Los proveedores de listas de direcciones IP bloqueadas son servicios que enumeran direcciones IP que se sabe que envan correo electrnico no deseado. Su configuracin
puede utilizar varios servicios de proveedores de listas de direcciones IP bloqueadas adems de una lista de direcciones IP bloqueadas.
Se recomienda poner en primer lugar el servicio de proveedores de listas de direcciones IP bloqueadas ms slido para optimizar el rendimiento. Cuando Forefront TMG
recibe una coincidencia de la lista de direcciones IP bloqueadas, Forefront TMG deja de consultar otros servicios de proveedores de listas de direcciones IP bloqueadas.
Para configurar los proveedores de listas de direcciones IP bloqueadas
1. Haga clic en Proveedores de listas de direcciones IP bloqueadas y, en la ficha General, compruebe que Estado est establecido en Habilitado.
2. En la ficha Proveedores, haga clic en Agregar para agregar un nuevo proveedor a los proveedores de listas de direcciones IP permitidas.
3. Escriba la siguiente informacin:
Nombre del proveedor: en este campo escriba el nombre del servicio de proveedores de listas de direcciones IP bloqueadas. Este nombre es para uso
propio para identificar el proveedor.
Dominio de bsqueda: en este campo, escriba el nombre de dominio que el agente de filtro de conexin consulta para buscar informacin de lista de
direcciones IP bloqueadas.
Establecer coincidencia con cualquier cdigo de retorno: al seleccionar esta opcin, el agente de filtro de conexin trata cualquiera cdigo de estado de
direccin IP que devuelve el servicio de proveedores de listas de direcciones IP bloqueadas como una coincidencia.
Establecer coincidencia con la siguiente mscara: al seleccionar esta opcin, el agente de filtro de conexin solo acta en los mensajes que coinciden
con el cdigo de estado de devolucin de 127.0.0.x, donde el entero x es uno de los siguientes valores:

1: la direccin IP est en una lista de direcciones IP bloqueadas.

2: el servidor SMTP (Protocolo simple de transferencia de correo) est configurado para actuar como un retransmisor abierto.

4: la direccin IP admite una direccin IP de acceso telefnico.
Establecer coincidencia con una de las siguientes respuestas: al seleccionar esta opcin, el agente de filtro de conexin acta nicamente en los
mensajes que coinciden con el mismo cdigo de estado de direccin IP que devuelve el servicio de proveedores de listas de direcciones IP bloqueadas.
Configurar el filtrado de contenido

El filtro de contenido de correo electrnico no deseado evala los mensajes de correo electrnico entrantes y valora la probabilidad de que un mensaje entrante sea legtimo
o correo electrnico no deseado. El filtro asigna una clasificacin de nivel de confianza contra correo no deseado (SCL) a cada mensaje entrante que llega de Internet. La
clasificacin de SCL es un nmero entre 1 y 9; cuanto ms alta es la clasificacin, mayor es la probabilidad de que el mensaje sea correo electrnico no deseado.
Puede configurar el agente de filtro de contenido para realizar las siguientes acciones en los mensajes segn su clasificacin de SCL:
Eliminar el mensaje.

225
Rechazar el mensaje.
Poner en cuarentena el mensaje.
Por ejemplo, puede determinar que los mensajes que tengan una clasificacin de SCL de 7 o superior se deben eliminar, los mensajes que tengan una clasificacin de SCL
de 6 se deben rechazar y los mensajes que tengan una clasificacin de SCL de 5 se deben poner en cuarentena.
Puede ajustar el comportamiento de umbral SCL si asigna distintas clasificaciones de SCL a cada una de estas acciones. Si se establece un valor bajo se rechazarn
demasiados mensajes como correo electrnico no deseado; si se establece un valor alto se permitir que pasen demasiados.
El filtro de contenido es el ltimo en examinar los mensajes de entrada. Por lo tanto, la configuracin de los umbrales de SCL y las acciones de umbral son muy importantes.
Si establece los umbrales SCL demasiado altos, puede que no reduzca el correo electrnico no deseado que llega a su organizacin. Si establece los umbrales SCL
demasiado bajos, existe el riesgo de que se bloqueen mensajes de usuarios legtimos.
En la hoja de propiedades de Filtrado de contenido, puede personalizar las siguientes opciones:
Palabras personalizadas: defina palabras personalizadas y establezca palabras clave personalizadas para etiquetar los mensajes que se filtrarn o no se filtrarn.
Excepciones: designe destinatarios para los que no se utilizar el filtrado de contenido.
Accin: configure los umbrales del nivel de confianza contra correo no deseado (SCL) y establezca la accin que se realizar en los mensajes segn su clasificacin
de SCL.
Para configurar el filtrado de contenido
1. Haga clic en Filtrado de contenido y, en la ficha General, compruebe que Estado est establecido en Habilitado.
2. En la ficha Palabras personalizadas, puede hacer las siguientes acciones:
Para especificar una palabra o una frase de permiso, en No se bloquearn los mensajes que contengan estas palabras o frases, haga clic en Agregar.
Escriba una palabra o una frase que no es probable que se incluya en mensajes de correo no deseado y, a continuacin, haga clic en Aceptar.
Nota:
Cuando Forefront TMG encuentra una palabra o frase permitida, la clasificacin de SCL en ese mensaje se establece en 1.
Para especificar una palabra o frase de bloqueo, en Se bloquearn los mensajes que contengan estas palabras o frases, a menos que el mensaje contenga
una palabra o frase de la lista anterior, haga clic en Agregar. Escriba una palabra o una frase que es probable que se incluya en un mensaje de correo no
deseado y, a continuacin, haga clic en Aceptar.
Nota:
Cuando Forefront TMG encuentra una palabra o frase bloqueada, la clasificacin de SCL en ese mensaje se establece en 9.
3. Para especificar las excepciones de destinatario para el filtrado de contenido, en la ficha Excepciones, haga clic en Agregar, escriba una direccin SMTP
(Protocolo simple de transferencia de correo) y, a continuacin, haga clic en Aceptar. Realice esta accin por cada direccin de correo electrnico que desee
excluir de los exmenes de filtrado de contenido.
4. Para configurar los umbrales del nivel de confianza contra correo no deseado (SCL), haga clic en la ficha Accin, habilite las acciones de filtro de contenido y
establezca los umbrales de SCL segn sean adecuados para su organizacin. Puede configurar las siguientes opciones:
Eliminar mensajes con una SCL superior o igual a: elimina el mensaje pero no informa al servidor de envo de la eliminacin. En su lugar, el equipo que
tiene el rol de servidor de transporte perimetral instalado enva un comando SMPT "OK" falso al servidor de envo y, a continuacin, elimina el
mensaje. Como el servidor de envo supone que el mensaje se ha enviado, no reintenta enviarlo en la misma sesin. La configuracin del umbral de SCL
predeterminada es 9.
Rechazar los mensajes con una SCL superior o igual a: rechaza el mensaje y enva una respuesta de error SMTP al servidor de envo. La configuracin
del umbral de SCL predeterminada es 9.
Poner en cuarentena los mensajes con una clasificacin de SCL superior a: pone en cuarentena el mensaje y lo enva al buzn de cuarentena de correo
no deseado que especifique en el cuadro Direccin del buzn de correo de cuarentena. La configuracin del umbral de SCL predeterminada es 9.
Configurar el filtrado de destinatarios

Utilice el filtrado de destinatarios como ayuda para evitar la aceptacin de mensajes en los siguientes escenarios:
Usuarios no existentes: puede impedir la entrega a destinatarios que no se encuentran en la lista global de direcciones. Por ejemplo, puede detener la entrega a
nombres de cuenta que se usan incorrectamente con frecuencia (por ejemplo, administrador@contoso.com o soporte@contoso.com).
Nota:
La caracterstica de destinatarios no existentes solo est disponible si la matriz de Forefront TMG est suscrita a una organizacin de Microsoft
Exchange.
Para obtener ms informacin acerca de la lista global de direcciones, vea Descripcin de las listas de direcciones
3
en la documentacin de Microsoft
Exchange 2007.
Listas de distribuciones restringidas: puede impedir la entrega de correo de Internet a listas de distribucin que solo deben usar los usuarios internos.
Nota:

226
La caracterstica de listas de distribucin restringidas solo est disponible si la matriz de Forefront TMG est suscrita a una organizacin de Microsoft
Exchange.
Para obtener ms informacin acerca de las listas de distribucin restringidas, vea Filtrado de destinatarios
4
en la documentacin de Microsoft Exchange
2007.
Buzones que nunca deben recibir mensajes de Internet: puede impedir la entrega de correo de Internet a un buzn o alias especfico que normalmente se usa dentro
de la organizacin (por ejemplo, el servicio de asistencia).
Para configurar el filtrado de destinatarios
1. Haga clic en Filtrado de destinatarios y, en la ficha General, compruebe que Estado est establecido en Habilitado.
2. En la ficha Destinatarios bloqueados, realice una de las acciones siguientes:
Para bloquear automticamente los mensajes a las direcciones que solo son para uso interno, active la casilla Bloquear mensajes enviados a destinatarios
que no aparezcan en la lista global de direcciones.
Para habilitar el bloqueo de destinatarios, active la casilla Bloquear los siguientes destinatarios. Haga clic en Agregar y escriba la direccin SMTP de un
destinatario y, a continuacin, haga clic en Aceptar para agregar dicho destinatario a la lista de destinatarios bloqueados.
Configurar el filtrado de remitentes

El filtro de remitentes permite bloquear remitentes individuales (por ejemplo, kim@contoso.com), dominios completos (por ejemplo, .contoso.com) o dominios y todos los
subdominios (por ejemplo, *.contoso.com). Tambin puede configurar la accin que debe realizar el filtro de remitentes cuando se encuentra un mensaje que tiene un
remitente bloqueado. Puede configurar las siguientes acciones:
Rechazar la solicitud SMTP con un error de sesin SMTP "554 5.1.0 Remitente denegado" y cerrar la conexin.
Marcar el mensaje como un "remitente bloqueado" y seguir el procesamiento. Como el mensaje procede de un remitente bloqueado y est marcado como tal, el
agente de contenido de filtro utilizar esta informacin al calcular el nivel de confianza contra correo no deseado (SCL).
Importante:
Los encabezados SMTP MAIL FROM: se pueden suplantar. Por lo tanto, no se debe basar nicamente en el agente de filtro de remitentes. Utilice de forma conjunta el
agente de filtro de remitentes y el agente de identificador de remitente. El agente de identificador de remitente utiliza la direccin IP del servidor de envo para intentar
comprobar que el dominio del encabezado SMTP MAIL FROM: coincide con el dominio que est registrado. Para obtener ms informacin acerca del agente de
identificador de remitente, vea Configurar el identificador de remitente ms adelante.
Para configurar el filtrado de remitentes
1. Haga clic en Filtrado de remitentes y, en la ficha General, compruebe que Estado est establecido en Habilitado.
2. En la ficha Remitentes bloqueados, haga clic en Agregar.
a. Para bloquear un remitente concreto, seleccione la opcin Direccin de correo electrnico individual y, a continuacin, escriba la direccin de correo
electrnico en el cuadro de texto (por ejemplo, kim@contoso.com).
b. Para bloquear un dominio, seleccione la opcin Dominio y escriba el dominio en el cuadro de texto (por ejemplo, contoso.com). Si desea bloquear
todos los subdominios del dominio que se especifica en el cuadro de texto (por ejemplo, mail.contoso.com), active la casilla Incluir todos los
subdominios.
3. Active la casilla Bloquear mensajes de remitentes en blanco para bloquear los mensajes entrantes de los remitentes que no especifican un remitente y un dominio
en el encabezado SMTP MAIL: FROM. Esta caracterstica contribuye a evitar los ataques de denegacin de servicio (DOS) en el servidor SMTP. La mayora de
los mensajes SMTP (Protocolo simple de transferencia de correo) proceden de servidores SMTP que proporcionan un remitente y un dominio en el comando
MAIL FROM SMTP.
4. En la ficha Accin, seleccione la accin que se realizar cuando el mensaje se haya generado en un remitente o dominio de la lista Remitentes bloqueados.
Nota:
Rechazar mensaje es la configuracin predeterminada.
5. Para guardar los cambios, haga clic en Aceptar y, a continuacin, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar el identificador de remitente

El identificador de remitente intenta comprobar que todos los mensajes de correo electrnico se originan en el dominio de Internet del que indican que se han enviado. El
identificador de remitente est diseado para combatir la suplantacin de un remitente y un dominio, prctica que con frecuencia se denomina "suplantacin de identidad".
Un correo simulado es un mensaje de correo electrnico que tiene una direccin de envo que se ha modificado para que parezca que se ha originado en un remitente distinto
del remitente real del mensaje.
El identificador de remitente dificulta la suplantacin de identidad. Al habilitar el identificador de remitente, Forefront TMG comprueba la direccin del servidor que enva
el mensaje en una lista registrada de los servidores a los que el propietario del dominio ha autorizado el envo de correo electrnico.
Puede configurar el identificador de remitente para realizar una de las siguientes acciones cuando el identificador de remitente determina que un mensaje es simulado o
cuando se devuelve un error transitorio.
Rechazar mensaje: esta es la accin predeterminada. Rechaza el mensaje y enva una respuesta de error de SMTP al servidor de envo. La respuesta de error de
SMTP es una respuesta de protocolo de nivel 5xx con un texto que corresponde al estado del identificador de remitente.
Eliminar mensaje: elimina el mensaje sin informar al servidor de envo de la eliminacin. En su lugar, el servidor que tiene el transporte perimetral instalado enva
un comando SMPT "OK" falso al servidor de envo y, a continuacin, elimina el mensaje. Como el servidor de envo supone que el mensaje se ha enviado, no
reintentar enviarlo en la misma sesin.

227
Marcar mensaje con el resultado de Id. del remitente y continuar con el procesamiento: el estado del identificador de remitente se incluye en los metadatos de todos
los mensajes entrantes en la organizacin. El filtro de contenido evala estos metadatos cuando se calcula un nivel de confianza contra correo no deseado (SCL).
Adems, la reputacin del remitente utiliza los metadatos del mensaje cuando calcula un nivel de reputacin de remitente (SRL) para el remitente del mensaje.
Para configurar el identificador de remitente
1. Haga clic en Id. del remitente y, en la ficha General, compruebe que Estado est establecido en Habilitado.
2. En la ficha Accin, seleccione la accin que se realizar si se produce un error en la comprobacin del identificador de remitente.
Nota:
Rechazar mensaje es la configuracin predeterminada.
3. Haga clic en Aceptar para guardar los cambios y cerrar el cuadro de dilogo; a continuacin, en la barra Aplicar cambios, haga clic en Aplicar.
Configurar la reputacin del remitente

La reputacin del remitente supervisa continuamente los remitentes y sus interacciones de SMTP anteriores, como la cantidad de correo electrnico no deseado y los
mensajes que no son correo no deseado que un remitente ha enviado. La reputacin del remitente se basa en dichos datos acerca del remitente para determinar la accin, si la
hubiera, que se debe realizar en un mensaje entrante.
El filtro de reputacin del remitente genera un nivel de reputacin del remitente (SRL) para el remitente de un mensaje. SRL es un nmero entre 0 y 9 que predice la
probabilidad de que un remitente concreto sea un spammer o un remitente malintencionado. Un valor de 0 indica que no es probable que el mensaje sea correo electrnico
no deseado. Un valor de 9 indica que es probable que un mensaje sea correo electrnico no deseado.
Comprobar los servidores proxy abiertos
La reputacin del remitente utiliza varios criterios para calcular el SRL. Un elemento opcional del clculo de SRL es una prueba de los servidores proxy abiertos. Un proxy
abierto es un servidor proxy que acepta las solicitudes de conexin de cualquiera en cualquier lugar y reenva el trfico como si se originara en los hosts locales. Los
servidores proxy pueden existir por cualquiera de las siguientes condiciones:
Configuracin incorrecta involuntaria
Programas de caballo de Troya malintencionados. Un programa de caballo de Troya es un programa que se hace pasar por otro programa comn en un intento de
recibir informacin.
Los servidores proxy abiertos, que con frecuencia no tienen un registro suficiente, proporcionan una forma ideal para que los usuarios malintencionados oculten sus
identidades autnticas e inicien ataques de denegacin de servicio (DoS) o enven correo electrnico no deseado.
Configurar el umbral de bloqueo del nivel de reputacin del remitente
Puede configurar el umbral para el bloqueo de remitentes por SRL. Este umbral de bloqueo de SRL define el valor de SRL que se debe superar para que la reputacin del
remitente bloquee un remitente. De forma predeterminada, el valor de umbral de SRL es 7. Tenga cuidado al establecer el umbral de SRL. Un umbral demasiado bajo puede
bloquear los remitentes legtimos de forma accidental. Un umbral demasiado alto puede no bloquear remitentes malintencionados o spammers. Si un mensaje es igual a o
mayor que el umbral de bloqueo de SRL, ese remitente se agregar a la lista de direcciones IP bloqueadas de 0 a 48 horas. El valor predeterminado es 24 horas.
Sugerencia:
Debe supervisar la efectividad del agente en el nivel predeterminado y, a continuacin, ajustar el valor para satisfacer las necesidades de su organizacin.
Para configurar la reputacin del remitente
1. Haga clic en Reputacin del remitente y, en la ficha General, compruebe que Estado est establecido en Habilitado.
2. En la ficha Confianza de remitente, active o desactive la casilla Realizar una prueba de proxy abierto al determinar el nivel de confianza del remitente segn
corresponda.
3. En la ficha Accin, arrastre el control deslizante Umbral de bloqueo de nivel de reputacin del remitente hasta el umbral requerido.
4. En Accin de umbral, haga clic en la flecha Subir o Bajar en el cuadro Cuando se supere el umbral del nivel de bloqueo de reputacin del remitente, agregar el
remitente a la lista de direcciones IP bloqueadas por un perodo de (horas) para establecer el nmero de horas que el remitente permanece en la lista de
direcciones IP bloqueadas.
Sugerencia:
Puede establecer el nmero de horas que se va a agregar a la lista de direcciones IP bloqueadas a 0, para supervisar la reputacin del remitente sin interrumpir
el flujo de correo.
Configurar el filtrado de virus
En este tema se describe cmo habilitar y configurar el filtrado de virus en su servidor de Forefront TMG. Forefront TMG proporciona proteccin perimetral que quita estas
amenazas antes de que puedan entrar en la infraestructura de una organizacin.

228
Deteccin con varios motores
Configurar la directiva de seleccin de motores inteligentes
Configuracin del filtrado de virus en su servidor
Requisitos previos

Antes de configurar el filtrado de virus, asegrese de que completa lo siguiente:
Instale el rol de servidor Transporte de Exchange Edge y Forefront Protection 2010 for Exchange Server (FPES) en todos los servidores de Forefront TMG de la
1
.
2
.
Habilite el filtrado de virus, con el Asistente para directiva de correo electrnico o haciendo clic en Habilitar filtrado de virus en el panel Tareas de la ficha Filtrado
de virus y contenido.
Deteccin con varios motores

Forefront TMG le permite emplear varios motores de deteccin (hasta cinco) para detectar y limpiar virus de los adjuntos de correo electrnico. El uso de varios motores
ofrece un mayor grado de seguridad, ya que es posible aprovechar la experiencia de varios laboratorios antivirus para mantener su entorno libre de virus; es posible que un
virus escape al examen de un motor, pero es poco probable que escape a tres.
Configurar la directiva de seleccin de motores inteligentes

La configuracin de la directiva de seleccin de motores inteligentes controla cuntos de los motores seleccionados deberan usarse para proporcionarle una probabilidad
aceptable de que su sistema est protegido (dado que hay un equilibrio entre el grado de certeza y el rendimiento del sistema). Cuantos ms motores use, mayor es la
probabilidad de detectar todos los virus. No obstante, cuantos ms motores use, mayor ser el efecto sobre el rendimiento del sistema.
Configuracin del filtrado de virus en su servidor

Para configurar el filtrado de virus
2. En el panel de detalles, haga clic en la ficha Filtrado de virus y contenido y en Filtrado de virus, haga clic en Habilitado.
3. En la ficha General del cuadro de dilogo Configuracin de antivirus, compruebe que Estado est establecido en Activado.
4. En la ficha Motores, seleccione un mtodo de administracin del motor:
Usar la administracin del motor automtica
Habilitar manualmente hasta 5 motores: si selecciona esta opcin, debe habilitar al menos un motor antivirus.
5. Tambin en la ficha Motores, configure las siguientes opciones Directiva de seleccin inteligente de motores:
Examinar siempre con todos los motores seleccionados: pone las detecciones en cola si cualquiera de los motores seleccionados est ocupado, por
ejemplo, durante las actualizaciones de firmas.
Examinar con el subconjunto de motores seleccionados disponibles: para la deteccin se usan todos los motores seleccionados que estn disponibles.
Las detecciones continan con los motores disponibles cuando se est actualizando uno de los motores seleccionados.
Examinar con un subconjunto de motores seleccionados elegidos dinmicamente: elige heursticamente entre los motores seleccionados, en funcin de
los ltimos resultados y proyecciones estadsticas. Por trmino medio, se usa la mitad de los motores seleccionados para el examen de un solo objeto.
Examinar con solo uno de los motores seleccionados: elige heursticamente entre los motores seleccionados, en funcin de los resultados recientes y las
proyecciones estadsticas. Se usa solo uno de los motores seleccionados en la deteccin de cualquier objeto nico.
6. En la ficha Correccin, seleccione la accin que se va a llevar a cabo cuando se detecta un virus en un adjunto de correo electrnico.
Omitir (solo detectar): no se realizar ningn intento de limpieza o eliminacin. Se informar de los virus pero los archivos permanecern infectados.
Limpiar (reparar datos adjuntos): se intentar limpiar el virus. Si el intento se lleva a cabo satisfactoriamente, el cuerpo del mensaje o los datos adjuntos
infectados se sustituirn por una versin limpia. Si la limpieza no es posible, el cuerpo del mensaje o los datos adjuntos se sustituirn por el texto de
eliminacin. sta es la configuracin predeterminada para cada tipo de deteccin antivirus.
Eliminar (quitar infeccin): los datos adjuntos se eliminarn sin intentar limpiarlos. Los datos adjuntos detectados se quitan del mensaje y se inserta en
su lugar el texto de eliminacin.
7. Si desea que al destinatario de correo electrnico se le notifique siempre que se detecte un virus, en la ficha Correccin, haga clic en Enviar notificaciones.
8. Forefront TMG reemplaza el contenido del archivo infectado por el texto que se proporciona en el cuadro Texto de eliminacin. El texto de eliminacin
predeterminado indica al destinatario que se ha quitado un archivo infectado e incluye el nombre del archivo y el nombre del virus encontrado. El texto de
eliminacin se puede personalizar; basta con que escriba su propio texto en el cuadro.
Configuracin del filtrado de contenido
En este tema se describe cmo configurar el filtrado de contenido. Puede crear filtros de contenido para buscar palabras concretas dentro de un mensaje de correo electrnico
y datos adjuntos con un tipo y nombre especfico. Hay dos tipos de filtros de contenido:
Filtros de archivos: identifica los archivos adjuntos no deseados dentro de los mensajes de correo electrnico. Puede filtrar archivos adjuntos en funcin del tipo de
archivo, nombre de archivo y prefijo.
Filtros de cuerpo de mensaje: identifique los mensajes de correo electrnico no deseados analizando el contenido del cuerpo del mensaje. Mediante la creacin de
listas de palabras clave, puede filtrar mensajes basndose en diversas palabras, frases y oraciones.
En las secciones siguientes se describe cmo configurar el filtrado de contenido:
Creacin de un filtro de archivos
Crear un filtro de cuerpo de mensaje

229
Requisitos previos

Antes de configurar los filtros de contenido, asegrese de que completa lo siguiente:
Instale el rol de servidor Transporte de Exchange Edge y Forefront Protection 2010 for Exchange Server (FPES) en todos los servidores de Forefront TMG de la
1
.
2
.
Habilite el filtrado de contenido, con el Asistente para directiva de correo electrnico o haciendo clic en Habilitar filtrado de contenido en el panel Tareas de la
ficha Filtrado de virus y contenido.
Creacin de un filtro de archivos

El filtro de archivos puede configurarse por tipo, extensin o nombre de archivo.
Filtrado por tipo de archivo
Si desea filtrar determinados tipos de archivos, puede crear un filtro y establecer la seleccin Tipos de archivo en el tipo de archivo exacto que desee filtrar.
Por ejemplo: cree un filtro y establezca Tipos de archivo en MP3. De esta forma, se asegura de que se filtran todos los archivos MP3, con independencia del nombre y la
extensin.
Filtrado por nombre de archivo
Si desea filtrar todos los archivos con un nombre determinado, puede crear un filtro agregando el nombre de archivo a la ficha Nombres de archivos. Las coincidencias de
filtro no distinguen maysculas de minsculas.
Por ejemplo, si un virus usa un archivo adjunto denominado payload.doc, puede crear el filtro payload.doc. De esta forma, se asegurar de que se filtrar cualquier archivo
con el nombre payload.doc, independientemente del tipo de archivo que sea.
La deteccin de datos adjuntos de archivo por nombre es til cuando se produce un brote de virus y conoce el nombre del archivo en el que reside el virus antes de que los
detectores de virus se actualicen para detectarlo.
Filtrado por extensin
Si desea filtrar cualquier archivo que tenga una extensin determinada, puede crear un filtro para la extensin agregndolo a la ficha Nombres de archivos. Las coincidencias
de filtro no distinguen maysculas de minsculas.
Por ejemplo, cree un filtro para cualquier archivo ejecutable con la extensin .exe agregando *.exe* como el nombre de archivo en la ficha Nombres de archivos. De esta
forma, se asegura de que se filtrarn todos los archivos con extensin .exe.
Importante:
Al crear filtros de archivos genricos para detener todos los archivos de un tipo determinado (por ejemplo, los archivos .exe), se recomienda escribir el filtro en este
formato: *.exe*. El segundo asterisco (*) impedir que el filtro omita los archivos que tengan caracteres adicionales despus de la extensin.
Nota:
Se recomienda evitar el uso de un filtro genrico * (donde no se define nada para filtrar) con Tipos de archivo establecido en Seleccionar todo. Esta configuracin del filtro
puede tener como resultado que se informe de detecciones repetidas.
Para crear y configurar un filtro de archivos
2. En el panel de detalles, haga clic en la ficha Filtrado de virus y contenido y, a continuacin, haga clic en Filtrado de archivos.
3. En la ficha General de las propiedades Filtrado de archivos, compruebe que Estado est establecido en Habilitado.
4. En la ficha Filtros de archivos, haga clic en Add.
5. En la ficha General de las propiedades Filtro de archivos, compruebe que la casilla Habilitar este filtro est activada. Esta opcin est habilitada de forma
predeterminada.
6. En Nombre del filtro, escriba un nombre para este filtro.
7. Seleccione la Accin que se realizar si se produce una coincidencia de filtro:
Omitir: registra el nmero de mensajes que cumplen los criterios del filtro, pero permite que los mensajes se enruten normalmente.
Identificar: etiqueta la lnea de asunto o el encabezado de asunto del mensaje detectado con una palabra o frase personalizable, de forma que pueda
identificarse posteriormente para su procesamiento en carpetas por bandejas de entrada de usuarios.
Eliminar: elimina los datos adjuntos de archivo. El archivo adjunto detectado se quita del mensaje.
Purgar: elimina el mensaje del sistema de correo.
8. Seleccione si desea aplicar este filtro a los mensajes de entrada, mensajes de salida o a ambos.
9. En la ficha Tipos de archivo, haga clic en los tipos de archivo que pueden estar asociados al nombre de archivo seleccionado. Puede seleccionar uno o varios
tipos de archivo en la lista. Si el tipo de archivo que desea asociar al nombre de archivo seleccionado no est disponible en la lista, haga clic en Seleccionar todo.
10. En la ficha Nombres de archivos, haga clic en Agregar y escriba el nombre o la extensin del archivo que se va a detectar.
Crear un filtro de cuerpo de mensaje

Use el siguiente procedimiento para crear un filtro de cuerpo de mensaje.
Para crear y configurar un filtro de cuerpo de mensaje
2. En el panel de detalles, haga clic en la ficha Filtrado de virus y contenido y, a continuacin, en Filtrado de cuerpo del mensaje.
3. En la ficha General de las propiedades de Filtrado de cuerpo del mensaje, compruebe que Estado est establecido en Habilitado.
4. En la ficha Filtros de cuerpo de mensaje, haga clic en Agregar.

230
5. En la ficha General de las propiedades de Filtro de cuerpo del mensaje, compruebe que la casilla Habilitar este filtro est activada. Esta opcin est habilitada de
forma predeterminada.
6. En Nombre del filtro, escriba un nombre para este filtro.
7. Seleccione la Accin que se realizar si se produce una coincidencia de filtro:
Omitir: registra el nmero de mensajes que cumplen los criterios del filtro pero permite que los mensajes se enruten con normalidad.
Identificar: etiqueta la lnea de asunto o el encabezado de asunto del mensaje detectado con una palabra o frase personalizable, de forma que pueda
identificarse posteriormente para su procesamiento en carpetas por bandejas de entrada de usuarios.
Eliminar: elimina los datos adjuntos de archivo. El archivo adjunto detectado se quita del mensaje.
Purgar: elimina el mensaje del sistema de correo.
8. Seleccione si desea aplicar este filtro a los mensajes de entrada, mensajes de salida o a ambos.
9. En la ficha Palabras clave, haga clic en Agregar y escriba las palabras clave que desea filtrar. Para obtener informacin sobre la sintaxis y las expresiones que
puede usar con filtros de cuerpo del mensaje, vea Acerca de las reglas de sintaxis de las listas de palabras clave a continuacin.
Acerca de las reglas de sintaxis de las listas de palabras clave
A continuacin, se muestran las reglas de sintaxis de las listas de palabras clave:
Cada elemento (lnea de texto) se considera una consulta de bsqueda.
Las consultas usan el operador OR. Una deteccin se considera positiva si cualquiera de las entradas coincide.
Las consultas pueden contener operadores para separar los tokens de texto. Estas consultas se llaman expresiones. Se admiten los siguientes operadores lgicos.
Debe haber un espacio entre un operador y una palabra clave, representado en los ejemplos por el carcter :
_AND_ (Y lgico). Por ejemplo: manzana_AND_zumo de naranja
_NOT_ (Negacin). Por ejemplo: manzana_AND__NOT_zumo
_ANDNOT_ (Igual que _AND__NOT_). Por ejemplo: manzana_ANDNOT_zumo
_WITHIN[#]OF_ (Proximidad). Si los dos trminos se encuentran a una distancia de un nmero de palabras especificado uno de otro, se produce una
coincidencia. Por ejemplo: oferta_WITHIN[10]OF_gratis. Si "oferta" est como mximo a 10 palabras de distancia de "gratis", la consulta ser
verdadera.
_HAS[#]OF_ (Frecuencia). Especifica el nmero mnimo de veces que debe aparecer el texto para que la consulta se considere verdadera. Por ejemplo:
_HAS[4]OF_hgase rico rpidamente. Si la frase "hgase rico rpidamente" aparece en el texto cuatro veces o ms, la consulta se considerar verdadera.
Este operador se asume de forma implcita y tiene un valor predeterminado de 1 cuando no se especifica.
Se permiten varios operadores _AND_, _NOT_, _HAS[#]OF_ y _WITHIN[#]OF_ en una sola consulta. La prioridad de los operadores es la siguiente (de
mayor a menor):
1) _WITHIN[#]OF_
2) _HAS[#]OF_
3) _NOT_
4) _AND_
Esta prioridad no se puede invalidar con parntesis.
Los operadores lgicos deben escribirse en maysculas.
Tambin pueden usarse frases como palabras clave, por ejemplo manzanas maduras o hgase rico rpidamente.
El uso de varios espacios en blanco (caracteres en blanco, caracteres de salto de lnea, caracteres de retorno de carro, tabulaciones horizontales y tabulaciones
verticales) se tratar como un solo espacio en blanco a efectos de coincidencia. Por ejemplo, AB se tratar como AB y coincidir con la frase AB.
En los textos de mensajes codificados en HTML, la puntuacin (cualquier carcter que no sea alfanumrico) se trata como un separador de palabras, similar a los
espacios en blanco. Por consiguiente, el filtro puede identificar correctamente las palabras delimitadas por etiquetas HTML. Sin embargo, tenga en cuenta que el
filtro <html> coincidir con <html>, pero no con html.
Nota:
Debe dejar un espacio entre los operadores y las palabras clave. Los operadores lgicos se deben escribir en letras maysculas como se muestra para que
funcionen correctamente.
Ejemplos (el carcter representa un espacio):
zumo_WITHIN[50]OF_manzana_AND_naranja_AND_limn
proyecto_WITHIN[10]OF_confidencial_AND_batido_WITHIN[25]OF_pltano
_HAS[2]OF_hgase rico_WITHIN[20]OF_rpidamente
Filtrar mensajes de correo electrnico que cargan imgenes HTML automticamente
Para filtrar mensajes de correo electrnico que cargan imgenes HTML automticamente desde un servidor web, agregue los elementos siguientes a una lista de filtros de
palabras clave:
img _WITHIN[6]OF_ src="http"
img _WITHIN[6]OF_ src='http'
Estos filtros identificarn instancias del texto "img" que se encuentran a seis palabras como mximo del texto siguiente: src="http"
Si no se filtran los mensajes de correo electrnico que contienen imgenes HTML despus de agregar estos filtros a la lista de palabras clave, puede examinar el cdigo
fuente de los mensajes de correo electrnico para ver la manera en la que estos mensajes de correo electrnico identifican imgenes. A continuacin, puede crear filtros
personalizados adicionales.
Suscribir el servidor de transporte perimetral a la organizacin de Exchange

231
Si est usando una organizacin de mensajera de Microsoft Exchange, puede suscribir el servidor de transporte perimetral instalado en Forefront TMG en la organizacin de
Microsoft Exchange Server. Una suscripcin perimetral crea una conexin segura a partir de los servidores de transporte de concentradores (en los que la configuracin e
informacin de directorio est almacenada en la organizacin de Exchange) al rol del servidor de transporte perimetral.
Rol de servidor de transporte perimetral
Ventajas de una suscripcin perimetral
Acerca del servicio de Microsoft Exchange EdgeSync
Acerca de los datos de replicacin
Configurar una suscripcin perimetral
Rol de servidor de transporte perimetral

Diseado para minimizar la superficie del ataque, el servidor de transporte perimetral administra todo el flujo del correo orientado a Internet y proporciona rel del Protocolo
simple de transferencia de correo (SMTP) y los servicios de host inteligentes para la organizacin de Exchange. Se proporcionan capas adicionales de seguridad y proteccin
de mensajes mediante una serie de agentes que se ejecutan en el servidor de transporte perimetral y actan en los mensajes a medida que se procesan por los componentes de
transporte de mensajes. Estos agentes admiten las caractersticas que proporcionan proteccin frente a virus y correo no deseado, y aplican reglas de transporte para controlar
el flujo de mensajes.
Ventajas de una suscripcin perimetral

La creacin de una suscripcin perimetral establece la replicacin segura y automtica de directorio y otra informacin de la organizacin de Exchange a los servidores de
transporte perimetral. El enrutamiento y la configuracin de dominio aceptada que se controlaba directamente en el servidor de transporte perimetral se configura ahora en el
servidor de transporte de concentradores.
Aunque la creacin de una suscripcin perimetral es opcional, la suscripcin de un servidor de transporte perimetral a la organizacin de Exchange mejora las caractersticas
disponibles contra correo electrnico no deseado. Debe crear una suscripcin perimetral si pretende usar las caractersticas contra correo electrnico no deseado, la bsqueda
de destinatarios o la agregacin de listas de seguridad, o si piensa ayudar a las comunicaciones de SMTP seguras con dominios de asociado, usando la seguridad de la capa
de transporte (TLS) mutua.
Para obtener ms informacin sobre suscripciones perimetrales, vea lo siguiente:
Exchange 2007 Exchange 2010
Descripcin de las suscripciones perimetrales
1
2

Acerca del servicio de Microsoft Exchange EdgeSync

El servicio de Microsoft Exchange EdgeSync que se ejecuta en el servidor de transporte de concentradores lleva a cabo la sincronizacin unidireccional peridica para
transferir estos datos a los servidores de transporte perimetral y mantenerlos actualizados. El servicio de Microsoft Exchange EdgeSync slo copia la informacin necesaria
para que los servidores de transporte perimetral lleven a cabo tareas de configuracin contra correo no deseado e informacin de configuracin que habilita el flujo de correo
entre los servidores de transporte de concentradores de la organizacin de Exchange e Internet, a travs de los servidores de transporte perimetral. Este proceso reduce la
administracin que debe realizar en la red perimetral, permitindole realizar la configuracin necesaria en el rol de servidor de transporte de concentradores y escribir dicha
informacin en los servidores de transporte perimetral.
Para obtener ms informacin acerca de EdgeSync, vea lo siguiente:
Descripcin del proceso de sincronizacin de EdgeSync
3
Descripcin del proceso de sincronizacin de EdgeSync
4

Acerca de los datos de replicacin

Los datos que se envan a AD LDS desde Active Directory se mandan a travs de un canal cifrado con una conexin de Protocolo ligero de acceso seguro a
directorios(LDAP seguro). Adems, a las listas de remitentes seguros y a la informacin de destinatarios se aplica un algoritmo hash para proteger la privacidad de los datos.
El servicio de Microsoft Exchange EdgeSync replica los siguientes tipos de datos desde Active Directory a AD LDS:
Informacin de suscripcin perimetral.
Informacin de configuracin.
Informacin de destinatario.
Informacin de topologa.
Para obtener una descripcin completa de estos tipos de datos y de cmo se usan por el servidor de transporte perimetral, vea lo siguiente:
Exchange Server 2007 Exchange Server 2010
Datos de replicacin de EdgeSync
5
Datos de replicacin de EdgeSync
6

Configurar una suscripcin perimetral

En los siguientes procedimientos se proporcionan instrucciones sobre cmo suscribir el servidor de transporte perimetral en Forefront TMG:
1. Preparacin para ejecutar el servicio Microsoft Exchange EdgeSync
7

2. Habilitar la conectividad para el trfico de EdgeSync
8

3. Exportar los archivos de suscripcin perimetral
9

4. Crear una caracterstica perimetral
10

Nota:
Al exportar los archivos de suscripcin perimetral, dispone de 24 horas para completar el proceso de suscripcin perimetral dentro de la organizacin. De lo
contrario, tendr que exportar los archivos de nuevo.
5. Compruebe que la sincronizacin finaliza correctamente inspeccionando los eventos de MsExchange EdgeSync en el registro de aplicaciones del Visor de
eventos.

232
Importante:
Los archivos de suscripcin perimetral se escriben en texto no cifrado. Debe proteger estos archivos a lo largo del proceso de suscripcin. Una vez importado el
archivo de suscripcin perimetral a un servidor de transporte de concentradores, debera eliminar el archivo de suscripcin perimetral inmediatamente del
servidor de Forefront TMG, el servidor de transporte de concentradores y cualquier medio extrable.
Pasos siguientes

Preparacin para ejecutar el servicio Microsoft Exchange EdgeSync
7

Preparacin para ejecutar el servicio Microsoft Exchange EdgeSync
En este tema se proporciona informacin acerca de la configuracin que debe realizar en el rol del servidor de transporte de concentradores antes de suscribir el servidor de
transporte perimetral a la organizacin de Microsoft Exchange Server. Despus de que el servidor de transporte perimetral se haya suscrito a la organizacin de Exchange, el
servicio EdgeSync de Microsoft Exchange replica peridicamente los datos de destinatarios y de configuracin, del servicio de directorio Active Directory a la instancia de
Active Directory Lightweight Directory Services, en un equipo en el que est instalado el rol de servidor de transporte perimetral. El servicio EdgeSync de Microsoft
Exchange que se ejecuta en los servidores de transporte de concentradores en el sitio de Active Directory al que est suscrito el servidor de transporte perimetral realizar
una replicacin unidireccional inicial y sincronizaciones peridicas de los datos nuevos, eliminados y modificados.
Nota:
Despus de que el servidor de transporte perimetral se haya suscrito a la organizacin de Exchange, las tareas que se usan para configurar los objetos que el servicio
EdgeSync de Microsoft Exchange replica en el servidor de transporte perimetral estn deshabilitadas en el servidor de transporte perimetral.
Preparar la ejecucin del servicio EdgeSync
1. Compruebe que la resolucin de nombres de host del sistema de nombres de dominio (DNS) se realiza correctamente desde el servidor de transporte perimetral a
los servidores de transporte perimetral y desde los servidores de transporte de concentradores al servidor de transporte perimetral. Para obtener ms informacin,
consulte:
Configurar las opciones de DNS para servidores Exchange 2007
1
Configurar las opciones de DNS para servidores Exchange 2010
2

2. Obtenga la licencia del servidor de transporte perimetral. La informacin de licencia del servidor de transporte perimetral se captura cuando se crea la suscripcin
perimetral y se muestra en la consola de administracin de Exchange para la organizacin de Exchange. Para los servidores de transporte perimetral suscritos
aparezcan con licencia, deben estar suscritos a la organizacin de Exchange despus de que la clave de licencia se aplique en el servidor de transporte perimetral.
Si se aplica la clave de licencia en el servidor de transporte perimetral despus de realizar el proceso de suscripcin perimetral, la informacin de licencia no se
actualiza en la organizacin de Exchange y debe volver a suscribir el servidor de transporte perimetral.
3. En el servidor de transporte de concentradores, configure las opciones para la propagacin a los servidores de transporte perimetral:
Nota:
Para configurar las opciones en el rol de servidor de transporte de concentradores que se propagan al rol de servidor de transporte perimetral, la cuenta que use
debe tener delegado el rol de administrador de la organizacin de Exchange.
4. Puede configurar las siguientes opciones para la propagacin al rol de servidor de transporte perimetral:
Servidores SMTP internos: configure la lista de direcciones IP de servidor SMTP interno o de intervalos de direcciones IP que debe omitir el
identificador de remitente y el filtrado de conexin.
Dominios aceptados: configure todos los dominios autoritativos, los dominios de retransmisin internos y los dominios de retransmisin externos.
Dominios remotos: configure las opciones de los dominios remotos.
Pasos siguientes

Habilitar la conectividad para el trfico de EdgeSync
3

Habilitar la conectividad para el trfico de EdgeSync
En este tema se explica cmo configurar Forefront TMG para permitir que el trfico de Exchange EdgeSync replique la informacin de directorio en el rol de servidor de
transporte perimetral que se ejecuta en Forefront TMG. Cuando el servidor de transporte perimetral est suscrito a la organizacin de Exchange, el servicio EdgeSync usa el
puerto 50636/TCP de LDAP seguro para sincronizar la informacin de directorio que usa la organizacin de Exchange con el servidor Transporte de Edge. En Forefront
TMG, puede permitir fcilmente este trfico si habilita las reglas de directiva del sistema predefinidas.
Requisitos previos

Para habilitar el servicio Exchange EdgeSync, debe tener un servidor de transporte de concentradores que ejecute Microsoft Exchange 2007 SP2 o Microsoft Exchange
2010.
Para habilitar la conectividad para el trfico de EdgeSync

233
2. En el panel de detalles, haga clic en la ficha Directiva de correo electrnico.
3. En la ficha Tareas, haga clic en Habilitar la conectividad para el trfico de EdgeSync.
4. Si es la primera vez que habilita la conectividad para el trfico de EdgeSync, aparece un cuadro de dilogo en el que se pregunta si desea habilitar las reglas de
directiva del sistema. Haga clic en S.
Pasos siguientes

Exportar los archivos de suscripcin perimetral
1

En este tema se explica cmo exportar los archivos de suscripcin perimetral desde un servidor de Forefront TMG. Cuando se generan a travs de la consola de
administracin de Forefront TMG, los archivos de suscripcin perimetral contienen informacin acerca de todos los servidores de transporte perimetral instalados en la
matriz de Forefront TMG. Cuando los archivos se importan en el servidor de transporte de concentradores adecuado, todos los servidores de Forefront TMG de la matriz se
suscriben a la suscripcin perimetral.
Despus de llevar a cabo este procedimiento, debe importar el archivo de suscripcin perimetral en el equipo que tiene el rol del transporte de concentradores instalado en un
plazo de 24 horas.
Antes de comenzar

Para llevar a cabo el siguiente procedimiento, debe iniciar sesin con una cuenta que sea miembro del grupo Administradores local en dicho equipo.
de seguridad Nota:
Los archivos de suscripcin perimetral se escriben en texto no cifrado. Debe proteger estos archivos a lo largo del proceso de suscripcin. Una vez se han importado los
archivos de suscripcin perimetral a un servidor de transporte de concentradores, debera eliminarlos inmediatamente del servidor de transporte perimetral, el servidor de
transporte de concentradores y cualquier medio extrable.
Para crear un archivo de suscripcin perimetral

2. En el panel de detalles, haga clic en la ficha Directiva de correo electrnico.
3. En la ficha Tareas, haga clic en Generar archivos de suscripcin perimetral.
4. En la ventana Buscar carpeta, vaya a la ubicacin donde desea almacenar los archivos de suscripcin perimetral, y haga clic en Aceptar.
Pasos siguientes

Crear una caracterstica perimetral
1

Crear una caracterstica perimetral
En este tema se describe cmo utilizar la Consola de administracin de Exchange para crear una nueva suscripcin perimetral para todos los miembros de su matriz de
Forefront TMG. Despus de realizar este procedimiento, los servidores de transporte perimetral que estn instalados en cada uno de sus miembros de matriz de Forefront
TMG estn asociados a los servidores de transporte de concentrados en un sitio de Active Directory. Para obtener ms informacin acerca de las suscripciones perimetrales,
vea lo siguiente:
1
2

Requisitos previos

Debe tener al menos un servidor de transporte de concentradores instalado en el sitio de Active Directory al que desea suscribirse.
Compruebe que ha configurado las opciones en el servidor de transporte perimetral que se replican en el servidor de transporte perimetral. Para obtener ms
informacin, vea Preparacin para ejecutar el servicio Microsoft Exchange EdgeSync
3
.
Consulte los siguientes temas:
4

Suscribir el servidor de transporte perimetral a la organizacin de Exchange
5

Para crear los archivos de suscripcin perimetral, haga clic en Generar archivos de suscripcin perimetral en el panel Tareas del nodo Directiva de correo
electrnico. Si tiene varios miembros de matriz de Forefront TMG, se crear un archivo de suscripcin perimetral por cada uno.
Copie los archivos de suscripcin perimetral desde el servidor de transporte perimetral al servidor de transporte de concentradores en el que realizar este
procedimiento.
Nota:
Los archivos de suscripcin perimetral se escriben en texto no cifrado. Debe proteger estos archivos a lo largo del proceso de suscripcin. Una vez se han importado los
archivos de suscripcin perimetral a un servidor de transporte de concentradores, debe eliminarlos inmediatamente del servidor de Forefront TMG, el servidor de
transporte de concentradores y cualquier medio extrable.
Utilizar la Consola de administracin de Exchange para importar el archivo de suscripcin perimetral

234

Para importar el archivo de suscripcin perimetral
1. En el equipo que ejecuta el rol de servidor de transporte de concentradores adecuado, abra la Consola de administracin de Exchange. Expanda Configuracin de
la organizacin, seleccione Transporte de concentradores y, a continuacin, en el panel de resultados, haga clic en la ficha Suscripciones perimetrales.
Nota:
Para realizar este procedimiento, debe tener asignado, tanto directamente como a travs de un grupo de seguridad universal, el rol de administracin de la
organizacin.
2. En el panel de accin, haga clic en Suscripcin perimetral nueva. En la pgina Suscripcin perimetral nueva, complete los siguientes campos:
Sitio de Active Directory: haga clic en Examinar y, a continuacin, seleccione un sitio de Active Directory en la lista desplegable. Este campo identifica
el sitio de Active Directory en el que el servidor de transporte de concentradores se conecta con el servidor de transporte perimetral para el que existe la
suscripcin perimetral.
Archivo de suscripcin: haga clic en Examinar y, a continuacin, seleccione un archivo de suscripcin perimetral.
Crear automticamente un conector de envo para esta suscripcin perimetral: active esta casilla para crear automticamente un conector de envo que
enrute los mensajes desde la organizacin de Exchange a Internet. La suscripcin perimetral se configurar como el servidor de origen para el conector
de envo. El conector de envo se configurar para enrutar los mensajes a todos los dominios mediante los registros de recurso MX del sistema de
nombres de dominio (DNS).
d. Hacer clic en Nuevo.
3. En la pgina Finalizacin, haga clic en Finalizar. Un estado de Completado indica que el asistente complet la tarea correctamente. Un estado de Error indica que
la tarea no se complet. Si se produce un error en la tarea, revise el resumen para obtener una explicacin y, a continuacin, haga clic en Atrs para realizar
modificaciones adicionales.
4. Repita los pasos del uno al tres por cada archivo de suscripcin perimetral.
Comprobar la sincronizacin

Despus de realizar este procedimiento, compruebe que la sincronizacin se ha completado correctamente; para ello, inspeccione los eventos EdgeSync de MsExchange en
el registro de aplicaciones en el Visor de eventos.
Si es necesario, puede iniciar la sincronizacin manualmente. Abra el shell de administracin de Exchange en el men Programas y ejecute el cmdlet Start-
EdgeSynchronization para iniciar inmediatamente la sincronizacin de datos de configuracin desde el servicio de directorio Active Directory con los miembros de matriz
de Forefront TMG.
Volver a crear la suscripcin perimetral

Deber volver a crear la suscripcin perimetral en los siguientes escenarios:
Instalacin de un nuevo servidor de transporte de concentradores: cuando un servidor de transporte perimetral est suscrito a un sitio de Active Directory, todos los
servidores de transporte de concentradores que estn instalados actualmente en dicho sitio de Active Directory pueden participar en el proceso de EdgeSync. Si se
quita uno de esos servidores, el servicio EdgeSync de Microsoft Exchange que se ejecuta en los servidores de transporte de concentradores restantes contina el
proceso de sincronizacin. No obstante, si los servidores de transporte de concentradores estn instalados en el sitio de Active Directory, no pueden participar en el
proceso de EdgeSync.
Unin de un servidor de Forefront TMG a la matriz: si agrega un servidor a la matriz, debe volver a suscribir el servidor de transporte perimetral.
Aplicacin de una licencia al servidor de transporte perimetral: si se aplica la clave de licencia en el servidor de transporte perimetral despus de realizar el proceso
de suscripcin perimetral, la informacin de licencia no se actualiza en la organizacin de Exchange y debe volver a suscribir el servidor de transporte perimetral.
Para volver a crear la suscripcin perimetral, genere los archivos de suscripcin perimetral de nuevo, exprtelos al servidor de transporte de concentradores y vuelva a
importarlos.
Administrar actualizaciones de definicin para Forefront TMG
En esta seccin se proporciona informacin acerca de cmo actualizar los distintos mecanismos de proteccin disponibles en Forefront
TMG. El nodo Centro de actualizacin en la consola de administracin de Forefront TMG proporciona al administrador administracin y
supervisin centralizadas de las actualizaciones de definiciones para los mecanismos de proteccin en Forefront TMG. Forefront TMG se
puede configurar para buscar las actualizaciones de estas definiciones e instalarlas automticamente.
Elegir un mtodo de actualizacin
Las definiciones actualizadas para los mecanismos de proteccin estn disponibles a travs de Microsoft Update y Windows Server
Update Services (WSUS). Puede configurar Forefront TMG para que se conecte directamente a Microsoft Update o recibir las
actualizaciones de definiciones a travs de WSUS. El servidor WSUS proporciona una fuente de actualizacin centralizada para los
equipos de su empresa. Para obtener ms informacin, vea Informacin general sobre Windows Server Update Services 3.0
1

Los siguientes temas pueden ayudarle a configurar Forefront TMG para buscar y descargar actualizaciones de definiciones:

235
Configurar la conectividad para actualizar los sitios
2
: describe cmo suscribirse a Microsoft Update, activar las licencias de las
tecnologas de proteccin y configurar la conectividad a los sitios de actualizaciones pertinentes.
Configuracin de las actualizaciones de definicin
3
: describir cmo configurar las actualizaciones automticas.

Configurar la conectividad para actualizar los sitios
En este tema se describe cmo configurar Forefront TMG para buscar y descargar actualizaciones de definicin para mecanismos de
proteccin.
Para recibir actualizaciones de definicin, complete los siguientes procedimientos:
1. Habilitar Microsoft Update y activar licencias
2. Configurar la conectividad a los sitios de actualizacin relevantes
Si experimenta problemas al conectarse a Microsoft Update, vea Conectividad de solucin de problemas para actualizar sitios.
Para habilitar Microsoft Update y activar licencias
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Nombre del servidor.
2. En la ficha Tareas, haga clic en el asistente para Iniciar Introduccin y, a continuacin, haga clic en Definir las opciones
de implementacin.
3. En la pgina Configuracin de Microsoft Update, haga clic en Usar el servicio Microsoft Update para buscar
actualizaciones (recomendado).
Nota:
Para activar las licencias de mecanismo de proteccin, debe optar por usar Microsoft Update. Esto es as aunque pretenda usar
WSUS.
Nota:
Si el servidor de Forefront TMG se configura para recibir actualizaciones de WSUS, omitir la configuracin de la pgina
Configuracin de Microsoft Update.

4. En la pgina Configuracin de caractersticas de proteccin de Forefront TMG, active las licencias para las caractersticas
de proteccin que desea habilitar. Slo puede descargar e instalar definiciones actualizadas para las caractersticas que ha
habilitado.
5. Si ha activado la licencia del Sistema de inspeccin de red (NIS), en la pgina Configuracin de actualizacin de firmas de
NIS, seleccione la accin de actualizacin automtica que desee.
Configurar la conectividad a los sitios de actualizacin relevantes
Para conectarse a Microsoft Update directamente
Forefront TMG permite de forma predeterminada la entrada y salida de trfico desde los distintos sitios de actualizacin de
Microsoft. Si el servidor de Forefront TMG se implementa en el permetro y tiene un vnculo directo a Internet, la conexin a
Microsoft Update y la recuperacin de las actualizaciones de definicin no deberan suponer ningn problema. Si est
experimentando un problema, la regla de acceso de la directiva del sistema para Microsoft Update puede estar deshabilitada.
Para obtener ms informacin, vea Conectividad de solucin de problemas para actualizar sitios.
Para recibir actualizaciones de definicin en un escenario de encadenamiento
1. Si el servidor de Forefront TMG que est configurando se conecta a Internet a travs de un servidor proxy web o un firewall que
precede en la cadena, compruebe que la regla de encadenamiento para el servidor superior de la jerarqua adecuado permite el
trfico desde la red de host local a Internet.
Para conectarse a un servidor WSUS
Para conectarse a un servidor WSUS para la distribucin de actualizaciones, tiene que crear las dos reglas de acceso siguientes:
En el servidor de Forefront TMG, cree una regla que permita el acceso HTTP de la red de host local al servidor WSUS.
En el servidor WSUS, cree una regla que permita el acceso del servidor WSUS a los sitios de Microsoft Update externos.
Probar la configuracin
Para probar la configuracin, instale las actualizaciones manualmente.
Para buscar e instalar actualizaciones manualmente
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Centro de actualizacin.
2. En la ficha Tareas, haga clic en Instalar nuevas actualizaciones. Si Forefront TMG descarga correctamente e instala nuevas
definiciones, en el panel de detalles, Estado de ltima actualizacin muestra Actualizadoy ltima actualizacin muestra
la fecha y la hora del da de hoy.
Si Forefront TMG no se conecta al origen de la actualizacin, el Estado de ltima actualizacin para el mecanismo protegido
seleccionado se notifica como Error. Un mensaje de error puede indicar el origen del problema. De lo contrario, vea las
sugerencias de solucin de problemas en Conectividad de solucin de problemas para actualizar sitios.
Conectividad de solucin de problemas para actualizar sitios
Revisar alertas
Si no se puede realizar una conexin a un sitio de actualizacin, lo primero que hay que comprobar es si hay alguna alerta generada por
el sistema relacionada con la operacin de actualizacin.
Para comprobar que la directiva del sistema permite el trfico de Microsoft Update

236
2. Haga clic en la ficha Alertas y, a continuacin, busque alertas recientes que tengan que ver con la conectividad o la
configuracin del proxy.
Conexin a Microsoft Update
Si un servidor de Forefront TMG no se puede conectar a Microsoft Update, compruebe que su sistema tiene la regla de acceso de
Microsoft Update habilitada.
Para comprobar que la directiva del sistema permite el trfico de Microsoft Update
1. En el rbol de la consola de administracin de Forefront TMG, haga clic con el botn secundario en el nodo Directiva de
firewall y, a continuacin, haga clic en Editar directiva del sistema.
2. En el grupo de configuracin Varios, seleccione Sitios de Microsoft Update.
3. En la ficha General, compruebe que Habilitar este grupo de configuracin est seleccionado.
Otros problemas
Al iniciar manualmente una bsqueda de nuevas definiciones se genera un mensaje de error si no es posible ponerse en contacto con el
origen de la actualizacin en las siguientes condiciones:
La licencia para el mecanismo de proteccin pertinente ha expirado.
No ha optado por Microsoft Update.
El servicio Programador no se est ejecutando.

En implementaciones con varios servidores de Forefront TMG, es posible que el servicio Programador, el servicio del Firewall o ambos
servicios no se estn ejecutando en todos los servidores. Compruebe que estos servicios se estn ejecutando haciendo lo siguiente.
Para comprobar que el servicio Programador y el servicio del Firewall se estn ejecutando en todos los servidores
En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Supervisin y, a continuacin, en la ficha
Servicios. Asegrese de que el servicio pertinente se est ejecutando en todos los servidores de Forefront TMG.
Configuracin de las actualizaciones de definicin
En este tema se describe cmo cambiar la configuracin que controla si Forefront TMG busca actualizaciones de definiciones y la
frecuencia con que lo hace Forefront TMG.
Para cambiar la configuracin de automatizacin de actualizaciones para protecciones individuales
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Centro de actualizacin.
2. En el panel Tareas, haga clic en Configurar opciones y, a continuacin, revise la configuracin de cada mecanismo de
proteccin en la ficha Actualizaciones de definiciones.
3. Haga clic en el mecanismo de proteccin que desea modificar y, a continuacin, en Configurar seleccin.
4. En la ventana Actualizar configuracin, cambie la accin de actualizacin automtica o la configuracin de frecuencia de
sondeo automtico segn desee y, a continuacin, haga clic en Aceptar.
Administrar Forefront TMG
En esta gua se proporciona informacin acerca de cmo administrar Forefront TMG. En los temas siguientes se explica cmo administrar
las operaciones diarias de Forefront TMG:
Supervisar Forefront TMG
Administrar el filtrado de direcciones URL
Realizar copias de seguridad y restaurar la configuracin de Forefront TMG
Forefront TMG Troubleshooting

Supervisar Forefront TMG
En los temas siguientes se proporciona informacin que puede ayudarle a supervisar Forefront TMG:
Supervisar la actividad del escritorio digital
Configuracin de alertas
Configurar los registros de Forefront TMG
Configurar los informes de Forefront TMG

Supervisar la actividad del escritorio digital
La supervisin de Forefront TMG permite realizar las siguientes acciones:
Supervisar la conexin con los servidores de red. Puede crear comprobadores de conectividad para comprobar la disponibilidad
de servidores de red especficos. Para obtener instrucciones, vea Supervisin de conectividad de servidor.
Realizar el seguimiento de la actividad mediante la supervisin de las sesiones actuales de clientes de Forefront TMG, clientes
proxy web y clientes SecureNAT. Para obtener instrucciones, vea Supervisar las sesiones de los clientes.
Comprobar el estado actual del sistema mediante la supervisin de las alertas que se han emitido, as como el estado de los
servicios. Para obtener ms informacin, vea Supervisar alertas.

237
Supervisar el estado del trfico mediante contadores de rendimiento. Para obtener ms informacin, vea Supervisar el
rendimiento.
Comprobar el estado de la configuracin de Forefront TMG en cada miembro de la matriz.

Supervisin de conectividad de servidor
Puede comprobar la conectividad con servidores de red concretos mediante un comprobador de conectividad de Forefront TMG.
Los comprobadores de conectividad de las granjas de servidores no se crean utilizando el Asistente para nuevo comprobador de
conectividad. Al crear un granjas de servidores, deber especificar el mtodo de conexin que desee utilizar para comprobar el estado de
conectividad de los servidores de la granja. Tras crear una granja de servidores, se crear automticamente para esa granja un
comprobador de conectividad que aparecer en la ficha Comprobadores de conectividad. Puede editar el mtodo de conexin en las
propiedades de la granja de servidores o desde la ficha Comprobadores de conectividad. No puede crear ni eliminar un comprobador
de conectividad de una granja de servidores directamente desde la ficha Comprobadores de conectividad.
Crear un comprobador de conectividad
Configurar comprobadores de conectividad
Deshabilitar y eliminar un comprobador de conectividad
Analizar respuestas HTTP GET

Crear un comprobador de conectividad
Los comprobadores de conectividad se crean con el Asistente para nuevo comprobador de conectividad.
Nota:
Si desea recurrir a la solicitud HTTP, deber crear una regla que permita HTTP o HTTPS desde la red host local al destino
especificado. En la ltima pgina del asistente, podr seleccionar si desea que se habilite automticamente la regla de directiva del
sistema predeterminada: "Permitir solicitudes HTTP/HTTPS de Forefront TMG a servidores seleccionados para los comprobadores de
conectividad".
Para crear un comprobador de conectividad
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Supervisin. A continuacin, haga clic en la
ficha Comprobadores de conectividad.
2. Finalizacin del Asistente para nuevo comprobador de conectividad En la pgina Detalles de comprobacin de conectividad,
especifique el servidor o la direccin URL con los que desee conectar y el mtodo de conexin. Puede usar los siguientes
mtodos:
PING: Forefront TMG enva una solicitud PING (ECHO_REQUEST de ICMP) al servidor especificado y espera una
respuesta ECHO_REPLY de ICMP. Utilice este mtodo para comprobar si un servidor concreto est disponible.
Conexin TCP: Forefront TMG intenta establecer una conexin TCP con un puerto concreto del servidor especificado.
Utilice este mtodo para comprobar si un servicio especfico est disponible en el servidor de destino.
Solicitud HTTP: Forefront TMG enva una solicitud HTTP GET y espera una respuesta. Utilice este mtodo para
comprobar si un servidor web est disponible.
Configurar comprobadores de conectividad
Adems de las propiedades de comprobadores de conectividad que especifique en el Asistente para nuevo comprobador de conectividad,
podr configurar un tiempo de espera y alerta segn se describe en el siguiente procedimiento.
Para configurar comprobadores de conectividad
2. En la ficha Comprobadores de conectividad, haga clic en el comprobador de conectividad que desee modificar y seleccione
Editar comprobador seleccionado en la ficha Tareas.
3. En la ficha General, modifique el nombre del comprobador de conectividad si ello es necesario.
4. En la ficha Propiedades, haga lo siguiente:
En Supervisar la conexin a este servidor, modifique el nombre del servidor de destino.
En Seleccionar el mtodo usado para comprobar la conexin, modifique el mtodo de conexin.
En Tiempo de espera, especifique cunto tiempo debe esperar Forefront TMG antes de notificar que el servidor no
est disponible.
Para especificar que una alerta se desencadene al superar el tiempo de espera, haga clic en Desencadenar una
alerta si la respuesta del servidor no se recibe dentro del tiempo de espera especificado.
Deshabilitar y eliminar un comprobador de conectividad
Para deshabilitar y eliminar un comprobador de conectividad
2. En la ficha Comprobadores de conectividad, seleccione Deshabilitar comprobadores seleccionados para deshabilitar el
comprobador.
3. Seleccione Eliminar comprobadores seleccionados para eliminar permanentemente un comprobador.
Analizar respuestas HTTP GET
Al configurar un mtodo de comprobador de conectividad para enviar una solicitud HTTP GET, se espera que el servidor supervisado
devuelva una respuesta HTTP. En funcin de la respuesta, Forefront TMG marca el estado del comprobador de conectividad, de la forma
detallada en la siguiente tabla.
Respuesta HTTP desde el servidor
supervisado Estado del comprobador de conectividad

238
1xx, 2xx o 3xx Correcto. Se trata del tiempo de respuesta en milisegundos.
401 (Autenticacin de servidor web
requerida)
Correcto. No se considera un error, ya que el servidor web devolvi el mensaje.
407 (Autenticacin de proxy
requerida)
Error (Microsoft Windows Server 2003). Se considera un error porque no se puede
determinar la conectividad con el servidor web real.
407 (Autenticacin de proxy
requerida)
Autenticacin requerida (Windows 2000 Server).
4xx (excepto 401 y 407) o 5xx Error.
Tiempo de espera agotado para esta
solicitud.
Tiempo de espera.
No se pudo resolver el nombre del
servidor
Nombre sin resolver.
Forefront TMG est inactivo No se puede comprobar. El servicio Firewall de Microsoft no est disponible.

Supervisar alertas
Puede supervisar las alertas desencadenadas en la ficha Alertas. En este tema se explica cmo analizar las alertas que aparecen en la
ficha. Para obtener informacin acerca de la configuracin de las alertas, vea Configurar definiciones de alertas.
Nota:
Cuando se reinicia el servicio Control del Forefront TMG de Microsoft o el equipo Forefront TMG, se restablecen todas las alertas
automticamente.
Ver alertas
Para ver las alertas
ficha Alertas.
2. En el panel de detalles, haga clic para ampliar un grupo de alertas y, a continuacin, seleccione la alerta desencadenada. Se
muestra la informacin siguiente para cada alerta:
Nombre de alerta: el nombre de la definicin de alerta.
Ms reciente: la fecha y la hora en que se emiti la alerta.
Estado: el estado de la alerta muestra si se ha confirmado o no. Los eventos no confirmados tienen el estado "Nuevo".
Categora: especifica si la alerta la emiti el servicio de firewall.
Servidor: especifica el servidor de Forefront TMG que emiti la alerta.

Administrar alertas
Para administrar las alertas
ficha Alertas.
2. Puede administrar las alertas de la manera siguiente:
De forma predeterminada, el panel de alertas se actualiza automticamente en intervalos regulares. Para cambiar la
configuracin, en la ficha Tareas, seleccione un valor en Frecuencia de actualizacin automtica.
Para forzar la actualizacin manual de las alertas que aparecen en la pgina, haga clic en Actualizar ahora en la ficha
Tareas.
Para restablecer una alerta, seleccinela en el panel de detalles y, a continuacin, haga clic en Restablecer las
alertas seleccionadas. Esta opcin quita la alerta de la ficha Alertas.
Para confirmar una alerta, seleccinela en el panel de detalles y, a continuacin, en la ficha Tareas, haga clic en
Confirmar alertas seleccionadas. Esto indica que est administrando una alerta o un grupo de alertas especfico. El
estado de estas alertas pasa a ser "Reconocido" y las alertas dejan de mostrarse en la ficha Escritorio digital.
Para editar o agregar una nueva alerta, en la ficha Tareas, haga clic en Configurar definiciones de alerta. Para
obtener instrucciones acerca de cmo definir o modificar alertas, vea Configurar definiciones de alertas.

Supervisar las sesiones de los clientes
Nota:
La informacin de las alertas tambin se puede ver en el Visor de eventos de Windows.

239
La ficha Sesiones le permite supervisar las conexiones activas de un nombre de usuario o equipo concreto. En este tema se proporciona
informacin acerca de la supervisin y el filtrado de la vista de sesiones, como se describe en los siguientes procedimientos:
Administrar una sesin
Administrar la supervisin de sesiones
Configurar filtros de sesin

Administrar una sesin
Para administrar una sesin
ficha Sesiones.
2. En el panel de detalles, seleccione una sesin (cada sesin es la combinacin exclusiva de un nombre de usuario y la direccin
IP de un cliente). Para cada sesin se muestran los siguientes datos:
Activacin: fecha y hora en que se inici la sesin.
Nombre de servidor: el nombre del servidor Forefront TMG.
Tipo de sesin: puede supervisar conexiones de los siguientes clientes Forefront TMG: clientes Forefront TMG, clientes
SecureNAT, clientes de red privada virtual (VPN), clientes de VPN de sitio a sitio y clientes de proxy web.
IP de cliente: la direccin IP de origen del cliente.
Red de origen: la red donde se origin la sesin.
Nombre de usuario del cliente: el cliente autenticado por el Forefront TMG cuando es necesaria la autenticacin.
Nombre de host de cliente: para clientes Forefront TMG.
Nombre de aplicacin: para clientes Forefront TMG. Este campo no se muestra de forma predeterminada.
3. Para desconectar una sesin, seleccione la entrada de sesin y haga clic en Desconectar una sesin de la ficha Tareas. El
desconectar una sesin no impide que los clientes creen nuevas sesiones. Para ello, deber crear reglas de acceso que
denieguen especficamente el acceso a clientes concretos.
4. Tenga en cuenta las consideraciones siguientes:
En la ficha Escritorio digital se muestra un resumen de las sesiones para cada tipo de cliente.
Las sesiones de clientes proxy web tienen una sesin de cliente SecureNAT correspondiente. Para todas las sesiones de
cliente proxy web, hay una sesin SecureNAT.
Las sesiones de clientes Forefront TMG tienen una sesin de cliente SecureNAT correspondiente. Para cada equipo con
cliente Forefront TMG instalado, hay una sesin SecureNAT adems de una sesin cliente Forefront TMG. Si en un
equipo con cliente Forefront TMG se ejecuta una aplicacin como cliente proxy web, slo se mostrar una sesin de
cliente SecureNAT.
Una conexin entre dos equipos a travs de Forefront TMG slo puede pertenecer a una sola sesin. Cuando un
servidor se publica usando publicacin de servidores, se muestra una sesin entre el servidor publicado y el equipo
Forefront TMG. Las conexiones de clientes con el servidor publicado se asocian con esta sesin y no aparecen como
sesiones aparte.
Si no se requiere autenticacin, todo el trfico procedente de la misma direccin IP se considera como una sola sesin.
Por ejemplo, un explorador web que abre ms de una conexin TCP con la misma direccin IP se considera como una
sola sesin.
Las sesiones de clientes proxy web indican la actividad ms reciente del explorador web, aunque el cliente no est
realizando ninguna exploracin en este momento.
Administrar la supervisin de sesiones
Para administrar la supervisin de sesiones
ficha Sesiones.
2. Administre la supervisin de sesiones de la siguiente manera:
Para detener la supervisin de todas las sesiones, haga clic en Detener sesiones de supervisin en la ficha Tareas.
Cuando se detienem sesiones de supervisin, el Forefront TMG pierde toda la informacin relativa a las sesiones que se
hayan supervisado.
Para reiniciar la supervisin de todas las sesiones, haga clic en Detener sesiones de supervisin en la ficha Tareas.
Al reiniciar la supervisin, Forefront TMG empieza a recopilar informacin sobre las sesiones activas.
Para pausar la supervisin de todas las sesiones, haga clic en Pausar sesiones de supervisin en la ficha Tareas.
Las sesiones mostradas no se quitan, pero tampoco se agregan las nuevas.
Para reanudar la supervisin de todas las sesiones, haga clic en Reanudar sesiones de supervisin en la ficha
Tareas.
Configurar filtros de sesin
Puede filtrar la informacin de las sesiones y luego guardar la consulta resultante para utilizarla en el futuro. Por ejemplo, si un cliente
informa de que tiene problemas al conectarse, es posible crear un filtro que muestre solamente la informacin de las sesiones de ese
cliente. Cree un filtro de la siguiente manera:
Para configurar filtros de sesin
ficha Sesiones.
2. En la ficha Tareas, haga clic en Modificar filtro.
3. En el cuadro de dilogo Modificar filtro, especifique un criterio, una condicin y un valor para el filtro. Por ejemplo, puede
filtrar por IP de cliente con la condicin Igual y luego especificar la direccin IP del cliente como valor. De esta manera podr
filtrar las sesiones segn un equipo cliente concreto.
4. Para guardar el filtro de sesin, haga clic en Guardar filtro.
5. Para cargar un filtro existente, haga clic en Cargar filtro.
6. Haga clic en Iniciar consulta para iniciar las sesiones de supervisin de sesiones que coincidan con el filtro especificado. Las
expresiones de filtro se combinan utilizando el operador lgico AND. Slo se mostrarn los datos correspondientes a las
sesiones que coincidan con todas las expresiones.
Servicios de supervisin

240
Puede supervisar los servicios de Forefront TMG en la ficha Servicios. En esta ficha se muestra el estado del servicio, si se est
ejecutando y el tiempo de actividad. Vea Services para obtener una lista de los servicios de Forefront TMG.
Administrar servicios
Para administrar un servicio
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Supervisin y, a continuacin, en la ficha
Servicios.
2. Para actualizar la vista de servicios, en la ficha Tareas, haga clic en Actualizar ahora.
3. Para detener un servicio especfico, seleccione el servicio en el panel de detalles y haga clic en Detener el servicio
seleccionado en la ficha Tareas.
4. Para reiniciar un servicio especfico, seleccione el servicio en el panel de detalles y haga clic en Iniciar el servicio
seleccionado en la ficha Tareas.
Nota:
En la ficha Servicios no se muestran todos los servicios de Forefront TMG. Los dems servicios se pueden ver y administrar en
Administracin de equipos de Windows.

Supervisar el rendimiento
Tiene a su disposicin varias herramientas de supervisin que le ayudarn a preservar y administrar el estado de Forefront TMG. En los
temas siguientes se proporciona informacin acerca de las caractersticas de supervisin que le ayudan a administrar y realizar un
seguimiento de los problemas de rendimiento.
Supervisar contadores de rendimiento
Supervisar la compresin HTTP

Supervisar contadores de rendimiento
La ficha Escritorio digital ofrece una vista rpida de los contadores de rendimiento de Forefront TMG. Durante la instalacin de Forefront
TMG, se instala el Monitor de rendimiento, que ofrece una vista personalizada del Monitor de rendimiento de Windows donde slo figuran
los contadores de Forefront TMG.
Este tema contiene sugerencias sobre los contadores de rendimiento que conviene controlar a efectos de supervisin de carga y
seguridad.
Usar el monitor de rendimiento
Para usar el monitor de rendimiento
1. Haga clic en Inicio , Microsoft Forefront TMG y, a continuacin, en el Monitor de rendimiento de Forefront TMG.
2. En el Monitor de confiabilidad y rendimiento, aparecer una serie de contadores predeterminados. En la siguiente tabla se
detallan estos contadores y su uso general.
Categora
Nombre del contador de
rendimiento Uso
Motor de paquete
firewall de
Forefront TMG
Conexiones activas Nmero total de conexiones activas que transmiten datos en este momento.
Utilice este contador para supervisar el rendimiento general.
Motor de paquete
firewall de
Forefront TMG
Bytes/s Transferencia total en bytes por segundo que pasan por el firewall. Cada byte se
cuenta dos veces: una cuando entra en el firewall y otra cuando sale de l.
Utilice este contador para supervisar el rendimiento general.
Servicio de
firewall de
Forefront TMG
Sesiones activas Nmero de sesiones activas del servicio de firewall. Utilice este contador para
supervisar el rendimiento general. Si se compara este contador en horas punta y
fuera de estas horas, se obtendr una buena indicacin del uso rutinario.
Proxy web de
Forefront TMG
Solicitudes/s La frecuencia de solicitudes por segundo. Utilice este contador para supervisar el
rendimiento general. Al dividir el contador Bytes enviados a cliente/s por este
contador, se obtiene una medida de la respuesta media que no debera ser
superior a 20 KB, aproximadamente.
Motor de paquete
firewall de
Forefront TMG
Paquetes perdidos/s El nmero de paquetes denegados por segundo. Utilcelo para supervisar
amenazas de seguridad en general. Si los nmeros son altos (ms de 100),
compruebe si hay ataques o errores de configuracin de red.
Motor de paquete Paquetes/s El nmero de paquetes permitidos y denegados por segundo. Utilcelo para

241
firewall de
Forefront TMG
supervisar las amenazas de seguridad y el rendimiento general. Tiene un impacto
directo en la utilizacin de la CPU.
Motor de paquete
firewall de
Forefront TMG
Conexiones/s El nmero de conexiones TCP y UDP creadas por segundo. Utilcelo para
supervisar las amenazas de seguridad y el rendimiento general. Tiene un impacto
directo en la utilizacin de la CPU.
Proxy web de
Forefront TMG
Promedio en
milisegundos/solicitud
El tiempo medio de respuesta. Utilcelo para supervisar las amenazas de
seguridad y el rendimiento general. Use recuperaciones directas y recuperaciones
de cach para efectuar el diagnstico.
Supervisar la compresin HTTP
La compresin HTTP reduce el tamao del archivo mediante el uso de algoritmos para eliminar los datos redundantes. Si la compresin
est habilitada, puede obtener informacin acerca de su uso en los registros de Forefront TMG. Para ello, debe especificar que se
muestre la informacin de compresin cuando se ejecute una consulta de registro, tal como se describe en el siguiente procedimiento.
Agregar informacin de compresin HTTP al visor de registros
Para agregar informacin de compresin HTTP al visor de registros
1. En el rbol de consola de administracin de Forefront TMG, seleccione Registros e informes.
2. En el panel de detalles, seleccione la ficha Registro.
3. Haga clic en Iniciar consulta.
4. En el registro que aparece, haga clic con el botn secundario en cualquier encabezado de columna y, a continuacin, haga clic
en Agregar o quitar columnas. Utilice los botones Subir y Bajar para especificar la ubicacin de la informacin en los
encabezados de registro.
5. En el cuadro de dilogo Agregar o quitar columnas, seleccione la columna Informacin de filtro, haga clic en Agregar y, a
continuacin, en Aceptar. Es posible que se muestre la informacin siguiente en la columna Informacin de filtro:
Cliente: indica si la compresin est habilitada entre Forefront TMG y el cliente, y tambin si el cliente ha solicitado la
compresin. Si ambas condiciones son verdaderas, se mostrar el valor S (s). Si alguna de las condiciones es falsa, se
mostrar el valor N (no).
Servidor: indica si Forefront TMG ha solicitado compresin al servidor web.
Cach: indica si el contenido se envi al cliente desde la memoria cach. A veces, este valor puede ser, por error, S
(s).
Tasa de compresin: el nivel de la compresin aplicada a una respuesta especfica. Esto se calcula de la manera
siguiente:
(tamao de la respuesta original - tamao de la respuesta comprimida) x 100/tamao de la respuesta original
Tasa de descompresin: el nivel de la descompresin aplicada a una respuesta especfica. Esto se calcula de la
manera siguiente:
resultado comprimido x 100/resultado descomprimido
Configuracin de alertas
Los eventos de Forefront TMG los generan los servicios de Forefront TMG cuando se dan determinadas condiciones en tiempo de
ejecucin. El servicio de alertas de Forefront TMG acta como distribuidor y filtro de eventos. Este servicio desencadena una alerta para
informarle cuando se producen los eventos especificados. Algunos eventos tienen condiciones adicionales. En este caso, la alerta no se
desencadenar hasta que se produzcan el evento y la condicin adicional.
Forefront TMG ofrece varias alertas predefinidas para cada tipo de evento definido por Forefront TMG.
En los temas siguientes se proporciona informacin que puede ayudarle a configurar las alertas:
Configurar definiciones de alertas
Configurar acciones de alerta

Configurar definiciones de alertas
Despus de la instalacin, se configura una serie de alertas predefinidas. Cada alerta tiene un evento de Forefront TMG relacionado. La
alerta se desencadena cuando se produce el evento. Es posible habilitar o deshabilitar alertas, modificar el desencadenador de eventos
para la alerta y modificar la accin que se realizar cuando se desencadena la alerta.
Tambin se pueden definir alertas personalizadas adicionales. Existen alertas preconfiguradas para todos los eventos, pero puede crear
una definicin de alerta personalizada con una condicin nueva. Por ejemplo, la alerta predefinida Error de registro se desencadena con
la condicin Cualquier servicio de Forefront TMG. La accin de la alerta consiste en informar del problema al registro de eventos de
Nota:
Una forma sencilla de comprobar si la compresin funciona consiste en comprobar si la razn de compresin o descompresin es
mayor que 0.

242
Windows y detener los servicios seleccionados. Adems de esta alerta, es posible que desee crear otra alerta personalizada para el
evento Error de registro que enve un mensaje de correo electrnico si se produce un error en el registro del servicio de firewall.
En los siguientes procedimientos se describe cmo modificar las definiciones de alerta y cmo crear definiciones de alerta
personalizadas.
Modificar definiciones de alerta
Utilice el procedimiento siguiente para modificar las definiciones de alerta predefinidas y personalizadas.
Para modificar las definiciones de alerta
2. En el panel de detalles, haga clic en la ficha Alertas.
3. En el panel Tareas, haga clic en Configurar definiciones de alerta.
4. En la ficha Definiciones de alerta, seleccione la alerta que desee modificar y, a continuacin, haga clic en Editar.
5. En la ficha General, modifique el nombre, la categora y la gravedad de la alerta.
6. En la ficha Eventos, especifique las veces que debe producirse un evento para que se emita la alerta y cmo debe emitirse la
alerta cuando se ha alcanzado dicho nmero de veces. Puede especificar el nmero total de veces que debe producirse el
evento para que se emita la alerta o el nmero de veces que se produce el evento por segundo. Si especifica ambos valores,
deben alcanzarse ambos lmites antes de que se emita la alerta.
7. En la ficha Acciones, especifique la accin que se genera cuando se emite la alerta. De forma predeterminada, las alertas se
notifican siempre en el registro de eventos de Windows.
8. Si desea eliminar una definicin de alerta de la lista, seleccione la alerta en la lista Definiciones de alerta y, a continuacin,
haga clic en Quitar.
Crear definiciones de alertas personalizadas
Use el siguiente procedimiento para crear definiciones de alerta personalizadas con el Asistente para la configuracin de nuevas alertas.
Para modificar las definiciones de alerta
4. En la lista Definiciones de alerta, haga clic en Agregar.
5. Finalice el Asistente para la configuracin de nuevas alertas. Tenga en cuenta las consideraciones siguientes:
a. En la pgina Eventos y condiciones, seleccione el evento que desencadena la alerta y las condiciones adicionales.
b. En la pgina Servidor, deje el valor predeterminado Cualquier servidor.
c. En la pgina Categora y gravedad, clasifique la alerta.
d. En la ficha Acciones, especifique las acciones que se van a realizar cuando se desencadena la alerta.
Configurar acciones de alerta
Para cada definicin de alerta, podr especificar las acciones que deben ocurrir al desencadenarse dicha alerta.
En este tema se proporcionan instrucciones acerca de cmo ver y modificar las acciones de alerta, as como informacin acerca de cmo
configurar acciones para la alerta Error de accin de alertas.
Ver y configurar acciones de definicin de alertas
Para ver y modificar las acciones de alerta
4. En la ficha Definiciones de alerta, seleccione la alerta que desee modificar y, a continuacin, haga clic en Editar.
5. En la ficha Acciones, configure la accin de alerta. Puede definir alertas que realicen una o ms de las siguientes acciones al
desencadenarse:
Enviar un mensaje de correo electrnico. Vea Configuring an alert to send an e-mail message.
Ejecutar un programa. Vea Configuring an alert to run a program.
Registrar el evento en el registro de eventos de Windows. De forma predeterminada, esta opcin est activada para
todas las alertas.
Detener o iniciar el servicio Firewall de Microsoft o el servicio de descarga de contenido programado.

Configurar una alerta para enviar un mensaje de correo electrnico
Para configurar una alerta para que enve un mensaje de correo electrnico al desencadenarse, puede especificar los siguientes valores:
Para configurar una alerta para enviar un mensaje de correo electrnico
1. En la ficha Acciones, haga clic en Enviar correo electrnico.
2. Escriba el nombre del servidor SMTP de su organizacin. Tenga en cuenta las consideraciones siguientes:
Si especifica un servidor SMTP ubicado en la red interna, deber habilitar la regla de directiva de sistema para que
permita este trfico. Para ello, en el grupo de configuracin Supervisin remota del Editor de directivas del sistema,
seleccione SMTP y haga clic en Habilitar. De esta manera se habilita la regla de directiva del sistema "Permitir SMTP
de Forefront TMG a servidores de confianza".
Si especifica un servidor SMTP ubicado en la red externa, deber crear una regla de acceso que permita a la red de
host local tener acceso a la red externa (o a la red en la que est ubicado el servidor SMTP), utilizando SMTP.
3. En el cuadro De, escriba la direccin de correo electrnico del remitente.
4. En el cuadro Para, escriba las direcciones de correo electrnico de los destinatarios.
5. Haga clic en Aceptar para guardar la nueva accin para esta alerta y, a continuacin, haga clic en Aplicar en la barra Aplicar
cambios.
Configurar una alerta para ejecutar un programa
Si configura una alerta para que, al desencadenarse, se ejecute un programa, puede especificar los siguientes valores:
Para configurar una alerta para ejecutar un programa
1. En la ficha Acciones, haga clic en Ejecutar un programa.
2. Para Archivo de programa, escriba la ubicacin del programa.

243
Nota:
La ruta de acceso del programa especificada debe existir en todos los servidores de Forefront TMG en la matriz. Por consiguiente, se
recomienda usar una variable de entorno (como %SystemDrive%) dentro del nombre de ruta para permitir el ajuste por servidor de
la ruta de acceso.
3. Para Parmetros, escriba los parmetros adecuados para ejecutar este programa.
Nota:
No especifique un programa interactivo que requiera entrada de datos por parte del usuario.
4. Haga clic en Establecer cuenta si se requiere una cuenta de usuario distinta de la cuenta de sistema local y escriba las
credenciales de usuario adecuadas.
Nota:
Utilice la directiva de seguridad local para configurar los privilegios del usuario.
Nota:
Asegrese de que el usuario especificado tenga los privilegios de Inicio de sesin como trabajo en lote.
5. Haga clic en Aceptar para guardar la nueva accin para esta alerta y, a continuacin, haga clic en Aplicar en la barra Aplicar
cambios.
Configurar acciones para la alerta Error de accin de alertas
Aunque puede configurarse la alerta Error de accin de alertas, se recomienda no modificar sus propiedades. Si la accin de esta alerta
genera un error, ste no se registrar en ningn lugar, lo que dificultar la solucin del problema.
Si detecta esta alerta, compruebe si el registro de eventos contiene errores de acciones. Compruebe el mensaje del evento asociado al
error y los eventos anteriores emitidos antes del evento de error de la accin. Puede que proporcionen informacin adicional acerca de la
accin que provoc el error.

Configurar los registros de Forefront TMG
Forefront TMG ofrece varios formatos de registro, como el registro en un archivo de texto, una base de datos local de SQL Server
Express o un equipo SQL Server remoto. Puesto que Forefront TMG se implementa para proteger su red, es fundamental que la
informacin de registro siempre est disponible y sea correcta. Debe supervisar con cuidado las alertas y comprobar que su actividad se
registra siempre. Forefront TMG proporciona una caracterstica de cola de registro para ayudar a asegurar la disponibilidad del registro
durante el pico de registro.
Compruebe si existen alertas que indiquen error al registrar por algn motivo como, por ejemplo, espacio en disco, problemas de
conectividad del servidor SQL Server, etc.
En la tabla siguiente se resumen los valores de registro predeterminados tras la instalacin:
Configuracin Detalles Valores predeterminados
Registro de
Firewall
Registra el trfico que administra el servicio de firewall De forma predeterminada habilitado
para registrar en la base de datos de
SQL Express en el equipo local.
Registro de
proxy web
Registra el trfico administrado por el filtro de proxy web De forma predeterminada habilitado
para registrar en la base de datos de
SQL Express en el equipo local.
Carpeta de
registro
Ubicacin de los archivos de registro De forma predeterminada, se
encuentra en la carpeta ISALogs del
directorio de instalacin de Forefront
TMG
Lmites de
registro
Administracin del tamao del archivo de registro Configuracin predeterminada:
Tamao mximo=8 GB
Espacio libre en disco=512 MB
Mtodo de mantenimiento: eliminar
archivos a medida que sea necesario
Eliminar los archivos de ms de 7 das
de antigedad
Cola de registro La cola de registro se usa para almacenar temporalmente entradas de
registro cuando no se les puede dar formato. Esto puede ocurrir
cuando las entradas de registro se generan con ms rapidez que el
De forma predeterminada, la cola de
registro se almacena en la carpeta
ISALogs de la carpeta de instalacin

244
proceso de darles formato, o bien no existe conectividad a una base
de datos remota de SQL Server.
del Forefront TMG.
Alertas El servicio de alertas le notifica cuando se producen los eventos
especificados.
Todas las alertas relacionadas con el
registro estn habilitadas de forma
predeterminada.
En los temas siguientes se proporciona informacin que puede ayudarle a configurar y mantener los registros y ejecutar consultas del
registro:
Habilitar el registro
Configurar el registro en un servidor SQL remoto
Configurar SQL Server para el registro
Configurar el registro en SQL Server Express
Configurar el registro en un archivo de texto
Configurar la ubicacin del registro
Configurar la cola del registro
Seleccionar los campos de registro
Registrar solicitudes que coincidan con una regla
Configurar el registro para evitar el bloqueo
Consultar los registros de Forefront TMG

Habilitar el registro
De forma predeterminada, el Forefront TMG registra la informacin de todo el trfico administrado por el servicio Firewall de Microsoft y
el filtro proxy web. Cada componente tiene un registro diferente, cuyos valores y campos se pueden personalizar. De forma
predeterminada, el registro se habilita tanto para el servicio de firewall como para el filtro proxy web.
Para habilitar y deshabilitar el registro
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Registros e informes.
2. En el panel de detalles, haga clic en la ficha Registro.
3. En la ficha Tareas, seleccione la tarea apropiada:
Seleccione Configurar el registro del firewall para configurar la ubicacin del registro de Firewall.
Seleccione Configurar el registro del proxy web para configurar la ubicacin del registro de proxy web.
4. En la ficha Registro, active la casilla de verificacin Habilitar registro para el servicio.
5. Para deshabilitar el registro, desactive la casilla Habilitar registro para el servicio.
Configurar el registro en un servidor SQL remoto
En el siguiente procedimiento se describe cmo guardar la informacin del registro en una base de datos de SQL Server remota.
Para configurar el registro en un servidor SQL remoto
Seleccione Configurar el registro de firewall para especificar que el registro del firewall se debera escribir en una
base de datos de SQL Server Express remota.
Seleccione Configurar el registro del proxy web para especificar que el registro del proxy web se debera escribir
en una base de datos de SQL Server remota.
4. En la ficha Registro, haga clic en Base de datos SQL.A continuacin, haga clic en Opciones.
5. En Parmetros de conexin de base de datos, especifique los datos de la base de datos de SQL Server:
En Servidor, escriba el nombre del equipo que ejecuta SQL Server en el que se registrar la informacin.
En Puerto, escriba el nmero de puerto que se va a utilizar. El puerto predeterminado del equipo que ejecuta SQL
Server es 1433.
En Base de datos, escriba el nombre de la base de datos en el equipo que ejecuta SQL Server.
En Nombre, escriba un nombre de tabla. Forefront TMG proporciona dos scripts de SQL que se usan para crear las
tablas y grabar los datos de registro. Para obtener ms informacin, vea Configurar SQL Server para el registro.
Haga clic en Forzar cifrado de datos para especificar que debe usarse una conexin segura entre Forefront TMG y el
equipo SQL Server. Esta opcin est habilitada de manera predeterminada para garantizar la seguridad de la
informacin del archivo de registro. Para usar esta opcin, deber contar con un certificado de servidor configurado en
el equipo SQL Server y un certificado raz correspondiente a la CA que emiti el certificado del servidor Forefront TMG.
Para obtener ms informacin, vea Cifrar conexiones en SQL Server en Microsoft TechNet.
6. En Detalles de autenticacin, seleccione una opcin para la autenticacin de la base de datos:
Seleccione Usar autenticacin de Windows para autenticar en el SQL Server utilizando la cuenta de equipo.
Seleccione Usar autenticacin de servidor de SQL para autenticar con SQL Server utilizando una cuenta de SQL
Server. En Usuario y Contrasea, escriba la credenciales que se van a utilizar. Asegrese de que esa cuenta tiene los
permisos necesarios para autenticar en el equipo SQL Server.
7. Haga clic en Probar para verificar la conectividad con el equipo SQL Server.
Configurar SQL Server para el registro

245
En este tema se describe cmo usar una base de datos de SQL Server remota para el registro en Forefront TMG.
La preparacin de un servidor SQL para registro implica los siguientes procedimientos:
Crear una base de datos y tablas para registro de proxy web o de firewall. Si Forefront TMG no est ubicado en el mismo
dominio, deber configurar una cuenta de SQL Server. Vea Crear una base de datos del registro y tablas.
Configurar una conexin de datos a la base de datos. Vea Configurar SQL Server para aceptar la conexin de datos.
Configurar una conexin cifrada a la base de datos. Vea Configurar una conexin cifrada.
Configurar reglas de directiva de sistema de Forefront TMG para permitir una conexin al servidor SQL remoto. Vea
Configuracin de reglas de directiva de sistema para registro en SQL Server.
Crear una base de datos del registro y tablas
Los scripts de ejemplo se proporcionan para crear bases de datos para el registro de servicio de Firewall de Microsoft y el registro de
trfico del proxy web. Los scripts se encuentran en el directorio de la carpeta de instalacin de Forefront TMG.
Para configurar SQL Server con la base de datos:
1. Cree la base de datos, en el equipo que ejecuta SQL Server.
2. Escriba lo siguiente en la ventana del smbolo del sistema:

sqlcmd E S InstanceName i Path\ScriptFile" d <dbName>

Donde:
/E indica una conexin de confianza.
/S indica el servidor.
InstanceName es la instancia de la base de datos.
/i indica el archivo de entrada.
La Ruta de acceso es la ruta de acceso a la instalacin de Forefront TMG.
ScriptFile es el nombre del archivo de script de la base de datos, Fwsrv.sql para el registro del servicio de Firewall de
Microsoft, o W3proxy.sql para el registro del trfico del proxy web.
/d indica el archivo de la base de datos.
dbName es la base de datos de registro en la que se crean las tablas.

Configurar SQL Server para aceptar la conexin de datos
Para configurar SQL Server de manera que acepte la conexin de datos del equipo de Forefront TMG:
1. Inicie Microsoft SQL Server Management Studio y conctese a a su instancia de SQL.
2. Haga clic en Seguridad.
3. Para crear un inicio de sesin, haga clic con el botn secundario en Inicios de sesin, haga clic en Nuevo inicio de sesin y,
a continuacin, configure la autenticacin. Si el equipo con SQL Server est ubicado en el mismo dominio que Forefront TMG,
podr iniciar sesin en ese equipo usando autenticacin de Windows o de SQL Server. Si SQL Server se encuentra en otro
dominio, deber usar la autenticacin de SQL Server. Configure los valores de la forma siguiente:
Para utilizar Autenticacin de Windows con credenciales de usuario (sta es la manera recomendada de usar
Autenticacin de Windows), cree un inicio de sesin basado en un usuario existente o use un inicio de sesin
existente. En Nombre, escriba un nombre que identifique el mtodo de inicio de sesin. En la ficha Acceso a base de
datos, seleccione las bases de datos a las que puede tener acceso este mtodo de inicio de sesin (las bases de datos
que cre en el procedimiento anterior).
Para usar Autenticacin de Windows sin credenciales de usuario (es decir, con la cuenta del equipo), en Nombre,
escriba nombreDominio\TMGname $, donde "TMGname" es el nombre NetBIOS del servidor de Forefront TMG. En la
ficha Acceso a base de datos, seleccione las bases de datos a las que puede tener acceso este mtodo de inicio de
sesin (las bases de datos que cre en el procedimiento anterior).
Para usar Autenticacin de SQL Server, en Nombre, escriba el nombre que identifique el mtodo de inicio de sesin
y escriba una contrasea para dicho mtodo. En la ficha Acceso a base de datos, seleccione las bases de datos a las
que puede tener acceso este mtodo de inicio de sesin (las bases de datos que cre en el procedimiento anterior).
4. Para usar un inicio de sesin existente, haga clic con el botn secundario en el inicio de sesin que desea usar y seleccione
Propiedades. En la pgina Acceso a base de datos del cuadro de dilogo Propiedades de inicio de sesin, seleccione la
fila que contiene la base de datos.
5. En Funciones de bases de datos para <databasename>, active las casillas de verificacin db_datareader (SELECT) y
db_datawriter (INSERT). Adems, deber conceder los permisos db_executor (EXECUTE) para el procedimiento
sp_batch_insert de los servicios de Forefront TMG que inicien sesin en esta base de datos.
Configurar una conexin cifrada
De manera predeterminada, Forefront TMG usa HTTPS como conexin con el equipo SQL Server a fin de garantizar la seguridad de los
datos confidenciales en los archivos de registro. Si desea usar una conexin cifrada, deber configurar un certificado en el equipo SQL
Server e instalar un certificado de una entidad de certificacin (CA) raz en el equipo Forefront TMG. Para obtener ms informacin, vea
Cifrar conexiones en SQL Server en Microsoft TechNet.
Configuracin de reglas de directiva de sistema para registro en SQL Server
Para registrarse en una base de datos de SQL, debe habilitarse el grupo de configuracin de directiva del sistema Registro remoto.
Para habilitar el grupo de configuracin de directiva del sistema Registro remoto:

246
1. En la consola de administracin de Forefront TMG, haga clic con el botn secundario en Directiva de firewall y, a
continuacin, en Editar directiva del sistema.
2. En el Editor de directivas del sistema, en la lista Grupos de configuracin, haga clic en Registro remoto (SQL).
3. En la ficha General, haga clic en Habilitar este grupo de configuracin.
4. Esta regla supone que el servidor SQL Server est ubicado en la red interna. Para cambiar el destino de la regla, haga clic en la
ficha A y edite el destino segn necesite. Se recomienda que, al modificar el destino, incluya slo el equipo de SQL Server.
Configurar el registro en SQL Server Express
En el siguiente procedimiento se describe cmo guardar la informacin del registro en una base de datos de SQL Server Express.
Para configurar el registro en SQL Server Express
Seleccione Configurar el registro de firewall para especificar que el registro del firewall se debera escribir en una
base de datos de SQL Server Express local.
en una base de datos de SQL Server Express local.
4. En la ficha Registro, haga clic en Base de datos de SQL Server Express 2005 (en servidor local) y, a continuacin, haga
clic en Opciones.
5. Seleccione ISALogs para almacenar registros en la ubicacin predeterminada. Para almacenar archivos en otra ubicacin, haga
clic en Esta carpeta y especifique la ruta de acceso.
6. Configure el tamao del registro como se indica a continuacin:
Seleccione Lmite de tamao total de archivos de registro y especifique un tamao mximo. Cada archivo de
registro est limitado a 1,5 GB. Cuando un archivo de registro alcanza los 1,5 GB, se crea un archivo nuevo
automticamente.
Seleccione Mantener espacio en disco disponible y especifique el espacio disponible.

7. Configure cmo se administran los registros del modo siguiente:
Seleccione Borrando archivos de registro menos recientes cuando se necesite para especificar que los archivos
de registro ms antiguos se eliminan automticamente con los lmites de tamao especificados.
Seleccione Descartando nuevas entradas de registro para dejar de registrar entradas nuevas (manteniendo toda
la informacin de registro antigua) de acuerdo con los lmites de tamao especificados. Las nuevas entradas no se
registran hasta que no se cambian los lmites o se eliminan los archivos antiguos. Se emite una alerta para notificarle
este evento.
Seleccione Eliminar archivos con antigedad mayor a para eliminar archivos de registro ms antiguos que los das
especificados. Para eliminar los archivos ms antiguos del almacenamiento, reduzca este nmero.
8. Seleccione Comprimir archivos de registro para reducir el tamao del archivo de registro. La compresin slo se aplica a
archivos de registro almacenados en volmenes NTFS.
Nota:
Si necesita copiar o mover bases de datos de SQL Server Express de una ubicacin a otra, primero debe desasociar la base de datos
del servidor actual. Nunca desasocie una base de datos que se est utilizando en ese momento.

Configurar el registro en un archivo de texto
En el procedimiento siguiente se describe cmo guardar informacin del registro en un archivo de texto.
Para configurar el registro en un archivo de texto
Seleccione Configurar el registro del firewall para especificar que el registro del firewall se debera escribir en un
archivo de texto.
en un archivo de texto.
4. En la ficha Registro, haga clic en Archivo.
5. En Formato, seleccione el formato del archivo. De manera predeterminada, se usa el formato de archivo de registro W3C.
Tambin puede seleccionarse el formato de archivo de Forefront TMG. Los registros W3C contienen datos y directivas que
describen la versin, la fecha y el campo registrado. Los campos no seleccionados no aparecern en el registro. El carcter de
tabulacin se utiliza como delimitador. La fecha y la hora se expresan en la hora universal coordinada (UTC). El formato de
archivo de Forefront TMG slo contiene datos sin directivas. Se registran siempre todos los campos. Los campos no
seleccionados se registran con un guin (-) para indicar que estn vacos. El carcter de coma se utiliza como delimitador. Los
campos de fecha y hora estn en el formato de hora local configurado en el servidor.
6. Haga clic en Opciones para configurar los valores de almacenamiento.
7. Seleccione ISALogs para almacenar registros en la ubicacin predeterminada. Para almacenar archivos en otra ubicacin, haga
clic en Esta carpeta y especifique la ruta de acceso.
8. Configure el tamao del registro como se indica a continuacin:

247
Seleccione Lmite de tamao total de archivos de registro y especifique un tamao mximo. Cada archivo de
registro est limitado a 1,5 GB. Cuando un archivo de registro alcanza los 1,5 GB, se crea un archivo nuevo
automticamente.
Seleccione Mantener espacio en disco disponible y especifique el espacio disponible.

9. Configure cmo se administran los registros del modo siguiente:
Seleccione Borrando archivos de registro menos recientes cuando se necesite para especificar que los archivos
de registro ms antiguos se eliminan automticamente con los lmites de tamao especificados.
Seleccione Descartando nuevas entradas de registro para dejar de registrar entradas nuevas (manteniendo toda
la informacin de registro antigua) de acuerdo con los lmites de tamao especificados. Las nuevas entradas no se
registran hasta que no se cambian los lmites o se eliminan los archivos antiguos. Se emite una alerta para notificarle
este evento.
Seleccione Eliminar archivos con antigedad mayor a para eliminar archivos de registro ms antiguos que los das
especificados. Para eliminar los archivos ms antiguos del almacenamiento, reduzca este nmero.
10. Seleccione Comprimir archivos de registro para reducir el tamao del archivo de registro. La compresin slo se aplica a
archivos de registro almacenados en volmenes NTFS.
Configurar la ubicacin del registro
Los registros deben almacenarse siempre en una ubicacin segura con acceso controlado estrictamente. De forma predeterminada, los
registros de SQL Server Express y los registros de archivo de texto se almacenan en la carpeta ISALogs, dentro de la carpeta de
instalacin de Forefront TMG.
Se puede especificar una ubicacin de archivo de registro alternativa, que incluya una variable de entorno como %logDirectory%.
Si se especifica un directorio relativo, el registro se guardar en la carpeta ISALogs, dentro de la carpeta de instalacin de
Forefront TMG.
Si se especifica una ruta de acceso absoluta, la carpeta de registros puede ser diferente en cada servidor.
Si la carpeta especificada no existe, Forefront TMG le advertir de que la ubicacin especificada no es vlida e intentar crear la
carpeta.
Para las carpetas de registro alternativas, la cuenta de servicio de red debe tener permisos de lectura en la particin raz y en las
carpetas principales de la carpeta en cuestin. En la carpeta de registro, son necesarios los permisos siguientes:
Servicio de red: Control total
Sistema: Control total
Administradores: Control total

Si cambia la ubicacin de la carpeta de registro y no establece los permisos adecuados, podra emitirse el Id. de eventos 11002: El
servicio Firewall de Microsoft no se ha podido iniciar en el Visor de eventos.
Configurar la cola del registro
Cuando se generan las entradas del registro con mayor rapidez de con la que se les puede aplicar el formato configurado (texto/SQL
Server Express/Remote SQL Server), puede especificar una ubicacin para una cola del registro que contendr las entradas de registro
hasta que se procesen, de la siguiente manera:
Para configurar la ubicacin de una cola de registro
3. En la ficha Tareas, haga clic en Configurar cola de registro.
4. En el cuadro de dilogo Carpeta de almacenamiento en colas de registros, deje la carpeta predeterminada ISALogs (en la
carpeta de instalacin del Forefront TMG) o especifique una ubicacin en Esta carpeta. Asegrese de que la carpeta que
especifique existe.
Seleccionar los campos de registro
Puede seleccionar los campos que desea que aparezcan en los registros de Firewall y proxy web. En los registros escritos en un archivo
con el formato W3C, los campos que no se seleccionan no aparecen en el registro. En el caso de los registros escritos en un archivo con
el formato de Forefront TMG, los campos que no se seleccionan aparecen en el registro con un guin (-), lo que indica que estn vacos.
En el siguiente procedimiento se describe cmo seleccionar los campos del registro.
Para especificar los campos del registro
1. En en el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Registros e informes.
Para configurar la ubicacin del registro de Firewall, seleccione Configurar el registro del firewall.
Para configurar la ubicacin del registro de proxy web, seleccione Configurar el registro del proxy web.
4. En la ficha Campos, realice una de las acciones siguientes:
Para seleccionar campos especficos, active las casillas de verificacin correspondientes. Seleccione siempre los campos
Fecha del registro y Hora de registro. Si no selecciona estos campos, puede producirse un error al guardar la
configuracin.

248
Para desactivar todas las casillas de verificacin de la lista de campos, haga clic en Borrar todo. Este valor deja
activos los campos Fecha del registro y Hora de registro.
Para activar todas las casillas de verificacin de la lista de campos, haga clic en Seleccionar todo.
5. Para seleccionar un conjunto predeterminado de campos del archivo de registro de Forefront TMG, haga clic en Restaurar
valores predeterminados.
Registrar solicitudes que coincidan con una regla
Se puede especificar que el registro se produzca o no para una regla especfica. De esta manera, se puede reducir significativamente la
carga del registro, lo que ser de utilidad si se registra una gran cantidad de datos de un protocolo u origen especfico. Por ejemplo, si
tiene una regla que deniega las solicitudes DHCP y el registro se est llenando con muchas solicitudes denegadas, puede deshabilitar el
registro para esa regla.
Nota:
Las reglas de acceso se crean con el registro habilitado de forma predeterminada.
Para configurar el registro para una regla especfica
2. En el panel de detalles, haga clic en la regla para la que desea habilitar el registro.
4. En la ficha Accin, realice las acciones siguientes:
Para registrar el trfico administrado por la regla, haga clic en Registrar solicitudes que coincidan con esta regla.
Para especificar que no debe registrarse el trfico administrado por la regla, desactive Registrar solicitudes que
coincidan con esta regla.
Nota:
Sin embargo, tenga en cuenta que si deshabilita el registro de la regla de delegacin predeterminada, Forefront TMG no podr
detectar los ataques de tipo "Port scan".

Configurar el registro para evitar el bloqueo
Si se produce un ataque en el firewall, puede que el nmero de entradas de registro aumente notablemente. Si el registro da error, se
emite la alerta de error en el registro, que detiene el servicio Firewall de Microsoft. Cuando sucede esto, Forefront TMG entra en modo
de bloqueo. De forma similar, si la escritura en el registro tarda ms de treinta segundos, el registro puede dar error y provocar la
entrada en el modo de bloqueo. En el modo de bloqueo, sucede lo siguiente:
El Firewall Packet Filter Engine (fweng) aplica la directiva de Firewall.
Se permite el trfico saliente desde la red de host local a todas las redes.
No se permite trfico entrante, a no ser que lo permita especficamente una regla de directiva de sistema habilitada. La nica
excepcin es el trfico DHCP, que siempre se permite desde la red de host local hacia todas las redes (las solicitudes DHCP se
permiten en el puerto UDP 47 y DHCP depende el puerto UDP 68).
Los clientes de acceso remoto a VPN no pueden tener acceso a Forefront TMG.
Los cambios de configuracin realizados en el modo de bloqueo solo se aplican despus de reiniciar el servicio de firewall y de
que Forefront TMG salga del modo de bloqueo.
Para configurar el registro para evitar el bloqueo
Para configurar Forefront TMG para que no deje de registrar en estos casos, aunque se registren muchos eventos, siga estas directrices:
Utilice el Desfragmentador de disco para consolidar los archivos y carpetas fragmentados. Para evitar largas operaciones,
desfragmente los discos donde se almacenan los archivos de registro con frecuencia. Para hacerlo, haga clic en Inicio, elija
Todos los programas, Accesorios, Herramientas del sistema y, a continuacin, haga clic en Desfragmentador de disco.
Revise cmo ha configurado el registro de cada regla de directiva para crear datos de registro suficientes y precisos. En
concreto, deshabilite el registro para la regla predeterminada. A continuacin, cree otra regla de denegacin con el registro
habilitado para hacer un seguimiento del trfico no deseado. De forma similar, puede deshabilitar el registro de reglas que se
aplican a NetBIOS y DHCP, en funcin de sus necesidades de organizacin.
Configure las carpetas del registro de Firewall y el registro de proxy web en discos diferentes.
Limite el nmero de campos que se incluyen en el registro.
Si utiliza el registro SQL, modifique el tamao o el porcentaje de crecimiento del archivo para la base de datos de registros.
Para obtener ms informacin, vea ALTER DATABASE (en ingls) en el Centro de desarrollo de SQL Server.
Si Forefront TMG no puede registrar la actividad, se emite la alerta de error en el registro y, de forma predeterminada, se
detiene el servicio Firewall de Microsoft. Puede volver a configurar esta alerta para que enve un mensaje de correo electrnico
a la direccin de correo electrnico del administrador, sobre todo cuando desee ofrecer una capacidad de servicio mxima.
El registro puede atraer ataques, ya que utiliza una gran cantidad de recursos de E/S y CPU. Utilice la caracterstica de
mitigacin del desbordamiento de proteccin de la red para especificar que no se registre el trfico denegado si se alcanza un
lmite de "solicitudes denegadas por segundo". Para obtener ms informacin, vea Establecer los lmites de conexin de
mitigacin de los ataques "flood".

249
Forefront TMG introduce la caracterstica de cola de registro, que ayuda a evitar errores de registro cuando las escrituras en
registro se generan ms rpido de lo que se pueden procesar. Para obtener ms informacin, vea Configurar la cola del
registro.
Cuando el registro se haga en un archivo de texto, la escritura se limita a 1600 caracteres. Este lmite no se puede modificar e
incluye datos y otra informacin como, por ejemplo, una marca de tiempo. Este lmite puede ser un problema si la informacin
del servidor remitente de una solicitud HTTP es extensa. Para evitar este problema, configure los registros de forma que no
rellenen el campo Servidor remitente. Para obtener instrucciones, vea Seleccionar los campos de registro.
Consultar los registros de Forefront TMG
Puede utilizar el visor de registros de Forefront TMG para supervisar y analizar el trfico y reparar cualquier problema que pudiera haber
en la actividad de la red. De manera predeterminada, el visor de registros muestra todos los apuntes de los registros proxy web y de
firewall en tiempo real, es decir, a medida que ocurren y tan pronto como cada uno queda registrado.
En los siguientes procedimientos se describe cmo ejecutar y administrar las consultas de registro:
Configurar el filtro de consultas
Guardar y cargar definiciones de filtro de registro
Guardar los datos del visor de registros
Definir los colores del visor de registro
Ocultar las entradas del visor de registros de IPv6

Configurar el filtro de consultas
Es posible modificar las condiciones del filtro de registro predeterminado para que se muestren datos que cumplan criterios especficos.
El filtro de registro muestra datos que coinciden con todas las condiciones del filtro. Las expresiones se combinan con el operador AND.
No es posible eliminar los criterios de filtro del filtro predeterminado, pero se pueden modificar la condicin y el valor de los criterios.
Para configurar el filtro de consultas
1. En en el rbol de la consola de administracin de Forefront TMG, haga clic en Registros e informes.
4. En Filtrar por, seleccione uno de los campos del registro.
5. En Condicin y Valor, especifique la condicin correspondiente y, a continuacin, haga clic en Agregar a la lista.
6. Repita los pasos 4 y 5 para agregar ms condiciones al filtro. Despus, haga clic en Iniciar consulta.
7. Para eliminar una expresin de la lista de filtros, seleccinela en Mostrar slo las entradas que coincidan con estas
condiciones y, a continuacin, haga clic en Quitar.
Guardar y cargar definiciones de filtro de registro
Tras definir un filtro de registro, puede guardarlo como un archivo .xml para su uso futuro. A menudo es til tener un conjunto de
consultas y usar cada una de ellas para centrarse en un tipo de sesin diferente. Despus puede importar las definiciones de consultas
de filtro guardadas segn se requiera.
Para guardar el filtro
1. En en el rbol de la consola de administracin de Forefront TMG, haga clic en la ficha Registros e informes.
4. Para guardar una definicin de filtro, especifique los parmetros del filtro y, a continuacin, haga clic en Guardar filtro.
Despus, especifique un nombre para el archivo .xml.
Nota:
Tambin puede hacer clic en Guardar definiciones de filtro en la ficha Tareas.
Para cargar el filtro
1. En en el rbol de la consola de administracin de Forefront TMG, haga clic en la ficha Registros e informes.
4. Haga clic en Cargar filtro y seleccione el archivo .xml que desea cargar.
Nota:
Tambin puede hacer clic en Cargar definiciones de filtro en la ficha Tareas.
Guardar los datos del visor de registros
Si desea guardar la informacin que se muestra en el visor de registros en un archivo, cpiela en el Portapapeles. Puede copiar todos los
resultados o slo los seleccionados.
Para copiar informacin de registro en el Portapapeles
3. En la ficha Tareas, haga clic en Iniciar consulta. Cuando proceda, haga clic en Detener consulta.
4. Para copiar toda la informacin en el Portapapeles, haga clic en Copiar todos los resultados al Portapapeles.
5. Para copiar informacin parcial, haga lo siguiente:
Para seleccionar entradas de registro adyacentes, haga clic en la primera entrada, mantenga presionada la tecla CTRL
y haga clic en otros elementos. A continuacin, haga clic en Copiar los resultados seleccionados al portapapeles.
Para seleccionar entradas de registro no adyacentes, haga clic en la primera entrada, mantenga presionada la tecla
CTRL y haga clic en otros elementos. A continuacin, haga clic en Copiar los resultados seleccionados al
portapapeles.

250
6. Cuando haya copiado los datos en el portapapeles, puede copiar la informacin en una aplicacin adecuada para analizarla.
Definir los colores del visor de registro
Para distinguir mejor las lneas en el panel de resultados del visor de registro, puede utilizar cdigos de color que faciliten el anlisis del
visor de registro. Puede utilizar una combinacin de colores predeterminada o aplicar sus propios colores. Los colores se pueden aplicar
a acciones comunes del filtro de registro predefinidas.
Cuando haya definido los colores del texto, puede exportar la combinacin de color y guardarlo en un archivo .xml. Utilice los
procedimientos siguientes para definir colores, exportar e importar una combinacin de color.
Para definir los colores del visor de registro
3. En la ficha Tareas, haga clic en Definir colores del texto de registro.
4. En el cuadro de dilogo Definir colores del texto de registro, haga clic en el botn Color del tipo de accin que desea
cambiar.
5. En el cuadro de dilogo Color, seleccione un color y, a continuacin, haga clic en Guardar.
6. Haga clic en Aceptar para aplicar los cambios y cerrar el cuadro de dilogo Definir colores del texto de registro.
Para exportar una combinacin de color
3. En el cuadro de dilogo Definir colores del texto de registro, haga clic en el botn Exportar combinacin de color.
4. En el cuadro de dilogo Exportar definiciones de color, seleccione la carpeta y el nombre de archivo y, a continuacin, haga
clic en Guardar.
Para importar una combinacin de color
3. En la ficha Tareas, haga clic en Definir colores del texto de registro.
4. En el cuadro de dilogo Definir colores del texto de registro, haga clic en el botn Importar combinacin de color.
5. En el cuadro de dilogo Importar definiciones de color, seleccione la carpeta y el nombre de archivo y, a continuacin, haga
clic en Cargar.
Ocultar las entradas del visor de registros de IPv6
Si utiliza IPv4, puede ocultar las entradas de registro de IPv6 para agilizar los resultados del registro. Tenga en cuenta que, de forma
predeterminada, Forefront TMG bloquea todo el trfico de IPv6. Para obtener ms informacin, vea Requisitos del sistema para Forefront
TMG.
Para ocultar las entradas IPv6
3. En la ficha Tareas, realice una de las acciones siguientes:
Para ocultar las entradas, haga clic en Ocultar las entradas de registro de IPv6.
Para ocultar las entradas, haga clic en Mostrar las entradas de registro de IPv6.
Configurar los informes de Forefront TMG
En los temas siguientes se proporciona informacin que puede ayudarle a configurar los informes de Forefront TMG:
Crear informes
Ver informes
Cambiar el servidor de informes

Para obtener informacin conceptual acerca de los informes de Forefront TMG, vea Planeacin para creacin de informes.
Crear informes
En este tema se describe cmo crear informes en Forefront TMG. La creacin de informes implica el siguiente proceso:
1. Crear un informe o trabajo de informes: use uno de los asistentes disponibles para crear un informe o trabajo de informes.
Cada asistente le permite hacer lo siguiente:
a. Configure la frecuencia del informe (si es un trabajo de informes peridico), el perodo que cubre el informe y la
categoras de informe que se van a incluir.
b. Configure el informe o el trabajo de informes que se van a enviar mediante correo electrnico, o a publicar a un
recurso compartido de archivo en el sistema de archivos.
2. Generar el informe: los informes y los trabajos de informes que crea aparecen en el panel de detalles de la ficha Creacin de
informes. La generacin de informes funciona de la siguiente manera:
a. Para informes de actividad de usuario o de una sola ejecucin, haga clic con el botn secundario en el trabajo de
informe y seleccione Generar y ver informe. Forefront TMG crea la pgina HTML del informe y la abre en el
explorador del servidor.
Importante:
El informe de la actividad del usuario es un nuevo informe que se incluye en Forefront TMG SP1.

251
b. Para informes peridicos, Forefront TMG genera estos informes de manera automtica, aunque puede iniciar una
generacin de informes manualmente cuando lo necesite.
Para obtener informacin general de la creacin de informes de Forefront TMG, vea Planeacin para creacin de informes.
Para crear un informe
1. En la consola de administracin de Forefront TMG, en el rbol, haga clic en el nodo Registros e informes.
2. En el panel de detalles, haga clic en la ficha Creacin de informes.
3. En el panel Tareas, haga clic en el tipo de informe que desea crear.
4. Escriba un nombre para el informe. El informe que crea se guardar en el panel de detalles de la ficha Creacin de informes,
donde puede editar sus propiedades e iniciar manualmente un informe.
5. Haga lo siguiente en funcin del tipo de informe:
Informe de una sola ejecucin: en la pgina Perodo del informe, especifique el nmero de das que desea incluir
en el informe. El nmero mximo de das es 60.
Trabajo de informe peridico: en la pgina Programacin de trabajos de informes peridicos, especifique

cundo se ejecutar el trabajo y con qu frecuencia.
Informe de actividad de usuario: en la pgina Detalles del informe, seleccione el perodo de informe en la lista y
escriba los nombres de usuario o las direcciones IP que desea incluir en el informe.
6. Si desea modificar los parmetros predeterminados del informe, realice lo siguiente:
a. En la pgina Contenido del informe, haga clic en la categora de informe que desea modificar y, a continuacin, haga clic en
Editar detalles del informe.
b. Seleccione una subcategora de informe en la lista Subcategora y, a continuacin, haga clic en Valor de parmetro
y ajuste el valor segn sea necesario.
c. En algunas subcategoras de informe es posible modificar el orden en el que se muestran los datos. Para ello, en
Ordenar por, seleccione el valor de parmetro que se va a usar para ordenar los datos del informe.
7. (Opcional). En la pgina Enviar notificacin por correo electrnico, habilite Enviar notificacin por correo electrnico
cuando finalice un informe y configure la manera en la que desea enviar dichas notificaciones.
8. Si desea poder ver este informe sin abrir la consola de administracin de Forefront TMG, configure Forefront TMG para publicar
informes en la pgina Publicacin de informes.
Nota:
Si selecciona la notificacin a travs de correo electrnico o si est creando un trabajo de informe peridico, es necesaria la
publicacin de informes.
Si el directorio de informes publicados se encuentra en otro equipo, haga clic en Establecer cuenta y especifique las
credenciales que utilizar el motor de informes para la publicacin. Estas credenciales deben contar con permisos de escritura
en la carpeta especificada.

Ver informes
En este tema se describe cmo ver informes de una sola ejecucin, informes de actividad de usuario y trabajos de informes peridicos.
Nota:
Los informes de actividad de usuario constituyen una nueva caracterstica de Forefront TMG SP1.
Puede ver informes a travs de un explorador convencional y usar hipervnculos para ayudarle a navegar por el contenido que desea
revisar. En las siguientes secciones se describen las diferentes maneras en las que puede ver los tres tipos de trabajos de informes.
Para obtener detalles sobre cmo crear un trabajo de informe, vea Crear informes.
Ver informes de actividad de usuario y de una sola ejecucin
Los informes de una sola ejecucin y de actividad de usuario se presentan como una forma sencilla de crear informes conforme y cuando
se necesitan. Tras configurar un trabajo de informe de una sola ejecucin o actividad de usuario con el asistente para informes de una
sola ejecucin o el asistente para informes de actividad de usuario, la configuracin aparecer en el panel de detalles bajo Informes de
una sola ejecucin o Informes de actividad de usuario. Tambin aparecen el nombre del informe, el tipo, y las fechas de inicio y
finalizacin.
Para generar y ver un informe de una sola ejecucin o de actividad de usuario
En el panel de detalles, seleccione un trabajo de una sola ejecucin o un trabajo de informe de actividad de usuario y haga clic
en Generar y ver el informe seleccionado, desde el men contextual que aparece al hacer clic con el botn secundario del
mouse o desde el panel Tareas. El informe se abre en una ventana del explorador.
Nota:
Puede facilitar acceso al informe sin tener que obtener acceso a la consola de administracin de Forefront TMG, si ha configurado el
informe para publicar su datos en un directorio.
Ver tareas de informes peridicos
Los trabajos de informes peridicos permiten revisar la actividad de registro durante perodos de tiempo regulares (a diario, semanal y
mensualmente). Tras configurar un trabajo de informe peridico con el asistente para trabajos de informes peridicos, la
configuracin aparecer en el panel de detalles debajo de Trabajos de informes peridicos. Tambin aparecen el nombre del informe,
el tipo y la fecha en la que cre el trabajo del informe.

252
Nota:
La Fecha de finalizacin se muestra siempre como "En curso", dado que los trabajos de informes peridicos no tienen fecha de
finalizacin.
Ver informes publicados
Mediante la publicacin de informes, puede compartir estos datos con otros usuarios que no tienen acceso al equipo Forefront TMG o a la
consola de administracin de Forefront TMG. En el caso de informes de una sola ejecucin, la publicacin permite guardar una captura
de los datos durante el perodo de tiempo especificado en el informe.
Nota:
Los trabajos de informes peridicos se publican siempre, mientras que la publicacin de informes de una sola ejecucin o de
actividad de usuario es opcional.
Los informes publicados se almacenan en una subcarpeta del directorio especificado, bajo el nombre
<Nombre_trabajo_informe>_(Fecha de inicioFecha de finalizacin). Por ejemplo, si publica un trabajo de informe denominado
InformesDiarios, programado para ejecutarse del 1 de diciembre de 2008 al 15 de diciembre de 2008, la carpeta de los informes
publicados se denominar InformesDiarios_(12.1.200812.15.2008).
Importante:
Asegrese de que cualquiera de los usuarios que deba tener acceso a informes publicados tenga permisos de lectura para esta
carpeta.
Para ver un informe publicado
1. En la consola de administracin de Forefront TMG, en el rbol, haga clic en el nodo Registros e informes.
2. En el panel de detalles, haga clic en la ficha Informes y, a continuacin, seleccione un informe y haga clic en Ver informes
publicados, en el men contextual que aparece al hacer clic con el botn secundario o en el panel Tareas. El directorio
especificado como directorio de informes publicados se abrir en el Explorador de Windows.
Nota:
Para ver un informe publicado sin utilizar la consola de administracin de Forefront TMG, navegue hasta el directorio de informes
publicados compartido especificado en la configuracin del trabajo de informe.
3. Abra el directorio que contiene el informe que necesita.
4. Haga doble clic en informe.htm. Se abrir el informe en una ventana del explorador.
Nota:
Primero debe generar un informe de una sola ejecucin, para publicar los resultados.

Cambiar el servidor de informes
En este tema se describe cmo cambiar el servidor de informes. El servidor de informes es un servidor Forefront TMG que ejecuta los
servicios de informes de SQL Server para agregar los resmenes de registro. El servidor de informes predeterminado es el primer
miembro de matriz de Forefront TMG creado. Si desea usar otro miembro de matriz como el servidor de informes, siga el procedimiento
descrito ms adelante.
Nota:
Los datos de historial no se trasladan al nuevo servidor de informes.
Para cambiar el servidor de informes
1. En en el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Registros e informes.
2. En el panel de detalles, haga clic en la ficha Creacin de informes.
3. En la ficha Tareas, haga clic en Configurar opciones de informes y, a continuacin, haga clic en la ficha Servidor de
informes.
4. Seleccione el servidor requerido en la lista desplegable.
6. Haga clic en Aplicar en la barra Aplicar cambios.
Administrar el filtrado de direcciones URL
En los siguientes temas se proporciona informacin acerca de cmo administrar el filtrado de URL:
Introduccin a la administracin del filtrado de URL

253
Buscar una categora de direccin URL

Introduccin a la administracin del filtrado de URL
El filtrado de direcciones URL le permite crear reglas de acceso que permiten o bloquean el acceso a sitios web segn su categorizacin
en la base de datos de filtrado de direcciones URL. Cuando se recibe una solicitud para tener acceso a un sitio web, Forefront TMG
consulta el servicio de reputacin de Microsoft hospedado de manera remota para determinar la categorizacin del sitio web. Si el sitio
web se ha categorizado como un categora o conjunto de categoras de direcciones URL bloqueadas, Forefront TMG bloquea la solicitud.
Si un usuario pide acceso a un sitio web y detecta que el acceso al sitio web est bloqueado, recibe una notificacin de denegacin que
incluye la categora de solicitud denegada. En algunos casos, el usuario puede ponerse en contacto con el administrador para cuestionar
la categorizacin del sitio web. En ese caso, debe comprobar que la direccin URL est correctamente categorizada (vea Buscar una
categora de direccin URL). Si el sitio web no est correctamente categorizado, debe crear una configuracin personalizada para esta
direccin URL (vea Invalidar la categorizacin de direcciones URL).
Buscar una categora de direccin URL
En el siguiente procedimiento se describe cmo consultar la base de datos de filtrado de URL con respecto a la categorizacin de una
direccin URL o direccin IP.
Para buscar una categora de direccin URL
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en Directiva de acceso web.
2. En el panel Tareas, haga clic en Consultar categora de URL.
3. En la ficha Consulta de categoras, escriba una direccin URL o direccin IP y, a continuacin, haga clic en Consulta. El
resultado de la categora se muestra en la ficha, as como algunos detalles acerca del origen de la categorizacin, como la
invalidacin, direccin IP o alias de direccin URL.
4. Para cambiar la categorizacin de un dominio, copie la direccin URL o direccin IP en el portapapeles del equipo y haga clic en
la ficha Invalidacin de categoras de URL. Para obtener ms informacin, vea Invalidar la categorizacin de direcciones
URL.
Nota:
Cada direccin URL debe incluir un nombre de host y puede incluir una ruta de acceso, una cadena de consulta, caracteres de
escape (como % 20 para representar un espacio) y un protocolo (como HTTP://). Por ejemplo, http://www.contoso.com/training/.

Es posible cambiar la categorizacin URL de una direccin URL o direccin IP mediante una invalidacin de categoras de URL. En los
procedimientos siguientes se describe cmo crear una invalidacin de categoras de URL para una matriz concreta o para todas las
matrices de una empresa:
Adicin de una invalidacin de categoras de URL para una matriz
Adicin de una invalidacin de categoras de URL para la empresa

Nota:
En ambos procedimientos:
Todas las direcciones URL deben incluir un nombre de host y una ruta de acceso, y pueden incluir una cadena de consulta y
caracteres de escape (como %20 para representar un espacio).
No incluya un protocolo (como HTTP://) con la direccin URL.
Forefront TMG no admite el uso de direcciones URL de nombres de dominio internacionalizados (IDN).
Las direcciones URL www.mycompany.com/homepage y www.mycompany/homepage/ se consideran la misma URL; la barra
diagonal de cierre final no afecta a la categorizacin de direcciones URL.
Nota:
El cambio de categorizacin de direcciones URL en el nivel de empresa es una nueva caracterstica de Forefront TMG 2010 SP1.
Adicin de una invalidacin de categoras de URL para una matriz
2. En el panel Tareas, haga clic en Configurar invalidaciones de categoras de URL.
3. En la pestaa Invalidacin de categoras de URL, haga clic en Agregar.
4. En Invalidar la categora de URL predeterminada para este patrn de URL, escriba un patrn de direccin URL con el
formato www.contoso.com/.
5. En Mover el patrn de URL a esta categora de URL, seleccione una nueva categora de direccin URL.
6. Haga clic en Aceptar. Se cierra el cuadro de dilogo Invalidacin de categoras de URL. Haga clic en Aceptar de nuevo y, a
continuacin, en la barra Aplicar cambios, haga clic en Aplicar.

254
Adicin de una invalidacin de categoras de URL para la empresa
1. En el rbol de la consola de Administracin de Forefront TMG, haga clic en el nodo Empresa.
Nota:
Esta caracterstica est disponible para Forefront TMG 2010 SP1 nicamente en sistemas Enterprise Management System.
2. En el panel Tareas, haga clic en Configurar invalidaciones de categoras de URL.
3. Para agregar una nueva invalidacin de categoras de URL, haga clic en Agregar y escriba un patrn de URL con el formato
www.contoso.com/*.
4. En Mover el patrn de URL a esta categora de URL, seleccione una nueva categora de direccin URL.
5. Haga clic en Aceptar. Se cierra el cuadro de dilogo Invalidacin de categoras de URL. Haga clic en Aceptar de nuevo y, a
continuacin, en la barra Aplicar cambios, haga clic en Aplicar.
Nota:
Las invalidaciones de nivel de matriz tienen prioridad sobre las de nivel de empresa.

Realizar copias de seguridad y restaurar la configuracin de Forefront TMG
En los temas siguientes se describe cmo realizar una copia de seguridad de la configuracin de Forefront TMG y restaurarla, para las
distintas opciones de configuracin:
Realizar copias de seguridad y restaurar la configuracin de la empresa
Realizar copias de seguridad y restaurar la configuracin de la matriz
Realizar copias de seguridad y restaurar configuracin y directivas concretas
Realizar copias de seguridad y restaurar con el Escritor de VSS

Antes de iniciar el proceso de copia de seguridad o restauracin, asegrese de consultar la informacin proporcionada en Planeacin para
copia de seguridad y restauracin.
Realizar copias de seguridad y restaurar la configuracin de la empresa
En este tema se describe cmo realizar una copia de seguridad y restaurar la configuracin de la empresa desde el servidor de
Enterprise Management Server (EMS). Todos los miembros de la matriz comparten los valores de configuracin de la empresa y tambin
son pertinentes para ellos.
Nota:
Debe ser administrador de empresa de Forefront TMG o auditor de empresa para realizar una copia de seguridad y restaurar la
configuracin de la empresa. Para realizar una copia de seguridad y restaurar informacin confidencial de empresa, debe ser
administrador de empresa de Forefront TMG.
Los siguientes procedimientos ofrecen instrucciones sobre:
Realizar una copia de seguridad de una configuracin de empresa
Restaurar una configuracin de empresa

Realizar una copia de seguridad de una configuracin de empresa
Para realizar una copia de seguridad de una configuracin de empresa
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Empresa.
2. En la ficha Tareas, haga clic en Exportar configuracin de empresa.
3. Para exportar la informacin confidencial, como contraseas de usuario y certificados, seleccione Exportar informacin
confidencial y proporcione una contrasea. La informacin confidencial se cifra durante el proceso de exportacin. La
contrasea que escriba aqu se necesitar para importar la configuracin.
Nota:
Se recomienda que especifique una contrasea de alta seguridad para garantizar la proteccin adecuada de la informacin
cifrada. Para obtener ms informacin, vea Planeacin para copia de seguridad y restauracin.
El proceso de exportacin no realiza una copia de seguridad de los certificados de capa de sockets seguros (SSL). Para
obtener informacin acerca de cmo realizar una copia de seguridad de los certificados SSL, vea Acerca de cmo realizar una
copia de seguridad de los certificados SSL.
4. Para exportar permisos de usuario, seleccione Exportar configuracin de permisos de usuario.
5. En Guardar estos datos en este archivo, especifique la carpeta en la que se guardar el archivo de exportacin y el nombre
del archivo.
6. En Nombre de archivo, escriba un nombre para el archivo exportado.
Restaurar una configuracin de empresa
Para restaurar una configuracin de empresa
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en el nodo Empresa.
2. En la ficha Tareas, haga clic en Importar configuracin de empresa.
3. Seleccione el archivo que ha guardado al exportar la configuracin.

255
4. Seleccione Sobrescribir (restaurar) para restaurar los valores de configuracin.
5. Si ha exportado permisos de usuario, seleccione Importar configuracin de permisos de usuario.
6. Si ha exportado informacin confidencial, escriba la contrasea que ha especificado al exportar el archivo.
Realizar copias de seguridad y restaurar la configuracin de la matriz
En este tema se describe cmo apoyar y restaurar una configuracin de matriz, para un servidor nico o una matriz de varios servidores. La configuracin de matriz incluye
la siguiente configuracin:

Los valores de configuracin de la matriz, que son relevantes para todos los miembros de la matriz y compartidos por ellos.

Los valores de configuracin del servidor, especficos para cada miembro de la matriz.

Realizar una copia de seguridad de una configuracin de matriz

Restaurar una configuracin de matriz
Nota:
Para realizar copias de seguridad y restaurar informacin confidencial de nivel de matriz, debe ser administrador de matriz de
Forefront TMG.
Realizar una copia de seguridad de una configuracin de matriz
Para realizar una copia de seguridad de una configuracin de matriz
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en la matriz ArrayName.
2. En la ficha Tareas, haga clic en Exportar (hacer copia de seguridad) la configuracin de matriz.
3. Para exportar la informacin confidencial, como contraseas de usuario y certificados, seleccione Exportar informacin confidencial y proporcione una
contrasea. La informacin confidencial se cifra durante el proceso de exportacin. La contrasea que escribe aqu se necesitar para importar la configuracin.
Nota:
Se recomienda que especifique una contrasea de alta seguridad para garantizar la proteccin adecuada de la informacin cifrada. Para obtener ms
informacin, vea Planeacin para copia de seguridad y restauracin.
El proceso de exportacin no realiza una copia de seguridad de los certificados de capa de sockets seguros (SSL). Para obtener informacin sobre cmo realizar
una copia de seguridad de los certificados SSL, vea Acerca de cmo realizar una copia de seguridad de los certificados SSL.
4. Para exportar permisos de usuario, seleccione Exportar configuracin de permisos de usuario.
5. En Guardar estos datos en este archivo, especifique la carpeta en la que se guardar el archivo de exportacin y el nombre del archivo.
6. En Nombre de archivo, escriba un nombre para el archivo exportado.
Restaurar una configuracin de matriz
Para restaurar una configuracin de matriz
1. En el rbol de la consola de administracin de Forefront TMG, haga clic en la matriz ArrayName.
2. En el ficha Tareas, haga clic en Importar (restaurar) la configuracin de matriz.
3. Seleccione el archivo que ha guardado al exportar la configuracin.
4. Seleccione Sobrescribir (restaurar) para restaurar los valores de la configuracin.
5. Si desea importar la configuracin especfica del servidor, seleccione Importar informacin especfica de servidor.
6. Si ha exportado permisos de usuario, seleccione Importar configuracin de permisos de usuario.
Realizar copias de seguridad y restaurar configuracin y directivas concretas
En este tema se explica cmo exportar elementos especficos de la configuracin de Forefront TMG, como reglas de directiva individuales y elementos de regla.

Exportar una sola regla de directiva o elementos de regla

Importar una sola regla de directiva o elemento de regla
Nota:
Debe ser administrador de empresa o auditor de empresa de Forefront TMG para realizar una copia de seguridad de la configuracin de empresa y restaurarla.
Para realizar una copia de seguridad y restaurar informacin confidencial de empresa, debe ser administrador de empresa de Forefront TMG.
Para realizar copias de seguridad y restaurar informacin confidencial de nivel de matriz, debe ser administrador de matriz de Forefront TMG.
Exportar una sola regla de directiva o elementos de regla
Para exportar una sola regla de directiva o elementos de regla
2. Para exportar una sola regla de directiva:

En el panel de detalles, haga clic con el botn secundario en la regla correspondiente y, a continuacin, haga clic en Exportar seleccin.
Para exportar un solo elemento de regla:

En el panel Herramientas, haga clic con el botn secundario en el elemento de regla correspondiente y, a continuacin, haga clic en Exportar
seleccin.
Para exportar varios elementos de regla:

En el panel Herramientas, haga clic con el botn secundario en los elementos de regla correspondientes y, a continuacin, haga clic en Exportar todo.

256
3. Para exportar la informacin confidencial, como contraseas de usuario, certificados y secretos compartidos de RADIUS, seleccione Exportar informacin
confidencial y proporcione una contrasea. La informacin confidencial se cifra durante el proceso de exportacin. La contrasea que escriba aqu se necesitar
para importar la configuracin.
Nota:
Se recomienda que especifique una contrasea de alta seguridad para garantizar la proteccin adecuada de la informacin cifrada. Para obtener ms informacin, vea
Planeacin para copia de seguridad y restauracin.
4. En Guardar estos datos en este archivo, especifique la carpeta en la que se guardar el archivo de exportacin y el nombre del archivo.
Importar una sola regla de directiva o elemento de regla
Para importar una sola regla de directiva o elemento de regla
2. Para importar una sola regla de directiva:

En el panel de detalles, haga clic con el botn secundario en la regla correspondiente y, a continuacin, haga clic en Importar a seleccin.
3. Para importar un elemento de una o varias reglas:

En el panel Herramientas, haga clic con el botn secundario en el elemento de regla correspondiente y, a continuacin, haga clic en Importar todo.
4. Seleccione el archivo que ha guardado al exportar las opciones de configuracin.
5. Si desea importar la configuracin especfica del servidor, seleccione Importar informacin especfica de servidor.
Realizar copias de seguridad y restaurar con el Escritor de VSS
Puede realizar una copia de seguridad de la configuracin de Forefront TMG y restaurarla con el Servicio de instantneas de volumen (VSS). VSS es un conjunto de
interfaces de programacin de aplicaciones (API) del modelo de objetos componentes (COM) que proporciona interfaces estandarizadas, lo que permite que el software de
copia de seguridad y restauracin de terceros administre de forma centralizada las operaciones de copia de seguridad y restauracin en diferentes aplicaciones. En Forefront
TMG, la configuracin se almacena en una instancia de Active Directory Lightweight Directory Services (AD LDS). Al utilizar VSS para realizar una copia de seguridad de
la configuracin de Forefront TMG y restaurarla, Forefront TMG llama a VSS Writer de AD LDS.
La cadena de nombre de este escritor es "ISA Writer".
El identificador del escritor del Registro es 25F33A79-3162-4496-8A7D-CAF8E7328205.
Asegrese de que hace una copia de seguridad del servidor requerido, en funcin de si es independiente o pertenece a una matriz, del siguiente modo:

Matriz de empresas: realice la copia de seguridad de Forefront TMG Enterprise Management Server (EMS).

Matriz independiente: realice la copia de seguridad del administrador de la matriz.

Servidor independiente: realice la copia de seguridad del servidor de Forefront TMG.
Nota:
Debe ser administrador de empresa o auditor de empresa de Forefront TMG para realizar una copia de seguridad de la configuracin de empresa y restaurarla.
Para realizar una copia de seguridad y restaurar informacin confidencial de empresa, debe ser administrador de empresa de Forefront TMG.
Para realizar copias de seguridad y restaurar informacin confidencial de nivel de matriz, debe ser administrador de matriz de Forefront TMG.

Nota:
No puede importar un archivo para sobrescribir la regla predeterminada.

Notas de La Versión de Forefront TMG 2010 RTM

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Notas de La Versión de Forefront TMG 2010 RTM

Uploaded by

Copyright:

Available Formats

1

Notas de la versin de Forefront TMG 2010 RTM .................................................................................................................... 12

La licencia para el mecanismo de proteccin pertinente ha expirado.

No ha optado por Microsoft Update.

El servicio Programador no se est ejecutando.

Supervisar Forefront TMG

Administrar el filtrado de direcciones URL

Realizar copias de seguridad y restaurar la configuracin de Forefront TMG

Forefront TMG Troubleshooting

Supervisar la actividad del escritorio digital

Configurar los registros de Forefront TMG

Configurar los informes de Forefront TMG

Comprobar el estado de la configuracin de Forefront TMG en cada miembro de la matriz.

Crear un comprobador de conectividad

Configurar comprobadores de conectividad

Deshabilitar y eliminar un comprobador de conectividad

Analizar respuestas HTTP GET

En Supervisar la conexin a este servidor, modifique el nombre del servidor de destino.

En Seleccionar el mtodo usado para comprobar la conexin, modifique el mtodo de conexin.

Nombre de alerta: el nombre de la definicin de alerta.

Ms reciente: la fecha y la hora en que se emiti la alerta.

Categora: especifica si la alerta la emiti el servicio de firewall.

Servidor: especifica el servidor de Forefront TMG que emiti la alerta.

Administrar una sesin

Administrar la supervisin de sesiones

Configurar filtros de sesin

Activacin: fecha y hora en que se inici la sesin.

Nombre de servidor: el nombre del servidor Forefront TMG.

IP de cliente: la direccin IP de origen del cliente.

Red de origen: la red donde se origin la sesin.

Nombre de host de cliente: para clientes Forefront TMG.

Supervisar contadores de rendimiento

Supervisar la compresin HTTP

Servidor: indica si Forefront TMG ha solicitado compresin al servidor web.

Configurar definiciones de alertas

Configurar acciones de alerta

Ejecutar un programa. Vea Configuring an alert to run a program.

Detener o iniciar el servicio Firewall de Microsoft o el servicio de descarga de contenido programado.

Configurar el registro en un servidor SQL remoto

Configurar SQL Server para el registro

Configurar el registro en SQL Server Express

Configurar el registro en un archivo de texto

Configurar la ubicacin del registro

Configurar la cola del registro

Seleccionar los campos de registro

Registrar solicitudes que coincidan con una regla

Configurar el registro para evitar el bloqueo

Consultar los registros de Forefront TMG

/E indica una conexin de confianza.

InstanceName es la instancia de la base de datos.

/i indica el archivo de entrada.

La Ruta de acceso es la ruta de acceso a la instalacin de Forefront TMG.

/d indica el archivo de la base de datos.

dbName es la base de datos de registro en la que se crean las tablas.

Seleccione Mantener espacio en disco disponible y especifique el espacio disponible.

Seleccione Mantener espacio en disco disponible y especifique el espacio disponible.

Servicio de red: Control total

Sistema: Control total

Administradores: Control total

El Firewall Packet Filter Engine (fweng) aplica la directiva de Firewall.

Limite el nmero de campos que se incluyen en el registro.

Configurar el filtro de consultas

Guardar y cargar definiciones de filtro de registro

Guardar los datos del visor de registros