Contenido

Instalación y desinstalación

Actualización

Administración

Cliente firewall

Publicación

Documentación

Archivos HTML de errores

Lea esto primero

En este documento se proporciona información acerca de Microsoft Security and Acceleration (ISA) Server 2006.

Asegúrese de leer la guía de inicio rápido de Microsoft Internet Security and Acceleration (ISA) Server 2006 (Isastart.chm). En esta guía se proporcionan instrucciones de instalación y requisitos previos de configuración, se describen las nuevas características de ISA Server 2006 y se incluyen algunos detalles generales que resaltan dichas características. Este documento está disponible en la página de ejecución automática de ISA Server 2006 y se encuentra en la carpeta raíz del CD de ISA Server 2006. Además, para obtener instrucciones de implementación e información sobre entornos comunes, vea los documentos de soluciones, disponibles en el sitio web de Documentación orientativa de ISA Server (puede estar en inglés).

Volver a Contenido

1. Instalación y desinstalación

  1. Como práctica recomendada de seguridad, se recomienda instalar siempre las actualizaciones más recientes del sistema operativo. Para obtener información sobre las actualizaciones más recientes que es posible que tenga que instalar, vea el sitio de Microsoft Update (puede estar en inglés).

  2. Esta versión no admite la instalación de ISA Server 2006 en equipos con el sistema operativo de nombre de código "Longhorn" de Microsoft Windows Server.

  3. Esta versión no admite la instalación de Administración del servidor ISA en equipos con el sistema operativo Microsoft Windows Vista.

  4. Al desinstalar el servidor ISA, algunos archivos no se eliminan completamente del equipo. La tabla siguiente muestra los archivos que se conservan y su ubicación.

    Carpeta Nombre de archivo

    %windir%

    IsUninst.exe, Atl71.dll, ismifcom.dll, msvcp71.dll y msvcr71.dll. Sólo Enterprise Edition: \config\adam_isastgctrl.evt

    %windir%\System32

    DBmsLPCn.dll, dbmsgnet.dll y dbmsqlgc.dll.
  5. Si se instala ISA Server 2004 en un equipo con Windows 2000 Server, Microsoft SQL Server 2000 Desktop Engine (MSDE) se ejecuta bajo la cuenta del sistema local. Después de realizar la actualización a Windows Server 2003, MSDE sigue ejecutándose bajo la cuenta del sistema local. Sin embargo, al actualizar el servidor ISA, el servicio de firewall de Microsoft se ejecuta bajo la cuenta de servicio de red. Puesto que la cuenta de servicio de red no tiene permiso para obtener acceso a MSDE, el servicio de firewall no tiene acceso a MSDE y se produce un error en la actualización. Para solucionar este problema, use el Asistente para la instalación de ISA Server 2004 para desinstalar y reinstalar MSDE. Para ello, siga los pasos siguientes:

    1. Haga clic en Inicio, Ejecutar, escriba appwiz.cpl en el cuadro Abrir y, a continuación, haga clic en Aceptar.

    2. En la ventana Agregar o quitar programas, haga clic en Microsoft ISA Server 2004 y, a continuación, haga clic en Cambiar/Quitar.

    3. En el Asistente para la instalación de Microsoft ISA Server 2004, haga clic en Siguiente.

    4. En la página Mantenimiento del programa, haga clic en Modificar y, a continuación, haga clic en Siguiente.

    5. En la página Instalación personalizada, expanda Servicios de firewall y, a continuación, haga clic en Registro avanzado.

    6. Haga clic en Esta característica no estará disponible.

    7. Haga clic en Siguiente y, a continuación, en Instalar.

    8. En la página Finalización del Asistente para la instalación, haga clic en Finalizar y, a continuación, cierre la ventana de Internet Explorer que se abre automáticamente.

    9. Repita los pasos del 1 al 5 y, a continuación, haga clic en Esta característica se instalará en la unidad de disco duro local.

  6. Si MSDE se ha desinstalado del equipo servidor ISA, deberá reinstalarlo; para ello, ejecute el programa de instalación del servidor ISA y modifique la instalación. Antes de reinstalar MSDE, debe detener el servicio de firewall. De lo contrario, la instalación de MSDE puede tardar hasta 45 minutos. Tenga en cuenta que el servicio de firewall se reiniciará automáticamente cuando finalice la instalación.

  7. En ocasiones, algunas interfaces no se registran durante el registro de Msfpccom.dll, lo que puede producir que el usuario reciba un mensaje de error de interfaz no registrada en el complemento de Administración del servidor ISA. En ese caso, debe eliminarla del registro (para ello ejecute regsvr32 –u msfpccom.dll) y, a continuación, volver a registrarla (ejecute regsvr32 msfpccom.dll).

  8. Al instalar ISA Server Enterprise Edition, se instalan varias DLL en las siguientes carpetas del sistema de Windows: C:\WINDOWS\ADAM y C:\\WINDOWS\ADAM\EN.

  9. ISA Server 2006 se ha probado en Microsoft Virtual Server 2005 R2 y es plenamente funcional. Sin embargo, la implementación del servidor ISA en un entorno de Virtual Server 2005 R2 debe limitarse a fines de prueba únicamente. En concreto, no se recomienda un entorno de producción de Virtual Server 2005 R2 en el que se espera que ISA Server 2006 actúe como el firewall de la red.

  10. Después de instalar ISA Server 2006, se recomienda que utilice el Asistente para configuración de seguridad de Windows para proteger la infraestructura de Windows para el servidor ISA. Para obtener información detallada, consulte la guía de administración y consolidación de la seguridad de ISA Server 2006. Tenga en cuenta las consideraciones siguientes:

    • La característica de registro MSDE se ha eliminado del Asistente para configuración de seguridad de Windows para ISA Server 2006 e ISA Server 2004. El servidor ISA ahora controla el uso de MSDE.

    • Al proteger el equipo de forma manual, se debe habilitar el servicio de almacenamiento de Microsoft ISA Server en el equipo del servidor de Almacenamiento de configuración. Puede comprobar el estado del servicio en el panel de detalles del complemento de los servicios de Windows. Este cambio sólo se aplica a Enterprise Edition.

  11. Cuando se instala un miembro de matriz en una matriz en la que se ha habilitado el equilibrio de carga de red, los puertos utilizados por las escuchas definidos en la matriz no estarán disponibles inmediatamente después del reinicio del servicio de firewall, al final de la instalación. Esto se debe a que la configuración del equilibrio de carga de red necesita tiempo para realizar la sincronización después de agregar un miembro de matriz. Después de sincronizar la configuración del equilibrio de carga de red (puede tardar varios minutos), la funcionalidad de escucha se debe restaurar automáticamente. En algunos casos, puede que algunas escuchas no estén plenamente funcionales incluso después de sincronizar la configuración del equilibrio de carga de red. El reinicio del servicio de firewall solucionará el problema.

2. Actualización

En esta sección se tratan los problemas que se pueden producir al actualizar de ISA Server 2004 a ISA Server 2006.

  1. Para familiarizarse con el proceso de actualización de ISA Server 2004 a ISA Server 2006, lea la guía de actualización que está disponible en la página de ejecución automática de ISA Server 2006.

  2. Al actualizar a ISA Server 2006, los cambios realizados en ISA Server 2004 a la alerta Compresión por método no compatible no se reflejarán en la configuración actualizada de la alerta. En su lugar, se aplica la configuración predeterminada de alertas de ISA Server 2006 a dicha alerta. Además, las alertas definidas por el usuario que hacen referencia al evento Compresión por método no compatible no se incluyen en la configuración actualizada.

  3. Al actualizar a ISA Server 2006, los siguientes parámetros del filtro RTSP no se actualizan: RtspSetupLimit, RtspMaxUrlLength y RtspTransportList.

  4. Cuando una escucha de web de ISA Server 2004 especifica SecurID como el método de autenticación de clientes y una regla de publicación de web que utiliza esa escucha de web especifica la delegación de autenticación básica, no se puede actualizar la regla y se bloquea la actualización. Para evitar este problema, antes de realizar la actualización, compruebe que las reglas de publicación de web que utilizan una escucha de web configurada para la autenticación de clientes SecurID no tienen seleccionada la delegación de autenticación básica.

  5. En ISA Server Enterprise Edition, si un archivo de configuración exportado de ISA Server 2004 especifica un servidor de Almacenamiento de configuración alternativo en las propiedades de la matriz, se puede producir un error al actualizar el archivo de configuración importado a un servidor de Almacenamiento de configuración de ISA Server 2006. Para evitar este problema, después de importar el archivo, abra las propiedades de la matriz y elimine el servidor de Almacenamiento de configuración alternativo especificado en la ficha Almacenamiento de configuración; a continuación, haga clic en Aceptar. A continuación, aplique la configuración haciendo clic en el botón Aplicar en la barra Aplicar cambios.

  6. Si está realizando la actualización de ISA Server 2004 SP2, puede que la autenticación de paso con el servidor publicado mediante una conexión HTTP, que no es segura, no funcione después de la actualización. Para que la autenticación de paso funcione correctamente, puede que necesite editar la escucha de web y realizar una de las siguientes acciones:  

    • En la ficha Conexiones, modifique el elemento Tipo de conexión de cliente de la escucha de web para utilizar una conexión segura.

    • En la ficha Autenticación, haga clic Opciones avanzadas y modifique la escucha de web activando la casilla de verificación Permitir autenticación de cliente a través de HTTP.

En esta sección se tratan los problemas que se pueden producir al actualizar de ISA Server 2006 candidato para la versión comercial (RC) a ISA Server 2006.

  1. Para familiarizarse con el proceso de actualización de ISA Server 2006 versión RC a la versión final de ISA Server 2006 (actualización de versión a versión), lea la guía de actualización disponible en la página de ejecución automática de ISA Server 2006.

  2. No se puede realizar una actualización de versión a versión desde la versión beta de ISA Server 2006 a la versión final de ISA Server 2006. Primero debe actualizar la versión beta de ISA Server 2006 a ISA Server 2006 RC y, a continuación, terminar la actualización desde la versión RC. Antes de realizar la actualización, lea las notas de la versión de ISA Server 2006 RC.

  3. Si el agente Microsoft Operations Manager (MOM) se está ejecuta en el equipo servidor ISA durante la actualización de versión a versión o la reparación de la instalación, puede que se produzca un error. Para evitar este problema, antes de iniciar la actualización de versión a versión o la operación de reparación, detenga el servicio MOM. Para detener el servicio MOM, en la ventana del símbolo de sistema, escriba net stop mom, o utilice el Administrador de control de servicios (ejecute services.msc).

  4. Por motivos de seguridad, Internet Explorer no envía cookies de dominio si el nombre de servidor contiene un carácter de subrayado (_). Según corresponda, ISA Server 2006 bloquea el uso del carácter de subrayado en los nombres públicos de las reglas de publicación si la escucha de web aplicada tiene habilitado el inicio de sesión único (SSO). Durante una actualización de versión a versión, el servidor ISA comprueba si la propiedad PublicNames de las reglas de publicación de web asociadas a una escucha de web con SSO habilitado incluye un nombre que contiene un carácter de subrayado. Si se encuentra este carácter en la propiedad PublicNames, se producirá un error en la actualización. Para evitar este error, antes de ejecutar una actualización de versión a versión, compruebe que los nombres incluidos en la propiedad PublicNames no contienen ningún carácter de subrayado.

  5. Los registros locales MSDE del equipo servidor ISA no se eliminan como parte del proceso de actualización de versión a versión. Esto puede provocar que se alcance el límite de espacio en disco. Para eliminar estos archivos de registro, vaya al directorio \\Archivos de programa\Microsoft ISA Server\ISAlogs y elimine los archivos manualmente. Tenga en cuenta que sólo debe eliminar los archivos de registro con las extensiones .mdf o .ldf que tengan fechas obsoletas y con el siguiente formato de nombre de archivo de registro:  ISALOG_AAAAMMDD_WEB_XXX o ISALOG_ AAAAMMDD _FWS_XXX.

  6. Al realizar una actualización de versión a versión desde ISA Server 2006 RC a la versión final, las plantillas de formulario ubicadas en el directorio de instalación del servidor ISA …\CookieAuthTemplates\ISA no se reemplazarán. Los nuevos formularios se instalan en la carpeta ...\CookieAuthTemplates\ISA\HTML. Como resultado, los cambios realizados en los formularios antes de la actualización no se migrarán a los nuevos formularios. Además, se han realizado los siguientes cambios en los formularios de la versión RC:

    • Strings.txt utiliza un formato diferente para las cadenas personalizadas. El nuevo formato es nombre=valor.

    • Los vínculos de los archivos HTML deben incluir la extensión de archivo. Por ejemplo, lgntop.gif.

  7. Después de realizar la actualización de la versión RC de ISA Server 2006 a la versión final de ISA Server 2006, los nombres de algunos contadores de rendimiento no se mostrarán correctamente en el monitor de rendimiento. Para evitar este problema, antes de realizar la actualización debe eliminar del registro los objetos y contadores de rendimiento. Para ello, ejecute: unlodctr <servicio>, donde <servicio> puede ser w3pcache, FwEng, H323FLTR, SocksFlt, w3proxy y FwSrv.

  8. Después de realizar la actualización, no se actualiza el número de versión que se muestra en el nodo Servidores de Administración del servidor ISA. Para ver el número de versión actualizado, haga clic en Ayuda y, a continuación, en Acerca de Microsoft ISA Server 2006. El cuadro de diálogo que aparece muestra los detalles de la versión.

  9. Mientras realiza la desinstalación del servidor principal de Almacenamiento de configuración, debe poder comunicarse con al menos otro servidor de Almacenamiento de configuración de la empresa. Esta comunicación es necesaria para que durante el proceso de desinstalación las réplicas se puedan actualizar según corresponda. De lo contrario, cuando intente desinstalar un servidor de Almacenamiento de configuración que no estaba conectado, puede que intente conectar al servidor principal de Almacenamiento de configuración desinstalado. Como resultado, no podrá desinstalar el servidor de Almacenamiento de configuración, como se requiere para realizar la actualización. Este problema sólo se aplica a Enterprise Edition.

Volver a Contenido

3. Administración

  1. La compatibilidad con DiffServ sólo se ofrece para clientes proxy web. Los paquetes DiffServ se aplican al tráfico de los clientes transparentes, pero no se deben utilizar para establecer la prioridad de dichos clientes.

  2. El servidor ISA no puede cambiar la prioridad de DiffServ durante una sesión de HTTP seguro (HTTPS) y la primera prioridad seleccionada seguirá en vigor durante toda la sesión. Como resultado, se aplican las siguientes limitaciones al contenido incluido en túnel a través de HTTP seguro:

    • No se puede aplicar la opción Permitir el tratamiento especial de encabezados de petición y respuesta, de acuerdo con esta prioridad de la ficha Prioridades.

    • No se puede aplicar la opción Aplicar un límite de tamaño a esta prioridad de la página de propiedades Agregar prioridad.

  3. El Asistente para crear archivo de respuesta es compatible con la entrada de Unicode. Sin embargo, puesto que el archivo de respuesta de salida se genera en formato ANSI, los caracteres utilizados en las cadenas de entrada deben ser traducibles a ANSI. Por lo tanto, si las cadenas de entrada contienen caracteres que no se pueden traducir correctamente a ANSI, el archivo de respuesta no se generará correctamente. Para evitar este problema, realice las siguientes acciones:

    1. Al ejecutar el Asistente para crear archivo de respuesta, utilice una ruta de acceso de un archivo ANSI para guardar el archivo generado y los marcadores de posición de entrada en caracteres ANSI (como en el caso del inglés) para las siguientes propiedades: nombre de la red de sitio a sitio del sitio remoto, clave previamente compartida, nombre de matriz, descripción de matriz y ruta de acceso al certificado.

    2. Abra el archivo de respuesta generado y guarde el archivo en formato UNICODE.

    3. Edite el archivo de respuesta UNICODE y cambie las cadenas a sus valores reales.

  4. El botón Examinar de la página Unirse a una matriz existente del Asistente para crear archivo de respuesta no funciona. Para proporcionar el nombre de la matriz, escríbalo en el cuadro de texto Nombre de matriz.

  5. Al ejecutar Enterprise Edition como administrador de la matriz, si elige participar en el programa para la mejora de la experiencia del usuario mediante el vínculo Programa para la mejora de la experiencia del usuario del panel de detalles y, a continuación, selecciona participar en el cuadro de diálogo Comentarios del usuario se produce un error. Para que los administradores de la matriz participen en el programa, deberán seleccionar la opción correspondiente en las propiedades de la matriz, en la ficha Comentarios del usuario.

  6. Al ejecutar Enterprise Edition, el servidor de Almacenamiento de configuración genera los siguientes archivos de registro en la carpeta del sistema de Windows: ADAM.log, ADAMUninst.log y PFRO.log.

Volver a Contenido

4. Cliente firewall

  • Esta versión no es compatible con los clientes firewall instalados en equipos con los sistemas operativos de nombre de código "Longhorn" de Microsoft Windows Server o con Microsoft Windows Vista. La instalación del cliente firewall está bloqueada para este sistema operativo.

Volver a Contenido

5. Publicación

  1. Algunas aplicaciones, como el Reproductor de Windows Media, Microsoft Office Picture Manager y Microsoft Outlook Mobile Access no son compatibles con la autenticación de certificados de cliente durante un protocolo de enlace SSL/TLS, y no podrán autenticar si se necesita la autenticación de cliente. Como resultado, los usuarios obtendrán un mensaje de error de estas aplicaciones al intentar obtener acceso al contenido publicado. Esto se produce si la escucha de web necesita autenticación de certificados SSL de cliente o si la escucha de web necesita autenticación basada en formularios y cualquiera de las reglas de publicación que utiliza esta escucha de web necesita un certificado SSL de cliente adicional. En algunos casos, como con el Reproductor de Windows Media, el usuario puede guardar el destino del vínculo en una carpeta local y, a continuación, obtener acceso al contenido de dicha carpeta.

  2. Cuando se publica Office Communicator Web Access mediante el Asistente para nueva regla de publicación de web, puede que se produzcan errores para los usuarios al enviar mensajes. En ese caso, elimine la regla de publicación de web y cree una nueva regla mediante el Asistente para nueva regla de publicación de Exchange. En la página Seleccionar servicios del asistente, seleccione Outlook Web Access como el servicio de correo de cliente web que está publicando. Después de crear la regla, necesitará editar las propiedades de la regla y realizar los cambios siguientes: En la ficha Autenticación, seleccione Autenticación NTLM. En la ficha Rutas de acceso, elimine todas las rutas de acceso de Exchange y, a continuación, escriba la ruta de acceso /*.

  3. Para permitir que el servidor ISA genere una cookie de SecurID y que, a continuación, resulte de confianza por el agente web de SecurID, se debe compartir el mismo secreto de dominio en el equipo servidor ISA y el agente web. Al exportar el secreto de dominio en el equipo del agente web, compruebe que el cuadro de texto Nombre de dominio del cuadro de diálogo Administrar configuración de dominio está vacío. Si se escribe un nombre de dominio en el cuadro de texto, se producirá un error al importar el secreto de dominio al equipo servidor ISA.

  4. Al configurar una regla de publicación de acceso de cliente web de Exchange para Exchange Server 2007, las opciones de bloqueo de datos adjuntos de publicación de Exchange de la página de propiedades Configuración de la aplicación de la regla no funcionan correctamente.

Volver a Contenido

6. Documentación

  1. Al abrir desde un recurso compartido en red, las páginas de la guía de inicio rápido no se mostrarán en un equipo con Microsoft Windows Server 2003 con Service Pack 1. Para ver la guía de inicio rápido, copie el archivo Isastart.chm en un directorio local y ábralo desde ahí. Para obtener más información y otras opciones, vea el artículo de Microsoft Knowledge Base 896054, que trata sobre el hecho de que no se puede abrir contenido remoto mediante el protocolo InfoTech después de haber instalado la actualización de seguridad 896358, la actualización de seguridad 840315 o el Service Pack 1 de Windows Server 2003 (puede estar en inglés).

  2. En el documento "Actualización de ISA Server 2004 Enterprise Edition a ISA Server 2006 Enterprise Edition" en la sección "Escenario 4: Matriz de carga equilibrada", tenga en cuenta las siguientes correcciones:

    • El texto que indica que después de realizar la actualización del servidor de Almacenamiento de configuración, debe deshabilitar la integración de equilibrio de carga de red para la matriz del servidor ISA, debería indicar lo siguiente: Después de realizar la actualización del servidor de Almacenamiento de configuración, debe agregar direcciones IP virtuales (VIP) y, a continuación, aplicar los cambios haciendo clic en el botón Aplicar de la barra Aplicar cambios. A continuación, deshabilite la integración del equilibrio de carga de red para la matriz de servidores ISA.

    • En la misma sección, debajo del encabezado "Iniciar el servicio de equilibrio de carga de red en los miembros de matriz de ISA Server 2006", falta un paso. Antes de iniciar el servicio de equilibrio de carga de red, primero debe habilitar la integración de equilibrio de carga de red.

Volver a Contenido

7. Archivos HTML de errores

El servidor ISA incluye un conjunto de mensajes de error que se pueden devolver a los clientes del explorador web. Estos mensajes de error se instalan en la carpeta ErrorHtmls del directorio de instalación del servidor ISA. De forma predeterminada, estos mensajes de error se instalan en el idioma de la instalación de la versión del servidor ISA. Independientemente del idioma de la instalación, las páginas HTML de error 12221r.htm y 12222r.htm se instalan sólo en inglés. Se pueden descargar versiones localizadas de estas páginas de error desde el paquete ErrorHtmls disponible en el Centro de descarga del servidor ISA (puede estar en inglés). Instale el paquete y, a continuación, copie las páginas extraídas 12221r.htm y 12222r.htm desde la carpeta del idioma correspondiente al directorio ErrorHtmls del equipo servidor ISA. Si ejecuta ISA Server Enterprise Edition, deberá copiar estos archivos a cada equipo servidor ISA de la matriz.

Volver a Contenido

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, las empresas, organizaciones, productos, personas y eventos descritos en el presente documento son ficticios y no se pretende relacionarlos con ninguna empresa, organización, producto, persona o evento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna limitación a los derechos de propiedad industrial o intelectual.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de propiedad industrial o intelectual sobre el contenido de este documento. La entrega de este documento no le otorga ninguna licencia sobre dichas patentes, marcas, derechos de autor u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en un contrato escrito de licencia de Microsoft.

© 2006. Microsoft Corporation. Reservados todos los derechos.

Microsoft, Outlook, Windows Server y Windows Vista son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y en otros países o regiones.

Volver a Contenido