c5541abf-15ce-464f-b5d2-758395fcdf3e Guía de transporte y enrutamiento de Microsoft Exchange Server 2003 Microsoft Corporation Publicación: 12 de diciembre de 2006 Autor: Equipo de documentación de Exchange Server Descripción breve En esta guía se explica cómo funciona el transporte y el enrutamiento en Microsoft® Exchange Server 2003, y cómo puede configurar Exchange para permitir el flujo de correo interno y externo. ¿Comentarios? Envíe sus comentarios a [email protected]. Contents Guía de transporte y enrutamiento de Exchange Server ....................................................... 15 Parte 1 ..................................................................................................................................... 15 Descripción de los componentes de enrutamiento ................................................................. 16 Tipos de componentes de enrutamiento ............................................................................. 16 Descripción de los grupos de enrutamiento ........................................................................ 17 Descripción de los conectores ............................................................................................. 18 Descripción de la información del estado de los vínculos ................................................... 19 Descripción de SMTP y Exchange Server 2003 ..................................................................... 22 Cómo Exchange Server amplía la funcionalidad SMTP ..................................................... 22 Recepción de correo de Internet ......................................................................................... 24 Envío de correo de Internet ................................................................................................. 25 Descripción del servidor virtual SMTP .................................................................................... 26 Conceptos erróneos acerca del uso de varios servidores virtuales SMTP ......................... 27 Configuración del correo entrante en el servidor virtual SMTP ........................................... 27 Configuración del correo saliente en el servidor virtual SMTP............................................ 28 Cómo establecer restricciones de retransmisión .................................................................... 29 Configuración de restricciones de retransmisión predeterminadas .................................... 30 Descripción de los conectores para SMTP ............................................................................. 31 Funciones de un conector para SMTP ................................................................................ 33 Usos de un conector para SMTP ........................................................................................ 34 Dependencias del transporte de Exchange Server 2003 ....................................................... 37 Servicios de Internet Information Server ............................................................................. 37 Active Directory.................................................................................................................... 39 Sistema de nombres de dominio (DNS) .............................................................................. 39 Directivas de destinatarios................................................................................................... 44 Servicio de actualización de destinatarios........................................................................... 44 Servicio de directorio para servicio de metabase ................................................................ 45 Parte 2 ..................................................................................................................................... 45 Comprobación del diseño y de la configuración de DNS ....................................................... 46 Configuración de DNS para correo entrante ....................................................................... 47 Configuración de DNS para el correo saliente .................................................................... 48 Información adicional ........................................................................................................... 48 Cómo comprobar que los registros MX no señalan al FQDN de un servidor Exchange ....... 49 Antes de empezar ................................................................................................................ 49 Procedimiento ...................................................................................................................... 49 Cómo comprobar que los registros MX no señalan a un dominio interno .............................. 50 Antes de empezar ................................................................................................................ 50 Procedimiento ...................................................................................................................... 50 Cómo comprobar que los servidores de Exchange pueden resolver nombres DNS internos 51 Antes de empezar ................................................................................................................ 51 Procedimiento ...................................................................................................................... 51 Cómo utilizar Nslookup para comprobar la configuración de registros MX ............................ 52 Antes de empezar ................................................................................................................ 53 Procedimiento ...................................................................................................................... 53 Ejemplo ................................................................................................................................ 53 Cómo utilizar telnet para garantizar el acceso a Internet ....................................................... 54 Antes de empezar ................................................................................................................ 54 Procedimiento ...................................................................................................................... 55 Cómo configurar opciones DNS en el servidor de Exchange................................................. 55 Antes de empezar ................................................................................................................ 55 Procedimiento ...................................................................................................................... 55 Cómo configurar opciones en el servidor DNS ....................................................................... 56 Antes de empezar ................................................................................................................ 56 Procedimiento ...................................................................................................................... 56 Cómo configurar servidores DNS externos en un servidor virtual SMTP saliente ................. 57 Antes de empezar ................................................................................................................ 58 Procedimiento ...................................................................................................................... 58 Cómo utilizar Resolución DNS para comprobar la configuración de DNS ............................. 59 Antes de empezar ................................................................................................................ 60 Procedimiento ...................................................................................................................... 60 Ejemplo ................................................................................................................................ 60 Cómo utilizar Nslookup para comprobar la configuración de DNS ........................................ 61 Antes de empezar ................................................................................................................ 61 Procedimiento ...................................................................................................................... 62 Ejemplo ................................................................................................................................ 62 Configuración de una topología de enrutamiento ................................................................... 63 Consideraciones generales de diseño ................................................................................ 64 Topologías de enrutamiento más frecuentes.......................................................................... 65 Topología de mensajería centralizada ................................................................................ 65 Topología de mensajería distribuida ................................................................................... 66 Definición de grupos de enrutamiento .................................................................................... 67 Definición de conectores para grupos de enrutamiento y servidores cabeza de puente ... 70 Conexión de grupos de enrutamiento ................................................................................. 72 Cómo configurar las opciones de un conector para grupo de enrutamiento .......................... 75 Antes de empezar ................................................................................................................ 75 Procedimiento ...................................................................................................................... 75 Cómo especificar un servidor cabeza de puente remoto para un conector para grupo de enrutamiento ........................................................................................................................ 76 Antes de empezar ................................................................................................................ 76 Procedimiento ...................................................................................................................... 76 Descripción del ámbito de un conector y sus restricciones .................................................... 78 Uso del ámbito de un conector para restringir su uso ......................................................... 79 Uso de restricciones de entrega para restringir el uso ........................................................ 80 Cómo habilitar las claves del Registro para restricciones de entrega .................................... 81 Antes de empezar ................................................................................................................ 81 Procedimiento ...................................................................................................................... 82 Designación de un maestro de grupo de enrutamiento .......................................................... 82 Cómo cambiar el servidor que actúa como maestro del grupo de enrutamiento ................... 84 Antes de empezar ................................................................................................................ 84 Procedimiento ...................................................................................................................... 84 Configuración avanzada del enrutamiento ............................................................................. 84 Uso de conectores para equilibrio de carga y conmutación por error ................................. 85 Supresión del tráfico de estado de los vínculos para conectores ....................................... 86 Cómo crear un grupo de enrutamiento ................................................................................... 88 Antes de empezar ................................................................................................................ 89 Procedimiento ...................................................................................................................... 89 Situaciones de implementación para la conectividad con Internet ......................................... 90 Situaciones de implementación frecuentes ............................................................................ 91 Uso de un único servidor de Exchange en su configuración predeterminada ....................... 93 Configuración básica ........................................................................................................... 94 Correo entrante de Internet ................................................................................................. 94 Correo saliente de Internet .................................................................................................. 94 Uso de un servidor de Exchange con base dual como puerta de enlace de Internet ............ 95 Configuración básica ........................................................................................................... 95 Correo entrante de Internet ................................................................................................. 96 Correo saliente de Internet .................................................................................................. 97 Uso del Asistente para correo de Internet con el fin de configurar un servidor de Exchange con base dual ................................................................................................................... 97 Consideraciones de seguridad ............................................................................................ 98 Uso de un servidor cabeza de puente detrás de un servidor de seguridad ........................... 99 Configuración básica ......................................................................................................... 100 Correo entrante de Internet ............................................................................................... 101 Correo saliente de Internet ................................................................................................ 101 Uso de un servidor de retransmisión SMTP de Windows en una red perimetral ................. 102 Configuración básica ......................................................................................................... 103 Correo entrante de Internet ............................................................................................... 104 Correo saliente de Internet ................................................................................................ 105 Situaciones de implementación personalizadas ................................................................... 105 Uso de un proveedor de servicios de red para enviar y recibir correo ................................. 105 Existencia de dos dominios de correo SMTP y uso compartido de un dominio de correo SMTP con otro sistema ..................................................................................................... 106 Existencia de dos dominios de correo SMTP .................................................................... 107 Uso compartido de un dominio de correo SMTP con otro sistema ................................... 111 Compatibilidad con otros sistemas de correo adicionales ................................................ 117 Cómo habilitar la reescritura de direcciones mediante la herramienta exarcfg .................... 117 Antes de empezar .............................................................................................................. 118 Procedimiento .................................................................................................................... 118 Cómo crear un contacto en Active Directory ........................................................................ 118 Antes de empezar .............................................................................................................. 119 Procedimiento .................................................................................................................... 119 Cómo ver la configuración que determina si Exchange Server tiene autorización .............. 120 Antes de empezar .............................................................................................................. 120 Procedimiento .................................................................................................................... 121 Cómo modificar la directiva de destinatarios predeterminada .............................................. 122 Antes de empezar .............................................................................................................. 123 Procedimiento .................................................................................................................... 123 Cómo crear un destinatario de mayor prioridad con el dominio de correo compartido ........ 124 Antes de empezar .............................................................................................................. 124 Procedimiento .................................................................................................................... 124 Cómo modificar una directiva de destinatarios existente para el dominio SMTP que desea compartir ............................................................................................................................ 125 Antes de empezar .............................................................................................................. 125 Procedimiento .................................................................................................................... 126 Cómo crear una nueva directiva de destinatarios para un dominio de correo SMTP que no existe en ninguna directiva de destinatarios...................................................................... 126 Antes de empezar .............................................................................................................. 127 Procedimiento .................................................................................................................... 127 Cómo crear un conector para SMTP con el fin de enrutar correo a un host concreto ......... 128 Antes de empezar .............................................................................................................. 128 Procedimiento .................................................................................................................... 128 Cómo compartir todos los espacios de direcciones de la organización de Exchange ......... 129 Antes de empezar .............................................................................................................. 129 Procedimiento .................................................................................................................... 129 Configuración de la colaboración de correo SMTP entre bosques ...................................... 130 Habilitación de la autenticación entre bosques ................................................................. 132 Habilitación de la colaboración entre bosques mediante la resolución de correo anónimo ........................................................................................................................................ 133 Cómo crear la cuenta utilizada para la autenticación entre bosques ................................... 136 Antes de empezar .............................................................................................................. 136 Procedimiento .................................................................................................................... 136 Cómo configurar un conector y solicitar autenticación para la autenticación entre bosques 138 Antes de empezar .............................................................................................................. 138 Procedimiento .................................................................................................................... 138 Cómo restringir el acceso por dirección IP en el servidor cabeza de puente de recepción . 141 Antes de empezar .............................................................................................................. 142 Procedimiento .................................................................................................................... 142 Cómo configurar un servidor virtual SMTP para resolver direcciones de correo electrónico anónimo ............................................................................................................................. 143 Antes de empezar .............................................................................................................. 143 Procedimiento .................................................................................................................... 143 Cómo permitir que un servidor Exchange acepte las propiedades extendidas de un mensaje enviado de forma anónima ................................................................................................ 144 Antes de empezar .............................................................................................................. 144 Procedimiento .................................................................................................................... 144 Cómo permitir que un servidor virtual SMTP acepte las propiedades extendidas de un mensaje enviado de forma anónima ................................................................................. 145 Antes de empezar .............................................................................................................. 145 Procedimiento .................................................................................................................... 146 Cómo configurar un servidor de Windows Server 2003 como servidor de retransmisión o como host inteligente ......................................................................................................... 146 Antes de empezar .............................................................................................................. 146 Procedimiento .................................................................................................................... 147 Información adicional ......................................................................................................... 148 Conexión de Exchange a Internet ......................................................................................... 148 Uso del Asistente para correo de Internet con el fin de configurar la entrega de correo de Internet ............................................................................................................................... 149 Configuración de un servidor de base dual con el asistente ............................................. 149 Cómo utilizar el Asistente para correo de Internet ................................................................ 150 Antes de empezar .............................................................................................................. 151 Procedimiento .................................................................................................................... 152 Cómo cargar SMTP de Exchange correctamente ................................................................ 157 Antes de empezar .............................................................................................................. 157 Procedimiento .................................................................................................................... 157 Ejemplo .............................................................................................................................. 158 Cómo iniciar el Asistente para correo de Internet ................................................................. 160 Antes de empezar .............................................................................................................. 160 Procedimiento .................................................................................................................... 160 Configuración manual del servidor de Exchange para la entrega de correo de Internet ..... 161 Configuración del servidor de Exchange para recibir correo de Internet .......................... 162 Cómo configurar el puerto entrante y las direcciones IP del servidor virtual SMTP ............ 164 Antes de empezar .............................................................................................................. 165 Procedimiento .................................................................................................................... 165 Cómo comprobar que el servidor virtual SMTP permite el acceso anónimo........................ 167 Antes de empezar .............................................................................................................. 167 Procedimiento .................................................................................................................... 167 Cómo comprobar que sus directivas de destinatarios no contienen direcciones coincidentes con el FQDN ...................................................................................................................... 168 Antes de empezar .............................................................................................................. 169 Procedimiento .................................................................................................................... 169 Cómo comprobar que sus usuarios pueden recibir mensajes de correo electrónico de otros dominios SMTP ................................................................................................................. 171 Antes de empezar.............................................................................................................. 171 Procedimiento .................................................................................................................... 171 Cómo configurar las direcciones de correo electrónico SMTP necesarias para sus usuarios ........................................................................................................................................... 173 Antes de empezar .............................................................................................................. 173 Procedimiento .................................................................................................................... 173 Información adicional ......................................................................................................... 174 Cómo comprobar las restricciones de retransmisión en un servidor virtual SMTP .............. 174 Antes de empezar .............................................................................................................. 174 Procedimiento .................................................................................................................... 175 Configuración de opciones de entrada en servidores virtuales SMTP ................................. 178 Configuración del servidor de Exchange para enviar correo de Internet .......................... 178 Cómo comprobar que el puerto de salida está configurado para utilizar el puerto 25 ......... 180 Antes de empezar .............................................................................................................. 181 Procedimiento .................................................................................................................... 181 Cómo permitir el acceso anónimo en el servidor virtual SMTP saliente .............................. 183 Antes de empezar .............................................................................................................. 183 Procedimiento .................................................................................................................... 183 Cómo crear un conector para SMTP .................................................................................... 184 Antes de empezar .............................................................................................................. 184 Procedimiento .................................................................................................................... 185 Configuración de un host inteligente en un servidor virtual SMTP ....................................... 187 Configuración de opciones avanzadas .............................................................................. 188 Cómo especificar un espacio de direcciones para el conector ............................................ 189 Antes de empezar .............................................................................................................. 189 Procedimiento .................................................................................................................... 190 Cómo configurar controles de acceso y métodos de autenticación ..................................... 192 Antes de empezar .............................................................................................................. 193 Procedimiento .................................................................................................................... 193 Cómo especificar límites para los mensajes......................................................................... 196 Antes de empezar .............................................................................................................. 196 Procedimiento .................................................................................................................... 196 Cómo asegurarse de que el servidor de Exchange no utiliza RTF exclusivamente ............ 198 Antes de empezar .............................................................................................................. 198 Procedimiento .................................................................................................................... 198 Cómo establecer límites de mensajes salientes en el servidor virtual SMTP ...................... 200 Antes de empezar .............................................................................................................. 200 Procedimiento .................................................................................................................... 200 Cómo habilitar claves del Registro para restricciones de entrega ....................................... 202 Antes de empezar .............................................................................................................. 203 Procedimiento .................................................................................................................... 203 Cómo establecer restricciones de entrega en el conector para SMTP ................................ 204 Antes de empezar .............................................................................................................. 204 Procedimiento .................................................................................................................... 204 Cómo establecer una programación para el conector .......................................................... 206 Antes de empezar .............................................................................................................. 206 Procedimiento .................................................................................................................... 206 Cómo establecer restricciones de contenido en un conector para SMTP ............................ 208 Antes de empezar .............................................................................................................. 208 Procedimiento .................................................................................................................... 209 Cómo especificar cómo se tratará el correo que no se pueda entregar ............................... 211 Antes de empezar .............................................................................................................. 211 Procedimiento .................................................................................................................... 211 Parte 3 ................................................................................................................................... 213 Protección de la infraestructura ............................................................................................ 214 Protección de IIS ............................................................................................................... 214 Uso de servidores de seguridad ........................................................................................ 215 Uso de redes privadas virtuales ........................................................................................ 216 Protección del servidor de Exchange ................................................................................... 217 Deshabilitación de la retransmisión abierta en todos los servidores virtuales SMTP ....... 218 Cómo establecer restricciones sobre un usuario .................................................................. 220 Antes de empezar .............................................................................................................. 220 Procedimiento .................................................................................................................... 220 Cómo establecer restricciones en un grupo de distribución ................................................. 222 Antes de empezar .............................................................................................................. 222 Procedimiento .................................................................................................................... 222 Cómo restringir los envíos a un servidor SMTP basándose en un grupo de seguridad ...... 223 Antes de empezar .............................................................................................................. 223 Procedimiento .................................................................................................................... 223 Cómo restringir la retransmisión basándose en un grupo de seguridad .............................. 224 Antes de empezar .............................................................................................................. 225 Procedimiento .................................................................................................................... 225 Configuración del filtrado y control del correo no deseado................................................... 226 Filtrado de la conexión....................................................................................................... 227 Filtrado de destinatarios .................................................................................................... 232 Habilitación del filtrado de destinatarios ............................................................................ 232 Cómo crear una lista global de aceptación ........................................................................... 236 Antes de empezar .............................................................................................................. 237 Procedimiento .................................................................................................................... 237 Cómo crear una lista global de rechazo ............................................................................... 238 Antes de empezar .............................................................................................................. 239 Procedimiento .................................................................................................................... 239 Cómo crear un filtro de conexión .......................................................................................... 240 Antes de empezar .............................................................................................................. 241 Procedimiento .................................................................................................................... 241 Cómo comprobar que Exchage 2003 está configurado para que no resuelva correo anónimo ........................................................................................................................................... 245 Antes de empezar .............................................................................................................. 246 Procedimiento .................................................................................................................... 246 Cómo configurar Exchange 2000 para que no resuelva direcciones de correo electrónico externas ............................................................................................................................. 247 Antes de empezar .............................................................................................................. 247 Procedimiento .................................................................................................................... 247 Cómo crear una filtro de destinatarios .................................................................................. 248 Antes de empezar .............................................................................................................. 248 Procedimiento .................................................................................................................... 249 Cómo aplicar un filtro de destinatarios a un servidor virtual SMTP ...................................... 250 Antes de empezar .............................................................................................................. 251 Procedimiento .................................................................................................................... 251 Cómo especificar una excepción a una regla de conexión .................................................. 252 Antes de empezar .............................................................................................................. 252 Procedimiento .................................................................................................................... 253 Cómo aplicar un filtro de conexión a un servidor virtual SMTP ............................................ 254 Antes de empezar .............................................................................................................. 254 Procedimiento .................................................................................................................... 254 Parte 4 ................................................................................................................................... 255 Solución de problemas de enrutamiento .............................................................................. 256 Uso de WinRoute ............................................................................................................... 256 Problemas frecuentes del estado de los vínculos ............................................................. 257 Propagación de estado de vínculos rotos ......................................................................... 265 Cómo ejecutar Remonitor.exe como cuenta local del sistema en modo inserción .............. 267 Antes de empezar .............................................................................................................. 268 Procedimiento .................................................................................................................... 268 Cómo suprimir la información de estado de los vínculos en un servidor ............................. 269 Antes de empezar .............................................................................................................. 269 Procedimiento .................................................................................................................... 270 Información adicional ......................................................................................................... 270 Solución de problemas del flujo de correo y SMTP .............................................................. 270 Uso de las colas SMTP y X.400 ........................................................................................ 272 Cómo utilizar telnet para probar la comunicación SMTP...................................................... 279 Antes de empezar .............................................................................................................. 279 Procedimiento .................................................................................................................... 280 Para más información ........................................................................................................ 281 Cómo ver las propiedades de una cola ................................................................................ 282 Antes de empezar .............................................................................................................. 282 Procedimiento .................................................................................................................... 282 Cómo ver mensajes de una cola .......................................................................................... 283 Antes de empezar .............................................................................................................. 283 Procedimiento .................................................................................................................... 283 Cómo comprobar los contadores de rendimiento de SMTP ................................................. 285 Antes de empezar .............................................................................................................. 285 Procedimiento .................................................................................................................... 285 Información adicional ......................................................................................................... 286 Cómo habilitar el Centro de seguimiento de mensajes en un servidor ................................ 289 Antes de empezar .............................................................................................................. 290 Procedimiento .................................................................................................................... 290 Para obtener más información .......................................................................................... 291 Cómo ver el registro de aplicación del Visor de sucesos ..................................................... 291 Antes de empezar .............................................................................................................. 291 Procedimiento .................................................................................................................... 291 Cómo ver el registro del sistema del Visor de sucesos ........................................................ 293 Antes de empezar .............................................................................................................. 293 Procedimiento .................................................................................................................... 293 Cómo modificar la configuración de registro para MSExchangeTransport .......................... 294 Antes de empezar .............................................................................................................. 294 Procedimiento .................................................................................................................... 294 Cómo establecer el registro en el nivel de depuración para el protocolo SMTP .................. 296 Antes de empezar .............................................................................................................. 296 Procedimiento .................................................................................................................... 296 Cómo habilitar el registro en el nivel de depuración para el categorizador de mensajes .... 297 Antes de empezar .............................................................................................................. 297 Procedimiento .................................................................................................................... 297 Solución de problemas de mensajes de informes de no entrega ......................................... 298 Herramientas para solucionar problemas de NDR ............................................................... 299 Estrategias y sugerencias para la solución de problemas .................................................... 300 Determinación de las posibles causas de un NDR ........................................................... 300 Uso de los registros de sucesos ........................................................................................ 318 Uso de Regtrace ................................................................................................................ 318 Cómo habilitar regtrace ......................................................................................................... 319 Antes de empezar .............................................................................................................. 319 Procedimiento .................................................................................................................... 319 Comprobación de los atributos necesarios de Active Directory ........................................... 321 Cómo actualiza los atributos el Servicio de actualización de destinatarios ...................... 325 Situaciones frecuentes de informes de no entrega .............................................................. 327 Problemas con Active Directory ........................................................................................ 328 Retraso en la entrega de mensajes por problemas en el servidor de catálogo global ..... 330 Informes de no entrega cuando se envía correo a una libreta personal de direcciones y una lista de contactos ............................................................................................................ 332 Envío de mensajes a una carpeta pública......................................................................... 333 Cómo determinar el servidor de expansión para un grupo de distribución .......................... 335 Antes de empezar .............................................................................................................. 335 Procedimiento .................................................................................................................... 335 Cómo corregir problemas por atributos que faltan ............................................................... 336 Antes de empezar .............................................................................................................. 337 Procedimiento .................................................................................................................... 337 Cómo especificar un servidor de catálogo global ................................................................. 337 Antes de empezar .............................................................................................................. 338 Procedimiento .................................................................................................................... 338 Referencia adicional de los NDR .......................................................................................... 340 Parte 5 ................................................................................................................................... 342 Descripción de los componentes internos del transporte ..................................................... 343 Recepción de correo de Internet ....................................................................................... 344 Envío de correo de Internet ............................................................................................... 345 Conceptos avanzados de estado de los vínculos ................................................................. 347 Componentes de estado de los vínculos .............................................................................. 347 Descripción del paquete OrgInfo .......................................................................................... 347 Descripción de los detalles del paquete OrgInfo .................................................................. 349 Servicios de servidor y nodos de enrutamiento .................................................................... 352 Actualizaciones del enrutamiento ......................................................................................... 353 Actualizaciones principales ............................................................................................... 354 Actualizaciones secundarias ............................................................................................. 354 Actualizaciones de usuario ................................................................................................ 355 Comunicaciones de las actualizaciones de la topología de enrutamiento ........................... 355 Actualizaciones del directorio a maestros de grupo de enrutamiento ............................... 356 Actualizaciones de maestros de grupo de enrutamiento a miembros de grupo de enrutamiento .................................................................................................................. 361 Cómo se comunican las actualizaciones en una conversación SMTP ............................. 365 Comandos SMTP y sus definiciones .................................................................................... 371 Comandos SMTP .............................................................................................................. 371 Receptores de sucesos ..................................................................................................... 374 Puertos frecuentes utilizados por Exchange ..................................................................... 375 Copyright ............................................................................................................................... 377 15 Guía de transporte y enrutamiento de Exchange Server Los servidores de Microsoft® Exchange utilizan el Protocolo simple de transferencia de correo (SMTP) para comunicarse entre sí y para enviar mensajes. SMTP forma parte del sistema operativo Microsoft Windows Server™ 2003 o Windows® 2000 Server. En la Guía de transporte y enrutamiento de Exchange Server se describen los componentes básicos del transporte y el enrutamiento, se explica el funcionamiento de SMTP en Exchange Server 2003, se ofrece información sobre la configuración de una topología de enrutamiento, se describen situaciones de implementación, se sugieren formas de proteger la infraestructura y se ofrecen sugerencias para la solución de problemas. Nota: Descargue la Guía de transporte y enrutamiento de Exchange Server 2003 para imprimir o leer el archivo sin conexión. Parte 1 Juntos, el enrutamiento y el transporte de mensajes son los responsables de la entrega de mensajes de forma interna y externa. El enrutamiento de mensajes es el modo en que fluyen los mensajes entre los servidores de la organización y hacia otros servidores externos. La topología de enrutamiento, basada en los conectores y los grupos de enrutamiento que defina, dictará la ruta que seguirán estos mensajes para alcanzar su destino final. El transporte determina el modo en que se procesan y entregan los mensajes. El Protocolo simple de transferencia de correo (SMTP) es el protocolo de transporte que utilizan los servidores de Microsoft® Exchange para comunicarse entre sí y enviar mensajes mediante la topología de enrutamiento. SMTP forma parte del sistema operativo Microsoft Windows Server? 2003 o Microsoft Windows® 2000 Server. Al instalar Exchange en un servidor que ejecuta Windows Server 2003 o Windows 2000 Server, Exchange amplía SMTP para admitir comandos de SMTP adicionales y proporcionar una mayor funcionalidad. Esta funcionalidad incluye la posibilidad de comunicar el estado de los vínculos (información sobre las rutas de mensajería disponibles y sus costos) y otras funciones de Exchange. La parte 1 contiene los temas siguientes: Descripción de los componentes de enrutamiento Se explica cómo funcionan los grupos de enrutamiento, los conectores y la información de estado de los vínculos para permitir una entrega de mensajes eficiente. 16 Descripción de SMTP y Exchange Server 2003 Ofrece una descripción detallada de SMTP, incluyendo el funcionamiento de SMTP en Exchange Server 2003, y explica el proceso de envío y recepción de correo de Internet. Dependencias del transporte de Exchange Server 2003 Se describen los componentes de los que depende SMTP y se explica la interacción de cada componente con SMTP. Descripción de los componentes de enrutamiento El enrutamiento determina cómo fluyen los mensajes entre los servidores de la organización de Microsoft® Exchange y para los usuarios externos a la organización. Para la entrega de mensajes internos y externos, Exchange utiliza el enrutamiento con el fin de determinar primero la ruta más eficiente y, después, la ruta disponible menos costosa. Los componentes del enrutamiento interno toman esta decisión basándose en los grupos de enrutamiento y en los conectores que usted configura, y en los espacios de direcciones y los costos asociados a cada ruta. El enrutamiento es responsable de las siguientes funciones: Determinar el siguiente salto (el siguiente destino para un mensaje en ruta hasta su destino final) según la ruta más eficiente. Intercambiar información de estado de los vínculos (el estado y la disponibilidad de los servidores y las conexiones entre los servidores) dentro y entre los grupos de enrutamiento. En este tema se explica cómo los grupos de enrutamiento, los conectores y la información de estado de los vínculos permiten una entrega de mensajes eficiente. Tipos de componentes de enrutamiento Los componentes del enrutamiento componen la topología, y las rutas empleadas para entregar correo interno y externo. El enrutamiento utiliza los siguientes componentes que usted define dentro de la topología de enrutamiento: Grupos de enrutamiento Conjuntos lógicos de servidores que se utilizan para controlar el flujo de correo y las referencias a carpetas públicas. Los grupos de enrutamiento comparten una o varias conexiones físicas. Dentro de un grupo de enrutamiento, todos los servidores se comunican y transfieren mensajes directamente entre sí. 17 Conectores Rutas designadas entre los grupos de enrutamiento, hacia Internet o hacia otro sistema de correo. Cada conector especifica una ruta unidireccional a otro destino. Información de estado de los vínculos Información acerca de grupos de enrutamiento, conectores y sus configuraciones que el enrutamiento utiliza para determinar la ruta de entrega más eficiente para un mensaje. Componentes del enrutamiento interno Los componentes del enrutamiento interno, en particular el motor de enrutamiento, que proporcionan y actualizan la topología de enrutamiento para los servidores de Exchange de su organización. Para obtener más información acerca de los componentes del enrutamiento interno, consulte Descripción de los componentes internos del transporte. Descripción de los grupos de enrutamiento En su estado predeterminado, Exchange Server 2003, como Exchange 2000 Server, funciona como si todos los servidores de una organización formasen parte de un único grupo de enrutamiento grande. Por lo tanto, cualquier servidor de Exchange puede enviar correo directamente a cualquier otro servidor de Exchange de la organización. Sin embargo, en aquellos entornos con necesidades administrativas especiales, una distribución geográfica y conectividad de red variable, puede aumentar la eficacia del flujo de mensajes si se crean grupos de enrutamiento y conectores de grupos de enrutamiento según la infraestructura de red y los requisitos administrativos. Al crear grupos de enrutamiento y conectores de grupo de enrutamiento, los servidores de un grupo de enrutamiento siguen enviándose mensajes directamente entre sí, pero utilizan el conector de grupo de enrutamiento de esos servidores con la mejor conectividad de red para comunicarse con servidores de otro grupo. Para obtener más información acerca de la creación de grupos de enrutamiento y las consideraciones necesarias, consulte Situaciones de implementación para la conectividad con Internet. Uso de grupos de enrutamiento en los modos nativo o mixto En Exchange Server 2003 y Exchange 2000 Server, las funciones administrativas y de enrutamiento se dividen en unidades distintas: Los grupos administrativos definen los límites administrativos lógicos para los servidores de Exchange. Los grupos de enrutamiento definen las rutas físicas por las que se transmiten los mensajes a través de la red. Si su organización de Exchange funciona en modo nativo, donde todos los servidores ejecutan Exchange 2000 Server o posterior, esta división entre grupos administrativos y grupos de enrutamiento permite crear grupos de enrutamiento que abarquen varios grupos administrativos y mover servidores entre grupos de enrutamiento que se encuentren en 18 grupos administrativos distintos. Esta funcionalidad también le permite separar las funciones de enrutamiento y de administración. Por ejemplo, puede administrar servidores de dos grupos administrativos centrales si sitúa los servidores de cada grupo administrativo en grupos de enrutamiento distintos, en función de la topología de la red y de los requisitos de uso. Sin embargo, la funcionalidad de los grupos de enrutamiento en un entorno de modo mixto, donde algunos servidores ejecutan Exchange Server 2003 o Exchange 2000 Server mientras otros ejecutan Exchange Server 5.5, es distinta de la del modo nativo. En modo mixto: No puede tener un grupo de enrutamiento que abarque varios grupos administrativos. No se pueden mover servidores entre grupos de enrutamiento que se encuentren en grupos administrativos diferentes. Esta situación se da porque la topología de enrutamiento de Exchange Server 5.5 está definida por sitios; es decir, por combinaciones lógicas de servidores conectados mediante una red confiable con un ancho de banda elevado. Los sitios proporcionan la funcionalidad tanto del grupo administrativo como del grupo de enrutamiento en Exchange Server 2003 y Exchange 2000 Server. Esta diferencia en la topología de enrutamiento limita la funcionalidad de los grupos de enrutamiento en un entorno en modo mixto. Descripción de los conectores Los conectores proporcionan una ruta unidireccional para el flujo de mensajes hasta un destino específico. Los conectores principales de Exchange Server 2003 son los siguientes: Conectores de grupo de enrutamiento Ofrecen una ruta unidireccional a través de la cual se enrutan los mensajes desde los servidores de un grupo de enrutamiento hasta los servidores de otro grupo de enrutamiento diferente. Los conectores de grupo de enrutamiento utilizan una conexión del Protocolo simple de transferencia de correo (SMTP) para permitir la comunicación con los servidores del grupo de enrutamiento conectado. Los conectores de grupo de enrutamiento son el método preferido para conectar grupos de enrutamiento. Conectores para SMTP Se utilizan para definir rutas aisladas para el correo destinado a Internet o a una dirección externa, o a un sistema de correo distinto de Exchange. No se recomienda ni se prefiere el uso del conector para SMTP con el fin de conectar grupos de enrutamiento. Los conectores para SMTP están diseñados para la entrega de correo externo. Conectores para X.400 Están diseñados principalmente para conectar servidores de Exchange con otros sistemas X.400 o servidores de Exchange Server 5.5 que no pertenecen a la organización de Exchange. Así, un servidor de Exchange Server 2003 puede enviar mensajes con el protocolo X.400 a través de este conector. 19 Importante: Los conectores para X.400 sólo están disponibles en Exchange Server 2003 Enterprise Edition. Cada conector tiene asociado un costo y un espacio de direcciones o un grupo de enrutamiento conectado que está designado como punto de destino del conector. A la hora de determinar la ruta más eficiente para un mensaje, la lógica de enrutamiento de Exchange examina primero el espacio de direcciones o el grupo de enrutamiento conectado definido en cada conector para buscar el destino que mejor coincida con el destino del mensaje y, después, el enrutamiento evalúa el costo asociado a cada conector. El enrutamiento sólo utiliza los costos cuando el espacio de direcciones definido o los grupos de enrutamiento conectados son iguales en dos conectores diferentes. En la próxima sección se explica cómo utiliza Exchange esta información. Descripción de la información del estado de los vínculos Exchange Server 5.5 utilizaba una Tabla de enrutamiento de direcciones de la puerta de enlace (GWART) para determinar la selección de rutas dentro de una organización de Exchange. Este método utiliza un algoritmo de enrutamiento por vector de distancia que puede dar lugar a bucles de enrutamiento en determinadas situaciones. Exchange Server 2003, al igual que Exchange 2000 Server, utiliza un algoritmo de enrutamiento de estado de los vínculos y un protocolo de enrutamiento para propagar la información del estado de los vínculos en forma de una tabla de estado de los vínculos que se almacena en memoria en todos los servidores de Exchange 2000 Server y Exchange Server 2003 de la organización. Un algoritmo de estado de los vínculos ofrece las siguientes ventajas: Cada servidor de Exchange puede seleccionar la ruta óptima de los mensajes en el origen, en lugar de enviar mensajes por una ruta en la que un vínculo (o una ruta) no está disponible. Los mensajes ya no van y vuelven entre los servidores porque cada servidor de Exchange tiene información actualizada sobre si hay disponibles rutas alternativas o redundantes. Ya no se producen bucles de mensajes. La tabla del estado de los vínculos contiene información acerca de la topología de enrutamiento de toda la organización de Exchange y de si cada conector dentro de la topología está disponible (activo) o no disponible (inactivo). Además, la tabla del estado de los vínculos contiene los costos y los espacios de direcciones asociados a cada conector disponible. Exchange utiliza esta información para determinar qué ruta tiene el costo menor para la dirección de destino. Si un conector de la ruta con el costo menor no se encuentra 20 disponible, Exchange determina la mejor ruta alternativa basándose en el costo y la disponibilidad de conectores. Entre los grupos de enrutamiento, la información del estado de los vínculos se comunica de forma dinámica mediante el verbo extendido de SMTP XLINK2STATE. Uso de la información de estado de los vínculos para la entrega de correo interno Para entender cómo funciona la información del estado de los vínculos y los costos de conectores, considere una topología de enrutamiento, en la que existen cuatro grupos de enrutamiento: Seattle, Bruselas, Londres y Tokio. Existen conectores entre cada grupo de enrutamiento y se les asignan costos según la velocidad de red y el ancho de banda disponible. Costos y topología de enrutamiento Si todas las conexiones entre los grupos de enrutamiento están disponibles, un servidor del grupo de enrutamiento Seattle siempre enviará un mensaje al grupo de enrutamiento Bruselas enviando el mensaje primero a través del grupo de enrutamiento Londres. Esta ruta tiene un costo de 20 y es la ruta con el menor costo disponible. Pero si el servidor cabeza de puente de Londres no está disponible, los mensajes cuyo origen sea Seattle y el destino sea Bruselas viajarán a través del grupo de enrutamiento Tokio, que tiene un costo mayor de 35. Hay que comprender un concepto importante y es que para que un conector se marque como no disponible, todos los servidores cabeza de puente para ese conector deben estar inactivos. Si ha configurado el conector del grupo de enrutamiento para utilizar la opción predeterminada Cualquier servidor local puede enviar correo por este conector, se considerará que el conector del grupo de enrutamiento siempre está en servicio. Para obtener más información acerca de cómo configurar conectores de grupo de enrutamiento, consulte "Conexión de grupos de enrutamiento" en Definición de grupos de enrutamiento. 21 Uso de la información de estado de los vínculos para la entrega de correo externo Para la entrega de correo externo, el enrutamiento utiliza la información de la tabla de estado de los vínculos para evaluar primero el conector que tiene el espacio de direcciones que se corresponda mejor con el destino y, después, evalúa el costo. El siguiente diagrama ilustra una empresa con la topología siguiente: Un conector para SMTP con un espacio de direcciones *.net y un costo de 20. Un conector para SMTP con un espacio de direcciones *, que engloba todas las direcciones externas y tiene un costo de 10. Cómo utiliza Exchange el espacio de direcciones para enrutar correo En esta topología, cuando se envía correo a un usuario externo cuya dirección de correo electrónico es [email protected], el enrutamiento busca primero un conector cuyo espacio de direcciones coincida mejor con el destino de treyresearch.net. El conector para SMTP que tiene el espacio de direcciones *.net es el que mejor coincide con el destino, por lo que el enrutamiento utiliza este conector, independientemente de su costo. Sin embargo, si se envía correo a un usuario cuya dirección es [email protected], el enrutamiento utilizará el conector para SMTP cuyo espacio de direcciones sea * porque es el que mejor coincide. El enrutamiento no evalúa el costo. Si existen dos conectores para SMTP y ambos tienen un espacio de direcciones * pero cada uno tiene un costo diferente, el enrutamiento utilizará la información de la tabla de estado de los vínculos y seleccionará el conector para SMTP que tenga el menor costo. El enrutamiento sólo utiliza el conector de mayor costo si el conector de menor costo no está disponible. Nota: Para obtener más información acerca de la información de los vínculos y cómo se propaga, consulte Conceptos avanzados de estado de los vínculos. El enrutamiento no conmuta por error desde un conector que tiene un espacio de direcciones específico a un conector que tiene un espacio de direcciones menos específico. En el caso 22 anterior, si todos los usuarios pueden emplear ambos conectores y un usuario intenta enviar correo a un usuario de treyresearch.net, el enrutamiento ve como su destino el conector que tiene el espacio de direcciones .net. Si este conector no está en servicio o no está disponible, el enrutamiento no intentará buscar un conector con un espacio de direcciones diferente y menos restrictivo como *, ya que lo considerará otro destino distinto. Sin embargo, en esta misma topología, suponga que existen restricciones en el conector que tiene el espacio de direcciones *.net y la restricción sólo permite que los usuarios del departamento de ventas envíen correo a través de este conector. En este caso, si este conector no está en servicio, el enrutamiento no volverá a enrutar el correo enviado por un usuario del departamento de ventas que vaya destinado a una dirección .net a través del conector que tiene la dirección *. Las colas de correo hasta el conector que tiene la dirección *.net estarán disponibles. Sin embargo, los usuarios que no sean del departamento de ventas nunca se verán afectados cuando este conector no esté disponible, ya que su correo siempre se enruta a través del conector para SMTP que tiene el espacio de direcciones *. Descripción de SMTP y Exchange Server 2003 Antes de configurar su organización de Exchange Server para enviar y recibir correo, debe comprender bien cómo el Protocolo simple de transferencia de correo (SMTP) hace posible el flujo de mensajes en Microsoft® Exchange Server 2003. Exchange Server 2003 utiliza SMTP para entregar el correo interno entre los servidores de Exchange y los grupos de enrutamiento. Del mismo modo, Exchange Server 2003 utiliza SMTP para entregar el correo de Internet fuera de la organización de Exchange. SMTP es el estándar de Internet para transportar y entregar mensajes electrónicos. Según las especificaciones de Request for Comments (RFC) 2821 y RFC 2822, el servicio SMTP de Microsoft está incluido en Microsoft Windows® 2000 Server y Windows Server? 2003. El servicio SMTP de Windows es un componente de Servicios de Internet Information Server (IIS) y se ejecuta como parte de Inetinfo.exe. Exchange Server 2003 utiliza el servicio SMTP de Windows como protocolo de transporte nativo; por tanto, Exchange utiliza SMTP para enrutar todos los mensajes internos y externos. Cómo Exchange Server amplía la funcionalidad SMTP Cuando Exchange S erver está instalado, amplía la funcionalidad SMTP subyacente al: Trasladar la administración del servicio SMTP (mediante servidores virtuales SMTP) desde la consola administrativa de IIS al Administrador del sistema de Exchange. 23 Implementar la compatibilidad con la información de estado de los vínculos. Exchange utiliza la información de estado de los vínculos para determinar cuál es el mejor método para enviar mensajes entre los servidores basándose en el estado actual de la conectividad de mensajería y el costo, y el gasto asociado a la ruta que usted define basándose en la topología. Ampliar SMTP para aceptar verbos de comandos que se utilizan para permitir el enrutamiento de estado de los vínculos y otra funcionalidad de Exchange. Al instalar Exchange se agregan los comandos siguientes: X-EXPS GSSAPI X-EXPS=LOGIN X-EXCH50 X-LINK2STATE Nota: Para ver una lista de todos los comandos SMTP y sus definiciones, consulte Comandos SMTP y sus definiciones. Configurar un controlador de almacén del Sistema de archivos instalable (IFS) de Exchange para permitir la recuperación de mensajes del almacén de Exchange y la entrega de mensajes en él. Establecer la ubicación del disco donde se ponen en cola los mensajes como \exchsrv\mailroot\vs 1\queue. Ésta es la ubicación del primer servidor virtual SMTP del servidor de Exchange. Si agrega un segundo servidor virtual SMTP, Exchange creará una ubicación adicional (\exchsrv\mailroot\vs 2\queue). Implementar la compatibilidad con cola de mensajes avanzada. Exchange mejora las capacidades de cola de mensajes de Windows 2000 y Windows Server 2003. El motor de cola de mensajes avanzada realiza las funciones de transporte subyacente de Exchange. Mejorar la categorización de los mensajes. La categorización de los mensajes es un proceso que realiza el categorizador de mensajes, un componente del motor de cola de mensajes avanzada. El categorizador envía consultas del Protocolo ligero de acceso a directorios (LDAP) al servidor de catálogo global para recuperar información de usuario y de configuración almacenada en el servicio de directorio Microsoft Active Directory®. El categorizador de mensajes recupera información de directivas de destinatarios y de los servidores virtuales de Exchange para hacer posible la entrega de mensajes. Utiliza esta información para validar la dirección del destinatario, para comprobar que no se superan los límites de mensajes y, en última instancia, para determinar cómo se entregará el mensaje mediante el enrutamiento de Exchange y SMTP. Un concepto importante que hay que entender acerca de SMTP, y Exchange 2000 Server y las versiones posteriores, es la interacción que se produce entre Exchange, Active Directory 24 y la metabase de IIS. Con el Administrador del sistema de Exchange, cualquier cambio de configuración que realice (por ejemplo en las directivas de destinatarios y en los servidores virtuales SMTP) se escribe en Active Directory, lo que permite realizar una administración remota de manera sencilla. Sin embargo, como el servicio SMTP lee su configuración de la metabase de IIS, el servicio DS2MB (que es un componente de Operador de sistema de Exchange) replica esta información de Active Directory en la metabase de IIS del servidor local. Recepción de correo de Internet Si se dan las condiciones siguientes, Exchange Server 2003 puede recibir correo de Internet en su configuración predeterminada: Hay una conexión constante a Internet. Nota: Las conexiones de acceso telefónico a Internet requieren una configuración especial. Para obtener más información acerca de las conexiones de acceso telefónico, consulte Cómo establecer una programación para el conector. Los servidores externos del Sistema de nombres de dominio (DNS) para su dominio deben tener registros de recursos de intercambio de correo (MX) que señalen a los servidores de correo o bien, si está utilizando un proveedor de servicios Internet (ISP) o un sistema externo, este sistema externo debe tener un registro MX para su dominio y un mecanismo para reenviar correo a los servidores de Exchange. El servidor de correo debe ser accesible para otros servidores de Internet. Si utiliza un ISP o un sistema externo para recibir el correo, este sistema externo debe poder ponerse en contacto con los servidores Exchange para entregar el correo. Las directivas de destinatarios deben estar configuradas correctamente. Para recibir correo de Internet, debe configurar una directiva de destinatario que contenga un espacio de direcciones que coincida con el dominio SMTP. Además, la organización de Exchange debe ser responsable de entregar correo a esta dirección (es el valor predeterminado). Por ejemplo, para aceptar correo de Internet para [email protected], debe tener una directiva de destinatarios que contenga @ejemplo.com. No obstante, hay algunas excepciones a esta regla. El correo entrante de Internet fluye a través de un servidor de Exchange de la manera siguiente: 1. El servidor SMTP emisor consulta DNS para buscar la dirección IP del servidor de correo SMTP del destinatario. 2. El servidor SMTP emisor inicia entonces una conversación en el servidor SMTP del destinatario (en el puerto 25). En una puerta de enlace de Exchange, el servidor SMTP 25 del destinatario es el servidor virtual SMTP configurado para aceptar correo entrante de Internet. 3. Idealmente, el servidor SMTP entrante sólo acepta el mensaje entrante si va dirigido a un destinatario de su dominio de correo SMTP. Estos destinatarios se definen en las directivas de destinatarios (a menos que el servidor esté abierto a la retransmisión, que no se recomienda en absoluto). Nota: Si deja el sistema abierto para la retransmisión, usuarios no autorizados pueden utilizar sus servidores para enviar correo a direcciones externas. Por tanto, su sistema puede incluirse en una lista de bloqueo; se trata de un proceso que bloquea el correo procedente de servidores que son sospechosos de enviar correo electrónico comercial no solicitado. 4. Cuando se acepta el mensaje, el servidor virtual SMTP utiliza los mecanismos de transporte presentes en Exchange con el fin de determinar el método para entregar el mensaje. Exchange busca al destinatario en Active Directory y determina qué servidor de la organización de Exchange entregará el mensaje. 5. Por último, el servidor virtual SMTP utiliza sus mecanismos internos de transporte para entregar el mensaje al servidor de Exchange apropiado. Envío de correo de Internet Suponiendo que haya una conexión constante a Internet, Exchange envía el correo de Internet mediante los métodos siguientes: Utiliza DNS directamente para ponerse en contacto con el servidor de correo remoto. Enruta el correo a través de un host inteligente que asume la responsabilidad de la resolución de nombres DNS y la entrega del correo. Antes de describir en detalle cada uno de estos métodos, debe tener una idea general de cómo fluye el correo externo en una organización de Exchange. El correo saliente de Internet fluye a través de un servidor de Exchange Server 2003 de la manera siguiente: 1. Un usuario interno envía un mensaje a un destinatario de un dominio remoto. 2. Para determinar si el destinatario es local o remoto, el servidor virtual SMTP del servidor de Exchange del remitente utiliza funciones internas de transporte para consultar la dirección del destinatario en el servidor de catálogo global. Si la dirección del destinatario del mensaje no figura en una directiva de destinatarios, no se almacena en Active Directory; por tanto, Exchange determina que el mensaje va destinado a un dominio remoto. 26 3. Si es necesario, el servidor de Exchange entrega el mensaje al servidor virtual SMTP apropiado. 4. El servidor virtual SMTP utiliza la información de su metabase de IIS para determinar el método de entrega de un mensaje a un dominio remoto. 5. El servidor virtual SMTP del servidor de Exchange realiza entonces una de dos acciones posibles: Utiliza DNS para buscar la dirección IP del dominio de destino y después intenta entregar el mensaje. Reenvía el mensaje a un host inteligente que asume la responsabilidad de la resolución de nombres DNS y la entrega del mensaje. Descripción del servidor virtual SMTP Los servidores virtuales SMTP proporcionan los mecanismos de Exchange para administrar SMTP. Cada servidor virtual SMTP representa una instancia del servicio SMTP que se ejecuta en el servidor de Exchange. El Administrador del sistema de Exchange se utiliza para configurar los servidores virtuales SMTP que controlan el comportamiento de SMTP. Básicamente, un servidor virtual SMTP es una pila del protocolo SMTP (un proceso o un servidor que recibe mensajes de correo electrónico y actúa como cliente para enviar mensajes de correo electrónico). Cada servidor virtual SMTP representa una instancia del servicio SMTP de un servidor. Un servidor virtual SMTP está definido por una combinación única de una dirección IP y un número de puerto. El servidor virtual SMTP predeterminado utiliza todas las direcciones IP disponibles del servidor y emplea el puerto 25 para las conexiones entrantes. Un único servidor físico puede alojar varios servidores virtuales. Para controlar la mayor parte de los valores de configuración de SMTP se utiliza el Administrador del sistema de Exchange. La configuración de las propiedades del servidor virtual SMTP controla la configuración del correo entrante y, en menor medida, del correo saliente. Importante: Como un servidor virtual SMTP desempeña un papel fundamental en la entrega de correo, tenga cuidado cuando modifique la configuración de sus propiedades. Por ejemplo, el servidor virtual SMTP predeterminado envía mensajes dentro de un grupo de enrutamiento. Además, si el servidor es un controlador de dominio, Active Directory utiliza este servidor virtual para la replicación de directorios SMTP. Por tanto, en lugar de modificar el servidor virtual SMTP predeterminado, se recomienda que cree un servidor virtual SMTP adicional o que cree un conector para SMTP con el fin de reemplazar la configuración predeterminada del servidor virtual. 27 Conceptos erróneos acerca del uso de varios servidores virtuales SMTP Una equivocación frecuente es pensar que la creación de varios servidores virtuales SMTP en un único servidor de Exchange aumenta el rendimiento. Es importante comprender que cada servidor virtual SMTP es multiproceso. La creación de servidores virtuales SMTP adicionales en un único servidor de Exchange no mejora el rendimiento y plantea una complejidad adicional en la organización de Exchange. Por ejemplo, un caso en el que se requieren varios servidores virtuales SMTP es una configuración de servidor de base dual. En la mayoría de los demás casos, suele ser suficiente con utilizar el servidor virtual SMTP predeterminado con su configuración predeterminada. Configuración del correo entrante en el servidor virtual SMTP Puede utilizar la configuración de propiedades del servidor virtual para configurar las siguientes opciones de entrada: Puertos y direcciones IP de entrada El servidor virtual SMTP escucha en la dirección IP que tiene asignada para las comunicaciones entrantes y acepta conexiones de entrada en su puerto asignado. Para configurar estas opciones, utilice la ficha General de las propiedades del servidor virtual SMTP. Importante: El servicio SMTP define el puerto 25 como su puerto estándar. No cambie esta configuración. Nota: Tras la instalación en su configuración inicial, el servidor virtual predeterminado se conecta al servidor SMTP remoto en el puerto 25 para enviar el correo de salida. Se trata de una opción diferente de la opción del puerto de entrada. Para configurar esta opción, utilice el botón Conexiones salientes de la ficha Entrega. Restricciones de retransmisión Para impedir que los usuarios no autorizados utilicen su servidor para enviar mensajes a direcciones externas, utilice el botón Retransmisión de la ficha Acceso. De manera predeterminada, el servidor virtual SMTP predeterminado sólo retransmite mensajes para los usuarios autenticados. Restricción de los permisos de envío y retransmisión a determinados usuarios y grupos En Exchange Server 2003 puede limitar quién puede enviar correo a un servidor virtual SMTP mediante los botones Retransmisión y Autenticación de la ficha Acceso. 28 Seguridad Puede requerir Seguridad del nivel de transporte (TLS), una implementación de Secure Sockets Layer (SSL), en las conexiones entrantes. También puede configurar otras opciones como las restricciones de conexiones entrantes, la optimización del rendimiento y el tratamiento de las notificaciones de informes de entrega. Configuración del correo saliente en el servidor virtual SMTP Si desea que su servidor virtual SMTP envíe correo directamente a Internet, puede configurar las opciones del correo saliente. En concreto, puede configurar el servidor virtual para que utilice un servidor DNS externo para resolver direcciones externas y envíe el correo directamente a servidores de correo externos a su organización. Importante: Como un servidor virtual SMTP desempeña un papel fundamental en la entrega de correo, tenga cuidado cuando modifique la configuración de sus propiedades. Por ejemplo, el servidor virtual SMTP predeterminado envía mensajes dentro de un grupo de enrutamiento. Además, si el servidor es un controlador de dominio, Active Directory utiliza este servidor virtual para la replicación de directorios SMTP. Por tanto, en lugar de modificar el servidor virtual SMTP predeterminado, se recomienda que cree un servidor virtual SMTP adicional o que cree un conector para SMTP con el fin de reemplazar la configuración predeterminada del servidor virtual. En muchos casos, es preferible (aunque no necesario) configurar un conector para SMTP con el fin de que trate el correo saliente. Para obtener más información acerca de los conectores para SMTP, consulte Descripción de los conectores para SMTP. Nota: Si utiliza un conector para SMTP, reemplazará algunas opciones del correo saliente y controles para la entrega de este tipo de correo. Para controlar la entrega saliente en el servidor virtual, puede configurar las opciones siguientes: Puerto saliente Restricciones salientes Opciones de entrega saliente Seguridad saliente Optimización del rendimiento Notificación de los informes de entrega 29 Para obtener más información acerca de cómo configurar estas opciones, consulte "Configuración de las opciones de salida en servidores virtuales SMTP" en Conexión de Exchange a Internet. Cómo establecer restricciones de retransmisión La retransmisión es la posibilidad de reenviar correo a otros dominios que no sean el suyo. En concreto, la retransmisión se produce cuando se utiliza una conexión entrante en su servidor SMTP para enviar mensajes de correo electrónico a dominios externos. De forma predeterminada, el servidor de Exchange acepta correo enviado por usuarios internos o autenticados y lo envía a un dominio externo. Si su servidor está abierto para la retransmisión, o si la retransmisión no está protegida en el servidor, usuarios no autorizados pueden utilizar su servidor para enviar correo electrónico comercial no solicitado. Por tanto, para proteger el servidor virtual SMTP es crucial que establezca restricciones de retransmisión. Es importante comprender la diferencia existente entre la retransmisión autenticada y la retransmisión anónima o abierta: Retransmisión autenticada Permite que los usuarios internos envíen correo a dominios ajenos a la organización de Exchange, pero requiere la autenticación antes de enviar el correo. De forma predeterminada, Exchange sólo permite la retransmisión autenticada. Retransmisión anónima Permite que cualquier usuario se conecte al servidor de Exchange y lo utilice para enviar correo fuera de la organización de Exchange. Los ejemplos siguientes muestran cómo Exchange Server 2003 acepta y retransmite correo mediante la retransmisión autenticada: Un usuario anónimo se conecta al servidor virtual SMTP e intenta entregar correo a un usuario interno de la organización de Exchange. En esta situación, el servidor virtual SMTP acepta el mensaje porque va destinado a un dominio interno y porque el usuario existe en Active Directory. Un usuario anónimo se conecta al servidor virtual SMTP e intenta entregar correo a un usuario externo de un dominio externo. En esta situación, el servidor virtual SMTP rechaza el correo porque va destinado a un dominio externo del cual el servidor de Exchange no es responsable. Como el usuario no está autenticado, el servidor virtual SMTP no retransmite este correo fuera de la organización de Exchange. 30 Un usuario se conecta al servidor virtual SMTP mediante un cliente de Protocolo de oficina de correo (POP) o de Protocolo de acceso a correo de Internet (IMAP), como Microsoft Outlook® Express, se autentica e intenta enviar un mensaje a un usuario de un dominio externo. En esta situación, el cliente de correo electrónico se conecta directamente al servidor virtual SMTP y autentica al usuario. Aunque el mensaje va dirigido a un dominio remoto, el servidor virtual SMTP acepta y retransmite este correo porque el usuario está autenticado. Mediante las funciones de control de retransmisión de Exchange Server 2003 puede impedir que terceras partes retransmitan correo a través de su servidor. El control de la retransmisión le permite especificar una lista de pares de direcciones IP remotas y máscaras de subred entrantes con permiso para retransmitir correo a través de su servidor. Exchange comprueba la dirección IP entrante del cliente SMTP en la lista de redes IP con permiso para retransmitir correo. Si el cliente no dispone de permiso para retransmitir correo, sólo se permitirá el correo dirigido a destinatarios locales. También puede implementar el control de la retransmisión por dominio. Sin embargo, este método requiere la implementación de la resolución DNS inversa, que se controla en el nivel de servidor virtual SMTP. Configuración de restricciones de retransmisión predeterminadas De manera predeterminada, el servidor virtual SMTP sólo permite la retransmisión de los usuarios autenticados. Esta configuración está diseñada para impedir que los usuarios no autorizados utilicen su servidor de Exchange para retransmitir correo. La configuración predeterminada del servidor virtual sólo permite que los equipos autenticados retransmitan correo. 31 Restricciones de retransmisión predeterminadas El correo electrónico comercial no solicitado suele provenir de una dirección suplantada o falsificada y, por lo general, se retransmite mediante un servidor que no tiene protegida la retransmisión. Por eso, de manera predeterminada, Exchange Server 2003 sólo permite la retransmisión a los usuarios autenticados. Tenga cuidado cuando cambie esta opción; muchos proveedores de Internet bloquean los servidores que permiten la retransmisión abierta. Descripción de los conectores para SMTP Los conectores para SMTP se utilizan principalmente para conectarse a otros sistemas de correo o para definir opciones adicionales para una puerta de enlace SMTP de Internet. Los conectores para SMTP también pueden utilizarse para conectar un grupo de enrutamiento con otro grupo de enrutamiento internamente, pero en general no se recomienda emplear un conector para SMTP para ello. Básicamente, los conectores para SMTP le permiten designar una ruta aislada para que los mensajes fluyan a un dominio específico o a través de Internet. Una ventaja que presenta el uso de un conector para SMTP es que puede especificar opciones adicionales de configuración que afecten a la entrega de correo. Entre estas opciones se incluyen: 32 Entrega de correo saliente Cuando configura un conector puede enrutar el correo de dos formas diferentes: Usar DNS para enrutar todo el correo saliente a través del conector. Si utiliza DNS para enrutar el correo saliente, el conector para SMTP emplea DNS para resolver la dirección IP del servidor SMTP remoto y, a continuación, entrega el correo. Especificar un host inteligente (otro servidor al que el conector enruta todo el correo). El host inteligente asume la responsabilidad de la resolución DNS y entrega el correo. Servidores cabeza de puente locales Un servidor virtual SMTP aloja un conector. Al crear un conector, designa al menos un servidor de Exchange y un servidor virtual SMTP como servidores cabeza de puente. El conector hereda las restricciones de tamaño y otras opciones del servidor virtual SMTP; sin embargo, puede reemplazar estas opciones en el conector. También puede designar varios servidores cabeza de puente para lograr equilibrio de carga, rendimiento y redundancia. Espacio de direcciones El espacio de direcciones define las direcciones o los dominios de correo para los mensajes de correo electrónico que desea enrutar a través de un conector. Por ejemplo, un espacio de direcciones * (asterisco) engloba todos los dominios externos; este conector se utiliza para enrutar todo el correo electrónico externo. Si creara un segundo conector con un espacio de direcciones *.net, Exchange enrutaría a través del segundo conector todo el correo enviado a un dominio que tuviera una extensión .net. Esto ocurre porque Exchange selecciona el conector que tiene el espacio de direcciones más parecido. Esta opción se configura en la ficha Dirección de las propiedades del conector para SMTP. Ámbito Puede seleccionar una organización entera o un grupo de enrutamiento para el ámbito del conector. El ámbito también se define en la ficha Dirección de las propiedades del conector para SMTP. Restricciones de entrega Puede restringir quién puede enviar correo a través de un conector. De forma predeterminada, se acepta el correo de cualquier remitente. Estas opciones se configuran en la ficha Entrega de las propiedades del conector para SMTP. Nota: De forma predeterminada, no puede restringir el correo a menos que cambie los valores de las claves del Registro. Si elige habilitar la restricción de entrega, debe saber que esto consume mucho tiempo de procesador y puede afectar negativamente al rendimiento del servidor. Para obtener más información acerca 33 de cómo habilitar las restricciones de entrega, consulte Cómo establecer restricciones de entrega en el conector para SMTP. Restricciones de contenido Puede especificar el tipo de mensajes que se entregan a través de un conector. Estas opciones se configuran en la ficha Restricciones de contenido de las propiedades del conector para SMTP. Opciones de entrega Si se conecta a un proveedor de servicios de red para recuperar el correo, puede configurar un conector para que se ejecute con una programación establecida e implemente funciones avanzadas de cola y eliminación de la cola de mensajes. Estas opciones se configuran en la ficha Opciones de entrega de las propiedades del conector para SMTP. Comunicación SMTP Puede controlar cómo utiliza SMTP el conector para comunicarse con otros servidores SMTP. En concreto, puede especificar si el conector utiliza comandos de SMTP o del Protocolo simple de transferencia de correo extendido (ESMTP) para iniciar una conversación con otro servidor, y controlar el uso de los comandos ERTN y TURN (estos comandos se emplean para solicitar que otro servidor SMTP envíe todos los mensajes de correo electrónico que tenga). Estas opciones se configuran en la ficha Opciones avanzadas de las propiedades del conector para SMTP. Seguridad saliente También puede asegurarse que todo el correo que fluya a través del conector esté autenticado. Esto resulta útil si desea establecer una ruta segura para comunicarse con una compañía asociada. Con esta configuración puede establecer un método de autenticación y requerir cifrado TLS. Todas estas opciones se configuran mediante el botón Seguridad saliente de la ficha Opciones avanzadas de las propiedades del conector para SMTP. Funciones de un conector para SMTP SMTP utiliza DNS para determinar la dirección IP de su siguiente servidor de destino. Para enviar correo directamente a un servidor de correo externo, un conector para SMTP debe utilizar DNS para resolver nombres de dominios externos. Como alternativa, el conector puede reenviar simplemente el correo a un host inteligente que asume la responsabilidad de la resolución de nombres DNS y la entrega. Después de configurar un conector para SMTP, siempre y cuando la dirección de destino coincida con el espacio de direcciones configurado en el conector para SMTP, los servidores dejarán de enrutar el correo directamente; en su lugar, los servidores enrutarán el correo a 34 través del conector para SMTP. (Estos servidores se llaman servidores de puerta de enlace o servidores cabeza de puente). Para ilustrar este concepto, suponga que desea que todo el correo externo se enrute a través de un conector a un servidor cabeza de puente, que es el único servidor que se comunica con Internet. Para configurarlo, cree un conector en el servidor cabeza de puente con un espacio de direcciones * (asterisco), que especifica todos los dominios externos. Cuando se envía correo electrónico a un dominio externo, Exchange lo enruta automáticamente a este conector, en lugar de que un servidor virtual SMTP envíe el correo externo directamente. Si tiene más de un conector, Exchange intentará primero enrutar el correo a través del conector que tenga el espacio de direcciones más parecido (que es el espacio de nombres más restrictivo). Nota: En un entorno de modo mixto, si tiene un Conector para correo de Internet de Exchange Server versión 5.5, Exchange Server 2003 tratará este conector como una ruta válida. Si tiene problemas al enviar o recibir mensajes de correo electrónico de Internet, compruebe las colas MTA del servidor de Exchange Server 5.5 y las colas X.400 del servidor de Exchange Server 2003. Exchange Server 2003 utiliza el MTA para comunicarse con versiones anteriores de Exchange. Usos de un conector para SMTP Debido a la funcionalidad de servidor virtual de Exchange Server 2003, no es necesario crear un conector para SMTP con el fin de permitir el flujo de correo, conectarlo a otros servidores de una organización de Exchange ni conectarlo a Internet. Además, no necesita un conector si todos los servidores de Exchange Server 2003 se conectan a Internet y realizan correctamente búsquedas del Sistema de nombres de dominio (DNS) para direcciones de Internet. Sin embargo, aunque no es esencial para la entrega de correo de Internet, las ventajas de utilizar un conector para SMTP son las siguientes: Ofrece una administración simplificada. Ofrece una exposición limitada en Internet. Establece una ruta aislada para la comunicación con otro dominio o con otro sistema de correo. Enruta el correo a otro sistema de correo o retransmite correo a otro dominio. Permite que haya varios servidores cabeza de puente para equilibrar la carga. Permite controlar cómo se utiliza SMTP para comunicarse con otros servidores. Permite horas de conexión programadas con opciones personalizadas. 35 Las secciones siguientes ofrecen información detallada acerca de cada una de estas ventajas. Para obtener más información acerca de los conectores para SMTP, consulte en Microsoft Knowledge Base el artículo 294736, "When to Create SMTP Connectors in Exchange 2000 and Later". Simplificar la administración del flujo de correo Un conector para SMTP proporciona más control administrativo sobre cómo fluye el correo de Internet fuera de su organización. Puede utilizar un conector para SMTP, o un conjunto de conectores, para limitar las rutas disponibles para el correo de Internet saliente. Además, como sólo necesita comprobar las colas SMTP y otras configuraciones en un único servidor, el uso de un único servidor como servidor cabeza de puente simplifica la solución de problemas. Limitar la exposición a Internet Una de las principales ventajas de crear un conector para SMTP es que puede enrutar todo el correo SMTP externo entrante o saliente a través de un servidor determinado o de un conjunto de servidores cabeza de puente. Al designar una ruta aislada para el correo de Internet que utiliza un conector, limita la exposición de su organización de Exchange en Internet. Si desea utilizar un conector para SMTP con el fin de enrutar el correo de Internet, especifique un servidor o un conjunto de servidores como puerta de enlace para Internet, cree un conector para SMTP y designe dichos servidores como los servidores cabeza de puente del conector. Aislar una ruta para comunicarse con otros dominios También puede utilizar un conector para SMTP con el fin de establecer una ruta aislada para comunicarse con otros dominios. Este enfoque puede ser muy útil cuando desee utilizar comunicaciones seguras con una empresa concreta. En las versiones anteriores de Exchange puede configurar opciones para cada dominio de correo electrónico. Si bien estas opciones no están disponibles en Exchange Server 2003, puede crear varios conectores para SMTP, establecer espacios de direcciones para estos conectores y especificar las opciones que desee para dichos dominios. Por ejemplo, suponga que desea utilizar SSL para proteger todos los mensajes de correo electrónico enviados a los militares pero no desea utilizar SSL para otras comunicaciones por correo electrónico. Para conseguirlo necesita dos conectores para SMTP: Uno con un espacio de direcciones SMTP:*.mil Uno con un espacio de direcciones SMTP:* Como Exchange enruta todo el correo a través del conector que coincida en mayor medida con el espacio de direcciones, todo el correo destinado al dominio .mil intentará pasar inicialmente a través del conector *.mil. Puede especificar que el conector *.mil 36 envíe correo sólo a un servidor (un host inteligente), y que utilice SSL y requiera autenticación. Como el enrutamiento considera que *.mil y * son dos destinos diferentes, si el conector *.mil no está disponible, el correo se pondrá en cola hasta que el conector esté disponible. El correo no se vuelve a enrutar a través del conector para SMTP que utiliza el espacio de direcciones *. Equilibrio de carga con varios servidores cabeza de puente Cuando tiene un único conector alojado por varios servidores cabeza de puente, los servidores que utilizan el conector seleccionan aleatoriamente el servidor cabeza de puente que utilizan, por lo que se equilibra la carga de solicitudes entre los servidores cabeza de puente. La situación es distinta si tiene varios conectores con el mismo espacio de direcciones, cada uno de los cuales con un único servidor cabeza de puente. Los servidores que utilizan estos conectores emplean un método basado en el GUID del servidor para determinar cuál de los conectores disponibles utilizarán. El algoritmo puede no distribuir equitativamente las selecciones de servidores entre los conectores disponibles. Por eso, para lograr equilibrio de la carga, se recomienda que utilice un único conector para varios servidores cabeza de puente. Usar determinados comandos SMTP o ESMTP Puede utilizar un conector para controlar cómo utilizan SMTP los servidores de Exchange para comunicarse con otros servidores. Para iniciar sesiones SMTP puede elegir si su servidor utilizará comandos ESMTP o SMTP y puede controlar qué tipo de comandos emite su servidor. Cuando configura una conexión SMTP están disponibles las siguientes opciones de comunicación: Enviar o no enviar comandos ETRN/TURN del servidor o del cliente. TURN es un comando SMTP que permite que el cliente y el servidor intercambien las funciones, y envíen correo en la dirección contraria sin tener que establecer una conexión nueva. ETRN es un comando ESMTP enviado por un servidor SMTP para solicitar que otro servidor envíe todos los mensajes de correo electrónico que tenga. Puede utilizar estos comandos si depende de un proveedor de servicios de red para alojar el correo por usted y entregarlo a petición. Solicitar ETRN/TURN desde servidores específicos. Enviar HELO (un comando SMTP) en lugar de EHLO (un comando ESMTP). HELO es un comando SMTP enviado por un cliente para identificarse a sí mismo, normalmente con un nombre de dominio; EHLO es un comando ESMTP con el cual un servidor identifica su compatibilidad con comandos ESMTP. Programar y personalizar conexiones salientes Puede utilizar un conector para abrir una conexión saliente a las horas especificadas. Esta funcionalidad es útil si utiliza un proveedor de servicios de red para entregar el 37 correo saliente o si tiene un ancho de banda limitado y desea controlar cuándo se envía el correo externo. También puede configurar un conector para: Permitir prioridades alta, normal o baja de mensajes para un dominio. Permitir mensajes del sistema o que no sean del sistema. Utilizar horas de entrega diferentes para mensajes sobredimensionados. Poner en cola los mensajes para su entrega remota desencadenada. Establecer determinadas restricciones de entrega. Dependencias del transporte de Exchange Server 2003 Para poder funcionar correctamente, el Protocolo simple de transferencia de mensajes (SMTP) depende de los componentes siguientes: Servicios de Internet Information Server (IIS), una característica de Microsoft® Windows Server? 2003 Servicio de directorio Microsoft Active Directory® Sistema de nombres de dominio (DNS) Directivas de destinatarios Servicio de actualización de destinatarios Servicio de directorio para servicio de metabase (DS2MB) Este tema proporciona información detallada sobre cada uno de estos componentes y sobre cómo interactúan con SMTP. Servicios de Internet Information Server Servicios de Internet Information Server (IIS) ofrece un proceso marco para servicios de Internet como el Servicio de publicación World Wide Web (W3SVC), el servicio SMTP (SMTPSVC) y el servicio Protocolo de transferencia de noticias a través de la red (NntpSvc). No debe confundir IIS con los servicios Web ya que otros servicios, como SMTP, dependen de IIS para poder funcionar. La instalación de IIS ofrece lo siguiente: El proceso básico conocido como Servicio de administración de IIS (IISADMIN), que permite la administración de servicios a través del complemento IIS. 38 Consolas administrativas o complementos para Microsoft Management Console (MMC). La metabase de IIS, que es el repositorio de configuración para IIS. Archivos comunes, que son bibliotecas compartidas que ofrecen agrupación de conexiones de sockets, registro y administración de estos servicios de Internet. El programa de configuración de Microsoft Exchange 2000 Server y Exchange Server 2003 requiere que estén instalados el Servicio de publicación World Wide Web, así como los servicios SMTP y NNTP. Este requisito previo asegura que todos los componentes necesarios estén instalados antes de la instalación de Exchange. Exchange aprovecha el servicio básico SMTP mediante una infraestructura de sucesos. (Para obtener más información acerca de las infraestructuras de sucesos, consulte el MSDN® Web site.) Una vez instalado Exchange, el servicio SMTP sólo depende del Servicio de administración de IIS. Puede deshabilitar el Servicio de publicación World Wide Web sin afectar por ello al servicio SMTP; sin embargo, no puede utilizar la opción Agregar o quitar componente de Windows de Agregar o quitar programas para deshabilitar el Servicio de administración de IIS ni para quitar el componente IIS en su totalidad. La instalación de IIS crea varios directorios virtuales bajo el Servicio de publicación World Wide Web que no son necesarios para ningún componente de Exchange, incluyendo Microsoft Outlook® Web Access. Para ayudar a proteger IIS, Microsoft ofrece las herramientas siguientes: URLScan versión 2.5 para Windows Server 2003 URLScan versión 2.5 es una herramienta de seguridad que restringe los tipos de solicitudes HTTP que IIS procesará. Para mejorar la seguridad del servidor donde se ejecuta Windows Server 2003, ejecute URLScan. Puede descargar URLScan desde el Centro de descarga de Microsoft. Para obtener más información acerca de URLScan, consulte en Microsoft Knowledge Base el artículo 823175, "Fine-Tuning and Known Issues When You Use the Urlscan Utility in an Exchange 2003 Environment". IIS Lockdown Wizard para Windows® 2000 Server IIS Lockdown Wizard es una herramienta de seguridad que quita los directorios virtuales innecesarios, mejora la seguridad de los archivos y procesa las solicitudes URL en tiempo real con las configuraciones definidas por los usuarios. Para aumentar la protección en el caso improbable de que el Servicio de publicación World Wide Web se iniciara con un error, si está ejecutando Exchange en servidores con Windows 2000, debe implementar IIS Lockdown Wizard en todos los servidores de Exchange y en todos los controladores de dominio. Puede descargar IIS Lockdown Wizard desde el Centro de descargas de Microsoft. Para obtener más información acerca de cómo utilizar IIS Lockdown Wizard, consulte "Uso de IIS Lockdown Wizard en Windows 2000 Server" en Protección de la infraestructura. 39 Active Directory Exchange Server 2003 está estrechamente integrado con Windows 2000 y Windows Server 2003, y con Active Directory. Exchange Server 2003 almacena toda la información de su configuración en Active Directory, incluida la información acerca de directivas de destinatarios, la configuración de enrutamiento y de los conectores, la configuración de los servidores virtuales SMTP, los buzones de usuario, etc. Sin embargo, SMTP lee su configuración de la metabase de IIS. Por tanto, para proporcionar a IIS la información que necesita para la funcionalidad SMTP, el Operador de sistema de Microsoft Exchange (un servicio de los Servicios predeterminados de Exchange) replica la información de configuración de Active Directory en la metabase de IIS. Además, el enrutamiento utiliza Active Directory para buscar información acerca de la topología de enrutamiento actual. Cuando se inicia, cada servidor de Exchange lee información de Active Directory sobre la topología de enrutamiento, como la configuración existente de los conectores, los grupos de enrutamiento, y los servidores cabeza de puente locales y remotos. Si un objeto como un grupo de enrutamiento o un conector está dañado, no se leerá de Active Directory. Cuando esto ocurre, los servidores tienen una visión incompleta de la topología. Supervise el suceso 929 en el Visor de sucesos para detectar esta situación. Para obtener más información acerca del Visor de sucesos, consulte Cómo ver el registro de aplicación del Visor de sucesos y Cómo ver el registro del sistema del Visor de sucesos. Después del inicio, el maestro del grupo de enrutamiento (el servidor responsable de mantener y comunicar la información sobre la topología de enrutamiento en este grupo de enrutamiento) de cada grupo de enrutamiento se registra en Active Directory y recibe una notificación del controlador de dominio de configuración sobre los principales cambios de versión del enrutamiento. Cuando un maestro de grupo de enrutamiento recibe una actualización a la topología de enrutamiento, envía la información actualizada a todos los servidores miembro de su grupo de enrutamiento y notifica a todos los servidores cabeza de puente de los grupos de enrutamiento remotos. Estos servidores cabeza de puente notifican entonces a sus respectivos maestros de grupo de enrutamiento. Además, el categorizador (un componente interno del transporte) tiene acceso a una versión en caché de la información de Active Directory mediante DSAccess o consultando directamente Active Directory mediante consultas LDAP. Para obtener más información acerca del categorizador, consulte Descripción de los componentes internos del transporte. Sistema de nombres de dominio (DNS) Si bien un análisis y una explicación completos de DNS queda fuera del ámbito de esta guía, esta sección ofrece información acerca de la relación existente entre DNS y SMTP en Exchange. Como Exchange Server 2003 utiliza DNS para la resolución de nombres, DNS desempeña un papel crucial en el flujo de correo de Internet. 40 SMTP depende de DNS para determinar la dirección del Protocolo Internet (IP) del próximo servidor de destino interno o externo. Normalmente, los nombres DNS internos no se publican en Internet. Por tanto, SMTP debe poder ponerse en contacto con un servidor DNS que pueda resolver nombres DNS externos para enviar correo de Internet, así como con un servidor DNS que pueda resolver nombres DNS internos para la entrega dentro de la organización. Para obtener información acerca de cómo configurar DNS para el envío y la recepción de correo, consulte Comprobación del diseño y de la configuración de DNS. Las próximas secciones ofrecen una descripción general de las consultas DNS, y una explicación del papel que desempeña DNS a la hora de enviar y recibir correo. Cómo funcionan las consultas DNS externas Cuando un cliente DNS necesita resolver el nombre de un servidor, consulta los servidores DNS. Cada consulta que el cliente envía pregunta al servidor DNS cierta información. El cliente especifica el tipo de consulta, que puede indicar un registro de recurso por tipo o un tipo especializado de operación de consulta. Por ejemplo, para buscar servidores de correo SMTP desde Internet, especifique el tipo de consulta MX (registro de recurso de intercambio de correo). Por ejemplo, el nombre especificado puede ser un dominio externo, como ejemplo.microsoft.com., y el tipo de consulta podría ser buscar un registro MX por dicho nombre. Puede pensar que una consulta DNS es cuando un cliente plantea a un servidor una pregunta que consta de dos partes: En primer lugar, "¿Tienes algún registro de recurso MX para un dominio llamado 'ejemplo.microsoft.com.'?" seguido de "En caso afirmativo, ¿puedes resolver este registro MX a un registro A (host) y resolver su dirección IP?". Cuando el cliente recibe una respuesta del servidor, lee e interpreta el registro MX y obtiene el registro A, por lo que se resuelve la dirección IP del equipo. Consulta de un servidor DNS Cuando el servidor DNS recibe una consulta, primero comprueba si puede responderla con total seguridad basándose en la información de registros MX contenida en una zona configurada localmente del servidor. Si el nombre consultado coincide con un registro MX correspondiente de la zona local, el servidor responde con seguridad y utiliza esta información para resolver el nombre consultado. Si no existe ninguna información de zona para el nombre consultado, el servidor comprueba si puede resolver el nombre utilizando la información almacenada en caché localmente de otras consultas anteriores. Si se encuentra alguna coincidencia, el servidor responderá con esta información. De nuevo, si el servidor preferido puede ofrecer al cliente una respuesta positiva coincidente desde su caché, se completará la consulta. Si no existe información de zona o en caché para el nombre consultado, el proceso de consulta utiliza recursión para resolver totalmente el nombre. La recursión es el proceso por 41 el cual un servidor DNS consulta otros servidores DNS en nombre del cliente solicitante para resolver totalmente el nombre y, a continuación, devuelve una respuesta al cliente. De forma predeterminada, el servicio Cliente DNS requiere que el servidor utilice recursión para resolver totalmente nombres por el cliente antes de devolver una respuesta. En la mayoría de los casos, el servidor DNS está configurado (de manera predeterminada) para permitir el proceso de recursión. Cómo resuelve DNS una consulta de un registro MX y busca la dirección IP Para obtener más información acerca de DNS, vea la Ayuda de Windows 2000 o de Windows Server 2003. Función de DNS al enviar y recibir correo interno Tanto Windows 2000 como Windows Server 2003 registran el nombre de dominio completo (FQDN) de cada servidor con DNS dinámico. El servidor de Exchange y los servidores virtuales SMTP también utilizan el FQDN. Si cambia el FQDN que utiliza el servidor virtual SMTP, asegúrese de agregar manualmente un registro para este FQDN en DNS. Función de DNS al recibir correo de Internet Para poder recibir correo de Internet, los servidores DNS externos deben tener un registro MX que señale a un registro A que contenga las direcciones IP de los servidores de correo, o de un servidor que pueda reenviar correo a sus servidores de correo. Para asegurarse de que los registros MX están configurados correctamente, puede utilizar la herramienta Nslookup. Para comprobar que el servidor es accesible en el puerto 25 para otros servidores de Internet, puede utilizar telnet. 42 Uso de DNS para enviar correo de Internet Cuando utiliza DNS, lo más importante que debe recordar es que todos los servidores del orden de búsqueda DNS deben poder resolver dominios externos (también conocidos como dominios de Internet). Puesto que es probable que utilice servidores internos en la resolución de nombres internos, tiene tres opciones de configuración posibles: Configurar los servidores DNS internos como servidores de caché que utilicen sugerencias de raíz para dominios de Internet. Las sugerencias de raíz señalan a servidores DNS que tienen autoridad para la zona que contiene la raíz del dominio y dominios de nivel superior. Las sugerencias de raíz ayudan a los servidores DNS a encontrar el servidor correcto para resolver un nombre de dominio. Configurar los servidores DNS internos con reenviadores a servidores DNS externos. Un reenviador es un servidor DNS designado por un servidor interno para su uso para resolver nombres DNS externos. (Para configurar un reenviador, en la consola DNS, seleccione el servidor DNS. En el menú Acción, haga clic en Propiedades, haga clic en la ficha Reenviadores y active la casilla de verificación Habilitar reenviadores. Agregue direcciones IP para otros servidores DNS que actúen como reenviadores para este servidor). Configurar el servicio SMTP para que utilice servidores DNS externos. Para configurar un servidor DNS externo, haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP, haga clic en Propiedades y, a continuación, haga clic en la ficha Entrega. Haga clic en Opciones avanzadasy, a continuación, haga clic en Configurar para configurar un servidor DNS externo. Por ejemplo, suponga que un cliente interno del dominio ejemplo.com envía un mensaje a un destinatario del dominio remoto contoso.com. Para enrutar el mensaje, Exchange utiliza DNS para resolver la dirección IP del servidor SMTP del dominio Contoso y entrega el mensaje al destinatario en contoso.com. Cómo Exchange utiliza DNS para resolver direcciones IP externas 43 La secuencia siguiente también explica cómo utiliza Exchange DNS para resolver una dirección IP externa: 1. Cuando el servidor SMTP del dominio ejemplo.com recibe el mensaje destinado al destinatario en contoso.com, el servidor virtual SMTP se pone en contacto con el servidor DNS apropiado y envía una consulta MX para el dominio externo de contoso.com. 2. El servidor DNS encuentra un registro A asociado al registro MX para contoso.com y utiliza dicho registro A para determinar la dirección IP. Para obtener más información acerca de cómo el servidor DNS encuentra el registro A, consulte "Consulta de un servidor DNS" anteriormente en este capítulo. 3. El servidor DNS devuelve al servidor virtual SMTP la dirección IP 172.234.234.23 para el servidor de correo de contoso.com. 4. El servidor virtual SMTP abre una conexión en el puerto 25 del servidor SMTP remoto en la dirección IP 172.234.234.23 y entrega el correo. Reenvío de correo de Internet a un host inteligente Un host inteligente es un servidor o un proceso de correo que se encarga de la entrega del correo de Internet. Un host inteligente no tiene por qué ser un servidor de Exchange; puede ser cualquier proceso o servidor SMTP que asuma la responsabilidad de entregar correo, ya sea enviándolo a otro servidor SMTP o utilizando DNS para entregar el correo directamente. En aquellos casos en los que haya una conexión permanente a Internet, no es necesario un host inteligente. Sin embargo, a menudo el host inteligente es un programa antivirus o un servicio SMTP de Windows 2000 o Windows Server 2003 que se encuentra en una red perimetral. El uso de un host inteligente para la resolución DNS es similar al uso de un servidor DNS, excepto en que el host inteligente asume la responsabilidad de resolver la dirección IP y enviar el correo. Para obtener más información acerca de cómo configurar el servicio SMTP de Windows 2000 en una red perimetral, consulte en Microsoft Knowledge Base el artículo 293800, "XCON: How to Set Up Windows 2000 as a SMTP Relay Server or Smart HostXCON: How to Set Up Windows 2000 as a SMTP Relay Server or Smart Host". Para obtener más información acerca de cómo configurar Exchange detrás de Microsoft Internet Security and Acceleration (ISA) Server, consulte el artículo técnico Microsoft ISA Server 2000 – Configuring and Securing Exchange 2000 Server and Clients. 44 Directivas de destinatarios Una directiva de destinatarios establece las direcciones de correo electrónico predeterminadas que utiliza un protocolo específico (como SMTP) para un conjunto de usuarios. Las direcciones de correo electrónico se utilizan para definir los formatos válidos para dirigir los mensajes de correo electrónico entrantes al sistema Exchange. La directiva de destinatarios predeterminada establece el dominio de correo para el que el servidor virtual acepta mensajes de correo entrantes. Además, especifica las direcciones SMTP y X.400 predeterminadas para todos los objetos con buzón habilitado basados en Exchange Server 2003. Cualquier dominio SMTP especificado en las directivas de destinatarios se replica en la metabase de IIS y se establece como dominio local autorizado. Como resultado, SMTP acepta correo entrante para estos dominios. La única ocasión en la que una dirección SMTP no se considera local es cuando desactiva la casilla de verificación Esta organización de Exchange es responsable de todos los mensajes entregados a esta dirección del cuadro de diálogo Propiedades de Dirección SMTP. Una directiva de destinatarios puede contener más de una dirección de correo electrónico para un protocolo especificado (como SMTP o X.400). Por ejemplo, si todos los usuarios de su organización de Exchange tienen una dirección externa de correo electrónico @ejemplo.com, pero desea que todos los usuarios de Seattle tengan dos direcciones de correo externas (@ejemplo.com y @seattle.ejemplo.com), puede configurar una directiva de destinatarios para todos los usuarios de la oficina de Seattle y agregar una dirección adicional @seattle.ejemplo.com. Para ello, realice el procedimiento siguiente. Para obtener más información acerca de las directivas de destinatarios, consulte Conexión de Exchange a Internet y "Managing Recipients and Recipient Policies in Exchange Server 2003" en la Exchange Server 2003 Administration Guide. Servicio de actualización de destinatarios El Servicio de actualización de destinatarios forma parte del servicio Operador de sistema de Microsoft Exchange (MSExchangeSA) que supervisa Active Directory para ver si hay nuevos destinatarios y escribe la dirección de correo apropiada y otras propiedades de Exchange para el usuario en Active Directory. El Servicio de actualización de destinatarios utiliza la información definida en las directivas de destinatarios para actualizar Active Directory con la información de usuario correcta para los destinatarios incluidos en cada directiva de destinatarios. Debe tener un Servicio de actualización de destinatarios en cada dominio de la organización. En las organizaciones grandes se recomienda tener varios servicios de actualización de destinatarios. Considere la posibilidad de tener un Servicio de actualización de destinatarios para cada sitio de Active Directory. De lo contrario, la replicación de los nuevos destinatarios y su información actualizada puede tardar hasta treinta minutos en una topología de 45 replicación sencilla. Hasta que se complete esta replicación, estos destinatarios no podrán enviar ni recibir correo. Servicio de directorio para servicio de metabase El servicio DS2MB (servicio de directorio para servicio de metabase), un componente del servicio Operador de sistema de Exchange, es responsable de propagar información de Active Directory en la metabase de IIS. DS2MB es fundamental para el funcionamiento de SMTP, el Protocolo de acceso a mensajes de Internet 4 (IMAP4), el Protocolo de oficina de correo 3 (POP3) y el Servicio de publicación World Wide Web (W3SVC), que es el servicio para Microsoft Outlook® Web Access. DS2MB replica la siguiente información de Active Directory en la metabase de IIS: Servidores virtuales SMTP y la mayoría de sus propiedades configurables. Espacios de direcciones de los conectores para SMTP de forma que la metabase para el motor de cola de mensajes avanzada enrute los mensajes correctamente. Dominios con autorización de las directivas de destinatarios (se replican en la subclave SMTPSVC/x/Domain y los utiliza el motor de cola de mensajes avanzada). Al iniciarse, DS2MB comprueba todos los objetos que ha replicado en el pasado, así como cualquier cambio realizado desde la última replicación. Si DS2MB detecta que no se ha realizado ninguna replicación anteriormente, inicializará y replicará todos los objetos. Después del inicio, DS2MB se registra en el controlador de dominio de configuración para que éste notifique a DS2MB si se hace algún cambio en la configuración de Exchange y en el contenedor de objetos eliminados. Como resultado, casi en cuanto un cambio se replica en el controlador de dominio de configuración, DS2MB replica dicho objeto en la metabase. Si DS2MB experimenta problemas, registra un suceso con un Id. 1040. Si esto ocurre, aumente el registro de diagnóstico al nivel 5 para MSExchangeMU, el servicio de actualización de la metabase. Puede activar el registro de diagnóstico en el Administrador del sistema de Exchange si hace clic con el botón secundario del mouse en el servidor de Exchange, hace clic en Propiedades, hace clic en la ficha Registro de diagnóstico y selecciona MSExchangeMU en Servicios. Para obtener más información acerca de este procedimiento, consulte Cómo modificar la configuración de registro para MSExchangeTransport. Parte 2 En la parte 2 se explican los factores que debe tener en cuenta y los procedimientos que debe seguir para configurar el flujo de correo dentro de su organización. Contiene las secciones siguientes: 46 Comprobación del diseño y de la configuración de DNS En esta sección se explica cómo comprobar que DNS está configurado correctamente para la resolución de nombres internos y externos. Además, se explica cómo comprobar que otros servidores de Internet pueden encontrar su servidor de correo y entregar correo a su organización. Configuración de una topología de enrutamiento En esta sección se presentan las topologías de enrutamiento más frecuentes. También se explica cómo definir y configurar grupos de enrutamiento y conectores para grupos de enrutamiento, y cómo designar un maestro de grupo de enrutamiento. Situaciones de implementación para la conectividad con Internet En esta sección se presentan situaciones frecuentes y personalizadas que utilizan las organizaciones para conectarse a Internet. Conexión de Exchange a Internet Esta sección le guía por el proceso de conectarse a Internet y configurar su organización para enviar y recibir correo de Internet. Comprobación del diseño y de la configuración de DNS Para poder comprobar su configuración de DNS, debe asegurarse antes de que su diseño de DNS se atiene a las condiciones siguientes: Cada controlador de dominio ejecuta DNS. La resolución de nombres recursiva existente se utiliza como se ha configurado para la organización. Si no hay ningún método en vigor, utilice sugerencias de raíz en todos los servidores. En la siguiente tabla se muestra el método preferido para configurar DNS. Existen otras configuraciones válidas. Sin embargo, la configuración que se muestra en la tabla es el método preferido. La tabla también explica cómo configurar la zona para cada dominio de Exchange. Configuración de DNS preferida Elemento de diseño Diseño Tipo de zona Integrado en Active Directory Actualizaciones dinámicas Actualizaciones dinámicas seguras únicamente 47 Elemento de diseño Diseño Compactación Habilitado Cuando SMTP consulta DNS, siempre consulta primero los registros MX. Si un registro MX interno existe y/o está configurado incorrectamente, puede que la entrega de correo interno no funcione. Para conocer los pasos detallados para comprobar que los registros MX no señalan al FQDN de un servidor Exchange, consulte Cómo comprobar que los registros MX no señalan al FQDN de un servidor Exchange. Para conocer los pasos detallados para comprobar que los registros MX no señalan a un dominio interno, consulte Cómo comprobar que los registros MX no señalan a un dominio interno. Configuración de DNS para correo entrante DNS desempeña un papel fundamental en la entrega de correo de Internet. Para recibir correo de Internet, se necesita la configuración siguiente: Debe existir un registro de intercambio de correo (MX) para su servidor de correo en el servidor DNS externo. Puede emplear la herramienta Nslookup para determinar si los registros MX están configurados correctamente. Asegúrese de que los servidores de correo que utiliza como servidores cabeza de puente o como servidores de correo de Internet tienen un registro MX en los servidores DNS externos. Para que los servidores DNS externos resuelvan el registro MX de su servidor de correo y se pongan en contacto con él, éste debe ser accesible desde Internet. Puede utilizar el programa telnet para determinar si otros servidores pueden tener acceso a su servidor de correo. Exchange Server debe estar configurado para ponerse en contacto con un servidor DNS o para resolver nombres DNS externos. El servidor DNS debe estar configurado correctamente. Nota: Se recomienda, aunque no es necesario, que utilice el servicio Servidor DNS de Microsoft Windows® 2000 o Windows Server 2003. Las directrices de los temas expuestos en la sección Información adicional se aplican al servicio Servidor DNS de Windows 2000 y Windows Server 2003. Para conocer los pasos detallados para utilizar Nslookup para comprobar la configuración de los registros MX, consulte Cómo utilizar Nslookup para comprobar la configuración de registros MX. 48 Para conocer los pasos detallados para utilizar telnet para garantizar el acceso a Internet, consulte Cómo utilizar telnet para garantizar el acceso a Internet. Configuración de DNS para el correo saliente Puede utilizar dos métodos con el fin de configurar DNS para el correo saliente: Puede configurar Exchange Server para que utilice los servidores DNS internos. Estos servidores resuelven nombres externos por sí solos o utilizan un reenviador a un servidor DNS externo. Exchange Server utiliza los servidores DNS para resolver los nombres de dominio. En general, configurará los servidores de Exchange como clientes DNS del servidor DNS interno. En el servidor DNS interno, configure un reenviador externo para que señale a servidores DNS externos de confianza. Puede configurar Exchange Server para que utilice un servidor DNS externo dedicado. Para conocer los pasos detallados para establecer la configuración de DNS en Exchange Server, consulte Cómo configurar opciones DNS en el servidor de Exchange. Para conocer los pasos detallados para establecer la configuración del servidor DNS, consulte Cómo configurar opciones en el servidor DNS. Para conocer los pasos detallados para configurar servidores DNS externos en un servidor virtual SMTP saliente, consulte Cómo configurar servidores DNS externos en un servidor virtual SMTP saliente. Para conocer los pasos detallados para utilizar DNS Revolver para comprobar la configuración de DNS, consulte Cómo utilizar Resolución DNS para comprobar la configuración de DNS. Para conocer los pasos detallados para utilizar Nslookup para comprobar la configuración de DNS, consulte Cómo utilizar Nslookup para comprobar la configuración de DNS. Información adicional En los temas siguientes se explica cómo comprobar cada una de estas opciones. Cómo comprobar que los registros MX no señalan al FQDN de un servidor Exchange Cómo comprobar que los registros MX no señalan a un dominio interno Cómo comprobar que los servidores de Exchange pueden resolver nombres DNS internos Cómo utilizar Nslookup para comprobar la configuración de registros MX Cómo utilizar telnet para garantizar el acceso a Internet Cómo configurar opciones DNS en el servidor de Exchange 49 Cómo configurar opciones en el servidor DNS Cómo configurar servidores DNS externos en un servidor virtual SMTP saliente Cómo utilizar Resolución DNS para comprobar la configuración de DNS Cómo utilizar Nslookup para comprobar la configuración de DNS Cómo comprobar que los registros MX no señalan al FQDN de un servidor Exchange Cuando SMTP consulta DNS, siempre consulta primero los registros MX. Si un registro MX interno existe y/o está configurado incorrectamente, puede que la entrega de correo interno no funcione. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. Procedimiento Para comprobar que los registros MX no señalan al FQDN de un servidor de Exchange 1. En el símbolo del sistema, escriba nslookup y, a continuación, presione ENTRAR. 2. Escriba server <dirección IP>,donde la dirección IPes la dirección IP del servidor DNS interno. 3. Escriba set q=mx y presione ENTRAR. 4. Escriba <fqdn>, donde fqdnes el nombre de dominio completo del servidor virtual SMTP (y del servidor de Exchange), y presione ENTRAR. 5. Compruebe que no existe ningún registro MX para el servidor interno. El resultado que obtenga debe ser similar al siguiente: > set q=mx > server1.example.local example.local primary name server = server01.example.local responsible mail addr = hostmaster.example.local serial = 6225703 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour) 50 Cómo comprobar que los registros MX no señalan a un dominio interno Cuando SMTP consulta DNS, siempre consulta primero los registros MX. Si un registro MX interno existe y/o está configurado incorrectamente, puede que la entrega de correo interno no funcione. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. Procedimiento Para comprobar que los registros MX no señalan a un dominio interno 1. En el símbolo del sistema, escriba nslookup y, a continuación, presione ENTRAR. 2. Escriba server <dirección IP>,donde la dirección IPes la dirección IP del servidor DNS interno. 3. Escriba set q=a y presione ENTRAR. 4. Escriba <fqdn>, donde fqdnes el nombre de dominio completo del servidor virtual SMTP (y del servidor de Exchange), y presione ENTRAR. 5. Compruebe que los resultados obtenidos coinciden con la dirección IP del equipo. En un equipo de host múltiple, la dirección IP debe coincidir con la dirección IP del servidor virtual SMTP (excepto en el caso de un único servidor virtual con una dirección IP "Ninguna asignada"). El resultado que obtenga debe ser similar al siguiente: set q=a > server1.example.local Name: server1.example.local Address: 192.168.1.10 Si el único resultado obtenido es el registro A correcto, la resolución de nombres internos debe funcionar correctamente. Si no hay ningún registro, o si se devuelve un registro MX y éste señala a la dirección IP o al FQDN incorrecto, quizás otros servidores no puedan enviar correo a este servidor de Exchange. 51 Cómo comprobar que los servidores de Exchange pueden resolver nombres DNS internos Cuando SMTP consulta DNS, siempre consulta primero los registros MX. Si un registro MX interno existe y/o está configurado incorrectamente, puede que la entrega de correo interno no funcione. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. La herramienta Diagnóstico SMTP DNS puede utilizarse en los servidores de Exchange que ejecutan Microsoft® Windows® Server™ 2003. Esta herramienta simula la ruta de acceso a código interno del servicio SMTP y genera mensajes de diagnóstico que indican cómo se está realizando la resolución DNS. Ejecute la herramienta Diagnóstico SMTP DNS en el equipo para el que desea comprobar la configuración DNS. La ruta de acceso debe incluir %WINDIR%\System32\Inetsrv para que la herramienta funcione. La herramienta Diagnóstico SMTP DNS se incluye en Herramientas del Kit de recursos de Windows Server 2003, que puede descargar desde la página Web Windows Server 2003 Resource Kit Tools. Procedimiento Cómo comprobar que los servidores de Exchange pueden resolver nombres DNS internos 1. En el servidor de Exchange, abra un símbolo del sistema, vaya hasta el siguiente directorio y escriba lo que se muestra a continuación: <drive letter>:\WINDOWS\system32\inetsrv 2. Escriba lo siguiente: dnsdiag internal host name–v 1 Donde nombre de host interno es el nombre de dominio completo de otro servidor de 52 Exchange de la organización. 3. Compruebe que se devuelve la dirección IP correcta del servidor de Exchange. El resultado que obtenga debe ser similar al siguiente: QNAME = example.microsoft.com Type = MX (0xf) Flags = UDP default, TCP on truncation (0x0) Protocol = UDP DNS Servers: (DNS cache will not be used) 172.16.1.101 Connected to DNS 172.16.1.101 over UDP/IP. Received DNS Response: ---------------------Error: 9501 Description: No records could be located for this name These records were received: microsoft.com SOA Querying via DNSAPI: -------------------QNAME = example.microsoft.com Type = A (0x1) Flags = DNS_QUERY_TREAT_AS_FQDN, (0x1000) Protocol = Default UDP, TCP on truncation Servers: (DNS cache will be used) Default DNS servers on box. Received DNS Response: ---------------------Error: 0 Description: Success These records were received: example.microsoft.com A 172.16.1.106 1 A record(s) found for example.microsoft.com Target hostnames and IP addresses --------------------------------HostName: "example.microsoft.com" 172.16.1.106. Cómo utilizar Nslookup para comprobar la configuración de registros MX Si está ejecutando Exchange Server en un servidor de Windows 2000, puede utilizar la herramienta Nslookup en el servidor de correo que acepta correo de Internet para comprobar que los registros MX están configurados correctamente. 53 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. Procedimiento Cómo utilizar Nslookup para comprobar la configuración de registros MX 1. En el símbolo del sistema, escriba nslookup y, a continuación, presione ENTRAR. 2. Escriba server <dirección IP>,donde la dirección IP es la dirección IP del servidor DNS externo. 3. Escriba set q=MX y presione ENTRAR. 4. Escriba <nombre de dominio>, donde nombre de dominio corresponde a su dominio, y presione ENTRAR. Debe mostrarse el registro MX del dominio especificado. Si no se muestra, DNS no está configurado correctamente. Ejemplo El ejemplo siguiente muestra cómo aparecen los registros MX para el dominio ficticio, ejemplo.com. C:\> nslookup Default Server: Address: pdc.corp.example.com 192.168.6.13 > server 172.31.01.01 Default Server: Address: dns1.example.com 172.31.01.01 > set q=mx > example.com. Server: Address: dns1.example.com 10.107.1.7 example.com MX preference = 10, mail exchanger = mail1.example.com example.com MX preference = 10, mail exchanger = mail2.example.com example.com MX preference = 10, mail exchanger = mail3.example.com example.com MX preference = 10, mail exchanger = mail4.example.com 54 example.com MX preference = 10, mail exchanger = mail5.example.com mail1.example.com internet address = 172.31.31.01 mail2.example.com internet address = 172.31.31.02 mail3.example.com internet address = 172.31.31.03 mail4.example.com internet address = 172.31.31.04 mail5.example.com internet address = 172.31.31.05 En este ejemplo, el servidor DNS preconfigurado está detrás de un servidor proxy. Por tanto, para realizar la consulta se utilizó un servidor DNS externo o de Internet con una dirección IP conocida de 172.31.01.01. Después, se estableció el tipo de consulta como MX para encontrar los intercambios de correo para ejemplo.com. En este ejemplo, cinco servidores SMTP están equilibrados equitativamente, cada uno con su propia dirección IP. Sin embargo, el dominio podría tener una única entrada, como se puede ver en el ejemplo siguiente: contoso.com MX preference = 10, mail exchanger = mailbox.contoso.com mailbox.contoso.com internet address = 10.57.22.3 Cómo utilizar telnet para garantizar el acceso a Internet Si los servidores de Internet no pueden llegar a su servidor de correo, no podrá recibir correo de Internet. Puede utilizar telnet para comprobar que otros servidores de Internet pueden tener acceso a su servidor de correo. Después de comprobar que sus registros MX están configurados correctamente, puede comprobar que otros servidores de Internet pueden tener acceso a su servidor de Exchange. Para comprobar que otros servidores de Internet pueden tener acceso al servidor Exchange, desde una ubicación externa a la intranet, utilice telnet para conectarse al servidor de correo en el puerto 25. Para validar la conectividad cuando se conecte, debe utilizar un equipo que tenga acceso directo a Internet. Si el servidor tiene varias tarjetas de interfaz de red (NIC) o direcciones IP, deberá utilizar telnet para conectarse a la dirección IP expuesta a Internet. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. 55 Procedimiento Para comprobar que se puede tener acceso al servidor a través de Internet 1. En un símbolo del sistema, escriba telnet <su servidor de correo> 25 y presione ENTRAR. 2. Compruebe que recibe una respuesta similar a la siguiente, que muestra el resultado de una sesión de telnet con el servidor de correo de Contoso, mailbox.contoso.com. C:\> telnet mailbox.contoso.com 25 220 corp.contoso.com Microsoft ESMTP MAIL Service, Version: 5.0. 2195.1600 ready at Tue, 5 Sep 2002 11:52:36 -0400 Cómo configurar opciones DNS en el servidor de Exchange El servidor de Exchange debe señalar a un servidor DNS (local) principal de su dominio. Si tiene varios servidores DNS locales, puede configurar Exchange Server para que señale a cualquier de ellos. Sin embargo, se recomienda que Exchange Server señale al servidor DNS principal de ese dominio. Para especificar a qué servidor DNS señalarán los servidores de Exchange, debe tener acceso al cuadro de diálogo Propiedades del protocolo TCP/IP. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. Procedimiento Cómo configurar opciones DNS en el servidor de Exchange 1. Haga clic en Inicio, seleccione Configuración y haga clic en Conexiones de red y de acceso telefónico. 2. Haga doble clic en Conexión de área local y, en Estado de Conexión de área local, haga clic en Propiedades. 3. En Propiedades de Conexión de área local, bajo Esta conexión utiliza los componentes seleccionados, haga doble clic en Protocolo Internet (TCP/IP). 56 4. En Propiedades del protocolo TCP/IP, compruebe que DNS esté configurado correctamente. Cómo configurar opciones en el servidor DNS Este tema proporciona instrucciones para configurar el servidor DNS. Para tener acceso a la consola DNS, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en DNS. Nota: En las opciones de configuración de este tema se supone que está ejecutando DNS en los controladores de dominio. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. Procedimiento Para configurar opciones en el servidor DNS 1. Asegúrese de que el servidor DNS señale a su dirección IP. Para confirmar esta opción, tenga acceso al cuadro de diálogo Propiedades del protocolo TCP/IP para el servidor DNS. Para obtener más información acerca de cómo tener acceso a este cuadro de diálogo, consulte Cómo configurar opciones DNS en el servidor de Exchange. Nota: Se recomienda encarecidamente que, cuando utilice el equipo como un servidor DNS, configure manualmente TCP/IP y utilice una dirección IP estática. 2. El servidor DNS debe contener zonas de búsqueda directa para cada uno de los dominios alojados. Para configurar zonas de búsqueda directa, en la consola DNS, expanda el servidor DNS, expanda Zonas de búsqueda directa, haga clic con el botón secundario del mouse (ratón) en la zona de búsqueda directa que desee, haga clic en Propiedades y utilice las opciones de la fichaGeneral. Para cada zona de 57 búsqueda directa: Establezca ¿Permitir actualizaciones dinámicas? como Sí. Establezca Tipo como Active Directory integrado. 3. El servidor DNS debe contener zonas de búsqueda inversa para cada intervalo de subred IP alojado. Para configurar zonas de búsqueda inversa, en la consola DNS, expanda el servidor DNS, expanda Zonas de búsqueda inversa, haga clic con el botón secundario del mouse en la zona de búsqueda inversa que desee, haga clic en Propiedades y utilice las opciones de la ficha General. Para cada zona de búsqueda inversa: Establezca ¿Permitir actualizaciones dinámicas? como Sí. Establezca Tipo como Active Directory integrado. Nota: Si las zonas de búsqueda inversa no están habilitadas en los servidores DNS internos, DNS seguirá funcionando correctamente. 4. Configure el servidor DNS para incluir reenviadores a servidores DNS externos (Internet). Esta opción permite al servidor DNS recibir una consulta de nombres externos, reenviar la consulta al servidor remoto y entregar la respuesta al solicitante. Para configurar esta opción, abra la consola DNS, haga clic con el botón secundario del mouse en el servidor DNS, haga clic en Propiedades, haga clic en la ficha Reenviadores y configure reenviadores a servidores DNS externos. Nota: Si la casilla de verificación Habilitar reenviadores de la ficha Reenviadores no está disponible, el servidor DNS se configuró como un servidor DNS raíz. En tal caso, para configurar reenviadores debe quitar la zona "." (punto), reiniciar la consola DNS y, a continuación, configurar los reenviadores. Cómo configurar servidores DNS externos en un servidor virtual SMTP saliente Al configurar servidores DNS externos, especifica un servidor DNS distinto que el servidor configurado en las propiedades TCP/IP del equipo donde se ejecuta Exchange. SMTP utiliza este servidor DNS para resolver los nombres DNS externos y entregar correo. 58 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. Procedimiento Cómo configurar servidores DNS externos en un servidor virtual SMTP saliente 1. Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, <Nombre del servidor>, Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en <Servidor virtual SMTP saliente> y, a continuación, haga clic en Propiedades. 4. Haga clic en la ficha Entrega y, después, haga clic en Avanzadas. Aparecerá el cuadro de diálogo Entrega avanzada. Cuadro de diálogo Entrega avanzada 5. En Entrega avanzada, haga clic en Configurar. Aparecerá el cuadro de 59 diálogoConfigurar. Cuadro de diálogo Configurar 6. En Configurar, haga clic en Agregar, escriba la dirección IP del servidor DNS externo que desee utilizar y haga clic en Aceptar. 7. En Configurar, bajo DNS externo, compruebe que la dirección IP es correcta y haga clic en Aceptar dos veces para aplicar la configuración. Cómo utilizar Resolución DNS para comprobar la configuración de DNS Para que Exchange Server pueda enviar correo de Internet, los servidores DNS que Exchange Server utiliza para su dominio deben poder resolver nombres de dominio externos. Para comprobar que sus servidores DNS pueden resolver nombres de dominio externos, utilice la herramienta Resolución DNS (Dnsdiag.exe) si está ejecutando Exchange Server 2003 en Windows Server 2003. 60 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. Nota: La herramienta DNS Resolver se incluye con las herramientas del kit de recursos de Microsoft Windows Server 2003. Para obtener más información sobre cómo instalar y usar la herramienta DNS Resolver, consulte Microsoft Windows Server 2003 Resource Kit Tools (en inglés). Procedimiento Para utilizar la herramienta Resolución DNS para comprobar la configuración 1. En su servidor Exchange Server, copie dnsdiag.exe en la ruta del directorio C:\WINNT\system32\inetsrv, donde C es la unidad en la que se instaló Windows Server. 2. Abra un símbolo del sistema y desplácese al directorio inetsrv. 3. En el símbolo del sistema, escriba lo siguiente: dnsdiag contoso.com -v 1 donde contoso.com es un dominio externo y 1 es el número de instancia del servidor virtual SMTP que desea usar. Debe mostrarse el registro de recurso intercambiador de correo (MX) del dominio especificado. Si no se muestra, DNS no está configurado para resolver nombres de dominio externos. Ejemplo En el ejemplo siguiente se muestra cómo el servidor DNS para ejemplo.com resuelve la dirección IP del dominio externo contoso.com: Created Async Query: -------------------QNAME = contoso.com Type = MX (0xf) Flags = UDP default, TCP on truncation (0x0) Protocol = UDP 61 DNS Servers: (DNS cache will not be used) 172.16.1.1 Connected to DNS 172.16.1.1 over UDP/IP. Received DNS Response: ---------------------Error: 0 Description: Success These records were received: contoso.com MX mail.contoso.com 10 A mail.contoso.com 172.16.1.2 Processing MX/A records in reply. Sorting MX records by priority. Target hostnames and IP addresses --------------------------------HostName: "mail.contoso.com" 172.16.1.2 Cómo utilizar Nslookup para comprobar la configuración de DNS Para que Exchange Server pueda enviar correo de Internet, los servidores DNS que Exchange Server utiliza para su dominio deben poder resolver nombres de dominio externos. Para comprobar que sus servidores DNS pueden resolver nombres de dominio externos, utilice la herramienta Nslookup (Nslookup.exe) si está ejecutando Exchange 2003 en servidores de Windows 2000. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Comprobación del diseño y de la configuración de DNS. 62 Procedimiento Cómo utilizar Nslookup para comprobar la configuración de DNS 1. En el símbolo del sistema, escriba Nslookup y, a continuación, presione ENTRAR. 2. Escriba server <dirección IP>, donde la dirección IPes la dirección IP del servidor DNS externo. 3. Escriba set q=MX y presione ENTRAR. 4. Escriba <nombre de dominio>, donde el nombre de dominio corresponde a un dominio de correo externo, y a continuación presione ENTRAR. Debe mostrarse el registro de recurso intercambiador de correo (MX) del dominio especificado. Si no se muestra, DNS no está configurado para resolver nombres de dominio externos. Ejemplo En el ejemplo siguiente se muestra cómo el servidor DNS para ejemplo.com resuelve la dirección IP del dominio externo contoso.com: C:\> nslookup Default Server: Address: pdc.corp.example.com 192.168.6.13 > server 10.255.255.255 Default Server: Address: dns1.example.com 10.255.255.255 > set q=mx > contoso.com. Server: dns1.example.com Address: 192.168.10.10 contoso.com MX preference = 10, mail exchanger = mail1.contoso.com contoso.com MX preference = 10, mail exchanger = mail2.contoso.com contoso.com MX preference = 10, mail exchanger = mail3.contoso.com mail1.contoso.com internet address = 192.168.255.011 mail2.contoso.com internet address = 192.168.255.012 mail3.contoso.com internet address = 192.168.255.013 63 En este ejemplo, el servidor DNS preconfigurado está detrás de un servidor proxy. Por tanto, para realizar la consulta se utilizó un servidor DNS externo o de Internet con una dirección IP conocida de 10.255.255.255. Después, se estableció el tipo de consulta como MX para encontrar los intercambios de correo para contoso.com. En este ejemplo, tres servidores SMTP están equilibrados equitativamente, cada uno con su propia dirección IP. Configuración de una topología de enrutamiento En esta sección se explica el diseño, los conceptos y los procedimientos implicados en la configuración de la topología de enrutamiento. Se presentan los temas siguientes: Nota: Si utiliza Microsoft® Exchange Server en un único servidor, la mayoría de los temas acerca de grupos de enrutamiento no son aplicables a su organización. Sin embargo, es posible que encuentre útiles estos temas si tiene previsto ampliar el sistema de mensajería para que admita varios servidores. Consideraciones generales de diseño En este tema se explica la información que debe recopilar antes de configurar la topología de enrutamiento y las variables que influyen en dicha topología. Topologías de enrutamiento más frecuentes En este tema se presentan las dos topologías de enrutamiento más frecuentes, una centralizada y otra distribuida, y se explica cuándo suelen utilizarse estas topologías. Definición de grupos de enrutamiento En este tema se explica cómo crear grupos de enrutamiento y conectores para grupos de enrutamiento, y cómo conectar grupos de enrutamiento. Descripción del ámbito de un conector y sus restricciones En este tema se explican las decisiones que hay que tomar al utilizar el ámbito del conector y sus restricciones. Designación de un maestro de grupo de enrutamiento En este tema se explica qué es el maestro de grupo de enrutamiento, cómo funciona y los criterios para su designación. Configuración avanzada del enrutamiento Este tema contiene temas sobre la configuración avanzada del enrutamiento. Se explica cómo utilizar conectores para el equilibrio de carga y la conmutación por error, y cómo suprimir el tráfico de estado de los vínculos. 64 Consideraciones generales de diseño Una topología de enrutamiento bien diseñada es esencial para lograr un flujo de mensajes eficiente y confiable. Antes de diseñar la topología de enrutamiento debe conocer las siguientes limitaciones para una única organización de Exchange. Una única organización de Exchange no puede tener: Más de 1000 grupos administrativos. Más de 1000 servidores. Antes de configurar la topología de enrutamiento debe evaluar detenidamente el entorno actual, teniendo en cuenta las variables siguientes: Topología de red y usuarios de cada ubicación La conectividad entre las ubicaciones y el ancho de banda disponible, teniendo en cuenta las aplicaciones que utilizan la red actualmente y los futuros proyectos que necesitarán el ancho de banda existente. Número de usuarios, ubicación y patrones de uso El número de usuarios que envían mensajes a través de la red es una consideración importante. También es importante la forma en que están distribuidos los usuarios y si se comunican principalmente con otros usuarios de su ubicación o con otros usuarios de ubicaciones diferentes. Además, debe tener en cuenta el tamaño de los mensajes que envían usuarios de determinadas ubicaciones. Por ejemplo, un departamento de diseño puede enviar mensajes con grandes archivos de gráficos adjuntos a varios socios comerciales. Este tráfico tendrá más impacto sobre la red que el tráfico procedente de un departamento que envía muy pocos datos adjuntos a través de la red. Tipo de aplicaciones utilizadas por su empresa Los tipos de aplicaciones utilizadas por la red y las horas de mayor actividad de la red. Ubicaciones de los centros de datos La ubicación de los centros de datos y la conectividad disponible con las oficinas regionales y con otros centros de datos. Requisitos de disponibilidad El uso de información de disponibilidad actualizada en distintas ubicaciones geográficas. La replicación de carpetas públicas incluye la replicación de información de disponibilidad. ¿Necesitan los usuarios de distintas ubicaciones geográficas información de disponibilidad actualizada para los usuarios de otras ubicaciones geográficas o normalmente sólo necesitan información para los usuarios de su misma ubicación? Diseño actual del servicio de directorioMicrosoft Active Directory® 65 La ubicación de los servidores de catálogo global y los controladores de dominio, la forma en que están diseñados los sitios de Microsoft Windows® y cómo se corresponden con los grupos de enrutamiento. Topologías de enrutamiento más frecuentes En este tema se describen dos topologías de mensajería que se implementan con frecuencia: Una topología de mensajería centralizada en la que todos los servidores tienen total conectividad y se comunican punto a punto. Una topología de mensajería distribuida en la que un único concentrador o centro de datos se conecta a sitios de numerosas sucursales. Topología de mensajería centralizada En una topología de mensajería centralizada hay un único sitio de concentrador o de centro de datos en el que todos los servidores están conectados mediante un ancho de banda confiable de alta velocidad. Incluso aunque este sitio abarque un área geográfica extensa, siempre y cuando todos los servidores estén conectados mediante el mismo ancho de banda confiable, puede utilizar un único grupo de enrutamiento. Entre las ventajas que supone una topología de mensajería centralizada se incluyen la facilidad de administración y un flujo de correo más eficiente, ya que todos los servidores se comunican punto a punto. Sin embargo, si tiene algunos servidores en una ubicación central que están conectados mediante una red más lenta, es mejor agruparlos en un grupo de enrutamiento diferente. Un servidor con una conexión de red no confiable en un único grupo de enrutamiento puede generar tráfico de estado de los vínculos. Como hay que notificar a todos los demás servidores si este servidor o un conector para grupo de enrutamiento de este conector deja de estar disponible, el maestro del grupo de enrutamiento (el servidor responsable de comunicar la información sobre la topología de enrutamiento a los servidores de un grupo de enrutamiento) debe propagar los cambios en el estado de este servidor a todos los servidores del grupo de enrutamiento. Para obtener más información acerca del maestro del grupo de enrutamiento, consulte Designación de un maestro de grupo de enrutamiento. 66 Topología de mensajería distribuida En una topología de mensajería distribuida o de sucursal, normalmente uno o más centros de datos están conectados a varias ubicaciones de sucursales menores mediante un diseño de red radial. En este caso, los servidores del concentrador central están agrupados en un único grupo de enrutamiento donde todos los servidores tienen una conectividad de red confiable. La ubicación de cada sucursal constituye su propio grupo de enrutamiento. En general, en el sitio del concentrador central hay servidores cabeza de puente dedicados que se conectan a los grupos de enrutamiento de las sucursales. Estos suelen ser grupos de enrutamiento de nodo de hoja; es decir, grupos de enrutamiento que sólo tienen un único conector entrante para grupo de enrutamiento y un único conector saliente para grupo de enrutamiento, en conexiones totalmente opuestas. En un grupo de enrutamiento de nodo de hoja no puede existir ningún otro conector. Hay tres configuraciones posibles para un grupo de enrutamiento de nodo de hoja: Un grupo de enrutamiento con un conector entrante para un único grupo de enrutamiento y ningún conector saliente. Un grupo de enrutamiento con un conector saliente para un único grupo de enrutamiento y ningún conector entrante. Un grupo de enrutamiento con un conector saliente para un único grupo de enrutamiento. Consulte la ilustración para ver ejemplos de grupos de enrutamiento de nodo de hoja. En Exchange Server 2003, si no existe ninguna ruta de acceso alternativa para un conector que se conecta hacia o desde un grupo de enrutamiento de nodo de hoja, el estado del conector está marcado siempre como "activo" (en servicio). Exchange Server 2003 ya no cambia el estado del conector a "inactivo" (no disponible) si no existe ninguna ruta de acceso alternativa. En su lugar, Exchange pone el correo en cola para su entrega y lo envía cuando la ruta se encuentre disponible. Este cambio mejora el rendimiento porque reduce la propagación de información del estado de los vínculos, que es especialmente importante en un entorno de mensajería distribuido donde se utiliza una topología radial. Suponga que tiene un único conector para grupo de enrutamiento que se conecta al sitio remoto, un grupo de enrutamiento de nodo de hoja para el concentrador y otro conector para grupo de enrutamiento que conecta el concentrador al sitio remoto. Si el conector para el grupo de enrutamiento no está disponible en el concentrador o en el sitio remoto, los mensajes se pondrán en cola hasta que el conector esté disponible. No se genera ningún tráfico de estado de los vínculos y la red no se ve afectada. En la siguiente ilustración se muestra una topología de mensajería distribuida en una configuración radial típica. En esta topología, cada sitio físico se asigna a un grupo de enrutamiento. En el sitio central, todos los servidores están en un grupo de enrutamiento y se comunican punto a punto. Como cada uno de los sitios de oficinas remotas sólo tiene una ruta disponible para el sitio central, si un conector no está disponible en un sitio remoto, el 67 correo se pondrá en cola hasta que esté disponible y no se propagará ningún cambio en el estado de los vínculos. Topología de mensajería distribuida en una configuración radial típica Definición de grupos de enrutamiento Como regla general, debe definir un grupo de enrutamiento y agregar otros grupos sólo cuando sea necesario. Cuantos menos grupos de enrutamiento haya en su entorno, menos complejo y más fácil de administrar será. Sin embargo, los requisitos geográficos y administrativos, así como la disponibilidad de la red, pueden hacer necesaria la creación de otros grupos de enrutamiento adicionales. Normalmente, los grupos de enrutamiento se crean por una de dos razones: Para permitir diversas conectividades de red entre los servidores. Para restringir el uso de un conector a los usuarios de un área determinada. Para obtener más información acerca de cómo utilizar grupos de enrutamiento para restringir el uso de conectores, consulte Descripción del ámbito de un conector y sus restricciones. Antes de definir los grupos de enrutamiento, tenga en cuenta las ventajas y las desventajas de tener varios grupos de enrutamiento que se muestran en la tabla siguiente. 68 Ventajas y desventajas de tener varios grupos de enrutamiento Ventajas de tener varios grupos de Desventajas de tener varios grupos de enrutamiento enrutamiento Permite programar y controlar el flujo de correo. Puede restringir el uso de un conector a un grupo de enrutamiento concreto o puede programar el uso de un conector. Introduce más saltos en la ruta hacia el destino final, lo que reduce la eficiencia de la entrega. Agrega complejidad al entorno de mensajería. Permite controlar el uso basándose en el tamaño o en el contenido de los mensajes mediante restricciones de conectores. Puede reducir la confiabilidad de la mensajería porque cuantos más saltos haya en la ruta, más puntos de error puede haber. El Protocolo simple de transferencia de correo (SMTP) se encarga de la latencia en un entorno TCP/IP bien conectado y esto suele eliminar la necesidad de tener varios grupos de enrutamiento. Dos rutas suelen utilizar la misma red y la red tiene la misma confiabilidad o estabilidad inherente. El gráfico que se muestra en la ilustración siguiente puede ayudarle a determinar cómo definir límites para grupos de enrutamiento. 69 Determinar límites para grupos de enrutamiento 70 Definición de conectores para grupos de enrutamiento y servidores cabeza de puente Aunque todos los servidores se comunican directamente entre sí dentro de un grupo de enrutamiento, éste no es el caso cuando un servidor de un grupo de enrutamiento necesita comunicarse con un servidor de otro grupo de enrutamiento. Para que los servidores puedan comunicarse con servidores de otros grupos de enrutamiento, debe crear un conector para grupo de enrutamiento. Aunque puede utilizar un conector para X.400 o un conector para SMTP con el fin de conectar grupos de enrutamiento, el conector para grupo de enrutamiento está diseñado específicamente para tal fin y es el método preferido para conectar grupos de enrutamiento en la mayoría de los casos. De forma predeterminada, todos los servidores de un grupo de enrutamiento pueden enviar correo a través del conector para grupo de enrutamiento. Los servidores que pueden enviar correo a través de un conector para grupo de enrutamiento son servidores cabeza de puente. Un servidor cabeza de puente es una combinación de un servidor virtual SMTP y un servidor de Exchange responsable de la entrega de todos los mensajes a través de un conector. Al crear un conector para grupo de enrutamiento, tiene la posibilidad de mantener todos los servidores como servidores cabeza de puente para ese conector o de especificar que sólo un conjunto seleccionado de servidores actúen como servidores cabeza de puente para ese conector. En la tabla siguiente se comparan las ventajas de cada enfoque. 71 Selección del número de servidores cabeza de puente de un grupo de enrutamiento Número de servidores cabeza de puente Ventajas Todos los servidores de un grupo de enrutamiento Proporciona un flujo de mensajes más eficiente, ya que todos los servidores del grupo de enrutamiento pueden entregar mensajes directamente a otros grupos de enrutamiento. Aprovecha las configuraciones en las que todos los servidores de un grupo de enrutamiento tienen la misma conectividad de red con los servidores de otros grupos de enrutamiento. Puede agregar complejidad en organizaciones grandes donde todos los servidores se comunican punto a punto. Puede ser más difícil solucionar problemas del flujo de correo. La conectividad directa punto a punto puede ofrecer equilibrio de carga. Simplifica la solución de problemas del flujo de mensajes, ya que existen puntos de contacto limitados entre los grupos de enrutamiento. Distribuye los mensajes si se prevé un flujo de mensajes denso entre los grupos de enrutamiento. Permite especificar funciones de servidores cabeza de puente y de servidores de buzón en entornos grandes donde no desea que los servidores de buzón se encarguen del tráfico enviado a través de un servidor cabeza de puente. Hace el flujo de correo más confiable y eficiente en aquellas configuraciones en las que algunos servidores tienen una conectividad de red mejor que otros. Sólo unos servidores seleccionados de un grupo de enrutamiento La ilustración siguiente muestra los componentes básicos de enrutamiento descritos hasta ahora. La figura 5.4 muestra el flujo de mensajes entre servidores de un grupo de 72 enrutamiento y entre grupos de enrutamiento. También ilustra una topología que sólo utiliza un servidor cabeza de puente en cada grupo de enrutamiento. Comunicación dentro de un grupo de enrutamiento y entre grupos de enrutamiento Cuando una topología es tan sencilla como la que muestra la figura 5.4, no es necesario plantearse cuál es el mejor método para enrutar mensajes entre grupos de enrutamiento. A medida que las topologías se vuelven más complejas, con grandes números de grupos de enrutamiento repartidos a distintas distancias geográficas, el enrutamiento de mensajes entre grupos pasa a ser crítico. Para configurar el enrutamiento entre grupos de enrutamiento se asignan costos (un gasto asociado a la ruta según la disponibilidad de la red, el tráfico de la red y los requisitos administrativos) a los conectores para grupos de enrutamiento utilizados por estos grupos. Cuando un usuario de un servidor de un grupo de enrutamiento envía correo a un usuario de un servidor de otro grupo de enrutamiento, Exchange utiliza estos costos (parte de la información de estado de los vínculos que mantiene Exchange) para determinar la ruta más eficiente. Exchange siempre utiliza la ruta con el menor costo a menos que un conector o un servidor de la ruta no se encuentre disponible. Para que cada grupo de enrutamiento sepa cuáles son los distintos costos para cada conector y el estado de los conectores, cada grupo tiene un maestro de grupo de enrutamiento que actualiza y coordina esta información con todos los servidores de un grupo de enrutamiento. Para obtener más información acerca de los maestros de grupo de enrutamiento, consulte "Designación de un maestro de grupo de enrutamiento" más adelante en este capítulo. Conexión de grupos de enrutamiento Al crear un grupo de enrutamiento se designa un grupo de servidores que pueden comunicarse directamente entre sí. Para que los servidores de grupos de enrutamiento distintos se comuniquen entre sí, es necesario conectar estos grupos. Es posible conectar grupos de enrutamiento mediante un conector para SMTP o mediante un conector para X.400. Sin embargo, normalmente no se recomienda el uso de estos tipos de conectores. El método de conexión preferido es un conector para grupo de enrutamiento, ya que se ha diseñado específicamente para conectar grupos de enrutamiento. 73 Nota: Si debe utilizar un conector para SMTP o para X.400 entre grupos de enrutamiento, no agregue un espacio de direcciones al conector. Sólo debe designar un grupo de enrutamiento conectado; de lo contrario, el enrutamiento no funcionará correctamente. Los conectores para grupos de enrutamiento son rutas unidireccionales para mensajes salientes, lo que significa que los mensajes viajan hacia fuera al grupo de enrutamiento conectado. Para que dos grupos de enrutamiento se comuniquen, debe existir un conector para grupo de enrutamiento en cada grupo para poder enviar mensajes al otro grupo. Al crear un conector para un grupo de enrutamiento, Exchange muestra un mensaje en el que le pregunta si desea crear un conector para grupo de enrutamiento en el grupo de enrutamiento remoto de modo que se puedan enviar mensajes desde el grupo de enrutamiento remoto al grupo de enrutamiento en el que está creando el primer conector. Antes de crear y configurar un conector para grupo de enrutamiento, reflexione acerca de las preguntas siguientes: ¿A qué grupo de enrutamiento entrega mensajes este conector? Esta información es muy importante. La identificación del grupo de enrutamiento al que entrega mensajes el conector establece la relación entre los grupos de enrutamiento de envío y recepción, y el resto de la topología. Es necesario saber cómo encajan estos grupos de enrutamiento en la topología para poder determinar un costo para el conector asociado. ¿Qué costo debe tener este conector? El costo es la variable que Exchange utiliza para determinar la ruta de mensajería más eficiente. Exchange considera más eficiente la ruta que tiene el costo menor. Exchange utiliza una ruta más costosa sólo si un servidor o un conector de la ruta con el costo menor no se encuentra disponible. Debe asignar los costos menores a las rutas con mayor ancho de banda de red disponible. ¿Qué servidores del grupo de enrutamiento pueden actuar como servidores cabeza de puente? Sólo los servidores cabeza de puente designados pueden enviar mensajes a través del conector al grupo de enrutamiento conectado. La configuración predeterminada y preferida consiste en que los servidores del grupo de enrutamiento local envíen correo a través de este conector. Utilice esta opción predeterminada cuando todos los servidores del grupo de enrutamiento puedan conectarse directamente a través de la red con el servidor cabeza de puente remoto y compartir la misma carga de mensajería. La conexión directa con el servidor cabeza de puente remoto proporciona un flujo de mensajes más eficiente. Sin embargo, es posible que tenga una conectividad de red directa mejor entre algunos servidores del grupo de enrutamiento local y el servidor cabeza de puente remoto designado. Por ejemplo, el servidor A tiene una conexión directa de 56 kilobits por segundo (Kbps) con un servidor cabeza de puente remoto, mientras que el servidor B y el servidor C tienen cada uno una conexión directa de 10 megabits por segundo (Mbps) con ese mismo servidor. En este caso, debe especificar los servidores con mejor 74 conectividad de red directa (es decir, el servidor B y el servidor C) como servidores cabeza de puente y agregarlos a la lista de servidores cabeza de puente posibles. Hay dos formas de configurar todos los servidores del grupo de enrutamiento para que actúen como servidores cabeza de puente: Seleccionar la opción predeterminada Cualquier servidor local puede enviar correo por este conector. Cuando selecciona esta opción, el conector está marcado siempre como en servicio o disponible incluso aunque todos los servidores cabeza de puente no estén disponibles. Esta opción ofrece la ventaja de que genera menos información de estado de los vínculos porque este conector nunca se marca como no disponible. Seleccionar Estos servidores pueden enviar correo por este conector y agregar manualmente cada servidor del grupo de enrutamiento como un servidor cabeza de puente. Cuando configura los servidores cabeza de puente de esta forma, si todos ellos llegan a estar no disponibles, el conector para grupo de enrutamiento se marcará como no disponible. Sin embargo, el uso de esta opción puede aumentar el tamaño de la tabla de estado de los vínculos porque el nombre de dominio completo (FQDN) de cada servidor virtual cabeza de puente se escribe en la tabla de estado de los vínculos. Para obtener más información acerca del estado de los vínculos, consulte Conceptos avanzados de estado de los vínculos. Para obtener más información acerca de cómo evaluar las ventajas de utilizar varios servidores cabeza de puente, en lugar de emplear servidores cabeza de puente designados, consulte la tabla 5.3 anteriormente en este capítulo. ¿Deben los usuarios tener acceso con este conector a carpetas públicas que no se encuentran disponibles de forma local? De forma predeterminada, las referencias a carpetas públicas están habilitadas en los conectores que conectan grupos de enrutamiento. Sin embargo, el tráfico de red aumenta cuando los usuarios tienen acceso a una carpeta pública ubicada en un grupo de enrutamiento remoto. Si los grupos de enrutamiento están conectados mediante vínculos de red lentos, o si es posible que la red no pueda asimilar el tráfico adicional, deshabilite las referencias a carpetas públicas. ¿Cuáles son los servidores cabeza de puente remotos a los que este conector puede enviar mensajes? Los servidores cabeza de puente remotos son los servidores del grupo de enrutamiento conectado que reciben todos los mensajes destinados a este grupo. Los servidores cabeza de puente remotos también reciben información del estado de los vínculos de los servidores cabeza de puente para el conector. Después de considerar estas preguntas, puede establecer las opciones de configuración en la ficha General del cuadro de diálogo Propiedades de Conector para grupo de enrutamiento. Puede contestar a la última pregunta de la lista anterior si especifica servidores cabeza de puente remotos en la ficha Cabeza de puente remota. 75 Para obtener instrucciones detalladas, consulte Cómo configurar las opciones de un conector para grupo de enrutamiento y Cómo especificar un servidor cabeza de puente remoto para un conector para grupo de enrutamiento. Cómo configurar las opciones de un conector para grupo de enrutamiento Al crear un grupo de enrutamiento se designa un grupo de servidores que pueden comunicarse directamente entre sí. Para que los servidores de grupos de enrutamiento distintos se comuniquen entre sí, es necesario conectar estos grupos. Antes de empezar Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo. Procedimiento Para configurar las opciones de un conector para grupo de enrutamiento 1. En el Administrador del sistema de Exchange, expanda el grupo de enrutamiento, haga clic con el botón secundario del mouse (ratón) en Conectores, seleccione Nuevo y, a continuación, haga clic en Conector para grupo de enrutamiento. 2. En la ficha General, seleccione las opciones siguientes: Para el nombre del conector para grupo de enrutamiento, es frecuente utilizar los dos grupos de enrutamiento que conecta. Por ejemplo, puede utilizar el nombre ParisASeattle para definir un conector que conecte los grupos de enrutamiento París y Seattle. En Conectar este grupo de enrutamiento con, seleccione los grupos de enrutamiento con los que desee conectarlo. En Costo, asigne un costo para el conector. Para que todos los servidores del grupo de enrutamiento local funcionen como servidores cabeza de puente, seleccione Cualquier servidor local puede enviar correo por este conector. Importante: Recuerde que cuando selecciona esta opción se considera que el conector 76 siempre está disponible, incluso cuando todos los servidores cabeza de puente no estén disponibles. Si desea que su conector se marque como no disponible en caso de que todos los servidores cabeza de puente no estén disponibles, agregue manualmente cada servidor del grupo de enrutamiento como el servidor cabeza de puente mediante la opción Estos servidores pueden enviar correo por este conector que se describe a continuación. Cómo especificar un servidor cabeza de puente remoto para un conector para grupo de enrutamiento Un servidor cabeza de puente remoto es un servidor de un grupo de enrutamiento conectado que recibe todos los mensajes destinados a ese grupo de enrutamiento. Un servidor cabeza de puente remoto también recibe información del estado de los vínculos de los servidores cabeza de puente para el conector. Antes de empezar Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo. Procedimiento Para especificar un servidor cabeza de puente remoto para un conector para grupo de enrutamiento 1. En el cuadro de diálogo Propiedades de Conector para grupo de enrutamiento, en la ficha Cabeza de puente remota, haga clic en Agregar y seleccione en la lista de servidores del grupo de enrutamiento el servidor cabeza de puente al que se conectará. Nota: Debe especificar un servidor cabeza de puente remoto. Para conseguir redundancia, debe especificar más de un servidor cabeza de puente remoto, si es posible. Ficha Cabeza de puente remota del cuadro de diálogo Propiedades de 77 Conector para grupo de enrutamiento 2. Si va a crear un conector para grupo de enrutamiento entre grupos de enrutamiento que incluya servidores de Exchange 5.5, en Reemplazar las credenciales de conexión para Exchange 5.x, haga clic en Modificar y especifique las credenciales de la cuenta de servicio de Exchange 5.5 para el servidor de Exchange 5.5 al que se conectará. 3. Haga clic en Aplicar para crear el conector. 4. Cuando aparezca un mensaje que le pregunte si desea crear un conector para grupo de enrutamiento en el grupo de enrutamiento remoto, haga clic en Sí. Después de hacer clic en Sí, Exchange crea un conector para grupo de enrutamiento en el grupo de enrutamiento remoto. Este nuevo conector para grupo de enrutamiento permite al grupo de enrutamiento remoto enviar mensajes al grupo de enrutamiento local. Al crear este nuevo conector para grupo de enrutamiento, Exchange hace lo siguiente: 5. Exchange designa como servidores cabeza de puente para el conector para el grupo 78 de enrutamiento remoto los servidores que figuran en la ficha Cabeza de puente remota del conector para el grupo de enrutamiento local. Nota: Cuando Exchange designa servidores de esta forma, sólo los servidores que aparecen en la ficha Cabeza de puente remota pasan a ser servidores cabeza de puente para el nuevo conector. Si prefiere que todos los servidores del grupo de enrutamiento remoto (no sólo los de la lista) funcionen como servidores cabeza de puente para el nuevo conector, debe seleccionar manualmente la opción Cualquier servidor local puede enviar correo por este conector en la ficha General del nuevo conector o agregar cada servidor individualmente como un servidor cabeza de puente. 6. Exchange designa como servidores cabeza de puente remotos para el conector para el grupo de enrutamiento a los servidores que aparecen como servidores cabeza de puente en la ficha General del grupo de enrutamiento local. Descripción del ámbito de un conector y sus restricciones Si necesita controlar el acceso a determinados conectores, ya sea por grupo o por área geográfica, tiene dos posibilidades: Utilizar el ámbito del conector para restringir su uso. Por definición, sólo los usuarios de un grupo de enrutamiento determinado pueden utilizar el conector de ese grupo de enrutamiento. Sin embargo, también puede designar un ámbito de grupo de enrutamiento para otro tipo de conector, como un conector para SMTP, de forma que sólo los usuarios de un grupo de enrutamiento determinado puedan utilizar el conector para SMTP. Utilice un conector para SMTP con ámbito de grupo de enrutamiento si desea asegurarse de que los usuarios de una ubicación concreta siempre utilizarán este conector para SMTP. Crear una restricción en el conector. Puede restringir el acceso a cualquier tipo de conector desde la ficha Restricciones de entrega de las propiedades del conector. Puede designar un grupo de distribución que tenga derechos explícitamente para utilizar este conector o puede designar un grupo de distribución que tenga denegado explícitamente el acceso al conector. 79 Uso del ámbito de un conector para restringir su uso Para comprender cómo afectan la topología de enrutamiento y el ámbito de un conector al flujo de mensajes, imagine una empresa llamada Contoso, Ltd. (contoso.com) que está presente exclusivamente en Estados Unidos y tiene dos oficinas principales: una en Colorado y otra en Maine. Todos los servidores están conectados mediante una red de alta velocidad, pero hay un conector para fax y un conector para SMTP en cada sitio. Si los conectores de fax tienen ámbito de organización, los usuarios de Colorado podrán utilizar el conector para fax de Maine e incurrir en costos de larga distancia. Además, el administrador de Contoso desea que todos los usuarios de Maine utilicen el conector para SMTP a Internet del sitio de Maine, y que todos los usuarios de Colorado utilicen los conectores locales para SMTP y para fax. En este caso, a pesar de la elevada conectividad de red entre todos los servidores, tiene sentido utilizar grupos de enrutamiento y restringir los ámbitos de conector al grupo de enrutamiento apropiado. Topología de Contoso.com En esta topología, cada sitio tiene los siguientes conectores: Un conector para SMTP a Internet con ámbito de grupo de enrutamiento. Un conector para fax con ámbito de grupo de enrutamiento. Un conector para grupo de enrutamiento que permite que cualquier servidor del grupo de enrutamiento envíe mensajes a través de este conector y designa los tres servidores del sitio remoto como servidores cabeza de puente remotos. Como todos los servidores de cada sitio tienen la misma conectividad de red, tiene sentido designar a todos ellos como servidores cabeza de puente, de forma que puedan comunicarse punto a punto. 80 Uso de restricciones de entrega para restringir el uso Puede restringir el uso de un conector a un grupo determinado de usuarios. La ventaja de utilizar restricciones de entrega para restringir el uso es que esta opción elimina la necesidad de crear un grupo de enrutamiento. La desventaja de usar una restricción es que para cada mensaje que se envíe a través de este conector es preciso expandir el grupo de distribución en sus destinatarios individuales para que se cumpla la restricción. Esta expansión es costosa en cuanto a rendimiento. Por tanto, se recomienda que utilice la ficha Restricciones de entrega de un conector cuando el grupo de distribución sea pequeño o cuando tenga la total seguridad de que el impacto sobre el rendimiento será aceptable para los usuarios. Importante: Tenga en cuenta que la restricción de la entrega consume mucho procesamiento y puede afectar al rendimiento del servidor. En el Registro hay una clave para el servidor cabeza de puente basado en Exchange 2003 (que es el origen para el conector que se está comprobando) que controla la funcionalidad de comprobación de restricciones. Si necesita configurar un conector para restringir quién puede enviar datos al vínculo designado, debe agregar manualmente el valor del Registro para comprobación de restricciones. Nota: La modificación incorrecta del Registro puede ocasionar problemas graves que quizás requieran volver a instalar el sistema operativo. Es posible que los problemas derivados de una modificación incorrecta del Registro no se puedan resolver. Antes de modificar el Registro, se recomienda realizar una copia de seguridad de todos los datos importantes. Para obtener instrucciones detalladas, consulte Cómo habilitar las claves del Registro para restricciones de entrega. Después de habilitar la clave del Registro y reiniciar los servicios anteriores, puede establecer restricciones de entrega en las propiedades del conector mediante la ficha Restricciones de entrega. Nota: También puede designar determinados usuarios o grupos de distribución basados en consultas en la ficha Restricciones de entrega. No se recomienda este método porque cada usuario se agrega como una entrada en la tabla de estado de los vínculos, lo que hace que la tabla llegue a ser muy grande. Una tabla de estado de los vínculos grande puede afectar a la red y al rendimiento porque tiene que replicarse en todos los demás servidores de la organización. 81 Ficha Restricciones de entrega del cuadro de diálogo Propiedades de Conector para SMTP Cómo habilitar las claves del Registro para restricciones de entrega En el Registro hay una clave para el servidor cabeza de puente basado en Exchange Server 2003 (que es el origen para el conector que se está comprobando) que controla la funcionalidad de comprobación de restricciones. Si necesita configurar un conector para restringir quién puede enviar datos al vínculo designado, debe agregar manualmente el valor del Registro para comprobación de restricciones. Antes de empezar Se necesitan los permisos siguientes para realizar este procedimiento: 82 Miembro del grupo local Administradores Procedimiento Para habilitar las claves del Registro para las restricciones de entrega 1. Inicie el Editor del Registro: Desde un símbolo del sistema, escriba Regedt32.exe. 2. Vaya hasta la siguiente clave del Registro y selecciónela: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/RESvc/Parameters/ 3. En el menú Edición, haga clic en Agregar valor y agregue el siguiente valor del Registro: Value Name: CheckConnectorRestrictions Data Type: REG_DWORD Date: 1 Radix: Decimal 4. Salga del Editor del Registro: En el menú Registro, haga clic en Salir. 5. Después de habilitar el valor de la clave del Registro, reinicie los siguientes servicios en el servidor de Exchange: Pila MTA de Microsoft Exchange (MSExchangeMTA) Motor de enrutamiento de Microsoft Exchange (RESvc) Protocolo simple de transferencia de correo (SMTPSVC) Designación de un maestro de grupo de enrutamiento Al crear un grupo de enrutamiento, se asigna la función de maestro del grupo de enrutamiento al primer servidor del grupo. El maestro del grupo de enrutamiento mantiene actualizada la información de estado de los vínculos para su grupo de enrutamiento y la propaga a los demás servidores del grupo. El maestro del grupo de enrutamiento supervisa la configuración de enrutamiento que se escribe en Active Directory sólo para su grupo de enrutamiento. Los servidores miembro pueden comunicar cualquier información sobre el estado de los conectores o sobre la disponibilidad de los servidores al maestro del grupo de enrutamiento. Por ejemplo, si un servidor miembro intenta ponerse en contacto con otro servidor de un grupo de enrutamiento diferente a través de un conector y este vínculo no está disponible, el servidor miembro notificará inmediatamente al maestro del grupo de enrutamiento. Del mismo modo, cuando un servidor que no es maestro recibe nueva 83 información del estado de los vínculos, transfiere inmediatamente la información de estado del conector al maestro para que otros servidores puedan recibir la información acerca del cambio de enrutamiento. Cuando designe un maestro de grupo de enrutamiento, asegúrese de que el servidor que elige tenga un buen acceso a un controlador de dominio porque ahí es donde lee la información de configuración que se almacena en Active Directory. Además, cuando se produce un cambio en la configuración de su grupo de enrutamiento, el Administrador del sistema de Exchange escribe esta información directamente en Active Directory y, después, el controlador de dominio notifica este cambio al maestro del grupo de enrutamiento. El maestro del grupo de enrutamiento propaga después esta información a todos los servidores miembro. Dentro de un grupo de enrutamiento, el maestro del grupo y los otros servidores de Exchange comunican la información de estado de los vínculos a través del puerto TCP/IP 691. Sin embargo, la comunicación de la información de estado de los vínculos entre grupos de enrutamiento es diferente. Si el maestro del grupo de enrutamiento no es un servidor cabeza de puente para el grupo de enrutamiento, envía la información de estado de los vínculos al servidor cabeza de puente del grupo a través del puerto TCP/IP 691. A continuación, el servidor cabeza de puente reenvía esta información (a través del puerto TCP/IP 25 mediante SMTP y el verbo X-LINK2STATE) a los servidores cabeza de puente de otros grupos de enrutamiento. Nota: Para obtener más información acerca de la información de los vínculos y cómo se actualiza, consulte Conceptos avanzados de estado de los vínculos. Si no desea que el primer servidor instalado en el grupo de enrutamiento sea el maestro del grupo de enrutamiento (la configuración predeterminada), puede cambiar el maestro a otro servidor a través del procedimiento siguiente. Nota: No cambie el maestro del grupo de enrutamiento con frecuencia. Cuando designa un nuevo maestro del grupo de enrutamiento, todos los servidores miembro tienen que volver a conectarse y este cambio requiere la replicación de la tabla de estado de los vínculos en toda la organización, lo que aumenta el tráfico de red. Para obtener instrucciones detalladas acerca de cómo cambiar el maestro del grupo de enrutamiento, consulte Cómo cambiar el servidor que actúa como maestro del grupo de enrutamiento. Importante: No existe conmutación por error automática para los maestros del grupo de enrutamiento. Si un maestro de grupo de enrutamiento deja de funcionar, debe configurar manualmente uno nuevo en el Administrador del sistema de Exchange. Si deja de funcionar, los demás servidores del grupo de enrutamiento utilizan la última 84 información conocida del estado de los vínculos hasta que haya un maestro disponible o se designe otro nuevo. Para obtener más información acerca de los maestros de grupo de enrutamiento, consulte en Microsoft Knowledge Base el artículo 261827, "http://go.microsoft.com/fwlink/?linkid=3052&kbid=261827". Cómo cambiar el servidor que actúa como maestro del grupo de enrutamiento Al crear un grupo de enrutamiento, se asigna la función de maestro del grupo de enrutamiento al primer servidor del grupo. El maestro del grupo de enrutamiento mantiene actualizada la información de estado de los vínculos para su grupo de enrutamiento y la propaga a los demás servidores del grupo. Antes de empezar Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para cambiar el servidor que actúa como maestro del grupo de enrutamiento En el Administrador del sistema de Exchange, expanda el grupo de enrutamiento, haga clic en Miembros, haga clic con el botón secundario del mouse (ratón) en un servidor de Exchange que desee designar como maestro y, a continuación, seleccione Configurar como maestro. Configuración avanzada del enrutamiento Este tema contiene algunos temas sobre la configuración avanzada del enrutamiento. Explica lo siguiente: Uso de conectores para equilibrio de carga y conmutación por error Las configuraciones que puede utilizar para permitir el equilibrio de carga o la conmutación por error entre conectores. 85 Configuración avanzada de estado de los vínculos Situaciones concretas para deshabilitar o suprimir la información de estado de los vínculos. Uso de conectores para equilibrio de carga y conmutación por error El enrutamiento utiliza los costos asociados a los conectores para grupos de enrutamiento con el fin de determinar cuál es la mejor forma de entregar mensajes internamente. El enrutamiento también utiliza los costos asociados a los conectores para SMTP y X.400 con el fin de determinar cuál es el mejor método para entregar correo externo. Es importante entender que el enrutamiento siempre elige el conector cuyo espacio de direcciones coincide mejor y, después, el que tiene menor costo. También puede utilizar conectores para equilibrar la carga de mensajes o puede configurar conectores para conmutación por error. La desventaja de utilizar conectores para equilibrio de carga o para conmutación por error es que ambas configuraciones aumentan el tamaño de la tabla de estado de los vínculos que se replica en toda la organización de Exchange. Recuerde que cuanto mayor sea la tabla de estado de los vínculos, menor será el rendimiento del sistema. Configuración de conectores para equilibrio de carga Si desea configurar un conector para equilibrar la carga de solicitudes entre dos o más servidores cabeza de puente, cree un único conector con el espacio de direcciones deseado (por ejemplo, * en el caso de un conector para SMTP), y asigne dos servidores de Exchange y servidores virtuales SMTP diferentes como servidores cabeza de puente. El enrutamiento elige el servidor cabeza de puente de forma aleatoria y equilibra de forma eficiente la carga de las solicitudes enviadas a través de este conector. Sin embargo, si llega un mensaje a uno de estos servidores cabeza de puente y no está disponible, el enrutamiento no elegirá automáticamente la ruta alternativa. El correo se pondrá en cola hasta que este servidor esté disponible. Una vez que un mensaje llega al servidor cabeza de puente previsto, no se vuelve a enrutar entre los distintos servidores cabeza de puente. El estado de los vínculos sólo contiene el estado de un conector y un conector se considera que está siempre disponible si hay disponible un servidor cabeza de puente. Si un servidor cabeza de puente deja de estar disponible, el enrutamiento seguirá considerando este conector una vía válida y elegirá aleatoriamente entre los servidores cabeza de puente disponibles. Configuración de conectores para conmutación por error Si desea configurar conectores para que conmuten por error automáticamente, puede crear dos conectores distintos en servidores cabeza de puente diferentes, cada uno con un costo distinto. El estado del vínculo para un conector está determinado por su servidor cabeza de 86 puente local. Si el servidor cabeza de puente del conector preferido que tiene el menor costo no está disponible, se considerará que ese conector no está disponible y el enrutamiento elegirá automáticamente el segundo conector. Cuando el servidor cabeza de puente que aloja el conector que tiene el costo menor esté disponible, los servidores de Exchange empezarán a utilizarlo de nuevo. Si utiliza dos conectores que tienen el mismo costo, los servidores de Exchange elegirán aleatoriamente el servidor cabeza de puente y el conector que utilizarán, y si este servidor deja de estar disponible, conmutarán por error al segundo conector. Sin embargo, una vez que el primer servidor cabeza de puente esté disponible, los servidores no conmutarán por error a este servidor porque la ruta tiene el mismo costo que el servidor que ya están utilizando. Supresión del tráfico de estado de los vínculos para conectores Exchange 2003 suprime todo el tráfico de estado de los vínculos cuando las conexiones oscilan o cuando no existe ninguna ruta alternativa hacia un grupo de enrutamiento de nodo de hoja. Estas mejoras reducen el tráfico generado por el estado de los vínculos. Además, si utiliza la opción predeterminada Cualquier servidor local puede enviar correo por este conector para un conector para grupo de enrutamiento, el estado de este conector estará marcado siempre como activo. El uso de esta opción suprime todo tráfico de estado de los vínculos generado por los cambios en el estado de este conector. Sin embargo, esta opción no puede utilizarse en los conectores para SMTP o para X.400. En aquellos entornos donde hay un ancho de banda extremadamente reducido y una latencia muy alta, algunas empresas deciden suprimir el tráfico de estado de los vínculos entre los grupos de enrutamiento. Puede suprimir el tráfico de estado de los vínculos en servidores individuales para todos los conectores si cambia el valor de una clave del Registro. Cuando suprime el tráfico de estado de los vínculos en un servidor, éste omite cualquier cambio en el estado de los vínculos en los conectores para los que es servidor cabeza de puente. La información de estado de los vínculos para los conectores de otros servidores se sigue actualizando y la de la organización se sigue propagando entre todos los servidores de la organización; sin embargo, el servidor donde se ha suprimido el tráfico de estado de los vínculos no envía ninguna información acerca de sus conectores. En la siguiente tabla se muestran las ventajas y desventajas que supone suprimir el tráfico de estado de los vínculos. Suprima el tráfico de estado de los vínculos en un servidor si se dan las condiciones siguientes: Tiene un conector cuyo estado no es importante para otros servidores del resto de la organización de Exchange (por ejemplo, un conector utilizado exclusivamente por un grupo de enrutamiento o por un número reducido de servidores para enviar correo a Internet). 87 Si tiene problemas de red que hacen que un conector oscile entre el estado disponible y no disponible. Recuerde que en Exchange 2003 una conexión oscilante es un conector que cambia de estado dos veces (activo e inactivo) dentro de un intervalo de estado del vínculo, que es de 10 minutos de manera predeterminada. Si un conector está marcado como no disponible después del intervalo de estado del vínculo y después pasa a estar disponible después de otra ventana de tiempo, se generará tráfico de estado de los vínculos. Además, si su organización de Exchange contiene servidores de Exchange 2000, estos servidores no tendrán las mejoras de estado de los vínculos que ofrece Exchange 2003 y generarán tráfico para los vínculos oscilantes. Ventajas y desventajas de suprimir el tráfico de estado de los vínculos Ventajas Inconvenientes La supresión del tráfico de estado de los vínculos es relativamente fácil de configurar y puede aplicarse a servidores individuales en condiciones aisladas. No puede crear rutas redundantes o conectores alternativos en un servidor donde se ha suprimido el tráfico de estado de los vínculos. Los cambios en el estado del vínculo del conector principal no se detectan nunca; por tanto, no se vuelven a enrutar los mensajes a un conector alternativo porque el enrutamiento supone que el conector principal está disponible. La supresión del tráfico del estado de los vínculos en un servidor puede reducir el tráfico de red ocasionado por cambios frecuentes. Una reducción del tráfico de red resulta especialmente útil en aquellas situaciones en las que el ancho de banda de la red sea muy limitado. La ganancia real que supone el menor tráfico depende del tamaño de la organización de Exchange y de la frecuencia con que se repliquen los cambios en el estado de los vínculos. La supresión del tráfico de estado de los vínculos en un único servidor no elimina por completo este tráfico entre grupos de enrutamiento. Nota: La modificación incorrecta del Registro puede ocasionar problemas graves que quizás requieran volver a instalar el sistema operativo. Es posible que los problemas derivados de una modificación incorrecta del Registro no se puedan resolver. Antes de modificar el Registro, se recomienda realizar una copia de seguridad de todos los datos importantes. 88 Es importante entender que al cambiar esta clave del Registro no se detiene la propagación de la tabla de estado de los vínculos entre servidores. Sólo se suprime el tráfico de estado de los vínculos causado por el cambio de estado de un conector. Para obtener instrucciones detalladas, consulte Cómo suprimir la información de estado de los vínculos en un servidor. Cómo crear un grupo de enrutamiento De forma predeterminada, Microsoft® Exchange Server funciona como si todos los servidores estuvieran en un único grupo de enrutamiento. Dependiendo de sus requisitos administrativos, la topología de la red y las razones explicadas en Configuración de una topología de enrutamiento, puede agrupar los servidores en grupos de enrutamiento para que Exchange Server maximice la eficiencia del flujo de mensajes. De forma predeterminada, todos los servidores de una organización de Exchange Server en modo nativo se sitúan en un único grupo de enrutamiento, llamado Primer grupo de enrutamiento, y se comunican entre sí directamente. En un entorno de modo mixto (donde algunos servidores ejecutan Exchange Server versión 5.5 o anterior), cada sitio de Exchange Server 5.5 se convierte en un grupo de enrutamiento. Nota: Para obtener más información acerca de la diferencia existente entre los grupos de enrutamiento en modo mixto y en modo nativo, consulte "Uso de grupos de enrutamiento en los modos nativo y mixto" en Descripción de los componentes de enrutamiento. Después de la instalación, puede crear grupos de enrutamiento adicionales en la organización de Exchange. Al instalar servidores de Exchange adicionales en una organización existente, puede designar los grupos de enrutamiento adecuados para estos servidores. Después de la instalación, también puede mover servidores entre grupos de enrutamiento. Cuando crea un grupo de enrutamiento, aparecen dos contenedores debajo del mismo: Conectores Muestra los conectores instalados en los servidores del grupo de enrutamiento. Esta lista incluye todos los conectores para sistemas de correo de terceros, como conectores para Lotus Notes o Novell GroupWise, y todos los conectores para grupo de enrutamiento, X.400 y SMTP que configure. Miembros Muestra los servidores del grupo de enrutamiento. De forma predeterminada, el maestro del grupo de enrutamiento es el primer servidor que se agrega a un grupo de enrutamiento. 89 Nota: Para poder crear grupos de enrutamiento, debe configurar la organización de Exchange de manera que los muestre. En el Administrador del sistema de Exchange, haga clic con el botón secundario del mouse (ratón) en la organización de Exchange, haga clic en Propiedades y active la casilla de verificación Mostrar los grupos de enrutamiento. Antes de empezar Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo. Procedimiento Para crear un grupo de enrutamiento 1. En el Administrador del sistema de Exchange, haga clic con el botón secundario del mouse en Grupos de enrutamiento, seleccione Nuevo y, a continuación Grupo de enrutamiento. 2. En la ficha General, en el cuadro Nombre, escriba un nombre para el grupo de enrutamiento y haga clic en Aceptar. Ficha General para el grupo de enrutamiento 90 Situaciones de implementación para la conectividad con Internet Ahora que ha configurado el flujo de correo interno, probablemente le interese saber cómo puede conectarse a Internet de forma que sus usuarios puedan enviar y recibir correo de Internet. Esta sección presenta algunas situaciones de implementación frecuentes y personalizadas para la conexión a Internet. Las situaciones de implementación frecuentes describen configuraciones típicas que utilizan las empresas para conectarse a Internet, incluyendo el uso de Microsoft® Exchange en su configuración predeterminada, el uso de un servidor con base dual, el uso de un servidor cabeza de puente de Exchange detrás de un servidor de seguridad y el uso de un servidor de retransmisión de Microsoft Windows®. 91 Entre las situaciones de implementación personalizadas se incluyen topologías que cumplen determinados requisitos especiales, como el uso de un proveedor de servicios de red, la configuración de la colaboración de correo entre bosques y el uso compartido de dominios de correo del Protocolo simple de transferencia de correo (SMTP) o el uso de dos dominios de correo SMTP. Exchange Server 2003 presenta una nueva herramienta, Address Rewrite, que permite reescribir las direcciones de correo electrónico saliente de una empresa subsidiaria. De este modo, durante una fusión o una adquisición, todos los usuarios muestran la misma dirección de correo electrónico. Independientemente del caso que sea más aplicable a su organización, tenga en cuenta las sugerencias siguientes sobre su propia implementación: Si su organización tiene varios servidores, debe incluir servidores cabeza de puente de puerta de enlace cuando diseñe su implementación. Los servidores de seguridad son los que ofrecen más seguridad para la conexión a Internet. Los conectores para SMTP ofrecen una forma cómoda y administrable de enrutar el correo saliente de Internet. El servidor virtual SMTP predeterminado, en su configuración predeterminada, es suficiente en la mayoría de los casos. Si utiliza varios servidores virtuales SMTP en un único servidor de Exchange, tenga cuidado cuando los configure. De forma predeterminada, varios servidores virtuales no pueden comunicarse entre sí. Para tener un flujo de correo apropiado, debe configurarlos correctamente para que se pueda enrutar el correo entre ellos. Además, es preciso configurar cada servidor virtual SMTP con una combinación única de puerto y dirección de Protocolo Internet (IP). En general, todos los servidores virtuales SMTP requieren el puerto 25, por lo que debe asignarles direcciones IP únicas. Nota: Algunas empresas configuran varios servidores virtuales en un servidor cabeza de puente, con una tarjeta de interfaz de red (NIC) que acepta el correo entrante de Internet y otra NIC que enruta el correo saliente de Internet. Para obtener más información acerca de esta configuración, consulte Uso de un servidor de Exchange con base dual como puerta de enlace de Internet. Situaciones de implementación frecuentes En esta sección se muestran algunas situaciones frecuentes de implementación de la conexión a Internet. Estas situaciones se presentan por orden de complejidad, empezando por la configuración más sencilla (un único servidor de Exchange en su configuración predeterminada). En la siguiente tabla se resumen estas situaciones frecuentes. 92 Resúmenes de las situaciones frecuentes de implementación de la conexión a Internet Topología Idónea para Ventajas Consideraciones Un único servidor de Exchange en su configuración predeterminada Pequeña empresa con una base de usuarios reducida El uso de la configuración predeterminada no requiere ninguna configuración adicional después de la instalación de Exchange. Esta topología no ofrece la protección más robusta que tiene un servidor de seguridad. El servidor de Exchange está expuesto en Internet. Servidor de Exchange con base dual Pequeña empresa con una base de usuarios reducida Ofrece una configuración segura detrás de un servidor de seguridad. Esta topología debe utilizarse junto con un servidor de seguridad. De lo contrario, el servidor de Exchange seguirá estando expuesto en Internet. Considere la posibilidad de utilizar directivas de seguridad del Protocolo Internet (IPSec) para filtrar puertos en la NIC de Internet. Uso de un servidor cabeza de puente de Exchange detrás de un servidor de seguridad Empresas de cualquier tamaño El uso de un servidor cabeza de puente dedicado para el correo de Internet aísla el tráfico de Internet. Un servidor de seguridad protege la intranet. Normalmente, en las empresas más grandes se implementa un servidor cabeza de puente. Como el servidor no aloja buzones, puede estar infrautilizado en las empresas más pequeñas. 93 Topología Idónea para Ventajas Consideraciones Uso de un servidor cabeza de puente de Exchange para enviar correo a un servidor de retransmisión en una red perimetral Empresas de tamaño medio a grande con entornos de varios servidores Ofrece las mismas ventajas que un servidor cabeza de puente de Exchange detrás de un servidor de seguridad, pero agrega una capa adicional de seguridad al aislar el servidor SMTP de Internet. Un servidor de retransmisión SMTP, en lugar de un servidor de Exchange que se encargue del correo de Internet, está en una red aislada. La información de los usuarios está protegida en el servidor de Exchange detrás de un servidor de seguridad. Esta topología supone más trabajo de configuración que las situaciones enumeradas anteriormente. Nota: Para las pequeñas empresas que deseen tener una solución de red con todas las funciones y que ofrezca una configuración unificada para correo electrónico, programación de grupos, fax y base de datos, así como conexión compartida a Internet para un entorno de hasta quince equipos, Microsoft Windows Small Business Server 2003 puede ser una solución adecuada. Para obtener información acerca de Small Business Server, consulte el sitio Web Small Business Server. Uso de un único servidor de Exchange en su configuración predeterminada Esta situación describe cómo entrega Exchange correo de Internet en su configuración predeterminada. 94 Configuración básica En esta situación necesitará lo siguiente: Una conexión permanente a Internet. Un servidor del Sistema de nombres de dominio (DNS) que pueda resolver nombres de dominio externos y un servidor DNS en Internet con un registro de intercambio de correo (MX) que señale al servidor de Exchange. Una directiva de destinatarios configurada con el dominio de correo SMTP para el que desea que el servidor de Exchange reciba correo. Correo entrante de Internet Cuando se utiliza un único servidor de Exchange en su configuración predeterminada, el correo entrante de Internet fluye en el servidor de Exchange de la manera siguiente: 1. El servidor SMTP remoto consulta DNS para resolver el registro MX de su dominio de correo y obtener la dirección IP del servidor de Exchange. 2. El servidor SMTP remoto se conecta entonces al servidor de Exchange en el puerto 25, que el servidor virtual SMTP predeterminado acepta. 3. El servidor SMTP predeterminado comprueba que el dominio del mensaje entrante coincide con un dominio SMTP incluido en sus directivas de destinatarios. 4. El servidor SMTP predeterminado acepta entonces el mensaje y lo entrega a su destinatario. Correo saliente de Internet Cuando se utiliza un único servidor de Exchange en su configuración predeterminada, el correo saliente de Internet fluye del servidor de Exchange de la manera siguiente: 1. Un usuario interno envía un mensaje cuyo destinatario es un usuario externo. 2. A partir de la información de su directiva de destinatarios, el servidor virtual SMTP predeterminado determina que el mensaje está destinado a un dominio remoto. 3. Como el usuario interno está autenticado, el servidor virtual SMTP predeterminado acepta el mensaje para entregarlo. Recuerde que el servidor virtual SMTP predeterminado sólo permite la retransmisión a los usuarios autenticados. 4. El servidor virtual SMTP predeterminado consulta DNS para resolver el registro MX del servidor de correo remoto como la dirección IP de este servidor. 5. El servidor virtual SMTP predeterminado se conecta al servidor SMTP remoto en el puerto 25 e inicia la entrega. 95 Uso de un servidor de Exchange con base dual como puerta de enlace de Internet En esta situación se describe una configuración aceptada de un servidor de Exchange con base dual que actúa como servidor de puerta de enlace para la organización de Exchange. Este servidor puede tratar el correo individualmente o puede actuar como servidor cabeza de puente para otros servidores de la organización. Por motivos de seguridad, debe utilizar esta configuración detrás de un servidor de seguridad. Configuración básica La configuración básica consta de una puerta de enlace de correo configurada con dos interfaces de red; esta puerta de enlace actúa como el único punto de conexión entre la intranet e Internet. En las listas siguientes se incluyen los requisitos generales de configuración para los dos servidores virtuales y el conector para SMTP: Nota: Si configura dos servidores virtuales en un único servidor de Exchange, asegúrese de utilizar una combinación única de direcciones IP y puertos. No configure ningún servidor virtual para que utilice el valor predeterminado de todas las direcciones IP disponibles. Servidor virtual 1 Configure el servidor virtual 1 como servidor cabeza de puente para el conector para SMTP. Configure el servidor virtual 1 para que utilice servidores DNS externos, mediante la lista de servidores DNS externos. Enlace el servidor virtual 1 a una dirección IP de la intranet en el puerto 25. Especifique el dominio local de la compañía (por ejemplo, contoso.com). Servidor virtual 2 Configure el servidor virtual 2 para que no retransmita correo (es la configuración predeterminada). Para obtener más información acerca de las restricciones de retransmisión predeterminadas, consulte Cómo comprobar las restricciones de retransmisión en un servidor virtual SMTP. Configure el servidor virtual 2 para que permita el acceso anónimo (es la configuración predeterminada). Para obtener más información acerca de cómo permitir el acceso anónimo, consulte Cómo permitir el acceso anónimo en el servidor virtual SMTP saliente. 96 Enlace el servidor virtual 2 a una dirección IP de Internet en el puerto 25. Seleccione el dominio local de la compañía (por ejemplo, contoso.com). Conector para SMTP Configure el conector para SMTP de manera que utilice DNS para el enrutamiento a cada espacio de direcciones del conector. Aloje el conector para SMTP en el servidor virtual 1 especificándolo como servidor cabeza de puente. Cree un espacio de direcciones * (asterisco) u otro equivalente. Utilice dos tarjetas de interfaz de red (NIC): una interna y otra externa. Compruebe que no hay ninguna configuración de enrutamiento IP entre las dos redes del servidor. (Ésta es la configuración predeterminada). Para obtener más información acerca de cómo configurar un conector para SMTP, consulte Cómo crear un conector para SMTP. Correo entrante de Internet Los mensajes fluyen en una organización de Exchange de la manera siguiente: 1. Los mensajes procedentes de Internet utilizan la dirección IP de Internet para enviar correo a los destinatarios del dominio local. 2. El servidor virtual 2 supervisa esta dirección IP de Internet para el correo y recibe todos los mensajes entrantes de Internet. Como el servidor virtual 2 no está configurado para retransmitir correo, rechaza el correo que no va dirigido al dominio de la compañía (por ejemplo, contoso.com). 3. Cuando el servidor virtual 2 recibe un mensaje de Internet que va dirigido a un host del dominio local, se pone en contacto con el servicio de directorio Microsoft Active Directory® a través de la NIC interna para determinar a dónde debe enviar el mensaje. Por tanto, los mensajes recibidos por el servidor virtual 2 se envían directamente al host interno o a otro servidor cabeza de puente para su entrega a otro grupo de enrutamiento. Nota: Aunque el servidor virtual 2 supervisa una dirección IP externa para el correo entrante, utiliza cualquier dirección IP que sea apropiada para enrutar mensajes, según las entradas contenidas en la tabla de enrutamiento. El servidor virtual 2 sólo utiliza servicios DNS internos para la resolución de nombres. El servidor virtual 2 no está configurado con una lista externa de servidores DNS, por lo que no resuelve direcciones externas. Rechaza todos los mensajes cuyas direcciones pertenezcan a otro dominio distinto del dominio de la compañía (en este caso, contoso.com). 97 Correo saliente de Internet El correo fluye de una organización de Exchange de la manera siguiente: 1. Un usuario envía un mensaje a un destinatario externo. 2. Como este mensaje es saliente, utiliza el conector para SMTP alojado en el servidor virtual 1. 3. Cuando el servidor virtual 1 recibe un mensaje para un dominio remoto, utiliza la lista de servidores DNS externos para buscar la dirección IP del destinatario del mensaje y, después, utiliza la NIC externa para entregar el correo externo. (Normalmente, las direcciones IP de Internet externas no están disponibles en un servidor DNS interno). Importante: Aunque el servidor virtual 1 está configurado para supervisar la dirección IP de la intranet, utiliza la NIC de Internet para el correo externo. La siguiente ilustración muestra el flujo de correo a través de un servidor con base dual. Flujo de correo de Internet a través de un servidor de puerta de enlace de Exchange con base dual Uso del Asistente para correo de Internet con el fin de configurar un servidor de Exchange con base dual Puede utilizar el Asistente para correo de Internet con el fin de configurar un servidor de Exchange con base dual. El asistente le guía por los pasos de configuración necesarios y crea automáticamente un conector en el servidor virtual SMTP saliente. 98 El procedimiento Cómo iniciar el Asistente para correo de Internet permite configurar un servidor de Exchange de base dual con dos servidores virtuales SMTP para enviar y recibir correo de Internet. Después de ejecutar el Asistente para correo de Internet, el servidor de Exchange enviará y recibirá todo el correo de Internet de acuerdo con la configuración especificada en el asistente. Nota: No puede utilizar el Asistente para correo de Internet si ya ha configurado un conector para SMTP o si ha creado un servidor virtual SMTP adicional en el servidor de Exchange. Debe revertir a la configuración predeterminada antes de poder ejecutar el Asistente para correo de Internet. El asistente crea un servidor virtual SMTP adicional en el servidor de Exchange. Configura la entrega de correo de Internet de las formas siguientes: Para configurar un servidor para que envíe correo de Internet, el asistente le guía a lo largo del proceso de asignación de la dirección IP de la intranet al servidor virtual SMTP predeterminado en el que crea el conector para SMTP con el fin de enviar correo saliente. Se asigna la dirección IP de la intranet a este servidor virtual para que sólo puedan enviar correo saliente los usuarios internos de la intranet. Para configurar un servidor para recibir correo de Internet, el asistente le guía a lo largo del proceso de asignación de la dirección IP de Internet al servidor virtual SMTP de Internet. Se asigna una dirección IP de Internet a este servidor virtual porque los servidores externos necesitan poder ponerse en contacto con este servidor virtual SMTP para enviar correo de Internet a su compañía. Además, en el servidor DNS de Internet debe tener un registro MX que haga referencia a este servidor. El Asistente para correo de Internet también realiza las comprobaciones necesarias en el servidor virtual SMTP de Internet para asegurarse de que está configurado correctamente. Comprueba lo siguiente: El servidor virtual SMTP de Internet acepta conexiones anónimas. El servidor virtual SMTP de Internet no permite la retransmisión. Para obtener más información acerca del Asistente para correo de Internet, consulte Uso del Asistente para correo de Internet con el fin de configurar la entrega de correo de Internet. Consideraciones de seguridad Para mejorar la seguridad de una configuración de servidor de puerta de enlace de base dual, tenga en cuenta las recomendaciones siguientes: Utilice directivas de seguridad del Protocolo Internet (IPSec) para filtrar puertos en la NIC de Internet. Para obtener más información acerca de las directivas IPSec, consulte la documentación en pantalla de Microsoft Windows 2000 o Windows Server 2003. 99 Limite estrictamente los usuarios a los que permitirá iniciar sesión en el servidor. Una forma sencilla de hacerlo consiste en dejar el servidor en funcionamiento sin teclado, mouse (ratón) ni monitor y utilizar Servicios de Terminal Server para administrar el servidor. Después, permita que sólo los administradores tengan acceso al servidor de Terminal Server. El uso de un servidor de Exchange de base dual como servidor de puerta de enlace en esta configuración permite a una empresa limitar su exposición al reducir al mínimo los puntos de entrada desde Internet a su intranet. Al impedir que el servidor virtual de Internet retransmita mensajes a otros hosts de Internet, se asegura de que el servidor virtual sólo enrutará el correo que vaya dirigido a destinatarios internos válidos. Como el servidor virtual 1 utiliza una lista externa de servidores DNS para enrutar únicamente el correo saliente de Internet (no para el correo interno), los problemas del servidor DNS externo no afectarán al tráfico de correo interno. Al separar los procesos de correo entrante de Internet, correo interno y correo saliente de Internet, los puntos de error en cualquiera de estos tres procesos son distintos y más fáciles de administrar. Uso de un servidor cabeza de puente detrás de un servidor de seguridad En general, si su empresa contiene varios servidores de Exchange, debe utilizar un servidor cabeza de puente para ofrecer conexión a Internet a un grupo de enrutamiento o una organización de Exchange. En la siguiente ilustración se muestra esta topología. Conectividad con Internet para un grupo de enrutamiento Si utiliza un servidor cabeza de puente, no es necesario que cada servidor de Exchange tenga conexión a Internet. Esta configuración mejora la seguridad, ya que sólo el servidor cabeza de puente queda expuesto a Internet. 100 Importante: Como los servidores cabeza de puente suelen tener distintos requisitos de seguridad que los equipos internos, debe examinar detenidamente los riesgos para la seguridad de los servidores de puerta de enlace. Configuración básica La configuración básica consta de un servidor cabeza de puente de Exchange conectado a Internet y con la configuración de DNS apropiada. En el servidor cabeza de puente hay instalado un conector para SMTP que realiza la entrega de mensajes salientes a través de Internet. Además, para proteger la red interna, un servidor de seguridad filtra el tráfico entrante de Internet y enruta el correo desde las direcciones IP internas y externas. Las listas siguientes ofrecen los requisitos generales de configuración para los servidores DNS, el servidor cabeza de puente de Exchange, los servidores miembro de Exchange y el servidor de seguridad: Servidores DNS Exchange utiliza los servidores DNS existentes en su organización. En concreto, Exchange utiliza el servidor DNS interno para enrutar los mensajes internos; el servidor DNS interno también reenvía y resuelve direcciones externas mediante un servidor DNS externo. Para configurar DNS de esta forma, asegúrese de que se cumplen las condiciones siguientes: Para que el servidor cabeza de puente se identifique como el servidor de correo del dominio, el servidor DNS externo de la organización debe contener un registro MX para ese servidor cabeza de puente. Esta configuración DNS permite dirigir el correo entrante al servidor cabeza de puente. El servidor DNS interno de la organización debe tener un reenviador a su servidor DNS externo. El servidor de Exchange debe señalar al servidor DNS interno. Para obtener más información acerca de cómo configurar DNS de esta forma, consulte Comprobación del diseño y de la configuración de DNS. Servidor cabeza de puente de Exchange El servidor cabeza de puente de Exchange tiene una conexión a Internet a través del servidor de seguridad en el puerto 25. El servidor virtual SMTP predeterminado está configurado para enviar y recibir correo de Internet con las siguientes configuraciones predeterminadas: - La dirección IP del puerto 25, el puerto SMTP estándar. 101 - Configurado para permitir el acceso anónimo. Debe permitir el acceso anónimo al servidor virtual SMTP en el servidor cabeza de puente de Exchange porque los servidores SMTP de Internet que envían correo a este dominio no esperan realizar la autenticación. - Configurado para no retransmitir correo. El conector para SMTP alojado por el servidor virtual SMTP está configurado con un espacio de direcciones de * (asterisco) para forzar que todo el correo saliente utilice el servidor cabeza de puente. Servidores miembro de Exchange Estos servidores no tienen conexión directa a Internet. Estos servidores utilizan las opciones predeterminadas del servidor virtual SMTP. Servidor de seguridad El servidor de seguridad está configurado de acuerdo con las directrices de su organización y las especificaciones del fabricante. Nota: Una explicación completa de la configuración del servidor de seguridad queda fuera del alcance de esta guía. Hay muchas formas de configurar un servidor de seguridad para que funcione con un servidor de retransmisión SMTP. Puede permitir que el servidor de seguridad o el servidor de retransmisión SMTP realice la traducción de direcciones de red entre las direcciones internas y externas. Para el propósito de esta guía, el flujo de correo a través del servidor de seguridad se trata como si fuera transparente. Correo entrante de Internet El correo fluye en una organización de Exchange de la manera siguiente: 1. El servidor SMTP remoto consulta DNS para resolver el registro MX de su dominio de correo y obtener la dirección IP del servidor de Exchange. 2. El servidor SMTP remoto se conecta a través del servidor de seguridad al servidor virtual SMTP en el puerto 25. 3. El servidor virtual SMTP acepta el mensaje entrante y enruta el correo al servidor de Exchange que aloja el buzón del usuario o a un servidor cabeza de puente para entregar el mensaje en otro grupo de enrutamiento. Correo saliente de Internet El correo fluye de una organización de Exchange de la manera siguiente: 102 1. Un usuario interno envía un mensaje a un destinatario de un dominio externo. 2. El servidor de Exchange del usuario interno envía el correo al conector para SMTP del servidor cabeza de puente. Como el conector está configurado con un espacio de direcciones de * (que denota todos los dominios externos), cada servidor de Exchange del grupo de enrutamiento envía los mensajes de correo electrónico externos a través del conector para SMTP del servidor cabeza de puente. 3. El conector para SMTP utiliza DNS con el fin de resolver la dirección IP del servidor de correo del destinatario y enrutar el correo directamente al servidor SMTP del destinatario. Uso de un servidor de retransmisión SMTP de Windows en una red perimetral Muchas empresas utilizan un servidor SMTP de Windows 2000 o Windows Server 2003 independiente en una red perimetral como servidor de retransmisión para el correo entrante y saliente de Internet. En esta configuración, su organización de Exchange está en un dominio interno detrás del servidor de seguridad y el servidor SMTP está en un dominio distinto en una red perimetral. Los servidores cabeza de puente de Exchange internos enrutan el correo saliente a través de un conector hasta el servidor de retransmisión SMTP, que asume la responsabilidad de la resolución DNS y la entrega de correo. Del mismo modo, puede configurar el servidor de retransmisión SMTP para que acepte el correo entrante de Internet y lo enrute internamente. En la siguiente ilustración se muestra esta topología. Servidor de retransmisión de Windows Server 2003 en una red perimetral Entre las ventajas que supone utilizar un servidor de retransmisión SMTP en una red perimetral se incluyen: 103 Exposición limitada a Internet La red interna protege los servidores de Exchange que contienen la información de usuario y otros datos de configuración. Mayor seguridad Puede instalar software antivirus para examinar el correo entrante antes de que llegue a la red interna. Configuración básica La configuración básica consta de lo siguiente: Servidor de retransmisión SMTP de Windows Server 2003 El servidor de retransmisión SMTP está configurado con un dominio público predeterminado. También está configurado para retransmitir mensajes sólo para los dominios de correo SMTP dentro de la organización de Exchange; no retransmite mensajes a otros dominios. Para conocer los pasos detallados que describen cómo configurar el servidor de retransmisión SMTP, consulte "Para configurar un servidor de Windows Server 2003 como servidor de retransmisión o como host inteligente" más adelante en esta sección. Servidor DNS El servidor DNS externo está configurado con un registro MX que señala a la dirección IP del dominio del servidor de retransmisión SMTP. Todos los servidores de Exchange señalan al servidor DNS interno. Servidor cabeza de puente de Exchange El servidor cabeza de puente de Exchange está conectado a Internet a través del servidor de seguridad en el puerto 25. Servidor virtual SMTP El servidor virtual SMTP está configurado para enviar y recibir correo de Internet con las siguientes configuraciones predeterminadas: Dirección IP del puerto 25 (el puerto SMTP estándar). Permitir acceso anónimo. Debe permitir el acceso anónimo al servidor virtual SMTP en el servidor cabeza de puente de Exchange porque los servidores SMTP de Internet que envían correo a este dominio no esperan realizar la autenticación. No retransmitir correo. Conector para SMTP El servidor virtual SMTP aloja el conector. El conector está configurado con un espacio de direcciones de * (asterisco) para forzar que todo el correo saliente utilice el servidor cabeza de puente de Exchange. 104 El conector está configurado para utilizar el servidor de retransmisión SMTP como host inteligente para retransmitir correo. Todas las demás opciones permanecen con sus valores predeterminados. Otros servidores miembro de Exchange Los servidores miembro no tienen conexión directa a Internet. Todos los servidores miembro utilizan el servidor virtual SMTP predeterminado con sus opciones predeterminadas. Servidor de seguridad El servidor de seguridad está configurado de acuerdo con las directrices de su organización y las especificaciones del fabricante. Nota: Una explicación completa de la configuración del servidor de seguridad queda fuera del alcance de esta guía. Hay muchas formas de configurar un servidor de seguridad para que funcione con un servidor de retransmisión SMTP. Puede permitir que el servidor de seguridad o el servidor de retransmisión SMTP realice la traducción de direcciones de red (entre las direcciones internas y externas). Para el propósito de esta guía, el flujo de correo a través del servidor de seguridad se trata como si fuera transparente. Para obtener instrucciones detalladas, consulte Cómo configurar un servidor de Windows Server 2003 como servidor de retransmisión o como host inteligente. Para obtener más información acerca de cómo configurar un servidor de Windows como servidor de retransmisión o como host inteligente, consulte el artículo 293800 de Microsoft Knowledge Base "XCON: Cómo configurar Windows 2000 como un servidor de retransmisión SMTP o un host inteligente." Correo entrante de Internet Cuando se utiliza un servidor de retransmisión en una red perimetral, el correo entrante de Internet fluye a la organización de Exchange de la manera siguiente: 1. El correo entrante de Internet fluye a través del puerto 25 del servidor de seguridad. 2. El correo se envía entonces al puerto 25 del servidor de retransmisión SMTP de la red perimetral. 3. El servidor de retransmisión SMTP vuelve a enrutar el correo al servidor cabeza de puente de Exchange a través del servidor de seguridad. 4. El servidor cabeza de puente de Exchange utiliza SMTP y el enrutamiento interno para entregar correo al servidor de Exchange que aloja el buzón del usuario. 105 Correo saliente de Internet Cuando se utiliza un servidor de retransmisión en una red perimetral, el correo saliente de Internet fluye de la organización de Exchange de la manera siguiente: 1. Un usuario interno envía un mensaje a un usuario remoto. 2. El servidor de Exchange donde reside el buzón del usuario reenvía el correo al conector para SMTP del servidor cabeza de puente de Exchange. 3. El conector para SMTP retransmite el correo a través del servidor de seguridad hasta el servidor de retransmisión SMTP de la red perimetral. 4. El servidor de retransmisión SMTP utiliza DNS para buscar el registro MX y la dirección IP del servidor SMTP del usuario remoto. 5. El servidor de retransmisión SMTP devuelve el correo a través del servidor de seguridad al puerto 25 del servidor SMTP del usuario remoto. Situaciones de implementación personalizadas En esta sección se presentan dos situaciones de implementación personalizadas y se incluyen descripciones generales de los requisitos generales de configuración de cada una. Uso de un proveedor de servicios de red para enviar y recibir correo. En esta situación se explica cómo configurar el servidor de Exchange para que utilice una conexión de acceso telefónico para la entrega de correo de Internet. Existencia de dos dominios SMTP y uso compartido de un dominio SMTP. Esta situación resuelve problemas que suelen producirse en una fusión o una adquisición. En las primeras etapas de una adquisición, quizás tenga que atender a dos dominios de correo SMTP existentes; en las últimas etapas, es frecuente compartir un único dominio de correo SMTP entre dos sistemas de correo. En esta sección se explica cómo configurar Exchange en ambas situaciones. Además, se explica cómo utilizar una nueva herramienta, llamada Address Rewrite, para reescribir direcciones de correo electrónico saliente para los usuarios del sistema de correo de una empresa subsidiaria. Uso de un proveedor de servicios de red para enviar y recibir correo Si el servidor de Exchange utiliza una conexión de acceso telefónico para enviar y recuperar correo de Internet, debe tener una cuenta de acceso telefónico con el proveedor de servicios 106 de red. Además, debe configurar el Servicio de enrutamiento y acceso remoto (RRAS) de Windows 2000 o Windows Server 2003 para marcar y autenticarse con el proveedor de servicios de red a petición. Para obtener más información acerca de cómo configurar RRAS, vea la Ayuda de Microsoft Windows 2000 o Windows Server 2003. Si desea utilizar el servidor SMTP de un proveedor de servicios de red como host inteligente (también denominado servidor de retransmisión) para entregar los mensajes de correo electrónico saliente, puede comprobar las direcciones del correo saliente cuando lo envía. El correo se puede enviar a petición o puede establecer un calendario de entrega específico. Para configurar estas opciones, utilice la ficha Opciones de entrega de las propiedades del conector para SMTP. Para recuperar mensajes de correo electrónico del host inteligente, en la ficha Opciones avanzadas de las propiedades del conector para SMTP, haga clic en Solicitar ETRN/TURNal enviar mensajes. Como se ha mencionado anteriormente, ETRN es un comando ESMTP enviado por un servidor SMTP para solicitar que otro servidor envíe todos los mensajes de correo electrónico que tenga. TURN es un comando SMTP que permite que el cliente y el servidor intercambien las funciones, y envíen correo en la dirección contraria sin tener que establecer una conexión nueva. Esta posibilidad de intercambio durante una sesión SMTP es útil porque puede enviar correo y emitir después el comando TURN para recibir correo sin necesidad de volver a establecer una nueva conexión. Es posible especificar otros momentos sólo con fines de recuperación. Si desea enviar mensajes de correo electrónico directamente a dominios remotos sin utilizar el servidor de correo electrónico del proveedor de servicios de red como host inteligente, puede configurar el conector para SMTP de manera que utilice DNS para enviar correo. Sin embargo, sigue siendo posible recuperar correo del proveedor de servicios de red. Para recuperar correo del proveedor de servicios de red, seleccione Solicitar ETRN/TURN desde un servidor diferente en la ficha Opciones avanzadas de las propiedades del conector para SMTP. Si configure el conector para SMTP de esta forma, tendrá que establecer un calendario para la recuperación. Existencia de dos dominios de correo SMTP y uso compartido de un dominio de correo SMTP con otro sistema Las situaciones especiales (fusiones y adquisiciones en particular) necesitan la existencia de dos espacios de nombres y el uso compartido de uno de ellos con otro sistema. Para ayudar a explicar esta situación, suponga la fusión de dos empresas ficticias: Contoso, Ltd. y Fourth Coffee. Contoso (contoso.com) adquiere Fourth Coffee (fourthcoffee.com). El proceso de consolidación de los espacios de nombres de dominio es el siguiente: 107 1. Contoso configura su organización de Exchange para que acepte correo para el dominio no local de fourthcoffee.com. Para obtener más información acerca de cómo aceptar correo para varios dominios, consulte "Existencia de dos dominios de correo SMTP" más adelante en este tema. 2. Ambos sistemas comparten eventualmente el dominio de correo SMTP contoso.com. 3. Por último, se migra a los usuarios a una única organización de Exchange y se quita la organización o el sistema anterior. Existencia de dos dominios de correo SMTP La existencia de dos dominios de correo SMTP es frecuente durante la fase inicial de una fusión o una adquisición. A modo de ejemplo de cómo una organización de Exchange puede permitir la existencia de dos dominios de correo SMTP, piense en la misma situación de fusión entre Contoso y Fourth Coffee. En las fases iniciales de la adquisición, Contoso sigue utilizando su dominio de correo SMTP local contoso.com. Sin embargo, para que los empleados de Fourth Coffee puedan recibir mensajes de correo electrónico de sus direcciones originales, Contoso debe aceptar también correo para el dominio de correo no local fourthcoffee.com. En la siguiente ilustración se muestra la coexistencia de los dominios fourthcoffee.com y contoso.com. Existencia de dos dominios de correo SMTP Para aceptar correo del dominio no local de la empresa recién adquirida, Fourth Coffee, un administrador de Contoso crea un conector para SMTP a fourthcoffee.com. Este conector está configurado con un espacio de direcciones del dominio SMTP utilizado por Fourth Coffee (fourthcoffee.com) y para retransmitir mensajes a este dominio. Para ello, el administrador abre las propiedades del conector para SMTP, hace clic en la ficha Espacio 108 de direcciones y activa la casilla de verificación Permitir que los mensajes se retransmitan a estos dominios. Importante: Debe configurar este conector en cada servidor cabeza de puente que acepte correo electrónico de Internet entrante para el dominio fourthcoffee.com. Además, para el dominio de correo (fourthcoffee.com) que el administrador desea que acepte correo, se asegura de que existe un registro MX en el servidor DNS de Internet. Este registro MX debe señalar a la dirección IP del servidor de puerta de enlace que acepta correo entrante. Para obtener más información acerca de DNS, consulte "DNS" en Dependencias del transporte de Exchange Server 2003. Uso de Address Rewrite como solución provisional Con Exchange 2003 puede utilizar una nueva herramienta llamada Address Rewrite como paso intermedio en el caso de una fusión o una adquisición. Esta herramienta reescribe las direcciones de correo electrónico de los mensajes salientes enviados a Exchange y destinados a direcciones externas o de Internet. (Address Rewrite es similar a la característica de Exchange 5.5 ReRouteViaStore). En una fusión o una adquisición, puede reescribir todo el correo saliente de Internet con un único dominio de correo SMTP de la empresa principal, y seguir aceptando los dominios SMTP de la empresa principal y de la empresa adquirida hasta que esté en condiciones de migrar a todos los usuarios al sistema de Exchange. Partiendo del ejemplo de la adquisición de Fourth Coffee por parte de Contoso, suponga que como solución provisional desea que todos los usuarios de Fourth Coffee empiecen a utilizar el dominio de correo SMTP de contoso.com. Como todavía no se ha migrado a estos usuarios al sistema Exchange, puede utilizar Address Rewrite para reescribir todos los mensajes de correo electrónico salientes enviados por los usuarios del sistema de Fourth Coffee con la dirección de correo electrónico de contoso.com. Sin embargo, también desea seguir aceptando los mensajes enviados a los usuarios con la dirección antigua de correo electrónico de fourthcoffee.com. Para reescribir direcciones salientes y seguir admitiendo ambos dominios SMTP, siga estos pasos: 1. Utilice Address Rewrite para reescribir todas las direcciones de correo electrónico salientes enviadas por los usuarios de Fourth Coffee. 2. Cree contactos en Active Directory para todos los usuarios del sistema de correo de Fourth Coffee con una dirección de destino de fourthcoffee.com y una dirección SMTP principal de contoso.com. 3. Cree un conector para SMTP con un espacio de direcciones de fourthcoffee.com. 109 Paso 1: utilizar Address Rewrite para reescribir direcciones de correo electrónico Después de configurar el sistema de correo utilizado por la empresa Fourth Coffee para enrutar el correo saliente de Internet que utiliza SMTP a través del servidor de Exchange, tiene que habilitar Address Rewrite en los servidores virtuales SMTP de la organización de Exchange que sean responsables de aceptar correo del sistema de correo de la empresa subsidiaria. En este ejemplo habilita la reescritura de direcciones en todos los servidores virtuales SMTP que aceptan correo de la empresa subsidiaria, Fourth Coffee. Para que Address Rewrite funcione correctamente deben darse las condiciones siguientes: El mensaje es correo SMTP enviado externamente al servidor cabeza de puente de Exchange. Los mensajes de correo electrónico están destinados a Internet. El correo interno o el correo enviado desde otros servidores de Exchange de su organización al servidor cabeza de puente donde está habilitada la reescritura de direcciones elude la reescritura de direcciones. Hay una excepción: el correo enviado mediante Outlook Express o cualquier otro cliente SMTP realiza una reescritura de direcciones en este servidor cabeza de puente. Recuerde que la finalidad de esta herramienta es reescribir direcciones sólo para el correo procedente de la empresa subsidiaria (enviado externamente mediante SMTP) en los servidores de correo de su empresa y destinado después a Internet. Puede descargar la herramienta Address Rewrite (exarcfg) desde el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=25097. Después de descargar la herramienta, utilice el procedimiento siguiente para habilitar la reescritura de direcciones en los servidores virtuales SMTP apropiados. Importante: La reescritura de direcciones debe habilitarse en los servidores virtuales SMTP cabeza de puente que reciban correo del sistema de correo de la empresa subsidiaria. La reescritura de direcciones no se realizará si el mensaje se envía primero a un servidor virtual SMTP donde no está habilitada la reescritura de direcciones. Para obtener instrucciones detalladas, consulte Cómo habilitar la reescritura de direcciones mediante la herramienta exarcfg. Paso 2: crear contactos en Active Directory para los usuarios de Fourth Coffee En Usuarios y equipos de Active Directory debe crear un contacto para cada usuario del sistema de correo de la compañía Fourth Coffee. Cada contacto debe tener una dirección de destino fourthcoffee.com y una dirección SMTP principal contoso.com. 110 La dirección de destino aparece en la ficha Opciones generales de Exchange de las propiedades de un contacto. La dirección SMTP principal se establece en la ficha Dirección de correo electrónico de las propiedades de un contacto. Puede utilizar un proceso automático para agregar estos contactos a Active Directory o bien puede realizar los pasos manualmente. En el procedimiento Cómo crear un contacto en Active Directory se muestra cómo crear manualmente un contacto en Active Directory utilizando la dirección de destino del sistema de correo que no es de Microsoft, que es Fourth Coffee en este ejemplo, y una dirección SMTP principal utilizada por la organización de Exchange, que en este ejemplo es Contoso. Paso 3: crear un conector para SMTP con un espacio de direcciones de fourthcoffee.com Para aceptar correo para los usuarios de la empresa Fourth Coffee, un administrador de Contoso crea un conector para SMTP con fourthcoffee.com y especifica cada servidor virtual SMTP que acepta correo entrante de Internet como servidor cabeza de puente local para el conector. Este conector está configurado con un espacio de direcciones del dominio SMTP utilizado por Fourth Coffee (fourthcoffee.com) y para retransmitir mensajes a este dominio. Para ello, el administrador abre las propiedades del conector para SMTP, hace clic en la ficha Espacio de direcciones y activa la casilla de verificación Permitir que los mensajes se retransmitan a estos dominios. Nota: Por motivos de rendimiento, se recomienda que no utilice el mismo servidor virtual SMTP para recibir correo de la empresa subsidiaria y para aceptar correo entrante de Internet. Debe designar distintos servidores virtuales SMTP en servidores de Exchange diferentes para cada función. En la siguiente ilustración se muestra la topología empleada por Contoso y Fourth Coffee. Observe que un servidor de Exchange acepta correo saliente de Fourth Coffee y otro servidor distinto enruta el correo entrante para los usuarios de Fourth Coffee. El servidor virtual SMTP que acepta correo de Fourth Coffee también puede actuar como servidor cabeza de puente saliente, pero no es obligatorio. Este servidor virtual SMTP puede enrutar directamente a Internet el correo de Internet recibido de los usuarios de Fourth Coffee o puede enrutarlo al servidor de puerta de enlace apropiado. 111 Topología con reescritura de direcciones habilitada Uso compartido de un dominio de correo SMTP con otro sistema El uso compartido de un dominio de correo SMTP entre una organización de Exchange 2003 y otro sistema de correo electrónico u otra organización de Exchange 2003 es frecuente durante las etapas finales de una fusión o una adquisición. Para continuar con el ejemplo anterior, suponga que Contoso está en las últimas etapas de la consolidación de sus sistemas con los de la compañía recién adquirida, Fourth Coffee. Los buzones de la organización de Exchange 2003 (que contiene a todos los empleados de Contoso) y del otro sistema (que contiene a todos los empleados de Fourth Coffee) utilizan ahora el mismo dominio SMTP contoso.com en sus direcciones. Idealmente, la mejor forma de compartir un dominio de correo SMTP es permitir que Exchange acepte correo entrante de Internet, busque un destinatario coincidente en la organización de Exchange y reenvíe el correo a los usuarios del otro sistema de correo. En la siguiente ilustración se muestra un dominio compartido con otro sistema. 112 Uso compartido de un dominio SMTP Si Exchange funciona como el primer servidor de correo, puede utilizar dos métodos para configurar Exchange de manera que comparta un espacio de direcciones SMTP. Método 1: compartir espacios de nombres seleccionados En el método 1, los sistemas de correo sólo comparten los espacios de direcciones SMTP seleccionados; Exchange sigue teniendo autoridad sobre los demás. Éste es el método preferido porque es el más flexible. También debe utilizar este método o la herramienta Address Rewrite descrita anteriormente si se da alguna de las condiciones siguientes en su entorno: Crea contactos en Active Directory para enviar correo a destinatarios externos. Las direcciones SMTP de destino de esos destinatarios externos coinciden con algún dominio SMTP configurado en las directivas de destinatarios de Exchange 2003. Por ejemplo, si la dirección @contoso.com está configurada en una de las directivas de destinatarios y desea crear contactos cuya dirección de destino sea @contoso.com, debe utilizar este método para compartir el dominio de correo SMTP @contoso.com. Método 2: compartir todos los espacios de direcciones Si bien el método 2 es menos flexible, es más fácil de configurar en entornos pequeños. Sin embargo, no puede utilizar este método si en Active Directory existen contactos para los destinatarios externos del otro sistema de correo. Para obtener más información acerca de un dominio SMTP compartido, consulte en Microsoft Knowledge Base el artículo 319759, "XADM: How to Configure Exchange 2000 Server to Forward Messages to a Foreign Messaging System That Shares the Same SMTP Domain Name Space". 113 Método 1: compartir espacios de nombres seleccionados El método 1 ofrece una flexibilidad excelente porque puede crear contactos en Active Directory y migrar más fácilmente usuarios a un único sistema. Este método utiliza dos principios básicos: Se crea un conector para SMTP con un espacio de direcciones del dominio remoto, fourthcoffee.com. El conector permite retransmitir mensajes a este dominio. Al permitir la retransmisión al dominio remoto, Exchange puede aceptar mensajes entrantes para este dominio. Importante: Debe configurar este conector en cada servidor cabeza de puente que acepte correo electrónico de Internet entrante para el dominio fourthcoffee.com. Exchange no tiene autorización sobre el dominio. Si Exchange tiene autorización sobre un dominio, supone que todas las direcciones del dominio existen en su organización. Por tanto, si los mensajes no se pueden resolver localmente, Exchange nunca intenta enviar los mensajes a través de un conector externo. Al configurar Exchange para que no tenga autorización para el dominio, si no se encuentra al usuario localmente, Exchange enruta el mensaje a través del conector hasta el sistema remoto. Nota: En este caso, como este dominio de correo SMTP no tiene autoridad, es irrelevante que Exchange acepte mensajes entrantes para dominios sobre los que tiene autoridad. La configuración del conector asegura que la organización de Exchange aceptará correo para este dominio, ya que el conector está configurado con un espacio de direcciones SMTP del dominio remoto y permite la retransmisión a este dominio. Exchange sólo acepta correo electrónico entrante para el dominio SMTP compartido porque el conector con el sistema de correo remoto permite la retransmisión de mensajes a este espacio de direcciones. Como Exchange no tiene autoridad para el dominio de correo compartido, si quita el conector, Exchange dejará de aceptar correo entrante para este dominio SMTP. Por tanto, si quita el conector, no olvide cambiar la directiva de destinatarios y hacer que Exchange tenga autoridad para este dominio de correo SMTP. Para utilizar el método 1 se deben seguir tres pasos principales (cada paso se explica con más detalle en las próximas secciones): 1. Determinar si Exchange tiene autoridad sobre el dominio de correo SMTP que desea compartir. 2. Configurar la directiva de destinatarios para el dominio de correo SMTP que desea compartir. La forma de hacerlo depende de si el dominio de correo SMTP existe o no en la directiva de destinatarios predeterminada, en otra directiva de destinatarios o si todavía no existe en una directiva de destinatarios. 114 3. Crear un conector para SMTP con el fin de enrutar correo al otro sistema de correo o host. Paso 1: determinar si Exchange tiene autoridad sobre el dominio de correo SMTP que desea compartir Antes de configurar la directiva de destinatarios para el dominio de correo SMTP que desea compartir, debe determinar si Exchange tiene autoridad o no sobre el dominio. Recuerde que dependiendo de si Exchange 2003 tiene autoridad o no, Exchange trata los mensajes de correo electrónico de manera diferente para determinadas direcciones SMTP. Como Exchange no reenvía los mensajes que no puede resolver localmente para un dominio con autorización, debe asegurarse de que Exchange no tenga autorización sobre el dominio de correo SMTP que desea compartir. Para obtener instrucciones detalladas, consulte Cómo ver la configuración que determina si Exchange Server tiene autorización. Paso 2: configurar la directiva de destinatarios para el dominio de correo SMTP que desea compartir A la hora de configurar la directiva de destinatarios para el dominio de correo SMTP que desea compartir, puede encontrarse con tres situaciones posibles: Situación 1 El dominio de correo SMTP que desea compartir existe en la directiva de destinatarios predeterminada. Situación 2 El dominio de correo SMTP que desea compartir existe en otra directiva de destinatarios. Situación 3 El dominio de correo SMTP que desea compartir no existe en ninguna directiva de destinatarios. Situación 1: configuración de un dominio SMTP compartido que existe en la directiva de destinatarios predeterminada No puede configurar Exchange para que no tenga autorización sobre el espacio de direcciones SMTP principal de la directiva de destinatarios predeterminada. Para impedir que Exchange tenga autorización sobre este dominio, tiene que agregar un nuevo espacio de direcciones principal que sea estrictamente para uso interno con el fin de cambiar la directiva de destinatarios predeterminada. Esta dirección podría ser similar a @localhost, lo que significa que sólo se utilizará para el flujo de correo interno dentro de la organización de Exchange. Después de agregar el nuevo espacio de direcciones, debe hacer que el espacio de direcciones compartido no tenga autorización. Para configurar Exchange de manera que comparta un dominio de correo que existe como espacio de direcciones principal en la directiva de destinatarios predeterminada, debe realizar las tareas siguientes: 115 1. En la directiva de destinatarios predeterminada, agregue un nuevo espacio de direcciones principal sobre el cual Exchange tenga autorización y, a continuación, haga que el espacio de nombres compartido no tenga autorización. 2. Cree una segunda directiva de destinatarios que tenga el mismo filtro de búsqueda que la directiva predeterminada. Después, asigne a la segunda directiva de destinatarios una prioridad mayor que la de la directiva predeterminada, de forma que la dirección de respuesta o de remite se muestre como perteneciente al espacio de direcciones compartido. Este paso es necesario porque Exchange utiliza el espacio de direcciones principal como la dirección de respuesta que se muestra en el correo saliente. Como desea que los mensajes salientes muestren el espacio de nombres compartido en la línea de respuesta, debe crear otra directiva de destinatarios que tampoco tenga autorización pero que tenga una prioridad mayor; por tanto, Exchange utiliza este espacio de direcciones en la dirección de remite del correo saliente. Como la nueva directiva de destinatarios no es la predeterminada, puede hacer que este espacio de direcciones no tenga autorización. Realice el procedimiento Cómo modificar la directiva de destinatarios predeterminada para crear un nuevo espacio de direcciones en la directiva de destinatarios predeterminada y hacer que el espacio de direcciones compartido no tenga autorización. Al modificar la directiva de destinatarios predeterminada de esta forma, Exchange utiliza la nueva dirección principal como dirección de remite o de respuesta en los mensajes de correo electrónico salientes. En el ejemplo anterior, todos los usuarios de esta directiva tienen ahora una dirección de remite que coincide con el nuevo espacio de direcciones principal @localhost. Como desea que todos los usuarios tengan la dirección de remite del dominio de correo compartido (en este caso, contoso.com ), debe crear una nueva directiva de destinatarios con mayor prioridad que contenga el espacio de direcciones contoso.com. Exchange utiliza la directiva de destinatarios de mayor prioridad en la dirección de remite. Además, como esta directiva de destinatarios no es la predeterminada, puede hacer que no tenga autorización. (Recuerde que este espacio de direcciones no debe tener autorización para que Exchange pueda enrutarlo a través del conector hasta el sistema externo). Realice el procedimiento Cómo crear un destinatario de mayor prioridad con el dominio de correo compartido para crear una directiva de destinatarios con mayor prioridad de forma que los mensajes de correo salientes muestren la dirección correcta de remite (respuesta). Situación 2: el dominio de correo SMTP que desea compartir existe en otra directiva de destinatarios Si el dominio SMTP que desea compartir no está en la directiva de destinatarios predeterminada, puede hacer que el espacio de direcciones no tenga autorización. Para obtener instrucciones detalladas, consulte Cómo modificar una directiva de destinatarios existente para el dominio SMTP que desea compartir. 116 Situación 3: el dominio de correo SMTP que desea compartir no existe en ninguna directiva de destinatarios Si el dominio SMTP que desea compartir no existe en ninguna directiva de destinatarios, puede crear una nueva directiva con el espacio de direcciones y hacer que no tenga autorización. Para obtener instrucciones detalladas, consulte Cómo crear una nueva directiva de destinatarios para un dominio de correo SMTP que no existe en ninguna directiva de destinatarios. Paso 3: crear un conector para SMTP con el fin de enrutar correo al otro sistema de correo Ahora que Exchange 2003 no tiene autorización para el dominio SMTP compartido, cuando Exchange 2003 no encuentre una dirección coincidente en Active Directory, intentará buscar una ruta externa a este dominio. Para ello, Exchange busca primero un conector y comprueba el Sistema de nombres de dominio (DNS). A menos que el registro de intercambio de correo (MX) para ese dominio ya señale al servidor donde reside el otro sistema de correo (en muchos casos, el registro MX señala al propio servidor de Exchange 2003), debe crear un conector para SMTP con el fin de enrutar el correo a un host específico. Importante: Debe configurar este conector en cada servidor cabeza de puente que acepte correo electrónico de Internet entrante para el dominio fourthcoffee.com. Para obtener instrucciones detalladas, consulte Cómo crear un conector para SMTP con el fin de enrutar correo a un host concreto. Después de configurar estas opciones, cuando Exchange 2003 no encuentre una coincidencia de una dirección local en ese dominio SMTP, reenviará el correo al host que tiene el espacio de direcciones coincidente, como se especifica en el conector para SMTP. Método 2: compartir todos los espacios de direcciones Este método implica compartir todos los espacios de direcciones o dominios de correo SMTP. Si bien esta configuración es más fácil de implementar, es mucho menos flexible que el método 1. En esta configuración, Exchange 2003 tiene autorización para todos los espacios de direcciones. No puede tener ningún contacto en el directorio cuya dirección de destino coincida con un dominio para el que Exchange 2003 tenga autorización. Para obtener instrucciones detalladas, consulte Cómo compartir todos los espacios de direcciones de la organización de Exchange. Recuerde que esta opción sólo afecta a los dominios con autorización. Por tanto, en un dominio con autorización, cualquier mensaje enviado a una dirección sin resolver se 117 reenviará al servidor especificado en el servidor virtual SMTP. Cualquier dominio que no tenga autorización en Exchange 2003 no se verá afectado por esta opción. Cualquier mensaje enviado a una dirección sin resolver de un dominio sin autorización se enrutará a un conector para SMTP coincidente, si hay alguno. Si no se encuentra ningún conector para SMTP coincidente, se enviará el mensaje al servidor especificado en el registro MX encontrado en DNS. Compatibilidad con otros sistemas de correo adicionales Como se ha descrito en las situaciones anteriores, el otro sistema de correo que recibe correo reenviado por Exchange puede realizar las mismas tareas que Exchange y reenviar el correo a un tercer sistema de correo. Para evitar el bucle de correo, es esencial que el último sistema de correo electrónico (al que se reenvía el correo) tenga autorización para el dominio. Es decir, el sistema de correo receptor final debe buscar un destinatario coincidente; si no lo encuentra, generará un informe de no entrega (NDR) para el mensaje. El bucle de correo se produce cuando el sistema receptor busca una coincidencia entre sus destinatarios y vuelve a reenviar el correo al sistema original cuando no encuentra ninguna coincidencia. Si Exchange es el último sistema en esta configuración, de manera predeterminada devolverá un NDR para todos los mensajes sin resolver. Sin embargo, es preferible crear destinatarios personalizados en Active Directory para todos los destinatarios que residan en otro sistema de correo diferente. Estos destinatarios deben tener direcciones de destino similares a @subdominio.contoso.com, donde subdominio ofrece información adicional de dirección para distinguir el espacio de direcciones del típico espacio de direcciones @ejemplo.com; por ejemplo, @ventas.contoso.com. Cómo habilitar la reescritura de direcciones mediante la herramienta exarcfg La reescritura de direcciones debe habilitarse en los servidores virtuales SMTP cabeza de puente que reciban correo del sistema de correo de la empresa subsidiaria. La reescritura de direcciones no se realizará si el mensaje se envía primero a un servidor virtual SMTP donde no está habilitada la reescritura de direcciones. 118 Antes de empezar Puede descargar la herramienta Address Rewrite (exarcfg) desde el sitio Web Downloads for Exchange Server 2003. Después de descargar la herramienta, utilice el procedimiento siguiente para habilitar la reescritura de direcciones en los servidores virtuales SMTP apropiados. Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para habilitar la reescritura de direcciones mediante la herramienta exarcfg 1. Descargue exarcfg en el directorio que desee. 2. Abra un símbolo del sistema. 3. Vaya hasta el directorio donde instaló exarcfg. 4. Escriba el comando siguiente: exarcfg –e -s server –v: SMTP virtual server instance number Donde servidor es el nombre de dominio completo (FQDN) del servidor de Exchange en el que desea habilitar la reescritura de direcciones. Número de instancia del servidor virtual SMTP es el número que representa la instancia del servidor virtual SMTP. Si no especifica la opción –v, el comando utilizará de forma predeterminada el primer servidor virtual, que suele ser el servidor virtual SMTP predeterminado. Cómo crear un contacto en Active Directory Cada usuario del sistema de correo Exchange debe ser un contacto en el servicio de directorio Microsoft® Active Directory®. 119 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para crear un contacto en Active Directory 1. Abra Active Directory. 2. Vaya hasta la carpeta en la que desee crear los contactos, haga clic con el botón secundario del mouse en la carpeta, seleccione Nuevo y haga clic en Contacto. 3. En la página Nuevo objeto, complete la información de nombres y haga clic en Siguiente. 4. En la página siguiente, compruebe que la casilla de verificación Crear una dirección de correo electrónico de Exchange esté activada. 5. En Dirección de correo electrónico, haga clic en Modificar. 6. En Nueva dirección de correo electrónico, seleccione el tipo de la dirección de destino. En este ejemplo, seleccione Dirección SMTP y haga clic en Aceptar. 7. En Propiedades de la dirección de Internet, escriba la dirección de correo electrónico utilizada por la compañía recién adquirida. En este ejemplo, escriba <usuario>@fourthcoffee.com y haga clic en Aceptar. 8. Complete el asistente para crear un contacto con la dirección de destino apropiada. 9. Haga clic con el botón secundario del mouse en el contacto y, a continuación, haga clic en Propiedades. 10. Haga clic en la ficha Direcciones de correo electrónico y seleccione la dirección SMTP de la empresa principal; en este caso, [email protected]. Haga clic en Establecer como principal. Ficha Direcciones de correo electrónico del cuadro de diálogo Propiedades de usuario 120 Cómo ver la configuración que determina si Exchange Server tiene autorización Antes de configurar la directiva de destinatarios para el dominio de correo SMTP que desea compartir, debe determinar si Exchange Server tiene autorización o no sobre el dominio. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. 121 Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para ver la opción que determina si Exchange tiene o no autorización 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Destinatarios y haga clic en Directivas de destinatarios. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en una directiva de destinatarios y, a continuación, haga clic en Propiedades. 4. Haga clic en la ficha Direcciones de correo electrónico (Directiva), seleccione una dirección SMTP y haga clic en Modificar. Aparecerá un cuadro de diálogo. Cuadro de diálogo Propiedades de Dirección SMTP para un dominio con autorización 122 5. Si la casilla de verificación Esta organización de Exchange es responsable de todos los mensajes entregados a esta dirección está activada, Exchange tendrá autorización para la dirección. Si la casilla de verificación está desactivada, Exchange no tendrá autorización para la dirección. 6. Para obtener más información acerca de dominios SMTP con o sin autorización en Exchange, consulte el artículo 315591 de Microsoft Knowledge Base "XCON: Authoritative and Non-Authoritative Domains in Exchange 2000". Cómo modificar la directiva de destinatarios predeterminada No puede configurar Microsoft® Exchange Server para que no tenga autorización sobre el espacio de direcciones SMTP principal de la directiva de destinatarios predeterminada. Para 123 impedir que Exchange Server tenga autorización sobre este dominio, tiene que agregar un nuevo espacio de direcciones principal que sea estrictamente para uso interno con el fin de cambiar la directiva de destinatarios predeterminada. Esta dirección podría ser similar a @localhost, lo que significa que sólo se utilizará para el flujo de correo interno dentro de la organización de Exchange Server. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para modificar la directiva de destinatarios predeterminada 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Destinatarios y haga clic en Directivas de destinatarios. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la directiva de destinatarios predeterminada y, a continuación, haga clic en Propiedades. 4. Haga clic en la ficha Direcciones de correo (Directiva) y, después, haga clic en Nueva. 5. En Nueva dirección de correo electrónico, haga clic en Dirección SMTP y, después, haga clic en Aceptar. 6. En Propiedades de Dirección SMTP, en el cuadro Dirección, escriba @localhost u otro espacio de direcciones para el que la organización de Exchange pueda tener autorización. Puede utilizar @localhost o el dominio de Active Directory si es distinto del dominio de Internet. Este espacio de direcciones es estrictamente para uso interno. 7. Compruebe que la casilla de verificación Esta organización de Exchange es responsable de todos los mensajes entregados a esta dirección esté activada y haga clic en Aceptar. 8. En la ficha Direcciones de correo (Directiva), haga clic en la nueva dirección 124 SMTP recién creada y, después, haga clic en Establecer como principal. 9. Haga clic en el espacio de direcciones SMTP que desee compartir (por ejemplo, contoso.com) y, después, haga clic en Modificar. 10. Para que Exchange no tenga autorización para esta dirección SMTP, desactive la casilla de verificación Esta organización de Exchange es responsable de todos los mensajes entregados a esta dirección y haga clic en Aplicar. 11. Aparecerá un mensaje que le preguntará si desea actualizar todas las direcciones de correo electrónicas de los destinatarios correspondientes. Haga clic en Sí. 12. En la ficha Direcciones de correo electrónico (Directiva), haga clic en Aceptar. Cómo crear un destinatario de mayor prioridad con el dominio de correo compartido Como todos los usuarios deben tener la dirección de remite del dominio de correo compartido (por ejemplo, contoso.com ), debe crear una nueva directiva de destinatarios con mayor prioridad que contenga el espacio de direcciones contoso.com. Exchange Sever utiliza la directiva de destinatarios de mayor prioridad en la dirección de remite. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para crear una directiva de destinatarios de mayor prioridad con el dominio de correo compartido 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Destinatarios, haga clic con el botón secundario 125 del mouse (ratón) en Directivas de destinatarios, seleccione Nuevo y haga clic en Directiva de destinatarios. 3. En Nueva directiva, active la casilla de verificación Direcciones de correo y haga clic en Aceptar. 4. En la ficha General, en el cuadro Nombre, escriba un nombre apropiado, como "Direcciones de usuario". 5. En Reglas del filtro, haga clic en Modificar. 6. En Buscar destinatarios de Exchange, active o desactive las casillas de verificación apropiadas para especificar todos los usuarios aplicables. Si desea aplicar la directiva a todos los usuarios, haga clic en Aceptar. 7. En la ficha Direcciones de correo (Directiva), haga clic en el dominio de correo SMTP que desee compartir, haga clic en Establecer como principal (dejando el dominio @local como proxy secundario) y, después, haga clic en Aplicar. 8. Aparecerá un mensaje que le preguntará si desea actualizar todas las direcciones de correo electrónicas de los destinatarios correspondientes. Haga clic en Sí. 9. En la ficha Direcciones de correo electrónico (Directiva), haga clic en Aceptar. Cómo modificar una directiva de destinatarios existente para el dominio SMTP que desea compartir Si el dominio SMTP que desea compartir no está en la directiva de destinatarios predeterminada, puede hacer que el espacio de direcciones no tenga autorización. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo 126 Procedimiento Para modificar una directiva de destinatarios existente para el dominio SMTP que desea compartir 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Destinatarios y haga clic en Directivas de destinatarios. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la directiva de destinatario que tiene el espacio de direcciones SMTP que desea compartir y, a continuación, haga clic en Propiedades. 4. En la ficha Direcciones de correo electrónico (Directiva), haga clic en el espacio de direcciones SMTP y, a continuación, haga clic en Establecer como principal. 5. Haga clic en el espacio de direcciones SMTP que desee compartir y, a continuación, haga clic en Modificar. 6. Para que Exchange no tenga autorización para esta dirección SMTP, desactive la casilla de verificación Esta organización de Exchange es responsable de todos los mensajes entregados a esta dirección y haga clic en Aplicar. 7. Aparecerá un mensaje que le preguntará si desea actualizar todas las direcciones de correo electrónicas de los destinatarios correspondientes. Haga clic en Sí. 8. En la ficha Direcciones de correo electrónico (Directiva), haga clic en Aceptar. Cómo crear una nueva directiva de destinatarios para un dominio de correo SMTP que no existe en ninguna directiva de destinatarios Si un dominio SMTP que desea compartir no existe en ninguna directiva de destinatarios, puede crear una nueva directiva con el espacio de direcciones y hacer que no tenga autorización. 127 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para crear una nueva directiva de destinatarios para un dominio de correo SMTP que no existe en ninguna directiva de destinatarios 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Destinatarios, haga clic con el botón secundario del mouse (ratón) en Directivas de destinatarios, seleccione Nuevo y haga clic en Directiva de destinatarios. 3. En Nueva directiva, active la casilla de verificación Direcciones de correo y haga clic en Aceptar. 4. En la ficha General, en el cuadro Nombre, escriba un nombre para la nueva directiva. 5. En la ficha Direcciones de correo (Directiva), haga clic en el espacio de direcciones SMTP y, después, haga clic en Nueva. 6. En Nueva dirección de correo electrónico, haga clic en Dirección SMTP y, después, haga clic en Aceptar. 7. En Propiedades de Dirección SMTP, en el cuadro Dirección, escriba el espacio de direcciones SMTP que desea compartir. 8. Para que Exchange no tenga autorización para esta dirección SMTP, desactive la casilla de verificación Esta organización de Exchange es responsable de todos los mensajes entregados a esta dirección. 9. En Propiedades de Dirección SMTP, haga clic en Aceptar. 10. En la ficha Direcciones de correo electrónico (Directiva), haga clic en Aceptar. 128 Cómo crear un conector para SMTP con el fin de enrutar correo a un host concreto Cuando Microsoft® Exchange Server no encuentra una dirección coincidente en el servicio de directorio Active Directory®, intenta buscar una ruta externa a este dominio. Para ello, Exchange Server busca primero un conector y comprueba el Sistema de nombres de dominio (DNS). Salvo que el registro de intercambio de correo (MX) para ese dominio ya señale al servidor en el que reside el otro sistema de correo, debe crear un conector para SMTP con el fin de enrutar el correo a un host concreto. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para crear un conector para SMTP con el fin de enrutar correo a un host concreto 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en Conectores, seleccione Nuevo y, después, haga clic en Conector para SMTP. 3. En la ficha General, escriba un nombre apropiado y haga clic en Reenviar el correo a través de este conector al siguiente host inteligente. Entre corchetes ([ ]), escriba el nombre de dominio completo (FQDN) o la dirección IP del servidor al que se van a enrutar los mensajes de correo electrónico para el espacio de direcciones SMTP compartido. 4. Haga clic en Agregar para configurar los servidores cabeza de puente y seleccione los servidores de puerta de enlace de Exchange que aceptan correo de Internet para este dominio. 5. Haga clic en Espacio de direcciones, Agregar, seleccione SMTP y haga clic en Aceptar. 6. En Dominio de correo electrónico, escriba el espacio de direcciones SMTP sin el símbolo @, por ejemplo, fourthcoffee.com y haga clic en Aceptar. 129 Nota: Es importante indicar el dominio de correo SMTP específico. No escriba * (asterisco) en el conector para SMTP. Si especifica * Exchange Server aceptará correo para todos los dominios externos y después lo retransmitirá externamente. Esta configuración permite la retransmisión abierta para cualquier usuario de Internet y es extremadamente insegura. 7. Como Exchange Server 2003 también debe recibir mensajes para este dominio, en la ficha Espacio de direcciones, haga clic en Permitir que los mensajes se retransmitan a estos dominios y, después, haga clic en Aceptar. Esta opción hace posible que todos los servidores virtuales SMTP que figuran bajo Cabezas de puente locales acepten mensajes para este dominio. Cómo compartir todos los espacios de direcciones de la organización de Exchange Utilice este procedimiento para compartir todos los espacios de direcciones de la organización de Exchange. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para compartir todos los espacios de direcciones de la organización de Exchange 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, <Nombre del servidor>, Protocolos y, a continuación, SMTP. 130 3. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP y, a continuación, haga clic en Propiedades. 4. En las Propiedades del servidor virtual SMTP, haga clic en la ficha Mensajes. 5. En el cuadro Reenviar a este host el correo con destinatarios sin resolver, escriba la dirección IP entre corchetes ([ ]) o el FQDN del servidor que recibirá el correo sin resolver y haga clic en Aceptar. 6. Repita este procedimiento para el servidor virtual SMTP predeterminado en todos los servidores de Exchange 2003, excepto para cualquier servidor virtual que actúe como puerta de enlace entrante para el otro sistema. Se recomienda que en este servidor no resida ningún buzón. Configuración de la colaboración de correo SMTP entre bosques Para impedir la simulación (es decir, la falsificación de identidades), Exchange 2003 requiere una autenticación antes de que el nombre de un remitente se resuelva a su nombre para mostrar en la lista global de direcciones (GAL). Por tanto, en una organización que ocupe dos bosques, un usuario que envíe correo de un bosque a otro no se autentica. Además, el nombre del usuario no se resolverá en un nombre para mostrar de la GAL, incluso aunque el usuario exista como un contacto en el bosque de destino. Para permitir la colaboración de correo entre bosques en Exchange 2003 es necesario realizar algunos pasos de configuración adicionales para resolver los contactos externos a la organización en sus nombres para mostrar en Active Directory. Existen dos opciones para permitir la resolución de estos contactos: Opción 1 (recomendada) Utilizar la autenticación de modo que los usuarios que envían correo desde un bosque a otro sean usuarios autenticados y sus nombres se resuelvan en los nombres para mostrar correspondientes de la lista global de direcciones. Opción 2 Restringir el acceso al servidor virtual SMTP que se utiliza para la colaboración entre bosques y, a continuación, configurar Exchange para resolver el correo electrónico anónimo. Si bien se admite esta configuración, no se recomienda utilizarla. De forma predeterminada, con esta configuración las propiedades de mensaje Exch50, que son las propiedades extendidas de un mensaje, no se conservan cuando se envía correo de un bosque a otro. 131 Para comprender las ventajas de configurar la colaboración de correo entre bosques, considere los casos siguientes de envíos de correo anónimo y el envío de correo autenticado entre bosques. Situación: envío de correo anónimo Las direcciones de correo electrónico no se resuelven si el envío es anónimo. Por tanto, cuando un usuario anónimo que intenta simular (falsificar) la identidad de un usuario interno envía un mensaje de correo electrónico, la dirección de remite no se resuelve en su nombre para mostrar de la lista global de direcciones (GAL). Por ejemplo, Kim Akers es un usuario interno legítimo de Contoso, Ltd. Su nombre para mostrar en la GAL es Kim Akers y su dirección de correo electrónico es [email protected]. Para enviar correo, Kim debe autenticarse. Como ella está autenticada, los destinatarios del correo de Kim verán que el remitente es Kim Akers. Por otra parte, se mostrarán las propiedades de Kim Akers en la entrada correspondiente de la lista global de direcciones. Sin embargo, si Ted Bremer intenta falsificar la dirección de Kim utilizando [email protected] en la línea De y, a continuación, envía correo al servidor de Exchange 2003 que se encuentra en Contoso, la dirección de correo electrónico no se resuelve en el nombre para mostrar de Kim porque Ted no se autenticó. Por tanto, cuando se muestra este mensaje de correo electrónico en Microsoft Office Outlook®, la dirección del remitente aparece como [email protected]; no se resuelve como Kim Akers, tal y como ocurre con el correo autenticado que envía Kim. Situación: entrega de correo entre bosques Imagine una compañía con dos bosques: el bosque Adatum y el bosque Fabrikam. Ambos bosques son bosques de dominio único con los dominios adatum.com y fabrikam.com, respectivamente. Para permitir la colaboración de correo entre bosques, todos los usuarios del bosque Adatum se muestran como contactos en Active Directory del bosque Fabrikam. De la misma forma, todos los usuarios del bosque Fabrikam se muestran como contactos en Active Directory del bosque de Adatum. Si un usuario del bosque Adatum envía un mensaje al bosque Fabrikam, y el correo se envía a través de una conexión anónima, la dirección del remitente no se resuelve, a pesar de que el remitente existe como un contacto en la lista global de direcciones de Active Directory y de Outlook. Esto se debe a que un usuario del bosque Adatum no es un usuario autenticado en el bosque Fabrikam. Por ejemplo, Ted Bremer es un usuario de correo del bosque Adatum; su dirección de correo electrónico es [email protected] y su nombre para mostrar en la GAL de Outlook es Ted Bremer. Adam Barr es un usuario del bosque Fabrikam; su dirección de correo electrónico es [email protected] y el nombre que se muestra en la lista global de direcciones de Outlook es Adam Barr. Puesto que Adam se muestra como un contacto de Active Directory en el bosque Adatum, Ted puede ver la dirección de correo de Adam y resolverla en el nombre para mostrar de Adam Barr en la lista global de direcciones de Outlook. Cuando Adam recibe correo de Ted, la dirección de Ted no se resuelve; en lugar de ver el nombre 132 para mostrar de Ted tal y como aparece en la lista global de direcciones, Adam ve su dirección de correo no resuelta de [email protected]. Como Ted envió el correo como un usuario anónimo, su dirección de correo no se resolvió. Aunque Ted esté autenticado al enviar correo, la conexión entre los dos bosques no se autentica. Para garantizar que los remitentes de un bosque puedan enviar correo a los destinatarios de otros bosques, y que sus direcciones de correo se resuelvan en los nombres para mostrar de la lista global de direcciones, debe habilitar la colaboración de correo entre bosques. En las secciones siguientes se explican las dos opciones disponibles para configurar la colaboración de correo entre dos bosques. Habilitación de la autenticación entre bosques Para habilitar la autenticación SMTP entre bosques, debe crear conectores en cada bosque que utilice una cuenta autenticada del otro bosque. De esta forma, cualquier mensaje de correo que un usuario autenticado envíe entre los dos bosques se resuelve en el nombre para mostrar correspondiente de la lista global de direcciones. En esta sección se explica cómo habilitar la autenticación entre bosques. Tomando el ejemplo de los bosques Adatum y Fabrikam (consulte "Situación: entrega de correo entre bosques" anteriormente en este tema), realice los pasos siguientes para configurar la autenticación entre bosques: 1. Cree una cuenta en el bosque Fabrikam que tenga permisos Enviar como. (Para todos los usuarios del bosque Adatum existe también un contacto en el bosque Fabrikam; por tanto, esta cuenta permite a los usuarios de Adatum enviar correo autenticado.) Configure estos permisos en todos los servidores de Exchange que aceptarán correo entrante de Adatum. 2. En un servidor de Exchange del bosque Adatum, cree un conector que requiera autenticación utilizando esta cuenta para enviar correo saliente. De forma similar, para configurar la autenticación entre bosques desde el bosque Fabrikam al bosque Adatum, repita estos pasos, creando la cuenta en Adatum y el conector en Fabrikam. Paso 1: crear una cuenta de usuario en el bosque de destino con permisos Enviar como Antes de configurar el conector en el bosque de conexión, debe crear una cuenta en el bosque de destino (el bosque con el que establece la conexión) que cuente con permisos Enviar como. Configure estos permisos en todos los servidores del bosque de destino que aceptarán conexiones entrantes desde el bosque de conexión. El procedimiento Cómo crear la cuenta utilizada para la autenticación entre bosques muestra cómo configurar una cuenta en el bosque Fabrikam y el procedimiento Cómo configurar un conector y solicitar 133 autenticación para la autenticación entre bosques muestra cómo configurar un conector en el bosque Adatum, lo que permite a los usuarios del bosque Adatum enviar correo al bosque Fabrikam con direcciones de correo electrónico resueltas. Paso 2: crear un conector en el bosque de conexión Después de crear la cuenta con los permisos adecuados en el bosque de destino, cree un conector en el bosque de conexión y solicite autenticación mediante la cuenta recién creada. En el procedimiento Cómo configurar un conector y solicitar autenticación para la autenticación entre bosques, suponga que crea un conector en un servidor de Exchange del bosque Adatum que se conecta al bosque Fabrikam. Habilitación de la colaboración entre bosques mediante la resolución de correo anónimo Otro método para configurar Exchange de manera que resuelva los contactos externos a su organización en los nombres para mostrar de Active Directory consiste en configurar Exchange para resolver correo electrónico anónimo. Suponga que la compañía incluye dos bosques, Adatum y Fabrikam. Importante: La configuración de los servidores de Exchange para que resuelvan envíos de correo anónimos permite a los usuarios malintencionados enviar mensajes con una dirección de remite falsa. Los destinatarios no pueden diferenciar entre el correo auténtico y el falsificado. Para reducir al mínimo esta posibilidad, asegúrese de que restringe el acceso al servidor virtual SMTP a las direcciones IP de sus servidores de Exchange. Realice los pasos siguientes para resolver los contactos de los usuarios de Adatum en sus nombres para mostrar del bosque Fabrikam. Cada uno de estos pasos se explica con más detalle en las próximas secciones: 1. Cree un conector en el bosque Adatum que se conecte al bosque Fabrikam. 2. En el servidor de cabeza de puente de recepción del bosque Fabrikam, restrinja el acceso al servidor virtual SMTP en función de las direcciones IP. De esta forma, se garantiza que sólo los servidores del bosque Adatum puedan enviar correo a este servidor. 3. En el servidor virtual SMTP que aloja al conector, active la opción Resolver correo electrónico anónimo. 4. Cambie una clave del Registro para asegurarse de que las propiedades extendidas de un mensaje (propiedades Exch50) se mantengan en ambos bosques. De lo contrario, se puede perder información importante de los mensajes. 134 Después de completar estos pasos, todos los usuarios que envíen correo desde el bosque Adatum al bosque Fabrikam se resolverán en sus nombres para mostrar que figuran en la lista global de direcciones (GAL) de Fabrikam. En un entorno de producción, repetiría este proceso para configurar la resolución de los contactos de Fabrikam en el bosque de Adatum. Paso 1: crear un conector en el bosque de conexión Primero debe crear un conector en el bosque de conexión. Para obtener instrucciones detalladas, consulte "How to Create a Connector in a Connecting Forest" en What's New in Exchange Server 2003Novedades en Exchange Server 2003. Una vez creado el conector, Exchange Server enrutará todo el correo destinado a fabrikam.com (el bosque Fabrikam) a través de este conector. Paso 2: restringir direcciones IP en el servidor cabeza de puente de recepción Después de crear el conector en el bosque Adatum (el bosque de conexión) debe restringir el acceso al servidor cabeza de puente de recepción. Para ello, sólo se permite a la dirección IP de los servidores de conexión del bosque Adatum el envío de correo al servidor cabeza de puente de recepción del bosque Fabrikam. Para obtener instrucciones detalladas, consulte Cómo restringir el acceso por dirección IP en el servidor cabeza de puente de recepción. Paso 3: resolver correo anónimo en el servidor virtual SMTP Después de haber restringido el acceso al servidor cabeza de puente de recepción, debe configurar el servidor virtual SMTP de este servidor cabeza de puente para resolver las direcciones de correo electrónico anónimo. Para obtener instrucciones detalladas, consulte Cómo configurar un servidor virtual SMTP para resolver direcciones de correo electrónico anónimo. Paso 4: habilitar la clave del Registro para que las propiedades de los mensajes se mantengan entre bosques Tal y como se explicó anteriormente, cuando se envían mensajes anónimos entre bosques, las propiedades extendidas de un mensaje no se transmiten. Para compañías pequeñas que implementan un sistema de comunicación entre bosques, estas propiedades de los mensajes deben transmitirse porque se puede perder información sobre el mensaje. Por ejemplo, la propiedad SCL, una propiedad extendida de Exchange, incluye una clasificación de correo no deseado que se genera a partir de soluciones de terceros. Esta propiedad no se transmite cuando se envía correo anónimo. Así, si se implementa una solución para evitar 135 correo no deseado en el bosque Adatum y un mensaje recibido en este bosque va dirigido a un destinatario del bosque Fabrikam, la solución para evitar correo no deseado marcará la propiedad SCL en el mensaje. Sin embargo, cuando el mensaje se entrega al bosque Fabrikam, la propiedad extendida que contiene la clasificación de correo no deseado no se conserva. Para configurar Exchange de modo que acepte las propiedades extendidas de un mensaje, puede habilitar una clave del Registro en el servidor cabeza de puente o en el servidor virtual SMTP que reside en el servidor cabeza de puente. Al habilitar la clave del Registro en el servidor de Exchange se configuran todos los servidores virtuales SMTP del servidor de Exchange para que acepten propiedades extendidas. Configuración del servidor Exchange para que acepte las propiedades extendidas de un mensaje de conexiones anónimas Realice el procedimiento Cómo permitir que un servidor Exchange acepte las propiedades extendidas de un mensaje enviado de forma anónima para configurar el servidor de Exchange para que acepte las propiedades extendidas en conexiones anónimas. Si el servidor de Exchange funciona meramente como servidor cabeza de puente para las comunicaciones entre bosques, se recomienda configurar este parámetro en el nivel de servidor. Si tiene otros servidores virtuales SMTP en este servidor de Exchange, se recomienda establecer esta clave del Registro solamente en el servidor virtual SMTP. Nota: Si habilita esta clave del Registro en un servidor de Exchange, la configuración se aplicará a todos los servidores virtuales SMTP del servidor de Exchange. Si desea configurar un único servidor virtual SMTP con este parámetro, habilite la clave del Registro en el servidor virtual SMTP. Nota: La modificación incorrecta del Registro puede ocasionar problemas graves que quizás requieran volver a instalar el sistema operativo. Es posible que los problemas derivados de una modificación incorrecta del Registro no se puedan resolver. Antes de modificar el Registro, se recomienda realizar una copia de seguridad de todos los datos importantes. Configuración de un servidor virtual SMTP para que acepte propiedades extendidas de mensajes enviados de forma anónima Realice el procedimiento Cómo permitir que un servidor virtual SMTP acepte las propiedades extendidas de un mensaje enviado de forma anónima para configurar el servidor virtual SMTP del servidor de Exchange para que acepte propiedades extendidas. 136 Cómo crear la cuenta utilizada para la autenticación entre bosques Antes de configurar un conector en un bosque de conexión, debe crear una cuenta en el bosque de destino (el bosque con el que establece la conexión) que cuente con permisos Enviar como. Configure estos permisos en todos los servidores del bosque de destino que aceptarán conexiones entrantes desde el bosque de conexión. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para crear la cuenta utilizada para la autenticación entre bosques 1. En el bosque de destino (en este caso, el bosque Fabrikam), cree una cuenta de usuario en Usuarios y equipos de Active Directory. Esta cuenta debe ser una cuenta activa, pero no requiere los permisos siguientes: inicio de sesión local e inicio de sesión mediante Terminal Server. 2. En cada servidor de Exchange que acepte conexiones entrantes del bosque de conexión, configure permisos Enviar como para esta cuenta: Nota: Tenga especial cuidado al crear la directiva de contraseñas. Si establece la contraseña para que caduque, asegúrese de que dispone de una directiva que modifique la contraseña antes de que llegue la fecha de caducidad. Si la contraseña para esta cuenta caduca, la autenticación entre bosques no funcionará. 3. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 4. En el árbol de consola, expanda Servidores, haga clic con el botón secundario del mouse (ratón) en el servidor de Exchange que aceptará conexiones entrantes del bosque de conexión y, a continuación, haga clic en Propiedades. 137 5. En Propiedades de <Nombre del servidor>, en la ficha Seguridad, haga clic en Agregar. 6. En Seleccionar usuarios, equipos o grupos, agregue la cuenta recién creada y haga clic en Aceptar. 7. En la ficha Seguridad, bajo Nombres de grupos o usuarios, seleccione la cuenta. 8. En Permisos para el conector, junto a Enviar como, active la casilla de verificación Permitir. Permitir el permiso Enviar como para un conector 138 Cómo configurar un conector y solicitar autenticación para la autenticación entre bosques Si configura Microsoft® Exchange Server para que resuelva correos de forma anónima entre bosques, debe crear un conector que se conecte directamente con el bosque del que desea recibir correo. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para configurar un conector y solicitar autenticación para la autenticación entre bosques 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en Conectores, seleccione Nuevo y, a continuación, haga clic en Conector para SMTP. 3. En la ficha General, en el cuadro Nombre, escriba un nombre para el conector. 4. Haga clic en Reenviar el correo a través de este conector al siguiente host inteligente y escriba el FQDN o la dirección IP del servidor cabeza de puente de recepción. 5. Haga clic en Agregar para seleccionar un servidor cabeza de puente local y un servidor virtual SMTP para alojar el conector. Ficha General del cuadro de diálogo Propiedades de un servidor virtual SMTP 139 6. En la ficha Espacio de direcciones, haga clic en Agregar, seleccione SMTP y haga clic en Aceptar. 7. En Propiedades delespacio de direcciones de Internet, escriba el dominio del bosque con el que desea establecer la conexión y haga clic en Aceptar. En este ejemplo, como el conector realiza el envío desde el bosque Adatum al bosque Fabrikam, el espacio de direcciones coincide con el dominio del bosque, fabrikam.com. Cuadro de diálogo Propiedades del espacio de direcciones de Internet 140 De esta forma, Exchange enrutará todo el correo destinado a fabrikam.com (el bosque Fabrikam) a través de este conector. 8. En la ficha Opciones avanzadas, haga clic en Seguridad saliente. 9. Haga clic en Autenticación de Windows integrada. Botón Autenticación de Windows integrada del cuadro de diálogo Seguridad saliente 141 10. Haga clic en Modificar. 11. En Credenciales de conexión saliente, en los cuadros Cuenta, Contraseña y Confirmar contraseña, especifique una cuenta y contraseña del bosque de destino (en este caso, Fabrikam) que tenga permisos Enviar como y que sea una cuenta autenticada de Fabrikam. Utilice el formato siguiente para el nombre de la cuenta: dominio\nombre de usuario, donde: dominio es un dominio del bosque de destino. nombre de usuario representa una cuenta del bosque de destino con permisos Enviar como en todos los servidores Exchange del bosque de destino que aceptarán correo de este conector. Cuadro de diálogo Credenciales de conexión saliente 12. Haga clic en Aceptar. Cómo restringir el acceso por dirección IP en el servidor cabeza de puente de recepción Al restringir el acceso al servidor virtual SMTP por dirección IP, puede asegurarse de que sólo los servidores de una dirección IP específica pueden enviar correo a un servidor cabeza de puente de Exchange. 142 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para restringir el acceso por dirección IP en el servidor cabeza de puente de recepción 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, <Nombre del servidor cabeza de puente>, Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse en el servidor virtual SMTP que desee y, a continuación, haga clic en Propiedades. 4. En la ficha Acceso, haga clic en Conexión. 5. En Conexión, haga clic en Sólo los de la lista siguiente para restringir el acceso a una lista especificada de direcciones IP. 6. Haga clic en Agregar y, a continuación, realice uno de los pasos siguientes: Haga clic en Un único equipo y, en el cuadro Dirección IP, escriba la dirección IP del servidor de Exchange de conexión del bosque Adatum (el bosque de conexión). Repita este paso para todos los equipos del bosque Adatum. 7. Haga clic en Un grupo de equipos y, en los cuadros Dirección de subred y Máscara de subred, escriba la dirección y las máscaras de subred del grupo de equipos que alojan los conectores para el bosque Fabrikam. 143 Cómo configurar un servidor virtual SMTP para resolver direcciones de correo electrónico anónimo Un modo de configurar Exchange Server para resolver los contactos externos a la organización a sus nombres para mostrar en Active Directory es configurar su servidor virtual SMTP para que resuelva direcciones de correo electrónico anónimas. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para configurar un servidor virtual SMTP para resolver direcciones de correo anónimo 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, <Nombre del servidor cabeza de puente>, Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP que desee y, a continuación, haga clic en Propiedades. 4. En la ficha Acceso, haga clic en Autenticación. 5. En Autenticación, asegúrese de que la casilla de verificación Acceso anónimo esté activada y active la casilla de verificación Resolver correo electrónico anónimo. 144 Cómo permitir que un servidor Exchange acepte las propiedades extendidas de un mensaje enviado de forma anónima Cuando se envían mensajes anónimos entre bosques, las propiedades extendidas de un mensaje no se transmiten. Sin embargo, muchas organizaciones pequeñas que implementan un sistema de comunicación entre bosques deben transmitir las propiedades de los mensajes porque, de lo contrario, se podría perder dicha información. Por ejemplo, la propiedad de clasificación de confianza de correo no deseado (SCL), una propiedad extendida de Exchange Server, incluye una clasificación de correo no deseado que se genera a partir de soluciones de terceros. Esta propiedad no se transmite cuando se envía correo anónimo. Si se implementa una solución para evitar correo no deseado en un bosque y un mensaje recibido en este bosque va dirigido a un destinatario de otro bosque, la solución para evitar correo no deseado marcará la propiedad SCL en el mensaje. Sin embargo, cuando se entrega el mensaje, no se conserva la propiedad extendida. Para configurar Exchange Server de modo que acepte las propiedades extendidas de un mensaje, debe habilitar una clave del Registro en el servidor cabeza de puente de recepción que reside en la cabeza de puente. Esto permitirá que el servidor de Exchange acepte las propiedades extendidas de forma anónima. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para permitir que un servidor de Exchange acepte las propiedades extendidas de un mensaje enviado de forma anónima 1. Inicie el Editor del Registro: Haga clic en Inicio, Ejecutar y escriba regedit. 2. En el árbol de consola, vaya hasta la clave del Registro siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\ XEXCH50 3. Haga clic con el botón secundario del mouse (ratón) en XEXCH50, seleccione 145 Nuevo y haga clic en Valor DWORD. 4. En el panel de detalles, asigne al valor el nombre Exch50AuthCheckEnabled. De forma predeterminada, el valor es 0, lo que indica que las propiedades XEXCH50 se transmiten cuando el correo se envía de forma anónima. Cómo permitir que un servidor virtual SMTP acepte las propiedades extendidas de un mensaje enviado de forma anónima Cuando se envían mensajes anónimos entre bosques, las propiedades extendidas de un mensaje no se transmiten. Sin embargo, muchas organizaciones pequeñas que implementan un sistema de comunicación entre bosques deben transmitir las propiedades de los mensajes porque, de lo contrario, se podría perder dicha información. Por ejemplo, la propiedad de clasificación de confianza de correo no deseado (SCL), una propiedad extendida de Exchange Server, incluye una clasificación de correo no deseado que se genera a partir de soluciones de terceros. Esta propiedad no se transmite cuando se envía correo anónimo. Si se implementa una solución para evitar correo no deseado en un bosque y un mensaje recibido en este bosque va dirigido a un destinatario de otro bosque, la solución para evitar correo no deseado marcará la propiedad SCL en el mensaje. Sin embargo, cuando se entrega el mensaje, no se conserva la propiedad extendida. Para configurar Exchange Server de modo que acepte las propiedades extendidas de un mensaje, debe habilitar una clave del Registro en el servidor cabeza de puente o en el servidor virtual SMTP que reside en el servidor cabeza de puente. Esto permitirá que el servidor virtual SMTP acepte las propiedades extendidas de forma anónima. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo 146 Procedimiento Para permitir que un servidor virtual SMTP acepte las propiedades extendidas de un mensaje enviado de forma anónima 1. Inicie el Editor del Registro: Haga clic en Inicio, Ejecutar y escriba regedit. 2. En el árbol de consola, vaya hasta la clave del Registro siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\ XEXCH50 3. Haga clic con el botón secundario del mouse (ratón) en XEXCH50, seleccione Nuevo y haga clic en Clave. 4. Escriba el número de instancia del servidor virtual SMTP como valor de la clave. Por ejemplo, la instancia de servidor virtual SMTP predeterminada es 1, mientras que la del segundo servidor virtual SMTP creado en un servidor es 2. 5. Haga clic con el botón secundario del mouse en la clave recién creada, seleccione Nuevo y haga clic en Valor DWORD. 6. En el panel de detalles, asigne al valor el nombre Exch50AuthCheckEnabled. De forma predeterminada, el valor es 0, lo que indica que las propiedades XEXCH50 se transmiten cuando el correo se envía de forma anónima. Cómo configurar un servidor de Windows Server 2003 como servidor de retransmisión o como host inteligente Cuando se utiliza Microsoft® Windows Server? 2003 como un servidor de retransmisión SMTP, está configurado como un dominio público predeterminado. También está configurado para retransmitir mensajes sólo para los dominios de correo SMTP de la organización de Exchange Server; no retransmite mensajes a otros dominios. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores 147 Procedimiento Para configurar un servidor de Windows Server? 2003 como servidor de retransmisión o como host inteligente 1. Compruebe que SMTP está instalado en el servidor de Microsoft Windows Server 2003. Para comprobar que SMTP está instalado: a. En el Panel de control,haga doble clic en Agregar o quitar programas y, a continuación, haga clic en Agregar o quitar componentes de Windows. b. Bajo Componentes, seleccione Servicios de Internet Information Server (IIS) y haga clic en Detalles. c. Bajo Subcomponentes de Servicios de Internet Information Server (IIS), compruebe que la casilla de verificación Servicio SMTP esté activada. Si la casilla de verificación no está activada, actívela, haga clic en Aceptar y siga las instrucciones de instalación. 2. En el Administrador de servicios Internet, agregue el dominio de correo SMTP para el que desee que el servidor de Windows retransmita correo. Para agregar el dominio SMTP: a. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y haga clic en Administrador de servicios Internet. b. Expanda el servidor que desee y, después, expanda el servidor virtual SMTP predeterminado. De manera predeterminada, el servidor virtual SMTP predeterminado tiene un dominio local cuyo nombre es el nombre de dominio completo (FQDN) del servidor. c. Para crear el dominio de correo SMTP entrante, haga clic con el botón secundario del mouse (ratón) en Dominios, seleccione Nuevo y haga clic en Dominio. d. En el Asistente para nuevo dominio SMTP, haga clic en Remoto como tipo de dominio y, a continuación, haga clic en Siguiente. e. En Nombre, escriba el nombre del dominio de correo SMTP para la organización de Exchange. f. Haga clic en Finalizar. 3. Configure el dominio de correo SMTP recién creado para la retransmisión: a. En el Administrador de servicios Internet, haga clic con el botón secundario del mouse en el dominio de correo SMTP y, a continuación, haga clic en Propiedades. b. Haga clic en Permitir la retransmisión del correo entrante a este dominio. c. Haga clic en Reenviar todo el correo electrónico al host inteligente y escriba la 148 dirección IP entre corchetes ([ ]) o el FQDN del servidor de Exchange responsable de recibir el correo electrónico para el dominio. Por ejemplo, para escribir una dirección IP, escriba [123.123.123.123]. d. Haga clic en Aceptar. 4. Especifique los hosts que desea que retransmitan abiertamente a todos los dominios: a. En el Administrador de servicios Internet, haga clic con el botón secundario del mouse en Servidor virtual predeterminado y, a continuación, haga clic en Propiedades. b. En la ficha Acceso, haga clic en Retransmisión. c. Haga clic en Sólo los de la lista siguiente, haga clic en Agregar y agregue los hosts que desee utilizar para que el servidor SMTP envíe correo. d. Bajo Un único equipo, especifique la dirección IP del servidor cabeza de puente de Exchange que desea que retransmita correo mediante este servidor SMTP. Haga clic en Consultar DNS para buscar la dirección IP del servidor específico. Información adicional Para obtener más información acerca de cómo configurar un servidor de Windows como un servidor de retransmisión o como un host inteligente, consulte en Microsoft Knowledge Base el artículo 293800, "XCON: How to Set Up Windows 2000 as a SMTP Relay Server or Smart HostXCON: How to Set Up Windows 2000 as a SMTP Relay Server or Smart Host". Conexión de Exchange a Internet Ahora que ha configurado el correo interno y que ha visto varias situaciones de conexión a Internet, está en condiciones de conectar su organización de Exchange a Internet. Esta sección contiene procedimientos para configurar la organización de Microsoft® Exchange Server 2003 con el fin de enviar y recibir correo de Internet. En concreto, aprenderá lo siguiente: Comprobar que SMTP se ha instalado correctamente Compruebe que el Protocolo simple de transferencia de correo (SMTP) está funcionando correctamente en el servidor de Exchange antes de conectarse a Internet. Utilizar un asistente para configurar la entrega de correo de Internet El Asistente para correo de Internet se ha diseñado principalmente para pequeñas y medianas empresas con entornos menos complejos que las compañías grandes. 149 Configurar manualmente la entrega de correo de Internet En entornos grandes, quizás desee configurar manualmente la entrega de correo de Internet, de acuerdo con las directivas de la organización. Al configurar el correo de Internet manualmente, debe realizar un conjunto diferente de tareas asociadas a la configuración de Exchange para enviar y recibir correo de Internet. Uso del Asistente para correo de Internet con el fin de configurar la entrega de correo de Internet Exchange Server 2003 implementa una versión nueva del Asistente para correo de Internet que le ayuda a configurar la conectividad del correo de Internet en Exchange Server 2003 o Exchange 2000 Server. Con el Asistente para correo de Internet puede configurar un servidor de Exchange para enviar correo de Internet, recibir correo de Internet o enviar y recibir correo de Internet. Además, con el Asistente para correo de Internet no tiene que configurar manualmente el conector para SMTP y el servidor virtual SMTP. Este asistente crea automáticamente el conector para SMTP necesario para el correo saliente de Internet y configura el servidor virtual SMTP para que acepte correo entrante. Puede utilizar el Asistente para correo de Internet con el fin de configurar Exchange Server para enviar, recibir o enviar, y recibir correo de Internet. Recuerde que si entorno de mensajería es grande o complejo no podrá utilizar el Asistente para correo de Internet. En su lugar, debe configurar manualmente Exchange para la entrega de correo de Internet. Para obtener instrucciones detalladas, consulte Cómo utilizar el Asistente para correo de Internet. Configuración de un servidor de base dual con el asistente Cuando utiliza el Asistente para correo de Internet con el fin de configurar la entrega de correo de Internet en un servidor de base dual (un servidor configurado con dos o más direcciones de red, normalmente con dos tarjetas de interfaz de red), el asistente realiza los pasos de configuración que se describen en Cómo utilizar el Asistente para correo de Internet. El asistente también crea un servidor virtual SMTP adicional en el servidor de Exchange. Permite la entrega de correo de Internet en el servidor virtual SMTP de las maneras siguientes: Para configurar un servidor para que envíe correo de Internet, el asistente le guía a lo largo del proceso de asignación de la dirección IP de la intranet al servidor virtual SMTP 150 predeterminado en el que crea el conector para SMTP con el fin de enviar correo saliente. Se asigna la dirección IP de la intranet a este servidor virtual para que sólo puedan enviar correo saliente los usuarios internos de la intranet. Para configurar un servidor para recibir correo de Internet, el asistente le guía a lo largo del proceso de asignación de la dirección IP de Internet al servidor virtual SMTP de Internet. Se asigna una dirección IP de Internet a este servidor virtual porque los servidores externos necesitan poder conectarse a este servidor virtual SMTP para enviar correo de Internet. Además, debe tener un registro MX en el servidor DNS de Internet que haga referencia a su servidor y a la dirección IP del servidor virtual SMTP de Internet. Importante: Para aumentar la seguridad en un servidor de base dual, utilice directivas de seguridad del Protocolo Internet (IPSec) para filtrar puertos de la tarjeta de interfaz de red (NIC) de Internet y limitar estrictamente los usuarios a los que se permite iniciar sesión en este servidor. Para obtener más información acerca de IPSec, consulte la documentación de Windows. Cómo utilizar el Asistente para correo de Internet Puede utilizar el Asistente para correo de Internet con el fin de configurar Exchange Server para enviar, recibir o enviar, y recibir correo de Internet. Recuerde que si el entorno de mensajería es grande o complejo no podrá utilizar el Asistente para correo de Internet. En su lugar, debe configurar manualmente Exchange para la entrega de correo de Internet. Exchange Server 2003 implementa una versión nueva del Asistente para correo de Internet que le ayuda a configurar la conectividad del correo de Internet en Exchange Server 2003 o Exchange 2000 Server. Con el Asistente para correo de Internet puede configurar un servidor de Exchange para enviar correo de Internet, recibir correo de Internet o enviar y recibir correo de Internet. Además, con el Asistente para correo de Internet no tiene que configurar manualmente el conector para SMTP ni el servidor virtual SMTP. Este asistente crea automáticamente el conector para SMTP necesario para el correo saliente de Internet y configura el servidor virtual SMTP para que acepte correo entrante. Nota: Si ya ha configurado conectores para SMTP, modificado la dirección IP o el número de puerto del servidor SMTP predeterminado, o creado servidores virtuales SMTP adicionales en el servidor de Exchange, no puede ejecutar el Asistente para correo de Internet a menos que restablezca la configuración del servidor a su estado predeterminado. 151 Importante: El Asistente para correo de Internet está destinado principalmente a pequeñas y medianas empresas con entornos menos complejos que los de las grandes empresas. Si tiene un entorno de mensajería complejo, debe configurar manualmente Exchange para la entrega de correo de Internet. Para obtener más información acerca de la configuración manual, consulte "Configuración manual del servidor de Exchange para la entrega de correo de Internet" más adelante en este capítulo. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo. Aunque el Asistente para correo de Internet configura automáticamente el servidor virtual SMTP y el conector para SMTP para la entrega de correo de Internet, debe realizar las tareas que se muestran en esta tabla antes de ejecutar el asistente. Requisitos previos para ejecutar el Asistente para correo de Internet Paso Tarea Notas 1 Comprobar que SMTP está Para obtener más instalado correctamente en el información acerca de cómo servidor de Exchange. comprobar que SMTP está instalado correctamente, consulte Cómo cargar SMTP de Exchange correctamente. 152 Paso Tarea Notas 2 Comprobar que DNS está configurado correctamente. Para poder enviar correo de Internet, el servidor DNS utilizado por el servidor de Exchange debe ser capaz de resolver direcciones externas. Para poder recibir correo de Internet, debe tener un registro de recurso de intercambio de correo (MX) que señale a la dirección IP del servidor virtual SMTP que recibe el correo entrante de Internet. Además, el servidor de correo debe ser accesible desde Internet, de forma que otros servidores DNS puedan resolver el registro MX. Para obtener más información acerca de cómo comprobar que DNS está configurado correctamente, consulte "Configuración de DNS para el correo saliente" en Comprobación del diseño y de la configuración de DNS. Procedimiento Para utilizar el Asistente para correo de Internet 1. En el Administrador del sistema de Exchange, haga clic con el botón secundario del mouse (ratón) en la organización de Exchange y, a continuación, haga clic en Asistente para correo de Internet. Nota: Para ejecutar el Asistente para correo de Internet debe utilizar la versión del Administrador del sistema de Exchange que se incluye con 153 Exchange Server 2003. 2. Siga las instrucciones del asistente para realizar las tareas de configuración necesarias para configurar la entrega de correo de Internet. Las tareas de configuración están documentadas en las siguientes tablas: Uso del Asistente para correo de Internet con el fin de configurar el envío de correo Uso del Asistente para correo de Internet con el fin de configurar la recepción de correo Uso del Asistente para correo de Internet con el fin de configurar el envío de correo Tarea Notas Seleccionar un servidor Exchange de la organización que enviará correo de Internet. No puede ejecutar el asistente en un servidor en el que ya haya configurado conectores para SMTP o creado servidores virtuales SMTP adicionales. Sólo puede utilizar el asistente para designar servidores de Exchange 2000 o posteriores. Designar un servidor cabeza de puente. Éste es el servidor de Exchange y el servidor virtual SMTP de este servidor. El asistente crea un conector para SMTP en el servidor virtual SMTP y el servidor de Exchange seleccionados. El servidor cabeza de puente saliente se ocupa de todo el correo que se envía a través de este conector. Configurar un conector para SMTP con el fin de enviar correo de Internet. El Asistente para correo de Internet le guía a lo largo del proceso de configuración del conector para SMTP. Entre las opciones disponibles se incluyen las siguientes: 154 Comprobar que el servidor virtual SMTP no permite la retransmisión abierta. Con la retransmisión abierta, los usuarios externos pueden utilizar su servidor para enviar correo electrónico comercial no solicitado, lo que puede hacer que otros servidores legítimos bloqueen el correo procedente de su servidor de Exchange. Si impide que el servidor realice la retransmisión, sólo podrán enviar correo a Internet a través de su servidor los usuarios autenticados. Uso del Asistente para correo de Internet con el fin de configurar la recepción de correo Tarea Notas Seleccionar un servidor de Exchange de la organización que recibirá el correo de Internet. No puede ejecutar el asistente en un servidor en el que ya haya configurado conectores para SMTP o creado servidores virtuales SMTP adicionales. Sólo puede utilizar el asistente para designar servidores de Exchange 2000 o posteriores. Configurar el servidor SMTP para recibir correo de Internet. Para recibir mensajes de correo electrónico de Internet entrantes, el servidor sólo debe tener un servidor virtual SMTP, y el servidor virtual debe tener una dirección IP predeterminada Todos sin asignar y un puerto TCP 25 asignado. Si existe más de un servidor virtual en el servidor de Exchange, o si la dirección IP o la asignación de puerto es distinta de la configuración predeterminada, el asistente no continuará. Puede restaurar la configuración predeterminada del servidor de Exchange y volver a ejecutar el asistente o puede utilizar el Administrador del sistema de Exchange para configurar Exchange manualmente. 155 Comprobar que el servidor virtual SMTP permite el acceso anónimo. Otros servidores de Internet esperan conectarse de manera anónima a su servidor virtual SMTP. Por tanto, el acceso anónimo debe estar permitido en su servidor virtual SMTP. Si el acceso anónimo no está configurado, el asistente le guiará por el proceso para habilitar el acceso anónimo. 156 Configurar las directivas de destinatarios con los dominios SMTP para los que desea recibir correo entrante. Los dominios SMTP para los que desee recibir correo de Internet se configuran en el Administrador del sistema de Exchange, en Directivas de destinatarios. Debe tener una directiva de destinatarios configurada para todos los dominios SMTP para los que desee aceptar correo de Internet y Exchange debe tener autorización para este dominio o tener un conector para este dominio en el que se permita la retransmisión. Si la directiva de destinatarios predeterminada contiene el dominio de correo correcto para la organización, utilice esta directiva. Si creó varias directivas de destinatarios en el Administrador del sistema de Exchange, no es posible utilizar este asistente para crear directivas de destinatarios adicionales. En este caso, si necesita agregar o modificar directivas de destinatarios, debe utilizar el Administrador del sistema de Exchange. Para obtener más información acerca de cómo configurar las directivas de destinatarios manualmente, consulte "Configuración de directivas de destinatarios" en Configuración manual del servidor de Exchange para la entrega de correo de Internet. Recuerde que los servidores DNS deben poder resolver todos los nombres de dominio localmente o mediante reenviadores configurados en DNS. Si su servidor DNS no puede resolver ningún nombre de dominio, Exchange no podrá procesar correo. 157 Cómo cargar SMTP de Exchange correctamente Para que el correo fluya correctamente, SMTP debe estar instalado correctamente en el servidor de Exchange con todos los comandos necesarios. Si tiene problemas con el correo, debe comprobar primero la funcionalidad básica de la instalación de SMTP. Cuando un servidor de Exchange utiliza SMTP para comunicarse, debe tener acceso al puerto 25. Cuando SMTP está configurado correctamente, Exchange ofrece verbos SMTP extendidos para permitir una comunicación adecuada. Estos verbos se controlan en la metabase de Servicios de Internet Information Server (IIS) y en los receptores de sucesos de Exchange. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Para determinar si se cargan o no los verbos extendidos de Exchange apropiados, puede realizar una prueba con telnet. Para realizar esta prueba, ejecute telnet en el puerto 25 de la dirección IP del servidor de Exchange. Por ejemplo, escriba el texto siguiente en un símbolo del sistema: telnet <dirección IP del servidor> 25 donde dirección IP del servidor es la dirección IP del servidor de Exchange y 25 indica una conexión con el puerto TCP 25. El ejemplo siguiente muestra un comando telnet para conectarse al puerto 25 de un servidor cuya dirección IP es 172.16.0.1: telnet 172.16.0.1 25 Después, escriba ehlo <nombre del servidor>, donde nombre del servidores el nombre de dominio completo (FQDN) del servidor de Exchange. El servidor de Exchange responde entonces mostrando los verbos SMTP y ESMTP que acepta. Procedimiento Para cargar SMTP de Exchange correctamente 1. Desinstale IIS. 2. Elimine el archivo metabase.bin. 158 3. Reinicie el servidor. 4. Vuelva a instalar IIS. 5. Si está ejecutando Exchange Server en un servidor de Windows 2000, vuelva a aplicar el Service Pack más reciente de Windows 2000. 6. Vuelva a instalar Exchange Server. La reinstalación de Exchange Server reemplaza los archivos que faltan y no afecta a la configuración del servidor de Exchange. 7. Vuelva a aplicar todos los Service Pack de Exchange Server y cualquier otra actualización de programa relacionada con Exchange (por ejemplo, cualquier actualización de Exchange disponible en el sitio Web de Microsoft). Nota: Suscríbase al servicio de notificación de seguridad de Microsoft para recibir automáticamente notificaciones acerca de todas las actualizaciones de Exchange relacionadas con la seguridad. Puede registrarse en este servicio en http://go.microsoft.com/fwlink/?LinkId=12322. Ejemplo En el ejemplo 1 se muestran los verbos que recibirá si SMTP está cargado correctamente. Si SMTP no está configurado correctamente, sólo verá los verbos que se muestran en el ejemplo 2. Ejemplo 1: Verbos SMTP extendidos (si los receptores de sucesos de Exchange se cargan correctamente) 250-mail1.example.com Hello [172.16.0.1] 250-TURN 250-ATRN 250-SIZE 5242880 250-ETRN 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 250-X-EXPS GSSAPI NTLM * 250-AUTH GSSAPI NTLM 240-X-EXPS=LOGIN * 250-X-LINK2STATE * 250-XEXCH50 * 250 OK * Deben aparecer estos verbos extendidos. 159 Cuando SMTP de Exchange no se carga correctamente, o si la metabase de IIS está dañada, los verbos extendidos de Exchange no aparecen en la respuesta del servidor. En el ejemplo 2 se muestran los verbos que recibirá si SMTP de Exchange no está cargado correctamente. Nota: Los verbos que se muestran en el ejemplo 2 son los mismos que vería si nunca hubiera instalado Exchange. Ejemplo 2: Verbos SMTP extendidos (si los receptores de sucesos de Exchange 2003 no están cargados) 250-mail1.example.com Hello [172.16.0.1] 250-TURN 250-ATRN 250-SIZE 5242880 250-ETRN 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 250-AUTH GSSAPI NTLM 250 OK Si sólo recibe los verbos SMTP que se muestran en el ejemplo 2, el servicio SMTP para Microsoft Windows® 2000 Server o Windows Server 2003? está instalado, pero SMTP no está cargado correctamente en Exchange. Observe que faltan todos los verbos que empiezan por "X" ("X" = eXtendidos). Otras listas incompletas pueden indicar también que Exchange Server no está cargado correctamente o que la metabase de IIS puede estar dañada. La metabase de IIS puede resultar dañada por cualquiera de las razones siguientes: Reinstalar Exchange Server 2003 Reinstalar Windows 2000 Server o Windows Server 2003 Quitar o deshabilitar IIS Software antivirus que examina el archivo %systemroot%\system32\inetsrv\metabase.bin Proceso IIsadmin.exe detenido inesperadamente (cierres con errores) Modificación no admitida de la metabase Daño del disco u otros errores de hardware Si la metabase de IIS está dañada, debe cargar SMTP de Exchange correctamente. 160 Nota: Si realiza este procedimiento, se perderán las personalizaciones realizadas en los servicios de IIS. Esta posible pérdida incluye la personalización realizada en Microsoft Office Outlook® Web Access o en cualquier otro servicio de IIS. Cómo iniciar el Asistente para correo de Internet Puede utilizar el Asistente para correo de Internet con el fin de configurar un servidor de Exchange con base dual. El asistente le guía por los pasos de configuración necesarios y crea automáticamente un conector en el servidor virtual SMTP saliente. El procedimiento siguiente permite configurar un servidor de Exchange de base dual con dos servidores virtuales SMTP para enviar y recibir correo de Internet. Después de ejecutar el Asistente para correo de Internet, el servidor de Exchange enviará y recibirá todo el correo de Internet de acuerdo con la configuración especificada en el asistente. Nota: No puede utilizar el Asistente para correo de Internet si ya ha configurado un conector para SMTP o si ha creado un servidor virtual SMTP adicional en el servidor de Exchange. Debe revertir a la configuración predeterminada antes de poder ejecutar el Asistente para correo de Internet. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Situaciones de implementación para la conectividad con Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para iniciar el Asistente para correo de Internet 1. En el Administrador del sistema de Exchange, haga clic con el botón secundario del mouse (ratón) en la organización de Exchange y, a continuación, haga clic en Asistente para correo de Internet. Nota: 161 Para ejecutar el Asistente para correo de Internet debe utilizar la versión del Administrador del sistema de Exchange que se incluye con Exchange Server 2003. 2. Siga las instrucciones del asistente para realizar las tareas de configuración necesarias para configurar la entrega de correo de Internet. El asistente crea un servidor virtual SMTP adicional en el servidor de Exchange. Configura la entrega de correo de Internet de las formas siguientes: Para configurar un servidor para que envíe correo de Internet, el asistente le guía a lo largo del proceso de asignación de la dirección IP de la intranet al servidor virtual SMTP predeterminado en el que crea el conector para SMTP con el fin de enviar correo saliente. Se asigna la dirección IP de la intranet a este servidor virtual para que sólo puedan enviar correo saliente los usuarios internos de la intranet. Para configurar un servidor para recibir correo de Internet, el asistente le guía a lo largo del proceso de asignación de la dirección IP de Internet al servidor virtual SMTP de Internet. Se asigna una dirección IP de Internet a este servidor virtual porque los servidores externos necesitan poder ponerse en contacto con este servidor virtual SMTP para enviar correo de Internet a su compañía. Además, en el servidor DNS de Internet debe tener un registro MX que haga referencia a este servidor. El Asistente para correo de Internet también realiza las comprobaciones necesarias en el servidor virtual SMTP de Internet para asegurarse de que está configurado correctamente. Comprueba lo siguiente: El servidor virtual SMTP de Internet acepta conexiones anónimas. El servidor virtual SMTP de Internet no permite la retransmisión. Configuración manual del servidor de Exchange para la entrega de correo de Internet Si su entorno de mensajería es grande o complejo, no puede utilizar el Asistente para correo de Internet con el fin de configurar Exchange para enviar y recibir correo de Internet. En su lugar, debe configurar manualmente Exchange para la entrega de correo de Internet. En las próximas secciones se explica lo siguiente: Configuración del servidor de Exchange para recibir correo de Internet 162 Configuración del servidor de Exchange para enviar correo de Internet Configuración de opciones avanzadas Configuración del servidor de Exchange para recibir correo de Internet En esta sección se explica cómo configurar el servidor de Exchange para recibir correo de Internet. En concreto, aprenderá lo siguiente: Configurar directivas de destinatarios. Configurar opciones del servidor virtual SMTP entrante. Utilice la lista de comprobación mostrada en la tabla siguiente para asegurarse de que realiza todos los pasos de configuración. Pasos necesarios para configurar un servidor de Exchange de manera que pueda recibir correo de Internet Paso Tarea Notas 1 Comprobar que SMTP está cargado correctamente en el servidor de Exchange. Consulte "Comprobación de que SMTP está instalado correctamente". 2 Comprobar que en un servidor DNS de Internet existe un registro MX que hace referencia a su servidor y a la dirección IP del servidor virtual SMTP que acepta correo entrante de Internet. Consulte "Configuración de DNS para el correo saliente" en Comprobación del diseño y de la configuración de DNS. 3 Comprobar que se puede Para que los servidores DNS tener acceso a su servidor de externos resuelvan el registro correo a través de Internet. MX de su servidor de correo y se pongan en contacto con él, éste debe ser accesible desde Internet. Consulte "Configuración de DNS para el correo saliente" en Comprobación del diseño y de la configuración de DNS. 163 Paso Tarea Notas 4 Comprobar que ninguna directiva de destinatario coincide con el nombre de dominio completo de un servidor de Exchange. Consulte "Configuración de directivas de destinatarios". 5 Comprobar que cada dominio Consulte "Configuración de para el que desea recibir directivas de destinatarios". correo entrante de Internet figura en una directiva de destinatarios y que Exchange tiene autorización para dicho dominio o bien, si no la tiene, que Exchange tiene configurado un conector para el dominio y permite la retransmisión al mismo. 6 Comprobar que el servidor virtual SMTP entrante utiliza el puerto 25 y tiene asignada la dirección IP correcta. Otros servidores SMTP esperan conectarse al servidor virtual SMTP en el puerto 25. Consulte Cómo configurar el puerto entrante y las direcciones IP del servidor virtual SMTP. 7 Comprobar que el servidor virtual SMTP entrante permite el acceso anónimo. Otros servidores SMTP esperan conectarse de forma anónima a su servidor virtual SMTP. Consulte Cómo comprobar que el servidor virtual SMTP permite el acceso anónimo. 164 Paso Tarea Notas 8 Comprobar que se han configurado restricciones de retransmisión predeterminadas en el servidor virtual SMTP entrante. Las restricciones predeterminadas en un servidor virtual SMTP impiden la retransmisión abierta. Con la retransmisión abierta, los usuarios externos pueden utilizar su servidor para enviar correo comercial no solicitado, lo que puede hacer que otros servidores legítimos bloqueen el correo procedente de su servidor de Exchange. Para obtener instrucciones detalladas, consulte los temas siguientes: Cómo comprobar que sus directivas de destinatarios no contienen direcciones coincidentes con el FQDN Cómo comprobar que sus usuarios pueden recibir mensajes de correo electrónico de otros dominios SMTP Cómo configurar las direcciones de correo electrónico SMTP necesarias para sus usuarios Cómo configurar el puerto entrante y las direcciones IP del servidor virtual SMTP Cómo comprobar que el servidor virtual SMTP permite el acceso anónimo Cómo comprobar las restricciones de retransmisión en un servidor virtual SMTP Cómo configurar el puerto entrante y las direcciones IP del servidor virtual SMTP El puerto entrante es el puerto en el que el servidor virtual SMTP escucha las comunicaciones entrantes; la dirección IP es la dirección a la que se envían las solicitudes entrantes. De manera predeterminada, el servidor virtual SMTP predeterminado utiliza el puerto 25 y todas las direcciones IP disponibles para escuchar las solicitudes entrantes. Antes de empezar 165 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para configurar el puerto entrante y las direcciones IP del servidor virtual SMTP 1. Haga clic con el botón secundario del mouse (ratón) en Servidor virtual SMTP predeterminado y, a continuación, haga clic en Propiedades. 2. En Propiedades de Servidor virtual SMTP predeterminado, haga clic en la ficha General. Ficha General del cuadro de diálogo Propiedades de Servidor virtual SMTP predeterminado 166 3. En Servidor virtual SMTP predeterminado, compruebe las opciones siguientes: Dirección IP El valor predeterminado es (Todos sin asignar). No debe cambiar este valor a menos que desee configurar varios servidores virtuales SMTP. (Ésta es la dirección IP que se utiliza para las conexiones entrantes). Si tiene varias tarjetas de interfaz de red (NIC) o varias direcciones IP asignadas a una única NIC para que escuche este servidor virtual SMTP y desea seleccionar direcciones IP individuales, haga clic en Avanzadas y especifique otros puertos distintos del predeterminado. Nota: Utilice con cuidado la opción Avanzadas. Otros servidores (por ejemplo, en Internet) esperan comunicarse con su servidor a través del puerto TCP predeterminado 25. 167 Cómo comprobar que el servidor virtual SMTP permite el acceso anónimo Como sabe, otros servidores SMTP de Internet esperan que su servidor virtual SMTP se conecte a ellos de manera anónima. Recuerde que si no permite el acceso anónimo en los servidores de puerta de enlace que aceptan correo de Internet, otros servidores SMTP de Internet no podrán enviar correo a su organización. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador con permiso de vista de Exchange para ver la configuración, o la función Administrador de Exchange para cambiar la configuración, en el nivel de grupo administrativo Procedimiento Para comprobar que el servidor virtual SMTP permite el acceso anónimo 1. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Acceso y, después, haga clic en Autenticación. 3. En Autenticación, compruebe que la casilla de verificación Acceso anónimoesté activada. Cuadro de diálogo Autenticación 168 Cómo comprobar que sus directivas de destinatarios no contienen direcciones coincidentes con el FQDN Exchange Server utiliza directivas de destinatarios para determinar qué mensajes deben aceptarse y enrutarse internamente a buzones de la organización. Las directivas de destinatarios que no están configuradas correctamente pueden interrumpir el flujo de mensajes para algunos o para todos los destinatarios del sistema de mensajería. Para asegurarse de que las directivas de destinatarios estén configuradas correctamente, compruebe lo siguiente: Compruebe que las directivas de destinatarios no contienen una dirección SMTP que coincida con el FQDN de algún servidor de Exchange de la organización. Por ejemplo, si @exchangeserver.ejemplo.com aparece como una dirección SMTP y como un nombre 169 de dominio en alguna directiva de destinatarios, impide que el correo se enrute a otros servidores del grupo de enrutamiento. Compruebe que el dominio para el que desea recibir correo SMTP aparece en una directiva de destinatarios, ya sea en la predeterminada o en otra. Con esta comprobación, se asegura de que otros usuarios puedan recibir correo de otros dominios SMTP. Compruebe que ha configurado las direcciones de correo electrónico SMTP necesarias para recibir mensajes de correo para otros dominios adicionales. Si no recibe mensajes de correo electrónico para todos los dominios SMTP, quizás tenga que configurar direcciones SMTP adicionales para los destinatarios. Por ejemplo, algunos de sus usuarios pueden recibir actualmente mensajes dirigidos a contoso.com, pero desea que también reciban el correo dirigido a fourthcoffee.com. Realice el procedimiento siguiente para comprobar que las directivas de destinatarios están configuradas correctamente y coinciden con su dominio de correo (por ejemplo, @ejemplo.com) en lugar de con el FQDN del servidor de Exchange (por ejemplo, @exchange.ejemplo.com). Para obtener más información acerca de por qué las directivas de destinatarios no pueden coincidir con el FQDN de los servidores Exchange, consulte en Microsoft Knowledge Base el artículo 288175, "XCON: Recipient Policy Cannot Match the FQDN of Any Server in the Organization, 5.4.8 NDRs". Aunque este artículo está escrito para Exchange 2000, estos mismos principios también se aplican a Exchange 2003. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para comprobar que sus directivas de destinatarios no contienen direcciones coincidentes con el FQDN 1. En el árbol de consola, expanda Destinatarios y haga clic en Directivas de destinatarios. 2. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en una directiva de destinatarios configurada en el servidor y, a continuación, haga clic en 170 Propiedades. 3. En la ficha Direcciones de correo electrónico (Directiva) de esa directiva, vea las direcciones SMTP configuradas por dicha directiva y asegúrese de que ninguna de ellas coincide con el FQDN de ningún servidor de Exchange de su organización. Direcciones SMTP en una directiva de destinatarios 4. Repita los pasos 2 y 3 de este procedimiento para cada directiva de destinatarios configurada en este servidor. 171 Cómo comprobar que sus usuarios pueden recibir mensajes de correo electrónico de otros dominios SMTP Para poder recibir mensajes de correo electrónico de otros dominios SMTP, su directiva de destinatarios debe especificar correctamente el dominio para el que desea recibir correo. Importante: De forma predeterminada, el nombre de dominio SMTP que figura en la directiva de destinatarios predeterminada es el nombre del dominio donde reside el servicio de directorio Microsoft Active Directory®. Este nombre de dominio SMTP predeterminado no es siempre el mismo nombre que desea utilizar para el correo SMTP. Por ejemplo, si su organización es una gran corporación distribuida, puede utilizar una dirección SMTP única para crear distintas direcciones de correo electrónico para los destinatarios de cada división. Por ejemplo, los usuarios de las distintas divisiones de la compañía Wingtip Toys podrían tener direcciones como [email protected] y [email protected]. Realice el procedimiento siguiente para confirmar que los destinatarios de su organización pueden recibir correo de otros dominios SMTP. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para comprobar que sus usuarios pueden recibir mensajes de correo electrónico de otros dominios SMTP 1. En el Administrador del sistema de Exchange, en el árbol de consola, expanda Destinatarios y haga clic en Directivas de destinatarios. 2. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en una directiva de destinatarios configurada en este servidor y, a continuación, haga clic en Propiedades. 172 3. En la ficha Direcciones de correo (Directiva) de esa directiva, vea las direcciones SMTP configuradas por dicha directiva y asegúrese de que el dominio para el que desea recibir correo SMTP aparece como una dirección. Compruebe que la casilla de verificación que aparece junto a la dirección esté activada. 4. Haga doble clic en la dirección SMTP que desee y, después, en Propiedades de Dirección SMTP, compruebe que la casilla de verificación Esta organización de Exchange es responsable de todos los mensajes entregados a esta dirección esté activada. Cuadro de diálogo Propiedades de Dirección SMTP Nota: Si tiene más de una directiva de destinatarios configurada en un servidor, la dirección de correo electrónico SMTP que está intentando comprobar puede encontrarse en otra directiva de destinatarios. 5. Si tiene más de una directiva de destinatarios configurada en un servidor, repita los pasos 3 a 5 de este procedimiento para cada directiva de destinatarios. 173 Cómo configurar las direcciones de correo electrónico SMTP necesarias para sus usuarios Utilice el procedimiento siguiente para asegurarse de que la dirección de correo electrónico de todos los usuarios está configurada correctamente en una directiva de destinatarios. Recuerde que Microsoft® Exchange Server sólo acepta correo para las direcciones configuradas correctamente en una directiva de destinatarios. Estas direcciones se almacenan en el servicio de directorio Microsoft Active Directory® y en la metabase de IIS, donde el categorizador de mensajes comprueba la información de direcciones y de configuración. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo organizativo Procedimiento Para configurar las direcciones de correo electrónico SMTP necesarias para sus usuarios 1. En el Administrador del sistema de Exchange, en el árbol de consola, expanda Destinatarios y haga clic en Directivas de destinatarios. 2. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la directiva de destinatarios que desee modificar y, a continuación, haga clic en Propiedades. 3. En la ficha Direcciones de correo electrónico (Directiva), haga clic en Nueva. 4. En Nueva dirección de correo electrónico, haga clic en Dirección SMTP y, a continuación, haga clic en Aceptar. En el cuadro de diálogo Propiedades de Dirección SMTP, en el cuadro Dirección, escriba la información necesaria para el tipo de dirección que ha seleccionado. Por 174 ejemplo, para enrutar correo a la empresa Ejemplo, escriba @ejemplo.com como se muestra en la siguiente ilustración. Información adicional Para obtener más información acerca de cómo configurar directivas de destinatarios, consulte en Microsoft Knowledge Base el artículo 260973, "XCON: Setting Up SMTP Domains for Inbound and Relay E-Mail in Exchange 2000 Server and Exchange Server 2003". Aunque este artículo está escrito para Exchange 2000, estos mismos principios también se aplican a Exchange 2003. Para obtener más información acerca de cómo corregir los problemas con direcciones proxy SMTP, consulte en Microsoft Knowledge Base el artículo 140933, "XFOR: SMTP Proxy Address Generated Incorrectly". Aunque este artículo está escrito para Exchange 2000, estos mismos principios también se aplican a Exchange 2003. Cómo comprobar las restricciones de retransmisión en un servidor virtual SMTP De manera predeterminada, el servidor virtual SMTP predeterminado permite la retransmisión de correo electrónico sólo a los usuarios autenticados. La configuración predeterminada es preferible porque impide a los usuarios no autorizados el uso del servidor de Exchange para enviar mensajes de correo electrónico a dominios externos. La configuración de retransmisión más segura requiere la autenticación de todos los que se conectan desde Internet e intentan realizar una retransmisión. Los servidores cabeza de puente que están conectados a Internet y aceptan correo de Internet deben aceptar en general conexiones anónimas. Sin embargo, de forma predeterminada, estos servidores cabeza de puente no permiten la retransmisión anónima. Se recomienda encarecidamente no habilitar la retransmisión anónima. Si permite la retransmisión anónima, otros usuarios pueden utilizar su servidor para enviar correo no deseado. Por tanto, esta actividad puede hacer que otros servidores de Internet bloqueen su servidor. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: 175 Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador con permiso de vista de Exchange para ver la configuración, o la función Administrador de Exchange para cambiar la configuración, en el nivel de grupo administrativo Procedimiento Para comprobar las restricciones de retransmisión en un servidor virtual SMTP 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. Expanda Servidores, expanda <Nombre del servidor>, expanda Protocolos y, a continuación, expanda SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en Servidor virtual SMTP predeterminado y, a continuación, haga clic en Propiedades. 4. En Propiedades de Servidor virtual SMTP predeterminado, haga clic en la ficha Acceso. Ficha Acceso del cuadro de diálogo Propiedades de Servidor virtual SMTP predeterminado 176 5. En Restricciones de retransmisión, haga clic en Retransmisión para comprobar las restricciones de retransmisión. Aparecerá el cuadro de diálogo Restricciones de retransmisión. Restricciones de retransmisión predeterminadas en el cuadro de diálogo Restricciones de retransmisión 177 6. En Restricciones de retransmisión, compruebe las siguientes opciones: Compruebe que la opción Sólo los de la lista siguiente está seleccionada. Para ver sólo aquellos hosts a los que desea permitir la retransmisión de correo, haga clic en Agregar y siga las instrucciones. Si hace clic en Todos excepto los de la lista siguiente, puede parecer que su servidor es el origen de correo electrónico comercial no solicitado en Internet. Compruebe que la casilla de verificación Permitir la retransmisión a todos los equipos autenticados correctamente, independientemente de la lista anterior esté activada. Esta opción le permite denegar el acceso a todos los usuarios que no se autentiquen. Todos los usuarios remotos de Protocolo de oficina de correo (POP) y Protocolo de acceso a correo de Internet (IMAP) que tengan acceso a este servidor se autenticarán para enviar correo. Si no tiene usuarios que tienen acceso a este servidor a través de POP o IMAP, puede desactivar esta casilla de verificación para impedir por completo la retransmisión y, por tanto, aumentar la seguridad. 178 Configuración de opciones de entrada en servidores virtuales SMTP Para configurar el servidor virtual SMTP de manera que reciba correo de Internet, debe realizar las tareas siguientes: Configurar el puerto entrante como 25 y especificar la dirección IP. Comprobar que el servidor virtual SMTP entrante permite el acceso anónimo. Por motivos de seguridad, compruebe las restricciones de retransmisión en el servidor virtual entrante. De manera predeterminada, las opciones de retransmisión permiten que sólo los usuarios autorizados puedan retransmitir correo. Importante: Debe comprobar que las opciones del servidor virtual SMTP son correctas. También debe conocer las consecuencias que tienen determinadas opciones de configuración al solucionar problemas en el flujo de mensajes relacionados con SMTP. Configuración del servidor de Exchange para enviar correo de Internet En esta sección se explica cómo configurar el servidor de Exchange para enviar correo de Internet. En concreto, aprenderá lo siguiente: Configurar opciones de salida en servidores virtuales SMTP. Configurar un host inteligente en un servidor virtual SMTP. Configurar un conector para SMTP. Utilice la lista de comprobación mostrada en la siguiente tabla para asegurarse de que realiza todos los pasos necesarios para configurar el servidor de Exchange de manera que envíe correo de Internet. Cada paso se explica en detalle en las próximas secciones o en alguna sección anterior de este documento. Pasos necesarios para configurar un servidor de Exchange de manera que pueda enviar correo de Internet Paso Tarea Notas 1 Comprobar que SMTP está cargado correctamente en el servidor de Exchange. Consulte Cómo cargar SMTP de Exchange correctamente. 179 Paso Tarea Notas 2 Comprobar que el servidor Consulte "Configuración de DNS puede resolver nombres DNS para el correo saliente" externos (de Internet). en Comprobación del diseño y de la configuración de DNS. 3 Comprobar que el puerto de salida del servidor virtual SMTP está configurado como 25. Otros servidores SMTP en Internet esperan que el servidor virtual SMTP se conecte a ellos en el puerto 25. Consulte Cómo comprobar que el puerto de salida está configurado para utilizar el puerto 25. 4 Comprobar que el servidor virtual SMTP saliente permite el acceso anónimo. Otros servidores SMTP de Internet no esperan que su servidor SMTP se autentique. Consulte Cómo permitir el acceso anónimo en el servidor virtual SMTP saliente. 5 Si debe configurar un host inteligente en el servidor virtual SMTP, compruebe que está configurado correctamente. Se recomienda que configure los hosts inteligentes en un conector para SMTP, no en el propio servidor virtual. Si debe configurar un host inteligente en el servidor virtual SMTP, asegúrese de que cumple los criterios especificados en Configuración de un host inteligente en un servidor virtual SMTP. 180 Paso Tarea Notas 6 Crear un conector para SMTP en el servidor virtual SMTP saliente con un espacio de direcciones * (asterisco) para enrutar el correo de Internet. Cuando crea un conector para SMTP con un espacio de direcciones *, Exchange enruta todo el correo de Internet a través de este conector. Consulte Cómo crear un conector para SMTP. Configuración de las opciones de salida en servidores virtuales SMTP Las opciones de salida de un servidor virtual SMTP controlan los puertos y las direcciones IP a través de los cuales se envía el correo saliente. Los conectores configurados en servidores cabeza de puente que enrutan correo a Internet utilizan esta opciones. La mayoría de estas opciones se configuran en la ficha Entrega de las propiedades del servidor virtual SMTP. Para configurar el servidor virtual SMTP de manera que entregue el correo saliente, debe: Asegurarse de que el puerto de salida está establecido como 25 (ésta es la opción predeterminada). Permitir el acceso anónimo para la conexión saliente (ésta es la opción predeterminada). Establecer servidores DNS externos que pueda utilizar SMTP, si lo desea. Puede configurar el servidor virtual SMTP para que utilice un servidor DNS externo; sin embargo, es más fácil y más frecuente utilizar servidores DNS internos para reenviar las consultas DNS a los servidores DNS externos configurados. Para obtener instrucciones detalladas, consulte los temas siguientes: Cómo comprobar que el puerto de salida está configurado para utilizar el puerto 25 Cómo permitir el acceso anónimo en el servidor virtual SMTP saliente Cómo comprobar que el puerto de salida está configurado para utilizar el puerto 25 Para configurar el puerto de salida que su servidor utiliza para entregar correo de Internet, utilice la ficha Entrega de las propiedades del servidor virtual SMTP. Si utiliza los mismos servidores de puerta de enlace para enviar y recibir correo de Internet, los puertos de entrada y de salida deben configurarse en el puerto 25. 181 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador con permiso de vista de Exchange para ver la configuración, o la función Administrador de Exchange para cambiar la configuración, en el nivel de grupo administrativo Procedimiento Para comprobar que el puerto de salida está configurado para utilizar el puerto 25 1. Haga clic con el botón secundario del mouse (ratón) en Servidor virtual SMTP predeterminado y, a continuación, haga clic en Propiedades. 2. En Propiedades de Servidor virtual SMTP predeterminado, haga clic en la ficha Entrega. En la ficha Entrega puede especificar opciones de salida como temporizadores de reintento, límites de conexión y de seguridad de salida, y otras opciones avanzadas. Ficha Entrega de Propiedades de Servidor virtual SMTP predeterminado 182 3. En la ficha Entrega, haga clic en Conexiones salientes para establecer el puerto TCP que utilizará el servidor para conectarse a servidores remotos. Aparecerá el cuadro de diálogo Conexiones salientes. Cuadro de diálogo Conexiones salientes 183 4. En Conexiones salientes, compruebe que el Puerto TCP está establecido en 25. Los servidores remotos de Internet esperan que el servidor utilice el puerto TCP 25. No se recomienda cambiar el Puerto TCP a otro valor distinto de 25. Cómo permitir el acceso anónimo en el servidor virtual SMTP saliente Para el servidor virtual SMTP saliente debe habilitar el acceso anónimo a menos que se conecte directamente a un host inteligente. Los servidores remotos de Internet no esperan que su servidor se autentique. Nota: En general, la configuración de un host inteligente funciona mejor en un conector. La configuración de un host inteligente en un servidor virtual SMTP no es el método preferido. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para permitir el acceso anónimo en el servidor virtual SMTP saliente 1. Haga clic con el botón secundario del mouse (ratón) en <Servidor virtual SMTP saliente> y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Entrega. 3. Haga clic en Seguridad saliente para seleccionar el tipo de autenticación que usará el servidor con los servidores remotos. 4. En Seguridad saliente, haga clic en Acceso anónimo. Cuadro de diálogo Seguridad saliente 184 Nota: Si se conecta a un host inteligente (que se configura haciendo clic en Avanzadas en la ficha Entrega), el host puede pedirle que se autentique. Para descubrir si se requiere la autenticación, póngase en contacto con el propietario del host inteligente o con el proveedor de servicios Internet (ISP). Cómo crear un conector para SMTP Los conectores para SMTP son una forma eficiente de enrutar el correo de Internet. El procedimiento siguiente permite crear un conector para SMTP. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: 185 Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador con permiso de vista de Exchange para ver la configuración, o la función Administrador de Exchange para cambiar la configuración, en el nivel de grupo administrativo Procedimiento Para crear un conector para SMTP 1. En el Administrador del sistema de Exchange, haga clic con el botón secundario del mouse (ratón) en Conectores, seleccione Nuevo y haga clic en Conector para SMTP. 2. En Propiedades, en la ficha General, escriba un nombre de conector en el cuadro Nombre. Propiedades del conector para SMTP 186 3. Active una de las siguientes casillas de verificación: Si desea que este conector utilice nombres DNS para enrutar el correo directamente al servidor remoto, active Usar DNS para enrutar a cada espacio de direcciones de este conector. Al seleccionar esta opción, el conector utiliza el servidor DNS configurado para enrutar mensajes de correo electrónico. Si activa esta casilla de verificación, compruebe la información siguiente: Compruebe que puede utilizar Nslookup para resolver nombres correctamente en Internet. Para obtener más información acerca de la topología de enrutamiento, consulte Configuración de una topología de enrutamiento. Si desea enrutar el correo a un host inteligente que asuma la responsabilidad de la resolución de nombres DNS y la entrega de correo, active la casilla de verificación Reenviar el correo a través de este conector al siguiente host inteligente. Esta opción suele utilizarse si enruta correo a un servidor SMTP de Windows o a otro servidor de la red perimetral. Si activa esta casilla de verificación, compruebe la información siguiente: Si especifica una dirección IP para el host inteligente, escríbala entre corchetes; por ejemplo, [10.0.0.1]. Si especifica una dirección IP para el host inteligente, no debe coincidir con la dirección IP de este servidor. Si especifica un nombre para el host inteligente, el nombre debe ser un FQDN. Por ejemplo, "Server Name"" no es un FQDN; sin embargo, servername.contoso.com sí lo es. Si se especifica un nombre, no debe ser el FQDN de este servidor. Si no tiene ningún host inteligente dentro de la red, póngase en contacto con el proveedor de servicios Internet (ISP) para averiguar qué dirección IP o qué FQDN debe especificar aquí. 4. En Cabezas de puente locales, haga clic en Agregar para definir al menos un servidor cabeza de puente y un servidor virtual SMTP. Para enviar correo saliente, el conector utiliza el puerto de salida configurado en el servidor virtual SMTP. 187 Configuración de un host inteligente en un servidor virtual SMTP Puede haber problemas si establece el host inteligente en el nivel de servidor virtual, no en el nivel del conector para SMTP. Cuando configure el host inteligente en el nivel de servidor virtual, tenga en cuenta las restricciones siguientes: Nota: Las siguientes opciones de host inteligente están en el cuadro de diálogo Entrega avanzada. Para tener acceso a este cuadro de diálogo, en Propiedades de <Servidor virtual SMTP saliente>, en la ficha Entrega, haga clic en Avanzadas. Si su organización de Exchange contiene más de un equipo que ejecuta Exchange, no debe escribir ningún dato en el cuadro Host inteligente. Puede que el flujo de correo entre servidores no funcione. Si en el cuadro Host inteligente aparece una dirección IP, debe estar entre corchetes; por ejemplo, [10.0.0.1]. Si en el cuadro Host inteligente aparece una dirección IP, compruebe que no coincide con la dirección IP de este servidor de Exchange. Si en el cuadro Host inteligente aparece un nombre, debe ser un FQDN. Por ejemplo, "Nombre de servidor" no es un FQDN; sin embargo, nombreservidor.contoso.com sí lo es. Si en el cuadro Host inteligente aparece un nombre, no debe ser el FQDN de este servidor. Si no tiene ningún host inteligente dentro de la red, póngase en contacto con el ISP para averiguar qué dirección IP o qué FQDN debe especificar aquí. Si especifica un host inteligente, active la casilla de verificación Intentar la entrega directa antes de enviar al host inteligente. La activación de esta casilla de verificación puede ayudar a reducir la cola en este servidor. El uso de varios hosts inteligentes y solicitudes de equilibrio de carga entre ellos requiere una configuración determinada. Para obtener instrucciones detalladas, consulte los temas siguientes: Cómo crear un conector para SMTP Cómo especificar un espacio de direcciones para el conector 188 Configuración de opciones avanzadas En esta sección se explica cómo configurar algunas de las opciones avanzadas que controlan la entrega de correo de Internet. Si bien estas opciones no son esenciales para el flujo de correo, pueden ayudarle a optimizar el rendimiento, controlar el acceso a los servidores virtuales SMTP y otras muchas áreas. En concreto, aprenderá lo siguiente: Configurar opciones avanzadas de entrada. Configurar opciones avanzadas de salida. Configurar opciones avanzadas en el conector para SMTP. Configurar la notificación de informes de entrega. Para obtener instrucciones detalladas acerca de cómo configurar controles de acceso y opciones de seguridad, consulte los temas siguientes: How to Configure Access Controls and Authentication Methods Cómo especificar límites para los mensajes Configuración de opciones avanzadas de entrada En esta sección se muestra cómo configurar opciones avanzadas para el correo entrante. En concreto, aprenderá lo siguiente: Configurar controles de acceso y otras opciones de seguridad. Configurar filtros de mensajes. Establecer límites para los mensajes entrantes. Para obtener instrucciones detalladas, consulte los temas siguientes: Cómo asegurarse de que el servidor de Exchange no utiliza RTF exclusivamente Cómo establecer límites de mensajes salientes en el servidor virtual SMTP Configuración de opciones avanzadas de salida En esta sección se muestra cómo configurar opciones avanzadas para controlar el correo saliente. En concreto, aprenderá a configurar los formatos de los mensajes de correo de Internet, los límites de los mensajes salientes y las opciones avanzadas del conector. 189 Configuración de opciones avanzadas en el conector para SMTP El conector para SMTP ofrece varias opciones de configuración, que puede utilizar para aplicar sus especificaciones a los mensajes de correo que se enrutan a través de este servidor. A excepción de los límites de tamaño de los mensajes, las opciones del conector para SMTP reemplazan las opciones del servidor virtual SMTP. En este caso, se exige el límite de tamaño menor. En esta sección aprenderá a realizar las tareas siguientes: Especificar restricciones de entrega. Establecer un calendario del conector para conectarse a un proveedor de servicios de red. Establecer restricciones de contenido en un conector para SMTP. Configurar cómo se tratan los informes de no entrega. Para obtener instrucciones detalladas, consulte los temas siguientes: Cómo habilitar claves del Registro para restricciones de entrega How to Set Delivery Restrictions on the SMTP CONNECTOR Cómo establecer una programación para el conector Cómo establecer restricciones de contenido en un conector para SMTP Cómo especificar cómo se tratará el correo que no se pueda entregar Cómo especificar un espacio de direcciones para el conector El espacio de direcciones de un conector define el dominio o el intervalo de dominios al que el conector envía correo. Puede especificar de qué grupos de direcciones se encargará un conector concreto. Si utiliza varios conectores para SMTP con el fin de enrutar correo de Internet, al menos un conector debe tener un espacio de direcciones * (asterisco). El asterisco representa todos los dominios externos. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: 190 Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para especificar un espacio de direcciones para el conector 1. En Propiedades del conector para SMTP, haga clic en la ficha Espacio de direcciones. 2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar espacio de direcciones. Cuadro de diálogo Agregar espacio de direcciones 3. En Seleccione un tipo de dirección, haga clic en SMTP y, a continuación, haga clic en Aceptar. Aparecerá el cuadro de diálogo Propiedades del espacio de direcciones de Internet. Cuadro de diálogo Propiedades del espacio de direcciones de Internet 191 Importante: En Propiedades del espacio de direcciones de Internet, en el cuadro Dominio de correo electrónico, hay un valor predeterminado *. * representa todas las direcciones. Al menos un conector de la organización debe tener este espacio de direcciones para asegurarse de que todos los dominios externos se enrutan a Internet. 4. En Propiedades del espacio de direcciones de Internet, en el cuadro Dominio de correo electrónico, escriba un dominio de correo electrónico para el conector. En el cuadro Costo, asigne un costo adecuado para este conector. Por ejemplo, si desea que todos los usuarios utilicen siempre este conector y sólo usen un conector de reserva si este conector no está disponible, asigne a este conector un costo 1 y al conector secundario un costo mayor. Recuerde que Exchange siempre elige la ruta que tiene el menor costo, si esa ruta está disponible. Importante: No enumere los dominios entrantes en un espacio de direcciones SMTP para un conector. Los dominios entrantes se enumeran en las directivas de 192 destinatarios. Si se enumeran algunos o todos los dominios entrantes, puede recibir NDR que indiquen la existencia de un bucle de correo (estos NDR pueden tener el código de diagnóstico 5.3.5). Al especificar dominios en la ficha Espacio de direcciones puede configurar estos dominios como enrutables. 5. Haga clic en Aceptar para volver a la ficha Espacio de direcciones. 6. En Ámbito del conector, seleccione una de las opciones siguientes según su topología de enrutamiento: Seleccione Toda la organización si desea que los usuarios de cualquier grupo de enrutamiento puedan enviar correo de Internet a través de este conector. Cuando se selecciona esta opción, todos los servidores de Exchange de la organización pueden enrutar correo a Internet a través de este conector. Seleccione Grupo de enrutamiento si desea que sólo los usuarios del grupo de enrutamiento de este servidor cabeza de puente envíen correo a través de este conector. Nota: Para obtener más información acerca de cómo asignar costos y ámbitos, consulte Descripción del ámbito de un conector y sus restricciones. 7. Si desea que el correo se retransmita a través de su sistema hasta los dominios que especifique, active la casilla de verificación Permitir que los mensajes se retransmitan a estos dominios. Nota: No active esta casilla de verificación si está creando un conector con un espacio de direcciones *. 8. Haga clic en Aceptar. Cómo configurar controles de acceso y métodos de autenticación Para los servidores virtuales SMTP puede especificar qué tipos de conexiones se aceptan o se rechazan y puede solicitar la autenticación de los usuarios antes de entregar el correo. Si acepta clientes de IMAP o POP que se conectan desde Internet, los métodos de autenticación resultan útiles. Sin embargo, en un servidor virtual SMTP que actúa como puerta de enlace de Internet, no puede solicitar la autenticación si desea recibir correo de usuarios de Internet. 193 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para configurar controles de acceso y métodos de autenticación 1. Haga clic con el botón secundario del mouse (ratón) en Servidor virtual SMTP predeterminado y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Acceso y, a continuación, en Control de acceso, haga clic en Autenticación para especificar las formas en que los usuarios deben autenticarse antes de enviar correo a este servidor. Aparecerá el cuadro de diálogo Autenticación. Cuadro de diálogo Autenticación 194 3. En Autenticación están disponibles las casillas de verificación siguientes: Acceso anónimo Normalmente se activa esta casilla de verificación para los servidores que están conectados directamente a Internet. Si activa esta casilla de verificación, otros servidores de Internet no se autenticarán en este servidor antes de enviar correo. Para mayor seguridad, deshabilite el acceso anónimo en los servidores virtuales SMTP internos que no acepten correo entrante de Internet. Por motivos similares de seguridad, también puede deshabilitar el acceso anónimo en los servidores virtuales SMTP dedicados que se utilizan para usuarios IMAP y POP remotos. Nota: Si la casilla de verificación Acceso anónimo no está activada en los servidores de puerta de enlace de Internet, no recibirá correo entrante de Internet. Sin embargo, para los servidores virtuales SMTP internos o para los servidores virtuales SMTP utilizados exclusivamente por usuarios IMAP y POP, puede desactivar esta casilla de verificación porque deben autenticarse. Autenticación básica Utilice esta casilla de verificación para los clientes de correo (como Microsoft Outlook) que utilizan Protocolo de oficina de correo 195 versión 3 (POP3) o Protocolo de acceso a correo de Internet versión 4rev1 (IMAP4) para conectarse al servidor. Para enviar mensajes de correo electrónico, estos clientes se autentican en el servidor. Importante: Si activa la casilla de verificación Autenticación básica (la contraseña se envía como texto no cifrado), los nombres de usuario y las contraseñas se enviarán a través de la red como texto no cifrado. Esta información se puede interceptar fácilmente en Internet. Si utiliza autenticación básica, considere la posibilidad de implementar Seguridad de nivel de transporte (TLS) para lograr más seguridad. Requiere cifrado TLS Utilice esta casilla de verificación si tiene un certificado digital, que es frecuente en un entorno de alta seguridad. Si activa esta casilla de verificación, en el cuadro Dominio predeterminado correspondiente debe escribir el nombre de dominio de Windows 2000 o Windows Server 2003 en el que debe autenticarse el usuario si no especifica ningún dominio. Para obtener más información acerca del cifrado TLS, consulte la documentación en pantalla de Exchange. Autenticación de Windows integrada Esta casilla de verificación sólo la utilizan las cuentas de usuario de Windows. Cuando se utiliza el protocolo NTLM, los nombres de usuario y las contraseñas se cifran y después se pasan al servidor virtual SMTP para la autenticación. Nota: De manera predeterminada, las casillas de verificación Acceso anónimo, Autenticación básica y Autenticación de Windows integrada están activadas. Si está utilizando un único servidor virtual predeterminado, se recomienda que utilice las opciones predeterminadas; esto permite que los usuarios se autentiquen según los métodos más frecuentes. 4. En Propiedades de<Servidor virtual SMTP>, en la ficha Acceso, bajo Comunicaciones seguras, haga clic en Certificado para configurar un certificado (utilizado para el cifrado TLS) que cifre los mensajes cuando pasen de un servidor a otro. Para obtener más información acerca del cifrado TLS, consulte la documentación en pantalla de Exchange. 5. En la ficha Acceso, bajo Control de conexión, haga clic en Conexión para permitir o denegar el acceso al servidor según la dirección IP. Si está utilizando varios servidores virtuales SMTP y desea denegar el acceso a determinados hosts, debe realizar el procedimiento siguiente para cada servidor virtual: En Conexión, haga clic en Todos excepto los de la lista siguiente para los servidores conectados directamente a Internet. 196 Para indicar únicamente aquellos hosts de los que no desea recibir correo, haga clic en Agregar y siga las instrucciones del cuadro de diálogo Equipo. Puede incluir todos los servidores que considere que son origen de correo no deseado. Haga clic dos veces en Aceptar para aplicar las opciones. Cómo especificar límites para los mensajes En la ficha Mensajes de las propiedades del servidor virtual puede configurar el número predeterminado de destinatarios por mensaje. La reducción de este número puede mitigar los efectos del correo no deseado al impedir la entrega de un único mensaje a un gran número de usuarios. También puede reducir el tamaño máximo de los mensajes y la duración de cada sesión. Nota: Si su organización utiliza listas de distribución extensas que llegan a través de SMTP desde usuarios de Internet, la reducción del número de destinatarios por mensaje puede afectar a sus usuarios. Sin embargo, los destinatarios MAPI como los usuarios de Outlook no se ven afectados por la reducción. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para especificar límites para los mensajes 1. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP que desee configurar y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Mensajes para especificar límites de mensajes para este servidor. 197 La ficha Mensajes del cuadro de diálogo Propiedades de Servidor virtual SMTP predeterminado 3. En Especifique la siguiente información de mensajería, active la casilla de verificación Limitar el tamaño del mensaje a (KB) para limitar el tamaño máximo de los mensajes. Para impedir que los usuarios envíen documentos grandes, escriba un valor pequeño en el cuadro correspondiente. Si no establece un límite para el tamaño máximo de los mensajes, puede afectar al rendimiento. Se recomienda que establezca un límite igual al tamaño máximo de los mensajes apropiado para su organización. Nota: Los documentos crecen aproximadamente un 33 por ciento de su tamaño cuando se envían fuera del grupo de enrutamiento o de la organización. Por ejemplo, si desea que se envíen documentos de 3 MB como máximo, establezca el tamaño máximo de los mensajes como 4096 KB. 4. Active la casilla de verificación Limitar el tamaño de la sesión a (KB) y escriba un 198 valor superior al tamaño máximo de los mensajes. 5. Active la casilla de verificación Limitar el número de mensajes por conexión a para configurar el sistema de manera que interrumpa la conexión cuando se alcance el número especificado de mensajes. Esta opción predeterminada optimiza el flujo de mensajes en la mayoría de las topologías de mensajería. Sin embargo, la activación de esta casilla de verificación puede hacer que se degrade ligeramente el rendimiento si su sistema recibe muchos mensajes de un único origen. 6. Active la casilla de verificación Limitar el número de destinatarios por mensaje a para que Exchange Server devuelva un informe de no entrega (NDR) a los remitentes cuyos mensajes superen el número máximo de destinatarios. La activación de esta casilla de verificación le permite impedir que los usuarios envíen un mensaje de correo electrónico a un número excesivo de destinatarios. Cómo asegurarse de que el servidor de Exchange no utiliza RTF exclusivamente Para cada dominio que aparece en Formatos de los mensajes de Internet puede configurar cómo se envían los mensajes de correo de Internet. Como regla general, no envíe correo exclusivamente en formato de texto enriquecido (RTF) porque los servidores de correo que no son Microsoft no pueden leer los mensajes de texto enriquecido. En su lugar, los usuarios reciben un mensaje de correo electrónico vacío con un archivo winmail.dat adjunto. Para evitar este problema, compruebe que la configuración global de mensajes no utiliza RTF de Exchange exclusivamente. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para asegurarse de que el servidor de Exchange no utiliza RTF exclusivamente 1. En el Administrador del sistema de Exchange, expanda Configuración global y 199 haga clic en Formatos de los mensajes de Internet. 2. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el nombre que desee y, después, haga clic en Propiedades. 3. Haga clic en la ficha Avanzadas. 4. En Formato de texto enriquecido de Exchange, asegúrese de que esté seleccionada la opción No usar nunca o Usar según la configuración de cada usuario. Ficha Avanzadas para Formatos de los mensajes de Internet Nota: Si selecciona Usar siempre puede impedir que los usuarios de servidores que no sean Microsoft lean sus mensajes de correo. Pueden recibir un mensaje de correo con un archivo winmail.dat adjunto. 200 Cómo establecer límites de mensajes salientes en el servidor virtual SMTP En el servidor virtual SMTP que se encarga de la entrega de correo saliente puede configurar límites de conexión y valores de tiempo de espera que el servidor utiliza con los servidores remotos. Configure estos límites para asegurarse de que su servidor no resulte sobrecargado. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para establecer límites de mensajes salientes en el servidor virtual SMTP 1. Haga clic en Inicio, seleccione Programas, MicrosoftExchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, <Nombre del servidor>,Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en <Servidor virtual SMTP saliente> y, a continuación, haga clic en Propiedades. 4. Haga clic en la ficha Entrega. 5. En Saliente puede modificar el tiempo en minutos para el primero, el segundo, el tercero y los siguientes reintentos si especifica los valores apropiados para su organización. Estas opciones de salida controlan la entrega de mensajes para el correo que se envía fuera de la organización. Opciones de salida de la ficha Entrega 201 Nota: Si establece un intervalo de reintento demasiado bajo se puede degradar el rendimiento, especialmente cuando la conexión a Internet o el host inteligente especificado no está disponible. 6. En Local, para establecer Notificación de retraso y Tiempo de espera de caducidad para la entrega de mensajes local, escriba los valores en los cuadros correspondientes y, después, seleccione Minutos, Horas o Días. Se recomienda utilizar las opciones predeterminadas. Estas opciones locales se aplican al correo enviado al almacén del buzón local o al MTA de Microsoft Exchange. Nota: Los sistemas de Internet pueden tener valores diferentes para la notificación de retraso y el tiempo de espera de caducidad. Los valores especificados aquí se refieren a los mensajes que hay en la cola de este servidor. 7. Haga clic en Conexionessalientes para configurar límites de conexión y valores de tiempo de espera que el servidor utilizará con servidores remotos. Aparecerá el 202 cuadro de diálogo Conexiones salientes. Cuadro de diálogo Conexiones salientes. 8. Dependiendo del hardware, puede activar la casilla de verificación Limitar el número de conexiones a para limitar las conexiones con otros servidores y reducir el tráfico. También puede activar la casilla de verificación Limitar el número de conexiones por dominio a. Después de activar las casillas de verificación, escriba los valores apropiados para su organización. 9. Dependiendo del ancho de banda y de la calidad de su conexión, puede cambiar el valor de Tiempo de espera (minutos). Nota: Si reduce el número de conexiones salientes y aumenta el período de tiempo de espera puede hacer que todas las conexiones salientes esperen respuestas de los servidores remotos. Con estas opciones, los mensajes de correo permanecen en la cola durante más tiempo (pudiendo llegar a producir un retraso en la entrega de mensajes), pero el tráfico de red se reduce al mínimo. Cómo habilitar claves del Registro para restricciones de entrega La opción predeterminada permite que todos los usuarios de su organización utilicen el conector para SMTP. En la mayoría de los casos, la opción predeterminada es suficiente porque normalmente desea que sus usuarios puedan enviar correo de Internet. Si desea establecer unas restricciones más rígidas, utilice el procedimiento siguientes y Cómo 203 establecer restricciones de entrega en el conector para SMTP para establecer restricciones de entrega. Puede utilizar la ficha Entrega para restringir el uso de su conector. Sin embargo, para habilitar estas restricciones también debe cambiar los valores de algunas claves del Registro. Importante: Tenga en cuenta que la restricción de la entrega consume mucho procesamiento y puede afectar al rendimiento del servidor. En el Registro hay una clave para el servidor cabeza de puente basado en Exchange Server 2003, que es el origen para el conector que se está comprobando, que controla la funcionalidad de comprobación de restricciones. Si necesita configurar un conector para restringir quién puede enviar datos al vínculo designado, debe agregar manualmente el valor del Registro para comprobación de restricciones. Nota: La modificación incorrecta del Registro puede ocasionar problemas graves que quizás requieran volver a instalar el sistema operativo. Es posible que los problemas derivados de una modificación incorrecta del Registro no se puedan resolver. Antes de modificar el Registro, se recomienda realizar una copia de seguridad de todos los datos importantes. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet y Cómo establecer restricciones de entrega en el conector para SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para habilitar las claves del Registro para las restricciones de entrega 1. Inicie el Editor del Registro: Desde un símbolo del sistema, escriba Regedit.exe. 2. Vaya hasta la siguiente clave del Registro y selecciónela: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/RESvc/Parameters/ 3. En el menú Edición, haga clic en Agregar valor y agregue el siguiente valor del Registro: Value Name: CheckConnectorRestrictions Data Type: REG_DWORD 204 Date: 1 Radix: Decimal 4. Salga del Editor del Registro: En el menú Registro, haga clic en Salir. 5. Después de habilitar el valor de la clave del Registro, tiene que reiniciar los siguientes servicios en el servidor de Exchange: Pila MTA de Microsoft Exchange (MSExchangeMTA) Motor de enrutamiento de Microsoft Exchange (RESvc) Protocolo simple de transferencia de correo (SMTPSVC) Cómo establecer restricciones de entrega en el conector para SMTP La opción predeterminada permite que todos los usuarios de su organización utilicen el conector para SMTP. En la mayoría de los casos, la opción predeterminada es suficiente porque normalmente desea que los usuarios puedan enviar correo de Internet. Si desea establecer restricciones más rígidas, utilice el procedimiento Cómo habilitar claves del Registro para restricciones de entrega y los procedimientos siguientes para establecer restricciones de entrega. Después de habilitar la clave del Registro y reiniciar los servicios, puede establecer restricciones de entrega en el conector para SMTP. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet y Cómo habilitar claves del Registro para restricciones de entrega. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para establecer restricciones de entrega en el conector para SMTP 1. En el Administrador del sistema de Exchange, expanda Conectores mediante uno de los pasos siguientes: Si no ve ningún grupo de enrutamiento o administrativo, expanda la organización 205 de Exchange y, a continuación, expanda Conectores. Si sólo ve grupos de enrutamiento, expanda sucesivamente Grupos de enrutamiento, <Nombre del grupo de enrutamiento> y Conectores. Si sólo ve grupos administrativos, expanda sucesivamente Grupos administrativos, <Nombre del grupo administrativo> y Conectores. Si ve grupos administrativos y de enrutamiento, expanda sucesivamente Grupos administrativos, <Nombre del grupo administrativo>, Grupos de enrutamiento, <Nombre del grupo de enrutamiento> y Conectores. 2. Haga clic con el botón secundario del mouse (ratón) en <su conector para SMTP> y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Restricciones de entrega. Ficha Restricciones de entrega del cuadro de diálogo Propiedades de Conector para SMTP 206 4. Para aceptar mensajes de todos y rechazar a determinados usuarios: a. En De forma predeterminada, los mensajes de todos se, compruebe que esté seleccionado Aceptan. b. En Rechazar mensajes de, haga clic en Agregar y, a continuación, en Seleccione un destinatario, escriba el nombre de cada usuario o grupo que desee que no utilice este conector. 5. Para rechazar mensajes de todos salvo de los usuarios especificados: a. En De forma predeterminada, los mensajes de todos se, haga clic en Rechazan. b. En Aceptar mensajes de, haga clic en Agregar y, a continuación, en Seleccione un destinatario, escriba el nombre de cada usuario al que desee permitir el uso del conector. Cómo establecer una programación para el conector Si está utilizando un conector para SMTP con el fin de conectarse a un proveedor de servicios de red y descargar mensajes de correo de Internet, quizás desee programar horas concretas a las que el conector se pondrá en contacto con el servidor del proveedor de servicios de red. Como alternativa, puede especificar que un conector almacene los mensajes de correo hasta que un servidor remoto desencadene la entrega. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para establecer una programación para el conector 1. En el Administrador del sistema de Exchange, expanda Conectores mediante uno de los pasos siguientes: 207 Si no ve ningún grupo de enrutamiento o administrativo, expanda la organización de Exchange Server y, después, expanda Conectores. Si sólo ve grupos de enrutamiento, expanda sucesivamente Grupos de enrutamiento, <Nombre del grupo de enrutamiento> y Conectores. Si sólo ve grupos de administrativos, expanda sucesivamente Grupos administrativos, <Nombre del grupo administrativo> y Conectores. Si ve grupos administrativos y de enrutamiento, expanda sucesivamente Grupos administrativos, <Nombre del grupo administrativo>, Grupos de enrutamiento, <Nombre del grupo de enrutamiento> y Conectores. 2. Haga clic con el botón secundario del mouse (ratón) en <su conector para SMTP> y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Opciones de entrega. Ficha Opciones de entrega del cuadro de diálogo Propiedades de Conector para SMTP 208 4. Para especificar una hora a la que funcionará el conector, haga clic en Especificar el momento de envío de los mensajes a través de este conector. 5. En la lista Hora de conexión, seleccione una hora o haga clic en Personalizar para crear un calendario personalizado. 6. Para programar otra hora diferente para que el conector entregue los mensajes sobredimensionados, active la casilla de verificación Los mensajes sobredimensionados se entregan en otro momento. Si activa esta casilla de verificación, aparecerán las opciones siguientes: Los mensajes sobredimensionados superan (KB) En este cuadro, escriba un número umbral que defina los mensajes sobredimensionados. Hora de conexión En esta lista, seleccione una hora o haga clic en Personalizar para crear un calendario personalizado. 7. Para almacenar los mensajes de correo hasta que un servidor remoto desencadene la entrega, haga clic en Situar correo en cola para entregas desencadenadas remotas y, después, haga clic en Agregar para agregar las cuentas autorizadas que pueden desencadenar la entrega remota. Cómo establecer restricciones de contenido en un conector para SMTP Puede restringir el tipo de mensajes que se entregan a través de un conector. Por ejemplo, si tiene unos requisitos empresariales o administrativos especiales, puede restringir el tipo de mensaje sólo al correo de alta prioridad a través de un conector concreto. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo 209 Procedimiento Para establecer restricciones de contenido en un conector para SMTP 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, vaya a Conectores mediante uno de los pasos siguientes: En la organización de Exchange, expanda Conectores. Si no tiene grupos de enrutamiento definidos, expanda sucesivamente Grupos administrativos, <Nombre del grupo administrativo> y Conectores. Si tiene grupos de enrutamiento definidos, expanda sucesivamente Grupos administrativos, <Nombre del grupo administrativo>, Grupos de enrutamiento, <Nombre del grupo de enrutamiento> y Conectores. 3. Haga clic con el botón secundario del mouse (ratón) en <su conector para SMTP> y, a continuación, haga clic en Propiedades. 4. Haga clic en la ficha Restricciones de contenido. Ficha Restricciones de contenido del cuadro de diálogo Propiedades de Conector para SMTP 210 5. En Prioridades admitidas, seleccione cada tipo de mensajes de prioridad que desee enviar a través del conector. 6. En Tipos permitidos, seleccione cada tipo de mensajes (de sistema o no de sistema) que desee enviar a través del conector. 7. En Tamaños permitidos, si desea establecer una restricción de tamaño, active la casilla de verificación Sólo mensajes de menos de (KB) y escriba un límite. 211 Cómo especificar cómo se tratará el correo que no se pueda entregar Utilice el procedimiento siguiente para controlar cómo se trata el correo que no se puede entregar en un servidor virtual específico. Siempre puede utilizar la cuenta de administrador de correo para tratar todos los informes de no entrega (NDR) de una organización. Si comparte un espacio de nombres con otro sistema de correo, y desea aceptar correo para estos usuarios y reenviar este correo al otro sistema designándolo como un host inteligente, puede ser útil especificar cómo se tratará en un servidor virtual el correo que se puede entregar. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Conexión de Exchange a Internet. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para especificar cómo se tratará el correo que no se pueda entregar 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, <Nombre del servidor>, Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP que desee y, a continuación, haga clic en Propiedades. 4. Haga clic en la ficha Mensajes. Ficha Mensajes del cuadro de diálogo Propiedades de Servidor virtual SMTP predeterminado 212 5. En el cuadro Enviar copia del informe de no entrega a, escriba la dirección SMTP del administrador de Exchange que desea que reciba copias de los NDR. Puede utilizar los NDR como ayuda para diagnosticar problemas de los usuarios. Para obtener más información acerca de cómo examinar los NDR, consulte Solución de problemas de mensajes de informes de no entrega. Nota: Los NDR suelen producirse porque los usuarios escriben una dirección de correo electrónico incorrecta. Quizás desee deshabilitar esta característica hasta que experimente problemas y tenga que investigar los NDR. 6. En el cuadro Directorio de correo con errores puede modificar la ubicación de los mensajes mal enrutados y que no se pueden entregar. Se recomienda que conserve la ubicación predeterminada. La ubicación predeterminada es \Exchsrvr\Mailroot\vsi #instancia de servidor virtual\badmail. Precaución: El traslado del directorio de correo con errores a un disco distinto del 213 directorio de cola puede degradar el rendimiento y dificultar el seguimiento de los mensajes con errores. 7. En el cuadro Reenviar a este host el correo con destinatarios sin resolver puede especificar un host alternativo al que se reenviarán los mensajes que no se puedan entregar. Esto es útil si está compartiendo un espacio de nombres con otro sistema de correo; en concreto, si hay destinatarios de correo con su nombre de dominio que no pertenezcan a la organización de Exchange. Por ejemplo, [email protected] reside en la organización de Exchange y [email protected] reside fuera de la organización de Exchange. En este ejemplo, los usuarios de [email protected] pueden enviar correo a usuarios de [email protected]; Exchange reenviará el mensaje al host alternativo especificado. Parte 3 Los ataques de red son más frecuentes que nunca y es probable que esa tendencia continúe. Por tanto, después de configurar el flujo de correo en la organización de Exchange es crucial que tome las medidas apropiadas para proteger este flujo de correo. Los mensajes enrutados hacia y desde servidores de Microsoft® Exchange y otros sistemas externos viajan también a través de su red local y de Internet. Para impedir que usuarios malintencionados de Internet intercepten el correo de su organización y ataquen sus servidores, es importante que proteja las conexiones de Internet. Los tres tipos de conectividad con Internet son: Usar conectores a través de Internet para tener conectividad de correo electrónico entre su organización y otros sistemas externos. Usar conectores para conectar grupos de enrutamiento de Exchange dentro de su organización a través de Internet. Permitir que clientes de Exchange utilicen protocolos de correo de Internet o Microsoft Office Outlook® Web Access para tener acceso a los buzones de Exchange de la organización. En general, cada uno de estos tipos de conectividad requiere un nivel de seguridad diferente. En las secciones de la parte 3 se explican distintas formas de proteger la organización de Exchange: Protección de la infraestructura Esta sección se centra en los métodos que puede utilizar para proteger la infraestructura mediante la deshabilitación de los servicios innecesarios de Servicios de Internet Information Server (IIS), y el uso de servidores de seguridad y redes privadas virtuales. 214 Protección del servidor de Exchange En esta sección se explican recomendaciones generales de seguridad que puede emplear para proteger los servidores de Exchange. Configuración del filtrado y control del correo no deseado En esta sección se explica cómo controlar el correo electrónico comercial no deseado mediante filtros de destinatarios, de remitentes y de la conexión de Exchange. Nota: Para obtener más información acerca de cómo proteger Exchange, consulte Exchange Server 2003 Security Hardening Guide. Protección de la infraestructura Este tema se centra en componentes importantes de la infraestructura que puede implementar para lograr mayor seguridad. Explica lo siguiente: Protección del marco de Servicios de Internet Information Server (IIS) para proteger los servicios de Internet. La importancia de los servidores de seguridad para proteger los servidores frente al acceso directo de Internet. Uso de redes privadas virtuales como un medio seguro de acceso a recursos de una red privada. Protección de IIS Como se ha explicado en "Servicios de Internet Information Server" en Dependencias del transporte de Exchange Server 2003, IIS ofrece un marco para los servicios de Internet como HTTP, Protocolo simple de transferencia de correo (SMTP), Protocolo de acceso a correo de Internet (IMAP) y Protocolo de transferencia de noticias a través de la red (NNTP). Por tanto, es esencial que haga todo lo posible para que IIS sea seguro. La forma en que puede proteger IIS difiere dependiendo de la versión de Microsoft® Windows® que esté ejecutando en el servidor de Exchange. Windows 2000 Server ofrece IIS Lockdown Wizard y Windows Server 2003? ofrece URLScan. Utilice la herramienta apropiada para su versión de Windows con el fin de proteger IIS. Uso de IIS Lockdown Wizard en Windows 2000 Server En Windows 2000 Server, IIS Lockdown Wizard para IIS 5.0 deshabilita los servicios innecesarios de IIS, lo que reduce su exposición a ataques a través de estos servicios. Para defenderse contra los atacantes, IIS Lockdown Wizard integra URLScan con plantillas 215 personalizadas para servidores de Exchange. IIS Lockdown Wizard está diseñado principalmente para proteger servidores de Microsoft Office Outlook® Web Access y de aplicaciones para usuario; sin embargo, también es útil para comprobar la configuración de seguridad de cualquier servidor de Exchange. Para lograr una seguridad óptima, ejecute IIS Lockdown Wizard en cada servidor de Exchange y en cada controlador de dominio de su organización. Puede descargar IIS Lockdown Wizard desde el Centro de descargas de Microsoft. Para obtener más información acerca de IIS Lockdown Wizard, consulte en Microsoft Knowledge Base el artículo 309508, "XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment". Existen algunos problemas cuando se ejecuta dos veces IIS Lockdown Wizard. Para obtener más información acerca de cómo ejecutar IIS Lockdown Wizard, consulte en Microsoft Knowledge Base el artículo 317052, "HOW TO: Undo Changes Made by the IIS Lockdown Wizard". Ejecución de URLScan en Windows Server 2003 IIS Lockdown Wizard no está disponible para Windows Server 2003; sin embargo, puede ejecutar URLScan para proteger IIS en Windows Server 2003. URLScan versión 2.5 es una herramienta de seguridad que restringe los tipos de solicitudes HTTP que IIS procesará. Al bloquear determinadas solicitudes HTTP, la herramienta de seguridad URLScan ayuda a impedir que lleguen al servidor de Exchange solicitudes que pueden resultar peligrosas. Para obtener más información acerca de la herramienta URLScan, consulte en Microsoft Knowledge Base el artículo 823175, "Fine-Tuning and Known Issues When You Use the Urlscan Utility in an Exchange 2003 Environment". Uso de servidores de seguridad Los servidores de seguridad impiden el acceso no autorizado a los datos de los servidores que residen detrás de ellos. Tanto si su organización tiene una red existente como si va a configurar una nueva, es muy importante el diseño de los servidores de seguridad. Con software como Microsoft Internet Security and Acceleration (ISA) Server puede enrutar todo el tráfico de Internet a través de una única ubicación. Si bien esto requiere más trabajo de configuración y diseño que una simple conexión directa a Internet, ofrece mayor seguridad para los servidores de la organización. Puede utilizar un servidor de seguridad para permitir sólo el tráfico esencial de Internet por los puertos que especifique. Por ejemplo, puede configurar la red para permitir que sólo el tráfico SMTP (puerto 25) atraviese el servidor de seguridad e impedir las conexiones en todos los demás puertos. 216 Para que Exchange funcione correctamente en un entorno de servidor de seguridad, en concreto en lo que respecta a los clientes remotos, deben cumplirse ciertos requisitos para mantener la conectividad con Internet. Por ejemplo, los servidores de seguridad pueden filtrar ciertos puertos TCP o bloquearlos completamente. Por tanto, para que los servidores y los clientes remotos puedan comunicarse mediante un servidor de seguridad, no puede cambiar ni bloquear las asignaciones de puertos correspondientes a los diversos protocolos aceptados por Exchange. Para obtener más información acerca de los puertos que necesita Exchange, consulte "Puertos frecuentes utilizados por Exchange" en Comandos SMTP y sus definiciones y el artículo 278339 de Microsoft Knowledge Base, "XGEN: TCP/UDP Ports Used By Exchange 2000 ServerXGEN: TCP/UDP Ports Used By Exchange 2000 Server". Aunque este artículo se escribió para Exchange 2000 Server, la misma información es aplicable a Exchange 2003. Si necesita un servidor SMTP sencillo en la red perimetral de un servidor de seguridad, suele ser suficiente con un equipo que tenga instalado el servicio SMTP de Windows 2000 Server o Windows Server 2003. Exchange 2003 Enterprise Server, Traducción de direcciones de red (NAT) de Windows 2000 Server o Windows Server 2003, Microsoft ISA Server o cualquier solución que haga de intermediario entre Internet y la LAN interna puede aportar seguridad adicional. Si no implementa una conexión a Internet mediante un servidor de seguridad, debe considerar cómo se verá afectada la seguridad. Todos los servidores de Exchange de una red que tengan conexión directa a Internet están expuestos a Internet. Uso de redes privadas virtuales El Servicio de enrutamiento y acceso remoto (RRAS) de Windows 2000 Server y Windows Server 2003 es una plataforma abierta extensible para el enrutamiento y la interconexión de redes. RRAS ofrece acceso remoto a Internet y a organizaciones en entornos LAN y WAN mediante conexiones seguras de redes privadas virtuales (VPN). Las VPN son vínculos seguros y autenticados entre redes privadas o públicas, como Internet. El Servicio de acceso remoto (RAS) y las herramientas de RRAS de Windows 2000 Server y Windows Server 2003 ofrecen opciones que los usuarios remotos pueden utilizar para el acceso telefónico a Internet. Para que funcionen correctamente, estos servicios de acceso necesitan lo siguiente: Un método de conexión remota llamado Protocolo de túnel punto a punto (PPTP). Una conexión a Internet para crear una VPN. PPTP está diseñado para admitir redes privadas virtuales (VPN). Gracias a las conexiones a Internet mediante Línea de abonado digital (DSL) y módem por cable, las VPN son menos costosas de poner en marcha y de mantener que las redes WAN tradicionales. Una VPN elimina los gastos de llamadas telefónicas de larga distancia y ofrece conexiones seguras, autenticación mutua y filtrado de paquetes. 217 Después de que un servidor PPTP haya autenticado a un cliente remoto, la conexión VPN se abre. La sesión PPTP actúa como un túnel a través del cual pasan los paquetes de red. Los paquetes se cifran cuando se envían. Después, los paquetes viajan por el túnel y se descifran cuando se reciben. Por ejemplo, una organización puede permitir que los clientes remotos se conecten a una red corporativa a través de Internet mediante una VPN. Si bien no es necesaria una conexión de banda ancha para una VPN, una conexión de VPN de banda ancha puede beneficiar a los usuarios remotos de la VPN. Si se utiliza una conexión VPN de banda ancha, los usuarios pueden conectarse a una red corporativa a través de Internet y utilizar la red como si hubieran iniciado sesión en ella directamente. Protección del servidor de Exchange Este tema se centra en las formas en que puede proteger el servidor de Microsoft® Exchange. Puede ayudar a proteger los servidores si realiza las tareas siguientes, que se explican en detalle en las próximas secciones: Deshabilitar la retransmisión abierta en todos los servidores virtuales SMTP. Las restricciones de retransmisión predeterminadas impiden que los usuarios no autorizados utilicen su servidor de Exchange para enviar correo a ubicaciones externas. Si su servidor está abierto para la retransmisión, los usuarios no autorizados pueden utilizar su servidor para enviar correo no deseado. Por tanto, otras organizaciones pueden reconocer su servidor como fuente de retransmisión abierta e impedirle que envíe correo legítimo. Impedir el acceso anónimo en los servidores virtuales SMTP internos y dedicados para clientes IMAP y POP. Como todos los servidores de Exchange de su organización se autentican entre sí para enviar correo, no es necesario habilitar el acceso anónimo en los servidores virtuales internos del Protocolo simple de transferencia de correo (SMTP). Además, todos los clientes de Protocolo de oficina de correo (POP) y Protocolo de acceso a correo de Internet (IMAP) se autentican con el servidor virtual SMTP, por lo que no se necesita el acceso anónimo en un servidor utilizado exclusivamente por clientes POP e IMAP. Si deshabilita el acceso anónimo en estos servidores, puede impedir que usuarios no autorizados tengan acceso a ellos. Restringir los envíos y el acceso de retransmisión en servidores virtuales SMTP internos. En Microsoft Exchange Server 2003 puede restringir aún más el acceso a los servidores virtuales SMTP si utiliza principios de seguridad mediante la Lista de control de acceso discrecional (DACL) estándar de Microsoft Windows® 2000 Server o Windows Server? 2003. Esto le permite conceder permisos explícitos a los usuarios y grupos a los que desee permitir el uso de un servidor virtual SMTP. 218 Deshabilitación de la retransmisión abierta en todos los servidores virtuales SMTP Como se explica en Cómo establecer restricciones de retransmisión, es esencial que no permita la retransmisión anónima en los servidores virtuales SMTP. La retransmisión es cuando un usuario utiliza su servidor de Exchange para enviar correo a un dominio externo. En su configuración predeterminada, Exchange sólo permite que los usuarios autenticados retransmitan correo; es decir, sólo los usuarios autenticados pueden utilizar Exchange para enviar correo a un dominio externo. Si modifica la configuración de retransmisión predeterminada para permitir que usuarios no autenticados realicen la retransmisión, o si permite la retransmisión abierta a un dominio a través de un conector, los usuarios no autorizados pueden utilizar su servidor de Exchange para enviar correo no deseado. Como resultado, se puede incluir a su servidor en listas de bloqueo y, por tanto, impedirle que envíe correo a servidores remotos legítimos. Para impedir que usuarios no autorizados utilicen su servidor de Exchange para retransmitir correo, debe utilizar siempre las restricciones de retransmisión predeterminadas. Nota: La retransmisión se confunde a menudo con el correo no deseado. El control de la retransmisión no bloquea el correo no deseado. Para obtener más información acerca de cómo controlar el correo electrónico no deseado, consulte Configuración del filtrado y control del correo no deseado. Para obtener más información acerca de cómo controlar la retransmisión, consulte en Microsoft Knowledge Base el artículo 304897, "XIMS: Microsoft SMTP Servers May Seem to Accept and Relay E-Mail Messages in Third-Party Tests". Impedir el acceso anónimo en los servidores virtuales SMTP internos y dedicados para clientes IMAP y POP Para mayor seguridad, puede impedir el acceso anónimo en los servidores virtuales SMTP internos y en cualquier servidor virtual SMTP que esté dedicado a aceptar correo entrante de usuarios remotos de IMAP y POP. Al enviar correo interno, los servidores de Exchange se autentican automáticamente; por tanto, si impide el acceso anónimo en los servidores internos, el flujo de correo no se ve interrumpido y se proporciona una capa adicional de seguridad al servidor virtual SMTP interno. Del mismo modo, los clientes IMAP y POP se autentican antes de enviar correo a servidores virtuales SMTP. Por tanto, si utiliza servidores virtuales SMTP dedicados para los clientes IMAP y POP, puede configurar estos servidores para que sólo permitan el acceso autenticado. Para impedir el acceso anónimo, en la ficha Acceso de las propiedades del servidor virtual SMTP, haga clic en Autenticación y desactive la casilla de verificación 219 Acceso anónimo. Para obtener instrucciones paso a paso acerca de cómo impedir el acceso anónimo, consulte Cómo configurar controles de acceso y métodos de autenticación. Importante: No deshabilite el acceso anónimo en los servidores virtuales SMTP cabeza de puente de Internet. Los servidores virtuales SMTP que aceptan correo de Internet deben permitir el acceso anónimo. Restricción de envíos a listas de distribución y usuarios En Exchange 2003 es posible restringir qué usuarios pueden enviar mensajes de correo electrónico a un usuario concreto o a una lista de distribución. La restricción de envíos en una lista de distribución impide que remitentes que no sean de confianza, como los usuarios de Internet no autorizados, envíen correo a una lista de distribución que sólo sea de uso interno. Por ejemplo, nadie ajeno a la compañía debe poder tener acceso a la lista de distribución Todos los empleados (mediante simulación o cualquier otro método). Nota: Las listas de distribución restringidas y las restricciones de envío para los usuarios sólo funcionan en servidores cabeza de puente o puerta de enlace SMTP que ejecuten Exchange Server 2003. Considere la posibilidad de establecer restricciones en las listas de distribución internas pertenecientes a los empleados a tiempo completo y a otros grupos internos. De esta forma, protege estas listas de distribución frente a la recepción de correo no deseado e impide que los usuarios anónimos envíen correo a estas listas de distribución. Para obtener instrucciones detalladas acerca de cómo establecer restricciones de envío sobre usuarios y listas de distribución, respectivamente, consulte Cómo establecer restricciones sobre un usuario y Cómo establecer restricciones en un grupo de distribución. Restricción de los permisos de envío y retransmisión en un servidor virtual SMTP interno Exchange Server 2003 permite restringir los permisos de envío y retransmisión a un servidor virtual SMTP a un número limitado de usuarios o grupos a través de la Lista de control de acceso discrecional (DACL) estándar de Windows 2000 Server o Windows Server 2003. De esta forma, es posible especificar grupos de usuarios que pueden enviar o retransmitir correo en un servidor virtual. Restricción de los envíos a un servidor virtual SMTP La restricción de los envíos a un servidor virtual SMTP es útil si tiene ciertos usuarios a los que desea permitir el envío de correo de Internet en determinados servidores virtuales. 220 Puede conceder sólo a estos usuarios o grupos acceso para enviar correo a estos servidores virtuales SMTP. Nota: No restrinja envíos en los servidores virtuales SMTP que acepten correo de Internet. Para obtener instrucciones detalladas, consulte Cómo restringir los envíos a un servidor SMTP basándose en un grupo de seguridad. Restricción de la retransmisión en un servidor virtual SMTP La restricción de las retransmisiones en servidores virtuales resulta de gran utilidad si desea permitir que un grupo de usuarios retransmita correo a Internet, pero desea denegar privilegios de retransmisión a un grupo diferente. Para obtener instrucciones detalladas, consulte Cómo restringir la retransmisión basándose en un grupo de seguridad. Cómo establecer restricciones sobre un usuario En Exchange Server 2003 es posible restringir qué usuarios pueden enviar mensajes de correo electrónico a un usuario individual. Nota: Las restricciones de envío para los usuarios sólo funcionan en servidores cabeza de puente o puerta de enlace SMTP que ejecuten Exchange Server 2003. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Protección del servidor de Exchange. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para establecer restricciones sobre un usuario 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en 221 Usuarios y equipos de Active Directory. 2. Expanda el contenedor de unidad organizativa y, a continuación, haga clic en Usuarios o en el contenedor en el que resida el usuario. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el usuario para el que desee restringir los envíos y, a continuación, haga clic en Propiedades. 4. Haga clic en la ficha Opciones generales de Exchange y, a continuación, haga clic en Restricciones de entrega. 5. En Restricciones del mensaje, en Aceptar mensajes, seleccione una de las opciones siguientes: Haga clic en Sólo de usuarios autenticadospara permitir sólo a los usuarios autenticados enviar mensajes de correo al usuario seleccionado. Al seleccionar Sólo de usuarios autenticados, esta opción afecta a la forma en la que se implementan el resto de opciones. Haga clic en De todos para permitir a cualquiera que sea un usuario autenticado enviar correo al usuario seleccionado. Haga clic en Sólo de para especificar un conjunto de usuarios autenticados o grupos que pueden enviar mensajes al usuario seleccionado. Haga clic en Agregar para especificar los usuarios o los grupos a los que desea permitir el envío de mensajes a este usuario. Haga clic en De todos excepto de para permitir que todos los usuarios autenticados, salvo un conjunto seleccionado, envíen mensajes al usuario seleccionado. Haga clic en Agregar para especificar la lista de usuarios o grupos que no desea que envíen mensajes a este usuario. 6. Deje la casilla de verificación Sólo de usuarios autenticados desactivada. Si deja desactivada esta casilla de verificación, se implementarán las opciones siguientes: Haga clic en De todos para permitir a cualquiera enviar mensajes al usuario seleccionado. Esto incluye a los usuarios anónimos de Internet. Haga clic en Sólo de para especificar un conjunto seleccionado de usuarios o grupos que pueden enviar mensajes al usuario seleccionado. Haga clic en Agregar para especificar los usuarios o los grupos a los que desea permitir el envío de mensajes a este usuario. 7. Haga clic en De todos excepto de para permitir a todos los usuarios, excepto un conjunto concreto de grupos o usuarios, enviar mensajes al usuario seleccionado. Haga clic en Agregar para especificar la lista de usuarios o grupos que no desea que envíen mensajes a este usuario. Estos usuarios o grupos pueden ser usuarios autenticados o anónimos. 222 Cómo establecer restricciones en un grupo de distribución En Exchange Server 2003 es posible restringir qué usuarios pueden enviar mensajes de correo electrónico a una lista de distribución. La restricción de envíos en una lista de distribución impide que remitentes que no sean de confianza, como los usuarios de Internet no autorizados, envíen correo a una lista de distribución que sólo sea de uso interno. Por ejemplo, nadie ajeno a la compañía debe poder tener acceso a la lista de distribución Todos los empleados (mediante simulación o cualquier otro método). Nota: Las listas de distribución restringidas y las restricciones de envío para los usuarios sólo funcionan en servidores cabeza de puente o puerta de enlace SMTP que ejecuten Exchange Server 2003. Considere la posibilidad de establecer restricciones en las listas de distribución internas pertenecientes a los empleados a tiempo completo y a otros grupos internos. De esta forma, protege estas listas de distribución frente a la recepción de correo no deseado e impide que los usuarios anónimos envíen correo a estas listas de distribución. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Protección del servidor de Exchange. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para establecer restricciones sobre una lista de distribución 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Usuarios y equipos de Active Directory. 223 Cómo restringir los envíos a un servidor SMTP basándose en un grupo de seguridad Exchange Server 2003 permite restringir los permisos de envío y retransmisión a un servidor virtual SMTP a un número limitado de usuarios o grupos a través de la Lista de control de acceso discrecional (DACL) estándar de Windows 2000 Server o Windows Server 2003. De esta forma, es posible especificar grupos de usuarios que pueden enviar o retransmitir correo en un servidor virtual. La restricción de los envíos a un servidor virtual SMTP es útil si tiene ciertos usuarios a los que desea permitir el envío de correo de Internet en determinados servidores virtuales. Puede conceder sólo a estos usuarios o grupos acceso para enviar correo a estos servidores virtuales SMTP. Nota: No restrinja envíos en los servidores virtuales SMTP que acepten correo de Internet. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Protección del servidor de Exchange. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para restringir los envíos a un servidor SMTP basándose en un grupo de seguridad 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, el servidor que desee, Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP en el que desee restringir los envíos y, a continuación, haga clic en Propiedades. 4. En Propiedades de <Servidor virtual SMTP>, en la ficha Acceso y, a continuación, haga clic en Autenticación. 224 5. En Autenticación, desactive la casilla de verificación Acceso anónimo y, a continuación, haga clic en Usuarios para especificar un subconjunto de usuarios a los que desee conceder permisos de envío en este servidor virtual SMTP. 6. En Permisos para enviar y retransmitir, para quitar un grupo o un usuario, selecciónelo y haga clic en Quitar. 7. Para agregar un grupo o un usuario, haga clic en Agregar y seleccione el grupo o el usuario para el que desee especificar los permisos. Seleccione una de las siguientes opciones: En Windows Server 2003, en Seleccionar usuarios, equipos o grupos, en Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o del grupo. Si desea buscar el usuario o el grupo, haga clic en Opciones avanzadas, busque el nombre del grupo o del usuario y haga clic en Comprobar nombres para validar la entrada. Sugerencia: Haga clic en el vínculo ejemplos para ver los formatos admitidos para las entradas. En Windows 2000 Server, en Seleccionar usuarios, equipos o grupos, seleccione el grupo o usuario al que desee conceder permisos de envío y, a continuación, haga clic en Agregar. 8. Haga clic en Aceptar para volver al cuadro de diálogo Permisos para enviar y retransmitir. 9. En Nombres de grupos o usuarios, seleccione el grupo recién agregado. 10. En Permisos para <Grupo seleccionado>, junto a Permiso de envío, si es necesario, haga clic en Permitir para permitir que el usuario o el grupo seleccionado envíe correo a través de este servidor virtual SMTP. 11. Haga clic en Aceptar. Cómo restringir la retransmisión basándose en un grupo de seguridad Resulta de gran utilidad restringir las retransmisiones en servidores virtuales si desea permitir a un grupo de usuarios que retransmitan correo a Internet y denegar privilegios de retransmisión a un grupo diferente. 225 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Protección del servidor de Exchange. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para restringir la retransmisión basándose en un grupo de seguridad 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, el servidor que desee, Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP al que desee aplicar las restricciones de retransmisión y, a continuación, haga clic en Propiedades. 4. En Propiedades de <Servidor Virtual SMTP>, en la ficha Acceso, haga clic en Retransmisión. 5. En Restricciones de retransmisión, desactive la casilla de verificación Permitir la retransmisión a todos los equipos autenticados correctamente, independientemente de la lista anterior y, a continuación, haga clic en Usuarios para especificar un subconjunto de usuarios a los que desee conceder permisos de retransmisión en este servidor virtual SMTP. 6. En Permisos para Enviar y retransmitir, para quitar un usuario o un grupo, selecciónelo y haga clic en Quitar. 7. Para agregar un grupo o un usuario, haga clic en Agregar y seleccione el grupo o los usuarios para los que desee especificar los permisos. Seleccione una de las siguientes opciones: En Windows Server 2003, en Seleccione Usuarios, Equipos o Grupos, en Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o del grupo. Si desea buscar el usuario o el grupo, haga clic en Avanzadas, busque el nombre del grupo o del usuario y haga clic en Comprobar nombres para validar la entrada. Haga clic en el vínculo ejemplos para ver los formatos admitidos para las entradas. En Windows 2000 Server, en Seleccione los usuarios, equipos o grupos, 226 seleccione el grupo o usuario al que desee conceder permisos de envío y, a continuación, haga clic en Agregar. 8. Haga clic en Aceptar para volver al cuadro de diálogo Permisos para Enviar y retransmitir. 9. En la lista Nombres de grupos o usuarios, seleccione el grupo recién agregado. 10. En Permisos para <Grupo seleccionado>, junto a Permiso de envío, si es necesario, active la casilla de verificación Permitir para permitir al usuario o al grupo seleccionado el envío de correo a través de este servidor virtual SMTP. 11. Junto a Permiso de retransmisión, active la casilla de verificación situada bajo Permitir para permitir que el objeto seleccionado retransmita a través de este servidor virtual SMTP o active la casilla de verificación situada bajo Denegar para impedir que el objeto seleccionado retransmita a través de este servidor virtual. Nota: Debe habilitar Permiso de envío si desea habilitar Permiso de retransmisión. 12. Haga clic en Aceptar. Configuración del filtrado y control del correo no deseado El control del correo no deseado es un desafío, pero hay algunos métodos que puede utilizar para reducir este tipo de correo: Utilizar las características de filtrado de Exchange 2003. Microsoft® Exchange Server 2003 ofrece filtrado de la conexión, de destinatarios y de remitentes para reducir el volumen de correo no deseado que se envía a los usuarios de su organización. Educar a sus usuarios para que no respondan o reenvíen correo no deseado. Pida a sus usuarios que no hagan clic en ningún vínculo "quitar" incluido en el mensaje porque los vínculos suelen utilizarse para comprobar direcciones. En Exchange Server 2003 puede configurar y habilitar el filtrado en los servidores virtuales SMTP para restringir el acceso al servidor virtual. El filtrado se configura en el Administrador del sistema de Exchange, bajo Configuración global, en Propiedades de Entrega de mensajes. Aunque configure el filtrado de forma global, debe habilitarlo en cada servidor virtual individual. Utilice el filtrado de las maneras siguientes para bloquear los mensajes de correo electrónico entrantes enviados a su servidor virtual SMTP: 227 Filtrar conexión le permite bloquear los mensajes enviados a su organización según la dirección del Protocolo Internet (IP) del servidor SMTP de conexión. Puede configurar listas globales de aceptación para las direcciones IP cuyos mensajes desea aceptar siempre y listas globales de rechazo para las direcciones IP cuyos mensajes desea rechazar siempre. También puede suscribirse a un proveedor de listas de bloqueo y comprobar que la dirección IP de conexión no figura en su lista de direcciones IP bloqueadas. Nota: Si desea impedir que una determinada dirección IP envíe correo a sus servidores virtuales SMTP, puede agregar estas direcciones IP mediante el botón Conexión de la ficha Acceso en las propiedades del servidor virtual SMTP. Debe configurar estas restricciones en los servidores virtuales SMTP de puerta de enlace. Filtro de destinatarios le permite bloquear los mensajes enviados a la dirección de un destinatario específico dentro de su organización. Filtrado del remitente le permite bloquear los mensajes enviados por un remitente específico. Si su organización recibe repetidamente correo no deseado de las mismas direcciones de envío, puede bloquear estos remitentes para que no puedan enviar correo a su organización. Filtrado de la conexión Exchange Server 2003 admite el filtrado de la conexión basado en listas de bloqueo. El filtrado de la conexión aprovecha servicios externos que enumeran fuentes conocidas de correo no deseado, cuentas de usuario de acceso telefónico y servidores que tienen abierta la retransmisión (según las direcciones IP). El filtrado de la conexión complementa otros productos de filtrado de contenido de terceros. Esta característica permite comprobar una dirección IP entrante en una lista de un proveedor de listas de bloqueo según las categorías que desee filtrar. Además, es posible utilizar varios filtros de conexión y establecer prioridades en el orden en que se aplicará cada filtro. Mediante el filtrado de conexión, es posible realizar también lo siguiente: Configurar listas globales de aceptación y rechazo. Una lista global de aceptación es una lista de direcciones IP cuyo correo siempre se aceptará. Una lista global de rechazo es una lista de direcciones IP cuyo correo siempre se rechazará. Puede utilizar las listas globales de aceptación y de rechazo con o sin utilizar un proveedor de servicios de listas de bloqueo. Configurar la dirección de un destinatario como una excepción a todas las reglas de filtrado de la conexión. Cuando se envía correo a esta dirección, se acepta automáticamente, incluso aunque el remitente aparezca en una lista de bloqueo. 228 Funcionamiento de las reglas de filtrado de la conexión Cuando crea una regla de filtrado de la conexión, SMTP utiliza esta regla para realizar una consulta DNS en una lista proporcionada por un servicio de listas de bloqueo de terceros. El filtro de conexión compara las direcciones IP entrantes con las de la lista de bloqueo proporcionada por terceros. El proveedor de listas de bloqueo emite una de las dos respuestas siguientes: no se encuentra el host Indica que la dirección IP no se encuentra en su lista de bloqueo. 127.0.0.x Un código de estado de respuesta que indica que se ha encontrado una dirección IP coincidente en la lista de no admitidos. El valor x puede variar dependiendo del proveedor de listas de bloqueo. Si la dirección IP entrante se encuentra en la lista de bloqueo, SMTP devuelve un error 5.x.x como respuesta al comando RCPT TO. (El comando RCPT TO es el comando SMTP que emite el servidor de conexión para identificar al destinatario del mensaje). Es posible personalizar la respuesta que se devuelve al remitente. Además, como los proveedores de listas de bloqueo normalmente incluyen distintas categorías, puede especificar los casos que desee rechazar. La mayoría de los proveedores de listas de bloqueo distinguen entre tres categorías diferentes de infractores: Fuentes de correo no deseado Estas listas se generan mediante la exploración de mensajes de correo comercial no solicitado y la incorporación de sus direcciones de origen a las listas. Servidores que se sabe que tienen abierta la retransmisión Para crear estas listas se identifican los servidores SMTP con retransmisión abierta en Internet. La causa más común para la existencia de un servidor con retransmisión abierta es un error de configuración cometido por el administrador del sistema. Listas de usuarios de acceso telefónico Estas listas se crean a partir de otras ya existentes de los proveedores de servicios Internet (ISP) que incluyen las direcciones IP con acceso telefónico, o a partir de la inspección de direcciones que indican una posible conexión telefónica. Cómo buscan los proveedores de listas de bloqueo las direcciones IP infractoras Después de configurar el filtro de la conexión, cuando se envía un mensaje de correo electrónico a su organización, Exchange se pone en contacto con el proveedor de listas de bloqueo. El proveedor comprueba si existe un registro A (host) en su DNS. Exchange solicita esta información en un formato específico. Por ejemplo, si la dirección de conexión es 192.168.5.1 y la organización del proveedor de listas de bloqueo es contoso.org, Exchange consulta la existencia del registro siguiente: 229 <reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x que, en este caso, es: 1.5.168.192..contoso.org Si esta dirección IP se encuentra en la lista del proveedor, éste devuelve un código de estado 127.0.0.x que indica la existencia de una dirección IP infractora y el tipo de infracción cometida. Todos los proveedores de listas de bloqueo devuelven un código de respuesta 127.0.0.x, donde la x indica el tipo de infracción. El valor x varía dependiendo del proveedor de listas de bloqueo. Descripción de los códigos de respuesta del proveedor de listas de bloqueo Como se mencionó anteriormente, si un proveedor de listas de bloqueo encuentra una coincidencia, el proveedor siempre devuelve un código de estado de 127.0.0.x. El código de estado puede ser un código devuelto explícito o una máscara de bits, que es un código devuelto multifuncional. Si el proveedor de listas de bloqueo devuelve un valor, puede especificar los valores que se desean tener en cuenta para realizar el filtrado. Sin embargo, si el proveedor de listas de bloqueo devuelve una máscara de bits, es necesario conocer el funcionamiento de una máscara de bits para poder especificar las coincidencias que se desean filtrar. Una máscara de bits es un método utilizado para comprobar que se ha establecido un bit concreto para una entrada. Una máscara de bits se diferencia de una máscara tradicional en que comprueba un valor de bit específico, al contrario que una máscara de subred, que comprueba un intervalo de valores. Veamos el ejemplo siguiente. Para cada coincidencia encontrada en su lista de bloqueo, suponga que el proveedor de listas de bloqueo devuelve los códigos de estado que se muestran en la siguiente tabla. Ejemplos de códigos de estado de la lista de bloqueo Categoría Código de estado devuelto Fuente conocida de correo no deseado 127.0.0.3 Cuenta de usuario de acceso telefónico 127.0.0.2 Servidor de retransmisión conocido 127.0.0.4 Sin embargo, si una dirección IP está incluida en dos listas, el proveedor de listas de bloqueo agrega los valores del último octeto. Por tanto, si una dirección IP se encuentra en la lista de servidores de retransmisión conocidos y de fuentes conocidas de correo no deseado, el 230 proveedor de listas de bloqueo devuelve un código de estado de 127.0.0.7, donde 7 representa los valores combinados del último octeto devuelto para las fuentes conocidas de correo comercial no solicitado y el código de estado de los servidores de retransmisión conocidos. Si desea filtrar teniendo en cuenta sólo las fuentes conocidas de correo comercial no solicitado, introduzca un valor de máscara de bits de 0.0.0.3; la lista de bloqueo realizará el filtrado en relación a cualquiera de los posibles valores que, en este caso, son 127.0.0.3, 127.0.0.5, 127.0.0.7 y 127.0.0.9. En la siguiente tabla se enumeran los valores de máscara de bits asociados a cada uno de los ejemplos de códigos de estado. Ejemplos de códigos de estado de la lista de bloqueo y los valores correspondientes de máscara de bits Categoría Código de estado devuelto Valor de la máscara de bits Fuente conocida de correo no deseado 127.0.0.3 0.0.0.3 Cuenta de usuario de acceso telefónico 127.0.0.2 0.0.0.2 Servidor de retransmisión conocido 127.0.0.4 0.0.0.4 Servidor de retransmisión conocido y cuenta de usuario de acceso telefónico 127.0.0.6 0.0.0.6 En la última categoría de esta tabla ("Servidor de retransmisión conocido y cuenta de usuario de acceso telefónico"), la máscara de bits 0.0.0.6 devuelve una coincidencia para una dirección IP sólo si aparece a la vez en las listas de cuentas de usuario de acceso telefónico y de servidores de retransmisión conocidos. No devuelve ninguna coincidencia si la dirección IP sólo aparece en una de las dos listas. No puede utilizar una máscara de bits para comprobar una única coincidencia en varias listas. Nota: Una máscara se comprueba sólo con respecto a un único valor. Si establece un valor de máscara de bits que se devuelve cuando una dirección IP aparece en dos listas, la máscara sólo coincidirá con las direcciones IP que aparezcan en ambas listas. Si desea comprobar una dirección IP en cualquiera de las dos listas, introduzca los códigos de estado para estas configuraciones. 231 Especificación de excepciones para la regla de filtrado de la conexión Es posible permitir la entrega de mensajes a destinatarios concretos, independientemente de que aparezcan o no en la lista de bloqueo. Esta excepción es útil si desea permitir que organizaciones legítimas se comuniquen con sus administradores poniéndose en contacto con la cuenta del administrador de correo. Por ejemplo, si una compañía legítima ha configurado sin percatarse de ello un servidor para permitir la retransmisión abierta, se bloquearán los mensajes de correo electrónico enviados por esta compañía a cualquiera de sus usuarios. Sin embargo, si ha configurado el filtrado de la conexión para permitir la entrega de mensajes en la cuenta del administrador de correo de su organización, el administrador de la compañía bloqueada puede enviar correo al administrador de correo de su organización para comunicar su situación o preguntar por qué se rechazó su correo. Habilitación del filtrado de la conexión Para habilitar el filtrado de la conexión, siga estos pasos: 1. Cree el filtro de conexión mediante la ficha Filtrar conexión del cuadro de diálogo Propiedades de Entrega de mensajes. Para obtener instrucciones detalladas, consulte Cómo crear una filtro de destinatarios. 2. Aplique el filtro en el nivel del servidor virtual SMTP. Para obtener instrucciones detalladas, consulte Cómo aplicar un filtro de destinatarios a un servidor virtual SMTP. Cada uno de estos pasos se detalla en las próximas secciones. Configurar el filtrado de la conexión Para configurar el filtrado de la conexión, realice las tareas siguientes: Cree listas globales de aceptación y rechazo. Cree las reglas de filtrado de la conexión. Cree excepciones para las reglas de filtrado de la conexión. Para obtener instrucciones detalladas sobre cómo crear listas globales de aceptación y rechazo, consulte los temas siguientes: Cómo crear una lista global de aceptación Cómo crear una lista global de rechazo Para obtener instrucciones detalladas sobre cómo crear excepciones para las reglas de filtrado de la conexión, consulte el tema siguiente: Cómo crear un filtro de conexión Cómo especificar una excepción a una regla de conexión 232 Aplicar el filtro de conexión a los servidores virtuales SMTP adecuados Después de crear el filtro de conexión y cualquier excepción al mismo, debe aplicarlo a los servidores virtuales SMTP adecuados. Normalmente, el filtro de conexión se aplica a los servidores virtuales SMTP que existen en los servidores de puerta de enlace que aceptan mensajes de correo entrantes de Internet. El procedimiento siguiente permite aplicar un filtro de conexión a un servidor virtual SMTP. Para obtener instrucciones detalladas, consulte Cómo aplicar un filtro de conexión a un servidor virtual SMTP. Filtrado de destinatarios Con el filtrado de destinatarios puede filtrar los mensajes que se envían a destinatarios inexistentes en su organización o puede agregar determinadas direcciones de destinatarios que suelen ser objetivo de los creadores de correo no deseado. Habilitación del filtrado de destinatarios Para habilitar el filtrado de destinatarios, siga los pasos siguientes: 1. Cree el filtro de destinatarios mediante la ficha Filtro de destinatarios del cuadro de diálogo Propiedades de Entrega de mensajes. 2. Aplique el filtro en el nivel del servidor virtual SMTP. Cada uno de estos pasos se detalla en las próximas secciones. Filtrado de remitentes El filtrado de remitentes funciona de la misma forma en Exchange Server 2003 que en Exchange 2000 Server; le permite filtrar los mensajes enviados por un remitente determinado. Puede bloquear los mensajes enviados por cualquier usuario de un dominio o por un remitente específico. Habilitación del filtrado de remitentes Para habilitar el filtrado de remitentes, siga los pasos siguientes: 1. Cree el filtro de remitentes mediante la ficha Filtrado del remitente del cuadro de diálogo Propiedades de Entrega de mensajes, en Configuración global. 2. Aplique el filtro en el nivel del servidor virtual SMTP. 233 Descripción de cómo se aplican las restricciones de IP y los filtros habilitados Exchange 2003 acepta los siguientes filtros y restricciones de IP: Filtrado de la conexión Filtrado de destinatarios Filtrado de remitentes Restricciones de IP según un servidor virtual Aunque los filtrados de la conexión, de destinatarios y de remitentes se configuran todos en Propiedades de Entrega de mensajes, es necesario habilitarlos en los servidores virtuales SMTP individuales. Por el contrario, las restricciones de IP se configuran directamente en cada servidor virtual SMTP. En esta sección se muestra el orden en que se comprueban las restricciones de IP y los filtros durante una sesión SMTP, una vez que se han configurado y habilitado. 1. Un cliente SMTP intenta conectarse al servidor virtual SMTP. 2. La dirección IP del cliente de conexión se comprueba con las restricciones de IP del servidor virtual SMTP (configurado en el botón Conexión en la ficha Acceso de Propiedades del servidor virtual SMTP): Si la dirección IP de conexión se encuentra en la lista de IP restringidas, la conexión se cancela inmediatamente. Si la dirección IP de conexión no se encuentra en la lista de IP restringidas, se acepta la conexión. 3. El cliente SMTP emite un comando EHLO o HELO. 4. El cliente SMTP emite un comando MAIL FROM: similar al siguiente: MAIL FROM: [email protected] 5. La dirección IP del cliente SMTP se comprueba en la lista global de aceptación (configurada en el Administrador del sistema de Exchange, en la ficha Filtrar conexión del cuadro de diálogo Propiedades de Entrega de mensajes). Si la dirección IP de conexión se encuentra en la lista global de aceptación, no se comprobará la lista global de rechazo. El proceso omite el paso 6 y continúa en el paso 7. Si la dirección IP de conexión no se encuentra en la lista global de aceptación, se realizarán los pasos 6 y 7. 6. La dirección IP del cliente SMTP se comprueba en la lista global de rechazo (configurada en el Administrador del sistema de Exchange, en la ficha Filtrar conexión del cuadro de diálogo Propiedades de Entrega de mensajes). 234 Si la dirección IP del cliente SMTP se encuentra en la lista global de rechazo, se cancelará la conexión. Si la dirección IP del cliente SMTP no se encuentra en la lista global de rechazo, la sesión continuará. 7. El filtrado del remitente comprueba el remitente especificado en el comando MAIL FROM con su lista de remitentes bloqueados (configurada en el Administrador del sistema de Exchange, en la ficha Filtrado del remitente del cuadro de diálogo Propiedades de Entrega de mensajes). Si el remitente aparece en la lista de remitentes bloqueados, se realizará una de las dos acciones siguientes, dependiendo de la configuración del filtrado de remitentes: - Si el filtrado del remitente se ha configurado para cancelar la conexión, ésta se cancelará. - Si el filtrado del remitente se ha configurado para aceptar mensajes sin notificar al remitente, la sesión continuará; sin embargo, el correo se envía al directorio Badmail y no se entrega a su destinatario. Si el remitente no aparece en la lista de filtrado de remitentes, el servidor virtual SMTP emite una respuesta similar a la siguiente: 250 2.1.0 [email protected] OK 8. El servidor SMTP de conexión emite un comando RCPT TO similar al siguiente: RCPT TO: [email protected] 9. Las reglas de filtrado de la conexión comprueban la dirección IP de conexión con las listas de bloqueo suministradas por los proveedores de servicios de listas de bloqueo. Si la dirección IP del cliente SMTP está incluida en la lista de aceptación, no se tendrán en cuenta las reglas del filtro de conexión. El proceso continúa en el paso 10. El filtrado de la conexión comprueba la lista de bloqueo de cada proveedor de servicios en el orden que se haya configurado. Si el filtrado de la conexión encuentra una coincidencia en la lista de bloqueo de un proveedor, el servidor virtual SMTP devolverá un código de error y enviará el mensaje de error personalizado que se haya configurado para la regla de filtrado de la conexión. Si se encuentra una coincidencia, no se comprobará ninguna otra lista de los proveedores de servicios. Si la dirección IP del cliente SMTP no se encuentra en la lista de bloqueo del proveedor de servicios de listas de bloqueo, la sesión continuará. 10. El filtrado de la conexión comprueba si el destinatario se encuentra en la lista de excepción del filtro de la conexión. 235 Si el destinatario está en esta lista, se acepta la comunicación y no se aplica ninguna otra comprobación en el comando RCPT TO. El proceso omite los pasos 11 y 12, y continúa en el paso 13. Si el destinatario no aparece en la lista de excepción, se comprobará el destinatario con otros filtros. 11. Si el destinatario no aparece en la lista de excepción configurada en el filtro de la conexión, el destinatario se comprueba con todos los destinatarios bloqueados que se hayan configurado en el filtrado de destinatarios. Si se trata de un destinatario bloqueado, el servidor virtual SMTP devolverá un error de destinatario no válido. Si no se trata de un destinatario bloqueado, la sesión continuará. 12. Si el destinatario no es un destinatario bloqueado, se comprobará Active Directory para asegurarse de que dicho destinatario existe en Active Directory. Si el destinatario no es un destinatario válido que exista en Active Directory, el servidor virtual SMTP devolverá un error de destinatario no válido. Si se trata de un destinatario válido que existe en Active Directory, la sesión continuará. 13. Los pasos 10 al 12 se aplican a cada uno de los destinatarios adicionales especificados en un comando RCPT TO. 14. El servidor de conexión emite entonces un comando DATA similar al siguiente: DATA Para: Kim Akers De: [email protected]<Ted Bremer> Asunto: Mensaje de correo 15. A continuación, el filtrado de remitentes comprueba que la dirección De no coincida con un remitente bloqueado. Si el remitente especificado en el comando DATA es un remitente bloqueado, se producirá una de las dos acciones siguientes: - Si el filtrado del remitente se ha configurado para cancelar la conexión, el servidor virtual SMTP devolverá un error 5.1.0 de "acceso denegado al remitente" y cancelará la conexión. - Si el filtrado del remitente se ha configurado para aceptar mensajes sin notificar al remitente, la sesión continuará; sin embargo, el correo se envía al directorio Badmail y no se entrega a su destinatario. Si el remitente especificado en el comando DATA no es un remitente bloqueado, se aceptará el mensaje y se podrá en cola para su entrega. 236 Identificación de correo falsificado Puede educar a sus usuarios sobre la forma de identificar el correo falsificado. A diferencia de Exchange 2000, en su configuración predeterminada Exchange 2003 no resuelve los mensajes de correo anónimos en sus nombres para mostrar. Por tanto, cuando se envía correo desde una dirección falsa, Exchange 2003 no resuelve la dirección de correo electrónico del remitente en su nombre para mostrar que figura en la lista global de direcciones. Para comprender cómo impide Exchange 2003 la falsificación, suponga que tiene un usuario interno llamado Ted Bremer y que envía correo internamente desde su dominio ejemplo.com. El mensaje de correo muestra su dirección de envío como Ted Bremer, que es el nombre para mostrar configurado en Active Directory para [email protected]. (Esto se debe a que cuando Ted Bremer envía correo, es un usuario autenticado). Exchange comprueba entonces que Ted Bremer tiene permisos "enviar como" según sus credenciales y resuelve su dirección de correo electrónico a su nombre para mostrar de Active Directory. La falsificación se produce cuando un usuario no autorizado se hace pasar por Ted falsificando esta dirección y envía correo a otro usuario de su dominio. Exchange 2003 no resuelve las direcciones de correo electrónico que se originan externamente Por tanto, cuando un usuario anónimo intenta enviar correo falsificando la identidad de Ted, Exchange no resuelve la dirección de envío que figura en la línea De a su nombre para mostrar. En su lugar, en la línea De del mensaje de correo aparecerá [email protected]. Si sus usuarios entienden esta diferencia, podrán al menos identificar el correo falsificado. Sin embargo, los servidores de Exchange 2000 resuelven el correo anónimo de manera predeterminada. Si su organización contiene servidores de Exchange 2000, y resuelven un mensaje de correo anónimo y lo envían a un servidor de Exchange 2003, la dirección se resolverá en su nombre para mostrar que figura en la GAL. Para impedirlo, configure los servidores de Exchange 2000 para que no resuelvan el correo anónimo. Para obtener instrucciones detalladas, consulte Cómo comprobar que Exchage 2003 está configurado para que no resuelva correo anónimo y Cómo configurar Exchange 2000 para que no resuelva direcciones de correo electrónico externas. Cómo crear una lista global de aceptación El filtrado de la conexión le permite crear listas globales de aceptación. Puede utilizar estas listas para aceptar siempre el correo enviado desde determinadas direcciones IP, independientemente de que utilice o no un proveedor de servicios de listas de bloqueo. Cualquier dirección IP que aparezca en la lista global de aceptación se aceptará automáticamente y se pasará por alto cualquier regla de filtrado de la conexión. 237 Las entradas de la lista global de aceptación predominan sobre las de la lista global de rechazo. Exchange Server comprueba la lista global de aceptación antes que la de rechazo. Por tanto, si desea rechazar conexiones de una máscara y subred concreta, pero desea aceptar conexiones de una única dirección IP incluida en este intervalo, escriba la dirección IP desde la que desea aceptar las conexiones en la lista global de aceptación. Cuando la dirección IP de conexión que agregó a la lista global de aceptación intenta conectarse al servidor de Exchange, Exchange Server comprueba la lista global de aceptación en primer lugar. Como Exchange Server busca una coincidencia para esta dirección IP, se acepta la conexión y Exchange Server no realiza comprobaciones de filtrado de la conexión adicionales. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Configuración del filtrado y control del correo no deseado. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para crear una lista de aceptación global 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Configuración global, haga clic con el botón secundario del mouse (ratón) en Entrega de mensajes y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Filtrado de la conexión. 4. Haga clic en Aceptar. Aparecerá el cuadro de diálogo Lista de aceptación. Cuadro de diálogo Lista de aceptación 238 5. Haga clic en Agregar. 6. En Dirección IP (máscara), seleccione una de las siguientes opciones: Haga clic en Dirección IP única para agregar una única dirección IP a la lista global de aceptación para esta regla de filtrado de la conexión. Haga clic en Grupode direcciones IP para agregar una máscara y una dirección de subred a la lista global de aceptación. 7. Haga clic en Aceptar. Cómo crear una lista global de rechazo El filtrado de la conexión le permite crear listas globales de rechazo. Puede utilizar estas listas para rechazar siempre el correo enviado desde determinadas direcciones IP, independientemente de que utilice o no un proveedor de servicios de listas de bloqueo. 239 Cualquier dirección IP que aparezca en la lista global de rechazo se rechazará automáticamente. Las entradas de la lista global de aceptación predominan sobre las de la lista global de rechazo. Exchange Server comprueba la lista global de aceptación antes que la de rechazo. Por tanto, si desea rechazar conexiones de una máscara y subred concreta, pero desea aceptar conexiones de una única dirección IP incluida en este intervalo, escriba la subred y la máscara para el intervalo de direcciones IP del que desea rechazar las conexiones en la lista global de rechazo. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Configuración del filtrado y control del correo no deseado y Cómo crear una lista global de aceptación. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para crear una lista de rechazo global 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Configuración global, haga clic con el botón secundario del mouse (ratón) en Entrega de mensajes y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Filtrado de la conexión. 4. Haga clic en Denegar. Aparecerá el cuadro de diálogo Lista de rechazo. Cuadro de diálogo Lista de rechazo 240 5. Haga clic en Agregar. 6. En Dirección IP (máscara), seleccione una de las siguientes opciones: Haga clic en Dirección IP única para agregar una única dirección IP a la lista global de rechazo para esta regla de filtrado de la conexión. Haga clic en Grupode direcciones IP para agregar una máscara y una dirección de subred a la lista global de rechazo. 7. Haga clic en Aceptar. Cómo crear un filtro de conexión Utilice el procedimiento siguiente para crear una regla de filtrado de la conexión y las excepciones que desee configurar para esta regla. 241 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Configuración del filtrado y control del correo no deseado. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para crear un filtro de conexión 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Configuración global, haga clic con el botón secundario del mouse (ratón) en Entrega de mensajes y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Filtrado de la conexión. Ficha Filtrado de la conexión del cuadro de diálogo Propiedades de Entrega de mensajes 242 4. Para crear una regla de filtrado de la conexión, haga clic en Agregar. Aparecerá el cuadro de diálogo Regla de filtrado de la conexión. Cuadro de diálogo Regla de filtrado de la conexión. 243 5. En el cuadro Mostrar nombre, escriba un nombre para el filtrado de la conexión. 6. En el cuadro Sufijo DNS del proveedor, escriba el sufijo DNS que el proveedor anexa a la dirección IP. 7. En el cuadro Mensaje de error personalizado que se devolverá (se utilizará el mensaje de error predeterminado si éste está en blanco), si lo desea, escriba el mensaje de error personalizado que se devolverá al remitente. Para utilizar el mensaje de error predeterminado, deje este cuadro en blanco. <Dirección IP> ha sido bloqueada por <Nombre de la regla de filtrado de la conexión> Para generar un mensaje personalizado, puede utilizar las variables siguientes: %0: dirección IP de conexión %1: nombre de la regla de filtrado de la conexión %2: el nombre del proveedor de listas de bloqueo Por ejemplo, si desea que el mensaje personalizado sea: La dirección IP <Dirección IP> ha sido bloqueada por el proveedor de la lista de bloqueo siguiente <nombre del proveedor de la lista de bloqueo>. escriba lo siguiente en el mensaje de error personalizado: 244 La dirección IP %0 ha sido bloqueada por el proveedor de listas de bloqueo %2. Exchange sustituye %0 por la dirección IP de conexión y %2 por el proveedor de listas de bloqueo. Nota: Si desea incluir un signo de porcentaje (%) en su mensaje de error, debe escribir dos veces el signo de porcentaje (%%). 8. Para configurar los códigos de estado de devolución recibidos del proveedor de listas de bloqueo que desea que se utilice en el filtrado de la conexión, haga clic en Código de estado devuelto. Aparecerá el cuadro de diálogo Código de estado devuelto. Cuadro de diálogo Código de estado devuelto 9. Seleccione una de las siguientes opciones: Haga clic en Hacer coincidir la regla del filtro con cualquier código de retorno (esta regla del filtro de conexión coincidirá con cualquier código de estado devuelto recibido del servicio del proveedor) para establecer 245 cualquier estado de devolución como el valor predeterminado que coincida con el filtro de conexión. Haga clic en Hacer coincidir la regla de filtrado con la máscara siguiente(esta regla del filtro de conexión coincidirá con los códigos de estado devueltos recibidos del servicio del proveedor utilizando una máscara para su interpretación) y escriba la máscara que desee filtrar en relación a las máscaras utilizadas por los proveedores. Nota: Una máscara se comprueba sólo con respecto a un único valor. Si establece un valor de máscara de bits que se devuelve cuando una dirección IP aparece en dos listas, la máscara sólo coincidirá con las direcciones IP que aparezcan en ambas listas. Si desea comprobar una dirección IP en cualquiera de las dos listas, introduzca los códigos de estado para estas configuraciones. Haga clic en Hacer coincidir la regla del filtro con cualquiera de las respuestas siguientes (esta regla del filtro de conexión coincidirá con los códigos de estado devueltos recibidos del servicio del proveedor utilizando los valores específicos de los códigos de estado devueltos que se indican a continuación). Haga clic en Agregar y, en Código de estado devuelto, escriba el código de estado que desee hacer coincidir. Para cada código de estado adicional, haga clic en Agregar, escriba el código y haga clic en Aceptar. 10. Haga clic en Aceptar. Cómo comprobar que Exchage 2003 está configurado para que no resuelva correo anónimo Los servidores de Exchange 2000 resuelven el correo anónimo de manera predeterminada. Si su organización contiene servidores de Exchange 2000, y resuelven un mensaje de correo anónimo y lo envían a un servidor de Exchange 2003, la dirección se resolverá en su nombre para mostrar que figura en la libreta de direcciones global (GAL). Para impedirlo, configure los servidores de Exchange 2000 para que no resuelvan el correo anónimo. Nota: La modificación incorrecta del Registro puede ocasionar problemas graves que quizás requieran volver a instalar el sistema operativo. Es posible que los problemas 246 derivados de una modificación incorrecta del Registro no se puedan resolver. Antes de modificar el Registro, se recomienda realizar una copia de seguridad de todos los datos importantes. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Configuración del filtrado y control del correo no deseado. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para comprobar que el servidor de Exchange 2003 está configurado para no resolver el correo anónimo 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, <Nombre del servidor cabeza de puente>, Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP que desee y, a continuación, haga clic en Propiedades. 4. En la ficha Acceso, haga clic en Autenticación. 5. En Autenticación, bajo Acceso anónimo, compruebe que la casilla de verificación Resolver correo electrónico anónimo está desactivada. Nota: Recuerde que si este servidor es un servidor virtual SMTP interno, también puede desactivar la casilla de verificación Acceso anónimo. Para obtener más información acerca del acceso anónimo en un servidor virtual SMTP interno, consulte "Impedir el acceso anónimo en los servidores virtuales SMTP internos y dedicados para clientes IMAP y POP" en Protección del servidor de Exchange. 247 Cómo configurar Exchange 2000 para que no resuelva direcciones de correo electrónico externas Exchange Server 2003 no resuelve las direcciones de correo electrónico que se originan externamente Por tanto, cuando un usuario anónimo intenta enviar correo falsificando la identidad de un usuario, Exchange Server no resuelve la dirección de envío que figura en la línea De a su nombre para mostrar. En su lugar, en el caso de un usuario que se llame Ted, en la línea De del mensaje de correo aparecerá [email protected]. Si sus usuarios entienden esta diferencia, podrán al menos identificar el correo falsificado. Antes de empezar Tenga cuidado cuando seleccione los servidores en los que desea habilitar esta opción. Si cambia el comportamiento del servidor virtual SMTP predeterminado y hay varios servidores en la organización, todo el correo interno cuyo origen esté en otros servidores de Exchange 2000 también se verá afectado. Por tanto, como Exchange 2000 Server utiliza SMTP para enrutar el correo interno entre los servidores, quizás desee crear un nuevo servidor virtual SMTP o quizás desee aplicar esta opción sólo a un servidor cabeza de puente SMTP entrante. Antes de realizar el procedimiento descrito en este tema, lea Configuración del filtrado y control del correo no deseado y Cómo comprobar que Exchage 2003 está configurado para que no resuelva correo anónimo. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para configurar Exchange 2000 Server para que no resuelva las direcciones de correo electrónico que se originen externamente 1. Inicie el Editor del Registro: Haga clic en Inicio, haga clic en Ejecutar, escriba regedt32 y, a continuación, haga clic en Aceptar. 2. Busque o cree la siguiente clave del Registro (donde 1 es el número del servidor virtual SMTP): HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ MsExchangeTransport/Parameters/1 248 Nota: Quizás tenga que crear tanto la clave Parameters como la clave 1. 3. En el menú Edición, haga clic en Agregar valor y agregue el siguiente valor del Registro: Value name: ResolveP2 Data type: REG_DWORD 4. Utilice los indicadores siguientes para determinar qué valor debe utilizar: Field ----------FROM: TO: and CC: REPLY TO: Value ----2 16 32 Para determinar el valor que desea utilizar, sume los valores correspondientes a todos los elementos que desee resolver. Por ejemplo, para resolver todos los campos excepto el del remitente, escriba 48 (16+32=48). Para resolver únicamente los destinatarios, escriba solamente 16. De forma predeterminada, Exchange 2000 Server resuelve todos los elementos. Puede especificar este comportamiento si quita la clave o si establece el valor con esta fórmula: 2+16+32=50. 5. Salga del Editor del Registro. 6. Reinicie el servidor virtual SMTP. Cómo crear una filtro de destinatarios El procedimiento siguiente permite crear un filtro de destinatarios. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Configuración del filtrado y control del correo no deseado. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo 249 Procedimiento Para crear un filtro de destinatarios 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Configuración global, haga clic con el botón secundario del mouse (ratón) en Entrega de mensajes y, a continuación, haga clic en Propiedades. 3. En Propiedades de Entrega de mensajes, haga clic en la ficha Filtro de destinatarios. Ficha Filtro de destinatarios del cuadro de diálogo Propiedades de Entrega de mensajes 4. Para agregar la dirección de un destinatario concreto, haga clic en Agregar y, a 250 continuación, en Agregar destinatario, escriba la dirección del destinatario y haga clic en Aceptar. La dirección del destinatario debe cumplir los requisitos siguientes: La dirección del destinatario debe contener el símbolo @. Los nombres para mostrar deben aparecer entrecomillados con el símbolo @ inmediatamente después. Asegúrese de que no haya espacios en blanco entre las comillas y el símbolo @. Por ejemplo, si desea filtrar el correo para un destinatario con el nombre para mostrar Ted Bremer en el dominio contoso.com, deberá escribir: "Ted Bremer"@contoso.com Utilice un asterisco (*) para denotar todos los miembros de un dominio o simplemente escriba @dominio. Por ejemplo, para filtrar el correo enviado a todos los usuarios cuyo sufijo de dominio es contoso.com, escriba una de estas dos posibilidades: *@contoso.com @contoso.com 5. Para filtrar el correo enviado a usuarios que no existen en el servicio de directorio Microsoft® Active Directory®, active la casilla de verificación Filtrar los destinatarios que no están en el directorio. Nota: La activación de la casilla de verificación Filtrar los destinatarios que no están en el directorio puede permitir que remitentes potencialmente malintencionados descubran direcciones de correo válidas en su organización de Exchange Server. Cómo aplicar un filtro de destinatarios a un servidor virtual SMTP Después de crear el filtro de destinatarios, debe aplicarlo a los servidores virtuales SMTP adecuados. Normalmente, el filtro de destinatarios se aplica en los servidores virtuales SMTP que existen en los servidores de puerta de enlace que aceptan correo entrante de Internet. El procedimiento siguiente permite aplicar un filtro de destinatarios a un servidor virtual SMTP. 251 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Configuración del filtrado y control del correo no deseado y Cómo crear una filtro de destinatarios. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para aplicar un filtro de destinatarios a un servidor virtual SMTP 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, el servidor que desee, Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP al que desee aplicar el filtro y, a continuación, haga clic en Propiedades. 4. En Propiedades de <Servidor virtual SMTP>, en la ficha General, haga clic en Avanzadas. 5. En Opciones avanzadas, seleccione la dirección IP para la que desea aplicar el filtro y, después, haga clic en Modificar. 6. En Identificación, active la casilla de verificación Aplicar filtro de destinatario para aplicar el filtro definido previamente. Cuadro de diálogo Identificación 252 7. Si tiene varios servidores virtuales, repita los pasos 3 a 6 para cada servidor virtual al que desee aplicar el filtro. Cómo especificar una excepción a una regla de conexión Es posible crear excepciones a la regla de filtrado de la conexión. En concreto, puede permitir la entrega de mensajes a destinatarios específicos (por ejemplo, al administrador de correo), independientemente de que la dirección IP de conexión esté incluida o no en una lista de bloqueo. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Configuración del filtrado y control del correo no deseado. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo 253 Procedimiento Para especificar una excepción a una regla de conexión 1. En Propiedades de Entrega de mensajes, en la ficha Filtrar conexión, haga clic en Excepción. Aparecerá el cuadro de diálogo Configuración de servicio de lista de bloqueo. Cuadro de diálogo Configuración de servicio de lista de bloqueo 2. Haga clic en Agregar. 3. En Agregar destinatario, escriba la dirección SMTP del destinatario para el que desea aceptar todos los mensajes, independientemente de que la dirección IP de conexión aparezca o no en una lista de bloqueo. 4. Haga clic en Aceptar dos veces. 254 Cómo aplicar un filtro de conexión a un servidor virtual SMTP Después de crear el filtro de conexión y cualquier excepción al mismo, debe aplicarlo a los servidores virtuales SMTP adecuados. Normalmente, el filtro de conexión se aplica a los servidores virtuales SMTP que existen en los servidores de puerta de enlace que aceptan mensajes de correo entrantes de Internet. El procedimiento siguiente permite aplicar un filtro de conexión a un servidor virtual SMTP. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Configuración del filtrado y control del correo no deseado. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para aplicar un filtro de conexión a un servidor virtual SMTP 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de consola, expanda Servidores, el servidor que desee, Protocolos y, a continuación, SMTP. 3. Haga clic con el botón secundario del mouse (ratón) en el servidor virtual SMTP al que desee aplicar el filtro y, a continuación, haga clic en Propiedades. 4. En Propiedades de <Servidor virtual SMTP>, en la ficha General, haga clic en Avanzadas. 5. En Opciones avanzadas, seleccione la dirección IP para la que desea aplicar el filtro y, después, haga clic en Modificar. 6. En Identificación, active la casilla de verificación Aplicar filtro de conexión para aplicar el filtro definido previamente. Cuadro de diálogo Identificación 255 7. Si tiene varios servidores virtuales, repita los pasos 3 a 6 para cada servidor virtual al que desee aplicar el filtro. Parte 4 La parte 4 se centra en las técnicas para la solución de problemas que puede utilizar para identificar y resolver los problemas de transporte. También se presentan algunas situaciones frecuentes que pueden ocasionar problemas en el flujo de mensajes y se ilustran formas de corregir estas situaciones. Solución de problemas de enrutamiento Esta sección contiene información acerca de cómo utilizar la herramienta WinRoute para solucionar problemas de enrutamiento en un entorno de mensajería con Microsoft® Exchange 2000 Server y Exchange Server 2003. Solución de problemas del flujo de correo y SMTP En esta sección se explican muchos problemas frecuentes del flujo de correo. Además, contiene información acerca de cómo utilizar diversas herramientas y cómo configurar el registro de diagnóstico. Solución de problemas de mensajes de informes de no entrega Este sección ofrece estrategias que puede seguir y herramientas que puede utilizar para intentar resolver problemas relacionados con los informes de no entrega. Los NDR son un tipo de notificación del estado de entrega. 256 Solución de problemas de enrutamiento En este tema se explican algunas situaciones frecuentes que pueden interrumpir el enrutamiento en su organización de Microsoft® Exchange. Entre los temas tratados se incluyen: Uso de WinRoute En esta sección se explica el valor de la herramienta WinRoute a la hora de solucionar problemas de enrutamiento. Problemas frecuentes del estado de los vínculos En esta sección se explican los problemas que crean las desconexiones entre grupos de enrutamiento, los conflictos en el maestro del grupo de enrutamiento, los grupos de enrutamiento eliminados, los conectores que no están marcados como disponibles y las conexiones oscilantes, y se explica cómo resolver estas situaciones. Propagación de estado de vínculos rotos En esta sección se explican los problemas que se producen cuando cambia el servidor cabeza de puente de un grupo de enrutamiento de un servidor de Exchange Server versión 5.5 a un servidor cabeza de puente de Exchange 2000 Server o Exchange Server 2003 y, a continuación, vuelve a cambiar el servidor cabeza de puente a un servidor de Exchange 5.5. Uso de WinRoute WinRoute es una herramienta de Exchange 2003 que se utiliza para determinar la topología de enrutamiento y la información de enrutamiento del estado de los vínculos que conoce el maestro de enrutamiento. Esta herramienta debe ser el primer paso para solucionar problemas de enrutamiento en un entorno de mensajería de Exchange 2000 y Exchange 2003. La herramienta se conecta al puerto de estado de los vínculos, el puerto TCP 691, de un servidor de Exchange 2000 o Exchange 2003 y extrae la información de estado de los vínculos para una organización. La información es una serie de GUID que WinRoute hace coincidir con objetos del servicio de directorio Microsoft Active Directory®, conectores y servidores cabeza de puente, y se presenta en un formato legible. Nota: La herramienta WinRoute y la documentación de usuario están disponibles en el sitio Web Descargas para Exchange Server 2003. Se recomienda que descargue y utilice esta herramienta en todos los servidores de Exchange 2000 y Exchange 2003 de su organización. Utilice esta herramienta en lugar de la herramienta WinRoute incluida con Exchange 2000. 257 Problemas frecuentes del estado de los vínculos Dentro de un grupo de enrutamiento, Exchange utiliza el puerto TCP 691 para comunicar las actualizaciones de la información de enrutamiento y de estado de los vínculos entre el maestro del grupo de enrutamiento y los miembros de su grupo de enrutamiento. Entre dos grupos de enrutamiento, dos servidores cabeza de puente de grupo de enrutamiento utilizan el verbo X-LINK2STATE para intercambiar información de estado de los vínculos comparando la síntesis, una firma digital cifrada del paquete Orginfo, que contiene información de estado de los vínculos de los dos cabezas de puente de los grupos de enrutamiento. Si hay una discrepancia entre estas síntesis, se intercambiará información de estado de los vínculos entre los dos servidores mediante el puerto SMTP 25. El maestro del grupo de enrutamiento coordina los cambios al estado de los vínculos que conocen los servidores de su grupo de enrutamiento y recupera las actualizaciones de Active Directory. Si el maestro del grupo de enrutamiento no está disponible, todos los servidores del grupo seguirán funcionando con la misma información que tenían cuando perdieron contacto con el maestro del grupo de enrutamiento. Cuando el maestro del grupo de enrutamiento vuelve a estar disponible, reconstruye la información de estado de los vínculos, empezando por todos los servidores y conectores marcados como no disponibles. Después, al descubrir los servidores no disponibles, el maestro del grupo de enrutamiento actualiza los miembros del grupo. En esta sección se describen los siguientes problemas de estado de los vínculos y se explica la solución recomendada: Desconexión entre un miembro del grupo de enrutamiento y el maestro del grupo Conflictos entre maestros de grupos de enrutamiento Problemas ocasionados por grupos de enrutamiento eliminados Conectores que no están marcados como "inactivos" Conexiones oscilantes Desconexión entre un miembro del grupo de enrutamiento y el maestro del grupo Cuando un miembro de un grupo de enrutamiento no puede conectarse al maestro del grupo, WinRoute indica la situación con una X de color rojo junto al miembro del grupo de enrutamiento. 258 Desconexión entre miembros del grupo de enrutamiento y el maestro del grupo Lleve a cabo los pasos siguientes para resolver este problema: Asegúrese de que el servicio Motor de enrutamiento (RESvc) de Microsoft Exchange está iniciado y en un estado controlado en todos los servidores afectados del grupo de enrutamiento. Si el servicio Motor de enrutamiento está en un estado inestable, quizás los miembros del grupo de enrutamiento no puedan conectarse al maestro del grupo de enrutamiento. Investigue primero la causa de que haya servicios inestables. Compruebe que el puerto 691 no esté restringido por un servidor de seguridad; para ello, inicie una sesión de telnet en el puerto 691 de los nodos afectados y el nodo maestro. Debe ver un cartel del motor de enrutamiento de Microsoft que indique un estado activo. Desde una línea de comandos, escriba lo siguiente: netstat –a –n El resultado debe indicar que todos los miembros del grupo de enrutamiento y el propio maestro se conectan al puerto 691 del nodo maestro, de manera similar a la siguiente: TCP 127.0.0.1:691 127.0.0.1:691 ESTABLISHED Compruebe los registros de aplicación del Visor de sucesos para ver si hay algún suceso que indique un error de autenticación con la cuenta del equipo (dominio\nombre del servidor). Supervise los siguientes sucesos de transporte: 259 El Id. de suceso 961 se registra cuando un servidor miembro no puede autenticarse con su maestro del grupo de enrutamiento. El Id. de suceso 962 se registra después de que un nodo cliente no pueda autenticarse en el servicio de enrutamiento (RESvc). El Id. de suceso 996 se registra cuando un nodo de enrutamiento cliente se autentica correctamente con el servicio del motor de enrutamiento. El Id. de suceso 995 se registra cuando un miembro del grupo de enrutamiento se autentica correctamente con el maestro de su grupo. Compruebe que los servidores afectados pueden generar un Nombre principal de servicio (SPN) que se utiliza en el proceso de autenticación; para ello, compruebe el valor ncacn_ip_tcp del atributo de dirección de red de los servidores afectados. Para ello se utiliza una herramienta de acceso al directorio, como LDP (ldp.exe) o ADSI Edit (adsiEdit.msc). Los miembros de un grupo de enrutamiento tienen que autenticarse mutuamente con el maestro del grupo de enrutamiento para poder conectarse. Para ello, utilizan el valor ncacn_ip_tcp del atributo de dirección de red del servidor de Exchange con el fin de generar el SPN del nodo maestro llamando a DsClientMakeSpnForTargetServer. Los miembros del grupo de enrutamiento pueden autenticarse entonces mediante Kerberos. Asegúrese de que este valor sea un nombre de dominio completo (FQDN), no un nombre NetBIOS ni una dirección del Protocolo Internet. Reinicie el servicio Motor de enrutamiento de Exchange. Compruebe que la contraseña de la cuenta de equipo del dominio no ha caducado. Si la pertenencia del grupo de enrutamiento abarca varios dominios, asegúrese de que la causa no es un problema en un dominio secundario ni en el dominio raíz debido a una configuración incorrecta de DNS. Compruebe si hay alguna aplicación que no sea de Microsoft o algún objeto de directiva de grupo que restrinja los permisos o la seguridad. Configure otro servidor del grupo de enrutamiento como maestro del grupo. Este enfoque ofrece una solución provisional. La reasignación de la función de maestro del grupo de enrutamiento puede aliviar la situación hasta que se resuelva el problema. Si el maestro del grupo de enrutamiento o algún miembro del grupo no disponen del permiso Enviar como, WinRoute mostrará el servidor como ¿Estoy conectado al maestro?: NO. Compruebe que el servidor o los grupos a los que pertenece no tengan denegado explícitamente el permiso Enviar como en el maestro del grupo de enrutamiento. 260 Conflictos entre maestros de grupo de enrutamiento El primer servidor que se instala en el grupo de enrutamiento se designa automáticamente como nodo maestro o maestro del grupo de enrutamiento. A medida que se instalan otros servidores, puede designar otro servidor como maestro del grupo de enrutamiento. En cualquier momento, sólo un servidor debe ser reconocido como maestro por él mismo y por otros servidores. Se aplica esta configuración mediante un algoritmo donde (N/2) +1 servidores del grupo de enrutamiento deben aceptar y reconocer al maestro. N indica el número de servidores del grupo de enrutamiento. Los nodos miembro envían entonces datos ATTACH de estado de los vínculos al maestro. En ocasiones, dos o más servidores confunden al maestro del grupo de enrutamiento con un servidor que no lo es. Por ejemplo, si se movió o se eliminó un maestro de grupo de enrutamiento sin elegir otro nodo maestro, es posible que msExchRoutingMasterDN, el atributo de Active Directory que designa el maestro del grupo de enrutamiento, señale a un servidor eliminado porque el atributo no está vinculado. Además, esta situación puede producirse también cuando un antiguo maestro de grupo de enrutamiento no se desconecta como maestro o cuando un nodo sigue enviando información ATTACH de estado de los vínculos a un antiguo maestro de grupo de enrutamiento. En Exchange 2003, si msExchRoutingMasterDN señala a un objeto eliminado, el nodo maestro renuncia a su función de maestro e inicia un cierre de dicha función. Lleve a cabo los pasos siguientes para resolver este problema: Compruebe si se está propagando correctamente el estado de los vínculos dentro del grupo de enrutamiento en el puerto 691. Compruebe que no haya un servidor de seguridad ni filtros SMTP bloqueando la comunicación. Compruebe que ningún servicio de Exchange esté detenido. Compruebe las latencias de replicación de Active Directory mediante la herramienta Monitor de réplica de Active Directory (Replmon.exe), que está disponible en el Kit de recursos de Windows. Compruebe si hay problemas en la red y latencias. Compruebe si hay maestros de grupo de enrutamiento eliminados o servidores que ya no existan. En caso afirmativo, se grabará un suceso de transporte 958 en el registro de aplicación del Visor de sucesos que indica que un maestro de grupo de enrutamiento ya no existe. Compruebe esta información mediante una herramienta de acceso a directorios, como LDP (ldp.exe) o ADSI Edit (adsiEdit.msc). 261 Problemas ocasionados por grupos de enrutamiento eliminados Cuando se eliminan grupos de enrutamiento después de haber movido servidores fuera de ellos o por otros motivos, WinRoute puede mostrar el texto "object_not_found_in_DS" para los objetos. Los servidores de Exchange mantienen la tabla de estado de los vínculos que sigue haciendo referencia a los objetos, pero estos objetos no están en Active Directory cuando el servicio Motor de enrutamiento se inicializa y comprueba Active Directory para buscar los objetos relacionados. El enrutamiento de Exchange no puede quitar automáticamente los grupos de enrutamiento eliminados y sus miembros (es decir, servidores y conectores) de la tabla de estado de los vínculos. De hecho, el enrutamiento trata los grupos de enrutamiento eliminados de la misma forma que los grupos de enrutamiento funcionales existentes. En raras ocasiones los grupos de enrutamiento eliminados pueden hacer que el enrutamiento no funcione correctamente, así como bucles de correo. Los grupos de enrutamiento eliminados pueden afectar seriamente a las topologías en las que un sitio de Exchange 5.5 se une a una organización de Exchange 2003. Además, estos objetos de grupos de enrutamiento eliminados pueden contribuir en gran medida a aumentar el tamaño de la tabla de estado de los vínculos y, por tanto, a aumentar el tráfico de red que se genera con el intercambio de dicha información. Finalmente, si la Libreta personal de direcciones (PAB) o la Libreta de direcciones sin conexión (OAB) tienen un nombre de dominio de Exchange heredado que coincide con un grupo de enrutamiento eliminado, los objetos de grupo de enrutamiento eliminados harán que el correo enviado a usuarios que no existen de las PAB u OAB se agregue a los mensajes con una cola de destino a la que no se puede tener acceso. Cuando termine el tiempo de espera predeterminado de dos días, se devolverá el correo al remitente con un informe de no entrega (NDR). Sin el objeto de grupo de enrutamiento eliminado, el correo enviado a usuarios que no existen se devuelve inmediatamente al remitente junto con un NDR, en lugar de agregarse a la cola primero. 262 Grupo de enrutamiento eliminado en WinRoute Para resolver este problema, compruebe primero que la cuenta que está utilizando para ver información de enrutamiento en el servidor tiene los permisos adecuados. Si es posible, inicie sesión en WinRoute con la cuenta del sistema y el comando interactivo AT. La falta de los permisos adecuados de lectura puede hacer que aparezcan mensajes object_not_found_in_DS erróneos en WinRoute. Puede purgar los grupos de enrutamiento eliminados de la información de estado de los vínculos mediante uno de los métodos siguientes: Apague todos los servidores de la organización al mismo tiempo para actualizar la información de la caché de enrutamiento, y purgue los grupos de enrutamiento y los conectores eliminados. Cierre simultáneamente todos los servicios de Exchange y de Instrumental de administración de Windows (WMI) en todos los servidores de Exchange de la organización. También puede resolver este problema utilizando Remonitor.exe para reducir el tamaño de la superficie del grupo de enrutamiento eliminado y marcar el grupo como eliminado. Remonitor.exe es una herramienta que puede insertar un paquete de enrutamiento personalizado en una organización de Exchange. El paquete personalizado es una versión modificada del paquete de grupo de enrutamiento eliminado. Esta versión modificada no tiene entradas de servidor o conector, lo que reduce considerablemente el tamaño del objeto de grupo de enrutamiento. Asimismo, esta versión elimina la posibilidad de que no funcione o se retrase el enrutamiento, que puede ocurrir debido a una entrada de conector en la que se elimine el grupo de enrutamiento. Como la herramienta inserta un paquete modificado que no tiene entradas de conector, no puede haber una entrada de conector en la que se elimine el grupo de enrutamiento. Finalmente, Remonitor.exe actualiza el número de versión 263 del grupo de enrutamiento modificado para que no se pueda agregar ninguna entrada de servidor o conector a este grupo de enrutamiento eliminado. Para instrucciones detalladas, consulte Cómo ejecutar Remonitor.exe como cuenta local del sistema en modo inserción. Después de ejecutar Remonitor.exe, el paquete de enrutamiento ya no contiene conectores o miembros de servidor. Las direcciones del grupo de enrutamiento están ahora precedidas por la palabra clave deleted. Por otra parte, se incrementa el número de versión del objeto de grupo de enrutamiento. Grupo de enrutamiento eliminado en WinRoute después de ejecutar Remonitor.exe Conectores que no están marcados como "inactivos" Hay algunos casos en los que el estado del vínculo de un conector puede estar marcado como "activo" cuando en realidad está "inactivo" o no disponible. El enrutamiento no marca como inactivo el estado del vínculo de un conector en las situaciones siguientes: Conectores que utilizan DNS para el enrutamiento en un dominio del espacio de direcciones (por ejemplo, conectores para SMTP que utilizan DNS). Conectores de Exchange 5.5 o EDK (Exchange Development Kit) personalizados porque no utilizan enrutamiento del estado de los vínculos. Conectores para grupo de enrutamiento con servidores cabeza de puente locales de cualquier cabeza de puente local. Puede designar cualquier servidor cabeza de puente 264 local como cabeza de puente local si hace clic en Cualquier servidor local puede enviar correo por este conector al crear un grupo de enrutamiento. Conectores para grupo de enrutamiento donde un servidor cabeza de puente es un servidor de Exchange 5.5. Hay otros casos poco frecuentes, entre los que se incluyen: Situaciones donde, dentro de un grupo de enrutamiento, la retransmisión de correo no impide bucles del Agente de transferencia de mensajes (MTA) dentro de un grupo de enrutamiento. Conectores configurados con un host inteligente que ha cambiado muy recientemente. Para que el enrutamiento marque un conector como inactivo, todos los servidores cabeza de puente de origen deben estar inactivos y tener un estado VS_CONN_NOT_AVAILABLE o VS_CONN_NOT_STARTED. Puede comprobar el estado mediante WinRoute. Conexiones oscilantes Los conectores que están en una red poco confiable y que están marcados repetidamente como "activos" y después "inactivos" provocan excesivas actualizaciones del estado de los vínculos entre los servidores. Estos cambios ocasionan actualizaciones costosas y frecuentes de las rutas dentro de Exchange. En el Visor de sucesos, el Id. de suceso 4005 se registra con frecuencia y aparece con el texto "reset routes". Exchange 2003 mitiga estos cambios si detecta un estado de conector que cambia con frecuencia; deja el estado marcado como activo dentro de una única ventana de sondeo, que es el período durante el cual un servidor supervisa el cambio. Sin embargo, si estos cambios se producen en distintos períodos de sondeo, una conexión oscilante puede seguir generando tráfico de estado de los vínculos. El intervalo de cambio de retraso de estado predeterminado es de 10 minutos para los servidores de Exchange 2003. El enrutamiento de Exchange elige la ruta óptima y busca el siguiente servidor al que un mensaje tiene que dar su próximo salto, dando el nombre de este servidor de "próximo salto" a la cola. Para elegir la ruta óptima se tienen en cuenta variables como el costo, el tipo de mensaje y las restricciones. Por tanto, debido al estado oscilante de un conector, Exchange tiene que volver a calcular repetidamente la ruta más óptima, lo que implica realizar consultas a Active Directory y disminuir el rendimiento. Cuando la cola de Exchange observa un error de vínculo en el servidor cabeza de puente de un conector, el enrutamiento retransmite esta información al maestro del grupo de enrutamiento. El maestro del grupo de enrutamiento suprime esta información durante un máximo de 10 minutos para evitar fluctuaciones en el estado del conector. Si el enrutamiento marca el conector como inactivo, este cambio se propagará a todos los servidores de Exchange de la organización, incluyendo el servidor donde se produjo el error original. Esta notificación se denomina ruta de restablecimiento y es un proceso muy costoso en términos de uso de la CPU. El correo ya no se pone en cola en el conector y el enrutamiento debe 265 generar nuevas rutas de entrega. Ese mismo proceso se realiza para marcar un conector como activo. Una conexión oscilante se produce en las situaciones siguientes: Problemas de red, que pueden verse en una traza de red. Reacciones a las devoluciones de llamada de notificación de estado de los vínculos procedentes de los servicios de protocolo subyacentes (SMTP y MTA) debidas a una interferencia en los niveles de protocolo X.400 o SMTP por parte de aplicaciones que no son de Microsoft. En esta situación, sólo una captura de Monitor de red puede revelar los problemas. También puede utilizar la herramienta remonitor.exe, que está disponible en los Servicios de soporte técnico de Microsoft. Puede utilizar Monitor de red (Netmon.exe) o la herramienta remonitor.exe en modo monitor para identificar y resolver las causas de las conexiones oscilantes. Asimismo, si las conexiones oscilantes causan un tráfico de propagación excesivo, puede suprimir la propagación de cambios de estado de los vínculos hasta que resuelva la causa del problema. Para instrucciones detalladas, consulte Cómo suprimir la información de estado de los vínculos en un servidor. Para obtener más información sobre cómo suprimir el tráfico de estado de los vínculos, consulte "Supresión del tráfico de estado de los vínculos para conectores" en Configuración avanzada del enrutamiento. Propagación de estado de vínculos rotos Los servidores de Exchange 5.5 no utilizan información de estado de los vínculos, sino que utilizan la tabla de enrutamiento de direcciones de la puerta de enlace (GWART) para enrutar los mensajes. En una organización de modo mixto, Exchange 2000 y las versiones posteriores reconocen esta limitación y leen la configuración de los servidores de Exchange 5.5 directamente desde Active Directory. Así, los servidores de Exchange 2000 y Exchange 2003 no esperan que los servidores de Exchange 5.5 intercambien con ellos información de estado de los vínculos. Cuando un servidor cabeza de puente de Exchange 5.5 de un grupo de enrutamiento de Exchange se actualiza a un servidor de Exchange 2000 o Exchange 2003 y se designa como servidor cabeza de puente, empieza a participar en el intercambio de información de estado de los vínculos y deja de tener un número de versión principal cero. Los servidores de Exchange 2000 y Exchange 2003 utilizan los números de versión de la tabla de estado de los vínculos para comparar las tablas y asegurarse de que tienen la información más reciente acerca del estado de los vínculos. Un número de versión principal cero indica un servidor que no participa en la información de estado de los vínculos o que nunca ha intercambiado este tipo de información. Todos los sitios de Exchange 5.5 puros tienen un número de versión cero porque no intercambian información de estado de los vínculos. 266 Cuando se actualiza el servidor a Exchange 2000 o Exchange 2003, empieza a participar en la información de estado de los vínculos e incrementa su número de versión principal. Así, los servidores cabeza de puente de otros grupos de enrutamiento esperan que el servidor recién actualizado les informe de los cambios en el estado de los vínculos que se produzcan en su grupo de enrutamiento. Se producirá un problema si designa ahora un servidor de Exchange 5.5 como servidor cabeza de puente para este grupo de enrutamiento. Otros servidores siguen esperando que el servidor cabeza de puente de Exchange 5.5, el antiguo servidor cabeza de puente de Exchange 2000 o Exchange 2003, participe en la propagación del estado de los vínculos y esperan que este servidor les proporcione información actualizada sobre el estado de los vínculos. Sin embargo, como el servidor se ha revertido a Exchange 5.5, ya no tiene ninguna tabla de estado de los vínculos. Por tanto, este grupo de enrutamiento está ahora aislado y no participa en las actualizaciones dinámicas de estado de los vínculos que se producen en la organización. Este grupo de enrutamiento aislado es problemático en una situación como la que se ilustra en la figura 11.4. En concreto, como el servidor cabeza de puente de Exchange 5.5 era anteriormente un servidor cabeza de puente de Exchange 2000 o Exchange 2003, otros servidores esperan que participe en la propagación de estado de los vínculos. En la ilustración siguiente, el Conector para correo de Internet de Exchange 5.5 y el conector para SMTP de Exchange 2003 utilizan un único host inteligente para enrutar el correo a Internet. El host inteligente deja de estar disponible, por lo que el servidor cabeza de puente de Exchange 2003 marca como no disponible la ruta a través de este conector para SMTP. Sin embargo, como el servidor cabeza de puente espera que el servidor de Exchange 5.5 envíe información de estado de los vínculos sobre sus grupos de enrutamiento y sus conectores, supone que la ruta a través del Conector para correo de Internet está disponible e intenta entregar mensajes por ella. Después de un error, el servidor de Exchange 2003 detecta un posible bucle y no intenta entregar correo a través de esta ruta. Servidores de Exchange 5.5 y Exchange 2003 que se conectan a un host inteligente La propagación de estado de los vínculos también se puede interrumpir, si se agrega al sistema un servidor de seguridad que esté bloqueando la propagación de estado de los vínculos. Por ejemplo, los puertos 25 y 691 son necesarios dentro de un grupo de 267 enrutamiento y el puerto 25 es necesario entre grupos de enrutamiento. Asimismo, ningún servidor de seguridad debe bloquear el comando X-LINK2STATE del Protocolo simple de transferencia de correo extendido (ESMTP). Para resolver este problema, están disponibles las siguientes soluciones: Actualizar el servidor cabeza de puente de Exchange 5.5 a un servidor de Exchange 2000 o Exchange 2003, o utilizar otro servidor de Exchange 2000 o Exchange 2003 para enviar de nuevo la información de estado de los vínculos para este grupo de enrutamiento. Cualquiera de estas opciones constituye una buena solución. Para restablecer los grupos de enrutamiento que no están conectados al número de versión principal de estado de los vínculos 0, apague simultáneamente todos los servidores de Exchange de la organización y reinícielos. Configure el servidor de seguridad para que permita la propagación de estado de los vínculos. Para obtener más información sobre los grupos de enrutamiento aislados o disjuntos y los números de versión principales, consulte en Microsoft Knowledge Base el artículo 842026, "La información de enrutamiento no se propaga correctamente a todos los servidores en Exchange 2000 Server o en Exchange Server 2003." Cómo ejecutar Remonitor.exe como cuenta local del sistema en modo inserción Remonitor.exe es una herramienta que puede insertar un paquete de enrutamiento personalizado en una organización de Exchange Server. El paquete personalizado es una versión modificada del paquete de grupo de enrutamiento eliminado. Esta versión modificada no tiene entradas de servidor o conector, lo que reduce considerablemente el tamaño del objeto de grupo de enrutamiento. Asimismo, esta versión elimina la posibilidad de que no funcione o se retrase el enrutamiento, que puede ocurrir debido a una entrada de conector en la que se elimine el grupo de enrutamiento. Como la herramienta inserta un paquete modificado que no tiene entradas de conector, no puede haber una entrada de conector en la que se elimine el grupo de enrutamiento. Finalmente, Remonitor.exe actualiza el número de versión del grupo de enrutamiento modificado para que no se pueda agregar ninguna entrada de servidor o conector a este grupo de enrutamiento eliminado. Para utilizar Remonitor.exe, primero debe solicitar la herramienta en Microsoft® Product Support Services. Debe copiar Remonitor.exe en el directorio Exchsrvr\bin de un servidor Exchange. 268 Nota: No es posible insertar un paquete de enrutamiento en el mismo servidor en el que se ejecute la herramienta Remonitor. Debe ejecutar la herramienta en un servidor distinto. Nota: Después de eliminar un grupo de enrutamiento, debe esperar a que este cambio se replique en todos los servidores de servicio de directorio Microsoft Active Directory® de la organización antes de ejecutar Remonitor.exe. Debe ejecutar la herramienta con una cuenta que disponga de permisos Enviar como en el servidor Exchange, como la cuenta local del sistema. Nota: Sólo debe ejecutar Remonitor.exe en un servidor de la organización de Exchange Server. La inserción del paquete se propagará a los demás servidores de la organización. Después de ejecutar Remonitor.exe, el paquete de enrutamiento ya no contiene conectores o miembros de servidor. Las direcciones del grupo de enrutamiento están ahora precedidas por la palabra clave deleted. Por otra parte, se incrementa el número de versión del objeto de grupo de enrutamiento. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas de enrutamiento. Procedimiento Para ejecutar Remonitor.exe como cuenta local del sistema en modo inserción 1. En el símbolo del sistema, escriba lo siguiente: at <time> /interactive "cmd.exe" donde <hora> es cualquier momento del día. 2. Haga clic en Inicio, seleccione Todos losprogramas, haga clic en Accesorios, seleccione Herramientas del sistema y haga clic en Tareas programadas. 3. En Tareas programadas, haga clic con el botón secundario del mouse (ratón) en la tarea En que acaba de crear y haga clic en Ejecutar. Nota: La tarea En que creó se mostrará como En<Id.>, donde Id. es el Id. de tarea 269 asignado al crear la tarea. 4. Se abrirá una nueva ventana con el símbolo del sistema, que se ejecutará como la cuenta local del sistema. 5. En esta ventana, vaya al directorio .\Exchsrvr\bin en el directorio de instalación de Exchange. De manera predeterminada, este directorio es <letra de unidad:>\Archivos de programa\Exchsrvr\bin. 6. Escriba el comando siguiente: remonitor -i <server to inject> 7. En Tareas programadas, haga clic con el botón secundario del mouse en la tarea En y seleccione Eliminar. Cómo suprimir la información de estado de los vínculos en un servidor Puede utilizar Monitor de red (Netmon.exe) o la herramienta remonitor.exe en modo monitor para identificar y resolver las causas de las conexiones oscilantes. Asimismo, si las conexiones oscilantes causan un tráfico de propagación excesivo, puede suprimir la propagación de cambios de estado de los vínculos hasta que resuelva la causa del problema. Es importante entender que al cambiar esta clave del Registro no se detiene la propagación de la tabla de estado de los vínculos entre servidores. Sólo se suprime el tráfico de estado de los vínculos causado por el cambio de estado de un conector. Precaución: La modificación incorrecta del Registro puede ocasionar problemas graves que quizás requieran volver a instalar el sistema operativo. Es posible que los problemas derivados de una modificación incorrecta del Registro no se puedan resolver. Antes de modificar el Registro, se recomienda realizar una copia de seguridad de todos los datos importantes. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas de enrutamiento. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores 270 Procedimiento Para suprimir la información de estado de los vínculos en un servidor 1. Inicie el Editor del Registro (regedit). 2. Vaya hasta la siguiente clave y haga clic en ella con el botón secundario del mouse (ratón): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RESvc\Parameters 3. En el menú Edición, haga clic en Agregar valor y agregue el siguiente valor del Registro: Nombre de valor: SuppressStateChanges Tipo de datos: REG_DWORD Datos: 1 Base: decimal 4. Cierre el Editor del Registro. 5. Reinicie los siguientes servicios: Motor de enrutamiento de Microsoft Exchange (RESvc) Servicio SMTP (SMTPSVC) Pila MTA de Microsoft Exchange (MSExchangeMTA) Información adicional Para obtener más información acerca de cómo suprimir el tráfico de estado de los vínculos, consulte "Supresión del tráfico de estado de los vínculos para conectores" en Configuración avanzada del enrutamiento. Solución de problemas del flujo de correo y SMTP Incluso después de haber configurado correctamente el Protocolo simple de transferencia de correo (SMTP) en la organización de Microsoft® Exchange Server y después de haber tomado todas las medidas posibles para protegerlo, puede experimentar problemas en el flujo de correo. En este tema se describen muchos de los problemas frecuentes que pueden producirse y métodos para ayudar a resolverlos. En concreto, aprenderá lo siguiente: 271 Utilizar telnet Utilizar las colas SMTP y X.400 Utilizar el Centro de seguimiento de mensajes Utilizar el Visor de sucesos Configurar el registro de diagnóstico para SMTP Sin embargo, antes de seguir las recomendaciones para la solución de problemas que se describen en este tema, debe asegurarse primero de que Exchange Server está configurado correctamente para enviar y recibir correo. Las listas siguientes resumen brevemente los requisitos para que el correo entrante y saliente fluya correctamente. Para que el correo entrante de Internet fluya correctamente: Las directivas de destinatarios deben estar configuradas correctamente. El servidor virtual SMTP que acepta correo de Internet debe estar configurado en el puerto 25 y debe permitir conexiones anónimas. Debe existir un registro de recurso de intercambio de correo (MX) para el dominio en un servidor DNS de Internet y el registro MX debe señalar al dominio externo o de Internet de su servidor de correo. El servidor de correo de Internet debe ser accesible para los servidores remotos de Internet. Para que el correo saliente de Internet fluya correctamente: El servidor virtual SMTP que envía correo de Internet debe estar configurado para utilizar el puerto 25. Si está utilizando conectores para SMTP, al menos un conector debe contener un espacio de direcciones *, que especifica todos los dominios externos. El servidor de Exchange debe poder resolver nombres DNS externos. Puede resolver nombres DNS externos de las maneras siguientes: Utilizar un servidor DNS interno que reenvíe el correo a un servidor DNS externo. Configurar el servidor virtual SMTP para que utilice un servidor DNS externo específico. Enrutar el correo a un host inteligente que realice la resolución DNS. Para obtener más información acerca de cómo configurar Exchange Server para enviar y recibir mensajes de correo electrónico, consulte Comprobación del diseño y de la configuración de DNS. Para obtener información detallada acerca de cómo utilizar telnet para probar la comunicación SMTP, consulte el tema siguiente: Cómo utilizar telnet para probar la comunicación SMTP 272 Uso de las colas SMTP y X.400 SMTP utiliza colas SMTP para entregar correo interna y externamente. Los servidores de Exchange Server versión 5.5, los clientes MAPI (como Microsoft Office Outlook®) y otros conectores de correo (como Conector de para Lotus Notes de Microsoft Exchange y Conector para Novell Groupwise de Microsoft Exchange) utilizan las colas X.400 para enviar y recibir correo de Exchange Server. En las secciones siguientes se explica cómo utilizar las colas SMTP y X.400 para solucionar problemas del flujo de mensajes. Descripción de las colas SMTP Durante la categorización y entrega de mensajes, el motor de cola avanzada envía todo el correo a través de las colas SMTP de un servidor virtual SMTP. Si se produce algún problema para entregar el mensaje en cualquier punto del proceso, el mensaje permanecerá en la cola donde se produjo el problema. Utilice las colas SMTP para aislar las causas posibles de problemas en el flujo de mensajes. Si una cola tiene un estado "Reintentar", debe comprobar las propiedades de la cola para determinar la causa. Por ejemplo, si las propiedades de la cola muestran un mensaje parecido a "Error de SMTP", debe examinar los registros de sucesos del servidor para encontrar algún error de SMTP. Si el registro no contiene ningún suceso, debe aumentar el nivel de registro del protocolo SMTP. Para obtener más información acerca de cómo aumentar el nivel de registro del protocolo SMTP, consulte Cómo ver el registro de aplicación del Visor de sucesos y Cómo modificar la configuración de registro para MSExchangeTransport. En la siguiente tabla se enumeran las colas SMTP, incluyendo sus descripciones y la información para solucionar problemas de acumulación de mensajes en cada una de ellas. 273 Descripciones de las colas SMTP e información asociada para la solución de problemas Cola SMTP Descripción Solución de problemas [Nombre del dominio local] (Entrega local) Contiene mensajes que están en la cola del servidor de Exchange para su entrega local a un buzón o a un almacén de carpetas públicas de Exchange. Los mensajes pueden acumularse en esta cola si el servidor de Exchange no acepta mensajes para su entrega local. La entrega lenta o esporádica de mensajes puede indicar un bucle de mensajes o un problema de rendimiento. Esta cola se ve afectada por el almacén de Exchange. Aumente el registro de diagnóstico del almacén de Exchange como se describe en Cómo modificar la configuración de registro para MSExchangeTransport. 274 Cola SMTP Descripción Solución de problemas Mensajes a la espera de una búsqueda en el directorio Contiene mensajes dirigidos a destinatarios que todavía no se han resuelto en el servicio de directorio Microsoft Active Directory®. Los mensajes también se almacenan aquí mientras se expanden las listas de distribución. Generalmente, los mensajes se acumulan en esta cola porque el motor de cola avanzada no puede categorizar el mensaje. Es posible que el motor de cola avanzada no pueda tener acceso a los servidores de catálogo global y a la información de destinatario, o que los servidores de catálogo global no sean accesibles o funcionen lentamente. Las causas siguientes también pueden hacer que se acumulen mensajes: Active Directory no está disponible (porque el categorizador utiliza Active Directory para categorizar los mensajes). Active Directory puede estar excesivamente cargado (si hay muchos mensajes en la cola previa a la categorización). Error en la conversión. El categorizador también realiza la conversión del contenido. El categorizador de mensajes no encuentra los almacenes de buzón. Si se reinstaló o se quitó SMTP, eso puede invalidar las siguientes claves de la metabase de IIS: /smtpsvc/DsUseCat y /smtpsvc/vsi#/DsUseCat. Determine si se reinstaló o se quitó SMTP. 275 Cola SMTP Descripción Solución de problemas Mensajes a la espera de enrutamiento Contiene mensajes hasta que se determina el siguiente servidor de destino y, a continuación, se mueven hasta sus respectivas colas de vínculos. Los mensajes se acumulan en esta cola si existen problemas de enrutamiento en Exchange Server. Se puede hacer copia de seguridad del enrutamiento de mensajes. Aumente el registro de diagnóstico para el enrutamiento como se describe en Cómo modificar la configuración de registro para MSExchangeTransport. Contiene mensajes destinados a su entrega [Nombre del conector| remota. El nombre de la cola Nombre del servidor| Dominio coincide con el destino de remoto] entrega remota, que puede ser un conector, un servidor o un dominio. Si se acumulan mensajes en esta cola, debe identificar primero el estado de la misma. Si el estado de la cola es "Reintentar", compruebe las propiedades de la cola para determinar el motivo de este estado. En el caso de problemas de DNS, utilice Nslookup y telnet para solucionarlos. Si no se puede alcanzar el host, utilice telnet para asegurarse de que el servidor remoto responde. Entrega remota 276 Cola SMTP Descripción Solución de problemas Destino final inalcanzable No se puede llegar al servidor final de destino de estos mensajes. Por ejemplo, si Exchange no puede determinar una ruta de acceso de red para el destino final. Es posible que se acumulen mensajes en esta cola si no existe ninguna ruta para la entrega. Además, cada vez que un conector o cola de entrega remota no se encuentra disponible o está en estado "Reintentar" durante un período de tiempo prolongado y no existe ninguna ruta alternativa al conector o destino remoto, los mensajes nuevos se sitúan en esta cola. Esto permite que un administrador corrija el problema o defina una ruta alternativa. Para que los mensajes nuevos fluyan a su cola de destino remoto de manera que le permitan forzar una conexión y obtener una traza de Monitor de red (Netmon), reinicie el servidor virtual SMTP. Envío previo Contiene los mensajes confirmados y aceptados por el servicio SMTP. El procesamiento de estos mensajes no ha empezado todavía. La acumulación continua de mensajes puede indicar un problema de rendimiento. El rendimiento máximo ocasional puede provocar que aparezcan mensajes en esta cola de forma intermitente. 277 Cola SMTP Descripción Mensajes DSN pendientes de Contiene notificaciones de envío estado de entrega, conocidas también como informes de no entrega, listos para su entrega por parte de Exchange. Nota Las operaciones siguientes no están disponibles para esta cola: Error en la cola de reintento de mensajes Eliminar todos los mensajes (sin NDR) Eliminar todos los mensajes (con NDR) Contiene mensajes que han experimentado errores de algún tipo de envío de la cola, normalmente antes de que se realice otro procesamiento. De forma predeterminada, los mensajes de esta cola se vuelven a procesar en 60 minutos. Solución de problemas Los mensajes pueden acumularse en esta cola si el servicio Almacén de información de Microsoft Exchange no está disponible o en ejecución, o si se producen problemas con el componente de almacenamiento IMAIL de Exchange, que es el componente que realiza la conversión de mensajes. Consulte en el registro de sucesos los posibles errores relacionados con el servicio Almacén de información de Microsoft Exchange. Las posibles causas de los mensajes erróneos son: Los mensajes están dañados. Puede haber receptores de sucesos o programas de otros fabricantes que interfieran con la fidelidad o la puesta en cola de los mensajes. Si los recursos del sistema son insuficientes, el sistema tarda bastante tiempo en responder o pueden producirse otros problemas de rendimiento. El reinicio de IIS puede mejorar temporalmente los problemas de los recursos, pero debe determinar la causa. 278 Cola SMTP Descripción Solución de problemas Mensajes puestos en cola para entrega diferida Incluye los mensajes que se ponen en cola para su entrega en un momento posterior, incluidos los mensajes enviados mediante versiones anteriores de Outlook. (Puede establecer esta opción en equipos cliente de Outlook). Las posibles causas de la acumulación de mensajes en esta cola son: Si se envía un mensaje al buzón de un usuario mientras se está moviendo el buzón, los mensajes pueden colocarse en esta cola. Las versiones anteriores de Outlook dependen del Agente de transferencia de mensajes (MTA) para la realizar la entrega de los mismos. Sin embargo, ahora la entrega de mensajes se realiza a través de SMTP, no del MTA. Por tanto, los mensajes enviados por versiones anteriores de Outlook tratan las entregas diferidas de diferente manera. Cuando el usuario aún no dispone de un buzón y no se le ha asignado un Id. de seguridad (SID) de cuenta maestra. Para obtener más información, consulte en Microsoft Knowledge Base el artículo 316047, "XADM: Addressing Problems That Are Created When You Enable ADCGenerated Accounts". El mensaje puede estar dañado o es posible que el destinatario no sea válido. Para determinar si un mensaje está dañado, examine sus propiedades. Si un mensaje no es accesible, puede que esté dañado. También puede comprobar que el destinatario sea válido. Estos mensajes permanecen en esta cola hasta que llega el momento de la entrega programada. Para obtener más información acerca de cómo solucionar problemas del flujo de correo y SMTP, consulte los temas siguientes: Cómo ver las propiedades de una cola 279 Cómo ver mensajes de una cola Cómo comprobar los contadores de rendimiento de SMTP Cómo habilitar el Centro de seguimiento de mensajes en un servidor Cómo ver el registro de aplicación del Visor de sucesos Cómo ver el registro del sistema del Visor de sucesos Cómo modificar la configuración de registro para MSExchangeTransport Cómo establecer el registro en el nivel de depuración para el protocolo SMTP Cómo habilitar el registro en el nivel de depuración para el categorizador de mensajes Cómo utilizar telnet para probar la comunicación SMTP Telnet es una herramienta extremadamente útil para solucionar problemas relativos a SMTP y al flujo de correo. Por ejemplo, puede utilizar telnet para: Comprobar que SMTP está instalado correctamente y que tiene todos los comandos necesarios. Asegurarse de que se puede tener acceso al servidor a través de Internet. Intentar entregar correo directamente a través del puerto TCP. Determinar que todos los servidores aceptan conexiones. Determinar si un servidor de seguridad está bloqueando una conexión. Asegurarse de que un único usuario puede recibir correo. Asegurarse de que un dominio determinado puede recibir correo. Asegurarse de que un usuario o dominio concreto puede enviar correo a su dominio. Nota: El procedimiento siguiente muestra cómo probar el proceso de un usuario interno que envía correo a un usuario remoto cuando se requiere autenticación básica para retransmitir correo fuera de su organización. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: 280 Miembro del grupo local Administradores Procedimiento Para utilizar telnet con el fin de probar la comunicación SMTP 1. Abra una sesión de telnet: En el símbolo del sistema, escriba telnet y, a continuación, presione ENTRAR. 2. Escriba set local_echo en un equipo que ejecute Microsoft Windows® 2000 Server o SET LOCALECHO en un equipo que ejecute Windows Server? 2003 o Windows XP y, a continuación, presione ENTRAR. Este comando le permite ver las respuestas a los comandos. Nota: Para ver una lista de los comandos de telnet disponibles, escriba set ?. 3. Escriba o <su dominio del servidor de correo> 25 y presione ENTRAR. 4. Escriba EHLO <su dominio del servidor de correo> y presione ENTRAR. 5. Escriba AUTH LOGIN. El servidor responderá con una petición cifrada de su nombre de usuario. 6. Escriba su nombre de usuario cifrado en base 64. Puede utilizar una de las diversas herramientas disponibles para codificar su nombre de usuario. 7. El servidor responderá con una petición cifrada en base 64 de su contraseña. Escriba su contraseña cifrada en base 64. 8. Escriba MAIL FROM:<[email protected]> y presione ENTRAR. Si el remitente no tiene permitido el envío de correo, el servidor SMTP devolverá un error. 9. Escriba RCPT TO:<[email protected]> y presione ENTRAR. Si el destinatario no es válido o si el servidor no acepta correo de este dominio, el servidor SMTP devolverá un error. 10. Escriba DATA. 11. Si lo desea, escriba el texto del mensaje, presione ENTRAR, escriba un punto (.) y presione ENTRAR de nuevo. 12. Si el correo está funcionando correctamente, debe ver una respuesta similar a la siguiente que indica que el correo se ha puesto en cola para su entrega: 250 2.6.0 <[email protected]. 281 Para más información El ejemplo siguiente muestra una prueba de telnet para el envío de correo desde contoso.com a un dominio remoto con un resultado correcto: 250-mail1.fourthcoffee.com Hello [172.16.0.0] 250-TURN 250-ATRN 250-SIZE 5242880 250-ETRN 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 250-X-EXPS GSSAPI NTLM 250-AUTH GSSAPI NTLM 250-X-LINK2STATE 250-XEXCH50 250 OK 334 VXNlcm5hbWU6 334 UGFzc3dvcmQ6 235 2.7.0 Authentication successful. 250 2.1.0 [email protected] OK 250 2.1.5 [email protected] 282 354 Start mail input; end with <CRLF>.<CRLF> . 250 2.6.0 <[email protected]> Queued mail for delivery Para obtener más información, consulte Protección del servidor de Exchange. Cómo ver las propiedades de una cola Cuando se acumulan mensajes en una de las colas, puede ver las propiedades de la cola para obtener más información acerca de las causas posibles de esta acumulación. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para ver las propiedades de una cola 1. Inicie el Administrador del sistema de Exchange: Haga clic en Inicio, seleccione Todos los programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. Expanda Grupos administrativos, expanda <Nombre del grupo administrativo>, expanda Servidores, expanda el servidor que desee y, a continuación, haga clic en Colas. 3. En el panel de detalles, haga clic en la cola que desee. Cualquier información adicional relacionada con dicha cola se muestra bajo Información de cola adicional, en la parte inferior del panel de detalles. 283 Cómo ver mensajes de una cola Si tiene problemas con el flujo de correo, es importante determinar si los problemas son globales o se limitan a destinatarios o dominios individuales. El ver los mensajes de una cola puede ayudarle a saberlo. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Si hace clic con el botón secundario del mouse en las colas individuales de Visor de cola, aparecerán las siguientes opciones: Buscar mensajes Le permite proporcionar criterios de búsqueda para los mensajes que desee inspeccionar. Inmovilizar Detiene la entrega de todos los mensajes de la cola. Puede utilizar esta opción para impedir temporalmente que los mensajes salgan de la cola mientras los inspecciona. Al inmovilizarse la cola, los mensajes no pueden dejarla, pero esto no impide que entren mensajes en ella. Liberar Permite que se reanude la entrega de todos los mensajes de la cola. Si libera la cola, no liberará los mensajes individuales que el administrador haya inmovilizado. Forzar la conexión Fuerza una cola con un estado de reintento a que intente conectarse inmediatamente. Procedimiento Para ver los mensajes de una cola 1. Abra el Administrador del sistema de Exchange. Expanda Grupos administrativos, <Nombre del grupo administrativo>, Servidores, el servidor en el que desee ver colas y, a continuación, haga clic en Colas. Nota: Si desea ver un mensaje específico, puede usar el Centro de seguimiento de mensajes para determinar qué servidor procesó dicho mensaje en último lugar y después ver las colas de dicho servidor para inspeccionar el mensaje. 284 1. Los colas que se encuentran en el servidor seleccionado aparecen en el panel de resultados. En el panel de resultados, haga clic con el botón secundario del mouse en la cola que desee inspeccionar y haga clic en Buscar mensajes. Aparece el cuadro de diálogo Buscar mensajes. 2. Opcional. Especifique las Restricciones de dirección que se usarán para filtrar los resultados de la búsqueda. Para buscar todos los mensajes de un remitente específico, escriba una dirección SMTP en el campo Remitente o haga clic en Remitente para seleccionar uno en el servicio de directorios Active Directory. Para buscar todos los mensajes dirigidos a un destinatario específico, escriba una dirección SMTP en el campo Destinatario o haga clic en Destinatario para seleccionar uno en Active Directory. 3. Opcional. Especifique las Restricciones del mensaje que se usarán para limitar los resultados de la búsqueda. Para controlar el número de resultados que se vayan a devolver, seleccione un valor en la lista desplegable Número de mensajes que se mostrarán en la búsqueda. El valor predeterminado es 100. Para buscar únicamente mensajes con un estado concreto, seleccione un valor de la lista desplegable Mostrar mensajes cuyo estado sea. El valor predeterminado es mostrar todos los mensajes. También puede seleccionar si desea mostrar sólo los mensajes con un estado de reintento o inmovilizado. 4. Haga clic en Buscar ahora para mostrar los resultados de la búsqueda. Los mensajes que coincidan con los criterios de búsqueda se muestran en Resultados de la búsqueda. 5. Para ver las propiedades de un mensaje individual, en el panel de resultados, haga clic con el botón secundario del mouse en el mensaje que desee y, después, haga clic en Propiedades. El cuadro de diálogo Propiedades del mensaje muestra el nombre del remitente, el nombre del destinatario, el tamaño del mensaje y otros detalles acerca del mensaje. 6. Para cambiar el estado de un mensaje individual, en el panel de resultados, haga clic con el botón secundario del mouse en el mensaje y, después, seleccione una de las siguientes opciones: Liberar Reanuda la entrega de un mensaje previamente inmovilizado. Inmovilizar Suspende la entrega de un mensaje. Eliminar (con NDR) Elimina el mensaje de la cola y envía un NDR al remitente del mensaje. Eliminar (sin NDR) Elimina el mensaje de la cola y no envía un NDR al remitente del mensaje. 285 Cómo comprobar los contadores de rendimiento de SMTP Si se están acumulando mensajes en la cola de precategorización (que tiene la etiqueta "Mensajes a la espera de una búsqueda en el directorio" en el Visor de cola), compruebe los contadores de rendimiento de SMTP, especialmente los contadores de longitud de cola del categorizador. El procedimiento siguiente le permite habilitar estos contadores de rendimiento. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para comprobar los contadores de rendimiento de SMTP 1. Abra Monitor de sistema: Haga clic en Inicio, seleccione Ejecutar y escriba perfmon. 2. En Monitor de sistema, haga clic con el botón secundario del mouse (ratón) en el panel de detalles de Monitor de sistema y, a continuación, haga clic en Agregar contadores. 3. Seleccione una de las opciones siguientes: Para supervisar cualquier equipo donde se ejecute la consola de supervisón, haga clic en Usar contadores del equipo local. Para supervisar un equipo específico, independientemente de dónde se ejecute la consola de supervisión, haga clic en Seleccionar contadores del equipo y especifique un nombre de equipo (de forma predeterminada está seleccionado el nombre del equipo local). 4. En Objeto de rendimiento, seleccione Servidor SMTP. 5. Seleccione una de las opciones siguientes: Para supervisar todos los contadores, haga clic en Todos los contadores. Para supervisar únicamente los contadores seleccionados, haga clic en Seleccionar contadores de la lista y seleccione los contadores que desee 286 supervisar. 6. Haga clic en Agregar. 7. Vea el contador CAT: Categorizer queue length. Información adicional En la siguiente tabla se enumeran otros contadores de rendimiento que puede utilizar para supervisar problemas de categorización. Contadores de rendimiento para supervisar problemas de categorización Contador de rendimiento Descripción Cat: Address lookup completions El número de finalizaciones de búsquedas de direcciones procesadas. Cat: Address lookup completions/sec El número de finalizaciones de búsquedas de direcciones procesadas por segundo. Cat: Address lookups El número de búsquedas de direcciones individuales en el servicio de directorio. Cat: Address lookups not found El número de búsquedas de direcciones que no encontraron ningún objeto en el servicio de directorio. Cat: Address lookups/sec El número de búsquedas de direcciones que se enviaron al servicio de directorio por segundo. Cat: Categorizations completed El número total de mensajes enviados al categorizador de mensajes cuya categorización ha terminado. Cat: Categorizations completed successfully El número de categorizaciones terminadas sin errores. Cat: Categorizations completed/sec La tasa de categorizaciones terminadas por segundo. Cat: Categorizations failed (directory service connection failure) El número de categorizaciones que fracasaron debido a un error de conexión del servicio de directorio. Cat: Categorizations failed (directory service logon failure) El número de categorizaciones que fracasaron debido a un error de inicio de sesión del servicio de directorio. 287 Contador de rendimiento Descripción Cat: Categorizations failed (non-retryable error) El número de categorizaciones que fracasaron con un error grave (no se puede reintentar). Cat: Categorizations failed (Out Of Memory) El número de categorizaciones que fracasaron por falta de memoria disponible. Cat: Categorizations failed (retryable error) El número de categorizaciones que fracasaron con un error reintentable. Cat: Categorizations failed (sink retryable error) El número de categorizaciones que fracasaron con un error reintentable genérico. Cat: Categorizations in progress El número de categorizaciones en curso. Cat: LDAP bind failures El número total de errores de enlace del Protocolo ligero de acceso a directorios (LDAP). Cat: LDAP binds El número de enlaces LDAP correctos que se realizaron. Cat: LDAP connection failures El número de errores de conexión con servidores LDAP. Cat: LDAP connections El número total de conexiones LDAP abiertas. Cat: LDAP connections currently open El número de conexiones LDAP que hay abiertas actualmente. Cat: LDAP general completion failures El número de terminaciones LDAP con un error genérico. Cat: LDAP paged search completion failures El número de búsquedas LDAP paginadas que terminaron con error. Cat: LDAP paged search failures El número de errores de envío de una búsqueda LDAP paginada asincrónica. Cat: LDAP paged searches El número de búsquedas LDAP paginadas que se enviaron correctamente. Cat: LDAP paged searches completed El número de finalizaciones LDAP paginadas procesadas. Cat: LDAP search completion failures El número de búsquedas LDAP que terminaron con error. 288 Contador de rendimiento Descripción Cat: LDAP search failures El número de errores de envío de una búsqueda LDAP asincrónica. Cat: LDAP searches El número de búsquedas LDAP que se enviaron correctamente. Cat: LDAP searches abandoned El número de búsquedas LDAP que se abandonaron. Cat: LDAP searches completed El número de finalizaciones de búsquedas LDAP procesadas. Cat: LDAP searches completed/sec El número de finalizaciones de búsquedas LDAP procesadas por segundo. Cat: LDAP searches pending completion El número de búsquedas LDAP pendientes de su terminación asincrónica. Cat: LDAP searches/sec El número de búsquedas LDAP que se enviaron correctamente por segundo. Cat: mailmsg duplicate collisions El número de veces que mailmsg o el categorizador de mensajes detectó una dirección de destinatario duplicada. Cat: Messages aborted El número de mensajes que el categorizador marcó para anular. Cat: Messages bifurcated El número de mensajes nuevos creados por el categorizador de mensajes (bifurcación). Cat: Messages categorized El número de mensajes que el categorizador envió a la cola. Cat: Messages submitted El número total de mensajes enviados al categorizador de mensajes. Cat: Messages submitted/sec La tasa a la que se envían mensajes al categorizador de mensajes. Cat: Recipients after categorization El número de destinatarios MAILMSG que el categorizador de mensajes envió a la cola. Cat: Recipients before categorization El número total de destinatarios MAILMSG enviados al categorizador de mensajes. Cat: Recipients in categorization El número de destinatarios que el categorizador de mensajes está procesando actualmente. 289 Contador de rendimiento Descripción Cat: Recipients NDRd (ambiguous address) El número de destinatarios cuyas direcciones coinciden con varios objetos del servicio de directorio. Cat: Recipients NDRd (forwarding loop) El número de destinatarios para los que el categorizador de mensajes genera un NDR debido a la detección de un bucle de reenvío. Cat: Recipients NDRd (illegal address) El número de destinatarios con direcciones no válidas detectados por el categorizador de mensajes. Cat: Recipients NDRd (sink recip errors) El número de destinatarios para los que el categorizador de mensajes genera un NDR debido a un error genérico del destinatario. Cat: Recipients NDRd (unresolved) El número de destinatarios sin resolver (las direcciones locales no se encuentran). Cat: Recipients NDRd by Categorizer El número de destinatarios para los que el categorizador de mensajes está configurado para generar un NDR. Cat: Senders unresolved El número de remitentes que no se encontraron en el servicio de directorio. Cat: Senders with ambiguous addresses El número de remitentes cuyas direcciones coinciden con varios objetos del servicio de directorio. Categorizer Queue Length El número de mensajes que hay en la cola del categorizador de mensajes. Cómo habilitar el Centro de seguimiento de mensajes en un servidor Para registrar información acerca de los mensajes enviados a través de su sistema de mensajería puede utilizar el Centro de seguimiento de mensajes de Exchange Server. El Centro de seguimiento de mensajes registra información acerca del remitente, el mensaje de correo y los destinatarios del mensaje. En concreto, puede ver estadísticas como la hora en que se envió o recibió el mensaje, el tamaño y la prioridad del mensaje, y la lista de destinatarios del mensaje. También puede registrar la línea de asunto de los mensajes de 290 correo electrónico. El Centro de seguimiento de mensajes busca todos los tipos de mensajes, incluyendo los mensajes del sistema, los mensajes de carpetas públicas y los mensajes de correo electrónico. Debe habilitar el Centro de seguimiento de mensajes en cada servidor para el que desee hacer un seguimiento de los mensajes. Cuando está habilitado, todos los mensajes enrutados a través de un servidor se agregan a los registros de seguimiento de mensajes. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para habilitar el Centro de seguimiento de mensajes en un servidor 1. En el Administrador del sistema de Exchange, expanda Servidores, haga clic con el botón secundario del mouse (ratón) en el servidor para el que desee habilitar el seguimiento de mensajes y, después, haga clic en Propiedades. 2. En la ficha General, active la casilla de verificación Habilitar seguimiento de mensajes. 3. Para registrar el asunto de cualquier mensaje enviado a, desde o a través del servidor, seleccione la casilla de verificación Habilitar presentación y registro del asunto. Nota: Al habilitar el registro del asunto se degrada el rendimiento. 4. En Mantenimiento del archivo de registro puede impedir que se borren los archivos de registro o puede modificar el tiempo durante el cual se conservan los archivos de registro. El período predeterminado durante el cual se conservan los registros de seguimiento es de siete días. Nota: En los servidores que procesan grandes cantidades de correo, el tamaño de los registros de rendimiento crecen rápidamente. Asegúrese de que tiene suficiente espacio de disco para los archivos de registro y para otros servicios o aplicaciones que utilicen este disco. 291 5. Haga clic en Aceptar o Aplicar. No es necesario reiniciar los servicios para que este cambio surta efecto. Para obtener más información Para obtener más información acerca de cómo utilizar el Centro de seguimiento de mensajes, consulte en Microsoft Knowledge Base el artículo 262162, "XADM: Using the Message Tracking Center to Track a Message". Cómo ver el registro de aplicación del Visor de sucesos En el Visor de sucesos, tanto el registro de aplicación como el registro del sistema contienen errores, advertencias y sucesos informativos relacionados con el funcionamiento de Exchange Server, el servicio SMTP y otras aplicaciones. Para identificar la causa de los problemas del flujo de mensajes, examine detenidamente los datos contenidos en el registro de aplicación y en el registro del sistema. El procedimiento siguiente permite ver los errores, las advertencias y los sucesos informativos del registro de aplicación. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para ver el registro de aplicación del Visor de sucesos 1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y haga clic en Visor de sucesos. 2. En el árbol de consola, haga clic en Registro de aplicación. 3. Para ordenar el registro alfabéticamente y encontrar rápidamente la entrada de un servicio determinado de Exchange, haga clic en Origen en el panel de detalles. 4. Haga doble clic en una entrada del registro para abrir la página de propiedades de 292 un suceso. 5. Para filtrar el registro de modo que se muestren las entradas de un tipo específico de suceso relacionado con Exchange, en el menú Ver, haga clic en Filtro. 6. En Propiedades de Registro de aplicación, utilice la lista Origen del suceso para seleccionar el origen de un suceso relacionado con Exchange. Por ejemplo: MSExchangeTransport Sucesos que se graban cuando se utiliza SMTP para enrutar mensajes. IMAP4Svc Sucesos relacionados con el servicio que permite a los usuarios tener acceso a buzones y carpetas públicas mediante IMAP4. MSExchangeAL Sucesos relacionados con el servicio que dirige mensajes de correo electrónico mediante listas de direcciones. MSExchangeIS Sucesos relacionados con el servicio que permite tener acceso al servicio Almacén de información de Exchange. MSExchangeMTA Sucesos relacionados con el servicio que permite que los conectores X.400 utilicen el Agente de transferencia de mensajes (MTA). MSExchangeMU Sucesos relacionados con el servicio de actualización de la metabase, un componente que lee información de Active Directory y la transpone en la metabase de IIS local. MSExchangeSA Sucesos que se graban cuando Exchange utiliza Active Directory para almacenar y compartir información de directorio. MSExchangeSRS Sucesos que se graban cuando se utiliza el Servicio de replicación de sitios (SRS) para replicar equipos que ejecutan Exchange 2003 con equipos que ejecutan Exchange 5.5. POP3Svc Sucesos que se graban cada vez que se utiliza el Protocolo de oficina de correo versión 3 (POP3) para tener acceso al correo electrónico. 7. En la lista Categoría, seleccione un conjunto específico de sucesos o bien, para ver todos los sucesos correspondientes a un origen, deje el valor predeterminado Todas. 8. Haga clic en Aceptar. 293 Cómo ver el registro del sistema del Visor de sucesos En el Visor de sucesos, tanto el registro de aplicación como el registro del sistema contienen errores, advertencias y sucesos informativos relacionados con el funcionamiento de Exchange Server, el servicio SMTP y otras aplicaciones. Para identificar la causa de los problemas del flujo de mensajes, examine detenidamente los datos contenidos en el registro de aplicación y en el registro del sistema. El procedimiento siguiente permite ver los errores, las advertencias y los sucesos informativos del registro del sistema para el servicio SMTP. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para ver el registro del sistema del Visor de sucesos 1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y haga clic en Visor de sucesos. 2. En el árbol de consola, haga clic en Registro del sistema. 3. Para ordenar el registro alfabéticamente y encontrar rápidamente la entrada de un servicio determinado de Exchange, haga clic en Origen en el panel de detalles. 4. Haga doble clic en una entrada del registro para abrir la página de propiedades de un suceso. 5. Para filtrar el registro de modo que se muestren las entradas de un tipo específico de suceso del servicio SMTP, en el menú Ver, haga clic en Filtro. 6. En Propiedades de Registro del sistema, en la lista Origen del suceso, seleccione SMTPSVC. 7. En la lista Categoría, seleccione un conjunto específico de sucesos o bien, para ver todos los sucesos del servicio SMTP, deje el valor predeterminado Todas. 8. Haga clic en Aceptar. 294 Cómo modificar la configuración de registro para MSExchangeTransport Para ayudar a determinar la causa de un problema de transporte, vea los sucesos correspondientes a MSExchangeTransport. Si experimenta problemas con el flujo de mensajes de Exchange Server, aumente inmediatamente los niveles de registro relacionados con MSExchangeTransport. Los niveles de registro controlan la cantidad de datos que se graban en el registro de aplicación. Cuantos más sucesos se graben, más sucesos relacionados con el transporte podrá ver en el registro de aplicación; por tanto, tendrá más posibilidades de averiguar la causa del problema en el flujo de mensajes. El archivo de registro de SMTP se encuentra en la carpeta Exchsrvr\nombre_Servidor.log. Como se ha explicado en "Descripción de las colas SMTP" en Solución de problemas del flujo de correo y SMTP, los problemas en determinados componentes del enrutamiento y del transporte pueden hacer que se acumulen mensajes en una cola. Si tiene problemas con una cola específica, aumente el nivel de registro del componente que afecta a la cola. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para modificar la configuración del registro para MSExchangeTransport 1. Haga clic en Inicio, seleccione Programas, Microsoft Exchange y haga clic en Administrador del sistema. 2. En el árbol de la consola, expanda Servidores, haga clic con el botón secundario del mouse (ratón) en <Nombre de servidor> y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Registro de diagnósticos. 4. En Servicios, haga clic en MSExchangeTransport. 295 5. En Categorías, haga clic en la categoría para la que desee configurar el nivel de registro: Seleccione Servicio o motor de enrutamiento para solucionar problemas de enrutamiento. Aumente el nivel de registro para este componente si se están acumulando mensajes en la cola SMTP Mensajes a la espera de enrutamiento. Seleccione Categorizador para solucionar problemas de resolución de direcciones en Active Directory, expansión de listas de distribución y otros problemas de categorizador. Aumente el nivel de registro para este componente si se están acumulando mensajes en la cola SMTP Mensajes a la espera de una búsqueda en el directorio. Seleccione Administrador de conexiones para solucionar problemas con la conectividad de red privada virtual y de acceso telefónico a través del Administrador de conexiones. Seleccione Motor de cola para solucionar problemas con el motor de cola. Aumente el nivel de registro de este componente si experimenta problemas de flujo de correo y no éste no se acumula en ninguna de las colas. Seleccione Controlador del almacén de Exchange para solucionar problemas con el controlador del almacén de Exchange. Aumente el nivel de registro para este componente si se acumulan mensajes en la cola SMTP de entrega local, las colas X.400 o si tiene problemas para recibir correo de servidores de Exchange 5.x u otros sistemas de correo. Seleccione Protocolo SMTP para solucionar problemas generales de SMTP. Aumente el nivel de registro para este componente si se acumulan mensajes en la cola SMTP Entrega remota para determinar si hay errores de SMTP que provocan el cuello de botella. Seleccione Controlador del almacén NTFS para solucionar problemas con el controlador del almacén NTFS. Aumente el nivel de registro de esta categoría si se acumulan mensajes en la carpeta Cola del servidor virtual SMTP y se procesan despacio o no se procesan. En Nivel de registro, haga clic en Ninguno, Mínimo, Medio o Máximo. Haga clic en Máximo para la solución de problemas. Precaución: Si aumenta los niveles de registro para los servicios de Exchange, se producirá una degradación de rendimiento. Se recomienda que aumente el tamaño del registro de aplicación para que pueda contener todos los datos obtenidos. Si no aumenta el tamaño del registro de aplicación, recibirá avisos frecuentes que le indicarán que el registro de aplicación está lleno. 296 Cómo establecer el registro en el nivel de depuración para el protocolo SMTP Si experimenta problemas en el flujo de correo y desea ver todos los sucesos, puede modificar una clave del Registro para establecer el registro en el nivel más alto (nivel 7, de ingeniería de campo). Nota: La modificación incorrecta del Registro puede ocasionar problemas graves que quizás requieran volver a instalar el sistema operativo. Es posible que los problemas derivados de una modificación incorrecta del Registro no se puedan resolver. Antes de modificar el Registro, se recomienda realizar una copia de seguridad de todos los datos importantes. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para establecer el registro en el nivel de depuración para el protocolo SMTP 1. Inicie el Editor del Registro: En el menú Inicio, haga clic en Ejecutar y escriba regedit. 2. En el Editor del Registro, busque el valor de la siguiente clave del Registro, haga clic en ella con el botón secundario del mouse y, a continuación, haga clic en Modificar: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeTransport\Diagnostics\SMTP Protocol 3. Establezca el valor 7. 297 Cómo habilitar el registro en el nivel de depuración para el categorizador de mensajes Si experimenta problemas en el flujo de correo y desea ver todos los sucesos, puede modificar una clave del Registro para establecer el registro en el nivel más alto (nivel 7, de ingeniería de campo). Nota: La modificación incorrecta del Registro puede ocasionar problemas graves que quizás requieran volver a instalar el sistema operativo. Es posible que los problemas derivados de una modificación incorrecta del Registro no se puedan resolver. Antes de modificar el Registro, se recomienda realizar una copia de seguridad de todos los datos importantes. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas del flujo de correo y SMTP. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para habilitar el registro en el nivel de depuración para el categorizador de mensajes 1. Inicie el Editor del Registro: En el menú Inicio, haga clic en Ejecutar y escriba regedit. 2. En el Editor del Registro, busque el valor de la siguiente clave del Registro, haga clic en ella con el botón secundario del mouse (ratón) y, después, haga clic en Modificar: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ MSExchangeTransport\Diagnostics\Categorizer 3. Establezca el valor 7. 298 Solución de problemas de mensajes de informes de no entrega Los informes de no entrega (NDR) son un tipo de notificación del estado de entrega. Los NDR se generan siempre que no se puede entregar un mensaje. Si un servidor detecta la razón del error de entrega, asocia dicha razón a un código de estado y se escribe un mensaje de error correspondiente. A continuación se exponen algunas preguntas básicas que debe tener en cuenta a la hora de solucionar problemas de NDR en Microsoft® Exchange Server 2003. Recopile esta información antes de empezar a solucionar los problemas: ¿Qué tipos de clientes de utilizan (por ejemplo, Microsoft Outlook® 2000, Outlook 2002 o Microsoft Office Outlook 2003)? ¿Hay más de un usuario que reciben NDR cuando envían correo a un destinatario concreto o a todos los destinatarios? ¿Pueden otros usuarios enviar correo correctamente al mismo destinatario desde el mismo servidor? ¿Sufren este problema los usuarios de un servidor específico o los usuarios de varios servidores? ¿Está relacionado el problema con un sitio concreto o se produce en varios sitios? ¿Puede reproducir el problema cuando desea o se produce de forma aleatoria? Si los NDR son aleatorios, ¿con qué frecuencia se producen? ¿Qué tipo de destinatario experimenta el problema? ¿Dónde reside físicamente el destinatario? ¿Cómo se especificó el destinatario en el campo Para del mensaje (por ejemplo, se seleccionó en la libreta global de direcciones, se seleccionó en una libreta personal de direcciones o se escribió manualmente)? Nota: Para solucionar problemas de los NDR siempre es útil crear un nuevo usuario de prueba. Investigue los períodos de tiempo en los que se producen los NDR y obtenga toda la información posible sobre el problema. Tenga en cuenta cualquier variable que afecte al problema. Es importante que reduzca el problema lo máximo posible mediante preguntas similares a las descritas en la lista anterior. 299 Herramientas para solucionar problemas de NDR Puede utilizar las siguientes herramientas de diagnóstico y archivos para la solución básica de problemas de NDR: Una copia del NDR. Guarde el mensaje del NDR. El código de notificación del estado de entrega que figura en el NDR. Guarde el código de notificación del estado de entrega incluido en el mensaje de NDR. El registro de sucesos de aplicación. Establezca el registro de diagnóstico del categorizador de mensajes en el nivel 7. Resultados de la herramienta LDP. Puede utilizar los resultados de la herramienta LDP (ldp.exe) como ayuda para solucionar problemas de NDR. Puede utilizar esta herramienta para realizar operaciones del Protocolo ligero de acceso a directorios (LDAP) con el servicio de directorio Microsoft Active Directory®. La herramienta LDP se incluye en las herramientas de soporte técnico de Microsoft Windows® 2000 Server y Windows Server? 2003. Resultados de LDIFDE. Puede utilizar los resultados de LDIFDE como ayuda para la solución de problemas de NDR. Puede utilizar esta herramienta de la línea de comandos para crear, modificar y eliminar objetos de Active Directory. Esta herramienta está incluida en Windows 2000 Server y Windows Server 2003. Para obtener información adicional acerca de LDIFDE, consulte la documentación en pantalla de Windows. Centro de seguimiento de mensajes. El Centro de seguimiento de mensajes puede hacer un seguimiento de los mensajes en las organizaciones de Exchange 2003 y en las implementaciones mixtas de Exchange Server versión 5.5 y Exchange 2000 y Exchange Server 2003. Para obtener más información acerca del Centro de seguimiento de mensajes, consulte la documentación en pantalla de Exchange Server 2003. Resultados de la metabase. Puede obtener resultados de la metabase si utiliza Metabase Editor para examinar y modificar atributos de la metabase de Servicios de Microsoft Internet Information Server (IIS). Metabase Editor se incluye con los Kits de recursos de Microsoft Windows 2000 Server y de Microsoft Windows Server 2003. Contadores de Monitor de sistema. Utilice los contadores de Monitor de sistema correspondientes al categorizador de mensajes como ayuda para solucionar problemas de NDR. Los contadores de rendimiento del categorizador de mensajes se describen más adelante en esta sección. Traza de Monitor de red. Puede utilizar Monitor de red (Netmon.exe) para capturar todo el tráfico de red local o puede seleccionar un subconjunto de tramas que desea capturar. También puede hacer que una captura responda a sucesos de la red. Monitor de red está incluido en Windows 2000 Server y en Windows Server 2003. Para obtener 300 información adicional acerca de Monitor de red, consulte la documentación en pantalla de Windows. La herramienta regtrace. Para obtener más información acerca de la herramienta Regtrace, consulte en Microsoft Knowledge Base el artículo 238614, "XCON: How to Set Up Regtrace for Exchange 2000". Aunque este artículo está escrito para Exchange 2000, esta misma información también se aplica a Exchange 2003. Estrategias y sugerencias para la solución de problemas Esta sección contiene estrategias y sugerencias para solucionar problemas de los NDR. Utilice los pasos siguientes para determinar la causa de un NDR: 1. Utilice el código de diagnóstico del NDR para determinar sus causas posibles. 2. Aumente el nivel de registro de sucesos para capturar todos los sucesos. 3. Utilice Regtrace para recopilar información. Determinación de las posibles causas de un NDR En la siguiente tabla se enumeran los códigos de diagnóstico de NDR más frecuentes, las condiciones de error correspondientes y sugerencias para la solución de problemas. 301 Códigos de diagnóstico de NDR y sus condiciones de error correspondientes Código de NDR Causa posible Solución de problemas 4.2.2 En Exchange 2000, esta notificación de estado de entrega se genera cuando el buzón del destinatario supera su límite de almacenamiento. Compruebe el almacenamiento de buzones y el límite de la cuota de almacenamiento de la cola. En Windows 2000 y Microsoft Windows Server 2003, este mensaje se genera cuando el tamaño de almacenamiento del directorio de almacenamiento (un directorio en el que se colocan los mensajes para su entrega) supera la cuota de disco del servidor virtual del Protocolo simple de transferencia de correo (SMTP). La cuota de disco del servidor virtual SMTP es 11 veces el tamaño máximo de mensaje del servidor virtual. Si no se especifica ningún tamaño máximo, la cuota de disco predeterminada es de 22 MB. Si el espacio de disco está dentro del tamaño máximo de mensaje de la cuota o si llega a 20 MB y no se define ningún mensaje máximo, Exchange considera que el mensaje entrante superará la cuota de disco y emite el NDR. 302 Código de NDR Causa posible Solución de problemas 4.3.1 Se produjo un error por falta de memoria. La causa puede ser un problema de recursos, como un disco lleno. Asegúrese de que el servidor de Exchange tenga suficiente almacenamiento en disco. Si es posible, mueva las colas de correo a una partición de disco NTFS. 4.3.2 Disponible en el Service Pack (SP) 1 de Exchange 2000 y posteriores. Este NDR se genera cuando se ha inmovilizado una cola. Libere la cola. 4.4.1 Un host no responde. Este error puede deberse a condiciones transitorias de la red. El servidor de Exchange intenta volver a conectarse automáticamente al servidor y entregar el correo. Si la entrega fracasa después de varios intentos, se generará un NDR con un código de error permanente. Supervise la situación. Se trata de un problema transitorio que puede corregirse por sí solo. 4.4.2 Una conexión interrumpida entre los servidores. Este error puede deberse a condiciones transitorias de la red o a servidores no disponibles. El servidor intenta entregar el mensaje durante un período de tiempo determinado y, después, genera otros informes de estado. Supervise la situación. Se trata de un problema transitorio que puede corregirse por sí solo. 303 Código de NDR Causa posible Solución de problemas 4.4.6 Se ha superado el número máximo de saltos para el mensaje. Este error puede deberse a un bucle entre los servidores de envío y recepción de distintas organizaciones. El mensaje va y viene entre los servidores hasta que se supera el número de saltos permitido. La propiedad de número máximo de saltos se establece para cada servidor virtual y puede reemplazar manualmente el valor predeterminado de 15. También debe comprobar si hay situaciones que puedan ocasionar bucles entre los servidores. 4.4.7 El mensaje de la cola ha caducado. El servidor de envío intentó retransmitir o entregar el mensaje, pero no se completó la acción antes del momento de caducidad del mensaje. Este mensaje también puede indicar que se ha alcanzado un límite de encabezado de mensajes en un servidor remoto u otro error de tiempo de espera del protocolo mientras se comunicaba con el servidor remoto. Este mensaje suele indicar un problema en el servidor de recepción. Compruebe la validez de la dirección del destinatario y determine si el servidor de recepción está configurado correctamente para recibir mensajes. Quizás tenga que reducir el número de destinatarios en el encabezado del mensaje para el host sobre el que está recibiendo este error. Si vuelve a enviar el mensaje, se pondrá de nuevo en la cola. Si el servidor de recepción está disponible, se entregará el mensaje. 304 Código de NDR Causa posible Solución de problemas 4.4.9 Este mensaje indica un error de enrutamiento temporal o una configuración de enrutamiento errónea. Las causas posibles son: El enrutamiento detecta estas situaciones y Exchange devuelve DSN. Primer caso: Se configuró un conector para SMTP mediante DNS (en lugar de un host inteligente) y se agregó un espacio de direcciones que no es SMTP, como una dirección X.400, a este conector. Segundo caso: Se creó un grupo de enrutamiento y se supone que un destinatario de este grupo de enrutamiento ha recibido correo. Se utilizó un conector para grupo de enrutamiento mediante DNS para hacer de puente hacia el grupo de enrutamiento y después se quitó este grupo de enrutamiento o administrativo. Por tanto, todo el correo enviado a este grupo de enrutamiento se envía en el formato MSGWIA.X500 (la encapsulación de direcciones utilizada para direcciones que no son SMTP); DNS no reconoce este formato. Para solucionar el primer caso, configure el conector para SMTP de manera que utilice un host inteligente, en lugar de DNS, para resolver el espacio de direcciones que no es SMTP. Para solucionar el segundo caso, asegúrese de que ha movido a un grupo válido a todos los usuarios del grupo de enrutamiento o administrativo quitado. 305 Código de NDR Causa posible Solución de problemas 5.0.0 Nota Antes del SP1 de Exchange 2000, aparecían los códigos siguientes bajo el código 5.0.0: En uno o más conectores para SMTP, agregue un valor de asterisco (*) como el espacio de direcciones SMTP; compruebe que DNS está funcionando; asegúrese de que los grupos de enrutamiento tienen conectores entre ellos. 4.3.2 5.4.0 5.4.4 5.5.0 Error en el categorizador; entre las causas posibles se incluyen: No hay ninguna ruta para el espacio de direcciones dado; por ejemplo, hay un conector para SMTP configurado, pero esta dirección no coincide. DNS devolvió un host con autorización que no se encuentra para el dominio. El grupo de enrutamiento no tiene ningún conector definido; el correo de un servidor de un grupo de enrutamiento no tiene una ruta hacia otro grupo de enrutamiento. Ocurrió un error SMTP. 306 Código de NDR Causa posible Solución de problemas 5.1.0 Este NDR se debe a un error general en el categorizador (error de dirección errónea). Puede que una dirección de correo electrónico u otro atributo no se encuentre en Active Directory. La causa de este problema puede estar en las entradas de contacto que no tienen establecido el atributo targetAddress. Otra causa posible puede ser que el categorizador no es capaz de determinar el atributo homeMDB de un usuario. El atributo homeMDB corresponde al servidor de Exchange donde reside el buzón del usuario. La dirección del destinatario no tiene el formato correcto o el categorizador no pudo resolver el destinatario correctamente. El primer paso para resolver este error consiste en comprobar la dirección del destinatario y volver a enviar el mensaje. Otra causa frecuente de este NDR es si utilizó Outlook para guardar el mensaje de correo como un archivo y, después, alguien abrió el mensaje sin conexión y respondió al mismo. La propiedad del mensaje sólo conserva el atributo legacyExchangeDN cuando Outlook entrega el mensaje y, por tanto, la búsqueda puede fracasar. 307 Código de NDR Causa posible Solución de problemas 5.1.1 La cuenta de correo electrónico no existe en la organización a la que se envió el mensaje. Esto puede ocurrir si se mueven usuarios a nuevas ubicaciones dentro de un sitio. Por ejemplo, si un antiguo usuario del Grupo_administrativo_1 se mueve al Grupo_administrativo_2 y responde a un mensaje antiguo o no vuelve a crear un perfil de Outlook, se utilizará una dirección LegacyDN del estilo del antiguo grupo administrativo y se emitirá este NDR. Del mismo modo, el envío de correo a entradas obsoletas de la libreta personal de direcciones da como resultado este error. La dirección del destinatario no tiene el formato correcto o el categorizador no pudo resolver el destinatario correctamente. El primer paso para resolver este error consiste en comprobar la dirección del destinatario y volver a enviar el mensaje. Además, si configuró el contacto SMTP con caracteres SMTP no válidos (según lo especificado en RFC 821), el categorizador rechazará la entrega con este código de diagnóstico. 5.1.3 Este NDR se debe a una sintaxis de dirección incorrecta. Por ejemplo, este error podría deberse a un contacto que se configuró en Active Directory con un atributo targetAddress pero sin una dirección. La dirección del destinatario no tiene el formato correcto o el categorizador no pudo resolver el destinatario correctamente. El primer paso para resolver este error consiste en comprobar la dirección del destinatario y volver a enviar el mensaje. 308 Código de NDR Causa posible Solución de problemas 5.1.4 Hay dos objetos con la misma dirección (proxy) y se envía correo a dicha dirección. Este problema también puede producirse si el destinatario no existe en el servidor remoto. Compruebe la dirección del destinatario y vuelva a enviar el mensaje. 5.1.6 Una causa posible de este NDR es que los atributos del directorio de usuarios como homeMDB (el almacén del buzón principal del usuario) o msExchHomeServerName (el servidor donde reside el buzón del usuario) falten o estén dañados. Compruebe la integridad de los atributos del directorio de usuarios y vuelva a ejecutar el Servicio de actualización de destinatarios para asegurarse de la validez de los atributos necesarios para el transporte. 5.1.7 El remitente tiene una dirección SMTP mal construida o inexistente, el atributo mail del servicio de directorio. El categorizador no puede entregar el mensaje de correo sin un atributo mail válido. Compruebe la estructura del directorio de remitentes y averigüe si existe el atributo mail. 5.2.1 El correo local se rechaza porque el mensaje es demasiado grande. Este error también puede deberse a que falte un número de Id. de seguridad (SID) de la cuenta maestra en el destinatario. Compruebe los permisos de acceso y el tamaño del mensaje. Compruebe si el destinatario tiene un SID en Active Directory. 5.2.2 Este NDR se genera cuando el buzón del destinatario supera su límite de almacenamiento. Compruebe el almacenamiento de buzones o el límite de la cuota de almacenamiento de la cola. 309 Código de NDR Causa posible Solución de problemas 5.2.3 El mensaje es demasiado grande y se ha superado la cuota local. Por ejemplo, un usuario remoto de Exchange puede tener una restricción sobre el tamaño máximo de un mensaje entrante. Vuelva a enviar el mensaje sin datos adjuntos, o establezca el servidor o el límite del cliente para permitir un límite de tamaño de mensajes mayor. 5.3.0 Exchange 2003 puede funcionar sin el Agente de transferencia de mensajes (MTA). Si se envía correo por error al MTA, Exchange devolverá este DSN al remitente. Esta condición sólo se aplica si ha deshabilitado el servicio MTA y ha utilizado determinados valores del Registro para deshabilitar el valor MTA/StoreDriver. Una configuración predeterminada mantiene este correo mal enrutado en las colas del MTA. Compruebe la topología de enrutamiento. Utilice la herramienta WinRoute para asegurarse de que las rutas se replican correctamente entre los servidores y los grupos de enrutamiento. 5.3.3 Cuando el servidor remoto de Exchange llega a su capacidad de almacenamiento en disco para contener correo, puede responder con este NDR. Este error suele producirse cuando el servidor de envío está enviando correo con un comando ESMTP BDAT. Este error también indica un posible error de SMTP. Asegúrese de que el servidor remoto tenga suficiente capacidad de almacenamiento para contener correo. Compruebe el registro de SMTP. 310 Código de NDR Causa posible Solución de problemas 5.3.5 Se ha detectado una situación de bucle de correo. Esto significa que el servidor está configurado para devolverse correo a sí mismo. Si tiene varios servidores virtuales SMTP configurados en el servidor de Exchange, asegúrese de que atienden a puertos entrantes diferentes. Además, para evitar el bucle entre los servidores virtuales SMTP locales, asegúrese de que la configuración del puerto SMTP de salida sea válida. Compruebe la configuración de los conectores del servidor para ver si hay bucles. Si hay varios servidores virtuales, asegúrese de que no haya ninguno configurado como "Todos sin asignar". 311 Código de NDR Causa posible Solución de problemas 5.4.0 Las causas posibles son: Utilice la herramienta DNS Resolver (Dnsdiag.exe) o para comprobar la configuración de DNS. Compruebe que la dirección IP tiene el formato literal de IPv4. Compruebe que hay una entrada DNS válida para el servidor y el nombre de equipo en cuestión. Si utiliza un FQDN en un archivo HOSTS, actualice la entrada en el Administrador del sistema de Exchange con una dirección IP válida o con un nombre correcto. No se encuentra en DNS ningún host con autorización. La entrada del host inteligente es incorrecta. Hay un nombre de dominio completo (FQDN) en el archivo HOSTS (corregido en el SP3 de Windows 2000). Error de DNS o configuró una dirección IP no válida como host inteligente. El servidor virtual SMTP no tiene un FQDN válido o una búsqueda válida del servidor virtual SMTP. El dominio SMTP de un contacto no se resuelve en ningún espacio de direcciones SMTP. 312 Código de NDR Causa posible Solución de problemas 5.4.4 Disponible en el SP1 de Exchange 2000 y en versiones posteriores. Agregue o configure el conector para grupo de enrutamiento entre los grupos de enrutamiento. Este NDR se produce si no existe ninguna ruta para la entrega de mensajes o si el categorizador no pudo determinar el destino del siguiente salto. Ha configurado una topología de grupo de enrutamiento, pero no existe ningún conector para grupo de enrutamiento entre los grupos de enrutamiento. 313 Código de NDR Causa posible Solución de problemas 5.4.6 Se ha detectado un bucle de reenvío en el categorizador. El atributo targetAddress se ha establecido en un usuario con buzón habilitado. Esto ocurre cuando contacto A tiene un destinatario alternativo que señala a contacto B, que, a su vez, tiene un destinatario alternativo que vuelve a señalar a contacto A. Compruebe el destinatario alternativo del contacto. Compruebe y quite el atributo targetAddress para los usuarios habilitados para utilizar el buzón. Para poder alojar, es decir, para enviar correo de un usuario de una empresa de una unidad organizativa a un usuario de otra empresa de otra unidad organizativa, debe configurar los dos objetos siguientes, que están relacionados: Usuario: Proxy SMTP: [email protected] Contacto: targetAddress: [email protected]; Proxy SMTP: [email protected], donde fourthcoffee.com es el nombre de la segunda empresa. Este problema frecuente de configuración de alojamiento se produce cuando alguien crea un contacto en una unidad organizativa y, después, utiliza la herramienta de provisión para crear un usuario en otra unidad organizativa con la misma dirección de correo electrónico. 314 Código de NDR Causa posible 5.4.8 Disponible en el SP1 de Exchange 2000 y en versiones posteriores. 5.5.0 Este NDR se debe a un error genérico del protocolo o a un error de SMTP. El servidor SMTP remoto responde al comando EHLO identificativo de un servidor de envío con un error de nivel 500. El sistema de envío terminará la conexión y entregará un NDR que indica que el servidor SMTP remoto no puede tratar el protocolo. Por ejemplo, si una cuenta de correo electrónico de Microsoft Hotmail® ya no está activa, se producirá un error SMTP 550. Solución de problemas Compruebe las directivas de destinatarios. Si una directiva de destinatarios contiene el FQDN de un servidor de Este mensaje alerta de una Exchange, debe quitar esa condición de bucle, que entrada. La directiva de puede ocurrir porque una de destinatarios no debe las directivas de destinatarios contener el FQDN del incluye un dominio local que servidor; en su lugar, sólo coincide con el FQDN de un debe contener el dominio de servidor de Exchange de la correo (por ejemplo, en lugar organización. Cuando el de servidor1.contoso.com, categorizador está debe escribir contoso.com). procesando correo destinado a un dominio que coincide con el FQDN de un servidor de Exchange, devuelve este NDR. Ejecute el registro de SMTP o una traza de Netmon para ver por qué el servidor SMTP remoto rechaza la solicitud del protocolo. 315 Código de NDR Causa posible Solución de problemas 5.5.2 Se produce un error genérico de SMTP cuando los comandos SMTP se envían fuera de secuencia. Por ejemplo, un servidor intenta enviar un comando AUTH (autorización) antes de identificarse a sí mismo con un comando EHLO. Ejecute el registro de SMTP o una traza de Netmon, y asegúrese de que haya suficiente espacio de almacenamiento en disco y memoria virtual para que SMTP pueda funcionar. Es posible que este error también se produzca cuando el disco del sistema esté lleno. 316 Código de NDR Causa posible Solución de problemas 5.5.3 Este NDR puede deberse a que hay demasiados destinatarios en un mensaje. El límite de destinatarios es un valor que se puede configurar. Para resolver este problema, aumente el límite de destinatarios o divida el mensaje en varios mensajes para que entre dentro del límite del servidor. Nota: El límite de destinatarios predeterminado en un mensaje SMTP es 5000. Para cambiar este límite, inicie el Administrador del sistema de Exchange, expanda Configuración global, haga clic con el botón secundario del mouse (ratón) en Entrega de mensajes, haga clic en Propiedades y utilice la ficha Valores predeterminados. También es un valor que se aplica a cada usuario en Active Directory. 317 Código de NDR Causa posible Solución de problemas 5.7.1 Las causas posibles son: Compruebe los atributos y los privilegios del sistema para el contacto, y vuelva a intentar enviar el mensaje. Además, para resolver otros posibles problemas, asegúrese de que está ejecutando el SP1 o posterior de Exchange 2000. Acceso general denegado y acceso de remitente denegado: el remitente del mensaje no cuenta con los permisos necesarios para completar la entrega. Está intentando retransmitir el correo a través de otro servidor SMTP y el servidor no permite la retransmisión. El destinatario puede tener habilitadas restricciones para la entrega en un buzón. Por ejemplo, si la restricción de entrega en un buzón de un destinatario está configurada para recibir correo sólo de una lista de distribución, se rechazará el correo que no provenga de los miembros de esa lista y se producirá este error. Nuevo en Exchange 2003: un usuario anónimo ha intentado enviar correo a destinatarios o a listas de distribución que sólo aceptan correo de una sesión SMTP autenticada. 318 Uso de los registros de sucesos Si todavía no puede determinar por qué el correo está generando NDR, el paso siguiente consiste en aumentar el registro de sucesos de diagnóstico. Después, intente reproducir el NDR y examine el registro de sucesos de aplicación. Puede contener información sobre la causa por la que se genera el NDR. El categorizador de Windows tiene un registro de sucesos limitado, pero el de Exchange permite registrar más sucesos. Para identificar las causas de los NDR, debe establecer el registro de diagnóstico del Categorizador de mensajes en el nivel 7, de ingeniería de campo. Cuando habilita el registro en este nivel, se genera el siguiente mensaje de suceso informativo en el Visor de sucesos para los mensajes que producen NDR: Messageid=9000 Facility=Interface Severity=Informational SymbolicName=PHATCAT_NDR_REASON The function of <function name> failed for reason <cause of failure> when processing recipient <recipient name> of type <recipient type> A delivery status notification has been generated Uso de Regtrace Regtrace está disponible en los servidores de Exchange; se trata de una herramienta útil para diagnosticar y solucionar problemas de los NDR. Para obtener instrucciones detalladas, consulte Cómo habilitar regtrace. El archivo de seguimiento El archivo de seguimiento se encuentra en la ubicación especificada en la ficha Resultado de Regtrace. La ubicación predeterminada del archivo es C:\Trace.atf. El archivo de seguimiento es un archivo con codificación binaria que contiene información de nivel de depuración acerca de los componentes de transporte y enrutamiento de los que está haciendo un seguimiento. Por eso, los Servicios de soporte técnico (PSS) de Microsoft requieren que los clientes envíen los archivos de seguimiento para su análisis interno. Quizás tenga que utilizar software de compresión de archivos para empaquetar los archivos de forma que pueda enviarlos a PSS mediante un servidor FTP, Microsoft File Exchange (MSFE) o Premier Service Desk. Para ver más detalles acerca de cualquiera de estos métodos de entrega, póngase en contacto con su representante de PSS. 319 Cómo habilitar regtrace Regtrace está disponible en los servidores de Exchange. Se trata de una herramienta útil para diagnosticar y solucionar problemas de los NDR. Utilice el procedimiento siguiente para habilitar regtrace. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas de mensajes de informes de no entrega. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para habilitar regtrace 1. En un símbolo del sistema, escriba regtrace. Aparecerá la ventana Configuración de seguimiento. 2. En la ficha Seguimientos, active todas las casillas de verificación. Ficha Seguimientos de las propiedades de Configuración de seguimiento 3. En la ficha Resultados, asegúrese de que esté seleccionada la opción Archivo e 320 indique una ruta de acceso a una ubicación que tenga capacidad suficiente para almacenar un archivo muy grande como resultado. 4. En la ficha Subproceso, asegúrese de que la opción Escribir seguimientos en un subproceso de segundo plano no esté seleccionada y haga clic en Aceptar. 5. En el Editor del Registro, busque la clave del Registro siguiente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MosTrace\CurrentVersion\ DebugAsyncTrace 6. En el menú Edición, haga clic en Agregar valor y agregue los siguientes valores del Registro: Value Name: Modules Data Type: REG_SZ Value: AQ CAT DS2MB dsevntwrap EXSINK IMAP4SVC REAPI RESVC Routing SMTP StoreDev TranMsg DSACCESS 7. Después, agregue el valor de clave MaxTraceFileSize del Registro para establecer el tamaño máximo del archivo de seguimiento en 20 megabytes (MB). En el menú Edición, haga clic en Agregar valor y agregue lo siguiente: Value Name: MaxTraceFileSize Data Type: REG_DWORD Value: 20 (decimal) 8. Salga del Editor del Registro. 9. Reproduzca el problema que está intentando resolver. Por ejemplo, si se devuelve correo porque no se puede entregar, envíe algunos mensajes a una dirección que haga que Exchange devuelva el mensaje sin entregar. 10. Cuando haya reproducido varias veces el problema, detenga el seguimiento. En Regtrace, haga clic en la ficha Resultado y seleccione Sin seguimiento. El archivo de seguimiento se encuentra en la ubicación especificada en la ficha Resultado de Regtrace. La ubicación predeterminada del archivo es C:\Trace.atf. El archivo de seguimiento es un archivo con codificación binaria que contiene información de nivel de depuración acerca de los componentes de transporte y enrutamiento de los que está haciendo un seguimiento. Por eso, los Servicios de soporte técnico (PSS) de Microsoft 321 requieren que los clientes envíen los archivos de seguimiento para su análisis interno. Quizás tenga que utilizar software de compresión de archivos para empaquetar los archivos de forma que pueda enviarlos a PSS mediante un servidor FTP, Microsoft File Exchange (MSFE) o Premier Service Desk. Para ver más detalles acerca de cualquiera de estos métodos de entrega, póngase en contacto con su representante de PSS. Comprobación de los atributos necesarios de Active Directory Cuando está solucionando problemas de un NDR, compruebe que todos los atributos habilitados para correo que el Categorizador de mensajes necesita existen para dicho destinatario en Active Directory. En Exchange 2000 hay varios atributos que deben ser correctos para que se puedan categorizar los mensajes: homeMDB homeMTA legacyExchangeDN mail mailNickname msExchHomeServerName msExchMailboxGuid msExchMailboxSecurityDescriptor proxyAddresses La lista de atributos necesarios sólo es válida si el destinatario es un objeto con buzón habilitado en Active Directory (por ejemplo, un destinatario de Exchange 2003). Sin embargo, si el destinatario es un destinatario de Exchange Server 5.5, los únicos atributos que tienen que estar presentes son: legacyExchangeDN homeMDB homeMTA En el caso de los objetos habilitados para correo (por ejemplo, un destinatario personalizado) y las direcciones alternativas, se requiere el atributo targetAddress. Si el atributo targetAddress no está presente, se utilizará el atributo mail. Si un mensaje de correo electrónico no tiene alguno de los atributos necesarios, o si son incorrectos, el mensaje puede permanecer en el categorizador y no se creará ningún suceso 322 en el Visor de sucesos. Si hace un seguimiento del mensaje, aparecerá en el categorizador de mensajes o generará un NDR, dependiendo del atributo que falte. Si desea comprobar estos atributos para un usuario de Active Directory, utilice la herramienta LDP o ADSI Edit. Para obtener más información acerca de la herramienta LDP o ADSI Edit, consulte la documentación en pantalla de Windows. Nota: Si utiliza el complemento ADSI Edit, la herramienta LDP o cualquier otro cliente de LDAP versión 3 y modifica incorrectamente los atributos de objetos de Active Directory, puede causar problemas graves. Estos problemas pueden requerir la reinstalación de cualquiera de los siguientes productos: Windows 2000 Server o Windows Server 2003, o Exchange Server 2003. Es posible que no pueda solucionar los problemas que se produzcan si modifica incorrectamente atributos de objetos de Active Directory. Modifique estos atributos bajo su responsabilidad. En la siguiente tabla se muestran ejemplos de cada uno de los atributos que Active Directory necesita. Atributos habilitados para correo de Active Directory de Exchange 2003 Atributo habilitado para correo de Ejemplo Exchange 2003 homeMDB CN=Almacén del buzón (CONTOSO-MSG01),CN=Primer grupo de almacenamiento,CN=Almacén de información,CN=CONTOSO-MSG01,CN=Servidores,CN=Primer grupo administrativo,CN=Grupos administrativos,CN=Primera organización,CN=Microsoft Exchange,CN=Servicios,CN=Configuración, DC=contoso,DC=com homeMTA CN=MTA de Microsoft,CN=CONTOSO-MSG01,CN=Servidores,CN=Primer grupo administrativo,CN=Grupos administrativos,CN=Primera organización,CN=Microsoft Exchange,CN=Servicios,CN=Configuración, DC=contoso,DC=com legacyDN /o=Primera organización/ou=Primer grupo administrativo/cn=Destinatarios/cn=ted mail [email protected] 323 Atributo habilitado para correo de Ejemplo Exchange 2003 mailNickname ted msExchHomeServerName /o=Primera organización/ou=Primer grupo administrativo/cn=Configuración/cn=Servidor es/cn=CONTOSO-MSG-01 msExchMailboxGuid 0x06 0x4f 0x69 0xcc 0x5e 0xfe 0x79 0x4f 0x8c 0x6e 0x7b 0x67 0x57 0x92 0x51 0xd2 msExchMailboxSecurityDescriptor Este atributo es un objeto blob binario que no muestra ningún valor en ADSI Edit ni en LDP. proxyAddresses SMTP: [email protected] X400:c=us;a= ;p=Primera organización;o=Exchange;s=Bremer;g=Ted; En el ejemplo siguiente se muestra un archivo de volcado de la herramienta LDP con todos los atributos con correo habilitado de Active Directory de Exchange 2003 que necesita el categorizador: Expanding base 'CN=Ted Bremer,CN=Users,DC=contoso,DC=com'... Result <0>: (null) Matched DNs: Getting 1 entries: >> Dn: CN=Ted Bremer,CN=Users,DC=contoso,DC=com 1> homeMDB: CN=Mailbox Store (CONTOSO-MSG-01),CN=First Storage Group,CN=InformationStore,CN=CONTOSO-MSG-01,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com; 1> memberOf: CN=Sales Team,CN=Users,DC=contoso,DC=com; 1> accountExpires: 9223372036854775807; 1> badPasswordTime: 0; 1> badPwdCount: 0; 1> codePage: 0; 1> cn: Ted Bremer; 1> countryCode: 0; 324 1> displayName: Ted Bremer; 1> mail: [email protected]; 1> givenName: Ted; 1> instanceType: 4; 1> lastLogoff: 0; 1> lastLogon: 126416003544864704; 1> legacyExchangeDN: /o=First Organization/ou=First Administrative Group/cn=Recipients/cn=ted; 1> logonCount: 19; 1> distinguishedName: CN=Ted Bremer,CN=Users,DC=contoso,DC=com; 1> objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=contoso,DC=com; 4> objectClass: top; person; organizationalPerson; user; 1> objectGUID: fdd08ce8-be92-4652-96db-f44785ef49e4; 1> objectSid: S-15-C2EF2A3A-4F67EE69-69068D04-64A; 1> primaryGroupID: 513; 2> proxyAddresses: SMTP:[email protected]; X400:c=us;a= ;p=First Organizati;o=Exchange;s=Bremer;g=Ted;; 1> pwdLastSet: 126415962391597356; 1> name: Ted Bremer; 1> sAMAccountName: ted; 1> sAMAccountType: 805306368; 2> showInAddressBook: CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com; CN=All Users,CN=All Address Lists,CN=Address Lists Container,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com; 1> sn: Bremer; 1> textEncodedORAddress: c=us;a= ;p=First Organizati;o=Exchange;s=Bremer;g=Ted;; 1> userAccountControl: 512; 1> userPrincipalName: [email protected]; 1> uSNChanged: 16820; 1> uSNCreated: 16814; 325 1> whenChanged: 8/6/2001 11:31:17 Pacific Standard Time Pacific Daylight Time; 1> whenCreated: 8/6/2001 11:30:38 Pacific Standard Time Pacific Daylight Time; 1> homeMTA: CN=Microsoft MTA,CN=CONTOSO-MSG-01,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com; 1> msExchMailboxGuid: <ldp: Binary blob>; 1> msExchMailboxSecurityDescriptor: <ldp: Binary blob>; 1> msExchALObjectVersion: 56; 1> msExchHomeServerName: /o=First Organization/ou=First Administrative Group/cn=Configuration/cn=Servers/cn=CONTOSO-MSG-01; 1> mailNickname: ted; 1> mDBUseDefaults: TRUE; 1> msExchPoliciesIncluded: {E7B464D2-65EF-4B3E-8AF4-8EB84BA7088E},{26491CFC-9E50-4857861B-0CB8DF22B5D7}; 1> msExchUserAccountControl: 0; Cómo actualiza los atributos el Servicio de actualización de destinatarios El Servicio de actualización de destinatarios tiene tres directivas del sistema para los destinatarios con correo habilitado, los usuarios con buzón habilitado y la pertenencia oculta a grupos de distribución que se instalan de manera predeterminada cuando instala Exchange 2003. Estas tres directivas tienen la misma finalidad: actualizar algunos atributos de objetos en Active Directory bajo determinadas circunstancias. Cuando se utilizan herramientas personalizadas para crear usuarios, contactos o grupos de distribución, el Servicio de actualización de destinatarios intenta corregir cualquier omisión en aquellos casos en los que una herramienta no crea todos los atributos necesarios para un objeto. Si un usuario, un contacto o un grupo de distribución carece de atributos necesarios, pueden producirse problemas. En el caso de un destinatario con correo habilitado, se necesita un conjunto mínimo de atributos para que todos los componentes de Exchange funcionen correctamente. Por ejemplo, una entrada con correo habilitado (un usuario, un contacto, un grupo o una carpeta pública) debe tener al menos estos atributos: mailNickname, legacyExchangeDN y displayName. Sin el atributo mailNickname, un objeto no se considera habilitado para correo. Cuando un objeto tiene un atributo mailNickname, es preciso establecer los otros dos atributos. 326 Directiva de destinatarios con correo habilitado Si el Servicio de actualización de destinatarios identifica una nueva entrada que se agregó o modificó y dicha entrada tiene el atributo mailNickname, pero no tiene los atributos legacyExchangeDN o displayName, intentará crear dichos atributos. El atributo displayName se copia de mailNickname tal cual. El atributo legacyExchangeDN pasa por un algoritmo que identifica la organización y el grupo administrativo de la entrada, y crea después un valor con el formato siguiente: /o=MyCompany/ou=MyAdminGroup/cn=Recipients/cn=MailNickname Directiva de usuarios con buzón habilitado En el caso de un usuario con buzón habilitado debe haber dos atributos. El primero es mailNickname y el segundo es uno de los siguientes: msExchHomeServerName homeMDB homeMTA Si está presente cualquiera de estos atributos y el usuario tiene un atributo mailNickname, se considera que el usuario tiene un buzón habilitado. En este caso, el Servicio de actualización de destinatarios intentará llenar alguno de los atributos siguientes, si no están presentes: msExchHomeServerName homeMDB homeMTA legacyExchangeDN displayName msExchMailboxGuid Estos atributos se llenan en el orden siguiente: 1. Si el atributo msExchHomeServerName no está presente, se crea basándose en el atributo homeMDB o homeMTA, dependiendo de cuál esté presente. Si el atributo msExchHomeServerName no se puede crear, se detendrá el proceso. 2. Una vez establecido el atributo msExchHomeServerName, se llenan los atributos homeMDB y homeMTA si falta cualquiera de ellos. Si tiene varios almacenes de buzón o agentes de transferencia de mensajes (MTA) en el servidor, el Servicio de actualización de destinatarios elegirá el primero que encuentre cuando realice una búsqueda en Active Directory. Por tanto, se considera que esta selección es aleatoria. 327 3. Para crear los atributos legacyExchangeDN y displayName, el Servicio de actualización de destinatarios sigue los mismos pasos que se utilizan en el caso de un destinatario con correo habilitado. 4. Por último, si el atributo msExchMailboxGuid no está presente, el Servicio de actualización de destinatarios lo creará generando un GUID. Directiva de pertenencia oculta a grupos de distribución Para la directiva de pertenencia oculta a grupos de distribución, el Servicio de actualización de destinatarios no se ejecuta sólo cuando se crea una entrada nueva (como un grupo de seguridad o un grupo de distribución). También se ejecuta cuando modifica el estado del atributo hideDLMembership. Si este atributo tiene el valor TRUE, el Servicio de actualización de destinatarios agregará una parte no canónica al descriptor de seguridad, que impide que alguien pueda ver el atributo "member" para dicha entrada. Esto se aplica a cualquier tipo de cliente que busque en el directorio mediante MAPI o LDAP. Si el atributo tiene el valor FALSE, el Servicio de actualización de destinatarios quitará el descriptor de seguridad no canónico, que vuelve a exponer el atributo "member". Para obtener más información acerca de cómo ocultar la pertenencia a un grupo, consulte en Microsoft Knowledge Base el artículo 253827, "XADM: How Exchange Hides Group Membership in Active Directory". Aunque este artículo está escrito para Exchange 2000, estos mismos principios también se aplican a Exchange 2003. Situaciones frecuentes de informes de no entrega En este tema se explican las siguientes situaciones frecuentes que pueden hacer que se generen informes de no entrega (NDR): Problemas con Active Directory. Retraso en la entrega de mensajes por problemas en el servidor de catálogo global. Envío de mensajes a destinatarios de libretas personales de direcciones o listas de contactos. Envío de mensajes a una carpeta pública. 328 Problemas con Active Directory Los informes de no entrega pueden producirse debido a problemas con Active Directory. Las siguientes categorías de NDR están relacionadas con problemas de Active Directory: Se movieron destinatarios a Active Directory mediante el Conector de Active Directory (ADC). Se movieron destinatarios a Active Directory mediante la herramienta Mover buzón. Faltan atributos. Se movieron destinatarios a Active Directory mediante el Conector de Active Directory Si algunos de los usuarios reciben NDR y ha movido destinatarios mediante el Conector de Active Directory, determine lo siguiente: Qué tipo de destinatario está generando el NDR (por ejemplo, un buzón, un grupo de distribución o un contacto). Cómo se movió al destinatario a Active Directory. Si el ADC replicó el destinatario en Active Directory, utilice la herramienta ADCDump para obtener un archivo de volcado de ADC y compare los atributos existentes en ambos directorios para el destinatario que experimenta el problema. El archivo de volcado de ADC muestra los atributos que faltan entre el objeto de Exchange 2003 y el objeto de Exchange Server 5.5. Para obtener la herramienta ADCDump, póngase en contacto con los Servicios de soporte técnico de Microsoft. Si se movieron los usuarios mediante el ADC, los usuarios deben existir en Active Directory, al menos como usuarios deshabilitados. La replicación de usuarios en Active Directory como contactos (destinatarios personalizados) desde el directorio de Exchange 5.5 da como resultado NDR. Si los destinatarios de Exchange 5.5 y de Microsoft Windows NT® Server versión 4.0 se replicaron en Active Directory como contactos, puede que Exchange 2003 ya no envíe mensajes de correo electrónico a los destinatarios de Windows NT Server 4.0 que están representados como contactos en Active Directory. En este caso, se devolverá el NDR siguiente: A configuration error in the e-mail system caused the message to bounce between two servers or to be forwarded between two recipients. Contact your administrator. <servername.contoso.com #5.4.6> Para obtener más información, consulte el artículo 272593 de Microsoft Knowledge Base "XCON: Message Generates NDR When Sent to a Windows NT Server 4.0 Recipient Represented as Contact in Active Directory". Aunque este artículo está escrito para Exchange 2000, estos mismos principios también se aplican a Exchange 2003. 329 Este comportamiento no se produce con los contactos creados en Exchange 2003; sólo ocurre con los usuarios de Windows NT Server 4.0 que se replicaron en Active Directory como contactos mediante el ADC. Se pueden enviar mensajes a contactos nativos de Exchange 2003 sin ningún problema. Nota: Si no se muestran usuarios deshabilitados en Active Directory y está recibiendo mensajes de error 8277 MSADC, cambie el servidor de replicación para el Acuerdo de conexión de manera que sea el servidor cabeza de puente del sitio o el dominio de Exchange 2003 donde va a realizar la replicación. Además, para lograr una total interoperabilidad entre los servidores de Exchange 2003 y equipos con Exchange 5.5, asegúrese de que la replicación del ADC esté configurada de manera bidireccional. Se movieron destinatarios a Active Directory mediante la herramienta Mover buzón Asegúrese de que todos los atributos con correo habilitado existen si un destinatario, un grupo de distribución o un usuario existe como un objeto nativo de Exchange 2003 o se movió desde Exchange 5.5 mediante la herramienta Mover buzón. Los pasos siguientes pueden resultar útiles: Determine el servidor de Exchange donde reside físicamente el remitente. Si el destinatario es un grupo de distribución, busque el servidor de expansión del grupo de distribución. Determine con qué servidor de catálogo global se pone en contacto el servidor de Exchange del remitente o el servidor de expansión del grupo de distribución para la resolución de nombres. (Consulte el procedimiento incluido más adelante en esta sección para conocer los pasos detallados). Ejecute la herramienta Nltest, disponible en Windows 2000 y en Windows Server 2003, para determinar con qué servidor de catálogo global se pone en contacto el servidor del remitente o el servidor de expansión del grupo de distribución. Asegúrese de ejecutar Nltest desde el servidor de Exchange del remitente o desde el servidor de expansión del grupo de distribución. Si la expansión del grupo de distribución está configurada para cualquier servidor de la organización, ejecute Nltest desde el servidor de envío. Para obtener instrucciones detalladas, consulte Cómo determinar el servidor de expansión para un grupo de distribución. Cuando sepa qué catálogo global se está utilizando, obtenga un archivo de volcado del grupo de distribución del destinatario. Para obtener más información acerca de cómo obtener un archivo de volcado, consulte en Microsoft Knowledge Base los artículos siguientes: 255253,"XADM: How to Perform a Dump of a Container or Object in Exchange 2000" 330 271201,"XADM: Alternative Methods to Obtain a Dump of an Object" También puede utilizar la herramienta LDP para obtener el archivo de volcado de LDP del objeto destinatario. Si utiliza la herramienta LDP, asegúrese de que se utiliza el puerto 3268 al conectarse al servidor de catálogo global. Éste es el puerto que utiliza el categorizador de mensajes para consultar los servidores de catálogo global con el fin de resolver nombres. Nota: Si la herramienta LDP trunca los resultados, puede obtener la información básica de nombre completo para el objeto (que es necesaria para utilizar el procedimiento descrito en el artículo de Knowledge Base 271201) del NDR. Cada NDR contiene la información básica de nombre completo del objeto que no se puede entregar. Si el formato del NDR o la información básica de nombre completo del objeto destinatario es sospechosa, puede enviar un nuevo mensaje de prueba con confirmación de entrega. Envíe este mensaje de prueba al destinatario que tenga el problema desde un usuario que pueda enviar correo correctamente a dicho destinatario. Atributos que faltan Pueden faltar atributos de un objeto por diversas razones, que pueden variar desde atributos que se eliminaron manualmente hasta problemas de sincronización en el catálogo global. Sin embargo, si faltan atributos, suele ser porque el Servicio de actualización de destinatarios no escribió correctamente estos atributos o debido a problemas en la replicación del ADC. Para obtener información detallada, consulte Cómo corregir problemas por atributos que faltan. Retraso en la entrega de mensajes por problemas en el servidor de catálogo global La existencia de problemas en un catálogo global puede producir retrasos en la entrega de mensajes. En este caso, se generan NDR para notificar el retraso al remitente. Puede utilizar el Centro de seguimiento de mensajes para diagnosticar estos problemas. El ejemplo siguiente muestra datos recopilados por el Centro de seguimiento de mensajes: 6/22/2001 3:54 PM Tracked message history on server CONTOSO-MSG-01 6/22/2001 3:54 PM SMTP Store Driver: Message Submitted from Store 6/22/2001 3:54 PM SMTP: Message Submitted to Advanced Queuing 6/22/2001 3:54 PM SMTP: Started Message Submission to Advanced Queue 6/22/2001 3:54 PM SMTP: Message Submitted to Categorizer 6/22/2001 4:24 PM SMTP: Started Outbound Transfer of Message 331 6/22/2001 4:24 PM Message transferred out to FOURTHCOFFEE.COM through SMTP 6/22/2001 4:24 PM SMTP: Message Submitted to Advanced Queuing 6/22/2001 4:24 PM SMTP: Started Message Submission to Advanced Queue 6/22/2001 4:24 PM SMTP: Message Submitted to Categorizer 6/22/2001 4:24 PM SMTP: Started Outbound Transfer of Message 6/22/2001 4:24 PM Message transferred out to FOURTHCOFFEE.COM through SMTP 6/22/2001 4:24 PM SMTP Store Driver: Message Delivered Locally to Store En este ejemplo, observe que el mensaje se retrasó en el categorizador durante 30 minutos antes de que comenzara la transferencia saliente y se entregara realmente el mensaje. En estas situaciones, para determinar qué servidor de catálogo global está utilizando Exchange, ejecute la herramienta Nltest según se describe en "Se movieron destinatarios a Active Directory mediante la herramienta Mover buzón" anteriormente en este tema. Después, investigue los servidores de catálogo global implicados. A continuación se indican algunas causas frecuentes de problemas en el catálogo global: Servidores de catálogo global sobrecargados. Problemas de rendimiento en los servidores de catálogo global. Poca memoria. Poco espacio en disco duro. Problemas de red intermitentes entre Exchange 2000 y los servidores de catálogo global. Demasiados servidores de Exchange que utilizan el mismo servidor de catálogo global (la proporción recomendada de procesadores de Exchange frente a procesadores de servidor de catálogo global es de cuatro a uno). Importante: Los registros de seguimiento de mensajes pueden dar lugar a confusión. Por ejemplo, si el servidor de catálogo global está funcionando correctamente y el mensaje se categorizó correctamente pero un servidor SMTP remoto no está disponible durante treinta minutos, el registro de seguimiento de mensajes es similar al ejemplo mostrado anteriormente. Además, si el mensaje tuviera que entregarse localmente y el almacén de Exchange funcionara despacio, el registro de seguimiento de mensajes mostraría un gran intervalo de tiempo entre "Mensaje enviado al categorizador" y "El mensaje se entregó localmente al almacén". Utilice un registro de Monitor de sistema de un servidor de catálogo global mientras reproduce el problema. Puede ayudarle a diagnosticar estos problemas. El reciclaje de los servidores de catálogo global puede resolver estos problemas. Para solucionar estos problemas, puede especificar un servidor de catálogo global para cada servidor de Exchange. 332 Nota: La configuración manual de los servidores de catálogo global sólo se recomienda para solucionar problemas. Cuando los servidores de catálogo global están configurados manualmente, Exchange no puede detectar si un servidor deja de estar disponible. Para obtener información detallada, consulte Cómo especificar un servidor de catálogo global. Para obtener más información acerca de DSAccess, consulte el artículo 250570 de Microsoft Knowledge Base "XCON: Directory Service Server Detection and DSAccess Usage". Informes de no entrega cuando se envía correo a una libreta personal de direcciones y una lista de contactos Si se mueve a un usuario desde un equipo con Exchange Server 5.5 mediante la herramienta Mover buzón de Exchange 2003 y el buzón movido tiene una libreta personal de direcciones o una lista de contactos en el buzón de Exchange 5.5, la libreta personal de direcciones y la lista de contactos ya no son válidas en un buzón de Exchange 2003. Todas las direcciones que se resuelven con la libreta personal de direcciones o la lista de contactos generan un NDR similar al siguiente: Your message did not reach some or all of the intended recipients. Subject: Test Sent: 8/3/2000 5:24 PM The following recipient(s) could not be reached: CN=\ Network,OU=United States,OU=Distribution Lists,DC=Contoso,DC=com on 8/3/2000 5:24 PM The e-mail address could not be found. Perhaps the recipient moved to a different email organization, or there was a mistake in the address. Check the address and try again. <CONTOSO-MSG-01.Contoso.com #5.1.0> Como la herramienta Mover buzón no mueve las libretas personales de direcciones ni las listas de contactos, toda la información de direcciones de ellas deja de ser válida. Para resolver este problema, en el cliente de Outlook, asegúrese de que la lista global de direcciones esté seleccionada como fuente para la libreta de direcciones. Idealmente, los usuarios que se hayan movido desde un servidor de Exchange 5.5 deben eliminar las libretas personales de direcciones y las listas de contactos, y volver a crearlas. 333 Envío de mensajes a una carpeta pública El envío de un mensaje de correo electrónico a una carpeta pública en Exchange es más complicado que el envío a un buzón. Un buzón sólo puede existir en un servidor y, por tanto, pertenece a un almacén de buzón concreto. Los atributos de Active Directory para un buzón señalan a un servidor específico. Por tanto, una vez resuelta la entrada, Exchange puede utilizar el enrutamiento para determinar en qué almacén de buzón se debe entregar el mensaje. Una carpeta pública en Active Directory no tiene ningún servidor principal. Una carpeta pública puede existir en varios servidores y en Active Directory no se almacena ninguna información para indicar qué servidores contienen réplicas de la carpeta. El almacén de Exchange se encarga de esta información. Cuando Exchange entrega un mensaje a una carpeta pública, la primera tarea que realiza es entregar el mensaje a un almacén de Exchange que señala a la ubicación de las réplicas de las carpetas públicas. El almacén de Exchange busca la entrada ptagReplicaList, que enumera los servidores de Exchange que tienen réplicas de la carpeta, y vuelve a enviar el mensaje dirigido a un almacén de Exchange que contiene una réplica de la carpeta. El categorizador es responsable de resolver correctamente la dirección de un mensaje. En el caso de las carpetas públicas, también es responsable de lo siguiente: Determinar a qué jerarquía de nivel superior pertenece la carpeta. Dirigir el mensaje correctamente para que se envíe a un almacén de dicha jerarquía de nivel superior. Volver a escribir la dirección del mensaje en un almacén que contiene una réplica de esa carpeta pública, después de obtener una lista de réplicas. Cuando se envía un mensaje de correo electrónico a una carpeta pública, el categorizador realiza los pasos siguientes para entregar el mensaje: 1. Búsqueda inicial de la carpeta pública 2. Búsqueda en el servidor de la jerarquía de nivel superior Búsqueda inicial de la carpeta pública Cuando se envía un mensaje de correo electrónico, Exchange resuelve la dirección como una entrada de Active Directory. Si esa entrada es una carpeta pública en lugar de un buzón, el categorizador intentará obtener el atributo homeMDB de la carpeta pública: homeMDB: CN=Public Folders,CN=Folder Hierarchies,CN=First Administrative Group,CN=Administrative Groups,CN=First Organization,CN=MicrosoftExchange,CN=Services,CN=Configuration,DC=contoso-msg01,DC=contoso,DC=com; 334 El atributo homeMDB de una carpeta contiene el nombre completo de la jerarquía de nivel superior a la que pertenece la carpeta. Búsqueda en el servidor de la jerarquía de nivel superior Después, el categorizador examina la jerarquía de nivel superior recuperada del atributo homeMDB de la carpeta para obtener una lista de todos los servidores que hay en la jerarquía de nivel superior de dicha carpeta. El categorizador no puede determinar la ubicación de la réplica, pero sí puede enviar el mensaje a un almacén de Exchange que tiene la información de la ubicación. El nombre completo de la jerarquía de nivel superior contiene un vínculo a todos los servidores de dicha jerarquía. Para determinar qué almacén o servidor de carpetas públicas elige el categorizador en la jerarquía de nivel superior, Exchange utiliza los criterios siguientes: ¿Existe uno de los almacenes de carpetas públicas en el servidor local? En caso afirmativo, Exchange utilizará ese almacén. ¿Existe uno de los almacenes de carpetas públicas en un servidor de Exchange del grupo de enrutamiento local? En caso afirmativo, Exchange utilizará ese almacén. ¿Existe uno de los almacenes de carpetas públicas en cualquier servidor de Exchange? En caso afirmativo, Exchange utilizará ese almacén. De lo contrario, Exchange usará el primer almacén de la lista. El primer servidor de la lista está contenido en el atributo msExchOwningPFTreeBL. Este atributo se encuentra en el árbol de carpetas públicas, bajo las jerarquías de carpetas. El categorizador elige entonces un servidor del atributo msExchOwningPFTreeBL al que envía el mensaje. El ejemplo siguiente muestra el contenido del atributo msExchOwningPFTreeBL, como se obtiene del resultado de LDP: msExchOwningPFTreeBL: CN=Public Information Store (PFREP55),CN=First Storage Group,CN=InformationStore,CN=PFREP55,CN=Servers,CN=FourthCoffee,CN=Administrative Groups,CN=Lake District,CN=Microsoft Exchange,CN=Services,CN=Configuration, DC=cumbria,DC=extest,DC=microsoft, DC=com; CN=Public Folder Store (PFREP57),CN=First Storage Group,CN=InformationStore, CN=PFREP57,CN=Servers,CN=Coniston,CN=Administrative Groups,CN=Lake District,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=cumbria,DC=example,DC=microsoft,DC=com; CN=Public Information Store (PFREP56),CN=First Storage Group,CN=InformationStore,CN=PFREP56,CN=Servers,CN=Coniston,CN=Administrative Groups,CN=Lake District,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=cumbria,DC=example,DC=microsoft,DC=com; 335 Cómo determinar el servidor de expansión para un grupo de distribución Los servidores de expansión enrutan mensajes que se envían a un solo grupo o lista de distribución para cada uno de los objetos de destinatario de ese grupo o lista. Cuando un usuario envía un mensaje a un grupo, el servidor de Exchange que actúa como servidor de expansión expande el grupo a sus miembros individuales. Esta expansión permite a los miembros de un grupo o lista de distribución recibir el mensaje. Un servidor de expansión también resuelve los nombres de todos los destinatarios del grupo o lista de distribución y, a continuación, determina la ruta más eficiente para enrutar el mensaje. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas de mensajes de informes de no entrega. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel de grupo administrativo Procedimiento Para determinar el servidor de expansión para un grupo de distribución 1. En Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse (ratón) en el grupo de distribución y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Opciones avanzadas de Exchangey examine el valor que aparece bajo Servidor de expansión. Ficha Opciones avanzadas de Exchange del cuadro de diálogo Propiedades de Grupo de distribución 336 3. Desde un símbolo del sistema, escriba lo siguiente: NLTEST /DSGETDC:<domain> /GC donde dominioes el nombre del dominio Cómo corregir problemas por atributos que faltan Pueden faltar atributos de un objeto por diversas razones, que pueden ser desde atributos que se eliminaron manualmente hasta problemas de sincronización en el catálogo global. Sin embargo, si faltan atributos, suele ser porque el Servicio de actualización de destinatarios no escribió correctamente estos atributos o debido a problemas en la replicación del ADC. 337 Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas de mensajes de informes de no entrega. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores Procedimiento Para corregir problemas por atributos que faltan 1. En el Administrador del sistema de Exchange, expanda Destinatarios y, a continuación, expanda en Servicios de actualización de destinatarios. 2. Haga clic con el botón secundario del mouse (ratón) en el Servicio de actualización de destinatarios que desee corregir y, a continuación, haga clic en Actualizar ahora para actualizar los atributos que faltan del objeto destinatario que está experimentando este problema o haga clic en Reconstruir para reconstruir todos los objetos destinatario. Cómo especificar un servidor de catálogo global La existencia de problemas en un catálogo global puede producir retrasos en la entrega de mensajes. En este caso, se generan NDR para notificar el retraso al remitente. Puede utilizar el Centro de seguimiento de mensajes para diagnosticar estos problemas. A continuación se indican algunas causas frecuentes de problemas en el catálogo global: Servidores de catálogo global sobrecargados. Problemas de rendimiento en los servidores de catálogo global. Poca memoria. Poco espacio en disco duro. Problemas de red intermitentes entre Exchange 2000 Server y los servidores de catálogo global. Demasiados servidores de Exchange que utilizan el mismo servidor de catálogo global (la proporción recomendada de procesadores de Exchange frente a procesadores de servidor de catálogo global es de cuatro a uno). 338 Importante: Los registros de seguimiento de mensajes pueden dar lugar a confusión. Por ejemplo, si el servidor de catálogo global está funcionando correctamente y el mensaje se categorizó correctamente pero un servidor SMTP remoto no está disponible durante treinta minutos, el registro de seguimiento de mensajes es similar al ejemplo mostrado anteriormente. Además, si el mensaje tuviera que entregarse localmente y el almacén de Exchange funcionara despacio, el registro de seguimiento de mensajes mostraría un gran intervalo de tiempo entre "Mensaje enviado al categorizador" y "El mensaje se entregó localmente al almacén". Utilice un registro de Monitor de sistema de un servidor de catálogo global mientras reproduce el problema. Puede ayudarle a diagnosticar estos problemas. El reciclaje de los servidores de catálogo global puede resolver estos problemas. Para solucionar estos problemas, puede especificar un servidor de catálogo global para cada servidor de Exchange. Nota: La configuración manual de los servidores de catálogo global sólo se recomienda para solucionar problemas. Cuando los servidores de catálogo global están configurados manualmente, Exchange no puede detectar si un servidor deja de estar disponible. Antes de empezar Antes de realizar el procedimiento descrito en este tema, lea Solución de problemas de mensajes de informes de no entrega. Se necesitan los permisos siguientes para realizar este procedimiento: Miembro del grupo local Administradores y miembro de un grupo al que se haya aplicado la función Administrador de Exchange en el nivel organizativo Procedimiento Para especificar un servidor de catálogo global 1. En el Administrador del sistema de Exchange, expanda Servidores, haga clic con el botón secundario del mouse (ratón) en el servidor de Exchange y, a continuación, haga clic en Propiedades. 2. Haga clic en la ficha Acceso al directorio. 3. En Mostrar, seleccione Servidores de catálogo global. 4. Desactive la casilla de verificación Descubrir servidores automáticamente. 339 Ficha Acceso al directorio 5. Haga clic en Agregar y seleccione el servidor de catálogo global cuyos problemas desee solucionar. El catálogo global que seleccione para el dominio debe existir en Active Directory, debe ser accesible mediante el puerto LDAP 3268, debe procesar la solicitud del servidor de Exchange de manera puntual y debe tener todos los atributos con correo habilitado para el objeto destinatario. El ejemplo siguiente muestra datos recopilados por el Centro de seguimiento de mensajes: 6/22/2001 3:54 PM Tracked message history on server CONTOSO-MSG-01 6/22/2001 3:54 PM SMTP Store Driver: Message Submitted from Store 6/22/2001 3:54 PM SMTP: Message Submitted to Advanced Queuing 6/22/2001 3:54 PM SMTP: Started Message Submission to Advanced Queue 340 6/22/2001 3:54 PM SMTP: Message Submitted to Categorizer 6/22/2001 4:24 PM SMTP: Started Outbound Transfer of Message 6/22/2001 4:24 PM 6/22/2001 4:24 PM SMTP: Message Submitted to Advanced Queuing 6/22/2001 4:24 PM SMTP: Started Message Submission to Advanced Queue 6/22/2001 4:24 PM SMTP: Message Submitted to Categorizer 6/22/2001 4:24 PM SMTP: Started Outbound Transfer of Message 6/22/2001 4:24 PM Message transferred out to FOURTHCOFFEE.COM through SMTP 6/22/2001 4:24 PM SMTP Store Driver: Message Delivered Locally to Store Message transferred out to FOURTHCOFFEE.COM through SMTP En este ejemplo, observe que el mensaje se retrasó en el categorizador durante 30 minutos antes de que comenzara la transferencia saliente y se entregara realmente el mensaje. En estas situaciones, para determinar qué servidor de catálogo global está utilizando Exchange ejecute la herramienta Nltest según se describe en "Se movieron destinatarios a Active Directory mediante la herramienta Mover buzón" en Situaciones frecuentes de informes de no entrega. Después, investigue los servidores de catálogo global implicados. Para obtener más información acerca de DSAccess, consulte en Microsoft Knowledge Base el artículo 250570, "XCON: Directory Service Server Detection and DSAccess Usage". Referencia adicional de los NDR En la siguiente tabla se ofrece una descripción de los códigos de notificación del estado de entrega. Esta tabla puede ayudarle a interpretar los códigos que recibe en los NDR. Códigos de notificación del estado de entrega Código de notificación del estado de entrega Descripción X.1.0 Otro estado de dirección X.1.1 Dirección errónea del buzón de destino X.1.2 Dirección errónea del sistema de destino X.1.3 Sintaxis errónea de la dirección del buzón de destino X.1.4 Dirección ambigua del buzón de destino X.1.5 Dirección válida del buzón de destino X.1.6 Se ha movido el buzón 341 Código de notificación del estado de entrega Descripción X.1.7 Sintaxis errónea de la dirección del buzón del remitente X.1.8 Dirección del sistema errónea del remitente X.2.0 Otro estado de buzón o estado indefinido X.2.1 Buzón deshabilitado, no acepta mensajes X.2.2 Buzón lleno X.2.3 La longitud del mensaje supera el límite administrativo X.2.4 Problema de expansión en la lista de correo X.3.0 Otro estado del sistema de correo o estado indefinido X.3.1 Sistema de correo lleno X.3.2 El sistema no acepta mensajes de red X.3.3 El sistema no admite determinadas características X.3.4 Mensaje demasiado grande para el sistema X.3.5 Sistema configurado incorrectamente X.4.0 Otro estado de red o de enrutamiento, o estado indefinido X.4.1 No hay respuesta del host X.4.2 Conexión errónea X.4.3 Error en el servidor de enrutamiento X.4.4 No se puede enrutar X.4.5 Congestión de la red X.4.6 Se ha detectado un bucle de enrutamiento X.4.7 Caducó la hora de entrega X.5.0 Otro estado de protocolo o estado indefinido X.5.1 Comando no válido X.5.2 Error de sintaxis X.5.3 Demasiados destinatarios 342 Código de notificación del estado de entrega Descripción X.5.4 Argumentos de comando no válidos X.5.5 Versión de protocolo errónea X.6.0 Otro error de medio o error indefinido X.6.1 Medio no compatible X.6.2 Conversión necesaria y prohibida X.6.3 Conversión necesaria pero no compatible X.6.4 Se realizó una conversión con pérdida X.6.5 Error en la conversión X.7.0 Otro estado de seguridad o estado indefinido X.7.1 Entrega no autorizada, mensaje rechazado X.7.2 Prohibida la expansión de la lista de correo X.7.3 Conversión de seguridad necesaria pero imposible X.7.4 Características de seguridad no compatibles X.7.5 Error criptográfico X.7.6 Algoritmo criptográfico no compatible X.7.7 Error de integridad del mensaje Parte 5 La parte 5 contiene conceptos avanzados sobre la arquitectura subyacente de transporte de Microsoft® Exchange Server 2003 y los conceptos de estado de los vínculos que utiliza. Debe leer la parte 1 de esta guía y tener sólidos conocimientos de los conceptos presentados en la guía antes de leer esta sección. La parte 5 contiene las secciones siguientes: Descripción de los componentes internos del transporte En esta sección se explica cómo funcionan conjuntamente los componentes internos del transporte, como el motor de enrutamiento, el motor de cola de mensajes avanzada y el categorizador de mensajes, en el proceso de entrega de mensajes. Conceptos avanzados de estado de los vínculos 343 En esta sección se examinan los detalles del paquete de estado de los vínculos y se explican conceptos avanzados del estado de los vínculos. Descripción de los componentes internos del transporte Este tema ofrece descripciones detalladas de los componentes que participan en el envío y la recepción de correo en el Protocolo simple de transferencia de correo (SMTP). Además, en este tema se describe cómo funcionan estos componentes en un proceso típico de flujo de correo. A continuación se enumeran los componentes importantes del transporte de correo: Motor de enrutamiento El Motor de enrutamiento de Microsoft® Exchange, un servicio de Servicios predeterminados de Exchange, es responsable de determinar la ruta menos costosa disponible para la entrega de mensajes. Suministra esta información al motor de cola avanzada como parte del proceso de entrega de mensajes. Motor de cola avanzada El motor de cola avanzada se encarga de varios aspectos de la entrega de mensajes. En concreto, recupera mensajes desde SMTP o desde el controlador de almacén de Microsoft Exchange, los categoriza, determina el destino de cada mensaje y ofrece una interfaz para las diversas colas a las que se puede asignar un mensaje mientras espera su entrega. Categorizador de mensajes El categorizador de mensajes es un componente del motor de cola avanzada que envía consultas del Protocolo ligero de acceso a directorios (LDAP) al servidor de catálogo global para realizar búsquedas en el directorio. Estas consultas recuperan la siguiente información: Las direcciones de correo electrónico de los destinatarios El almacén del buzón donde reside el buzón de un destinatario El servidor de Exchange que aloja ese almacén del buzón La siguiente ilustración muestra los componentes de transporte que participan en el flujo de correo. Las áreas sombreadas representan componentes de transporte. 344 Flujo de mensajes a través de los componentes internos del transporte Recepción de correo de Internet Exchange utiliza DNS, el protocolo SMTP, el categorizador de mensajes, el motor de cola avanzada y el motor de enrutamiento de Exchange para recibir correo de Internet. Los componentes realizan las tareas siguientes para entregar correo de Internet a un usuario de una organización de Exchange: 1. El servidor SMTP de envío utiliza DNS para consultar el registro MX (intercambio de correo) preferido del dominio de destino o del servidor de destino. DNS devuelve una lista de registros A (host), que se resuelven en una o varias direcciones del Protocolo de Internet (IP) del servidor. 2. El servidor SMTP de envío inicia una conexión con el puerto 25 del servidor SMTP de destino. El servidor SMTP de destino es el servidor virtual SMTP ubicado en el servidor de puerta de enlace físico que está configurado para aceptar correo entrante de Internet para el dominio al que va dirigido el correo. 3. Idealmente, el servidor SMTP de entrada sólo acepta el mensaje entrante si va destinado a un dominio de correo SMTP que está definido en una directiva de destinatarios (a menos que el servidor esté abierto a la retransmisión, lo que no se recomienda en absoluto). 4. Cuando se acepta el mensaje, el servidor virtual SMTP crea un sobre para el mensaje; esta estructura del mensaje se denomina MAILMSG. MAILMSG contiene todas las propiedades del mensaje, incluyendo los nombres del remitente y de los destinatarios. 5. El categorizador de mensajes hace una consulta LDAP al servidor de catálogo global para buscar el atributo homeMdb del destinatario. Después, el categorizador de mensajes marca el nombre de dominio completo (FQDN) de este servidor de Exchange 345 en el objeto MAILMSG. El atributo homeMdb es el servidor de buzones principal del usuario, que es la ubicación donde residen el buzón y el almacén del buzón del usuario. 6. Se produce una de dos acciones: Si el almacén del buzón del usuario está en ese servidor de Exchange, el categorizador de mensajes marca el mensaje para su entrega local y el motor de cola avanzada transfiere el mensaje al controlador de almacén de Exchange. El controlador de almacén de Exchange entrega el mensaje al almacén del buzón. Si el almacén del buzón del usuario no está en ese servidor de Exchange, el categorizador de mensajes transfiere el mensaje al motor de cola avanzada. El motor de cola avanzada llama entonces al motor de enrutamiento deExchange para determinar la mejor forma de enviar el mensaje al servidor (según el enrutamiento de estado de los vínculos) y determina el siguiente destino, o salto, en la ruta hacia el servidor principal del usuario. 7. Por último, con toda la información de destino del categorizador de mensajes y la información de enrutamiento del motor de enrutamiento, el motor de cola avanzada envía el mensaje a su destino final de una de las maneras siguientes: Si el destino es un dominio local, el mensaje se entrega al servidor virtual SMTP ubicado en el servidor de Exchange donde reside el buzón del usuario. Si el buzón del usuario está en un grupo de enrutamiento remoto, quizás haya que enviar el mensaje a través de otros conectores. Si el destino está fuera de la organización de Exchange, el mensaje se entrega al servidor SMTP para los dominios remotos de otra cola remota diferente. Un mensaje entrante sólo se enviará a un dominio remoto si se aplica una de las configuraciones siguientes: - El servidor de Exchange está abierto para la retransmisión. - El usuario que envía el mensaje tiene autorización para retransmitir. - Hay otro conector configurado que permite la retransmisión a estos dominios. - Si el destino es un conector con otro sistema o con una versión anterior de Exchange, el controlador de almacén de Exchange envía el correo al Agente de transferencia de mensajes (MTA). Envío de correo de Internet Para enviar correo de Internet, Exchange utiliza los mismos componentes que emplea para recibir correo de Internet: DNS, el protocolo SMTP, el categorizador de mensajes, el motor de cola avanzada y el motor de enrutamiento de Exchange. El correo de Internet se envía a través de Exchange de la manera siguiente: 346 1. Un usuario interno envía un mensaje a un dominio remoto. El mensaje se envía al servidor de Exchange donde reside el buzón del usuario. 2. El mensaje se envía al motor de cola avanzada de una de las dos maneras siguientes: Si el mensaje se envió con un cliente de Microsoft Office Outlook® Web Access o Outlook (MAPI), el almacén de Exchange enviará el mensaje al motor de cola avanzada a través del controlador de almacén. Si el mensaje se envió con un cliente del Protocolo de oficina de correo (POP) o del Protocolo de acceso a correo de Internet (IMAP), SMTP pasará el mensaje al motor de cola avanzada. 3. El categorizador de mensajes consulta la dirección del destinatario en el servidor de catálogo global para buscar el usuario. Si la dirección del destinatario no figura en una directiva de destinatarios, o si no existe ningún destinatario coincidente con una dirección proxy (la dirección del destinatario no se almacenará en Active Directory), el categorizador de mensajes determinará que el mensaje está vinculado a un dominio remoto. 4. El motor de cola avanzada llama al motor de enrutamiento de Exchange para averiguar el siguiente destino, o salto, para una ruta al espacio de direcciones que mejor coincida con el dominio remoto. 5. Con esta información, el servidor determina si debe enviar el mensaje, enrutarlo al host inteligente o utilizar un conector para SMTP con el espacio de direcciones remoto. 6. Si hay varios conectores o servidores virtuales que se encargan del correo saliente, el motor de cola avanzada determinará el servidor virtual o el conector que tenga el espacio de direcciones que mejor coincida con el del dominio remoto y cualquier restricción existente para dicho conector. 7. El mensaje se enruta al servidor virtual SMTP del conector saliente o al servidor virtual SMTP saliente que sea responsable de la entrega. 8. El servidor virtual SMTP ubicado en el servidor de Exchange que realiza la categorización utiliza la información de su metabase para ver el atributo de acción de ruta para el dominio remoto. 9. El servidor virtual SMTP del servidor de Exchange realiza entonces una de dos tareas: Utiliza DNS para buscar la dirección IP del dominio de destino y después intenta entregar el mensaje. Reenvía el mensaje a un host inteligente que asume la responsabilidad de la resolución de nombres DNS y la entrega. 347 Conceptos avanzados de estado de los vínculos En esta sección se explican los conceptos avanzados que rigen cómo se comunica y propaga la información de estado de los vínculos en una organización de Microsoft® Exchange. Se presentan los temas siguientes: Componentes de estado de los vínculos Descripción del paquete OrgInfo Descripción de los detalles del paquete OrgInfo Servicios de servidor y nodos de enrutamiento Actualizaciones del enrutamiento Comunicaciones de las actualizaciones de la topología de enrutamiento Componentes de estado de los vínculos Hay varios componentes que desempeñan un papel fundamental en la propagación de la información de estado de los vínculos. Estos componentes son: Paquete OrgInfo que contiene el paquete de información de estado de los vínculos para la topología de Exchange. Servicios de servidor y nodos cliente que utilizan o intercambian información de estado de los vínculos. Maestro del grupo de enrutamiento, un tipo de servicio de servidor, que es responsable de mantener información exacta sobre el estado de los vínculos para su grupo de enrutamiento y de distribuir dicha información (el paquete OrgInfo) a los miembros de su grupo de enrutamiento. Descripción del paquete OrgInfo El paquete OrgInfo es la tabla de estado de los vínculos que contiene los detalles y el estado de la topología de enrutamiento de la organización de Exchange. Los maestros de grupo de enrutamiento propagan esta información por toda la organización en forma del paquete OrgInfo. El paquete incluye detalles como el nombre de la organización, los grupos de enrutamiento, los conectores y los espacios de direcciones. La herramienta WinRoute muestra el contenido del paquete OrgInfo en un formato más legible. Sin embargo, para 348 identificar en detalle las diversas partes de este paquete, en este tema se describe el paquete en su formato original. Nota: Puede descargar la herramienta WinRoute desde el sitio Web Downloads for Exchange Server 2003. En general, los campos de información contenidos en el paquete están separados mediante paréntesis, de la manera siguiente: (Grupo de enrutamiento (Miembros del grupo de enrutamiento (Conectores del grupo de enrutamiento (Configuración del conector)))) Dentro del paquete se hace referencia a los GUID para los distintos componentes. Cierta información se representa como texto ASCII, como: Partes de las direcciones X.400 y X.500 de grupo de enrutamiento que se enumeran en la sección de cada grupo de enrutamiento. Los nombres completos heredados, legacyExchangeDNs, de los conectores. Los FQDN de servidor virtual cuando se indican los servidores cabeza de puente de origen o remotos de los conectores. Para cada conjunto de restricciones de un conector, el nombre completo del objeto restringido. Por ejemplo, si un conector deniega su uso a tres usuarios, los tres nombres completos de los usuarios aparecen como texto ASCII en el paquete. Como los componentes anteriores se muestran como texto ASCII, el número de estos componentes de una topología de enrutamiento afecta al tamaño general del paquete OrgInfo. Por ejemplo, el hecho de denegar el acceso a un conector a usuarios en lugar de a grupos de distribución o de especificar servidores cabeza de puente de origen y de destino cuando no es necesario hará que el paquete OrgInfo sea mucho mayor de lo normal. Como este paquete se distribuye por toda la organización de Exchange y estas restricciones hacen que aumente el tamaño del paquete, el intercambio del paquete de estado de los vínculos entre los servidores puede tener efectos graves sobre la utilización de la red, dependiendo del tamaño de la organización de Exchange. Se recomienda que si debe restringir el acceso a los conectores utilice grupos de distribución en lugar de usuarios, y que sólo aplique determinados servidores cabeza de puente de origen y de destino cuando sea apropiado si el tamaño del paquete OrgInfo puede ser un problema. Otro hecho importante sobre el tamaño del paquete OrgInfo es que, una vez creado un grupo de enrutamiento, éste permanece en memoria en cada servidor de Exchange de la organización (suponiendo que la información se haya propagado) indefinidamente, a menos que todos los servidores de Exchange de la organización se apaguen simultáneamente. Esto es cierto incluso aunque se haya eliminado el grupo de enrutamiento en el Administrador del sistema de Exchange. 349 Descripción de los detalles del paquete OrgInfo Para explicar el contenido de un paquete OrgInfo, en esta sección se analiza la transmisión de un paquete OrgInfo de un servidor a otro dentro de un grupo de enrutamiento. El ejemplo que se ilustra en la figura 15.1 está tomado de una organización de Exchange con un grupo de enrutamiento que contiene dos servidores (ambos ejecutan Exchange Server 2003) con un único conector para SMTP que incorpora restricciones para los usuarios. El paquete OrgInfo transmitido a través de la red contenía la información siguiente: {00000457}..a9c421ebe14f06710f6ab596345ac615.(.a2a0f896d197b84999557850ac796258.2d0747 6703630a4d87a651498e2d73b9.a.0.0.f0dcd868912f54479b26d729863bb825.{26}*.A2A0F896-D197B849-9955-7850AC796258.{4b}c=US;a=.;p=Example;o=Exchange;cn=A2A0F896-D197-B849-99557850AC796258;*.{53}/o=Example/ou=First.Administrative.Group/*/A2A0F896-D197-B84999557850AC796258.(.2d07476703630a4d87a651498e2d73b9.YES.1.1aae.{10}0701000000000101..9 79733932e995742bc2d5ecf93198b4d.YES.1.1aae.{10}0701000000000101.).(.f76005bd57ad934285 18268f28f4f7e6.(.CONFIG.{4}SMTP.{23}_f76005bd57ad93428518268f28f4f7e6_S.{}.{54}/o=Exam ple/ou=First.Administrative.Group/cn=Configuration/cn=Connections/cn=JUNK.0.0.0.0.ffff ffff.ffffffff.0.1.0.().6.(.{24}CN=tester07,CN=Users,DC=domain,DC=com..{24}CN=tester04, CN=Users,DC=domain,DC=com..{24}CN=tester03,CN=Users,DC=domain,DC=com..{24}CN=tester02, CN=Users,DC=domain,DC=com..{24}CN=tester01,CN=Users,DC=domain,DC=com..{29}CN=Administr ator,CN=Users,DC=domain,DC=com.).0.().0.()..ARROWS.(.{4}SMTP.{1}*.1.).BH.(.2fdb30b62e4 ea949a71f91f319535143.CONN_AVAIL.{13}RGR-65-02.domain.com.).TARGBH.().STATE.UP))).. Al analizar el paquete mostrado anteriormente en orden de presentación, "ORGINFO" señala al servidor de recepción que el paquete OrgInfo está contenido dentro de esta trama. El contenido que sigue a "ORGINFO" es el siguiente: El hash MD5, una firma cifrada que representa el número de versión para la tabla de estado de los vínculos, del paquete OrgInfo actual. Esta firma es importante porque los servidores utilizan esta información para determinar si tienen información idéntica de estado de los vínculos. Como se ilustra más adelante, si este hash es distinto entre dos servidores de Exchange, indica que tienen información de enrutamiento diferente e intercambiarán paquetes OrgInfo entre sí para determinar qué servidor tiene la información más actualizada. El primer conjunto de paréntesis muestra que la información que hay dentro pertenece a un grupo de enrutamiento determinado. Este ejemplo muestra un único grupo de enrutamiento, por lo que toda la información de enrutamiento está contenida dentro de este conjunto de paréntesis: El GUID para el grupo de enrutamiento: a2a0f896d197b84999557850ac796258 El GUID para el maestro del grupo de enrutamiento: 2d07476703630a4d87a651498e2d73b9 350 Las versiones principal, secundaria y de usuario de la información de estado de los vínculos: a.0.0 El GUID de esta información de versión: f0dcd868912f54479b26d729863bb825 Información de dirección SMTP para el grupo de enrutamiento: {26}. Los corchetes señalan el principio de esta información. Cuando una organización es totalmente convergente, cada grupo de enrutamiento alojará esta información; es decir, si hay dos grupos de enrutamiento, la información siguiente se mostrará dentro de la sección de cada grupo de enrutamiento del paquete OrgInfo. (Tenga en cuenta que los caracteres que aparecen dentro de estos corchetes y de otros mencionados más adelante no son necesariamente idénticos entre distintas implementaciones.) {4b} Señala el principio de las direcciones X.400 del grupo de enrutamiento. Como antes, se mostrará en la sección de cada grupo de enrutamiento del paquete OrgInfo: c=US;a=.;p=Ejemplo;o=Exchange;cn=A2A0F896-D197-B849-9955-7850AC796258;* indica el espacio de direcciones X.400, siendo la parte "cn" el GUID del grupo de enrutamiento. c=US;a=.;p=Ejemplo;o=Exchange;cn=A2A0F896-D197-B849-9955-7850AC796258;* indica el espacio de direcciones X.400, siendo la parte "cn" el GUID del grupo de enrutamiento. {53} Señala la información de las direcciones X.500 del grupo de enrutamiento. Como antes, se mostrará en la sección de cada grupo de enrutamiento del paquete OrgInfo: El GUID que hay inmediatamente detrás de {26}, A2A0F896-D197-B849-99557850AC796258, es el GUID para ese grupo de enrutamiento en particular. /o=Ejemplo/ou=Primer grupo administrativo/*/A2A0F896-D197-B849-99557850AC796258 A partir del siguiente paréntesis de apertura se identifican los miembros del grupo de enrutamiento: El GUID de un servidor miembro del grupo de enrutamiento: 2d07476703630a4d87a651498e2d73b9 Si el miembro está conectado o no al maestro del grupo de enrutamiento. "YES" indica que el servidor está conectado. Los números de versión del servidor se muestran en último lugar. Nota: Después se identifican los tres atributos anteriores para el segundo servidor del grupo de enrutamiento. A partir del siguiente paréntesis de apertura se identifican los conectores: El GUID del único conector: a9c421ebe14f06710f6ab596345ac615 351 El siguiente paréntesis de apertura identifica la información de configuración del conector: El tipo de conector (SMTP): {4} La dirección del cabeza de puente de origen local, que tiene el formato: GUID del conector propiamente dicho seguido de una "_S" (sin las comillas) para indicar un cabeza de puente de origen: {23}_f76005bd57ad93428518268f28f4f7e6_S Se trata de un conector para SMTP. Sin embargo, si fuera un conector para grupo de enrutamiento con un servidor cabeza de puente de destino o remoto asignado, el paquete OrgInfo mostraría otro {23} seguido de nuevo por el GUID del conector propiamente dicho con "_D" anexado. Si fuera un conector para SMTP que especificara un host inteligente, el paquete OrgInfo mostraría el FQDN del host inteligente dado. El nombre completo del conector: {54}/o=Ejemplo/ou=Primer.grupo.administrativo/cn=Configuración/cn=Conexiones/cn =JUNK La programación del conector se identifica mediante el primer "0". (En este caso, la programación es "Siempre".) A continuación se identifican las restricciones del conector: El ámbito del conector se identifica mediante el siguiente "0". (En este caso, el ámbito es "Organización".) Si está configurada o no la entrega desencadenada. El tercer "0" identifica la entrega desencadenada; por ejemplo, TURN/ETRN (en este caso, la entrega desencadenada no está configurada). El tipo de prioridad del mensaje (Alta, Normal, Baja) permitido a través de este conector se identifica mediante el último "0". Restricciones al tamaño de los mensajes: ffffffff indica que no hay ninguna restricción en cuanto al tamaño de los mensajes en este conector. Si se estableció o no un umbral de mensajes grande: ffffffff indica que no se estableció ningún umbral de mensajes. El "0 1 0" que sigue a lo anterior identifica que: - Las referencias a carpetas públicas están permitidas. - De forma predeterminada, se aceptan mensajes de todos. - Autores permitidos (que en este caso está vacío porque se aceptarán mensajes de todos de manera predeterminada, según el valor anterior). ARROWS indica el comienzo de la información del espacio de direcciones para el conector: 352 {4}SMTP indica que el tipo del espacio de direcciones es SMTP. {1}* indica que se aplica a todos los dominios SMTP. 1 indica que tiene un costo uno. A partir de "BH" se identifican los servidores cabeza de puente para el conector. En este ejemplo hay un servidor cabeza de puente identificado por lo siguiente: El GUID del servidor virtual SMTP designado como servidor cabeza de puente local: 2fdb30b62e4ea949a71f91f319535143 La disponibilidad del servidor cabeza de puente remoto: CONN_AVAIL El FQDN del servidor virtual que actúa como servidor cabeza de puente para este conector: {13}RGR-65-02.dominio.com El FQDN de todos los servidores cabeza de puente de destino, si se especificaron (en este ejemplo no se ha especificado ninguno): TARGBH. El estado del conector: STATE_UP identifica, en este caso, que el estado es "UP", lo que significa que el conector está disponible. ("Down", o no disponible, es la otra opción posible.) Servicios de servidor y nodos de enrutamiento Ahora que entiende el contenido del paquete OrgInfo, en esta sección se explican los nodos de enrutamiento, que son los componentes implicados en la propagación de esta información dentro de una organización de Exchange. En un servidor de Exchange puede haber tres tipos de nodos de enrutamiento: Nodo de servicio maestro Nodo de servicio subordinado Nodo cliente En un servidor sólo puede existir un tipo de nodo de servicio: el nodo de servicio maestro (si el servidor es el maestro del grupo de enrutamiento) o el nodo de servicio subordinado (si el servidor es miembro de un grupo de enrutamiento). Los nodos cliente constan de varios procesos, que son clientes de la información de enrutamiento, que se ejecutan en el servidor. Algunos ejemplos de estos procesos son SMTP (inetinfo.exe), el Agente de transferencia de mensajes (emsmta.exe), el Almacén de información (store.exe) y el servicio Instrumental de administración de Windows (WMI) (wmiprvse.exe). Hay dos DLL que implementan la funcionalidad de enrutamiento en estos componentes: resvc.dll para los nodos de servicios y reapi.dll para los nodos cliente. 353 En la siguiente ilustración se muestran los nodos de enrutamiento y los servicios de servidor. Nodos de servicio de enrutamiento Los nodos cliente se comunican directamente con sus servicios de servidor correspondientes. Esta comunicación nunca se realiza fuera de cualquier host individual; por ejemplo, un nodo cliente sólo se comunica con otros componentes del mismo servidor. Los miembros y los nodos de servicio maestro dentro del mismo grupo de enrutamiento se comunican entre sí a través del puerto TCP 691. Actualizaciones del enrutamiento En esta sección se describen los tipos de actualizaciones que el maestro del grupo de enrutamiento recibe y distribuye a sus miembros. Los servidores de Exchange y los controladores de dominio pueden comunicarse entre sí con respecto a los siguientes tipos de información en el contexto de las actualizaciones de la topología de enrutamiento y del estado de los vínculos: Principal Cuando hay actualizaciones de la topología de enrutamiento, como la configuración de un conector, lo que incluye agregar o eliminar un conector y agregar o eliminar un espacio de direcciones de un conector, o cuando se designa un nuevo servidor como maestro del grupo de enrutamiento. Secundaria Cuando cambia información acerca de la disponibilidad de un conector o de un servidor virtual; por ejemplo, cuando el estado de un conector cambia de activo a inactivo. Usuario Cuando se han iniciado o detenido servicios en un servidor de Exchange (se utiliza en la implementación del nodo 'Estado' del Administrador del sistema de Exchange), o cuando se ha agregado otro servidor al grupo de enrutamiento, o cuando un servidor pierde su conexión con el maestro del grupo de enrutamiento. 354 Actualizaciones principales Un controlador de dominio informa a los maestros de grupo de enrutamiento de los cambios principales en la topología de enrutamiento para su grupo concreto, según el proceso de notificación de cambios del Protocolo ligero de acceso a directorios (LDAP). Cuando se inicia el maestro del grupo de enrutamiento, se registra en el directorio utilizando DSAccess para las notificaciones de cambios relativas a su grupo de enrutamiento. Un maestro de grupo de enrutamiento acepta actualizaciones principales a la información de enrutamiento relativa a su grupo sólo del controlador de dominio con el que se comunica. Cuando se envía una actualización de la información de enrutamiento a un grupo de enrutamiento desde otro grupo de enrutamiento, por ejemplo, el maestro del grupo de enrutamiento receptor siempre pasa por alto la información relativa a su grupo que está contenida dentro del paquete OrgInfo. En el caso de las actualizaciones secundarias y de usuario relativas a su grupo de enrutamiento, el maestro del grupo de enrutamiento acepta cambios de sus nodos clientes locales o de cualquier servicio subordinado (miembros del grupo de enrutamiento) dentro de su grupo. Un controlador de dominio envía notificaciones al maestro del grupo de enrutamiento en las situaciones siguientes: Se ha agregado un conector nuevo al grupo de enrutamiento o se han cambiado atributos en un conector existente. Cuando se han realizado cambios en el propio objeto de grupo de enrutamiento; por ejemplo, cuando cambia el maestro del grupo de enrutamiento. Una vez completado el proceso de notificación de cambios, el maestro del grupo de enrutamiento comunica el cambio en la topología a todos los servidores del grupo de enrutamiento local y a cualquier servidor que actúe como cabeza de puente remota para uno de los conectores de su grupo. Actualizaciones secundarias Las actualizaciones secundarias constan de cambios en el estado de los vínculos en el entorno, como el cambio del estado de un conector de "activo" a "inactivo". Cualquier nodo cliente del entorno puede detectar este cambio en el estado de los vínculos. En Exchange 2000 Server, cuando un nodo cliente detecta un cambio, lo comunica a sus nodos de servicio de servidor a intervalos de 5 minutos. En general, siempre que un nodo de servicio maestro o subordinado recibe una actualización del estado de los vínculos, el servidor se ve forzado a volver a poner en cola todos los mensajes e informar al maestro del grupo de enrutamiento del cambio en el estado de los vínculos. En el caso de las conexiones no confiables que producen cambios de estado frecuentes (conexiones oscilantes), se producen comunicaciones excesivas y que entran en conflicto a menudo. 355 En Exchange Server 2003, si no existe ninguna ruta alternativa para un vínculo en un grupo de enrutamiento de nodo de hoja, el estado de los vínculos siempre está marcado como disponible. Exchange no cambia el estado de los vínculos a no disponible si no existe una ruta alternativa. Exchange pone el correo en cola para su entrega y lo envía cuando la ruta vuelva a estar disponible. De este modo se mejora el rendimiento porque se reduce la propagación de la información sobre el estado de los vínculos. Como en las conexiones oscilantes, Exchange 2003 ve la cola de estado de los vínculos y, si hay varios cambios de estado que producen un conflicto en un intervalo dado para un conector, éste se considera un conector oscilante y su estado de los vínculos se mantendrá como disponible. Es mucho mejor mantener un conector oscilante en un estado disponible que cambiar continuamente el estado del vínculo. De esta forma se reduce la cantidad de tráfico de estado de los vínculos que se replica entre servidores. Actualizaciones de usuario Las actualizaciones de usuario consisten en cambios mínimos como cuando el maestro del grupo de enrutamiento ha cambiado, cuando se han iniciado o detenido servicios en un servidor de Exchange, cuando se ha agregado otro servidor al grupo de enrutamiento o cuando un servidor miembro pierde su conexión con el maestro del grupo de enrutamiento. Comunicaciones de las actualizaciones de la topología de enrutamiento La forma en que Exchange comunica la información de enrutamiento varía dependiendo de si está procesando una actualización entre grupos de enrutamiento o dentro de un grupo de enrutamiento. En esta sección se describen los procesos de comunicación de las actualizaciones en varias situaciones de topología de enrutamiento, como sigue: Actualizaciones del directorio a maestros de grupo de enrutamiento Un único servidor de Exchange, un único controlador de dominio Actualizaciones de maestros de grupo de enrutamiento a miembros de grupo de enrutamiento Dos servidores de Exchange (el mismo grupo de enrutamiento), un controlador de dominio Actualizaciones entre grupos de enrutamiento Tres servidores de Exchange (dos en un grupo de enrutamiento, uno en otro grupo de enrutamiento), un controlador de dominio Nota: Se ofrecen capturas de red que ilustran los conceptos en la práctica para que entienda mejor el proceso de comunicación de actualizaciones. Todas las capturas 356 se han tomado con la herramienta Monitor de red (Netmon.exe) incluida con Microsoft Windows Server™ 2003. Actualizaciones del directorio a maestros de grupo de enrutamiento Los maestros de grupos de enrutamiento reciben las actualizaciones principales de un controlador de dominio mediante el proceso de notificación de cambios del servicio de directorio Microsoft Active Directory®. En concreto, Exchange utiliza su controlador de dominio de configuración para la información de actualización del directorio, que aparece como Config en la ficha Acceso al directorio de las propiedades de un servidor en el Administrador del sistema de Exchange. El proceso de notificación de cambios empieza cuando el cliente o la estación de trabajo donde se ha agregado un conector nuevo o donde se ha realizado otro cambio en el enrutamiento mediante el Administrador del sistema de Exchange se pone en contacto con el controlador de dominio para pedir que se agregue este nuevo conector a Active Directory. El controlador de dominio comunica a la estación de trabajo que se agregó correctamente. Entonces, el controlador de dominio notifica al servidor de Exchange que es el maestro de enrutamiento de este nuevo conector y envía información acerca de este conector mediante una serie de comunicaciones. La siguiente captura de red ilustra este proceso. La siguiente ilustración muestra un extracto de una captura de red con un controlador de dominio de Windows 2000 donde se ha agregado un conector nuevo a un grupo de enrutamiento (Exchange 2000). Observe la trama 147, que muestra "AddRequest". Controlador de dominio de Windows 2000 donde se ha agregado un conector nuevo a un grupo de enrutamiento La siguiente ilustración muestra el cliente (Workstation) que solicita que el controlador de dominio (DC) agregue un nuevo conector para SMTP al directorio. La trama 148 muestra el 357 controlador de dominio que señala que se agregó correctamente. Inmediatamente después, en la trama 149 (vea la ilustración siguiente), el controlador de dominio envía "SearchResponse" al servidor de Exchange para notificar a Exchange la presencia del nuevo conector. El controlador de dominio realiza automáticamente esta acción no solicitada porque el servidor de Exchange había pedido previamente que se le notificaran los cambios, como hacen todos los servidores de Exchange 2000 y Exchange 2003. Esto ilustra el funcionamiento del proceso de notificación de cambios. Dentro de la trama 149, el controlador de dominio sólo está informando a Exchange del nombre y el nombre completo del nuevo conector. El controlador de dominio envía un mensaje "SearchResponse" al servidor de Exchange para notificar a Exchange la presencia del nuevo conector En las tramas 150 y 151, el controlador de dominio envía más información sobre esta incorporación tanto a la estación de trabajo a la que se agregó este conector como al servidor de Exchange. La siguiente ilustración muestra la trama 151 (enviada a Exchange). Además del nombre del objeto, ahora se incluyen los atributos distinguishedname, objectGUID, cn y objectClass. 358 El controlador de dominio envía más información sobre esta incorporación tanto a la estación de trabajo a la que se agregó este conector como al servidor de Exchange Cuando el controlador de dominio envía esta información, la estación de trabajo consulta al controlador de dominio toda la lista de atributos del nuevo conector. En la trama 176 (vea la ilustración siguiente), Exchange inicia consultas sobre su grupo de enrutamiento. Siempre que el servidor de Exchange recibe una notificación de cambios, inicia estas acciones. En particular, empieza por consultar el nombre completo del GUID del grupo de enrutamiento. Exchange inicia consultas sobre su grupo de enrutamiento 359 Después de recibir el nombre completo del GUID del grupo de enrutamiento, Exchange consulta todos los atributos de los objetos secundarios de los que este objeto pueda ser primario y que sean del tipo de objeto “msExchconnector”. Observe el ámbito "Single Level" (un único nivel) de la búsqueda frente a la búsqueda "Base object" (objeto base). Esta designación indica que se trata de una búsqueda de un objeto secundario. La trama 182 (vea la ilustración siguiente) muestra esta solicitud de búsqueda. Solicitud de búsqueda de un objeto secundario La trama 183 (vea la ilustración siguiente) indica la respuesta parcial del controlador de dominio. 360 Respuesta parcial del controlador de dominio Después, Exchange consulta el controlador de dominio y recibe lo siguiente: El FQDN y el GUID de todos los servidores cabeza de puente asociados al conector en cuestión. Una consulta de varios atributos del nuevo conector. Esta consulta se basa en el GUID del conector y devuelve el resultado que se muestra en la ilustración siguiente. Resultado de una consulta de atributos de un conector nuevo 361 Como se muestra en la siguiente figura, el servidor de Exchange envía un mensaje “ModifyRequest” solicitando que el controlador de dominio reemplace tres atributos del objeto “legacy GWART” dentro del grupo administrativo: GatewayRoutingTree, GWARTLastModified y ridServer. Solicitud del servidor de Exchange al controlador de dominio para que reemplace tres atributos del objeto "legacy GWART" El controlador de dominio responde con un mensaje "ModifyResponse" de éxito y el servidor de Exchange continúa su proceso de consulta para varios objetos dentro de su grupo administrativo. Todo el proceso descrito en esta sección muestra cómo los controladores de dominio comunican las actualizaciones principales de la topología a los maestros de grupo de enrutamiento. Después de esta actualización, el maestro del grupo de enrutamiento debe comunicar ahora la información a sus servidores miembro. En la próxima sección se explica cómo el maestro del grupo de enrutamiento comunica esta información a los miembros de su grupo. Actualizaciones de maestros de grupo de enrutamiento a miembros de grupo de enrutamiento Cuando se informa de una actualización al maestro del grupo de enrutamiento, éste sobrescribe la información de estado de los vínculos que contiene en memoria (el paquete OrgInfo) con la nueva información, creando un nuevo hash MD5 basándose en esta 362 información. El maestro del grupo de enrutamiento propaga entonces el nuevo paquete OrgInfo a los nodos cliente del mismo equipo y a los nodos de servicios subordinados o a los miembros del grupo de enrutamiento. El maestro del grupo de enrutamiento se comunica con el grupo a través del puerto TCP 691. La ilustración siguiente muestra la comunicación que tiene lugar en el puerto 691 de origen o de destino. El ejemplo ilustra que se ha agregado un nuevo conector a un grupo de enrutamiento que contiene dos servidores. El maestro del grupo de enrutamiento propaga la información de actualización a los miembros del grupo La trama 175 es el mensaje "SearchResponse" que un controlador de dominio envía al maestro del grupo de enrutamiento registrado para recibir notificaciones de cambios. Inmediatamente después de recibir esta información, el maestro del grupo de enrutamiento envía todo el paquete OrgInfo al miembro del grupo, como se muestra en la trama 176 (Figura 15.11). Los caracteres que hay delante del primer paréntesis en este paquete representan el hash MD5 del paquete OrgInfo, que los servidores utilizan para determinar si tienen la información más actualizada. Como el hash MD5 que ha recibido es distinto del que tiene en memoria, el miembro del grupo de enrutamiento también procesa el paquete OrgInfo. Después de hacer los cambios apropiados en la tabla de estado de los vínculos que tiene en memoria, el miembro del grupo de enrutamiento envía una breve respuesta al maestro del grupo, seguida en la próxima trama por el paquete OrgInfo recién revisado, que ahora hace referencia también al hash 363 MD5 más reciente que el maestro del grupo de enrutamiento envió anteriormente. La ilustración siguiente muestra la respuesta inicial. Respuesta inicial del miembro del grupo de enrutamiento al maestro del grupo La respuesta OrgInfo del miembro del grupo de enrutamiento que contiene el paquete OrgInfo actualizado se envía después al maestro del grupo (vea la ilustración siguiente). Respuesta OrgInfo del miembro del grupo de enrutamiento El maestro del grupo de enrutamiento procesa esta información y envía un breve acuse de recibo al miembro del grupo. Este proceso tiene lugar entre todos los miembros del grupo de enrutamiento y el maestro dentro de un mismo grupo. Otro proceso, conocido como sondeo, garantiza que todos los 364 miembros del grupo de enrutamiento tengan la información más actualizada del maestro del grupo. Sondeo El sondeo es el proceso por el cual un miembro de un grupo de enrutamiento consulta al maestro del grupo para ver si hay información de enrutamiento actualizada. La ilustración siguiente muestra el sondeo que el miembro del grupo de enrutamiento realiza al maestro cada 5 minutos. Observe el tiempo asociado a cada trama (la captura se guardó filtrada para ver únicamente las comunicaciones realizadas por el puerto 691; por tanto, los números de trama mostrados no reflejan los números de trama originales). Sondeo de un miembro del grupo de enrutamiento al maestro del grupo Cada intercambio de dos tramas incluye el texto "Simple_Poll" del miembro del grupo de enrutamiento y una respuesta del maestro del grupo. La trama 1 muestra la consulta (vea la ilustración siguiente). Consulta del miembro del grupo de enrutamiento al maestro del grupo La trama 2 muestra la respuesta (vea la ilustración siguiente). 365 Respuesta del maestro del grupo de enrutamiento al miembro del grupo Además de actualizar el grupo de enrutamiento local, el maestro del grupo debe actualizar los miembros restantes de la organización de Exchange. El servicio SMTP de Exchange realiza actualizaciones entre grupos de enrutamiento. Cómo se comunican las actualizaciones en una conversación SMTP Las comunicaciones de las actualizaciones en el enrutamiento y en el estado de los vínculos forman parte del servicio SMTP de Exchange Server 2003 y Exchange 2000. El servicio SMTP de Exchange compara las versiones del paquete OrgInfo de cada servidor durante cada sesión SMTP entre dos servidores. El hecho de que sea dentro de un mismo grupo de enrutamiento o entre grupos de enrutamiento diferentes no tiene ningún efecto sobre este proceso. El proceso funciona de la manera siguiente: 1. El servidor 1 inicia la sesión TCP y se pone en contacto con el servidor 2 mediante SMTP. El servidor 2 envía una respuesta "220 Ready" al servidor 1. 2. El servidor 1 envía el comando EHLO. 3. El servidor 2 responde con "250" y una lista de sus comandos ESMTP implementados. 4. El servidor 1 responde con "X-EXPS GSS API", lo que indica que desea autenticarse mediante la API GSS. 5. El servidor 2 responde con "334 GSSAPI supported". 6. Las tramas siguientes corresponden a la autenticación entre los dos servidores y terminan cuando el servidor 2 responde "235 2.7.0 Authentication successful" (autenticación correcta). 7. Después de esta respuesta empiezan las comunicaciones del estado de los vínculos. 366 8. El servidor 1 envía al servidor 2 la información que se muestra en la ilustración siguiente: Información enviada del servidor 1 al servidor 2 La información enviada por el servidor 1 incluye lo siguiente: X-LINK2STATE indica que este paquete contiene información relativa a la topología de enrutamiento de la organización. LAST CHUNK indica que ésta será la última trama de las comunicaciones de estado de los vínculos dentro de la sesión SMTP actual. Hay otras opciones posibles para este comando: - FIRST CHUNK Indica que la información de estado de los vínculos que sigue ocupa varias tramas, siendo ésta la primera de ellas. - NEXT CHUNK Indica que la información de estado de los vínculos que sigue ocupa varias tramas y ésta no es la primera ni la última de ellas. 9. El servidor 2 compara ahora su hash MD5 con el hash MD5 que envió el servidor 1 y tiene lugar una de dos acciones posibles: Si los hashes son idénticos, el servidor 2 no necesita recibir todo el paquete OrgInfo del servidor 1. Por tanto, el servidor 2 envía "DONE_RESPONSE" (vea la ilustración siguiente), y el servidor 1 envía el comando "MAIL FROM:" y completa el proceso de envío del mensaje de correo. "Done_Response" enviado por el servidor 2 al servidor 1 367 Si el servidor 2 no tiene el mismo hash que el servidor 1, el servidor 2 envía todo su paquete OrgInfo al servidor 1 mediante un proceso similar al empleado por el servidor 1 para enviar su información al servidor 2. En la próxima sección se describe este proceso en el contexto de las actualizaciones entre grupos de enrutamiento. Actualizaciones entre grupos de enrutamiento Cuando tiene lugar una actualización principal o secundaria dentro de un grupo de enrutamiento, los servidores cabeza de puente locales que están conectados a otros grupos de enrutamiento propagan la actualización a sus grupos conectados a través de SMTP en el puerto TCP 25. Las tramas 485 a 487 (vea la ilustración siguiente) contienen el paquete OrgInfo entero que se transmite desde el maestro del grupo de enrutamiento al miembro del grupo que es el servidor cabeza de puente local. La trama 488 muestra el acuse de recibo del servidor cabeza de puente local. Transmisión del paquete OrgInfo desde el maestro del grupo de enrutamiento al miembro del grupo que es el servidor cabeza de puente local En las tramas 489 y 490 (vea la ilustración siguiente), el servidor cabeza de puente local consulta en Active Directory los atributos de la directiva de destinatarios predeterminada, que es la única que existía en el entorno de ejemplo. 368 Consulta del servidor cabeza de puente local a Active Directory Después de haber recibido las respuestas de las tramas 491 a 494, la trama 495 (vea la ilustración siguiente) muestra ahora que el servidor cabeza de puente local realiza una búsqueda en los subárboles del contenedor de configuración para encontrar cualquier grupo de enrutamiento que sea cabeza de puente (observe "LDAP: Filter Type"). Búsqueda del servidor cabeza de puente local de los grupos de enrutamiento de los que es cabeza de puente Cuando recibe la respuesta, el servidor cabeza de puente local empieza ahora a consultar DNS para el servidor de Exchange del grupo de enrutamiento remoto y establece una sesión TCP con este servidor cabeza de puente remoto. 369 El servidor cabeza de puente local continúa con los pasos que se explicaron en "Cómo se comunican las actualizaciones en una conversación SMTP", anteriormente en este tema. El proceso es el siguiente: 1. Cuando los servidores comparan los hashes MD5, el servidor cabeza de puente remoto se da cuenta de que no tiene el mismo hash que el servidor cabeza de puente local y le envía todo su paquete OrgInfo. Como esta comunicación se realiza mediante SMTP, y los Request For Comments (RFC) de SMTP estipulan que cualquier comando de datos SMTP no puede tener un tamaño de más de 1 KB, es probable que el paquete OrgInfo se divida en varias tramas. En esta situación, el servicio SMTP utiliza los diversos comandos CHUNK que se muestran en la ilustración siguiente. Uso del comando FIRST_CHUNK 2. El servidor cabeza de puente local responde con "X-LINK2STATE MORE" (vea la ilustración siguiente). Respuesta del servidor cabeza de puente local al servidor cabeza de puente remoto 370 3. El servidor cabeza de puente remoto envía la siguiente parte del paquete OrgInfo (vea la ilustración siguiente). Observe que sólo indica "CHUNK": Respuesta del servidor cabeza de puente remoto al servidor cabeza de puente local 4. El servidor cabeza de puente remoto vuelve a responder con "X-LINK2STATE MORE". Esta comunicación continúa hasta que el servidor cabeza de puente remoto envía la última parte del paquete OrgInfo, que se indica mediante el comando LAST_CHUNK (vea la ilustración siguiente). El servidor cabeza de puente remoto señala mediante el comando LAST_CHUNK que está enviando la última parte del paquete OrgInfo 5. Una vez completado este proceso de comunicación, los servidores cabeza de puente remoto y local invierten sus papeles. Después de recibir la trama LAST_CHUNK del servidor cabeza de puente remoto, el servidor cabeza de puente local envía inmediatamente una trama FIRST_CHUNK (que identifica el comienzo de la transmisión de su paquete OrgInfo) al servidor cabeza de puente remoto. 371 6. Cuando se ha completado el proceso idéntico para el intercambio de la información de OrgInfo, el servidor cabeza de puente remoto responde con un comando "200 Done" (vea la ilustración siguiente) después de recibir el comando LAST_CHUNK. El servidor cabeza de puente remoto señala que ha recibido el paquete OrgInfo en su totalidad 7. El servidor cabeza de puente local emite ahora el comando "Quit" y el servidor cabeza de puente remoto acusa recibo de su recepción cerrando el canal de transmisión SMTP. Comandos SMTP y sus definiciones Este tema contiene material de referencia sobre los temas siguientes: Comandos del Protocolo simple de transferencia de correo (SMTP) Mecanismos internos de transporte SMTP Receptores de sucesos SMTP Puertos utilizados con frecuencia por Microsoft® Exchange Comandos SMTP En la siguiente tabla se enumeran los comandos SMTP que ofrece el servicio SMTP de Microsoft Windows® (SMTPSVC). Comandos SMTP Comando SMTP Función del comando HELO Lo envía un cliente para identificarse a sí mismo, normalmente con un nombre de dominio. EHLO Permite al servidor identificar su compatibilidad con los comandos del Protocolo simple de transferencia de correo extendido (ESMTP). 372 Comando SMTP Función del comando MAIL FROM Identifica al remitente del mensaje; se utiliza con el formato MAIL FROM:. RCPT TO Identifica a los destinatarios del mensaje; se utiliza con el formato RCPT TO:. TURN Permite que el cliente y el servidor intercambien las funciones, y envíen correo en la dirección contraria sin tener que establecer una conexión nueva. ATRN El comando ATRN (TURN autenticado) toma uno o más dominios como parámetro de forma opcional. El comando ATRN debe rechazarse si la sesión no se ha autenticado. SIZE Proporciona un mecanismo por el cual el servidor SMTP puede indicar el tamaño máximo del mensaje aceptado. Los servidores compatibles deben proporcionar extensiones de tamaño para indicar el tamaño máximo de mensaje que pueden aceptar. Los clientes no deben enviar mensajes mayores que el tamaño indicado por el servidor. ETRN Una extensión de SMTP. ETRN lo envía un servidor SMTP para solicitar que otro servidor envíe todos los mensajes de correo electrónico que tenga. PIPELINING Permite enviar una secuencia de comandos sin esperar una respuesta de cada comando. CHUNKING Un comando ESMTP que reemplaza al comando DATA. Como el host SMTP no tiene que buscar continuamente el fin de los datos, este comando envía un comando BDAT con un argumento que contiene el número total de bytes de un mensaje. El servidor de recepción cuenta los bytes del mensaje y, cuando el tamaño del mensaje es igual que el valor enviado por el comando BDAT, supone que ha recibido todos los datos del mensaje. 373 Comando SMTP Función del comando DATA Lo envía un cliente para iniciar la transferencia del contenido del mensaje. DSN Un comando ESMTP que permite la entrega de notificaciones de estado. RSET Anula toda la transacción del mensaje y restablece el búfer. VRFY Comprueba que un buzón está disponible para la entrega de mensajes; por ejemplo, vrfy ted comprueba que hay un buzón para Ted en el servidor local. Este comando está desactivado en las implementaciones de Exchange de manera predeterminada. HELP Devuelve una lista de los comandos compatibles con el servicio SMTP. QUIT Termina la sesión. En la siguiente tabla se enumeran los comandos SMTP extendidos que Exchange pone a disposición del servicio SMTP. Comandos SMTP extendidos Comando SMTP extendido Función del comando X-EXPS GSSAPI Un método utilizado por los servidores de Microsoft Exchange Server 2003 y Exchange 2000 Server para autenticarse. X-EXPS=LOGIN Un método utilizado por los servidores de Exchange 2000 y Exchange 2003 para autenticarse. X-EXCH50 Permite propagar propiedades de los mensajes durante la comunicación entre servidores. X-LINK2STATE Agrega compatibilidad con el enrutamiento de estado de los vínculos en Exchange. 374 Receptores de sucesos Puede utilizar receptores de sucesos para ampliar y modificar el comportamiento del servicio SMTP de Microsoft Windows 2000 Server y Windows Server? 2003. Exchange 2003 necesita que funcione el servicio SMTP de Windows 2000 o Windows Server 2003 porque la mayoría de la funcionalidad de transporte de Exchange 2003 se realiza con esta arquitectura. Por tanto, después de reinstalar Servicios de Internet Information Server (IIS), o el servicio SMTP de Windows 2000 o Windows Server 2003, debe reinstalar también Exchange. Un suceso del servicio SMTP es alguna actividad que tiene lugar dentro del servicio SMTP, como la transmisión o la recepción de un comando SMTP o el envío de un mensaje al componente de transporte del servicio SMTP. Cuando se produce un suceso determinado, el servicio SMTP utiliza un despachador de sucesos para notificar el suceso a los receptores de sucesos registrados. Al notificar a los receptores de sucesos, el servicio SMTP pasa información al receptor en forma de referencias a objetos del Modelo de objetos componentes (COM). Hay dos categorías generales de sucesos del servicio SMTP: Sucesos de protocolo Los sucesos de protocolo se producen cuando se reciben o se transmiten comandos SMTP a través de la red. Estos sucesos tienen lugar cuando: Un servicio SMTP o un agente de usuario de correo cliente utiliza SMTP para transmitir mensajes que deben entregarse al servicio local. El servicio SMTP retransmite mensajes a otros servicios SMTP. Sucesos de transporte Los sucesos de transporte se producen cuando el servicio SMTP recibe un mensaje y dicho mensaje pasa por el transporte básico de SMTP. Durante su paso por el transporte, se categoriza el mensaje (se examina y se pone en categorías) y después se entrega a una ubicación de almacenamiento local o bien, si no es local, se retransmite a otro destino. Los sucesos predeterminados de protocolo y transporte de Windows 2000 y Windows Server 2003 sólo son accesibles mediante la escritura de objetos del Modelo de objetos componentes (COM) en Microsoft Visual C++®. Estos sucesos son rápidos, no requieren ningún procesamiento adicional y ofrecen acceso a las propiedades del mensaje de menor nivel; sin embargo, son más complejos de escribir. Para los trabajos más pequeños que no requieran un rendimiento elevado, puede utilizar el evento CDO_OnArrival, que puede escribir mediante Microsoft Visual Basic® Scripting Edition (VBScript). Para obtener más información acerca de cómo escribir uno de estos receptores de sucesos, descargue Platform SDK o consulte el artículo técnico para programadores de MSDN® Microsoft Windows 2000 SMTP Service Events. 375 Puertos frecuentes utilizados por Exchange En la siguiente tabla se enumeran los puertos utilizados con frecuencia por Exchange. Para obtener más información acerca de qué puertos deben abrirse interna o externamente, consulte Using Microsoft Exchange 2000 Front-End Servers. Puertos utilizados por Exchange Protocolo Puerto Descripción SMTP TCP: 25 El servicio SMTP utiliza el puerto TCP 25. DNS TCP/UDP: 53 DNS escucha en el puerto 53. Los controladores de dominio utilizan este puerto. LSA TCP: 691 El servicio Motor de enrutamiento de Microsoft Exchange (RESvc) escucha la información de estado de los vínculos de enrutamiento en este puerto. LDAP TCP/UPD: 389 El Protocolo ligero de acceso a directorios (LDAP) utilizado por el servicio de directorio Microsoft Active Directory®, el Conector de Active Directory y el directorio de Microsoft Exchange Server 5.5 utilizan este puerto. LDAP/SSL TCP/UDP: 636 LDAP sobre Secure Sockets Layer (SSL) utiliza este puerto. LDAP TCP/UDP: 379 El Servicio de replicación de sitios (SRS) utiliza este puerto. 376 Protocolo Puerto Descripción LDAP TCP/UDP: 390 Éste es el puerto alternativo recomendado para configurar el protocolo LDAP de Exchange Server 5.5 cuando Exchange Server 5.5 está ejecutándose en un controlador de dominio de Active Directory. LDAP TCP: 3268 Catálogo global. El catálogo global de Active Directory (una "función" de controlador de dominio) de Windows 2000 y Windows Server 2003 escucha en el puerto TCP 3268. LDAP/SSLPort TCP: 3269 Catálogo global sobre SSL. Las aplicaciones que se conectan al puerto TCP 3269 de un servidor de catálogo global pueden transmitir y recibir datos cifrados mediante SSL. IMAP4 TCP: 143 El Protocolo de acceso a correo de Internet (IMAP) utiliza este puerto. IMAP4/SSL TCP: 993 IMAP4 sobre SSL utiliza este puerto. POP3 TCP: 110 El Protocolo de oficina de correo versión 3 (POP3) utiliza este puerto. POP3/SSL TCP: 995 POP3 sobre SSL utiliza este puerto. NNTP TCP: 119 El Protocolo de transferencia de noticias a través de la red (NNTP) utiliza este puerto. NNTP/SSL TCP: 563 NNTP sobre SSL utiliza este puerto. 377 Protocolo Puerto Descripción HTTP TCP: 80 HTTP utiliza este puerto. HTTP/SSL TCP: 443 HTTP sobre SSL utiliza este puerto. Copyright La información contenida en este documento representa la visión actual de Microsoft Corporation acerca de los asuntos tratados hasta la fecha de su publicación. Como Microsoft debe responder a condiciones de mercado variables, no debe interpretarse como un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de la información que se presenta después de la fecha de publicación. Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O ESTATUTARIA, CON RESPECTO A LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation, sin que ello suponga ninguna limitación a los derechos de propiedad industrial o intelectual. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, u otros derechos de propiedad industrial o intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft. A menos que se indique lo contrario, las compañías, organizaciones, productos, nombres de dominios, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos utilizados en los ejemplos son ficticios. No se pretende ni se debe inferir de ningún modo relación con ninguna compañía, organización, producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o acontecimiento real. © 2006 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows Server, Windows Vista, Active Directory, ActiveSync, ActiveX, Entourage, Excel, FrontPage, Hotmail, JScript, Microsoft Press, MSDN, MSN, Outlook, SharePoint, Visual Basic, Visual C++, Visual Studio, Win32, Windows Mobile, Windows NT y Windows Server System son marcas registradas o marcas comerciales de Microsoft Corporation en los EE.UU. y/o en otros países. 378 Todas las demás marcas son propiedad de sus respectivos propietarios.