Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Straus Castollatsi

Ebook-Fundamentos de Exchange Server 2013

Anuncio 
Fundamentos de
Exchange Server
2013
Daniel Núñez Banega
MCSE / MCSA / MCITP / MCTS
Contenido
Introducción........................................................................................................................ 2
Ediciones de Exchange 2013 ............................................................................................ 3
Licencia de clientes (CAL) ................................................................................................ 3
Sistemas operativos soportados ................................................................................... 5
Mejoras en Exchange 2013 .............................................................................................. 6
Active Directory Domain Services ............................................................................... 16
Dominio ..................................................................................................................... 16
Árbol de dominios ................................................................................................... 17
Bosque de Active Directory .................................................................................... 17
Particiones del directorio ........................................................................................ 18
Catálogo Global ........................................................................................................ 19
Replicación ................................................................................................................ 20
Roles maestros (FSMO) ........................................................................................... 21
Sitios de Active Directory ........................................................................................ 21
DNS ...................................................................................................................................... 23
Registros DNS ........................................................................................................... 24
Requerimientos de servicios de infraestructura .................................................... 26
Nivel funcional .......................................................................................................... 26
Preparación de Active Directory ............................................................................ 27
Instalar Exchange en un controlador de dominio?................................................. 28
Arquitectura de roles ..................................................................................................... 28
Rol de Client Access ................................................................................................. 29
Rol de Mailbox .......................................................................................................... 30
Rol de Edge Transport ............................................................................................. 31
Próximos pasos ................................................................................................................ 32
Enlaces útiles ............................................................................................................ 32
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Página |1
Introducción
Empresas de mediano y gran porte utilizan Active Directory y Exchange
Server. Independientemente de si utilizan el correo en la nube, entorno
hibrido o cuentan con una instalación local, el producto de correo electrónico
por excelencia es Microsoft Exchange.
Comprender como funciona, donde almacena la información y cuáles son
sus dependencias es crítico para implementar o administrar la plataforma
correctamente.
En este primer tomo de "Fundamentos de Exchange server" vamos a
explorar los conceptos más importantes sobre Microsoft Exchange y su
relación con Active Directory de tal forma de "nivelar" y generar cimientos
que habiliten a pasar a temas más avanzados a futuro.
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Página |2
Ediciones de Exchange 2013
Exchange 2013 se encuentra disponible en 2 ediciones; Standard y
Enterprise.
En ambos casos el medio de instalación es el mismo, la diferencia se
encuentra en la clave del producto que varía en función a la versión
adquirida. Esta clave es la que determina que edición se activa.
El utilizar la versión Standard o Enterprise de Exchange depende de la
cantidad de base de datos requeridas por servidor (incluyendo activas y
pasivas):

Exchange 2013 Standard – máximo 5 bases

Exchange 2013 Enterprise – máximo 100 bases
A diferencia de otras versiones de Exchange y al igual que en el caso de
Exchange 2010, la única diferencia entre las 2 ediciones es la cantidad de
bases de datos, desde el punto de vista de características, clientes o alta
disponibilidad ambas cuentan con la misma funcionalidad.
Licencia de clientes (CAL)
En adición a las ediciones de servidor de Exchange tenemos 2 tipos de
licencia de cliente (CAL: Client Access License):

Exchange Server Standard CAL

Exchange Server Enterprise CAL
Cada usuario con buzón requiere una CAL standard, opcionalmente y de
forma adicional se puede agregar la Enterprise CAL.
La Enterprise CAL (eCAL) habilita mayor funcionalidad como por ejemplo
administración avanzada de dispositivos móviles, mensajería unificada o
buzón de archivado.
En la siguiente tabla 1se pueden ver las características incluidas dentro de la
CAL Standard y que es lo agrega la Enterprise:
1
https://products.office.com/es-es/exchange/microsoft-exchange-server-licensing-licensing-overview
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Página |3
La CAL que utiliza el cliente no tiene relación con la edición que utiliza el
servidor, esto se presta muchas veces a la confusión, es decir que puedo
utilizar Exchange Server Enterprise y contar únicamente con CAL Standard
para los usuarios.
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Página |4
Adicionalmente es posible contar con usuarios que cuentan con CAL
Enterprise (en adición a la Standard) porque requieren cierta funcionalidad
que otros usuarios no necesitan. En este caso se debe tener en cuenta el
costo adicional de esta licencia, por este motivo es usual encontrar que
usuarios “VIP” tengan este tipo de licencia mientras que usuarios “comunes”
solo cuenten con la Standard.
Sistemas operativos
soportados
La versión actual de Exchange 2013 (CU9 al momento de escribir el ebook)
corre sobre las siguientes versiones de sistema operativo:

Windows Server 2008 R2 SP1

Windows Server 2012

Windows Server 2012 R2
Más allá de las ventajas incluidas en las versiones más nuevas de Windows
podríamos decir que la que más aporta es la posibilidad de implementar alta
disponibilidad con la versión Standard de Windows Server 2012 o 2012 R2.
En el caso de Windows Server 2008 R2 SP1 sería necesario la versión
Enterprise ya que en la Standard no se incluyen los componentes de
clustering (dependencia del DAG).
Independientemente de la versión de sistema operativo no es posible
instalar sobre Server Core, la instalación debe ser completa (con GUI).
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Página |5
Mejoras en Exchange 2013
Exchange 2013 incluye varias mejoras, algunas muy técnicas y que a simple
vista no tienen impacto, otras más visibles ya que interactuamos de forma
más directa, dentro de estas últimas se destacan las siguientes:
Nueva interfaz administrativa
Desaparece la Exchange Management Console (EMC) utilizada desde
Exchange 2007 y se introduce el Exchange Admin Center (EAC).
La nueva interfaz de administración es web y aunque en primera instancia
esto pueda resultar como algo negativo es cuestión de adaptarse, trabajar
con el EAC es mucho más ágil que con la EMC, en adición puede ser accedida
desde cualquier lado a diferencia de la EMC que requería instalar las
herramientas administrativas o iniciar una sesión de terminal en el servidor.
2
2
https://technet.microsoft.com/en-us/library/jj150562(v=exchg.150).aspx
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Página |6
Outlook Web App
OWA es rediseñado y optimizado para tablets y smartphones en adición a
equipos de escritorio y laptops.
Dentro de las nuevas características una muy importante es la posibilidad de
utilizar OWA sin conexión (se debe utilizar un navegador soportado). Con
OWA fuera de línea se pueden realizar las tareas más comunes, estas
posteriormente son sincronizadas con el servidor una vez reanudada la
conexión.
Si bien existen limitantes, las características principales como lectura, edición,
envío / respuesta de correo, acceso al calendario y contactos se encuentran
disponibles.
3
3
http://blogs.technet.com/b/exchange/archive/2012/08/02/the-new-owa-rocks-tablets-and-phones.aspx
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Página |7
Mayor integración con Sharepoint 2013 con
buzones de sitio
Se introduce un nuevo tipo de buzón “site mailbox”. El site mailbox habilita a
que se almacene la información de correo electrónico en la base de datos de
Exchange mientras que toda la parte de documentos en Sharepoint. Esto
permite aprovechar características de versionado entre otras cosas.
4
Los usuarios fácilmente pueden arrastrar documentos desde Outlook 2013:
4
http://blogs.technet.com/b/exchange/archive/2012/08/22/site-mailboxes-in-the-new-office.aspx
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Página |8
Del mismo modo es posible acceder a correos relacionados a un proyecto en
contexto, desde Outlook o Sharepoint. Si bien desde el punto de vista de
interfaz de usuario el contenido está en un mismo lugar, mediante site
mailboxes es posible almacenar cada tipo de elemento en el store más
optimizado para la tarea.
5
5
https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
Página |9
Carpetas públicas modernas
Desaparece la base pública de versiones anteriores y se introduce el buzón
de carpetas públicas “Public Folder Mailbox”. Esto implica que se almacene
como un buzón más dentro de la base de datos de Exchange y su
información pueda ser replicada dentro de un DAG.
Una de las grandes ventajas de esto es no tener que manejar bases públicas
de un gran tamaño sino que es posible dividir la información en varios
buzones y ubicarlos en la base de datos que tenga más sentido (por ejemplo
desde el punto de vista de proximidad).
6
6
http://blogs.technet.com/b/exchange/archive/2014/08/26/public-folder-updates-in-cu6-improving-scale-and-more.aspx
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 10
Disponibilidad administrada (Managed
Availability)
Con Managed Availability se incluye monitoreo de los componentes internos
y características de recuperación con foco en la experiencia de usuario. Este
servicio monitorea la salud de los componentes y dependiendo del caso
puede reiniciar un servicio, application pool, servidor completo o escalar a un
administrador:
7
7
https://technet.microsoft.com/en-us/library/dn482056(v=exchg.150).aspx
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 11
Prevención de pérdida de datos (DLP)
Mediante el uso de DLP es posible reducir el riesgo de exposición de datos
confidenciales. Por ejemplo detectar si un correo incluye números de tarjetas
de crédito y advertir con un Policy Tip (similar al mailtip).
8
8
https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 12
Distintos patrones pueden ser identificados independientemente de si se
encuentran en el cuerpo del mensaje o dentro de algún adjunto:
9
9
https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 13
A continuación una tabla comparativa entre las características de Exchange
2007, 2010 y 2013:
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 14
10
10
©
https://products.office.com/es-es/exchange/compare-microsoft-exchange-server-versions
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 15
Active Directory Domain
Services
Desde Windows Server 2008 Active Directory abarca una suite de productos
o servicios:





Active Directory Domain Services (ADDS)
Active Directory Lightweight Directory Services (ADLDS)
Active Directory Federation Services (ADFS)
Active Directory Rights Management Services (ADRMS)
Active Directory Certificate Services
Independientemente de esto, en general cuando se habla de Active Directory
sin especificar se hace referencia a Active Directory Domain Services.
Active Directory Domain Services es un servicio de directorio que permite
almacenar y administrar información de usuarios, computadoras, impresoras
aplicaciones y otros objetos de la red de forma centralizada y segura.
Desde Exchange 2000 Active Directory es el servicio de directorio utilizado
por Exchange. En Active Directory se almacena información de configuración
y destinatarios de correo.
Cada vez que Exchange requiere información de configuración o sobre algún
destinatario consulta Active Directory, si este no se encuentra disponible
Exchange no va a funcionar correctamente.
Debido a la fuerte integración de Exchange con Active Directory es
importante entender los conceptos más básicos en relación a su interacción
con el directorio, donde almacena información y que componentes requiere.
Dominio
Un dominio de Active Directory es un contenedor lógico utilizado para
administrar usuarios, grupos, computadoras entre otros objetos.
Todos estos objetos son contenidos en una partición específica dentro de la
base de datos de AD DS. Cada servidor con el rol de controlador de dominio
almacena una copia de esta base.
Un dominio de Active Directory funciona como una frontera de replicación,
cuando se realizan modificaciones, los controladores de dominio replican el
cambio de tal forma de mantener sincronizada la base.
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 16
Árbol de dominios
Un árbol de dominios (tree) es una colección de uno o más dominios que
comparten un espacio de nombre contiguo. Por ejemplo si el primer dominio
se llama contoso.com y tiene un subdominio, este sería
subdominio.contoso.com.
En un bosque de Active Directory pueden existir múltiples árboles de
dominio.
Bosque de Active Directory
En Active Directory el bosque (forest) es una colección de uno o más
dominios que comparten una misma estructura lógica, catálogo global,
esquema y configuración.
Todos los dominios del bosque cuentan con relaciones de confianza
automáticas de 2 vías y transitivas.
El bosque representa una instancia completa del directorio y una frontera de
seguridad.
En el diagrama a continuación vemos un bosque compuesto por un árbol
con un dominio raíz y 2 subdominios. Las OU representan contenedores
utilizados para organizar la información entre otras cosas:
11
11
©
https://technet.microsoft.com/en-us/library/cc756901(v=ws.10).aspx
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 17
Exchange tiene una relación 1:1 con el bosque de Active Directory, esto
significa que un bosque solo puede tener una organización de Exchange y
una organización no puede expandirse más allá del bosque.
Particiones del directorio
La información en la base de datos de Active Directory es almacenada en
particiones. Estas particiones almacenan distintos tipos de información y son
unidades de replicación.
Partición de Dominio
En esta partición se almacena información de usuarios, grupos,
computadoras, OU. Esta partición es replicada entre todos los controladores
de dominio del dominio.
Un conjunto parcial de atributos se replica a todos los controladores de
dominio del bosque con el rol de catálogo global.
Específicamente en relación a Exchange en la partición de dominio se
almacena información de usuarios con buzón, habilitados para correo,
contactos y grupos de distribución.
Partición de Configuración
En la partición de configuración se almacena información global de
configuración por ejemplo configuración de sitios de Active Directory, PKI y
Exchange entre otros. Esta partición es replicada entre todos los
controladores de dominio del bosque.
En relación a Exchange encontramos prácticamente toda la configuración;
información de base de datos, conectores, servidores, protocolos, etc.
Partición de Esquema
En el esquema es donde se definen las clases y atributos de los objetos que
podemos tener en el directorio. Este esquema es extensible y es lo primero
que debemos preparar antes de instalar Exchange. El esquema es único por
bosque y es replicado entre todos los controladores de dominio.
Partición de Aplicación
En adición tenemos particiones de aplicación. Si bien Exchange no almacena
información en este tipo de partición, en general se utilizan a nivel de DNS,
servicio en el cual Active Directory depende y en consecuencia Exchange.
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 18
Catálogo Global
El Global Catalog (GC) es una copia parcial de solo lectura que contiene
información de los atributos más utilizados de todos los objetos del bosque.
Entre otras cosas en lugar de tener que consultar DC por DC de cada dominio
(de contar con más de uno) permite acelerar las búsquedas en el bosque
consultando directamente al GC ya que tiene información de todos los
objetos (funcionando como un índice).
Cuando se instala Exchange, los atributos de objetos habilitados para correo
son replicados al catálogo global. Independientemente de si se utiliza un
bosque con un único dominio o con múltiples dominios, Exchange consulta
al GC.
Todo Catálogo Global es controlador de dominio, mientras que no todo
controlador de dominio es GC. Dependiendo de la cantidad de servidores,
dominios, etc cuál sería la recomendación respecto a la ubicación de los
controladores con rol de GC.
En el escenario más usual, donde encontramos un bosque compuesto por un
único dominio, la recomendación en general es que todos los controladores
de dominio sean Catálogo Global.
En el siguiente diagrama tenemos un bosque compuesto por 4 dominios; el
dominio raíz y 3 subdominios. Si por ejemplo examinamos la base de datos
(ntds.dit) de un controlador de dominio del dominio “A” encontramos la
partición de dominio (A), configuración y esquema, si el controlador de
dominio es además catálogo global tendría las mismas 3 particiones más una
réplica parcial de las particiones de los dominios B, C y D:
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 19
12
En adición a Exchange, el catálogo global es crítico para otro tipo de
escenarios, quizás el más básico sea el inicio de sesión de los usuarios.
Dada la criticidad de este servicio se recomienda que existan al menos 2 DC
con el rol de GC y que al menos exista 1 GC en cada sitio donde se encuentre
un servidor con Exchange instalado.
Replicación
Los controladores de dominio utilizan un modelo de replicación multimaster,
es decir que podemos realizar cambios en cualquier controlador de dominio
y estos posteriormente serán sincronizados entre sí.
A partir de 2008 se incluye un tipo de controlador de dominio de solo lectura:
RODC (Read Only Domain Controller), el cual a su vez puede funcionar como
catálogo global.
En lo referente a Exchange lo que se debe tener en cuenta es que este tipo
de controlador de dominio no está soportado, puede existir en la red pero al
12
©
https://technet.microsoft.com/en-us/library/how-global-catalog-servers-work(v=ws.10).aspx
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 20
menos un controlador de dominio de lectura y escritura debe estar
funcionando.
Roles maestros (FSMO)
Si bien Active Directory utiliza un modelo multimaster de replicaicón, existen
operaciones específicas que dependen de un controlador de dominio con un
rol específico. De forma predeterminada estos roles son asignados al primer
DC del bosque.
En Active Directory tenemos 5 roles maestros (FSMO: Flexible Single Master
Operations); 2 globales a nivel de bosque (en el primer dominio del bosque) y
3 por cada uno de los dominio del bosque:

FSMO por bosque
o Schema Master
o Domain Naming Master

FSMO por dominio
o PDC Emulator
o RID Master
o Infrastructure Master
La mayoría de estos roles se utilizan para tareas puntuales y en algunos
casos hasta podrían encontrarse fuera de línea sin derivar en demasiado
impacto, pero si por ejemplo al preparar Active Directory para Exchange, el
rol del esquema no se encuentra disponible, el proceso va a fallar.
Sitios de Active Directory
Un sitio de Active Directory representa la topología física de la red en el
directorio. Un sitio podría ser definido como un conjunto de subredes bien
conectadas.
Exchange utiliza sitios de Active Directory para localizar los DC/GC más
cercanos y para el ruteo de mensajes, esto es importante cuando tenemos
más de un sitio con servidores de Exchange instalados.
De forma predeterminada se crea el Default-First-Site-Name sin subredes
definidas lo que básicamente indicaría que toda la red está asociado a este
sitio. Si se cuenta con un único sitio esto podría ser suficiente.
De haber más de un sitio físico, por ejemplo un edificio principal y una oficina
remota conectada por un enlace lento sería posible definir un sitio de Active
Directory asociado a cada ubicación física y así los clientes o servicios que
dependen de Active Directory podrían encontrar los controladores de
dominio más cercanos.
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 21
Mediante la configuración de sitios de Active Directory es posible optimizar
los procesos de replicación, autenticación y localización de servicios en la red.
La cantidad de sitios no tiene relación con la de dominios; un sitio podría
abarcar varios dominios (dentro de un mismo bosque) así como se podrían
utilizar múltiples sitios para un único dominio. El sitio tiene relación con la
estructura física de Active Directory mientras que el dominio con la
estructura lógica:
13
13
©
https://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 22
DNS
DNS (Domain Name System) es un servicio de resolución de nombres. Cada
vez que utilizamos un navegador por detrás se utiliza este servicio para
resolver nombres a direcciones IP.
Active Directory depende de DNS ya que lo utiliza para todo lo referente a
registro de nombres, servicios y resolución. Al día de hoy DNS es un
requerimiento básico, sin DNS no hay Active Directory y sin este no hay
Exchange.
DNS provee una base de datos jerárquica y escalable donde hosts (equipos
con TCP/IP) pueden consultar y actualizar sus registros.
En un entorno con Active Directory se recomienda instalar el servicio de DNS
en un controlador de dominio. Esto es una excepción ya que en general la
recomendación es no instalar nada en un DC, pero el caso puntual de DNS
ofrece varias ventajas:



Integración de información de zonas dentro de Active Directory (esto
implica que utilizaría el mismo mecanismo de replicación que el de
AD)
No es necesario utilizar zonas primarias y secundarias. Las zonas
primarias son de lectura y escritura, las secundarias de solo lectura, si
hay un problema con la zona primaria no sería posible actualizar
registros
Actualización dinámica y segura de registros en DNS
Cuando un controlador de dominio es instalado se crean una serie de
registros en DNS. Estos registros van más allá del típico registro A (que
resuelve nombre a IP), incluyendo registros SRV (Service Locator) utilizados
para localizar servicios en la red, por ejemplo para LDAP, Kerberos e
información específica de sitios entre otros.
Exchange utiliza estos servicios para localizar controladores de dominio /
catalogo global cercanos, información de sitios para ruteo de mail,
autenticación, etc.
Algo fundamental en este aspecto es que tanto los controladores de dominio
como los servidores de Exchange deben estar configurados con las IP de los
DNS internos, en ningún caso se debe configurar un DNS externo (error
común cuando se intenta configurar resolución de nombres fuera de la
organización).
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 23
Registros DNS
Exchange utiliza varios tipos de registros en DNS, algunos son utilizados
internamente, otros son utilizados a nivel externo por ejemplo para
intercambiar correo con otras organizaciones:
Registro A
El registro A se utiliza para resolver un nombre de host a su dirección IPv4.
Internamente en general los equipos registran automáticamente su nombre
dentro de la zona de dominio.
En el caso de Exchange puede ser necesario crear registros A explícitos en la
zona interna por cuestiones de certificados y nombres asignados a los
servicios.
Este tipo de registro también es necesario en la zona externa de la
organización, por ejemplo para incluir un registro “mail.empresa.com”
apuntando a una IP pública.
Registro PTR
El registro PTR (Pointer) resuelve una dirección IP a un registro A (ej:
mail.dominio.com), a nivel de correo electrónico este podría ser chequeado
externamente cuando enviamos mail fuera de nuestra organización.
Por ejemplo, si el servidor de correo destino hace un consulta reversa al
nombre con el que se presentó nuestro servidor de envío (smarthost o
Exchange), este debería coincidir con la dirección IP utilizada, de lo contrario
podría ser catalogado como SPAM.
Registro SRV
El registro SRV identifica servidores que proveen servicios específicos en la
red, por ejemplo los clientes utilizan registros SRV para localizar
controladores de dominio, GCs y en muchos casos configuración de
aplicaciones como Outlook o Activesync.
Registro MX
Para que una organización externa pueda enviarnos mail esta debe ser capaz
de localizarnos, para esto se utilizan registros MX (Mail Exchanger). Esto es
independiente a si usamos Exchange u otro tipo de servidor de correo.
Este registro MX es utilizado por organizaciones externas y no lo precisamos
internamente. Del mismo modo cuando nuestra organización envía correo
debemos ser capaces de localizar un registro MX del dominio destino.
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 24
El registro MX debe apuntar a un registro de tipo “A” que a su vez apunta a
una dirección IP (se pueden usar alias o cname pero esto no es
recomendado).
En adición, los registros MX utilizan lo que se conoce como “preferencia”,
cuanto más bajo sea el número de preferencia, mayor prioridad tiene el
registro.
La preferencia puede ser utilizada para obtener balanceo y alta
disponibilidad a nivel de recepción de correo, por ejemplo se podría tener un
registro MX dedicado para un sitio principal y otro con menor prioridad
apuntando a una IP de contingencia como “backup”.
Si tenemos una pequeña organización con un único sitio y sin alta
disponibilidad, con un registro MX sería suficiente.
14
En general, en producción vamos a encontrar que los registros MX apuntan a
un registro A asociado a una IP pública en un firewall de frontera que
posteriormente hace NAT a un servidor corriendo software de antivirus
/antispam y configurado para reenviar todo mail entrante a nuestro
Exchange.
Como alternativa, en caso de no tener un servidor adicional para higiene de
transporte, el NAT podría estar configurado directo hacia el Exchange.
Registro SPF
El registro SPF (Sender Policy Framework) es utilizado para indicar desde que
hosts podría nuestra organización enviar correo. De este modo una
organización destino podría verificar la IP desde la que se conecta nuestro
14
©
https://technet.microsoft.com/en-us/library/ff634392(v=exchg.141).aspx
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 25
servidor de envío y en base a si existe un registro SPF y coincide o no con
nuestra IP que acción tomar.
Este tipo de registro es muy utilizado para evitar el spoofing de mails, por
ejemplo cuando se recibe spam desde direcciones supuestamente internas.
15
De tener un registro SPF configurado, cuando el servidor recibe este tipo de
correo, chequearía que la IP desde la que proviene no coincide con las
indicadas en el registro SPF y en base a esto dependiendo de la configuración
del filtro si lo rechaza o simplemente estampa el resultado para posterior
análisis.
Requerimientos de servicios
de infraestructura
Active Directory es el principal requerimiento para Exchange, lo que deriva
en que se dependa de DNS para la resolución de nombres, localización de
servicios, etc.
Nivel funcional
Como mínimo se debe contar con nivel funcional de dominio y bosque en
Windows Server 2003.
Los controladores de dominio en Windows Server 2003 deben estar
actualizados con Service Pack 2. Pueden existir distintas versiones de sistema
operativo en los DC, como por ejemplo DCs en 2003 y otros en 2008 R2, esto
no afecta a Exchange.
15
©
https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 26
A tener en consideración que no es posible utilizar RODC/GC (controlador de
dominio de solo lectura) para Exchange, es decir que requiere controladores
de dominio de lectura y escritura.
El nivel funcional de dominio y bosque no tiene relación con la versión de
sistema operativo soportado en los servidores de Exchange. Por ejemplo,
nivel funcional de dominio y bosque en 2003 indicaría que no se pueden
tener controladores de dominio con una versión anterior a 2003, pero si se
podría con una versión superior (solo aplica a la versión de sistema operativo
de los controladores de dominio).
El nivel funcional asegura que la funcionalidad del directorio se adecue al
nivel más compatible, es decir que si el nivel funcional se encuentra en 2003,
y se incluyen controladores de dominio en Windows Server 2012,
características como por ejemplo papelera de reciclaje de Active Directory no
podrían ser habilitadas ya que no se encuentran soportadas en
controladores de dominio anteriores a 2008 R2.
Incluso si todos los controladores de dominio corren una versión reciente de
sistema operativo pero el nivel funcional no fue elevado, las nuevas
características no van a estar disponibles.
Preparación de Active Directory
El primer paso antes de instalar Exchange es extender el esquema de Active
Directory. El usuario que ejecute esta tarea debe ser miembro del grupo de
administradores del esquema (schema admins).
La preparación de Active Directory16 abarca más que solo extender el
esquema y puede ser ejecutada de forma separada a la instalación de
Exchange (por línea de comando) o puede ser incluida como tarea inicial
dentro del proceso de instalación17 (de forma automática si se cuenta con los
permisos necesarios).
A nivel macro, la preparación consiste en lo siguiente:
1. Extensión de esquema. En este paso extendemos el esquema de
Active Directory para agregar clases y atributos específicos de
Exchange.
2. Creación de contenedores en partición de configuración, asignación
de permisos, OU con grupos de seguridad, etc.
3. Preparación de cada dominio adicional que vaya a tener servidores de
Exchange u objetos habilitados para correo.
16
17
©
http://aprendiendoexchange.com/preparacion-de-active-directory-para-exchange-2013
http://aprendiendoexchange.com/como-instalar-exchange-2013
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 27
Instalar Exchange en un
controlador de dominio?
Instalar Exchange en un controlador de dominio tiene muchas limitantes,
principalmente desde el punto de vista de seguridad y rendimiento.
Exchange requiere Active Directory pero este requerimiento no implica que
se deba instalar en un servidor con el rol de controlador de dominio.
La recomendación es instalar Exchange en un servidor miembro del dominio.
En adición, suponiendo el escenario donde Exchange ya se encuentra
instalado en un servidor miembro, no es soportado promover este servidor a
controlador de dominio y lo mismo a la inversa, es decir, si se instala
Exchange sobre un controlador de dominio no estaría soportado que
posteriormente se despromueva el rol de DC (demote).
En caso de ser necesario cambiar el rol de un servidor con Exchange
instalado, el mecanismo soportado sería generar un nuevo servidor de
Exchange, mover toda la funcionalidad, información de buzones, etc y por
último desinstalar Exchange en el servidor original.
Arquitectura de roles
En Exchange 2007 y 2010 existían 5 roles, en Exchange 2013 esto se redujo a
los siguientes 3:



Client Access
Mailbox
Edge Transport
Una instalación “típica” de Exchange incluiría los roles de Client Access y
Mailbox server. Esto se conoce como multirol.
Estos roles podrían estar distribuidos en varios servidores de existir algún
requerimiento especifico. El punto es que para contar con una instalación
funcional es necesario contar con ambos roles, sea en un mismo servidor o
en varios servidores.
El rol de Mailbox incluye componentes que antes se encontraban en los roles
de Client Access, Hub Transport y Mensajería Unificada de Exchange 2010.
Este rol maneja toda la actividad referente a los buzones activos en el
servidor.
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 28
El rol de Client Access provee autenticación, servicios de proxy y redirección
en el caso mensajería unificada.
En Exchange 2013 CU4 (service pack 1) re aparece el rol de Edge Transport
(ya existía en Exchange 2007 y en 2010). Este rol en particular no puede ser
instalado junto a ningún otro y se recomienda que esté fuera de la red
interna (DMZ por ejemplo).
A continuación un diagrama de technet sobre la arquitectura de roles en
Exchange 2013:
18
Rol de Client Access
El rol de Client Access (CAS) incluye componentes relacionados con SMTP,
ruteo de llamadas (mensajería unificada) y protocolos de cliente. A diferencia
de versiones anteriores, si utilizan un balanceador ya no requiere afinidad de
sesión.
Como se puede ver en el diagrama19, las conexiones de clientes OWA,
ActiveSync, Outlook (RPC/HTTPS), etc pasan por este rol:
18
http://blogs.technet.com/b/exchange/archive/2013/01/23/exchange-2013-server-role-architecture.aspx
19
http://blogs.technet.com/b/exchange/archive/2013/01/25/exchange-2013-client-access-server-role.aspx
©
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 29
El rol de Client Access de Exchange 2013 autentica y posteriormente cumple
la función de proxy hacia el servidor con el rol de Mailbox, Como excepción
tenemos el caso de mensajería unificada (UM) donde se hace una redirección
en lugar de proxy.
En adición, encontramos el servicio de Front End Transport, este servicio es el
que publicaríamos hacia Internet para recepción de correo (si no tenemos un
servidor de Edge o algún otro tipo de smarthost en DMZ).
El rol de Acceso de clientes no encola mails, es decir que si el servidor de
Mailbox se encuentra fuera de servicio, la recepción de correo externo (entre
otras cosas) fallaría.
Dado que en general la función del CAS es la de hacer de proxy hacia el
servidor con el rol de Mailbox, si este último se encuentra fuera de servicio el
tener levantado el servidor con el rol de Client Access no aportaría nada.
Para ofrecer alta disponibilidad podemos instalar el rol en múltiples
servidores utilizando algún mecanismo de balanceo como NLB, DNS Round
Robin, HLB, etc.
Rol de Mailbox
En el rol de Mailbox se alojan las bases y es donde se realiza el
procesamiento de datos.
En adición, se incluyen componentes de transporte; por un lado servicios
para interactuar con la base de datos y por otro para hacerlo con el servicio
de Front End del Client Access y otros servidores de Mailbox.
A diferencia de la entrada de mail, de forma predeterminada al crear un
conector de envío, el rol que realiza la conexión es el de Mailbox.
Para utilizar al Client Access como proxy es necesario modificar las
propiedades del conector (si tenemos los roles separados no sería un dato
menor ya que la IP del servidor que envía debe estar habilitada en el
firewall).
En el siguiente diagrama20 se puede ver la interacción:
20
©
https://technet.microsoft.com/en-us/library/aa996349(v=exchg.150).aspx
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 30
En lo que respecta a alta disponibilidad y contingencia tenemos como
componente central al DAG21 (Database Availability Group).
Un DAG agrupa lógicamente servidores con el rol de Mailbox con la finalidad
de replicar bases de datos mediante log shipping asincrónico.
Rol de Edge Transport
Este es un rol opcional e incluso puede utilizarse alguna alternativa para
cumplir la función. El rol está diseñado para trabajar en DMZ y manejar lo
referente a ruteo de correo externo e higiene de mensajes.
En este rol se incluyen las mismas características antispam que en el rol de
Mailbox de Exchange 2013 así como algunas adicionales como agentes de
filtrado de conexiones y adjuntos. En adición, cuenta con agente de
reescritura de direcciones de correo para el caso que aplique. Este es el
único rol de Exchange que no requiere Active Directory.
El objetivo del rol de Edge Transport es incrementar el nivel de seguridad del
correo, en primera instancia cumpliendo con algo muy requerido como es el
hecho de que un servidor externo no se conecte directamente con uno
interno sino que realice una conexión a nuestra zona perimetral y
21
©
http://aprendiendoexchange.com/dag-en-exchange-introduccion
2 0 1 5
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 31
posteriormente el servidor de Edge se conecte a nuestros servidores con el
rol de Mailbox.
A simple vista podríamos decir que el rol de Edge Transport es un simple
smarthost pero entre otras cosas nos habilita a sincronizar información de
configuración interna como por ejemplo dominios de correo de la
organización, información de destinatarios como remitentes seguros (safe
senders) mediante safelist aggregation y de este modo disminuir la chance
de falsos positivos.
El rol de Edge Transport al igual que otros roles de Exchange 2013 puede ser
instalado sobre Windows Server 2008 R2, Windows Server 2012 o 2012 R2.
Próximos pasos
Si te gusto el ebook, lo primero sería compartir la página principal
“Fundamentos de Exchange Server 2013” con al menos un colega. En esta
página se van a ir agregando actualizaciones y nuevos tomos.
En adición pueden enviar dudas a la dirección de contacto
[email protected] o postear en la sección de comentarios.
Enlaces útiles
A continuación incluyo enlaces útiles para continuar con el trabajo sobre
Exchange 2013:
Preparación de Active Directory

http://aprendiendoexchange.com/preparacion-de-active-directorypara-exchange-2013
Instalación

http://aprendiendoexchange.com/como-instalar-exchange-2013
Análisis de mejores prácticas

http://aprendiendoexchange.com/mejores-practicas-en-exchange2013
Creación de nueva base de datos

©
2 0 1 5
http://aprendiendoexchange.com/como-crear-una-base-de-datos-enexchange-2013
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 32
Alta disponibilidad

http://aprendiendoexchange.com/dag-en-exchange-introduccion
Tipos de buzones

http://aprendiendoexchange.com/tipos-de-buzones-en-exchange2013
Agregar nuevo dominio de correo

http://aprendiendoexchange.com/como-agregar-un-nuevo-dominiode-correo-en-exchange-parte-1
Certificados

http://aprendiendoexchange.com/certificados-en-exchange-2013
Instalación de filtros antispam

http://aprendiendoexchange.com/como-instalar-los-filtros-anti-spamen-exchange-2013
Configuración de conector de envío a internet

http://aprendiendoexchange.com/configurar-el-envio-de-correo-ainternet-en-exchange-2013
Respaldo

http://aprendiendoexchange.com/como-respaldar-las-bases-deexchange-2013-con-windows-server-backup
Restauración

©
2 0 1 5
http://aprendiendoexchange.com/como-restaurar-una-base-de-datosde-exchange-2010-2013-con-wsb
T o d o s
l o s
d e r e c h o s
r e s e r v a d o s
P á g i n a | 33
Documentos relacionados
Objetivos: Colaborar en tareas relacionadas con soporte al usuario
Objetivos: Colaborar en tareas relacionadas con soporte al usuario
Capítulo 5. Tarea
Capítulo 5. Tarea
Anexo
Anexo
Tax Alert - Normas relativas a beneficios netos operaciones
Tax Alert - Normas relativas a beneficios netos operaciones
ACTIVE DIRÉCTORY
ACTIVE DIRÉCTORY
Foreign Exchange Students / Estudiantes de Intercambio Per
Foreign Exchange Students / Estudiantes de Intercambio Per
Tax Alert Convenio Cambiario N° 32
Tax Alert Convenio Cambiario N° 32
Octubre – I Los Commodities Todos en algún momento
Octubre – I Los Commodities Todos en algún momento
Requisitos
Requisitos
Motorola XT1032 Moto G - Configurar correo Outlook o Exchange
Motorola XT1032 Moto G - Configurar correo Outlook o Exchange
Descargar
Anuncio
Anuncio