Fundamentos de Exchange Server

2013

Daniel Núñez BanegaMCSE / MCSA / MCITP / MCTS

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 1

Contenido Introducción ........................................................................................................................ 2

Ediciones de Exchange 2013 ............................................................................................ 3

Licencia de clientes (CAL) ................................................................................................ 3

Sistemas operativos soportados ................................................................................... 5

Mejoras en Exchange 2013 .............................................................................................. 6

Active Directory Domain Services ............................................................................... 16

Dominio ..................................................................................................................... 16

Árbol de dominios ................................................................................................... 17

Bosque de Active Directory .................................................................................... 17

Particiones del directorio ........................................................................................ 18

Catálogo Global ........................................................................................................ 19

Replicación ................................................................................................................ 20

Roles maestros (FSMO) ........................................................................................... 21

Sitios de Active Directory ........................................................................................ 21

DNS ...................................................................................................................................... 23

Registros DNS ........................................................................................................... 24

Requerimientos de servicios de infraestructura .................................................... 26

Nivel funcional .......................................................................................................... 26

Preparación de Active Directory ............................................................................ 27

Instalar Exchange en un controlador de dominio?................................................. 28

Arquitectura de roles ..................................................................................................... 28

Rol de Client Access ................................................................................................. 29

Rol de Mailbox .......................................................................................................... 30

Rol de Edge Transport ............................................................................................. 31

Próximos pasos ................................................................................................................ 32

Enlaces útiles ............................................................................................................ 32

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 2

Introducción Empresas de mediano y gran porte utilizan Active Directory y Exchange

Server. Independientemente de si utilizan el correo en la nube, entorno

hibrido o cuentan con una instalación local, el producto de correo electrónico

por excelencia es Microsoft Exchange.

Comprender como funciona, donde almacena la información y cuáles son

sus dependencias es crítico para implementar o administrar la plataforma

correctamente.

En este primer tomo de "Fundamentos de Exchange server" vamos a

explorar los conceptos más importantes sobre Microsoft Exchange y su

relación con Active Directory de tal forma de "nivelar" y generar cimientos

que habiliten a pasar a temas más avanzados a futuro.

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 3

Ediciones de Exchange 2013 Exchange 2013 se encuentra disponible en 2 ediciones; Standard y

Enterprise.

En ambos casos el medio de instalación es el mismo, la diferencia se

encuentra en la clave del producto que varía en función a la versión

adquirida. Esta clave es la que determina que edición se activa.

El utilizar la versión Standard o Enterprise de Exchange depende de la

cantidad de base de datos requeridas por servidor (incluyendo activas y

pasivas):

Exchange 2013 Standard – máximo 5 bases

Exchange 2013 Enterprise – máximo 100 bases

A diferencia de otras versiones de Exchange y al igual que en el caso de

Exchange 2010, la única diferencia entre las 2 ediciones es la cantidad de

bases de datos, desde el punto de vista de características, clientes o alta

disponibilidad ambas cuentan con la misma funcionalidad.

Licencia de clientes (CAL) En adición a las ediciones de servidor de Exchange tenemos 2 tipos de

licencia de cliente (CAL: Client Access License):

Exchange Server Standard CAL

Exchange Server Enterprise CAL

Cada usuario con buzón requiere una CAL standard, opcionalmente y de

forma adicional se puede agregar la Enterprise CAL.

La Enterprise CAL (eCAL) habilita mayor funcionalidad como por ejemplo

administración avanzada de dispositivos móviles, mensajería unificada o

buzón de archivado.

En la siguiente tabla 1se pueden ver las características incluidas dentro de la

CAL Standard y que es lo agrega la Enterprise:

1 https://products.office.com/es-es/exchange/microsoft-exchange-server-licensing-licensing-overview

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 4

La CAL que utiliza el cliente no tiene relación con la edición que utiliza el

servidor, esto se presta muchas veces a la confusión, es decir que puedo

utilizar Exchange Server Enterprise y contar únicamente con CAL Standard

para los usuarios.

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 5

Adicionalmente es posible contar con usuarios que cuentan con CAL

Enterprise (en adición a la Standard) porque requieren cierta funcionalidad

que otros usuarios no necesitan. En este caso se debe tener en cuenta el

costo adicional de esta licencia, por este motivo es usual encontrar que

usuarios “VIP” tengan este tipo de licencia mientras que usuarios “comunes”

solo cuenten con la Standard.

Sistemas operativos

soportados La versión actual de Exchange 2013 (CU9 al momento de escribir el ebook)

corre sobre las siguientes versiones de sistema operativo:

Windows Server 2008 R2 SP1

Windows Server 2012

Windows Server 2012 R2

Más allá de las ventajas incluidas en las versiones más nuevas de Windows

podríamos decir que la que más aporta es la posibilidad de implementar alta

disponibilidad con la versión Standard de Windows Server 2012 o 2012 R2.

En el caso de Windows Server 2008 R2 SP1 sería necesario la versión

Enterprise ya que en la Standard no se incluyen los componentes de

clustering (dependencia del DAG).

Independientemente de la versión de sistema operativo no es posible

instalar sobre Server Core, la instalación debe ser completa (con GUI).

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 6

Mejoras en Exchange 2013 Exchange 2013 incluye varias mejoras, algunas muy técnicas y que a simple

vista no tienen impacto, otras más visibles ya que interactuamos de forma

más directa, dentro de estas últimas se destacan las siguientes:

Nueva interfaz administrativa

Desaparece la Exchange Management Console (EMC) utilizada desde

Exchange 2007 y se introduce el Exchange Admin Center (EAC).

La nueva interfaz de administración es web y aunque en primera instancia

esto pueda resultar como algo negativo es cuestión de adaptarse, trabajar

con el EAC es mucho más ágil que con la EMC, en adición puede ser accedida

desde cualquier lado a diferencia de la EMC que requería instalar las

herramientas administrativas o iniciar una sesión de terminal en el servidor.

2

2 https://technet.microsoft.com/en-us/library/jj150562(v=exchg.150).aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 7

Outlook Web App

OWA es rediseñado y optimizado para tablets y smartphones en adición a

equipos de escritorio y laptops.

Dentro de las nuevas características una muy importante es la posibilidad de

utilizar OWA sin conexión (se debe utilizar un navegador soportado). Con

OWA fuera de línea se pueden realizar las tareas más comunes, estas

posteriormente son sincronizadas con el servidor una vez reanudada la

conexión.

Si bien existen limitantes, las características principales como lectura, edición,

envío / respuesta de correo, acceso al calendario y contactos se encuentran

disponibles.

3

3 http://blogs.technet.com/b/exchange/archive/2012/08/02/the-new-owa-rocks-tablets-and-phones.aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 8

Mayor integración con Sharepoint 2013 con

buzones de sitio

Se introduce un nuevo tipo de buzón “site mailbox”. El site mailbox habilita a

que se almacene la información de correo electrónico en la base de datos de

Exchange mientras que toda la parte de documentos en Sharepoint. Esto

permite aprovechar características de versionado entre otras cosas.

4

Los usuarios fácilmente pueden arrastrar documentos desde Outlook 2013:

4 http://blogs.technet.com/b/exchange/archive/2012/08/22/site-mailboxes-in-the-new-office.aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 9

Del mismo modo es posible acceder a correos relacionados a un proyecto en

contexto, desde Outlook o Sharepoint. Si bien desde el punto de vista de

interfaz de usuario el contenido está en un mismo lugar, mediante site

mailboxes es posible almacenar cada tipo de elemento en el store más

optimizado para la tarea.

5

5 https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 10

Carpetas públicas modernas

Desaparece la base pública de versiones anteriores y se introduce el buzón

de carpetas públicas “Public Folder Mailbox”. Esto implica que se almacene

como un buzón más dentro de la base de datos de Exchange y su

información pueda ser replicada dentro de un DAG.

Una de las grandes ventajas de esto es no tener que manejar bases públicas

de un gran tamaño sino que es posible dividir la información en varios

buzones y ubicarlos en la base de datos que tenga más sentido (por ejemplo

desde el punto de vista de proximidad).

6

6 http://blogs.technet.com/b/exchange/archive/2014/08/26/public-folder-updates-in-cu6-improving-scale-and-more.aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 11

Disponibilidad administrada (Managed

Availability)

Con Managed Availability se incluye monitoreo de los componentes internos

y características de recuperación con foco en la experiencia de usuario. Este

servicio monitorea la salud de los componentes y dependiendo del caso

puede reiniciar un servicio, application pool, servidor completo o escalar a un

administrador:

7

7 https://technet.microsoft.com/en-us/library/dn482056(v=exchg.150).aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 12

Prevención de pérdida de datos (DLP)

Mediante el uso de DLP es posible reducir el riesgo de exposición de datos

confidenciales. Por ejemplo detectar si un correo incluye números de tarjetas

de crédito y advertir con un Policy Tip (similar al mailtip).

8

8 https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 13

Distintos patrones pueden ser identificados independientemente de si se

encuentran en el cuerpo del mensaje o dentro de algún adjunto:

9

9 https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 14

A continuación una tabla comparativa entre las características de Exchange

2007, 2010 y 2013:

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 15

10

10 https://products.office.com/es-es/exchange/compare-microsoft-exchange-server-versions

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 16

Active Directory Domain

Services Desde Windows Server 2008 Active Directory abarca una suite de productos

o servicios:

Active Directory Domain Services (ADDS)

Active Directory Lightweight Directory Services (ADLDS)

Active Directory Federation Services (ADFS)

Active Directory Rights Management Services (ADRMS)

Active Directory Certificate Services

Independientemente de esto, en general cuando se habla de Active Directory

sin especificar se hace referencia a Active Directory Domain Services.

Active Directory Domain Services es un servicio de directorio que permite

almacenar y administrar información de usuarios, computadoras, impresoras

aplicaciones y otros objetos de la red de forma centralizada y segura.

Desde Exchange 2000 Active Directory es el servicio de directorio utilizado

por Exchange. En Active Directory se almacena información de configuración

y destinatarios de correo.

Cada vez que Exchange requiere información de configuración o sobre algún

destinatario consulta Active Directory, si este no se encuentra disponible

Exchange no va a funcionar correctamente.

Debido a la fuerte integración de Exchange con Active Directory es

importante entender los conceptos más básicos en relación a su interacción

con el directorio, donde almacena información y que componentes requiere.

Dominio Un dominio de Active Directory es un contenedor lógico utilizado para

administrar usuarios, grupos, computadoras entre otros objetos.

Todos estos objetos son contenidos en una partición específica dentro de la

base de datos de AD DS. Cada servidor con el rol de controlador de dominio

almacena una copia de esta base.

Un dominio de Active Directory funciona como una frontera de replicación,

cuando se realizan modificaciones, los controladores de dominio replican el

cambio de tal forma de mantener sincronizada la base.

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 17

Árbol de dominios Un árbol de dominios (tree) es una colección de uno o más dominios que

comparten un espacio de nombre contiguo. Por ejemplo si el primer dominio

se llama contoso.com y tiene un subdominio, este sería

subdominio.contoso.com.

En un bosque de Active Directory pueden existir múltiples árboles de

dominio.

Bosque de Active Directory En Active Directory el bosque (forest) es una colección de uno o más

dominios que comparten una misma estructura lógica, catálogo global,

esquema y configuración.

Todos los dominios del bosque cuentan con relaciones de confianza

automáticas de 2 vías y transitivas.

El bosque representa una instancia completa del directorio y una frontera de

seguridad.

En el diagrama a continuación vemos un bosque compuesto por un árbol

con un dominio raíz y 2 subdominios. Las OU representan contenedores

utilizados para organizar la información entre otras cosas:

11

11 https://technet.microsoft.com/en-us/library/cc756901(v=ws.10).aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 18

Exchange tiene una relación 1:1 con el bosque de Active Directory, esto

significa que un bosque solo puede tener una organización de Exchange y

una organización no puede expandirse más allá del bosque.

Particiones del directorio La información en la base de datos de Active Directory es almacenada en

particiones. Estas particiones almacenan distintos tipos de información y son

unidades de replicación.

Partición de Dominio

En esta partición se almacena información de usuarios, grupos,

computadoras, OU. Esta partición es replicada entre todos los controladores

de dominio del dominio.

Un conjunto parcial de atributos se replica a todos los controladores de

dominio del bosque con el rol de catálogo global.

Específicamente en relación a Exchange en la partición de dominio se

almacena información de usuarios con buzón, habilitados para correo,

contactos y grupos de distribución.

Partición de Configuración

En la partición de configuración se almacena información global de

configuración por ejemplo configuración de sitios de Active Directory, PKI y

Exchange entre otros. Esta partición es replicada entre todos los

controladores de dominio del bosque.

En relación a Exchange encontramos prácticamente toda la configuración;

información de base de datos, conectores, servidores, protocolos, etc.

Partición de Esquema

En el esquema es donde se definen las clases y atributos de los objetos que

podemos tener en el directorio. Este esquema es extensible y es lo primero

que debemos preparar antes de instalar Exchange. El esquema es único por

bosque y es replicado entre todos los controladores de dominio.

Partición de Aplicación

En adición tenemos particiones de aplicación. Si bien Exchange no almacena

información en este tipo de partición, en general se utilizan a nivel de DNS,

servicio en el cual Active Directory depende y en consecuencia Exchange.

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 19

Catálogo Global El Global Catalog (GC) es una copia parcial de solo lectura que contiene

información de los atributos más utilizados de todos los objetos del bosque.

Entre otras cosas en lugar de tener que consultar DC por DC de cada dominio

(de contar con más de uno) permite acelerar las búsquedas en el bosque

consultando directamente al GC ya que tiene información de todos los

objetos (funcionando como un índice).

Cuando se instala Exchange, los atributos de objetos habilitados para correo

son replicados al catálogo global. Independientemente de si se utiliza un

bosque con un único dominio o con múltiples dominios, Exchange consulta

al GC.

Todo Catálogo Global es controlador de dominio, mientras que no todo

controlador de dominio es GC. Dependiendo de la cantidad de servidores,

dominios, etc cuál sería la recomendación respecto a la ubicación de los

controladores con rol de GC.

En el escenario más usual, donde encontramos un bosque compuesto por un

único dominio, la recomendación en general es que todos los controladores

de dominio sean Catálogo Global.

En el siguiente diagrama tenemos un bosque compuesto por 4 dominios; el

dominio raíz y 3 subdominios. Si por ejemplo examinamos la base de datos

(ntds.dit) de un controlador de dominio del dominio “A” encontramos la

partición de dominio (A), configuración y esquema, si el controlador de

dominio es además catálogo global tendría las mismas 3 particiones más una

réplica parcial de las particiones de los dominios B, C y D:

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 20

12

En adición a Exchange, el catálogo global es crítico para otro tipo de

escenarios, quizás el más básico sea el inicio de sesión de los usuarios.

Dada la criticidad de este servicio se recomienda que existan al menos 2 DC

con el rol de GC y que al menos exista 1 GC en cada sitio donde se encuentre

un servidor con Exchange instalado.

Replicación Los controladores de dominio utilizan un modelo de replicación multimaster,

es decir que podemos realizar cambios en cualquier controlador de dominio

y estos posteriormente serán sincronizados entre sí.

A partir de 2008 se incluye un tipo de controlador de dominio de solo lectura:

RODC (Read Only Domain Controller), el cual a su vez puede funcionar como

catálogo global.

En lo referente a Exchange lo que se debe tener en cuenta es que este tipo

de controlador de dominio no está soportado, puede existir en la red pero al

12 https://technet.microsoft.com/en-us/library/how-global-catalog-servers-work(v=ws.10).aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 21

menos un controlador de dominio de lectura y escritura debe estar

funcionando.

Roles maestros (FSMO) Si bien Active Directory utiliza un modelo multimaster de replicaicón, existen

operaciones específicas que dependen de un controlador de dominio con un

rol específico. De forma predeterminada estos roles son asignados al primer

DC del bosque.

En Active Directory tenemos 5 roles maestros (FSMO: Flexible Single Master

Operations); 2 globales a nivel de bosque (en el primer dominio del bosque) y

3 por cada uno de los dominio del bosque:

FSMO por bosque

o Schema Master

o Domain Naming Master

FSMO por dominio

o PDC Emulator

o RID Master

o Infrastructure Master

La mayoría de estos roles se utilizan para tareas puntuales y en algunos

casos hasta podrían encontrarse fuera de línea sin derivar en demasiado

impacto, pero si por ejemplo al preparar Active Directory para Exchange, el

rol del esquema no se encuentra disponible, el proceso va a fallar.

Sitios de Active Directory Un sitio de Active Directory representa la topología física de la red en el

directorio. Un sitio podría ser definido como un conjunto de subredes bien

conectadas.

Exchange utiliza sitios de Active Directory para localizar los DC/GC más

cercanos y para el ruteo de mensajes, esto es importante cuando tenemos

más de un sitio con servidores de Exchange instalados.

De forma predeterminada se crea el Default-First-Site-Name sin subredes

definidas lo que básicamente indicaría que toda la red está asociado a este

sitio. Si se cuenta con un único sitio esto podría ser suficiente.

De haber más de un sitio físico, por ejemplo un edificio principal y una oficina

remota conectada por un enlace lento sería posible definir un sitio de Active

Directory asociado a cada ubicación física y así los clientes o servicios que

dependen de Active Directory podrían encontrar los controladores de

dominio más cercanos.

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 22

Mediante la configuración de sitios de Active Directory es posible optimizar

los procesos de replicación, autenticación y localización de servicios en la red.

La cantidad de sitios no tiene relación con la de dominios; un sitio podría

abarcar varios dominios (dentro de un mismo bosque) así como se podrían

utilizar múltiples sitios para un único dominio. El sitio tiene relación con la

estructura física de Active Directory mientras que el dominio con la

estructura lógica:

13

13 https://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 23

DNS DNS (Domain Name System) es un servicio de resolución de nombres. Cada

vez que utilizamos un navegador por detrás se utiliza este servicio para

resolver nombres a direcciones IP.

Active Directory depende de DNS ya que lo utiliza para todo lo referente a

registro de nombres, servicios y resolución. Al día de hoy DNS es un

requerimiento básico, sin DNS no hay Active Directory y sin este no hay

Exchange.

DNS provee una base de datos jerárquica y escalable donde hosts (equipos

con TCP/IP) pueden consultar y actualizar sus registros.

En un entorno con Active Directory se recomienda instalar el servicio de DNS

en un controlador de dominio. Esto es una excepción ya que en general la

recomendación es no instalar nada en un DC, pero el caso puntual de DNS

ofrece varias ventajas:

Integración de información de zonas dentro de Active Directory (esto

implica que utilizaría el mismo mecanismo de replicación que el de

AD)

No es necesario utilizar zonas primarias y secundarias. Las zonas

primarias son de lectura y escritura, las secundarias de solo lectura, si

hay un problema con la zona primaria no sería posible actualizar

registros

Actualización dinámica y segura de registros en DNS

Cuando un controlador de dominio es instalado se crean una serie de

registros en DNS. Estos registros van más allá del típico registro A (que

resuelve nombre a IP), incluyendo registros SRV (Service Locator) utilizados

para localizar servicios en la red, por ejemplo para LDAP, Kerberos e

información específica de sitios entre otros.

Exchange utiliza estos servicios para localizar controladores de dominio /

catalogo global cercanos, información de sitios para ruteo de mail,

autenticación, etc.

Algo fundamental en este aspecto es que tanto los controladores de dominio

como los servidores de Exchange deben estar configurados con las IP de los

DNS internos, en ningún caso se debe configurar un DNS externo (error

común cuando se intenta configurar resolución de nombres fuera de la

organización).

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 24

Registros DNS Exchange utiliza varios tipos de registros en DNS, algunos son utilizados

internamente, otros son utilizados a nivel externo por ejemplo para

intercambiar correo con otras organizaciones:

Registro A

El registro A se utiliza para resolver un nombre de host a su dirección IPv4.

Internamente en general los equipos registran automáticamente su nombre

dentro de la zona de dominio.

En el caso de Exchange puede ser necesario crear registros A explícitos en la

zona interna por cuestiones de certificados y nombres asignados a los

servicios.

Este tipo de registro también es necesario en la zona externa de la

organización, por ejemplo para incluir un registro “mail.empresa.com”

apuntando a una IP pública.

Registro PTR

El registro PTR (Pointer) resuelve una dirección IP a un registro A (ej:

mail.dominio.com), a nivel de correo electrónico este podría ser chequeado

externamente cuando enviamos mail fuera de nuestra organización.

Por ejemplo, si el servidor de correo destino hace un consulta reversa al

nombre con el que se presentó nuestro servidor de envío (smarthost o

Exchange), este debería coincidir con la dirección IP utilizada, de lo contrario

podría ser catalogado como SPAM.

Registro SRV

El registro SRV identifica servidores que proveen servicios específicos en la

red, por ejemplo los clientes utilizan registros SRV para localizar

controladores de dominio, GCs y en muchos casos configuración de

aplicaciones como Outlook o Activesync.

Registro MX

Para que una organización externa pueda enviarnos mail esta debe ser capaz

de localizarnos, para esto se utilizan registros MX (Mail Exchanger). Esto es

independiente a si usamos Exchange u otro tipo de servidor de correo.

Este registro MX es utilizado por organizaciones externas y no lo precisamos

internamente. Del mismo modo cuando nuestra organización envía correo

debemos ser capaces de localizar un registro MX del dominio destino.

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 25

El registro MX debe apuntar a un registro de tipo “A” que a su vez apunta a

una dirección IP (se pueden usar alias o cname pero esto no es

recomendado).

En adición, los registros MX utilizan lo que se conoce como “preferencia”,

cuanto más bajo sea el número de preferencia, mayor prioridad tiene el

registro.

La preferencia puede ser utilizada para obtener balanceo y alta

disponibilidad a nivel de recepción de correo, por ejemplo se podría tener un

registro MX dedicado para un sitio principal y otro con menor prioridad

apuntando a una IP de contingencia como “backup”.

Si tenemos una pequeña organización con un único sitio y sin alta

disponibilidad, con un registro MX sería suficiente.

14

En general, en producción vamos a encontrar que los registros MX apuntan a

un registro A asociado a una IP pública en un firewall de frontera que

posteriormente hace NAT a un servidor corriendo software de antivirus

/antispam y configurado para reenviar todo mail entrante a nuestro

Exchange.

Como alternativa, en caso de no tener un servidor adicional para higiene de

transporte, el NAT podría estar configurado directo hacia el Exchange.

Registro SPF

El registro SPF (Sender Policy Framework) es utilizado para indicar desde que

hosts podría nuestra organización enviar correo. De este modo una

organización destino podría verificar la IP desde la que se conecta nuestro

14 https://technet.microsoft.com/en-us/library/ff634392(v=exchg.141).aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 26

servidor de envío y en base a si existe un registro SPF y coincide o no con

nuestra IP que acción tomar.

Este tipo de registro es muy utilizado para evitar el spoofing de mails, por

ejemplo cuando se recibe spam desde direcciones supuestamente internas.

15

De tener un registro SPF configurado, cuando el servidor recibe este tipo de

correo, chequearía que la IP desde la que proviene no coincide con las

indicadas en el registro SPF y en base a esto dependiendo de la configuración

del filtro si lo rechaza o simplemente estampa el resultado para posterior

análisis.

Requerimientos de servicios

de infraestructura Active Directory es el principal requerimiento para Exchange, lo que deriva

en que se dependa de DNS para la resolución de nombres, localización de

servicios, etc.

Nivel funcional Como mínimo se debe contar con nivel funcional de dominio y bosque en

Windows Server 2003.

Los controladores de dominio en Windows Server 2003 deben estar

actualizados con Service Pack 2. Pueden existir distintas versiones de sistema

operativo en los DC, como por ejemplo DCs en 2003 y otros en 2008 R2, esto

no afecta a Exchange.

15 https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 27

A tener en consideración que no es posible utilizar RODC/GC (controlador de

dominio de solo lectura) para Exchange, es decir que requiere controladores

de dominio de lectura y escritura.

El nivel funcional de dominio y bosque no tiene relación con la versión de

sistema operativo soportado en los servidores de Exchange. Por ejemplo,

nivel funcional de dominio y bosque en 2003 indicaría que no se pueden

tener controladores de dominio con una versión anterior a 2003, pero si se

podría con una versión superior (solo aplica a la versión de sistema operativo

de los controladores de dominio).

El nivel funcional asegura que la funcionalidad del directorio se adecue al

nivel más compatible, es decir que si el nivel funcional se encuentra en 2003,

y se incluyen controladores de dominio en Windows Server 2012,

características como por ejemplo papelera de reciclaje de Active Directory no

podrían ser habilitadas ya que no se encuentran soportadas en

controladores de dominio anteriores a 2008 R2.

Incluso si todos los controladores de dominio corren una versión reciente de

sistema operativo pero el nivel funcional no fue elevado, las nuevas

características no van a estar disponibles.

Preparación de Active Directory El primer paso antes de instalar Exchange es extender el esquema de Active

Directory. El usuario que ejecute esta tarea debe ser miembro del grupo de

administradores del esquema (schema admins).

La preparación de Active Directory16 abarca más que solo extender el

esquema y puede ser ejecutada de forma separada a la instalación de

Exchange (por línea de comando) o puede ser incluida como tarea inicial

dentro del proceso de instalación17 (de forma automática si se cuenta con los

permisos necesarios).

A nivel macro, la preparación consiste en lo siguiente:

1. Extensión de esquema. En este paso extendemos el esquema de

Active Directory para agregar clases y atributos específicos de

Exchange.

2. Creación de contenedores en partición de configuración, asignación

de permisos, OU con grupos de seguridad, etc.

3. Preparación de cada dominio adicional que vaya a tener servidores de

Exchange u objetos habilitados para correo.

16 http://aprendiendoexchange.com/preparacion-de-active-directory-para-exchange-2013 17 http://aprendiendoexchange.com/como-instalar-exchange-2013

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 28

Instalar Exchange en un

controlador de dominio? Instalar Exchange en un controlador de dominio tiene muchas limitantes,

principalmente desde el punto de vista de seguridad y rendimiento.

Exchange requiere Active Directory pero este requerimiento no implica que

se deba instalar en un servidor con el rol de controlador de dominio.

La recomendación es instalar Exchange en un servidor miembro del dominio.

En adición, suponiendo el escenario donde Exchange ya se encuentra

instalado en un servidor miembro, no es soportado promover este servidor a

controlador de dominio y lo mismo a la inversa, es decir, si se instala

Exchange sobre un controlador de dominio no estaría soportado que

posteriormente se despromueva el rol de DC (demote).

En caso de ser necesario cambiar el rol de un servidor con Exchange

instalado, el mecanismo soportado sería generar un nuevo servidor de

Exchange, mover toda la funcionalidad, información de buzones, etc y por

último desinstalar Exchange en el servidor original.

Arquitectura de roles En Exchange 2007 y 2010 existían 5 roles, en Exchange 2013 esto se redujo a

los siguientes 3:

Client Access

Mailbox

Edge Transport

Una instalación “típica” de Exchange incluiría los roles de Client Access y

Mailbox server. Esto se conoce como multirol.

Estos roles podrían estar distribuidos en varios servidores de existir algún

requerimiento especifico. El punto es que para contar con una instalación

funcional es necesario contar con ambos roles, sea en un mismo servidor o

en varios servidores.

El rol de Mailbox incluye componentes que antes se encontraban en los roles

de Client Access, Hub Transport y Mensajería Unificada de Exchange 2010.

Este rol maneja toda la actividad referente a los buzones activos en el

servidor.

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 29

El rol de Client Access provee autenticación, servicios de proxy y redirección

en el caso mensajería unificada.

En Exchange 2013 CU4 (service pack 1) re aparece el rol de Edge Transport

(ya existía en Exchange 2007 y en 2010). Este rol en particular no puede ser

instalado junto a ningún otro y se recomienda que esté fuera de la red

interna (DMZ por ejemplo).

A continuación un diagrama de technet sobre la arquitectura de roles en

Exchange 2013:

18

Rol de Client Access El rol de Client Access (CAS) incluye componentes relacionados con SMTP,

ruteo de llamadas (mensajería unificada) y protocolos de cliente. A diferencia

de versiones anteriores, si utilizan un balanceador ya no requiere afinidad de

sesión.

Como se puede ver en el diagrama19, las conexiones de clientes OWA,

ActiveSync, Outlook (RPC/HTTPS), etc pasan por este rol:

18 http://blogs.technet.com/b/exchange/archive/2013/01/23/exchange-2013-server-role-architecture.aspx 19 http://blogs.technet.com/b/exchange/archive/2013/01/25/exchange-2013-client-access-server-role.aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 30

El rol de Client Access de Exchange 2013 autentica y posteriormente cumple

la función de proxy hacia el servidor con el rol de Mailbox, Como excepción

tenemos el caso de mensajería unificada (UM) donde se hace una redirección

en lugar de proxy.

En adición, encontramos el servicio de Front End Transport, este servicio es el

que publicaríamos hacia Internet para recepción de correo (si no tenemos un

servidor de Edge o algún otro tipo de smarthost en DMZ).

El rol de Acceso de clientes no encola mails, es decir que si el servidor de

Mailbox se encuentra fuera de servicio, la recepción de correo externo (entre

otras cosas) fallaría.

Dado que en general la función del CAS es la de hacer de proxy hacia el

servidor con el rol de Mailbox, si este último se encuentra fuera de servicio el

tener levantado el servidor con el rol de Client Access no aportaría nada.

Para ofrecer alta disponibilidad podemos instalar el rol en múltiples

servidores utilizando algún mecanismo de balanceo como NLB, DNS Round

Robin, HLB, etc.

Rol de Mailbox En el rol de Mailbox se alojan las bases y es donde se realiza el

procesamiento de datos.

En adición, se incluyen componentes de transporte; por un lado servicios

para interactuar con la base de datos y por otro para hacerlo con el servicio

de Front End del Client Access y otros servidores de Mailbox.

A diferencia de la entrada de mail, de forma predeterminada al crear un

conector de envío, el rol que realiza la conexión es el de Mailbox.

Para utilizar al Client Access como proxy es necesario modificar las

propiedades del conector (si tenemos los roles separados no sería un dato

menor ya que la IP del servidor que envía debe estar habilitada en el

firewall).

En el siguiente diagrama20 se puede ver la interacción:

20 https://technet.microsoft.com/en-us/library/aa996349(v=exchg.150).aspx

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 31

En lo que respecta a alta disponibilidad y contingencia tenemos como

componente central al DAG21 (Database Availability Group).

Un DAG agrupa lógicamente servidores con el rol de Mailbox con la finalidad

de replicar bases de datos mediante log shipping asincrónico.

Rol de Edge Transport Este es un rol opcional e incluso puede utilizarse alguna alternativa para

cumplir la función. El rol está diseñado para trabajar en DMZ y manejar lo

referente a ruteo de correo externo e higiene de mensajes.

En este rol se incluyen las mismas características antispam que en el rol de

Mailbox de Exchange 2013 así como algunas adicionales como agentes de

filtrado de conexiones y adjuntos. En adición, cuenta con agente de

reescritura de direcciones de correo para el caso que aplique. Este es el

único rol de Exchange que no requiere Active Directory.

El objetivo del rol de Edge Transport es incrementar el nivel de seguridad del

correo, en primera instancia cumpliendo con algo muy requerido como es el

hecho de que un servidor externo no se conecte directamente con uno

interno sino que realice una conexión a nuestra zona perimetral y

21 http://aprendiendoexchange.com/dag-en-exchange-introduccion

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 32

posteriormente el servidor de Edge se conecte a nuestros servidores con el

rol de Mailbox.

A simple vista podríamos decir que el rol de Edge Transport es un simple

smarthost pero entre otras cosas nos habilita a sincronizar información de

configuración interna como por ejemplo dominios de correo de la

organización, información de destinatarios como remitentes seguros (safe

senders) mediante safelist aggregation y de este modo disminuir la chance

de falsos positivos.

El rol de Edge Transport al igual que otros roles de Exchange 2013 puede ser

instalado sobre Windows Server 2008 R2, Windows Server 2012 o 2012 R2.

Próximos pasos Si te gusto el ebook, lo primero sería compartir la página principal

“Fundamentos de Exchange Server 2013” con al menos un colega. En esta

página se van a ir agregando actualizaciones y nuevos tomos.

En adición pueden enviar dudas a la dirección de contacto

admin@aprendiendoexchange.com o postear en la sección de comentarios.

Enlaces útiles A continuación incluyo enlaces útiles para continuar con el trabajo sobre

Exchange 2013:

Preparación de Active Directory

http://aprendiendoexchange.com/preparacion-de-active-directory-

para-exchange-2013

Instalación

http://aprendiendoexchange.com/como-instalar-exchange-2013

Análisis de mejores prácticas

http://aprendiendoexchange.com/mejores-practicas-en-exchange-

2013

Creación de nueva base de datos

http://aprendiendoexchange.com/como-crear-una-base-de-datos-en-

exchange-2013

© 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 33

Alta disponibilidad

http://aprendiendoexchange.com/dag-en-exchange-introduccion

Tipos de buzones

http://aprendiendoexchange.com/tipos-de-buzones-en-exchange-

2013

Agregar nuevo dominio de correo

http://aprendiendoexchange.com/como-agregar-un-nuevo-dominio-

de-correo-en-exchange-parte-1

Certificados

http://aprendiendoexchange.com/certificados-en-exchange-2013

Instalación de filtros antispam

http://aprendiendoexchange.com/como-instalar-los-filtros-anti-spam-

en-exchange-2013

Configuración de conector de envío a internet

http://aprendiendoexchange.com/configurar-el-envio-de-correo-a-

internet-en-exchange-2013

Respaldo

http://aprendiendoexchange.com/como-respaldar-las-bases-de-

exchange-2013-con-windows-server-backup

Restauración

http://aprendiendoexchange.com/como-restaurar-una-base-de-datos-

de-exchange-2010-2013-con-wsb