Fundamentos de Exchange Server 2013 Daniel Núñez Banega MCSE / MCSA / MCITP / MCTS Contenido Introducción........................................................................................................................ 2 Ediciones de Exchange 2013 ............................................................................................ 3 Licencia de clientes (CAL) ................................................................................................ 3 Sistemas operativos soportados ................................................................................... 5 Mejoras en Exchange 2013 .............................................................................................. 6 Active Directory Domain Services ............................................................................... 16 Dominio ..................................................................................................................... 16 Árbol de dominios ................................................................................................... 17 Bosque de Active Directory .................................................................................... 17 Particiones del directorio ........................................................................................ 18 Catálogo Global ........................................................................................................ 19 Replicación ................................................................................................................ 20 Roles maestros (FSMO) ........................................................................................... 21 Sitios de Active Directory ........................................................................................ 21 DNS ...................................................................................................................................... 23 Registros DNS ........................................................................................................... 24 Requerimientos de servicios de infraestructura .................................................... 26 Nivel funcional .......................................................................................................... 26 Preparación de Active Directory ............................................................................ 27 Instalar Exchange en un controlador de dominio?................................................. 28 Arquitectura de roles ..................................................................................................... 28 Rol de Client Access ................................................................................................. 29 Rol de Mailbox .......................................................................................................... 30 Rol de Edge Transport ............................................................................................. 31 Próximos pasos ................................................................................................................ 32 Enlaces útiles ............................................................................................................ 32 © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |1 Introducción Empresas de mediano y gran porte utilizan Active Directory y Exchange Server. Independientemente de si utilizan el correo en la nube, entorno hibrido o cuentan con una instalación local, el producto de correo electrónico por excelencia es Microsoft Exchange. Comprender como funciona, donde almacena la información y cuáles son sus dependencias es crítico para implementar o administrar la plataforma correctamente. En este primer tomo de "Fundamentos de Exchange server" vamos a explorar los conceptos más importantes sobre Microsoft Exchange y su relación con Active Directory de tal forma de "nivelar" y generar cimientos que habiliten a pasar a temas más avanzados a futuro. © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |2 Ediciones de Exchange 2013 Exchange 2013 se encuentra disponible en 2 ediciones; Standard y Enterprise. En ambos casos el medio de instalación es el mismo, la diferencia se encuentra en la clave del producto que varía en función a la versión adquirida. Esta clave es la que determina que edición se activa. El utilizar la versión Standard o Enterprise de Exchange depende de la cantidad de base de datos requeridas por servidor (incluyendo activas y pasivas): Exchange 2013 Standard – máximo 5 bases Exchange 2013 Enterprise – máximo 100 bases A diferencia de otras versiones de Exchange y al igual que en el caso de Exchange 2010, la única diferencia entre las 2 ediciones es la cantidad de bases de datos, desde el punto de vista de características, clientes o alta disponibilidad ambas cuentan con la misma funcionalidad. Licencia de clientes (CAL) En adición a las ediciones de servidor de Exchange tenemos 2 tipos de licencia de cliente (CAL: Client Access License): Exchange Server Standard CAL Exchange Server Enterprise CAL Cada usuario con buzón requiere una CAL standard, opcionalmente y de forma adicional se puede agregar la Enterprise CAL. La Enterprise CAL (eCAL) habilita mayor funcionalidad como por ejemplo administración avanzada de dispositivos móviles, mensajería unificada o buzón de archivado. En la siguiente tabla 1se pueden ver las características incluidas dentro de la CAL Standard y que es lo agrega la Enterprise: 1 https://products.office.com/es-es/exchange/microsoft-exchange-server-licensing-licensing-overview © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |3 La CAL que utiliza el cliente no tiene relación con la edición que utiliza el servidor, esto se presta muchas veces a la confusión, es decir que puedo utilizar Exchange Server Enterprise y contar únicamente con CAL Standard para los usuarios. © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |4 Adicionalmente es posible contar con usuarios que cuentan con CAL Enterprise (en adición a la Standard) porque requieren cierta funcionalidad que otros usuarios no necesitan. En este caso se debe tener en cuenta el costo adicional de esta licencia, por este motivo es usual encontrar que usuarios “VIP” tengan este tipo de licencia mientras que usuarios “comunes” solo cuenten con la Standard. Sistemas operativos soportados La versión actual de Exchange 2013 (CU9 al momento de escribir el ebook) corre sobre las siguientes versiones de sistema operativo: Windows Server 2008 R2 SP1 Windows Server 2012 Windows Server 2012 R2 Más allá de las ventajas incluidas en las versiones más nuevas de Windows podríamos decir que la que más aporta es la posibilidad de implementar alta disponibilidad con la versión Standard de Windows Server 2012 o 2012 R2. En el caso de Windows Server 2008 R2 SP1 sería necesario la versión Enterprise ya que en la Standard no se incluyen los componentes de clustering (dependencia del DAG). Independientemente de la versión de sistema operativo no es posible instalar sobre Server Core, la instalación debe ser completa (con GUI). © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |5 Mejoras en Exchange 2013 Exchange 2013 incluye varias mejoras, algunas muy técnicas y que a simple vista no tienen impacto, otras más visibles ya que interactuamos de forma más directa, dentro de estas últimas se destacan las siguientes: Nueva interfaz administrativa Desaparece la Exchange Management Console (EMC) utilizada desde Exchange 2007 y se introduce el Exchange Admin Center (EAC). La nueva interfaz de administración es web y aunque en primera instancia esto pueda resultar como algo negativo es cuestión de adaptarse, trabajar con el EAC es mucho más ágil que con la EMC, en adición puede ser accedida desde cualquier lado a diferencia de la EMC que requería instalar las herramientas administrativas o iniciar una sesión de terminal en el servidor. 2 2 https://technet.microsoft.com/en-us/library/jj150562(v=exchg.150).aspx © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |6 Outlook Web App OWA es rediseñado y optimizado para tablets y smartphones en adición a equipos de escritorio y laptops. Dentro de las nuevas características una muy importante es la posibilidad de utilizar OWA sin conexión (se debe utilizar un navegador soportado). Con OWA fuera de línea se pueden realizar las tareas más comunes, estas posteriormente son sincronizadas con el servidor una vez reanudada la conexión. Si bien existen limitantes, las características principales como lectura, edición, envío / respuesta de correo, acceso al calendario y contactos se encuentran disponibles. 3 3 http://blogs.technet.com/b/exchange/archive/2012/08/02/the-new-owa-rocks-tablets-and-phones.aspx © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |7 Mayor integración con Sharepoint 2013 con buzones de sitio Se introduce un nuevo tipo de buzón “site mailbox”. El site mailbox habilita a que se almacene la información de correo electrónico en la base de datos de Exchange mientras que toda la parte de documentos en Sharepoint. Esto permite aprovechar características de versionado entre otras cosas. 4 Los usuarios fácilmente pueden arrastrar documentos desde Outlook 2013: 4 http://blogs.technet.com/b/exchange/archive/2012/08/22/site-mailboxes-in-the-new-office.aspx © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |8 Del mismo modo es posible acceder a correos relacionados a un proyecto en contexto, desde Outlook o Sharepoint. Si bien desde el punto de vista de interfaz de usuario el contenido está en un mismo lugar, mediante site mailboxes es posible almacenar cada tipo de elemento en el store más optimizado para la tarea. 5 5 https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/ © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |9 Carpetas públicas modernas Desaparece la base pública de versiones anteriores y se introduce el buzón de carpetas públicas “Public Folder Mailbox”. Esto implica que se almacene como un buzón más dentro de la base de datos de Exchange y su información pueda ser replicada dentro de un DAG. Una de las grandes ventajas de esto es no tener que manejar bases públicas de un gran tamaño sino que es posible dividir la información en varios buzones y ubicarlos en la base de datos que tenga más sentido (por ejemplo desde el punto de vista de proximidad). 6 6 http://blogs.technet.com/b/exchange/archive/2014/08/26/public-folder-updates-in-cu6-improving-scale-and-more.aspx © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 10 Disponibilidad administrada (Managed Availability) Con Managed Availability se incluye monitoreo de los componentes internos y características de recuperación con foco en la experiencia de usuario. Este servicio monitorea la salud de los componentes y dependiendo del caso puede reiniciar un servicio, application pool, servidor completo o escalar a un administrador: 7 7 https://technet.microsoft.com/en-us/library/dn482056(v=exchg.150).aspx © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 11 Prevención de pérdida de datos (DLP) Mediante el uso de DLP es posible reducir el riesgo de exposición de datos confidenciales. Por ejemplo detectar si un correo incluye números de tarjetas de crédito y advertir con un Policy Tip (similar al mailtip). 8 8 https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/ © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 12 Distintos patrones pueden ser identificados independientemente de si se encuentran en el cuerpo del mensaje o dentro de algún adjunto: 9 9 https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/ © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 13 A continuación una tabla comparativa entre las características de Exchange 2007, 2010 y 2013: © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 14 10 10 © https://products.office.com/es-es/exchange/compare-microsoft-exchange-server-versions 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 15 Active Directory Domain Services Desde Windows Server 2008 Active Directory abarca una suite de productos o servicios: Active Directory Domain Services (ADDS) Active Directory Lightweight Directory Services (ADLDS) Active Directory Federation Services (ADFS) Active Directory Rights Management Services (ADRMS) Active Directory Certificate Services Independientemente de esto, en general cuando se habla de Active Directory sin especificar se hace referencia a Active Directory Domain Services. Active Directory Domain Services es un servicio de directorio que permite almacenar y administrar información de usuarios, computadoras, impresoras aplicaciones y otros objetos de la red de forma centralizada y segura. Desde Exchange 2000 Active Directory es el servicio de directorio utilizado por Exchange. En Active Directory se almacena información de configuración y destinatarios de correo. Cada vez que Exchange requiere información de configuración o sobre algún destinatario consulta Active Directory, si este no se encuentra disponible Exchange no va a funcionar correctamente. Debido a la fuerte integración de Exchange con Active Directory es importante entender los conceptos más básicos en relación a su interacción con el directorio, donde almacena información y que componentes requiere. Dominio Un dominio de Active Directory es un contenedor lógico utilizado para administrar usuarios, grupos, computadoras entre otros objetos. Todos estos objetos son contenidos en una partición específica dentro de la base de datos de AD DS. Cada servidor con el rol de controlador de dominio almacena una copia de esta base. Un dominio de Active Directory funciona como una frontera de replicación, cuando se realizan modificaciones, los controladores de dominio replican el cambio de tal forma de mantener sincronizada la base. © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 16 Árbol de dominios Un árbol de dominios (tree) es una colección de uno o más dominios que comparten un espacio de nombre contiguo. Por ejemplo si el primer dominio se llama contoso.com y tiene un subdominio, este sería subdominio.contoso.com. En un bosque de Active Directory pueden existir múltiples árboles de dominio. Bosque de Active Directory En Active Directory el bosque (forest) es una colección de uno o más dominios que comparten una misma estructura lógica, catálogo global, esquema y configuración. Todos los dominios del bosque cuentan con relaciones de confianza automáticas de 2 vías y transitivas. El bosque representa una instancia completa del directorio y una frontera de seguridad. En el diagrama a continuación vemos un bosque compuesto por un árbol con un dominio raíz y 2 subdominios. Las OU representan contenedores utilizados para organizar la información entre otras cosas: 11 11 © https://technet.microsoft.com/en-us/library/cc756901(v=ws.10).aspx 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 17 Exchange tiene una relación 1:1 con el bosque de Active Directory, esto significa que un bosque solo puede tener una organización de Exchange y una organización no puede expandirse más allá del bosque. Particiones del directorio La información en la base de datos de Active Directory es almacenada en particiones. Estas particiones almacenan distintos tipos de información y son unidades de replicación. Partición de Dominio En esta partición se almacena información de usuarios, grupos, computadoras, OU. Esta partición es replicada entre todos los controladores de dominio del dominio. Un conjunto parcial de atributos se replica a todos los controladores de dominio del bosque con el rol de catálogo global. Específicamente en relación a Exchange en la partición de dominio se almacena información de usuarios con buzón, habilitados para correo, contactos y grupos de distribución. Partición de Configuración En la partición de configuración se almacena información global de configuración por ejemplo configuración de sitios de Active Directory, PKI y Exchange entre otros. Esta partición es replicada entre todos los controladores de dominio del bosque. En relación a Exchange encontramos prácticamente toda la configuración; información de base de datos, conectores, servidores, protocolos, etc. Partición de Esquema En el esquema es donde se definen las clases y atributos de los objetos que podemos tener en el directorio. Este esquema es extensible y es lo primero que debemos preparar antes de instalar Exchange. El esquema es único por bosque y es replicado entre todos los controladores de dominio. Partición de Aplicación En adición tenemos particiones de aplicación. Si bien Exchange no almacena información en este tipo de partición, en general se utilizan a nivel de DNS, servicio en el cual Active Directory depende y en consecuencia Exchange. © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 18 Catálogo Global El Global Catalog (GC) es una copia parcial de solo lectura que contiene información de los atributos más utilizados de todos los objetos del bosque. Entre otras cosas en lugar de tener que consultar DC por DC de cada dominio (de contar con más de uno) permite acelerar las búsquedas en el bosque consultando directamente al GC ya que tiene información de todos los objetos (funcionando como un índice). Cuando se instala Exchange, los atributos de objetos habilitados para correo son replicados al catálogo global. Independientemente de si se utiliza un bosque con un único dominio o con múltiples dominios, Exchange consulta al GC. Todo Catálogo Global es controlador de dominio, mientras que no todo controlador de dominio es GC. Dependiendo de la cantidad de servidores, dominios, etc cuál sería la recomendación respecto a la ubicación de los controladores con rol de GC. En el escenario más usual, donde encontramos un bosque compuesto por un único dominio, la recomendación en general es que todos los controladores de dominio sean Catálogo Global. En el siguiente diagrama tenemos un bosque compuesto por 4 dominios; el dominio raíz y 3 subdominios. Si por ejemplo examinamos la base de datos (ntds.dit) de un controlador de dominio del dominio “A” encontramos la partición de dominio (A), configuración y esquema, si el controlador de dominio es además catálogo global tendría las mismas 3 particiones más una réplica parcial de las particiones de los dominios B, C y D: © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 19 12 En adición a Exchange, el catálogo global es crítico para otro tipo de escenarios, quizás el más básico sea el inicio de sesión de los usuarios. Dada la criticidad de este servicio se recomienda que existan al menos 2 DC con el rol de GC y que al menos exista 1 GC en cada sitio donde se encuentre un servidor con Exchange instalado. Replicación Los controladores de dominio utilizan un modelo de replicación multimaster, es decir que podemos realizar cambios en cualquier controlador de dominio y estos posteriormente serán sincronizados entre sí. A partir de 2008 se incluye un tipo de controlador de dominio de solo lectura: RODC (Read Only Domain Controller), el cual a su vez puede funcionar como catálogo global. En lo referente a Exchange lo que se debe tener en cuenta es que este tipo de controlador de dominio no está soportado, puede existir en la red pero al 12 © https://technet.microsoft.com/en-us/library/how-global-catalog-servers-work(v=ws.10).aspx 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 20 menos un controlador de dominio de lectura y escritura debe estar funcionando. Roles maestros (FSMO) Si bien Active Directory utiliza un modelo multimaster de replicaicón, existen operaciones específicas que dependen de un controlador de dominio con un rol específico. De forma predeterminada estos roles son asignados al primer DC del bosque. En Active Directory tenemos 5 roles maestros (FSMO: Flexible Single Master Operations); 2 globales a nivel de bosque (en el primer dominio del bosque) y 3 por cada uno de los dominio del bosque: FSMO por bosque o Schema Master o Domain Naming Master FSMO por dominio o PDC Emulator o RID Master o Infrastructure Master La mayoría de estos roles se utilizan para tareas puntuales y en algunos casos hasta podrían encontrarse fuera de línea sin derivar en demasiado impacto, pero si por ejemplo al preparar Active Directory para Exchange, el rol del esquema no se encuentra disponible, el proceso va a fallar. Sitios de Active Directory Un sitio de Active Directory representa la topología física de la red en el directorio. Un sitio podría ser definido como un conjunto de subredes bien conectadas. Exchange utiliza sitios de Active Directory para localizar los DC/GC más cercanos y para el ruteo de mensajes, esto es importante cuando tenemos más de un sitio con servidores de Exchange instalados. De forma predeterminada se crea el Default-First-Site-Name sin subredes definidas lo que básicamente indicaría que toda la red está asociado a este sitio. Si se cuenta con un único sitio esto podría ser suficiente. De haber más de un sitio físico, por ejemplo un edificio principal y una oficina remota conectada por un enlace lento sería posible definir un sitio de Active Directory asociado a cada ubicación física y así los clientes o servicios que dependen de Active Directory podrían encontrar los controladores de dominio más cercanos. © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 21 Mediante la configuración de sitios de Active Directory es posible optimizar los procesos de replicación, autenticación y localización de servicios en la red. La cantidad de sitios no tiene relación con la de dominios; un sitio podría abarcar varios dominios (dentro de un mismo bosque) así como se podrían utilizar múltiples sitios para un único dominio. El sitio tiene relación con la estructura física de Active Directory mientras que el dominio con la estructura lógica: 13 13 © https://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 22 DNS DNS (Domain Name System) es un servicio de resolución de nombres. Cada vez que utilizamos un navegador por detrás se utiliza este servicio para resolver nombres a direcciones IP. Active Directory depende de DNS ya que lo utiliza para todo lo referente a registro de nombres, servicios y resolución. Al día de hoy DNS es un requerimiento básico, sin DNS no hay Active Directory y sin este no hay Exchange. DNS provee una base de datos jerárquica y escalable donde hosts (equipos con TCP/IP) pueden consultar y actualizar sus registros. En un entorno con Active Directory se recomienda instalar el servicio de DNS en un controlador de dominio. Esto es una excepción ya que en general la recomendación es no instalar nada en un DC, pero el caso puntual de DNS ofrece varias ventajas: Integración de información de zonas dentro de Active Directory (esto implica que utilizaría el mismo mecanismo de replicación que el de AD) No es necesario utilizar zonas primarias y secundarias. Las zonas primarias son de lectura y escritura, las secundarias de solo lectura, si hay un problema con la zona primaria no sería posible actualizar registros Actualización dinámica y segura de registros en DNS Cuando un controlador de dominio es instalado se crean una serie de registros en DNS. Estos registros van más allá del típico registro A (que resuelve nombre a IP), incluyendo registros SRV (Service Locator) utilizados para localizar servicios en la red, por ejemplo para LDAP, Kerberos e información específica de sitios entre otros. Exchange utiliza estos servicios para localizar controladores de dominio / catalogo global cercanos, información de sitios para ruteo de mail, autenticación, etc. Algo fundamental en este aspecto es que tanto los controladores de dominio como los servidores de Exchange deben estar configurados con las IP de los DNS internos, en ningún caso se debe configurar un DNS externo (error común cuando se intenta configurar resolución de nombres fuera de la organización). © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 23 Registros DNS Exchange utiliza varios tipos de registros en DNS, algunos son utilizados internamente, otros son utilizados a nivel externo por ejemplo para intercambiar correo con otras organizaciones: Registro A El registro A se utiliza para resolver un nombre de host a su dirección IPv4. Internamente en general los equipos registran automáticamente su nombre dentro de la zona de dominio. En el caso de Exchange puede ser necesario crear registros A explícitos en la zona interna por cuestiones de certificados y nombres asignados a los servicios. Este tipo de registro también es necesario en la zona externa de la organización, por ejemplo para incluir un registro “mail.empresa.com” apuntando a una IP pública. Registro PTR El registro PTR (Pointer) resuelve una dirección IP a un registro A (ej: mail.dominio.com), a nivel de correo electrónico este podría ser chequeado externamente cuando enviamos mail fuera de nuestra organización. Por ejemplo, si el servidor de correo destino hace un consulta reversa al nombre con el que se presentó nuestro servidor de envío (smarthost o Exchange), este debería coincidir con la dirección IP utilizada, de lo contrario podría ser catalogado como SPAM. Registro SRV El registro SRV identifica servidores que proveen servicios específicos en la red, por ejemplo los clientes utilizan registros SRV para localizar controladores de dominio, GCs y en muchos casos configuración de aplicaciones como Outlook o Activesync. Registro MX Para que una organización externa pueda enviarnos mail esta debe ser capaz de localizarnos, para esto se utilizan registros MX (Mail Exchanger). Esto es independiente a si usamos Exchange u otro tipo de servidor de correo. Este registro MX es utilizado por organizaciones externas y no lo precisamos internamente. Del mismo modo cuando nuestra organización envía correo debemos ser capaces de localizar un registro MX del dominio destino. © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 24 El registro MX debe apuntar a un registro de tipo “A” que a su vez apunta a una dirección IP (se pueden usar alias o cname pero esto no es recomendado). En adición, los registros MX utilizan lo que se conoce como “preferencia”, cuanto más bajo sea el número de preferencia, mayor prioridad tiene el registro. La preferencia puede ser utilizada para obtener balanceo y alta disponibilidad a nivel de recepción de correo, por ejemplo se podría tener un registro MX dedicado para un sitio principal y otro con menor prioridad apuntando a una IP de contingencia como “backup”. Si tenemos una pequeña organización con un único sitio y sin alta disponibilidad, con un registro MX sería suficiente. 14 En general, en producción vamos a encontrar que los registros MX apuntan a un registro A asociado a una IP pública en un firewall de frontera que posteriormente hace NAT a un servidor corriendo software de antivirus /antispam y configurado para reenviar todo mail entrante a nuestro Exchange. Como alternativa, en caso de no tener un servidor adicional para higiene de transporte, el NAT podría estar configurado directo hacia el Exchange. Registro SPF El registro SPF (Sender Policy Framework) es utilizado para indicar desde que hosts podría nuestra organización enviar correo. De este modo una organización destino podría verificar la IP desde la que se conecta nuestro 14 © https://technet.microsoft.com/en-us/library/ff634392(v=exchg.141).aspx 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 25 servidor de envío y en base a si existe un registro SPF y coincide o no con nuestra IP que acción tomar. Este tipo de registro es muy utilizado para evitar el spoofing de mails, por ejemplo cuando se recibe spam desde direcciones supuestamente internas. 15 De tener un registro SPF configurado, cuando el servidor recibe este tipo de correo, chequearía que la IP desde la que proviene no coincide con las indicadas en el registro SPF y en base a esto dependiendo de la configuración del filtro si lo rechaza o simplemente estampa el resultado para posterior análisis. Requerimientos de servicios de infraestructura Active Directory es el principal requerimiento para Exchange, lo que deriva en que se dependa de DNS para la resolución de nombres, localización de servicios, etc. Nivel funcional Como mínimo se debe contar con nivel funcional de dominio y bosque en Windows Server 2003. Los controladores de dominio en Windows Server 2003 deben estar actualizados con Service Pack 2. Pueden existir distintas versiones de sistema operativo en los DC, como por ejemplo DCs en 2003 y otros en 2008 R2, esto no afecta a Exchange. 15 © https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/ 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 26 A tener en consideración que no es posible utilizar RODC/GC (controlador de dominio de solo lectura) para Exchange, es decir que requiere controladores de dominio de lectura y escritura. El nivel funcional de dominio y bosque no tiene relación con la versión de sistema operativo soportado en los servidores de Exchange. Por ejemplo, nivel funcional de dominio y bosque en 2003 indicaría que no se pueden tener controladores de dominio con una versión anterior a 2003, pero si se podría con una versión superior (solo aplica a la versión de sistema operativo de los controladores de dominio). El nivel funcional asegura que la funcionalidad del directorio se adecue al nivel más compatible, es decir que si el nivel funcional se encuentra en 2003, y se incluyen controladores de dominio en Windows Server 2012, características como por ejemplo papelera de reciclaje de Active Directory no podrían ser habilitadas ya que no se encuentran soportadas en controladores de dominio anteriores a 2008 R2. Incluso si todos los controladores de dominio corren una versión reciente de sistema operativo pero el nivel funcional no fue elevado, las nuevas características no van a estar disponibles. Preparación de Active Directory El primer paso antes de instalar Exchange es extender el esquema de Active Directory. El usuario que ejecute esta tarea debe ser miembro del grupo de administradores del esquema (schema admins). La preparación de Active Directory16 abarca más que solo extender el esquema y puede ser ejecutada de forma separada a la instalación de Exchange (por línea de comando) o puede ser incluida como tarea inicial dentro del proceso de instalación17 (de forma automática si se cuenta con los permisos necesarios). A nivel macro, la preparación consiste en lo siguiente: 1. Extensión de esquema. En este paso extendemos el esquema de Active Directory para agregar clases y atributos específicos de Exchange. 2. Creación de contenedores en partición de configuración, asignación de permisos, OU con grupos de seguridad, etc. 3. Preparación de cada dominio adicional que vaya a tener servidores de Exchange u objetos habilitados para correo. 16 17 © http://aprendiendoexchange.com/preparacion-de-active-directory-para-exchange-2013 http://aprendiendoexchange.com/como-instalar-exchange-2013 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 27 Instalar Exchange en un controlador de dominio? Instalar Exchange en un controlador de dominio tiene muchas limitantes, principalmente desde el punto de vista de seguridad y rendimiento. Exchange requiere Active Directory pero este requerimiento no implica que se deba instalar en un servidor con el rol de controlador de dominio. La recomendación es instalar Exchange en un servidor miembro del dominio. En adición, suponiendo el escenario donde Exchange ya se encuentra instalado en un servidor miembro, no es soportado promover este servidor a controlador de dominio y lo mismo a la inversa, es decir, si se instala Exchange sobre un controlador de dominio no estaría soportado que posteriormente se despromueva el rol de DC (demote). En caso de ser necesario cambiar el rol de un servidor con Exchange instalado, el mecanismo soportado sería generar un nuevo servidor de Exchange, mover toda la funcionalidad, información de buzones, etc y por último desinstalar Exchange en el servidor original. Arquitectura de roles En Exchange 2007 y 2010 existían 5 roles, en Exchange 2013 esto se redujo a los siguientes 3: Client Access Mailbox Edge Transport Una instalación “típica” de Exchange incluiría los roles de Client Access y Mailbox server. Esto se conoce como multirol. Estos roles podrían estar distribuidos en varios servidores de existir algún requerimiento especifico. El punto es que para contar con una instalación funcional es necesario contar con ambos roles, sea en un mismo servidor o en varios servidores. El rol de Mailbox incluye componentes que antes se encontraban en los roles de Client Access, Hub Transport y Mensajería Unificada de Exchange 2010. Este rol maneja toda la actividad referente a los buzones activos en el servidor. © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 28 El rol de Client Access provee autenticación, servicios de proxy y redirección en el caso mensajería unificada. En Exchange 2013 CU4 (service pack 1) re aparece el rol de Edge Transport (ya existía en Exchange 2007 y en 2010). Este rol en particular no puede ser instalado junto a ningún otro y se recomienda que esté fuera de la red interna (DMZ por ejemplo). A continuación un diagrama de technet sobre la arquitectura de roles en Exchange 2013: 18 Rol de Client Access El rol de Client Access (CAS) incluye componentes relacionados con SMTP, ruteo de llamadas (mensajería unificada) y protocolos de cliente. A diferencia de versiones anteriores, si utilizan un balanceador ya no requiere afinidad de sesión. Como se puede ver en el diagrama19, las conexiones de clientes OWA, ActiveSync, Outlook (RPC/HTTPS), etc pasan por este rol: 18 http://blogs.technet.com/b/exchange/archive/2013/01/23/exchange-2013-server-role-architecture.aspx 19 http://blogs.technet.com/b/exchange/archive/2013/01/25/exchange-2013-client-access-server-role.aspx © 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 29 El rol de Client Access de Exchange 2013 autentica y posteriormente cumple la función de proxy hacia el servidor con el rol de Mailbox, Como excepción tenemos el caso de mensajería unificada (UM) donde se hace una redirección en lugar de proxy. En adición, encontramos el servicio de Front End Transport, este servicio es el que publicaríamos hacia Internet para recepción de correo (si no tenemos un servidor de Edge o algún otro tipo de smarthost en DMZ). El rol de Acceso de clientes no encola mails, es decir que si el servidor de Mailbox se encuentra fuera de servicio, la recepción de correo externo (entre otras cosas) fallaría. Dado que en general la función del CAS es la de hacer de proxy hacia el servidor con el rol de Mailbox, si este último se encuentra fuera de servicio el tener levantado el servidor con el rol de Client Access no aportaría nada. Para ofrecer alta disponibilidad podemos instalar el rol en múltiples servidores utilizando algún mecanismo de balanceo como NLB, DNS Round Robin, HLB, etc. Rol de Mailbox En el rol de Mailbox se alojan las bases y es donde se realiza el procesamiento de datos. En adición, se incluyen componentes de transporte; por un lado servicios para interactuar con la base de datos y por otro para hacerlo con el servicio de Front End del Client Access y otros servidores de Mailbox. A diferencia de la entrada de mail, de forma predeterminada al crear un conector de envío, el rol que realiza la conexión es el de Mailbox. Para utilizar al Client Access como proxy es necesario modificar las propiedades del conector (si tenemos los roles separados no sería un dato menor ya que la IP del servidor que envía debe estar habilitada en el firewall). En el siguiente diagrama20 se puede ver la interacción: 20 © https://technet.microsoft.com/en-us/library/aa996349(v=exchg.150).aspx 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 30 En lo que respecta a alta disponibilidad y contingencia tenemos como componente central al DAG21 (Database Availability Group). Un DAG agrupa lógicamente servidores con el rol de Mailbox con la finalidad de replicar bases de datos mediante log shipping asincrónico. Rol de Edge Transport Este es un rol opcional e incluso puede utilizarse alguna alternativa para cumplir la función. El rol está diseñado para trabajar en DMZ y manejar lo referente a ruteo de correo externo e higiene de mensajes. En este rol se incluyen las mismas características antispam que en el rol de Mailbox de Exchange 2013 así como algunas adicionales como agentes de filtrado de conexiones y adjuntos. En adición, cuenta con agente de reescritura de direcciones de correo para el caso que aplique. Este es el único rol de Exchange que no requiere Active Directory. El objetivo del rol de Edge Transport es incrementar el nivel de seguridad del correo, en primera instancia cumpliendo con algo muy requerido como es el hecho de que un servidor externo no se conecte directamente con uno interno sino que realice una conexión a nuestra zona perimetral y 21 © http://aprendiendoexchange.com/dag-en-exchange-introduccion 2 0 1 5 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 31 posteriormente el servidor de Edge se conecte a nuestros servidores con el rol de Mailbox. A simple vista podríamos decir que el rol de Edge Transport es un simple smarthost pero entre otras cosas nos habilita a sincronizar información de configuración interna como por ejemplo dominios de correo de la organización, información de destinatarios como remitentes seguros (safe senders) mediante safelist aggregation y de este modo disminuir la chance de falsos positivos. El rol de Edge Transport al igual que otros roles de Exchange 2013 puede ser instalado sobre Windows Server 2008 R2, Windows Server 2012 o 2012 R2. Próximos pasos Si te gusto el ebook, lo primero sería compartir la página principal “Fundamentos de Exchange Server 2013” con al menos un colega. En esta página se van a ir agregando actualizaciones y nuevos tomos. En adición pueden enviar dudas a la dirección de contacto admin@aprendiendoexchange.com o postear en la sección de comentarios. Enlaces útiles A continuación incluyo enlaces útiles para continuar con el trabajo sobre Exchange 2013: Preparación de Active Directory http://aprendiendoexchange.com/preparacion-de-active-directorypara-exchange-2013 Instalación http://aprendiendoexchange.com/como-instalar-exchange-2013 Análisis de mejores prácticas http://aprendiendoexchange.com/mejores-practicas-en-exchange2013 Creación de nueva base de datos © 2 0 1 5 http://aprendiendoexchange.com/como-crear-una-base-de-datos-enexchange-2013 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 32 Alta disponibilidad http://aprendiendoexchange.com/dag-en-exchange-introduccion Tipos de buzones http://aprendiendoexchange.com/tipos-de-buzones-en-exchange2013 Agregar nuevo dominio de correo http://aprendiendoexchange.com/como-agregar-un-nuevo-dominiode-correo-en-exchange-parte-1 Certificados http://aprendiendoexchange.com/certificados-en-exchange-2013 Instalación de filtros antispam http://aprendiendoexchange.com/como-instalar-los-filtros-anti-spamen-exchange-2013 Configuración de conector de envío a internet http://aprendiendoexchange.com/configurar-el-envio-de-correo-ainternet-en-exchange-2013 Respaldo http://aprendiendoexchange.com/como-respaldar-las-bases-deexchange-2013-con-windows-server-backup Restauración © 2 0 1 5 http://aprendiendoexchange.com/como-restaurar-una-base-de-datosde-exchange-2010-2013-con-wsb T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 33