Fundamentos de

Exchange Server
2013

Daniel Nez Banega

MCSE / MCSA / MCITP / MCTS

Contenido
Introduccin........................................................................................................................ 2
Ediciones de Exchange 2013 ............................................................................................ 3
Licencia de clientes (CAL) ................................................................................................ 3
Sistemas operativos soportados ................................................................................... 5
Mejoras en Exchange 2013 .............................................................................................. 6
Active Directory Domain Services ............................................................................... 16
Dominio ..................................................................................................................... 16
rbol de dominios ................................................................................................... 17
Bosque de Active Directory .................................................................................... 17
Particiones del directorio ........................................................................................ 18
Catlogo Global ........................................................................................................ 19
Replicacin ................................................................................................................ 20
Roles maestros (FSMO) ........................................................................................... 21
Sitios de Active Directory ........................................................................................ 21
DNS ...................................................................................................................................... 23
Registros DNS ........................................................................................................... 24
Requerimientos de servicios de infraestructura .................................................... 26
Nivel funcional .......................................................................................................... 26
Preparacin de Active Directory ............................................................................ 27
Instalar Exchange en un controlador de dominio?................................................. 28
Arquitectura de roles ..................................................................................................... 28
Rol de Client Access ................................................................................................. 29
Rol de Mailbox .......................................................................................................... 30
Rol de Edge Transport ............................................................................................. 31
Prximos pasos ................................................................................................................ 32
Enlaces tiles ............................................................................................................ 32

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |1

Introduccin
Empresas de mediano y gran porte utilizan Active Directory y Exchange
Server. Independientemente de si utilizan el correo en la nube, entorno
hibrido o cuentan con una instalacin local, el producto de correo electrnico
por excelencia es Microsoft Exchange.
Comprender como funciona, donde almacena la informacin y cules son
sus dependencias es crtico para implementar o administrar la plataforma
correctamente.
En este primer tomo de "Fundamentos de Exchange server" vamos a
explorar los conceptos ms importantes sobre Microsoft Exchange y su
relacin con Active Directory de tal forma de "nivelar" y generar cimientos
que habiliten a pasar a temas ms avanzados a futuro.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |2

Ediciones de Exchange 2013

Exchange 2013 se encuentra disponible en 2 ediciones; Standard y
Enterprise.
En ambos casos el medio de instalacin es el mismo, la diferencia se
encuentra en la clave del producto que vara en funcin a la versin
adquirida. Esta clave es la que determina que edicin se activa.
El utilizar la versin Standard o Enterprise de Exchange depende de la
cantidad de base de datos requeridas por servidor (incluyendo activas y
pasivas):

Exchange 2013 Standard mximo 5 bases

Exchange 2013 Enterprise mximo 100 bases

A diferencia de otras versiones de Exchange y al igual que en el caso de

Exchange 2010, la nica diferencia entre las 2 ediciones es la cantidad de
bases de datos, desde el punto de vista de caractersticas, clientes o alta
disponibilidad ambas cuentan con la misma funcionalidad.

Licencia de clientes (CAL)

En adicin a las ediciones de servidor de Exchange tenemos 2 tipos de
licencia de cliente (CAL: Client Access License):

Exchange Server Standard CAL

Exchange Server Enterprise CAL

Cada usuario con buzn requiere una CAL standard, opcionalmente y de

forma adicional se puede agregar la Enterprise CAL.
La Enterprise CAL (eCAL) habilita mayor funcionalidad como por ejemplo
administracin avanzada de dispositivos mviles, mensajera unificada o
buzn de archivado.
En la siguiente tabla 1se pueden ver las caractersticas incluidas dentro de la
CAL Standard y que es lo agrega la Enterprise:

https://products.office.com/es-es/exchange/microsoft-exchange-server-licensing-licensing-overview

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |3

La CAL que utiliza el cliente no tiene relacin con la edicin que utiliza el
servidor, esto se presta muchas veces a la confusin, es decir que puedo
utilizar Exchange Server Enterprise y contar nicamente con CAL Standard
para los usuarios.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |4

Adicionalmente es posible contar con usuarios que cuentan con CAL

Enterprise (en adicin a la Standard) porque requieren cierta funcionalidad
que otros usuarios no necesitan. En este caso se debe tener en cuenta el
costo adicional de esta licencia, por este motivo es usual encontrar que
usuarios VIP tengan este tipo de licencia mientras que usuarios comunes
solo cuenten con la Standard.

Sistemas operativos
soportados
La versin actual de Exchange 2013 (CU9 al momento de escribir el ebook)
corre sobre las siguientes versiones de sistema operativo:

Windows Server 2008 R2 SP1

Windows Server 2012

Windows Server 2012 R2

Ms all de las ventajas incluidas en las versiones ms nuevas de Windows

podramos decir que la que ms aporta es la posibilidad de implementar alta
disponibilidad con la versin Standard de Windows Server 2012 o 2012 R2.
En el caso de Windows Server 2008 R2 SP1 sera necesario la versin
Enterprise ya que en la Standard no se incluyen los componentes de
clustering (dependencia del DAG).
Independientemente de la versin de sistema operativo no es posible
instalar sobre Server Core, la instalacin debe ser completa (con GUI).

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |5

Mejoras en Exchange 2013

Exchange 2013 incluye varias mejoras, algunas muy tcnicas y que a simple
vista no tienen impacto, otras ms visibles ya que interactuamos de forma
ms directa, dentro de estas ltimas se destacan las siguientes:

Nueva interfaz administrativa

Desaparece la Exchange Management Console (EMC) utilizada desde
Exchange 2007 y se introduce el Exchange Admin Center (EAC).
La nueva interfaz de administracin es web y aunque en primera instancia
esto pueda resultar como algo negativo es cuestin de adaptarse, trabajar
con el EAC es mucho ms gil que con la EMC, en adicin puede ser accedida
desde cualquier lado a diferencia de la EMC que requera instalar las
herramientas administrativas o iniciar una sesin de terminal en el servidor.

https://technet.microsoft.com/en-us/library/jj150562(v=exchg.150).aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |6

Outlook Web App

OWA es rediseado y optimizado para tablets y smartphones en adicin a
equipos de escritorio y laptops.
Dentro de las nuevas caractersticas una muy importante es la posibilidad de
utilizar OWA sin conexin (se debe utilizar un navegador soportado). Con
OWA fuera de lnea se pueden realizar las tareas ms comunes, estas
posteriormente son sincronizadas con el servidor una vez reanudada la
conexin.
Si bien existen limitantes, las caractersticas principales como lectura, edicin,
envo / respuesta de correo, acceso al calendario y contactos se encuentran
disponibles.

http://blogs.technet.com/b/exchange/archive/2012/08/02/the-new-owa-rocks-tablets-and-phones.aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |7

Mayor integracin con Sharepoint 2013 con

buzones de sitio
Se introduce un nuevo tipo de buzn site mailbox. El site mailbox habilita a
que se almacene la informacin de correo electrnico en la base de datos de
Exchange mientras que toda la parte de documentos en Sharepoint. Esto
permite aprovechar caractersticas de versionado entre otras cosas.

Los usuarios fcilmente pueden arrastrar documentos desde Outlook 2013:

http://blogs.technet.com/b/exchange/archive/2012/08/22/site-mailboxes-in-the-new-office.aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |8

Del mismo modo es posible acceder a correos relacionados a un proyecto en

contexto, desde Outlook o Sharepoint. Si bien desde el punto de vista de
interfaz de usuario el contenido est en un mismo lugar, mediante site
mailboxes es posible almacenar cada tipo de elemento en el store ms
optimizado para la tarea.

https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |9

Carpetas pblicas modernas

Desaparece la base pblica de versiones anteriores y se introduce el buzn
de carpetas pblicas Public Folder Mailbox. Esto implica que se almacene
como un buzn ms dentro de la base de datos de Exchange y su
informacin pueda ser replicada dentro de un DAG.
Una de las grandes ventajas de esto es no tener que manejar bases pblicas
de un gran tamao sino que es posible dividir la informacin en varios
buzones y ubicarlos en la base de datos que tenga ms sentido (por ejemplo
desde el punto de vista de proximidad).

http://blogs.technet.com/b/exchange/archive/2014/08/26/public-folder-updates-in-cu6-improving-scale-and-more.aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 10

Disponibilidad administrada (Managed

Availability)
Con Managed Availability se incluye monitoreo de los componentes internos
y caractersticas de recuperacin con foco en la experiencia de usuario. Este
servicio monitorea la salud de los componentes y dependiendo del caso
puede reiniciar un servicio, application pool, servidor completo o escalar a un
administrador:

https://technet.microsoft.com/en-us/library/dn482056(v=exchg.150).aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 11

Prevencin de prdida de datos (DLP)

Mediante el uso de DLP es posible reducir el riesgo de exposicin de datos
confidenciales. Por ejemplo detectar si un correo incluye nmeros de tarjetas
de crdito y advertir con un Policy Tip (similar al mailtip).

https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 12

Distintos patrones pueden ser identificados independientemente de si se

encuentran en el cuerpo del mensaje o dentro de algn adjunto:

https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 13

A continuacin una tabla comparativa entre las caractersticas de Exchange

2007, 2010 y 2013:

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 14

10

10

https://products.office.com/es-es/exchange/compare-microsoft-exchange-server-versions

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 15

Active Directory Domain

Services
Desde Windows Server 2008 Active Directory abarca una suite de productos
o servicios:

Active Directory Domain Services (ADDS)

Active Directory Lightweight Directory Services (ADLDS)
Active Directory Federation Services (ADFS)
Active Directory Rights Management Services (ADRMS)
Active Directory Certificate Services

Independientemente de esto, en general cuando se habla de Active Directory

sin especificar se hace referencia a Active Directory Domain Services.
Active Directory Domain Services es un servicio de directorio que permite
almacenar y administrar informacin de usuarios, computadoras, impresoras
aplicaciones y otros objetos de la red de forma centralizada y segura.
Desde Exchange 2000 Active Directory es el servicio de directorio utilizado
por Exchange. En Active Directory se almacena informacin de configuracin
y destinatarios de correo.
Cada vez que Exchange requiere informacin de configuracin o sobre algn
destinatario consulta Active Directory, si este no se encuentra disponible
Exchange no va a funcionar correctamente.
Debido a la fuerte integracin de Exchange con Active Directory es
importante entender los conceptos ms bsicos en relacin a su interaccin
con el directorio, donde almacena informacin y que componentes requiere.

Dominio
Un dominio de Active Directory es un contenedor lgico utilizado para
administrar usuarios, grupos, computadoras entre otros objetos.
Todos estos objetos son contenidos en una particin especfica dentro de la
base de datos de AD DS. Cada servidor con el rol de controlador de dominio
almacena una copia de esta base.
Un dominio de Active Directory funciona como una frontera de replicacin,
cuando se realizan modificaciones, los controladores de dominio replican el
cambio de tal forma de mantener sincronizada la base.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 16

rbol de dominios
Un rbol de dominios (tree) es una coleccin de uno o ms dominios que
comparten un espacio de nombre contiguo. Por ejemplo si el primer dominio
se llama contoso.com y tiene un subdominio, este sera
subdominio.contoso.com.
En un bosque de Active Directory pueden existir mltiples rboles de
dominio.

Bosque de Active Directory

En Active Directory el bosque (forest) es una coleccin de uno o ms
dominios que comparten una misma estructura lgica, catlogo global,
esquema y configuracin.
Todos los dominios del bosque cuentan con relaciones de confianza
automticas de 2 vas y transitivas.
El bosque representa una instancia completa del directorio y una frontera de
seguridad.
En el diagrama a continuacin vemos un bosque compuesto por un rbol
con un dominio raz y 2 subdominios. Las OU representan contenedores
utilizados para organizar la informacin entre otras cosas:

11

11

https://technet.microsoft.com/en-us/library/cc756901(v=ws.10).aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 17

Exchange tiene una relacin 1:1 con el bosque de Active Directory, esto
significa que un bosque solo puede tener una organizacin de Exchange y
una organizacin no puede expandirse ms all del bosque.

Particiones del directorio

La informacin en la base de datos de Active Directory es almacenada en
particiones. Estas particiones almacenan distintos tipos de informacin y son
unidades de replicacin.

Particin de Dominio
En esta particin se almacena informacin de usuarios, grupos,
computadoras, OU. Esta particin es replicada entre todos los controladores
de dominio del dominio.
Un conjunto parcial de atributos se replica a todos los controladores de
dominio del bosque con el rol de catlogo global.
Especficamente en relacin a Exchange en la particin de dominio se
almacena informacin de usuarios con buzn, habilitados para correo,
contactos y grupos de distribucin.

Particin de Configuracin
En la particin de configuracin se almacena informacin global de
configuracin por ejemplo configuracin de sitios de Active Directory, PKI y
Exchange entre otros. Esta particin es replicada entre todos los
controladores de dominio del bosque.
En relacin a Exchange encontramos prcticamente toda la configuracin;
informacin de base de datos, conectores, servidores, protocolos, etc.

Particin de Esquema
En el esquema es donde se definen las clases y atributos de los objetos que
podemos tener en el directorio. Este esquema es extensible y es lo primero
que debemos preparar antes de instalar Exchange. El esquema es nico por
bosque y es replicado entre todos los controladores de dominio.

Particin de Aplicacin
En adicin tenemos particiones de aplicacin. Si bien Exchange no almacena
informacin en este tipo de particin, en general se utilizan a nivel de DNS,
servicio en el cual Active Directory depende y en consecuencia Exchange.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 18

Catlogo Global
El Global Catalog (GC) es una copia parcial de solo lectura que contiene
informacin de los atributos ms utilizados de todos los objetos del bosque.
Entre otras cosas en lugar de tener que consultar DC por DC de cada dominio
(de contar con ms de uno) permite acelerar las bsquedas en el bosque
consultando directamente al GC ya que tiene informacin de todos los
objetos (funcionando como un ndice).
Cuando se instala Exchange, los atributos de objetos habilitados para correo
son replicados al catlogo global. Independientemente de si se utiliza un
bosque con un nico dominio o con mltiples dominios, Exchange consulta
al GC.
Todo Catlogo Global es controlador de dominio, mientras que no todo
controlador de dominio es GC. Dependiendo de la cantidad de servidores,
dominios, etc cul sera la recomendacin respecto a la ubicacin de los
controladores con rol de GC.
En el escenario ms usual, donde encontramos un bosque compuesto por un
nico dominio, la recomendacin en general es que todos los controladores
de dominio sean Catlogo Global.
En el siguiente diagrama tenemos un bosque compuesto por 4 dominios; el
dominio raz y 3 subdominios. Si por ejemplo examinamos la base de datos
(ntds.dit) de un controlador de dominio del dominio A encontramos la
particin de dominio (A), configuracin y esquema, si el controlador de
dominio es adems catlogo global tendra las mismas 3 particiones ms una
rplica parcial de las particiones de los dominios B, C y D:

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 19

12

En adicin a Exchange, el catlogo global es crtico para otro tipo de

escenarios, quizs el ms bsico sea el inicio de sesin de los usuarios.
Dada la criticidad de este servicio se recomienda que existan al menos 2 DC
con el rol de GC y que al menos exista 1 GC en cada sitio donde se encuentre
un servidor con Exchange instalado.

Replicacin
Los controladores de dominio utilizan un modelo de replicacin multimaster,
es decir que podemos realizar cambios en cualquier controlador de dominio
y estos posteriormente sern sincronizados entre s.
A partir de 2008 se incluye un tipo de controlador de dominio de solo lectura:
RODC (Read Only Domain Controller), el cual a su vez puede funcionar como
catlogo global.
En lo referente a Exchange lo que se debe tener en cuenta es que este tipo
de controlador de dominio no est soportado, puede existir en la red pero al
12

https://technet.microsoft.com/en-us/library/how-global-catalog-servers-work(v=ws.10).aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 20

menos un controlador de dominio de lectura y escritura debe estar

funcionando.

Roles maestros (FSMO)

Si bien Active Directory utiliza un modelo multimaster de replicaicn, existen
operaciones especficas que dependen de un controlador de dominio con un
rol especfico. De forma predeterminada estos roles son asignados al primer
DC del bosque.
En Active Directory tenemos 5 roles maestros (FSMO: Flexible Single Master
Operations); 2 globales a nivel de bosque (en el primer dominio del bosque) y
3 por cada uno de los dominio del bosque:

FSMO por bosque

o Schema Master
o Domain Naming Master

FSMO por dominio

o PDC Emulator
o RID Master
o Infrastructure Master

La mayora de estos roles se utilizan para tareas puntuales y en algunos

casos hasta podran encontrarse fuera de lnea sin derivar en demasiado
impacto, pero si por ejemplo al preparar Active Directory para Exchange, el
rol del esquema no se encuentra disponible, el proceso va a fallar.

Sitios de Active Directory

Un sitio de Active Directory representa la topologa fsica de la red en el
directorio. Un sitio podra ser definido como un conjunto de subredes bien
conectadas.
Exchange utiliza sitios de Active Directory para localizar los DC/GC ms
cercanos y para el ruteo de mensajes, esto es importante cuando tenemos
ms de un sitio con servidores de Exchange instalados.
De forma predeterminada se crea el Default-First-Site-Name sin subredes
definidas lo que bsicamente indicara que toda la red est asociado a este
sitio. Si se cuenta con un nico sitio esto podra ser suficiente.
De haber ms de un sitio fsico, por ejemplo un edificio principal y una oficina
remota conectada por un enlace lento sera posible definir un sitio de Active
Directory asociado a cada ubicacin fsica y as los clientes o servicios que
dependen de Active Directory podran encontrar los controladores de
dominio ms cercanos.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 21

Mediante la configuracin de sitios de Active Directory es posible optimizar

los procesos de replicacin, autenticacin y localizacin de servicios en la red.
La cantidad de sitios no tiene relacin con la de dominios; un sitio podra
abarcar varios dominios (dentro de un mismo bosque) as como se podran
utilizar mltiples sitios para un nico dominio. El sitio tiene relacin con la
estructura fsica de Active Directory mientras que el dominio con la
estructura lgica:

13

13

https://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 22

DNS
DNS (Domain Name System) es un servicio de resolucin de nombres. Cada
vez que utilizamos un navegador por detrs se utiliza este servicio para
resolver nombres a direcciones IP.
Active Directory depende de DNS ya que lo utiliza para todo lo referente a
registro de nombres, servicios y resolucin. Al da de hoy DNS es un
requerimiento bsico, sin DNS no hay Active Directory y sin este no hay
Exchange.
DNS provee una base de datos jerrquica y escalable donde hosts (equipos
con TCP/IP) pueden consultar y actualizar sus registros.
En un entorno con Active Directory se recomienda instalar el servicio de DNS
en un controlador de dominio. Esto es una excepcin ya que en general la
recomendacin es no instalar nada en un DC, pero el caso puntual de DNS
ofrece varias ventajas:

Integracin de informacin de zonas dentro de Active Directory (esto

implica que utilizara el mismo mecanismo de replicacin que el de
AD)
No es necesario utilizar zonas primarias y secundarias. Las zonas
primarias son de lectura y escritura, las secundarias de solo lectura, si
hay un problema con la zona primaria no sera posible actualizar
registros
Actualizacin dinmica y segura de registros en DNS

Cuando un controlador de dominio es instalado se crean una serie de

registros en DNS. Estos registros van ms all del tpico registro A (que
resuelve nombre a IP), incluyendo registros SRV (Service Locator) utilizados
para localizar servicios en la red, por ejemplo para LDAP, Kerberos e
informacin especfica de sitios entre otros.
Exchange utiliza estos servicios para localizar controladores de dominio /
catalogo global cercanos, informacin de sitios para ruteo de mail,
autenticacin, etc.
Algo fundamental en este aspecto es que tanto los controladores de dominio
como los servidores de Exchange deben estar configurados con las IP de los
DNS internos, en ningn caso se debe configurar un DNS externo (error
comn cuando se intenta configurar resolucin de nombres fuera de la
organizacin).

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 23

Registros DNS
Exchange utiliza varios tipos de registros en DNS, algunos son utilizados
internamente, otros son utilizados a nivel externo por ejemplo para
intercambiar correo con otras organizaciones:

Registro A
El registro A se utiliza para resolver un nombre de host a su direccin IPv4.
Internamente en general los equipos registran automticamente su nombre
dentro de la zona de dominio.
En el caso de Exchange puede ser necesario crear registros A explcitos en la
zona interna por cuestiones de certificados y nombres asignados a los
servicios.
Este tipo de registro tambin es necesario en la zona externa de la
organizacin, por ejemplo para incluir un registro mail.empresa.com
apuntando a una IP pblica.

Registro PTR
El registro PTR (Pointer) resuelve una direccin IP a un registro A (ej:
mail.dominio.com), a nivel de correo electrnico este podra ser chequeado
externamente cuando enviamos mail fuera de nuestra organizacin.
Por ejemplo, si el servidor de correo destino hace un consulta reversa al
nombre con el que se present nuestro servidor de envo (smarthost o
Exchange), este debera coincidir con la direccin IP utilizada, de lo contrario
podra ser catalogado como SPAM.

Registro SRV
El registro SRV identifica servidores que proveen servicios especficos en la
red, por ejemplo los clientes utilizan registros SRV para localizar
controladores de dominio, GCs y en muchos casos configuracin de
aplicaciones como Outlook o Activesync.

Registro MX
Para que una organizacin externa pueda enviarnos mail esta debe ser capaz
de localizarnos, para esto se utilizan registros MX (Mail Exchanger). Esto es
independiente a si usamos Exchange u otro tipo de servidor de correo.
Este registro MX es utilizado por organizaciones externas y no lo precisamos
internamente. Del mismo modo cuando nuestra organizacin enva correo
debemos ser capaces de localizar un registro MX del dominio destino.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 24

El registro MX debe apuntar a un registro de tipo A que a su vez apunta a

una direccin IP (se pueden usar alias o cname pero esto no es
recomendado).
En adicin, los registros MX utilizan lo que se conoce como preferencia,
cuanto ms bajo sea el nmero de preferencia, mayor prioridad tiene el
registro.
La preferencia puede ser utilizada para obtener balanceo y alta
disponibilidad a nivel de recepcin de correo, por ejemplo se podra tener un
registro MX dedicado para un sitio principal y otro con menor prioridad
apuntando a una IP de contingencia como backup.
Si tenemos una pequea organizacin con un nico sitio y sin alta
disponibilidad, con un registro MX sera suficiente.

14

En general, en produccin vamos a encontrar que los registros MX apuntan a

un registro A asociado a una IP pblica en un firewall de frontera que
posteriormente hace NAT a un servidor corriendo software de antivirus
/antispam y configurado para reenviar todo mail entrante a nuestro
Exchange.
Como alternativa, en caso de no tener un servidor adicional para higiene de
transporte, el NAT podra estar configurado directo hacia el Exchange.

Registro SPF
El registro SPF (Sender Policy Framework) es utilizado para indicar desde que
hosts podra nuestra organizacin enviar correo. De este modo una
organizacin destino podra verificar la IP desde la que se conecta nuestro
14

https://technet.microsoft.com/en-us/library/ff634392(v=exchg.141).aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 25

servidor de envo y en base a si existe un registro SPF y coincide o no con

nuestra IP que accin tomar.
Este tipo de registro es muy utilizado para evitar el spoofing de mails, por
ejemplo cuando se recibe spam desde direcciones supuestamente internas.

15

De tener un registro SPF configurado, cuando el servidor recibe este tipo de

correo, chequeara que la IP desde la que proviene no coincide con las
indicadas en el registro SPF y en base a esto dependiendo de la configuracin
del filtro si lo rechaza o simplemente estampa el resultado para posterior
anlisis.

Requerimientos de servicios
de infraestructura
Active Directory es el principal requerimiento para Exchange, lo que deriva
en que se dependa de DNS para la resolucin de nombres, localizacin de
servicios, etc.

Nivel funcional
Como mnimo se debe contar con nivel funcional de dominio y bosque en
Windows Server 2003.
Los controladores de dominio en Windows Server 2003 deben estar
actualizados con Service Pack 2. Pueden existir distintas versiones de sistema
operativo en los DC, como por ejemplo DCs en 2003 y otros en 2008 R2, esto
no afecta a Exchange.
15

https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 26

A tener en consideracin que no es posible utilizar RODC/GC (controlador de

dominio de solo lectura) para Exchange, es decir que requiere controladores
de dominio de lectura y escritura.
El nivel funcional de dominio y bosque no tiene relacin con la versin de
sistema operativo soportado en los servidores de Exchange. Por ejemplo,
nivel funcional de dominio y bosque en 2003 indicara que no se pueden
tener controladores de dominio con una versin anterior a 2003, pero si se
podra con una versin superior (solo aplica a la versin de sistema operativo
de los controladores de dominio).
El nivel funcional asegura que la funcionalidad del directorio se adecue al
nivel ms compatible, es decir que si el nivel funcional se encuentra en 2003,
y se incluyen controladores de dominio en Windows Server 2012,
caractersticas como por ejemplo papelera de reciclaje de Active Directory no
podran ser habilitadas ya que no se encuentran soportadas en
controladores de dominio anteriores a 2008 R2.
Incluso si todos los controladores de dominio corren una versin reciente de
sistema operativo pero el nivel funcional no fue elevado, las nuevas
caractersticas no van a estar disponibles.

Preparacin de Active Directory

El primer paso antes de instalar Exchange es extender el esquema de Active
Directory. El usuario que ejecute esta tarea debe ser miembro del grupo de
administradores del esquema (schema admins).
La preparacin de Active Directory16 abarca ms que solo extender el
esquema y puede ser ejecutada de forma separada a la instalacin de
Exchange (por lnea de comando) o puede ser incluida como tarea inicial
dentro del proceso de instalacin17 (de forma automtica si se cuenta con los
permisos necesarios).
A nivel macro, la preparacin consiste en lo siguiente:
1. Extensin de esquema. En este paso extendemos el esquema de
Active Directory para agregar clases y atributos especficos de
Exchange.
2. Creacin de contenedores en particin de configuracin, asignacin
de permisos, OU con grupos de seguridad, etc.
3. Preparacin de cada dominio adicional que vaya a tener servidores de
Exchange u objetos habilitados para correo.
16
17

http://aprendiendoexchange.com/preparacion-de-active-directory-para-exchange-2013
http://aprendiendoexchange.com/como-instalar-exchange-2013

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 27

Instalar Exchange en un
controlador de dominio?
Instalar Exchange en un controlador de dominio tiene muchas limitantes,
principalmente desde el punto de vista de seguridad y rendimiento.
Exchange requiere Active Directory pero este requerimiento no implica que
se deba instalar en un servidor con el rol de controlador de dominio.
La recomendacin es instalar Exchange en un servidor miembro del dominio.
En adicin, suponiendo el escenario donde Exchange ya se encuentra
instalado en un servidor miembro, no es soportado promover este servidor a
controlador de dominio y lo mismo a la inversa, es decir, si se instala
Exchange sobre un controlador de dominio no estara soportado que
posteriormente se despromueva el rol de DC (demote).
En caso de ser necesario cambiar el rol de un servidor con Exchange
instalado, el mecanismo soportado sera generar un nuevo servidor de
Exchange, mover toda la funcionalidad, informacin de buzones, etc y por
ltimo desinstalar Exchange en el servidor original.

Arquitectura de roles
En Exchange 2007 y 2010 existan 5 roles, en Exchange 2013 esto se redujo a
los siguientes 3:

Client Access
Mailbox
Edge Transport

Una instalacin tpica de Exchange incluira los roles de Client Access y

Mailbox server. Esto se conoce como multirol.
Estos roles podran estar distribuidos en varios servidores de existir algn
requerimiento especifico. El punto es que para contar con una instalacin
funcional es necesario contar con ambos roles, sea en un mismo servidor o
en varios servidores.
El rol de Mailbox incluye componentes que antes se encontraban en los roles
de Client Access, Hub Transport y Mensajera Unificada de Exchange 2010.
Este rol maneja toda la actividad referente a los buzones activos en el
servidor.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 28

El rol de Client Access provee autenticacin, servicios de proxy y redireccin

en el caso mensajera unificada.
En Exchange 2013 CU4 (service pack 1) re aparece el rol de Edge Transport
(ya exista en Exchange 2007 y en 2010). Este rol en particular no puede ser
instalado junto a ningn otro y se recomienda que est fuera de la red
interna (DMZ por ejemplo).
A continuacin un diagrama de technet sobre la arquitectura de roles en
Exchange 2013:

18

Rol de Client Access

El rol de Client Access (CAS) incluye componentes relacionados con SMTP,
ruteo de llamadas (mensajera unificada) y protocolos de cliente. A diferencia
de versiones anteriores, si utilizan un balanceador ya no requiere afinidad de
sesin.
Como se puede ver en el diagrama19, las conexiones de clientes OWA,
ActiveSync, Outlook (RPC/HTTPS), etc pasan por este rol:

18

http://blogs.technet.com/b/exchange/archive/2013/01/23/exchange-2013-server-role-architecture.aspx

19

http://blogs.technet.com/b/exchange/archive/2013/01/25/exchange-2013-client-access-server-role.aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 29

El rol de Client Access de Exchange 2013 autentica y posteriormente cumple

la funcin de proxy hacia el servidor con el rol de Mailbox, Como excepcin
tenemos el caso de mensajera unificada (UM) donde se hace una redireccin
en lugar de proxy.
En adicin, encontramos el servicio de Front End Transport, este servicio es el
que publicaramos hacia Internet para recepcin de correo (si no tenemos un
servidor de Edge o algn otro tipo de smarthost en DMZ).
El rol de Acceso de clientes no encola mails, es decir que si el servidor de
Mailbox se encuentra fuera de servicio, la recepcin de correo externo (entre
otras cosas) fallara.
Dado que en general la funcin del CAS es la de hacer de proxy hacia el
servidor con el rol de Mailbox, si este ltimo se encuentra fuera de servicio el
tener levantado el servidor con el rol de Client Access no aportara nada.
Para ofrecer alta disponibilidad podemos instalar el rol en mltiples
servidores utilizando algn mecanismo de balanceo como NLB, DNS Round
Robin, HLB, etc.

Rol de Mailbox
En el rol de Mailbox se alojan las bases y es donde se realiza el
procesamiento de datos.
En adicin, se incluyen componentes de transporte; por un lado servicios
para interactuar con la base de datos y por otro para hacerlo con el servicio
de Front End del Client Access y otros servidores de Mailbox.
A diferencia de la entrada de mail, de forma predeterminada al crear un
conector de envo, el rol que realiza la conexin es el de Mailbox.
Para utilizar al Client Access como proxy es necesario modificar las
propiedades del conector (si tenemos los roles separados no sera un dato
menor ya que la IP del servidor que enva debe estar habilitada en el
firewall).
En el siguiente diagrama20 se puede ver la interaccin:

20

https://technet.microsoft.com/en-us/library/aa996349(v=exchg.150).aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 30

En lo que respecta a alta disponibilidad y contingencia tenemos como

componente central al DAG21 (Database Availability Group).
Un DAG agrupa lgicamente servidores con el rol de Mailbox con la finalidad
de replicar bases de datos mediante log shipping asincrnico.

Rol de Edge Transport

Este es un rol opcional e incluso puede utilizarse alguna alternativa para
cumplir la funcin. El rol est diseado para trabajar en DMZ y manejar lo
referente a ruteo de correo externo e higiene de mensajes.
En este rol se incluyen las mismas caractersticas antispam que en el rol de
Mailbox de Exchange 2013 as como algunas adicionales como agentes de
filtrado de conexiones y adjuntos. En adicin, cuenta con agente de
reescritura de direcciones de correo para el caso que aplique. Este es el
nico rol de Exchange que no requiere Active Directory.
El objetivo del rol de Edge Transport es incrementar el nivel de seguridad del
correo, en primera instancia cumpliendo con algo muy requerido como es el
hecho de que un servidor externo no se conecte directamente con uno
interno sino que realice una conexin a nuestra zona perimetral y

21

http://aprendiendoexchange.com/dag-en-exchange-introduccion

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 31

posteriormente el servidor de Edge se conecte a nuestros servidores con el

rol de Mailbox.
A simple vista podramos decir que el rol de Edge Transport es un simple
smarthost pero entre otras cosas nos habilita a sincronizar informacin de
configuracin interna como por ejemplo dominios de correo de la
organizacin, informacin de destinatarios como remitentes seguros (safe
senders) mediante safelist aggregation y de este modo disminuir la chance
de falsos positivos.
El rol de Edge Transport al igual que otros roles de Exchange 2013 puede ser
instalado sobre Windows Server 2008 R2, Windows Server 2012 o 2012 R2.

Prximos pasos
Si te gusto el ebook, lo primero sera compartir la pgina principal
Fundamentos de Exchange Server 2013 con al menos un colega. En esta
pgina se van a ir agregando actualizaciones y nuevos tomos.
En adicin pueden enviar dudas a la direccin de contacto
admin@aprendiendoexchange.com o postear en la seccin de comentarios.

Enlaces tiles
A continuacin incluyo enlaces tiles para continuar con el trabajo sobre
Exchange 2013:

Preparacin de Active Directory

http://aprendiendoexchange.com/preparacion-de-active-directorypara-exchange-2013

Instalacin

http://aprendiendoexchange.com/como-instalar-exchange-2013

Anlisis de mejores prcticas

http://aprendiendoexchange.com/mejores-practicas-en-exchange2013

Creacin de nueva base de datos

2 0 1 5

http://aprendiendoexchange.com/como-crear-una-base-de-datos-enexchange-2013

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 32

Alta disponibilidad

http://aprendiendoexchange.com/dag-en-exchange-introduccion

Tipos de buzones

http://aprendiendoexchange.com/tipos-de-buzones-en-exchange2013

Agregar nuevo dominio de correo

http://aprendiendoexchange.com/como-agregar-un-nuevo-dominiode-correo-en-exchange-parte-1

Certificados

http://aprendiendoexchange.com/certificados-en-exchange-2013

Instalacin de filtros antispam

http://aprendiendoexchange.com/como-instalar-los-filtros-anti-spamen-exchange-2013

Configuracin de conector de envo a internet

http://aprendiendoexchange.com/configurar-el-envio-de-correo-ainternet-en-exchange-2013

Respaldo

http://aprendiendoexchange.com/como-respaldar-las-bases-deexchange-2013-con-windows-server-backup

Restauracin

2 0 1 5

http://aprendiendoexchange.com/como-restaurar-una-base-de-datosde-exchange-2010-2013-con-wsb

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 33