Fundamentos de

Exchange Server

Versión: 2013 / 2016

Daniel Núñez Banega

MCT / MCSE / MCSA / MCITP
 Contenido
Introducción ............................................................................................................................. 2
Ediciones de Exchange .......................................................................................................... 3
Licencia de clientes (CAL) ..................................................................................................... 3
Sistemas operativos soportados ....................................................................................... 5
Mejoras en Exchange 2013 / 2016 ...................................................................................... 6
Coexistencia ........................................................................................................................... 18
Hardware ................................................................................................................................. 18
Active Directory Domain Services ................................................................................... 20
Dominio .................................................................................................................... 20
Árbol de dominios.................................................................................................. 21
Bosque de Active Directory ................................................................................. 21
Particiones del directorio .................................................................................... 22
Catálogo Global ...................................................................................................... 23
Replicación .............................................................................................................. 24
Roles maestros (FSMO) ......................................................................................... 25
Sitios de Active Directory .................................................................................... 25
DNS ............................................................................................................................................ 27
Registros DNS ......................................................................................................... 28
Requerimientos de servicios de infraestructura ....................................................... 30
Nivel funcional ....................................................................................................... 30
Preparación de Active Directory........................................................................ 31
Instalar Exchange en un controlador de dominio? ................................................... 32
Arquitectura de roles .......................................................................................................... 32
Rol de Client Access ............................................................................................... 35
Rol de Mailbox ........................................................................................................ 36
Rol de Edge Transport ........................................................................................... 38
Próximos pasos...................................................................................................................... 38
Enlaces útiles .......................................................................................................... 38

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |1
 Introducción
Empresas de mediano y gran porte utilizan Active Directory y Exchange
Server. Independientemente de si utilizan el correo en la nube, entorno
hibrido o cuentan con una instalación local, el producto de correo electrónico
por excelencia es Microsoft Exchange.

Comprender como funciona, donde almacena la información y cuáles son

sus dependencias es crítico para implementar o administrar la plataforma
correctamente.

Dada la similitud entre Exchange 2013 y Exchange 2016, lo mencionado en

este documento aplica a ambas versiones salvo los casos en donde se
especifique.

Estas versiones son tan similares que si vemos el número de “build” vamos a
encontrar que mientras Exchange 2010 se corresponde al número
14.xx.xxx.xxx (donde la segunda “xx” indica el Service Pack), Exchange 2013 al
15.00.xxx.xxx, en el caso de Exchange 2016 vemos 15.01.xxx.xxx (similar a un
Service Pack en Exchange 2010).

Por fuera de lo anecdótico, a partir de Exchange 2013 incluyendo Exchange

2016, las actualizaciones vienen en forma de CU (Cumulative Update) y ya no
contamos con Service Packs (SP) o Rollup Updates (RU).

En este ebook "Fundamentos de Exchange server" vamos a ver conceptos

introductorios incluyendo versiones, características, requerimientos,
arquitectura y su relación con Active Directory de tal forma de "nivelar" y
generar cimientos que habiliten a pasar a temas más avanzados a futuro.

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |2
 Ediciones de Exchange
Exchange 2013 / 2016 se encuentran disponibles en 2 ediciones; Standard y
Enterprise.

En ambos casos el medio de instalación es el mismo, la diferencia se

encuentra en la clave del producto que varía en función a la versión
adquirida. Esta clave es la que determina que edición se activa.

El utilizar la versión Standard o Enterprise de Exchange depende de la

cantidad de base de datos requeridas por servidor (incluyendo activas y
pasivas):

 Exchange 2013 / 2016 Standard – máximo 5 bases

 Exchange 2013 / 2016 Enterprise – máximo 100 bases

A diferencia de otras versiones de Exchange y al igual que en el caso de

Exchange 2010, la única diferencia entre las 2 ediciones es la cantidad de
bases de datos, desde el punto de vista de características, clientes o alta
disponibilidad ambas cuentan con la misma funcionalidad.

Licencia de clientes (CAL)

En adición a las ediciones de servidor de Exchange tenemos 2 tipos de
licencia de cliente (CAL: Client Access License):

 Exchange Server Standard CAL

 Exchange Server Enterprise CAL

Cada usuario con buzón requiere una CAL standard, opcionalmente y de

forma adicional se puede agregar la Enterprise CAL.

La Enterprise CAL (eCAL) habilita mayor funcionalidad como por ejemplo

administración avanzada de dispositivos móviles, mensajería unificada o
buzón de archivado.

En la siguiente tabla 1se pueden ver las características incluidas dentro de la

CAL Standard y que es lo agrega la Enterprise:

1
https://products.office.com/es-es/exchange/microsoft-exchange-server-licensing-licensing-overview

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |3
 La CAL que utiliza el cliente no tiene relación con la edición que utiliza el
servidor, esto se presta muchas veces a la confusión, es decir que puedo
utilizar Exchange Server Enterprise y contar únicamente con CAL Standard
para los usuarios.

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |4
 Adicionalmente es posible contar con usuarios que cuentan con CAL
Enterprise (en adición a la Standard) porque requieren cierta funcionalidad
que otros usuarios no necesitan. En este caso se debe tener en cuenta el
costo adicional de esta licencia, por este motivo es usual encontrar que
usuarios “VIP” tengan este tipo de licencia mientras que usuarios “comunes”
solo cuenten con la Standard.

Sistemas operativos
soportados
La versión actual de Exchange 2013 (CU13 al momento de escribir el ebook)
corre sobre las siguientes versiones de sistema operativo:

 Windows Server 2008 R2 SP1

 Windows Server 2012
 Windows Server 2012 R2

En el caso de Exchange 2016 (CU2 al momento):

 Windows Server 2012

 Windows Server 2012 R2

Más allá de las ventajas incluidas en las versiones más nuevas de Windows
podríamos decir que la que más aporta es la posibilidad de implementar alta
disponibilidad con la versión Standard de Windows Server 2012 o 2012 R2.

En el caso de Windows Server 2008 R2 SP1 sería necesario la versión

Enterprise ya que en la Standard no se incluyen los componentes de
clustering (dependencia del DAG).

Independientemente de la versión de sistema operativo no es posible

instalar sobre Server Core, la instalación debe ser completa (con GUI).

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |5
 Mejoras en Exchange 2013 /
2016
Exchange 2013 /2016 incluyen varias mejoras, algunas muy técnicas y que a
simple vista no tienen impacto, otras más visibles ya que interactuamos de
forma más directa, dentro de estas últimas se destacan las siguientes:

Nueva interfaz administrativa

Desaparece la Exchange Management Console (EMC) utilizada desde
Exchange 2007 y se introduce el Exchange Admin Center (EAC).

La nueva interfaz de administración es web y aunque en primera instancia

esto pueda resultar como algo negativo es cuestión de adaptarse, trabajar
con el EAC es mucho más ágil que con la EMC, en adición puede ser accedida
desde cualquier lado a diferencia de la EMC que requería instalar las
herramientas administrativas o iniciar una sesión de terminal en el servidor.

2
https://technet.microsoft.com/en-us/library/jj150562(v=exchg.150).aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |6
 Outlook Web App (Exchange 2013)
OWA es rediseñado y optimizado para tablets y smartphones en adición a
equipos de escritorio y laptops.

Dentro de las nuevas características una muy importante es la posibilidad de

utilizar OWA sin conexión (se debe utilizar un navegador soportado). Con
OWA fuera de línea se pueden realizar las tareas más comunes, estas
posteriormente son sincronizadas con el servidor una vez reanudada la
conexión.

Si bien existen limitantes, las características principales como lectura, edición,

envío / respuesta de correo, acceso al calendario y contactos se encuentran
disponibles.

3
http://blogs.technet.com/b/exchange/archive/2012/08/02/the-new-owa-rocks-tablets-and-phones.aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |7
 Outlook on the Web (Exchange 2016)
En adición a los cambios incluidos en Exchange 2013, en el caso de Exchange
2016 se mejora la interfaz brindando una mejor experiencia para dispositivos
con Android e IOS entre otros.

Entre las principales mejoras en Outlook on the Web encontramos:

 Calendario
 Integración de contactos con linkedin
 Búsquedas mejoradas
 Nuevos temas
 Opciones de OWA (opciones no incluidas en versiones anteriores)
 Organización mejorada (Pins y banderas)
 Rendimiento
 Panel de acciones

En adición, características de embebido de videos y URLs en el cuerpo del

mensaje:

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |8
 Mayor integración con Sharepoint con buzones
de sitio
En Exchange 2013 se introduce un nuevo tipo de buzón “site mailbox”. El site
mailbox habilita a que se almacene la información de correo electrónico en la
base de datos de Exchange mientras que toda la parte de documentos en
Sharepoint. Esto permite aprovechar características de versionado entre
otras cosas.

Los usuarios fácilmente pueden arrastrar documentos desde Outlook 2013 /

2016:

4
http://blogs.technet.com/b/exchange/archive/2012/08/22/site-mailboxes-in-the-new-office.aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Página |9
 Del mismo modo es posible acceder a correos relacionados a un proyecto en
contexto, desde Outlook o Sharepoint. Si bien desde el punto de vista de
interfaz de usuario el contenido está en un mismo lugar, mediante site
mailboxes es posible almacenar cada tipo de elemento en el store más
optimizado para la tarea.

En el caso específico de Exchange 2016 con Sharepoint 2016 se permite

adjuntar y compartir documentos almacenados en OneDrive for business de
manera similar a como se da en Office 365. En complemento es posible la
instalación de Office Online Server para mejorar la experiencia a nivel de
manejo de documentos desde OWA.

5
https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 10
 Carpetas públicas modernas
Desaparece la base pública de versiones anteriores y se introduce el buzón
de carpetas públicas “Public Folder Mailbox”. Esto implica que se almacene
como un buzón más dentro de la base de datos de Exchange y su
información pueda ser replicada dentro de un DAG.

Una de las grandes ventajas de esto es no tener que manejar bases públicas
de un gran tamaño sino que es posible dividir la información en varios
buzones y ubicarlos en la base de datos que tenga más sentido (por ejemplo
desde el punto de vista de proximidad).

En el caso particular de Exchange 2016 se integran las características de

eDiscovery con las carpetas públicas de tal forma de realizar búsquedas
centralizadas y mantener información en base a tiempo u otro tipo de
consultas.

En adición se agregan comandos específicos orientados al cumplimiento de

normas “*-ComplianceSearch”.

6
http://blogs.technet.com/b/exchange/archive/2014/08/26/public-folder-updates-in-cu6-improving-scale-and-more.aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 11
 Disponibilidad administrada (Managed
Availability)
Con Managed Availability se incluye monitoreo de los componentes internos
y características de recuperación con foco en la experiencia de usuario. Este
servicio monitorea la salud de los componentes y dependiendo del caso
puede reiniciar un servicio, application pool, servidor completo o escalar a un
administrador:

7
https://technet.microsoft.com/en-us/library/dn482056(v=exchg.150).aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 12
 Prevención de pérdida de datos (DLP)
Mediante el uso de DLP es posible reducir el riesgo de exposición de datos
confidenciales. Por ejemplo detectar si un correo incluye números de tarjetas
de crédito y advertir con un Policy Tip (similar al mailtip).

En Exchange 2016 se incluyen nuevas condiciones, acciones y más de 80

tipos de datos para ser utilizados en políticas de DLP como por ejemplo:

 Credit Card Number

 International Banking Account Number (IBAN)
 SWIFT Code
 U.S. Bank Account Number

En adición se pueden adquirir plantillas de terceros o generar

personalizadas.

8
https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 13
 Distintos patrones pueden ser identificados independientemente de si se
encuentran en el cuerpo del mensaje o dentro de algún adjunto:

9
https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 14
 MAPI sobre HTTP
MAPI sobre HTTP es un nuevo protocolo de transporte utilizado por Outlook
para conectarse con Exchange. Este mecanismo es introducido en Exchange
2013 SP1 (CU4) con la idea de reemplazar a futuro RPC sobre HTTP conocido
como Outlook Anywhere.

MAPI sobre HTTP utiliza una nueva arquitectura simplificada, diseñada para
mejorar la experiencia del usuario. La principal ventaja es a nivel de tiempos
de conexión y reconexión al cambiar de redes o por ejemplo cuando un
equipo sale de un estado de hibernación.

En Outlook Anywhere se da una doble encapsulación; MAPI dentro de RPC y

este dentro de HTTP, en el nuevo protocolo esto es más “directo” ya que hay
una encapsulación simple: MAPI dentro de HTTP.

En el siguiente diagrama se puede ver gráficamente este cambio:

10

En Exchange 2016 es el protocolo predeterminado aunque en estado de

coexistencia con Exchange 2013, dependiendo de la configuración podría no
estar habilitado.

10
https://blogs.technet.microsoft.com/exchange/2014/05/09/outlook-connectivity-with-mapi-over-http/

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 15
 Tabla comparativa de características
A continuación una tabla comparativa entre las características de Exchange
2007, 2010 y 2013 (también aplica a 2016 aunque no incluye todo):

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 16
 11

11
https://products.office.com/es-es/exchange/compare-microsoft-exchange-server-versions

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 17
 Coexistencia
Dependiendo de si instalamos Exchange 2013 o Exchange 2016 en una
organización existente tenemos distintos requerimientos a nivel de
coexistencia.

Exchange 2013 puede coexistir con las siguientes versiones (con las
actualizaciones correspondientes a nivel de RU):

 Exchange 2007 SP3 + RU

 Exchange 2010 SP3 + RU

En el caso de Exchange 2016 se puede coexistir con:

 Exchange 2010 SP3 + RU

 Exchange 2013 CU10 o superior

En adición es posible tener una combinación de versiones en la organización.

En caso de estar actualizando desde Exchange 2003 a Exchange 2013 o

Exchange 2016 tenemos las siguientes alternativas:

1. Actualizar primero a 2007 o 2010 (dependiendo de si vamos a 2013 o

2016 podría ser necesario pasar a 2010)
2. Contar con un bosque nuevo con una organización en la nueva
versión y realizar una migración entre bosques

Sin lugar a dudas la opción 1 es la más sencilla y es el camino a seguir en la

mayoría de los casos.

Hardware
A nivel de hardware tanto Exchange 2013 como Exchange 2016 son
aplicaciones de 64 bits y requieren procesadores tipo AMD64 o x64 Intel
(EM64T). Procesadores Itanium IA64 no se encuentran soportados.

Los requerimientos mínimos son muy básicos:

 Procesador de 64 bits
 8GB de RAM para un servidor con el rol de Mailbox o multirol
(Exchange 2013)
 4GB si se separa el rol de CAS (Exchange 2013) o en caso de Edge
 30 GB de espacio en disco en la unidad de instalación de Exchange
 200 MB libres en la unidad de sistema
 500 MB por cada paquete de lenguaje (UM) a instalar

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 18
  500 MB de espacio libre en la unidad donde se encuentre alojada la
base de transporte
 Archivo de paginación igual a la cantidad de RAM + 10MB hasta
32778MB en caso de superar los 32 GB de RAM

A nivel de particionamiento es requerido utilizar NTFS y para el caso puntual

de particiones conteniendo bases o logs de transacciones también es
soportado el uso de ReFS.

En cuanto al formato de las particiones con bases o logs es recomendado

utilizar un tamaño de cluster de 64k.

Más allá de los requerimientos mínimos de hardware que podrían ser

suficientes para un ambiente de testing, el dimensionamiento de Exchange
implica considerar:

 Arquitectura de servidores con el rol de Catálogo Global

 Utilización de servidores físicos o virtualizados
 Requerimientos de alta disponibilidad / contingencia
 Arquitectura de roles (Exchange 2013)
 Aplicaciones de terceros
 Perfiles de usuario de mensajería
o Cantidad de usuarios
o Cuotas de buzón
o Requerimientos de retención
 Requerimientos de Backup
 Cantidad y tamaño de bases de datos (relacionado a la edición de
Exchange a utilizar)

Los puntos listados son algunos de los aspectos a tener en mente.

El dimensionamiento de Exchange no es tan simple como multiplicar cuota

de buzón (tamaño máximo) por cantidad de usuarios sino que hay varios
factores a tener en cuenta. Esta es una etapa fundamental en todo proyecto
de implementación de Exchange.

En este sentido es recomendable utilizar la calculadora de requerimientos de

Exchange, esta herramienta es una planilla de excel12 que cuenta con varias
hojas, incluyendo una para entrada de datos del ambiente específico y otras
que incluyen los resultados, recomendaciones, requerimientos, cantidad de
servidores, bases de datos y estrategia de respaldos entre otros.

12
https://gallery.technet.microsoft.com/office/Exchange-2013-Server-Role-f8a61780

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 19
 Active Directory Domain
Services
A partir de Windows Server 2008 Active Directory abarca un conjunto de
productos o servicios:

 Active Directory Domain Services (ADDS)

 Active Directory Lightweight Directory Services (ADLDS)
 Active Directory Federation Services (ADFS)
 Active Directory Rights Management Services (ADRMS)
 Active Directory Certificate Services

Independientemente de esto, en general cuando se habla de Active Directory

o Directorio Active sin especificar se hace referencia a Active Directory
Domain Services.

Servicios de dominio de Active Directory

Active Directory Domain Services es un servicio de directorio que permite
almacenar y administrar información de usuarios, computadoras,
impresoras, aplicaciones y otros objetos de la red de forma centralizada y
segura.

Desde Exchange 2000 Active Directory es el servicio de directorio utilizado

por Exchange. En Active Directory se almacena información de configuración
y destinatarios de correo.

Cada vez que Exchange requiere información de configuración o sobre algún

destinatario consulta Active Directory, si este no se encuentra disponible
Exchange no va a funcionar correctamente.

Debido a la fuerte integración de Exchange con Active Directory es

importante entender los conceptos más básicos en relación a su interacción
con el directorio, donde almacena información y que componentes requiere.

Dominio
Un dominio de Active Directory es un contenedor lógico utilizado para
administrar usuarios, grupos y computadoras entre otros objetos.

Todos estos objetos son contenidos en una partición específica dentro de la

base de datos de AD DS. Cada servidor con el rol de controlador de dominio
almacena una copia de esta base.

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 20
 Un dominio de Active Directory funciona como una frontera de replicación,
cuando se realizan modificaciones, los controladores de dominio replican el
cambio de tal forma de mantener sincronizada la base.

Árbol de dominios
Un árbol de dominios (tree) es una colección de uno o más dominios que
comparten un espacio de nombre contiguo. Por ejemplo si el primer dominio
se llama contoso.com y tiene un subdominio, este sería
subdominio.contoso.com.

En un bosque de Active Directory pueden existir múltiples árboles de

dominio.

Bosque de Active Directory

En Active Directory el bosque (forest) es una colección de uno o más
dominios que comparten una misma estructura lógica, catálogo global,
esquema y configuración.

Todos los dominios del bosque cuentan con relaciones de confianza

automáticas de 2 vías y transitivas.

El bosque representa una instancia completa del directorio y una frontera de

seguridad.

En el diagrama a continuación vemos un bosque compuesto por un árbol

con un dominio raíz y 2 subdominios. Las OU representan contenedores
utilizados con el propósito de organizar y administrar los objetos de forma
eficiente:

13

13
https://technet.microsoft.com/en-us/library/cc756901(v=ws.10).aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 21
 Exchange tiene una relación 1:1 con el bosque de Active Directory, esto
significa que un bosque solo puede tener una organización de Exchange y
una organización no puede expandirse más allá del bosque.

Particiones del directorio

La información en la base de datos de Active Directory es almacenada en
particiones. Estas particiones almacenan distintos tipos de información y
actúan como unidades de replicación.

Partición de Dominio
En esta partición se almacena información de usuarios, grupos,
computadoras, OU. Esta partición es replicada entre todos los controladores
de dominio del dominio.

Un conjunto parcial de atributos se replica a todos los controladores de

dominio del bosque con el rol de catálogo global.

Específicamente en relación a Exchange en la partición de dominio se

almacena información de destinatarios, por ejemplo:

 Usuarios con buzón

 Usuarios habilitados para correo
 Carpetas públicas habilitadas para correo
 Contactos habilitados para correo
 Grupos de distribución (sean dinámicos, de seguridad o distribución)

Partición de Configuración
En la partición de configuración se almacena información global de
configuración, por ejemplo configuración de sitios de Active Directory, PKI y
Exchange entre otros. Esta partición es replicada entre todos los
controladores de dominio del bosque.

En relación a Exchange encontramos prácticamente toda la configuración;

información de base de datos, conectores, servidores, protocolos, etc.

Partición de Esquema
En el esquema es donde se definen las clases y atributos de los objetos que
podemos tener en el directorio. Este esquema es extensible y es lo primero
que debemos preparar antes de instalar Exchange. El esquema es único por
bosque y es replicado entre todos los controladores de dominio.

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 22
 Partición de Aplicación
En adición tenemos particiones de aplicación. Si bien Exchange no almacena
información en este tipo de partición, en general se utilizan a nivel de DNS,
servicio en el cual Active Directory depende y en consecuencia Exchange.

Catálogo Global
El Global Catalog (GC) es una copia parcial de solo lectura que contiene
información de los atributos más utilizados de todos los objetos del bosque.

Entre otras cosas en lugar de tener que consultar DC por DC de cada dominio
(de contar con más de uno) permite acelerar las búsquedas en el bosque
consultando directamente al GC ya que tiene información de todos los
objetos (funcionando como un índice).

En adición, la membresía de grupos universales se almacena en el Catálogo

Global. Exchange desde la versión 2007 no permite la creación de grupos no
universales para correo. Durante el período de coexistencia con una versión
anterior sería posible la utilización de este tipo de grupos pero una vez
finalizada esta etapa, estos grupos deben ser modificados para ser
administrados por la nueva versión.

Independientemente de si se utiliza un bosque con un único dominio o con

múltiples dominios, Exchange consulta al GC.

Todo Catálogo Global es controlador de dominio, mientras que no todo

controlador de dominio es GC. Dependiendo de la cantidad de servidores,
dominios, etc cuál sería la recomendación respecto a la ubicación de los
controladores con rol de GC.

En el escenario más usual, donde encontramos un bosque compuesto por un

único dominio, la recomendación en general es que todos los controladores
de dominio sean Catálogo Global.

En el siguiente diagrama tenemos un bosque compuesto por 4 dominios; el

dominio raíz y 3 subdominios. Si por ejemplo examinamos la base de datos
(ntds.dit) de un controlador de dominio del dominio “A” encontramos la
partición de dominio (A), configuración y esquema, si el controlador de
dominio es además catálogo global tendría las mismas 3 particiones más una
réplica parcial de las particiones de los dominios B, C y D:

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 23
 14

En adición a Exchange, el catálogo global es crítico para otro tipo de

escenarios, quizás el más básico sea el inicio de sesión de los usuarios.

Dada la criticidad de este servicio se recomienda que existan al menos 2 DC

con el rol de GC y que al menos exista 1 GC en cada sitio donde se encuentre
un servidor con Exchange instalado.

Replicación
Los controladores de dominio utilizan un modelo de replicación multimaster,
es decir que podemos realizar cambios en cualquier controlador de dominio
y estos posteriormente serán sincronizados entre sí.

A partir de 2008 se incluye un tipo de controlador de dominio de solo lectura:

RODC (Read Only Domain Controller), el cual a su vez puede funcionar como
catálogo global.

En lo referente a Exchange lo que se debe tener en cuenta es que este tipo

de controlador de dominio no está soportado, puede existir en la red pero al

14
https://technet.microsoft.com/en-us/library/how-global-catalog-servers-work(v=ws.10).aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 24
 menos un controlador de dominio de lectura y escritura debe estar
funcionando.

Roles maestros (FSMO)

Si bien Active Directory utiliza un modelo multimaster de replicación, existen
operaciones específicas que dependen de un controlador de dominio con un
rol específico. De forma predeterminada estos roles son asignados al primer
DC del bosque.

En Active Directory tenemos 5 roles maestros (FSMO: Flexible Single Master

Operations); 2 globales a nivel de bosque (en el primer dominio del bosque) y
3 por cada uno de los dominio del bosque:

 FSMO por bosque

o Schema Master
o Domain Naming Master

 FSMO por dominio

o PDC Emulator
o RID Master
o Infrastructure Master

La mayoría de estos roles se utilizan para tareas puntuales y en algunos

casos hasta podrían encontrarse fuera de línea sin derivar en demasiado
impacto, pero si por ejemplo al preparar Active Directory para Exchange, el
rol del esquema no se encuentra disponible, el proceso va a fallar.

Sitios de Active Directory

Un sitio de Active Directory representa la topología física de la red en el
directorio. Un sitio podría ser definido como un conjunto de subredes bien
conectadas.

Exchange utiliza sitios de Active Directory para localizar los DC/GC más
cercanos y para el ruteo de mensajes, esto es importante cuando tenemos
más de un sitio con servidores de Exchange instalados.

De forma predeterminada se crea el Default-First-Site-Name sin subredes

definidas lo que básicamente indicaría que toda la red está asociado a este
sitio. Si se cuenta con un único sitio esto podría ser suficiente.

De haber más de un sitio físico, por ejemplo un edificio principal y una oficina
remota conectada por un enlace lento sería posible definir un sitio de Active
Directory asociado a cada ubicación física y así los clientes o servicios que
dependen de Active Directory podrían encontrar los controladores de
dominio más cercanos.

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 25
 Mediante la configuración de sitios de Active Directory es posible optimizar
los procesos de replicación, autenticación y localización de servicios en la red.

La cantidad de sitios no tiene relación con la de dominios; un sitio podría

abarcar varios dominios (dentro de un mismo bosque) así como se podrían
utilizar múltiples sitios para un único dominio. El sitio tiene relación con la
estructura física de Active Directory mientras que el dominio con la
estructura lógica:

15

15
https://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 26
 DNS
DNS (Domain Name System) es un sistema de resolución de nombres. Si bien
este servicio aplica a una variedad de escenarios, como por ejemplo
navegación web, en esta oportunidad vamos a ver lo más pertinente en
relación a Active Directory y Exchange.

Active Directory depende de DNS y lo utiliza para todo lo referente a registro

de nombres, localización de servicios y resolución. Al día de hoy DNS es un
requerimiento básico, sin DNS no hay Active Directory y sin este no hay
Exchange.

DNS provee una base de datos jerárquica y escalable donde hosts (equipos
con TCP/IP) pueden consultar y actualizar sus registros

En un entorno con Active Directory se recomienda instalar el servicio de DNS

en un controlador de dominio. Esto es una excepción ya que en general la
recomendación es no instalar nada en un DC, pero el caso puntual de DNS
ofrece varias ventajas:

 Integración de información de zonas dentro de Active Directory (esto

implica que utilizaría el mismo mecanismo de replicación que el de
AD)
 No es necesario utilizar zonas primarias y secundarias. Las zonas
primarias son de lectura y escritura, las secundarias de solo lectura, si
hay un problema con la zona primaria no sería posible actualizar
registros
 Actualización dinámica y segura de registros en DNS

Cuando se instala un controlador de dominio se configuran una serie de

registros en DNS. Estos registros van más allá del típico registro A (que
resuelve nombre a IP), incluyendo registros SRV (Service Locator) utilizados
para localizar servicios en la red, por ejemplo para LDAP, Kerberos e
información específica de sitios entre otros.

Exchange utiliza estos servicios para localizar controladores de dominio /

catálogo global, información de sitios para ruteo de mail, autenticación, etc.

Algo fundamental en este aspecto es que tanto los controladores de dominio

como los servidores de Exchange deben estar configurados con las IP de los
DNS internos, en ningún caso se debe configurar un DNS externo (error
común cuando se intenta configurar resolución de nombres hacia Internet).

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 27
 Registros DNS
Exchange utiliza varios tipos de registros en DNS, algunos son utilizados
internamente, otros se utilizan a nivel externo por ejemplo para intercambiar
correo con otras organizaciones:

Registro A
El registro A se utiliza para resolver un nombre de host a su dirección IPv4.
Internamente en general los equipos registran automáticamente su nombre
dentro de la zona de dominio.

En el caso de Exchange puede ser necesario crear registros A explícitos en la

zona interna por cuestiones de configuración de certificados y servicios
específicos.

Este tipo de registro también es necesario en la zona externa de la

organización, por ejemplo para incluir un registro “mail.empresa.com”
apuntando a una IP pública.

Registro PTR
El registro PTR (Pointer) resuelve una dirección IP a un registro A (ej:
mail.dominio.com), a nivel de correo electrónico este podría ser chequeado
externamente cuando enviamos mail fuera de nuestra organización.

Por ejemplo, si el servidor de correo destino hace un consulta reversa al

nombre con el que se presentó nuestro servidor de envío (smarthost o
Exchange), este debería coincidir con la dirección IP utilizada, de lo contrario
podría derivar en el rechazo de correos de la organización.

Registro SRV
El registro SRV identifica servidores que proveen servicios específicos en la
red, por ejemplo los clientes utilizan registros SRV para localizar
controladores de dominio, GCs y en muchos casos configuración de
aplicaciones como Outlook o Activesync.

Registro MX
Para que una organización externa pueda enviarnos mail esta debe ser capaz
de localizarnos, para esto se utilizan registros MX (Mail Exchanger). Esto es
independiente a si usamos Exchange u otro tipo de servidor de correo.

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 28
 Este registro MX es utilizado por organizaciones externas y no lo precisamos
internamente. Del mismo modo cuando nuestra organización envía correo
debemos ser capaces de localizar un registro MX del dominio destino.

El registro MX debe apuntar a un registro de tipo “A” que a su vez apunta a

una dirección IP (se pueden usar alias o cname pero esto no es
recomendado).

En adición, los registros MX utilizan lo que se conoce como “preferencia”,

cuanto más bajo sea el número de preferencia, mayor prioridad tiene el
registro.

La preferencia puede ser utilizada para obtener balanceo y alta

disponibilidad a nivel de recepción de correo, por ejemplo se podría tener un
registro MX dedicado para un sitio principal y otro con menor prioridad
apuntando a una IP de contingencia como “backup”.

Si tenemos una pequeña organización con un único sitio y sin alta

disponibilidad, con un registro MX sería suficiente.

16

En general, en producción vamos a encontrar que los registros MX apuntan a

un registro A asociado a una IP pública en un firewall de frontera que
posteriormente hace NAT a un servidor corriendo software de antivirus
/antispam y configurado para reenviar todo mail entrante a nuestro
Exchange.

Como alternativa, en caso de no tener un servidor adicional para higiene de

transporte, el NAT podría estar configurado directo hacia el Exchange.

16
https://technet.microsoft.com/en-us/library/ff634392(v=exchg.141).aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 29
 Registro SPF
El registro SPF (Sender Policy Framework) es utilizado para indicar desde que
hosts nuestra organización podría enviar correo. De este modo una
organización destino podría verificar la IP desde la que se conecta nuestro
servidor de envío y en base a si existe un registro SPF y coincide o no con
nuestra IP que acción tomar.

Este tipo de registro es muy utilizado para evitar el spoofing de mails, por
ejemplo cuando se recibe spam desde direcciones supuestamente internas.

17

De tener un registro SPF configurado, cuando el servidor recibe este tipo de

correo, chequearía que la IP desde la que proviene no coincide con las
indicadas en el registro SPF y en base a esto dependiendo de la configuración
del filtro si lo rechaza o simplemente estampa el resultado para posterior
análisis.

Requerimientos de servicios
de infraestructura
Active Directory es el principal requerimiento para Exchange, lo que deriva
en que se dependa de DNS para la resolución de nombres, localización de
servicios, etc.

Nivel funcional
En Exchange 2013 como mínimo se debe contar con nivel funcional de
dominio y bosque en Windows Server 2003.

17
https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 30
 Los controladores de dominio en Windows Server 2003 deben estar
actualizados con Service Pack 2. Pueden existir distintas versiones de sistema
operativo en los DC, como por ejemplo DCs en 2003 y otros en 2008 R2, esto
no afecta a Exchange.

En el caso de Exchange 2016 el nivel funcional debe estar al menos en

Windows Server 2008.

A tener en consideración que no es posible utilizar RODC/GC (controlador de

dominio de solo lectura) para Exchange, es decir que requiere controladores
de dominio de lectura y escritura.

El nivel funcional de dominio y bosque no tiene relación con la versión de

sistema operativo soportado en los servidores de Exchange. Por ejemplo,
nivel funcional de dominio y bosque en 2003 indicaría que no se pueden
tener controladores de dominio con una versión anterior a 2003, pero si se
podría con una versión superior (solo aplica a la versión de sistema operativo
de los controladores de dominio).

El nivel funcional asegura que la funcionalidad del directorio se adecue al

nivel más compatible, es decir que si el nivel funcional se encuentra en 2003,
y se incluyen controladores de dominio en Windows Server 2012,
características como por ejemplo papelera de reciclaje de Active Directory no
podrían ser habilitadas ya que no se encuentran soportadas en
controladores de dominio anteriores a 2008 R2.

Incluso si todos los controladores de dominio corren una versión reciente de

sistema operativo pero el nivel funcional no fue elevado, las nuevas
características no van a estar disponibles.

Preparación de Active Directory

El primer paso antes de instalar Exchange es extender el esquema de Active
Directory. El usuario que ejecute esta tarea debe ser miembro del grupo de
administradores del esquema (schema admins).

La preparación de Active Directory abarca más que solo extender el esquema

y puede ser ejecutada de forma separada a la instalación de Exchange (por
línea de comando) o puede ser incluida como tarea inicial dentro del proceso
de instalación (de forma automática si se cuenta con los permisos
necesarios).

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 31
 A nivel macro, la preparación consiste en lo siguiente:

1. Extensión de esquema. En este paso extendemos el esquema de

Active Directory para agregar clases y atributos específicos de
Exchange.
2. Creación de contenedores en partición de configuración, asignación
de permisos, OU con grupos de seguridad, etc.
3. Preparación de cada dominio adicional que vaya a tener servidores de
Exchange u objetos habilitados para correo.

Instalar Exchange en un
controlador de dominio?
Instalar Exchange en un controlador de dominio tiene muchas limitantes,
principalmente desde el punto de vista de seguridad y rendimiento.

Exchange requiere Active Directory pero este requerimiento no implica que

se deba instalar en un servidor con el rol de controlador de dominio.

La recomendación es instalar Exchange en un servidor miembro del dominio.

En adición, suponiendo el escenario donde Exchange ya se encuentra

instalado en un servidor miembro, no es soportado promover este servidor a
controlador de dominio y lo mismo a la inversa, es decir, si se instala
Exchange sobre un controlador de dominio no estaría soportado que
posteriormente se despromueva el rol de DC (demote).

En caso de ser necesario cambiar el rol de un servidor con Exchange

instalado, el mecanismo soportado sería generar un nuevo servidor de
Exchange, mover toda la funcionalidad, información de buzones, etc y por
último desinstalar Exchange en el servidor original.

Arquitectura de roles
En Exchange 2007 y 2010 existían 5 roles, en Exchange 2013 esto se redujo a
los siguientes 3:

 Client Access
 Mailbox
 Edge Transport

Una instalación “típica” de Exchange 2013 incluiría los roles de Client Access y
Mailbox server. Esto se conoce como multirol.

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 32
 Estos roles podrían estar distribuidos en varios servidores de existir algún
requerimiento especifico. El punto es que para contar con una instalación
funcional es necesario contar con ambos roles, sea en un mismo servidor o
en servidores separados.

El rol de Mailbox incluye componentes que antes se encontraban en los roles

de Client Access, Hub Transport y Mensajería Unificada de Exchange 2010.
Este rol maneja toda la actividad referente a los buzones activos en el
servidor.

El rol de Client Access provee autenticación, servicios de proxy y redirección

en el caso mensajería unificada.

En Exchange 2013 CU4 (service pack 1) re aparece el rol de Edge Transport

(ya existía en Exchange 2007 y en 2010). Este rol en particular no puede ser
instalado junto a ningún otro y se recomienda que esté fuera de la red
interna (DMZ por ejemplo).

A continuación un diagrama de technet sobre la arquitectura de roles en

Exchange 2013:

18

En Exchange 2016 se continúa simplificando la arquitectura del producto al

punto de que el único rol que tenemos es el de Mailbox. Este rol consolida la
funcionalidad incluida en 2013 distribuida entre los roles de CAS y Mailbox
por lo que tanto acceso de clientes, bases de datos como transporte pasa
por el rol de Mailbox. Una instalación típica de Exchange 2016 sería
equivalente a un servidor multirol en Exchange 2013 (arquitectura
recomendada en esta versión).

En adición se mantiene el rol de Edge Transporte sin grandes cambios.

18
http://blogs.technet.com/b/exchange/archive/2013/01/23/exchange-2013-server-role-architecture.aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 33
 19

Independientemente de varias mejoras al producto, algo interesante para

quienes consideren actualizar de Exchange 2013 a Exchange 2016 es la
posibilidad de mantener publicado los servidores con el rol de CAS de 2013 y
que estos hagan de proxy hacia una base de datos en Exchange 2016.

Esto es importante y agiliza el proceso de actualización. En versiones

anteriores del producto o por ejemplo si actualizamos desde Exchange 2010,
uno de los primeros cambios que debemos realizar es cambiar la publicación
de los servicios de acceso de clientes (OWA, ActiveSync, Outlook Anywhere,
etc) para que pasen por la versión más nueva. Esto se debe a que
tradicionalmente la nueva versión es la que "sabe hablar" con la versión
anterior en adición a la propia.

En el caso de Exchange 2016 podemos agregar un nuevo servidor a la red,

mantener la publicación con servidores Exchange 2013, probar la
funcionalidad y paulatinamente a medida que avanza el proceso de
actualización ir reemplazando los 2013 con la nueva versión.

19
https://technet.microsoft.com/en-us/library/jj150491(v=exchg.160).aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 34
 Rol de Client Access
El rol de Client Access (CAS) en Exchange 2013 incluye componentes
relacionados con SMTP, ruteo de llamadas (mensajería unificada) y
protocolos de cliente. A diferencia de versiones anteriores, si se utiliza un
balanceador ya no es requerido mantener afinidad de la sesión.

Como se puede ver en el diagrama20, las conexiones de clientes OWA,

ActiveSync, Outlook (RPC/HTTPS), etc pasan por este rol:

El rol de Client Access de Exchange 2013 autentica y posteriormente cumple

la función de proxy hacia el servidor con el rol de Mailbox, Como excepción
tenemos el caso de mensajería unificada (UM) donde se hace una redirección
en lugar de proxy.

En adición, encontramos el servicio de Front End Transport, este servicio es el

que publicaríamos hacia Internet para recepción de correo (si no tenemos un
servidor de Edge o algún otro tipo de smarthost en DMZ).

El rol de Acceso de clientes no encola mails, es decir que si el servidor de

Mailbox se encuentra fuera de servicio, la recepción de correo externo (entre
otras cosas) fallaría.

Dado que en general la función del CAS es la de hacer de proxy hacia el

servidor con el rol de Mailbox, si este último se encuentra fuera de servicio el
tener accesible el servidor con el rol de Client Access no aportaría nada.

En el caso de Exchange 2016 no es posible separar la instalación de este rol y

pasa a ser a una serie de servicios incluidos en el de Mailbox, por fuera de
esto la función conceptualmente es la misma e incluso si luego de instalado
vemos los roles de un servidor con Exchange 2016 vemos que también figura
como Client Access.

20
http://blogs.technet.com/b/exchange/archive/2013/01/25/exchange-2013-client-access-server-role.aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 35
 21

Como se puede observar en el diagrama, el protocolo utilizado por el cliente

es el mismo que se utiliza para hacer de proxy desde los servicios de front
end (CAS) a los de Backend (mailbox). Es decir que si un cliente se conecta
por HTTP al CAS, este posteriormente hace proxy utilizando HTTP hacia el
servidor con la base activa utilizando también HTTP. Lo mismo aplica a IMAP
y POP. Claro que esto no sucede en texto plano sino que la comunicación es
encriptada.

En el caso particular de mensajería unificada se realiza una redirección en

lugar de proxy.

Para ofrecer alta disponibilidad podemos instalar el rol en múltiples

servidores utilizando algún mecanismo de balanceo como NLB (no soportado
en Exchange 2016), DNS Round Robin, HLB, etc.

Rol de Mailbox
En el rol de Mailbox se alojan las bases y es donde se realiza el
procesamiento de datos.

En adición, se incluyen componentes de transporte; por un lado servicios

para interactuar con la base de datos y por otro para hacerlo con el servicio
de Front End del Client Access y otros servidores de Mailbox.

21
https://technet.microsoft.com/en-us/library/jj150491(v=exchg.160).aspx

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 36
 A diferencia de la entrada de mail, de forma predeterminada al crear un
conector de envío, el rol que realiza la conexión es el de Mailbox. Esto en el
caso de un servidor multirol o con Exchange 2016 no cambia la ecuación ya
que siempre sería el mismo servidor.

En Exchange 2013 para utilizar al Client Access como proxy es necesario

modificar las propiedades del conector (si tenemos los roles separados no
sería un dato menor ya que la IP del servidor que envía debe estar habilitada
en el firewall).

En el siguiente diagrama22 se puede ver la interacción:

En lo que respecta a alta disponibilidad y contingencia tenemos como

componente central al DAG23 (Database Availability Group).

Un DAG agrupa lógicamente servidores con el rol de Mailbox con la finalidad

de replicar bases de datos mediante log shipping asincrónico.

Si bien se introducen varias mejoras en Exchange 2013 en relación a

Exchange 2010, en el caso de 2016 no hay grandes cambios aunque se
optimiza en varios aspectos la replicación y los tiempos asociados a failover y
activación de bases.

22
https://technet.microsoft.com/en-us/library/aa996349(v=exchg.150).aspx
23
http://aprendiendoexchange.com/dag-en-exchange-introduccion

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 37
 Rol de Edge Transport
Este es un rol opcional e incluso puede utilizarse alguna alternativa para
cumplir la función. El rol está diseñado para trabajar en DMZ y manejar lo
referente a ruteo de correo externo e higiene de mensajes.

En este rol se incluyen las mismas características antispam que en el rol de

Mailbox de Exchange así como algunas adicionales como agentes de filtrado
de conexiones y adjuntos. En adición, cuenta con agente de reescritura de
direcciones de correo para el caso que aplique. Este es el único rol de
Exchange que no requiere Active Directory.

El objetivo del rol de Edge Transport es incrementar el nivel de seguridad del

correo, en primera instancia cumpliendo con algo muy requerido como es el
hecho de que un servidor externo no se conecte directamente con uno
interno sino que realice una conexión a nuestra zona perimetral y
posteriormente el servidor de Edge se conecte a nuestros servidores con el
rol de Mailbox.

A simple vista podríamos decir que el rol de Edge Transport es un simple

smarthost pero entre otras cosas nos habilita a sincronizar información de
configuración interna como por ejemplo dominios de correo de la
organización, información de destinatarios como remitentes seguros (safe
senders) mediante safelist aggregation y de este modo disminuir la chance
de falsos positivos.

Próximos pasos
Por feedback sobre el ebook o el sitio en general podes escribir a
admin@aprendiendoexchange.com.

Por capacitación en Exchange podes consultar los cursos disponibles del

sitio.

Enlaces útiles
A continuación incluyo enlaces útiles para continuar con el trabajo sobre
Exchange:

Preparación de Active Directory

 http://aprendiendoexchange.com/preparacion-de-active-directory-
para-exchange-2013
 http://aprendiendoexchange.com/preparacion-de-active-directory-
exchange-2016

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 38
 Instalación

 http://aprendiendoexchange.com/como-instalar-exchange-2013
 http://aprendiendoexchange.com/instalacion-de-exchange-2016

Análisis de mejores prácticas

 http://aprendiendoexchange.com/mejores-practicas-en-exchange-
2013

Creación de nueva base de datos

 http://aprendiendoexchange.com/como-crear-una-base-de-datos-en-
exchange-2013

Alta disponibilidad

 http://aprendiendoexchange.com/dag-en-exchange-introduccion

Tipos de buzones

 http://aprendiendoexchange.com/tipos-de-buzones-en-exchange-
2013

Agregar nuevo dominio de correo

 http://aprendiendoexchange.com/como-agregar-un-nuevo-dominio-
de-correo-en-exchange-parte-1

Certificados

 http://aprendiendoexchange.com/certificados-en-exchange-2013

Instalación de filtros antispam

 http://aprendiendoexchange.com/como-instalar-los-filtros-anti-spam-
en-exchange-2013

Configuración de conector de envío a internet

 http://aprendiendoexchange.com/configurar-el-envio-de-correo-a-
internet-en-exchange-2013

Respaldo

 http://aprendiendoexchange.com/como-respaldar-las-bases-de-
exchange-2013-con-windows-server-backup

Restauración

 http://aprendiendoexchange.com/como-restaurar-una-base-de-datos-
de-exchange-2010-2013-con-wsb

© 2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P á g i n a | 39