Fundamentos de

Exchange Server

Versin: 2013 / 2016

Daniel Nez Banega

MCT / MCSE / MCSA / MCITP
 Contenido
Introduccin ............................................................................................................................. 2
Ediciones de Exchange .......................................................................................................... 3
Licencia de clientes (CAL) ..................................................................................................... 3
Sistemas operativos soportados ....................................................................................... 5
Mejoras en Exchange 2013 / 2016 ...................................................................................... 6
Coexistencia ........................................................................................................................... 18
Hardware ................................................................................................................................. 18
Active Directory Domain Services ................................................................................... 20
Dominio .................................................................................................................... 20
rbol de dominios.................................................................................................. 21
Bosque de Active Directory ................................................................................. 21
Particiones del directorio .................................................................................... 22
Catlogo Global ...................................................................................................... 23
Replicacin .............................................................................................................. 24
Roles maestros (FSMO) ......................................................................................... 25
Sitios de Active Directory .................................................................................... 25
DNS ............................................................................................................................................ 27
Registros DNS ......................................................................................................... 28
Requerimientos de servicios de infraestructura ....................................................... 30
Nivel funcional ....................................................................................................... 30
Preparacin de Active Directory........................................................................ 31
Instalar Exchange en un controlador de dominio? ................................................... 32
Arquitectura de roles .......................................................................................................... 32
Rol de Client Access ............................................................................................... 35
Rol de Mailbox ........................................................................................................ 36
Rol de Edge Transport ........................................................................................... 38
Prximos pasos...................................................................................................................... 38
Enlaces tiles .......................................................................................................... 38

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Pgina |1
 Introduccin
Empresas de mediano y gran porte utilizan Active Directory y Exchange
Server. Independientemente de si utilizan el correo en la nube, entorno
hibrido o cuentan con una instalacin local, el producto de correo electrnico
por excelencia es Microsoft Exchange.

Comprender como funciona, donde almacena la informacin y cules son

sus dependencias es crtico para implementar o administrar la plataforma
correctamente.

Dada la similitud entre Exchange 2013 y Exchange 2016, lo mencionado en

este documento aplica a ambas versiones salvo los casos en donde se
especifique.

Estas versiones son tan similares que si vemos el nmero de build vamos a
encontrar que mientras Exchange 2010 se corresponde al nmero
14.xx.xxx.xxx (donde la segunda xx indica el Service Pack), Exchange 2013 al
15.00.xxx.xxx, en el caso de Exchange 2016 vemos 15.01.xxx.xxx (similar a un
Service Pack en Exchange 2010).

Por fuera de lo anecdtico, a partir de Exchange 2013 incluyendo Exchange

2016, las actualizaciones vienen en forma de CU (Cumulative Update) y ya no
contamos con Service Packs (SP) o Rollup Updates (RU).

En este ebook "Fundamentos de Exchange server" vamos a ver conceptos

introductorios incluyendo versiones, caractersticas, requerimientos,
arquitectura y su relacin con Active Directory de tal forma de "nivelar" y
generar cimientos que habiliten a pasar a temas ms avanzados a futuro.

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Pgina |2
 Ediciones de Exchange
Exchange 2013 / 2016 se encuentran disponibles en 2 ediciones; Standard y
Enterprise.

En ambos casos el medio de instalacin es el mismo, la diferencia se

encuentra en la clave del producto que vara en funcin a la versin
adquirida. Esta clave es la que determina que edicin se activa.

El utilizar la versin Standard o Enterprise de Exchange depende de la

cantidad de base de datos requeridas por servidor (incluyendo activas y
pasivas):

Exchange 2013 / 2016 Standard mximo 5 bases

Exchange 2013 / 2016 Enterprise mximo 100 bases

A diferencia de otras versiones de Exchange y al igual que en el caso de

Exchange 2010, la nica diferencia entre las 2 ediciones es la cantidad de
bases de datos, desde el punto de vista de caractersticas, clientes o alta
disponibilidad ambas cuentan con la misma funcionalidad.

Licencia de clientes (CAL)

En adicin a las ediciones de servidor de Exchange tenemos 2 tipos de
licencia de cliente (CAL: Client Access License):

Exchange Server Standard CAL

Exchange Server Enterprise CAL

Cada usuario con buzn requiere una CAL standard, opcionalmente y de

forma adicional se puede agregar la Enterprise CAL.

La Enterprise CAL (eCAL) habilita mayor funcionalidad como por ejemplo

administracin avanzada de dispositivos mviles, mensajera unificada o
buzn de archivado.

En la siguiente tabla 1se pueden ver las caractersticas incluidas dentro de la

CAL Standard y que es lo agrega la Enterprise:

1
https://products.office.com/es-es/exchange/microsoft-exchange-server-licensing-licensing-overview

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Pgina |3
 La CAL que utiliza el cliente no tiene relacin con la edicin que utiliza el
servidor, esto se presta muchas veces a la confusin, es decir que puedo
utilizar Exchange Server Enterprise y contar nicamente con CAL Standard
para los usuarios.

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Pgina |4
 Adicionalmente es posible contar con usuarios que cuentan con CAL
Enterprise (en adicin a la Standard) porque requieren cierta funcionalidad
que otros usuarios no necesitan. En este caso se debe tener en cuenta el
costo adicional de esta licencia, por este motivo es usual encontrar que
usuarios VIP tengan este tipo de licencia mientras que usuarios comunes
solo cuenten con la Standard.

Sistemas operativos
soportados
La versin actual de Exchange 2013 (CU13 al momento de escribir el ebook)
corre sobre las siguientes versiones de sistema operativo:

Windows Server 2008 R2 SP1

Windows Server 2012
Windows Server 2012 R2

En el caso de Exchange 2016 (CU2 al momento):

Windows Server 2012

Windows Server 2012 R2

Ms all de las ventajas incluidas en las versiones ms nuevas de Windows

podramos decir que la que ms aporta es la posibilidad de implementar alta
disponibilidad con la versin Standard de Windows Server 2012 o 2012 R2.

En el caso de Windows Server 2008 R2 SP1 sera necesario la versin

Enterprise ya que en la Standard no se incluyen los componentes de
clustering (dependencia del DAG).

Independientemente de la versin de sistema operativo no es posible

instalar sobre Server Core, la instalacin debe ser completa (con GUI).

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Pgina |5
 Mejoras en Exchange 2013 /
2016
Exchange 2013 /2016 incluyen varias mejoras, algunas muy tcnicas y que a
simple vista no tienen impacto, otras ms visibles ya que interactuamos de
forma ms directa, dentro de estas ltimas se destacan las siguientes:

Nueva interfaz administrativa

Desaparece la Exchange Management Console (EMC) utilizada desde
Exchange 2007 y se introduce el Exchange Admin Center (EAC).

La nueva interfaz de administracin es web y aunque en primera instancia

esto pueda resultar como algo negativo es cuestin de adaptarse, trabajar
con el EAC es mucho ms gil que con la EMC, en adicin puede ser accedida
desde cualquier lado a diferencia de la EMC que requera instalar las
herramientas administrativas o iniciar una sesin de terminal en el servidor.

2
https://technet.microsoft.com/en-us/library/jj150562(v=exchg.150).aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Pgina |6
 Outlook Web App (Exchange 2013)
OWA es rediseado y optimizado para tablets y smartphones en adicin a
equipos de escritorio y laptops.

Dentro de las nuevas caractersticas una muy importante es la posibilidad de

utilizar OWA sin conexin (se debe utilizar un navegador soportado). Con
OWA fuera de lnea se pueden realizar las tareas ms comunes, estas
posteriormente son sincronizadas con el servidor una vez reanudada la
conexin.

Si bien existen limitantes, las caractersticas principales como lectura, edicin,

envo / respuesta de correo, acceso al calendario y contactos se encuentran
disponibles.

3
http://blogs.technet.com/b/exchange/archive/2012/08/02/the-new-owa-rocks-tablets-and-phones.aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Pgina |7
 Outlook on the Web (Exchange 2016)
En adicin a los cambios incluidos en Exchange 2013, en el caso de Exchange
2016 se mejora la interfaz brindando una mejor experiencia para dispositivos
con Android e IOS entre otros.

Entre las principales mejoras en Outlook on the Web encontramos:

Calendario
Integracin de contactos con linkedin
Bsquedas mejoradas
Nuevos temas
Opciones de OWA (opciones no incluidas en versiones anteriores)
Organizacin mejorada (Pins y banderas)
Rendimiento
Panel de acciones

En adicin, caractersticas de embebido de videos y URLs en el cuerpo del

mensaje:

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Pgina |8
 Mayor integracin con Sharepoint con buzones
de sitio
En Exchange 2013 se introduce un nuevo tipo de buzn site mailbox. El site
mailbox habilita a que se almacene la informacin de correo electrnico en la
base de datos de Exchange mientras que toda la parte de documentos en
Sharepoint. Esto permite aprovechar caractersticas de versionado entre
otras cosas.

Los usuarios fcilmente pueden arrastrar documentos desde Outlook 2013 /

2016:

4
http://blogs.technet.com/b/exchange/archive/2012/08/22/site-mailboxes-in-the-new-office.aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s Pgina |9
 Del mismo modo es posible acceder a correos relacionados a un proyecto en
contexto, desde Outlook o Sharepoint. Si bien desde el punto de vista de
interfaz de usuario el contenido est en un mismo lugar, mediante site
mailboxes es posible almacenar cada tipo de elemento en el store ms
optimizado para la tarea.

En el caso especfico de Exchange 2016 con Sharepoint 2016 se permite

adjuntar y compartir documentos almacenados en OneDrive for business de
manera similar a como se da en Office 365. En complemento es posible la
instalacin de Office Online Server para mejorar la experiencia a nivel de
manejo de documentos desde OWA.

5
https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 10
 Carpetas pblicas modernas
Desaparece la base pblica de versiones anteriores y se introduce el buzn
de carpetas pblicas Public Folder Mailbox. Esto implica que se almacene
como un buzn ms dentro de la base de datos de Exchange y su
informacin pueda ser replicada dentro de un DAG.

Una de las grandes ventajas de esto es no tener que manejar bases pblicas
de un gran tamao sino que es posible dividir la informacin en varios
buzones y ubicarlos en la base de datos que tenga ms sentido (por ejemplo
desde el punto de vista de proximidad).

En el caso particular de Exchange 2016 se integran las caractersticas de

eDiscovery con las carpetas pblicas de tal forma de realizar bsquedas
centralizadas y mantener informacin en base a tiempo u otro tipo de
consultas.

En adicin se agregan comandos especficos orientados al cumplimiento de

normas *-ComplianceSearch.

6
http://blogs.technet.com/b/exchange/archive/2014/08/26/public-folder-updates-in-cu6-improving-scale-and-more.aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 11
 Disponibilidad administrada (Managed
Availability)
Con Managed Availability se incluye monitoreo de los componentes internos
y caractersticas de recuperacin con foco en la experiencia de usuario. Este
servicio monitorea la salud de los componentes y dependiendo del caso
puede reiniciar un servicio, application pool, servidor completo o escalar a un
administrador:

7
https://technet.microsoft.com/en-us/library/dn482056(v=exchg.150).aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 12
 Prevencin de prdida de datos (DLP)
Mediante el uso de DLP es posible reducir el riesgo de exposicin de datos
confidenciales. Por ejemplo detectar si un correo incluye nmeros de tarjetas
de crdito y advertir con un Policy Tip (similar al mailtip).

En Exchange 2016 se incluyen nuevas condiciones, acciones y ms de 80

tipos de datos para ser utilizados en polticas de DLP como por ejemplo:

Credit Card Number

International Banking Account Number (IBAN)
SWIFT Code
U.S. Bank Account Number

En adicin se pueden adquirir plantillas de terceros o generar

personalizadas.

8
https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 13
 Distintos patrones pueden ser identificados independientemente de si se
encuentran en el cuerpo del mensaje o dentro de algn adjunto:

9
https://blogs.office.com/2013/10/28/office-365-compliance-controls-data-loss-prevention/

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 14
 MAPI sobre HTTP
MAPI sobre HTTP es un nuevo protocolo de transporte utilizado por Outlook
para conectarse con Exchange. Este mecanismo es introducido en Exchange
2013 SP1 (CU4) con la idea de reemplazar a futuro RPC sobre HTTP conocido
como Outlook Anywhere.

MAPI sobre HTTP utiliza una nueva arquitectura simplificada, diseada para
mejorar la experiencia del usuario. La principal ventaja es a nivel de tiempos
de conexin y reconexin al cambiar de redes o por ejemplo cuando un
equipo sale de un estado de hibernacin.

En Outlook Anywhere se da una doble encapsulacin; MAPI dentro de RPC y

este dentro de HTTP, en el nuevo protocolo esto es ms directo ya que hay
una encapsulacin simple: MAPI dentro de HTTP.

En el siguiente diagrama se puede ver grficamente este cambio:

10

En Exchange 2016 es el protocolo predeterminado aunque en estado de

coexistencia con Exchange 2013, dependiendo de la configuracin podra no
estar habilitado.

10
https://blogs.technet.microsoft.com/exchange/2014/05/09/outlook-connectivity-with-mapi-over-http/

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 15
 Tabla comparativa de caractersticas
A continuacin una tabla comparativa entre las caractersticas de Exchange
2007, 2010 y 2013 (tambin aplica a 2016 aunque no incluye todo):

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 16
 11

11
https://products.office.com/es-es/exchange/compare-microsoft-exchange-server-versions

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 17
 Coexistencia
Dependiendo de si instalamos Exchange 2013 o Exchange 2016 en una
organizacin existente tenemos distintos requerimientos a nivel de
coexistencia.

Exchange 2013 puede coexistir con las siguientes versiones (con las
actualizaciones correspondientes a nivel de RU):

Exchange 2007 SP3 + RU

Exchange 2010 SP3 + RU

En el caso de Exchange 2016 se puede coexistir con:

Exchange 2010 SP3 + RU

Exchange 2013 CU10 o superior

En adicin es posible tener una combinacin de versiones en la organizacin.

En caso de estar actualizando desde Exchange 2003 a Exchange 2013 o

Exchange 2016 tenemos las siguientes alternativas:

1. Actualizar primero a 2007 o 2010 (dependiendo de si vamos a 2013 o

2016 podra ser necesario pasar a 2010)
2. Contar con un bosque nuevo con una organizacin en la nueva
versin y realizar una migracin entre bosques

Sin lugar a dudas la opcin 1 es la ms sencilla y es el camino a seguir en la

mayora de los casos.

Hardware
A nivel de hardware tanto Exchange 2013 como Exchange 2016 son
aplicaciones de 64 bits y requieren procesadores tipo AMD64 o x64 Intel
(EM64T). Procesadores Itanium IA64 no se encuentran soportados.

Los requerimientos mnimos son muy bsicos:

Procesador de 64 bits
8GB de RAM para un servidor con el rol de Mailbox o multirol
(Exchange 2013)
4GB si se separa el rol de CAS (Exchange 2013) o en caso de Edge
30 GB de espacio en disco en la unidad de instalacin de Exchange
200 MB libres en la unidad de sistema
500 MB por cada paquete de lenguaje (UM) a instalar

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 18
 500 MB de espacio libre en la unidad donde se encuentre alojada la
base de transporte
Archivo de paginacin igual a la cantidad de RAM + 10MB hasta
32778MB en caso de superar los 32 GB de RAM

A nivel de particionamiento es requerido utilizar NTFS y para el caso puntual

de particiones conteniendo bases o logs de transacciones tambin es
soportado el uso de ReFS.

En cuanto al formato de las particiones con bases o logs es recomendado

utilizar un tamao de cluster de 64k.

Ms all de los requerimientos mnimos de hardware que podran ser

suficientes para un ambiente de testing, el dimensionamiento de Exchange
implica considerar:

Arquitectura de servidores con el rol de Catlogo Global

Utilizacin de servidores fsicos o virtualizados
Requerimientos de alta disponibilidad / contingencia
Arquitectura de roles (Exchange 2013)
Aplicaciones de terceros
Perfiles de usuario de mensajera
o Cantidad de usuarios
o Cuotas de buzn
o Requerimientos de retencin
Requerimientos de Backup
Cantidad y tamao de bases de datos (relacionado a la edicin de
Exchange a utilizar)

Los puntos listados son algunos de los aspectos a tener en mente.

El dimensionamiento de Exchange no es tan simple como multiplicar cuota

de buzn (tamao mximo) por cantidad de usuarios sino que hay varios
factores a tener en cuenta. Esta es una etapa fundamental en todo proyecto
de implementacin de Exchange.

En este sentido es recomendable utilizar la calculadora de requerimientos de

Exchange, esta herramienta es una planilla de excel12 que cuenta con varias
hojas, incluyendo una para entrada de datos del ambiente especfico y otras
que incluyen los resultados, recomendaciones, requerimientos, cantidad de
servidores, bases de datos y estrategia de respaldos entre otros.

12
https://gallery.technet.microsoft.com/office/Exchange-2013-Server-Role-f8a61780

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 19
 Active Directory Domain
Services
A partir de Windows Server 2008 Active Directory abarca un conjunto de
productos o servicios:

Active Directory Domain Services (ADDS)

Active Directory Lightweight Directory Services (ADLDS)
Active Directory Federation Services (ADFS)
Active Directory Rights Management Services (ADRMS)
Active Directory Certificate Services

Independientemente de esto, en general cuando se habla de Active Directory

o Directorio Active sin especificar se hace referencia a Active Directory
Domain Services.

Servicios de dominio de Active Directory

Active Directory Domain Services es un servicio de directorio que permite
almacenar y administrar informacin de usuarios, computadoras,
impresoras, aplicaciones y otros objetos de la red de forma centralizada y
segura.

Desde Exchange 2000 Active Directory es el servicio de directorio utilizado

por Exchange. En Active Directory se almacena informacin de configuracin
y destinatarios de correo.

Cada vez que Exchange requiere informacin de configuracin o sobre algn

destinatario consulta Active Directory, si este no se encuentra disponible
Exchange no va a funcionar correctamente.

Debido a la fuerte integracin de Exchange con Active Directory es

importante entender los conceptos ms bsicos en relacin a su interaccin
con el directorio, donde almacena informacin y que componentes requiere.

Dominio
Un dominio de Active Directory es un contenedor lgico utilizado para
administrar usuarios, grupos y computadoras entre otros objetos.

Todos estos objetos son contenidos en una particin especfica dentro de la

base de datos de AD DS. Cada servidor con el rol de controlador de dominio
almacena una copia de esta base.

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 20
 Un dominio de Active Directory funciona como una frontera de replicacin,
cuando se realizan modificaciones, los controladores de dominio replican el
cambio de tal forma de mantener sincronizada la base.

rbol de dominios
Un rbol de dominios (tree) es una coleccin de uno o ms dominios que
comparten un espacio de nombre contiguo. Por ejemplo si el primer dominio
se llama contoso.com y tiene un subdominio, este sera
subdominio.contoso.com.

En un bosque de Active Directory pueden existir mltiples rboles de

dominio.

Bosque de Active Directory

En Active Directory el bosque (forest) es una coleccin de uno o ms
dominios que comparten una misma estructura lgica, catlogo global,
esquema y configuracin.

Todos los dominios del bosque cuentan con relaciones de confianza

automticas de 2 vas y transitivas.

El bosque representa una instancia completa del directorio y una frontera de

seguridad.

En el diagrama a continuacin vemos un bosque compuesto por un rbol

con un dominio raz y 2 subdominios. Las OU representan contenedores
utilizados con el propsito de organizar y administrar los objetos de forma
eficiente:

13

13
https://technet.microsoft.com/en-us/library/cc756901(v=ws.10).aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 21
 Exchange tiene una relacin 1:1 con el bosque de Active Directory, esto
significa que un bosque solo puede tener una organizacin de Exchange y
una organizacin no puede expandirse ms all del bosque.

Particiones del directorio

La informacin en la base de datos de Active Directory es almacenada en
particiones. Estas particiones almacenan distintos tipos de informacin y
actan como unidades de replicacin.

Particin de Dominio
En esta particin se almacena informacin de usuarios, grupos,
computadoras, OU. Esta particin es replicada entre todos los controladores
de dominio del dominio.

Un conjunto parcial de atributos se replica a todos los controladores de

dominio del bosque con el rol de catlogo global.

Especficamente en relacin a Exchange en la particin de dominio se

almacena informacin de destinatarios, por ejemplo:

Usuarios con buzn

Usuarios habilitados para correo
Carpetas pblicas habilitadas para correo
Contactos habilitados para correo
Grupos de distribucin (sean dinmicos, de seguridad o distribucin)

Particin de Configuracin
En la particin de configuracin se almacena informacin global de
configuracin, por ejemplo configuracin de sitios de Active Directory, PKI y
Exchange entre otros. Esta particin es replicada entre todos los
controladores de dominio del bosque.

En relacin a Exchange encontramos prcticamente toda la configuracin;

informacin de base de datos, conectores, servidores, protocolos, etc.

Particin de Esquema
En el esquema es donde se definen las clases y atributos de los objetos que
podemos tener en el directorio. Este esquema es extensible y es lo primero
que debemos preparar antes de instalar Exchange. El esquema es nico por
bosque y es replicado entre todos los controladores de dominio.

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 22
 Particin de Aplicacin
En adicin tenemos particiones de aplicacin. Si bien Exchange no almacena
informacin en este tipo de particin, en general se utilizan a nivel de DNS,
servicio en el cual Active Directory depende y en consecuencia Exchange.

Catlogo Global
El Global Catalog (GC) es una copia parcial de solo lectura que contiene
informacin de los atributos ms utilizados de todos los objetos del bosque.

Entre otras cosas en lugar de tener que consultar DC por DC de cada dominio
(de contar con ms de uno) permite acelerar las bsquedas en el bosque
consultando directamente al GC ya que tiene informacin de todos los
objetos (funcionando como un ndice).

En adicin, la membresa de grupos universales se almacena en el Catlogo

Global. Exchange desde la versin 2007 no permite la creacin de grupos no
universales para correo. Durante el perodo de coexistencia con una versin
anterior sera posible la utilizacin de este tipo de grupos pero una vez
finalizada esta etapa, estos grupos deben ser modificados para ser
administrados por la nueva versin.

Independientemente de si se utiliza un bosque con un nico dominio o con

mltiples dominios, Exchange consulta al GC.

Todo Catlogo Global es controlador de dominio, mientras que no todo

controlador de dominio es GC. Dependiendo de la cantidad de servidores,
dominios, etc cul sera la recomendacin respecto a la ubicacin de los
controladores con rol de GC.

En el escenario ms usual, donde encontramos un bosque compuesto por un

nico dominio, la recomendacin en general es que todos los controladores
de dominio sean Catlogo Global.

En el siguiente diagrama tenemos un bosque compuesto por 4 dominios; el

dominio raz y 3 subdominios. Si por ejemplo examinamos la base de datos
(ntds.dit) de un controlador de dominio del dominio A encontramos la
particin de dominio (A), configuracin y esquema, si el controlador de
dominio es adems catlogo global tendra las mismas 3 particiones ms una
rplica parcial de las particiones de los dominios B, C y D:

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 23
 14

En adicin a Exchange, el catlogo global es crtico para otro tipo de

escenarios, quizs el ms bsico sea el inicio de sesin de los usuarios.

Dada la criticidad de este servicio se recomienda que existan al menos 2 DC

con el rol de GC y que al menos exista 1 GC en cada sitio donde se encuentre
un servidor con Exchange instalado.

Replicacin
Los controladores de dominio utilizan un modelo de replicacin multimaster,
es decir que podemos realizar cambios en cualquier controlador de dominio
y estos posteriormente sern sincronizados entre s.

A partir de 2008 se incluye un tipo de controlador de dominio de solo lectura:

RODC (Read Only Domain Controller), el cual a su vez puede funcionar como
catlogo global.

En lo referente a Exchange lo que se debe tener en cuenta es que este tipo

de controlador de dominio no est soportado, puede existir en la red pero al

14
https://technet.microsoft.com/en-us/library/how-global-catalog-servers-work(v=ws.10).aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 24
 menos un controlador de dominio de lectura y escritura debe estar
funcionando.

Roles maestros (FSMO)

Si bien Active Directory utiliza un modelo multimaster de replicacin, existen
operaciones especficas que dependen de un controlador de dominio con un
rol especfico. De forma predeterminada estos roles son asignados al primer
DC del bosque.

En Active Directory tenemos 5 roles maestros (FSMO: Flexible Single Master

Operations); 2 globales a nivel de bosque (en el primer dominio del bosque) y
3 por cada uno de los dominio del bosque:

FSMO por bosque

o Schema Master
o Domain Naming Master

FSMO por dominio

o PDC Emulator
o RID Master
o Infrastructure Master

La mayora de estos roles se utilizan para tareas puntuales y en algunos

casos hasta podran encontrarse fuera de lnea sin derivar en demasiado
impacto, pero si por ejemplo al preparar Active Directory para Exchange, el
rol del esquema no se encuentra disponible, el proceso va a fallar.

Sitios de Active Directory

Un sitio de Active Directory representa la topologa fsica de la red en el
directorio. Un sitio podra ser definido como un conjunto de subredes bien
conectadas.

Exchange utiliza sitios de Active Directory para localizar los DC/GC ms

cercanos y para el ruteo de mensajes, esto es importante cuando tenemos
ms de un sitio con servidores de Exchange instalados.

De forma predeterminada se crea el Default-First-Site-Name sin subredes

definidas lo que bsicamente indicara que toda la red est asociado a este
sitio. Si se cuenta con un nico sitio esto podra ser suficiente.

De haber ms de un sitio fsico, por ejemplo un edificio principal y una oficina

remota conectada por un enlace lento sera posible definir un sitio de Active
Directory asociado a cada ubicacin fsica y as los clientes o servicios que
dependen de Active Directory podran encontrar los controladores de
dominio ms cercanos.

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 25
 Mediante la configuracin de sitios de Active Directory es posible optimizar
los procesos de replicacin, autenticacin y localizacin de servicios en la red.

La cantidad de sitios no tiene relacin con la de dominios; un sitio podra

abarcar varios dominios (dentro de un mismo bosque) as como se podran
utilizar mltiples sitios para un nico dominio. El sitio tiene relacin con la
estructura fsica de Active Directory mientras que el dominio con la
estructura lgica:

15

15
https://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 26
 DNS
DNS (Domain Name System) es un sistema de resolucin de nombres. Si bien
este servicio aplica a una variedad de escenarios, como por ejemplo
navegacin web, en esta oportunidad vamos a ver lo ms pertinente en
relacin a Active Directory y Exchange.

Active Directory depende de DNS y lo utiliza para todo lo referente a registro

de nombres, localizacin de servicios y resolucin. Al da de hoy DNS es un
requerimiento bsico, sin DNS no hay Active Directory y sin este no hay
Exchange.

DNS provee una base de datos jerrquica y escalable donde hosts (equipos
con TCP/IP) pueden consultar y actualizar sus registros

En un entorno con Active Directory se recomienda instalar el servicio de DNS

en un controlador de dominio. Esto es una excepcin ya que en general la
recomendacin es no instalar nada en un DC, pero el caso puntual de DNS
ofrece varias ventajas:

Integracin de informacin de zonas dentro de Active Directory (esto

implica que utilizara el mismo mecanismo de replicacin que el de
AD)
No es necesario utilizar zonas primarias y secundarias. Las zonas
primarias son de lectura y escritura, las secundarias de solo lectura, si
hay un problema con la zona primaria no sera posible actualizar
registros
Actualizacin dinmica y segura de registros en DNS

Cuando se instala un controlador de dominio se configuran una serie de

registros en DNS. Estos registros van ms all del tpico registro A (que
resuelve nombre a IP), incluyendo registros SRV (Service Locator) utilizados
para localizar servicios en la red, por ejemplo para LDAP, Kerberos e
informacin especfica de sitios entre otros.

Exchange utiliza estos servicios para localizar controladores de dominio /

catlogo global, informacin de sitios para ruteo de mail, autenticacin, etc.

Algo fundamental en este aspecto es que tanto los controladores de dominio

como los servidores de Exchange deben estar configurados con las IP de los
DNS internos, en ningn caso se debe configurar un DNS externo (error
comn cuando se intenta configurar resolucin de nombres hacia Internet).

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 27
 Registros DNS
Exchange utiliza varios tipos de registros en DNS, algunos son utilizados
internamente, otros se utilizan a nivel externo por ejemplo para intercambiar
correo con otras organizaciones:

Registro A
El registro A se utiliza para resolver un nombre de host a su direccin IPv4.
Internamente en general los equipos registran automticamente su nombre
dentro de la zona de dominio.

En el caso de Exchange puede ser necesario crear registros A explcitos en la

zona interna por cuestiones de configuracin de certificados y servicios
especficos.

Este tipo de registro tambin es necesario en la zona externa de la

organizacin, por ejemplo para incluir un registro mail.empresa.com
apuntando a una IP pblica.

Registro PTR
El registro PTR (Pointer) resuelve una direccin IP a un registro A (ej:
mail.dominio.com), a nivel de correo electrnico este podra ser chequeado
externamente cuando enviamos mail fuera de nuestra organizacin.

Por ejemplo, si el servidor de correo destino hace un consulta reversa al

nombre con el que se present nuestro servidor de envo (smarthost o
Exchange), este debera coincidir con la direccin IP utilizada, de lo contrario
podra derivar en el rechazo de correos de la organizacin.

Registro SRV
El registro SRV identifica servidores que proveen servicios especficos en la
red, por ejemplo los clientes utilizan registros SRV para localizar
controladores de dominio, GCs y en muchos casos configuracin de
aplicaciones como Outlook o Activesync.

Registro MX
Para que una organizacin externa pueda enviarnos mail esta debe ser capaz
de localizarnos, para esto se utilizan registros MX (Mail Exchanger). Esto es
independiente a si usamos Exchange u otro tipo de servidor de correo.

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 28
 Este registro MX es utilizado por organizaciones externas y no lo precisamos
internamente. Del mismo modo cuando nuestra organizacin enva correo
debemos ser capaces de localizar un registro MX del dominio destino.

El registro MX debe apuntar a un registro de tipo A que a su vez apunta a

una direccin IP (se pueden usar alias o cname pero esto no es
recomendado).

En adicin, los registros MX utilizan lo que se conoce como preferencia,

cuanto ms bajo sea el nmero de preferencia, mayor prioridad tiene el
registro.

La preferencia puede ser utilizada para obtener balanceo y alta

disponibilidad a nivel de recepcin de correo, por ejemplo se podra tener un
registro MX dedicado para un sitio principal y otro con menor prioridad
apuntando a una IP de contingencia como backup.

Si tenemos una pequea organizacin con un nico sitio y sin alta

disponibilidad, con un registro MX sera suficiente.

16

En general, en produccin vamos a encontrar que los registros MX apuntan a

un registro A asociado a una IP pblica en un firewall de frontera que
posteriormente hace NAT a un servidor corriendo software de antivirus
/antispam y configurado para reenviar todo mail entrante a nuestro
Exchange.

Como alternativa, en caso de no tener un servidor adicional para higiene de

transporte, el NAT podra estar configurado directo hacia el Exchange.

16
https://technet.microsoft.com/en-us/library/ff634392(v=exchg.141).aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 29
 Registro SPF
El registro SPF (Sender Policy Framework) es utilizado para indicar desde que
hosts nuestra organizacin podra enviar correo. De este modo una
organizacin destino podra verificar la IP desde la que se conecta nuestro
servidor de envo y en base a si existe un registro SPF y coincide o no con
nuestra IP que accin tomar.

Este tipo de registro es muy utilizado para evitar el spoofing de mails, por
ejemplo cuando se recibe spam desde direcciones supuestamente internas.

17

De tener un registro SPF configurado, cuando el servidor recibe este tipo de

correo, chequeara que la IP desde la que proviene no coincide con las
indicadas en el registro SPF y en base a esto dependiendo de la configuracin
del filtro si lo rechaza o simplemente estampa el resultado para posterior
anlisis.

Requerimientos de servicios
de infraestructura
Active Directory es el principal requerimiento para Exchange, lo que deriva
en que se dependa de DNS para la resolucin de nombres, localizacin de
servicios, etc.

Nivel funcional
En Exchange 2013 como mnimo se debe contar con nivel funcional de
dominio y bosque en Windows Server 2003.

17
https://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 30
 Los controladores de dominio en Windows Server 2003 deben estar
actualizados con Service Pack 2. Pueden existir distintas versiones de sistema
operativo en los DC, como por ejemplo DCs en 2003 y otros en 2008 R2, esto
no afecta a Exchange.

En el caso de Exchange 2016 el nivel funcional debe estar al menos en

Windows Server 2008.

A tener en consideracin que no es posible utilizar RODC/GC (controlador de

dominio de solo lectura) para Exchange, es decir que requiere controladores
de dominio de lectura y escritura.

El nivel funcional de dominio y bosque no tiene relacin con la versin de

sistema operativo soportado en los servidores de Exchange. Por ejemplo,
nivel funcional de dominio y bosque en 2003 indicara que no se pueden
tener controladores de dominio con una versin anterior a 2003, pero si se
podra con una versin superior (solo aplica a la versin de sistema operativo
de los controladores de dominio).

El nivel funcional asegura que la funcionalidad del directorio se adecue al

nivel ms compatible, es decir que si el nivel funcional se encuentra en 2003,
y se incluyen controladores de dominio en Windows Server 2012,
caractersticas como por ejemplo papelera de reciclaje de Active Directory no
podran ser habilitadas ya que no se encuentran soportadas en
controladores de dominio anteriores a 2008 R2.

Incluso si todos los controladores de dominio corren una versin reciente de

sistema operativo pero el nivel funcional no fue elevado, las nuevas
caractersticas no van a estar disponibles.

Preparacin de Active Directory

El primer paso antes de instalar Exchange es extender el esquema de Active
Directory. El usuario que ejecute esta tarea debe ser miembro del grupo de
administradores del esquema (schema admins).

La preparacin de Active Directory abarca ms que solo extender el esquema

y puede ser ejecutada de forma separada a la instalacin de Exchange (por
lnea de comando) o puede ser incluida como tarea inicial dentro del proceso
de instalacin (de forma automtica si se cuenta con los permisos
necesarios).

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 31
 A nivel macro, la preparacin consiste en lo siguiente:

1. Extensin de esquema. En este paso extendemos el esquema de

Active Directory para agregar clases y atributos especficos de
Exchange.
2. Creacin de contenedores en particin de configuracin, asignacin
de permisos, OU con grupos de seguridad, etc.
3. Preparacin de cada dominio adicional que vaya a tener servidores de
Exchange u objetos habilitados para correo.

Instalar Exchange en un
controlador de dominio?
Instalar Exchange en un controlador de dominio tiene muchas limitantes,
principalmente desde el punto de vista de seguridad y rendimiento.

Exchange requiere Active Directory pero este requerimiento no implica que

se deba instalar en un servidor con el rol de controlador de dominio.

La recomendacin es instalar Exchange en un servidor miembro del dominio.

En adicin, suponiendo el escenario donde Exchange ya se encuentra

instalado en un servidor miembro, no es soportado promover este servidor a
controlador de dominio y lo mismo a la inversa, es decir, si se instala
Exchange sobre un controlador de dominio no estara soportado que
posteriormente se despromueva el rol de DC (demote).

En caso de ser necesario cambiar el rol de un servidor con Exchange

instalado, el mecanismo soportado sera generar un nuevo servidor de
Exchange, mover toda la funcionalidad, informacin de buzones, etc y por
ltimo desinstalar Exchange en el servidor original.

Arquitectura de roles
En Exchange 2007 y 2010 existan 5 roles, en Exchange 2013 esto se redujo a
los siguientes 3:

Client Access
Mailbox
Edge Transport

Una instalacin tpica de Exchange 2013 incluira los roles de Client Access y
Mailbox server. Esto se conoce como multirol.

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 32
 Estos roles podran estar distribuidos en varios servidores de existir algn
requerimiento especifico. El punto es que para contar con una instalacin
funcional es necesario contar con ambos roles, sea en un mismo servidor o
en servidores separados.

El rol de Mailbox incluye componentes que antes se encontraban en los roles

de Client Access, Hub Transport y Mensajera Unificada de Exchange 2010.
Este rol maneja toda la actividad referente a los buzones activos en el
servidor.

El rol de Client Access provee autenticacin, servicios de proxy y redireccin

en el caso mensajera unificada.

En Exchange 2013 CU4 (service pack 1) re aparece el rol de Edge Transport

(ya exista en Exchange 2007 y en 2010). Este rol en particular no puede ser
instalado junto a ningn otro y se recomienda que est fuera de la red
interna (DMZ por ejemplo).

A continuacin un diagrama de technet sobre la arquitectura de roles en

Exchange 2013:

18

En Exchange 2016 se contina simplificando la arquitectura del producto al

punto de que el nico rol que tenemos es el de Mailbox. Este rol consolida la
funcionalidad incluida en 2013 distribuida entre los roles de CAS y Mailbox
por lo que tanto acceso de clientes, bases de datos como transporte pasa
por el rol de Mailbox. Una instalacin tpica de Exchange 2016 sera
equivalente a un servidor multirol en Exchange 2013 (arquitectura
recomendada en esta versin).

En adicin se mantiene el rol de Edge Transporte sin grandes cambios.

18
http://blogs.technet.com/b/exchange/archive/2013/01/23/exchange-2013-server-role-architecture.aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 33
 19

Independientemente de varias mejoras al producto, algo interesante para

quienes consideren actualizar de Exchange 2013 a Exchange 2016 es la
posibilidad de mantener publicado los servidores con el rol de CAS de 2013 y
que estos hagan de proxy hacia una base de datos en Exchange 2016.

Esto es importante y agiliza el proceso de actualizacin. En versiones

anteriores del producto o por ejemplo si actualizamos desde Exchange 2010,
uno de los primeros cambios que debemos realizar es cambiar la publicacin
de los servicios de acceso de clientes (OWA, ActiveSync, Outlook Anywhere,
etc) para que pasen por la versin ms nueva. Esto se debe a que
tradicionalmente la nueva versin es la que "sabe hablar" con la versin
anterior en adicin a la propia.

En el caso de Exchange 2016 podemos agregar un nuevo servidor a la red,

mantener la publicacin con servidores Exchange 2013, probar la
funcionalidad y paulatinamente a medida que avanza el proceso de
actualizacin ir reemplazando los 2013 con la nueva versin.

19
https://technet.microsoft.com/en-us/library/jj150491(v=exchg.160).aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 34
 Rol de Client Access
El rol de Client Access (CAS) en Exchange 2013 incluye componentes
relacionados con SMTP, ruteo de llamadas (mensajera unificada) y
protocolos de cliente. A diferencia de versiones anteriores, si se utiliza un
balanceador ya no es requerido mantener afinidad de la sesin.

Como se puede ver en el diagrama20, las conexiones de clientes OWA,

ActiveSync, Outlook (RPC/HTTPS), etc pasan por este rol:

El rol de Client Access de Exchange 2013 autentica y posteriormente cumple

la funcin de proxy hacia el servidor con el rol de Mailbox, Como excepcin
tenemos el caso de mensajera unificada (UM) donde se hace una redireccin
en lugar de proxy.

En adicin, encontramos el servicio de Front End Transport, este servicio es el

que publicaramos hacia Internet para recepcin de correo (si no tenemos un
servidor de Edge o algn otro tipo de smarthost en DMZ).

El rol de Acceso de clientes no encola mails, es decir que si el servidor de

Mailbox se encuentra fuera de servicio, la recepcin de correo externo (entre
otras cosas) fallara.

Dado que en general la funcin del CAS es la de hacer de proxy hacia el

servidor con el rol de Mailbox, si este ltimo se encuentra fuera de servicio el
tener accesible el servidor con el rol de Client Access no aportara nada.

En el caso de Exchange 2016 no es posible separar la instalacin de este rol y

pasa a ser a una serie de servicios incluidos en el de Mailbox, por fuera de
esto la funcin conceptualmente es la misma e incluso si luego de instalado
vemos los roles de un servidor con Exchange 2016 vemos que tambin figura
como Client Access.

20
http://blogs.technet.com/b/exchange/archive/2013/01/25/exchange-2013-client-access-server-role.aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 35
 21

Como se puede observar en el diagrama, el protocolo utilizado por el cliente

es el mismo que se utiliza para hacer de proxy desde los servicios de front
end (CAS) a los de Backend (mailbox). Es decir que si un cliente se conecta
por HTTP al CAS, este posteriormente hace proxy utilizando HTTP hacia el
servidor con la base activa utilizando tambin HTTP. Lo mismo aplica a IMAP
y POP. Claro que esto no sucede en texto plano sino que la comunicacin es
encriptada.

En el caso particular de mensajera unificada se realiza una redireccin en

lugar de proxy.

Para ofrecer alta disponibilidad podemos instalar el rol en mltiples

servidores utilizando algn mecanismo de balanceo como NLB (no soportado
en Exchange 2016), DNS Round Robin, HLB, etc.

Rol de Mailbox
En el rol de Mailbox se alojan las bases y es donde se realiza el
procesamiento de datos.

En adicin, se incluyen componentes de transporte; por un lado servicios

para interactuar con la base de datos y por otro para hacerlo con el servicio
de Front End del Client Access y otros servidores de Mailbox.

21
https://technet.microsoft.com/en-us/library/jj150491(v=exchg.160).aspx

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 36
 A diferencia de la entrada de mail, de forma predeterminada al crear un
conector de envo, el rol que realiza la conexin es el de Mailbox. Esto en el
caso de un servidor multirol o con Exchange 2016 no cambia la ecuacin ya
que siempre sera el mismo servidor.

En Exchange 2013 para utilizar al Client Access como proxy es necesario

modificar las propiedades del conector (si tenemos los roles separados no
sera un dato menor ya que la IP del servidor que enva debe estar habilitada
en el firewall).

En el siguiente diagrama22 se puede ver la interaccin:

En lo que respecta a alta disponibilidad y contingencia tenemos como

componente central al DAG23 (Database Availability Group).

Un DAG agrupa lgicamente servidores con el rol de Mailbox con la finalidad

de replicar bases de datos mediante log shipping asincrnico.

Si bien se introducen varias mejoras en Exchange 2013 en relacin a

Exchange 2010, en el caso de 2016 no hay grandes cambios aunque se
optimiza en varios aspectos la replicacin y los tiempos asociados a failover y
activacin de bases.

22
https://technet.microsoft.com/en-us/library/aa996349(v=exchg.150).aspx
23
http://aprendiendoexchange.com/dag-en-exchange-introduccion

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 37
 Rol de Edge Transport
Este es un rol opcional e incluso puede utilizarse alguna alternativa para
cumplir la funcin. El rol est diseado para trabajar en DMZ y manejar lo
referente a ruteo de correo externo e higiene de mensajes.

En este rol se incluyen las mismas caractersticas antispam que en el rol de

Mailbox de Exchange as como algunas adicionales como agentes de filtrado
de conexiones y adjuntos. En adicin, cuenta con agente de reescritura de
direcciones de correo para el caso que aplique. Este es el nico rol de
Exchange que no requiere Active Directory.

El objetivo del rol de Edge Transport es incrementar el nivel de seguridad del

correo, en primera instancia cumpliendo con algo muy requerido como es el
hecho de que un servidor externo no se conecte directamente con uno
interno sino que realice una conexin a nuestra zona perimetral y
posteriormente el servidor de Edge se conecte a nuestros servidores con el
rol de Mailbox.

A simple vista podramos decir que el rol de Edge Transport es un simple

smarthost pero entre otras cosas nos habilita a sincronizar informacin de
configuracin interna como por ejemplo dominios de correo de la
organizacin, informacin de destinatarios como remitentes seguros (safe
senders) mediante safelist aggregation y de este modo disminuir la chance
de falsos positivos.

Prximos pasos
Por feedback sobre el ebook o el sitio en general podes escribir a
admin@aprendiendoexchange.com.

Por capacitacin en Exchange podes consultar los cursos disponibles del

sitio.

Enlaces tiles
A continuacin incluyo enlaces tiles para continuar con el trabajo sobre
Exchange:

Preparacin de Active Directory

http://aprendiendoexchange.com/preparacion-de-active-directory-
para-exchange-2013
http://aprendiendoexchange.com/preparacion-de-active-directory-
exchange-2016

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 38
 Instalacin

http://aprendiendoexchange.com/como-instalar-exchange-2013
http://aprendiendoexchange.com/instalacion-de-exchange-2016

Anlisis de mejores prcticas

http://aprendiendoexchange.com/mejores-practicas-en-exchange-
2013

Creacin de nueva base de datos

http://aprendiendoexchange.com/como-crear-una-base-de-datos-en-
exchange-2013

Alta disponibilidad

http://aprendiendoexchange.com/dag-en-exchange-introduccion

Tipos de buzones

http://aprendiendoexchange.com/tipos-de-buzones-en-exchange-
2013

Agregar nuevo dominio de correo

http://aprendiendoexchange.com/como-agregar-un-nuevo-dominio-
de-correo-en-exchange-parte-1

Certificados

http://aprendiendoexchange.com/certificados-en-exchange-2013

Instalacin de filtros antispam

http://aprendiendoexchange.com/como-instalar-los-filtros-anti-spam-
en-exchange-2013

Configuracin de conector de envo a internet

http://aprendiendoexchange.com/configurar-el-envio-de-correo-a-
internet-en-exchange-2013

Respaldo

http://aprendiendoexchange.com/como-respaldar-las-bases-de-
exchange-2013-con-windows-server-backup

Restauracin

http://aprendiendoexchange.com/como-restaurar-una-base-de-datos-
de-exchange-2010-2013-con-wsb

2 0 1 6 T o d o s l o s d e r e c h o s r e s e r v a d o s P g i n a | 39