Implementación del Módulo de administración de Exchange Server 2003

Última modificación del tema: 2006-04-10

El Módulo de administración de Exchange incluye un Asistente para configuración que le ayudará con las tareas de configuración. El Asistente para configuración ofrece una forma práctica de configurar servidores individuales que estén ejecutando Microsoft® Exchange Server 2003 y se asegura de que funcionan sin problemas con Microsoft Operation Manager (MOM) 2005. El Asistente genera un archivo de configuración (Configuration.xml) que se puede modificar para adaptarse a la solución de supervisión y aplicarse con la herramienta en línea de comandos ExchangeMPConfig.exe.

Antes de comenzar una nueva instalación o actualización, se recomienda que documente las configuraciones existentes, especialmente si está actualizando desde el Módulo de administración de Exchange 2000. Más adelante, en esta sección, se incluyen instrucciones adicionales para las nuevas instalaciones y actualizaciones.

Para implementar el Módulo de administración de Exchange, debe estar familiarizado con lo siguiente:

• Cómo instalar el Módulo de administración de Exchange   Puede instalar el Módulo de administración de Exchange en un entorno Exchange 2003 nuevo o en uno actualizado de Exchange 2000. También puede actualizar el Módulo de administración de Exchange 2000 al Módulo de administración de Exchange. Conocer los detalles de ambos tipos de instalaciones le ayudará a implementar correctamente el módulo de administración.
• Cómo configurar el Módulo de administración de Exchange   El archivo de configuración que se utiliza para la implementación se puede editar manualmente en un editor de texto y mediante una interfaz de línea de comandos. La herramienta de línea de comandos resulta muy útil en los escenarios complejos o en la solución de problemas.

Preparación para implementar el Módulo de administración de Exchange

Antes de implementar el Módulo de administración de Exchange, debe dedicar algún tiempo a evaluar las necesidades de supervisión de su organización y la topología de la organización de Exchange. La fase de planeamiento le permitirá aclarar los objetivos de supervisión, comprender las expectativas de rendimiento, definir los procedimientos de escalado y optimizar la implementación del Módulo de administración de Exchange.

Para prepararse para la implementación, debe seguir estos pasos:

• Identificar quién recibirá las alertas generadas por el Módulo de administración de Exchange.
• Crear un plan de implementación para instalar y configurar la supervisión y los servidores supervisados.

Identificar quién recibirá las alertas generadas por el Módulo de administración de Exchange

Después de identificar las funcionalidades de mensajería que desea supervisar y de haber calculado el comportamiento de la línea de base y los umbrales de rendimiento, debe identificar a quién se le va a notificar en caso de una alerta, qué método usar para realizar la notificación y qué nivel de gravedad desencadenará la alerta.

Para simplificar la administración, debe seguir estos pasos:

• Identificar a los administradores que deben ser notificados en caso de un problema de Exchange.
• Agregar los administradores al grupo de seguridad de Operadores MOM.
• Configurar los administradores con el programa de mensajería y buscapersonas correcto.
• Agregar los administradores al grupo de notificación Administradores de correo.

Crear un plan de implementación para instalar y configurar la supervisión y los servidores supervisados

El paso final de la planeación consiste en crear un plan para implementar el Módulo de administración de Exchange en su entorno. Este plan debe considerar:

• Qué servidores se van a supervisar.
• Qué servidores estarán supervisando.
• Quién estará realizando la instalación.
• Qué permisos se necesitan.
• Cuál será la programación.
• Qué riesgos se pueden experimentar y cómo reducirlos.

Para obtener más información sobre cómo crear un plan de implementación, consulte la documentación de Microsoft Solutions Framework en https://go.microsoft.com/fwlink/?LinkId=27752 (en inglés).

Protección de la implementación

Antes de instalar el Módulo de administración de Exchange, debe proteger su entorno de supervisión. Debe hacerlo antes de la instalación porque el Módulo de administración de Exchange generará alertas sobre estos problemas. Si no protege su entorno antes de instalar el Módulo de administración de Exchange, recibirá alertas cuando se comprueben las configuraciones de seguridad.

La protección del entorno incluye lo siguiente:

• Ejecución del bloqueo de seguridad de IIS
• Configuración de SSL
• Comprobación del bloqueo de los recursos compartidos del registro de seguimiento de mensajes
• Comprobación de que los directorios SMTP se encuentran en una partición del sistema de archivos NTFS
• Comprobación de que SMTP no puede retransmitirse de forma anónima

Ejecución del bloqueo de seguridad de IIS

Debe ejecutar el Asistente para bloqueo de seguridad de IIS en todos los servidores de aplicaciones para usuario. Esta herramienta busca la existencia de vulnerabilidades y le ayuda a configurar los servidores de Internet para que sean menos susceptibles a sufrir ataques malintencionados.

Para obtener más información sobre cómo instalar y ejecutar el Asistente de bloqueo de seguridad de IIS, consulte el artículo 325864 de Microsoft Knowledge Base, "How to install and use the IIS Lockdown Wizard" en https://go.microsoft.com/fwlink/?linkid=3052&kbid=325864 (en inglés).

El Módulo de administración de Exchange detecta si se ha ejecutado el Asistente de bloqueo de seguridad de IIS y le envía una alerta si se detectan vulnerabilidades protegidas habitualmente por esta herramienta.

Configuración de SSL

Para usar las funciones de supervisión de disponibilidad del servidor de aplicaciones para usuario en Exchange 2003, dicho servidor debe estar configurado para SSL para todos los directorios virtuales de Microsoft Office Outlook® Web Access, Outlook Mobile Access y ActiveSync® de Exchange. Para configurar SSL, siga los pasos siguientes de nivel superior en el servidor de aplicaciones para usuario:

1. Configure el certificado.
2. Agregue certsrv a las raíces de confianza.
3. Habilite Se requiere SSL en los sitios Web de Outlook Web Access, Outlook Mobile Access y ActiveSync de Exchange.
4. Habilite la autenticación basada en formularios.

Para obtener más información sobre cómo configurar SSL, consulte la guía Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Topology en https://go.microsoft.com/fwlink/?linkid=34216 (en inglés).

Comprobación del bloqueo de los recursos compartidos del registro de seguimiento de mensajes

Cuando el seguimiento de mensajes está habilitado, todos los mensajes administrados por SMTP se registran en un archivo de registro de seguimiento de mensajes ubicado en todos los servidores de Exchange. De forma predeterminada, los archivos de registro de seguimiento de mensajes se ubican en c:\Archivos de programa\exchsrvr\NombreServidor.log. Esta carpeta está compartida para que los administradores puedan ver su información desde cualquier consola del Administrador del sistema de Exchange. Debería configurar los permisos en este recurso compartido para que el grupo Todos no tenga concedido explícitamente ningún permiso. Si al grupo Todos se le han concedido permisos para el recurso compartido del registro de seguimiento de mensajes, debe quitar el grupo. El Módulo de administración de Exchange detectará esta configuración y le enviará una alerta si se identifica el grupo Todos en el recurso compartido.

Comprobación de que los directorios SMTP se encuentran en una partición NTFS

Como los mensajes SMTP no siempre están protegidos, debería proteger su contenido almacenándolos en una partición NTFS. Para comprobar que el directorio se encuentra en una partición NTFS, busque el directorio SMTP en el Explorador de Windows y consulte sus propiedades. La ficha General indica el sistema de archivos que se está usando.

Si los directorios SMTP no se encuentran en una partición NTFS, debe moverlos o bien configurar la partición para que use NTFS.

Para mover los directorios SMTP, consulte el artículo 318230 de Microsoft Knowledge Base: "XCON: Cómo cambiar la ubicación de directorio Exchange 2000 SMTP Mailroot" en https://go.microsoft.com/fwlink/?linkid=3052&kbid=318230.

Para configurar una partición para que use NTFS, consulte la Ayuda de Windows Server™ 2003.

El Módulo de administración de Exchange detectará esta configuración y le enviará una alerta si el directorio SMTP no se encuentra en una partición NTFS.

Comprobación de que SMTP no puede retransmitirse de forma anónima

De forma predeterminada, los servidores virtuales SMTP están configurados para retransmitir sólo los mensajes enviados por usuarios autenticados.

Para comprobar que esta situación no ha cambiado

1. Inicie el Administrador del sistema de Exchange y busque el objeto de servidor en el que desea evitar la retransmisión de correo.

2. En el panel izquierdo, en el objeto de servidor, expanda Protocolos y, a continuación, expanda SMTP.

3. En el panel izquierdo, haga clic con el botón secundario en el servidor virtual SMTP en el que desea evitar la retransmisión de correo y, a continuación, haga clic en Propiedades.

4. En el cuadro de diálogo Propiedades, haga clic en la ficha Accesoy, a continuación, haga clic en Retransmisión.

5. En el cuadro de diálogo Restricciones de retransmisión, compruebe que se aplica lo siguiente:

   • Sólo los de la lista siguiente está activado y el cuadro de lista está vacío.
   • La casilla de verificación Permitir la retransmisión a todos los equipos autenticados correctamente, independientemente de la lista anterior está activada.

6. Haga clic en Cancelar si no desea realizar ningún cambio.

El Módulo de administración de Exchange detectará esta configuración y le enviará una alerta si el servidor SMTP está configurado para permitir la retransmisión anónima.