Recomendaciones para organizaciones medianas
Última modificación del tema: 2005-10-13
Las organizaciones con más de 75 usuarios no pueden implementar Small Business Server 2003. En su lugar, estas organizaciones deberían ejecutar Exchange 2003 en un equipo diferente. Las organizaciones medianas pueden tener hasta 1.000 usuarios en una ubicación central, en cuyo caso un único servidor de Exchange 2003 puede alojar todos los buzones y las carpetas públicas. Es posible que exista un número limitado de ubicaciones remotas que se conecten al centro de datos mediante conexiones de red privada virtual (VPN) a través de Internet. Los usuarios remotos también pueden usar conexiones de acceso telefónico a Internet para tener acceso a sus buzones a través de conexiones VPN o RPC sobre HTTP. La siguiente figura ilustra una posible configuración de Exchange 2003 para una organización mediana con 500 usuarios locales y remotos.
.gif "15d98e61-78a0-4448-b96e-664a4933d409")
Considere las siguientes recomendaciones cuando desarrolle una estrategia de consolidación de servidores para una organización mediana:
Implemente dos controladores de dominio que ejecuten Windows Server 2003, configurados ambos como servidores DNS y servidores de catálogo global en un único dominio Exchange 2003 requiere una infraestructura de Active Directory y DNS sólida, por lo que es importante implementar al menos dos servidores de catálogo global. Si cierra uno de los servidores de catálogo global, el segundo puede continuar proporcionando servicios de directorio a la organización de Exchange 2003 y los usuarios pueden continuar teniendo acceso a sus buzones, así como enviar y recibir mensajes.
Configure ambos catálogos globales como servidores DNS para proporcionar la redundancia suficiente para la infraestructura de DNS. DNS es un servicio de red extremadamente crítico; sin él, Active Directory y la organización de Exchange 2003 no pueden funcionar. Los clientes de mensajería consultarán a DNS para ubicar los recursos internos, como controladores de dominio y servidores de buzones. Por otra parte, Exchange 2003 utiliza DNS para recuperar las direcciones IP (protocolo de Internet) de los controladores de dominio para las consultas de directorio y los hosts SMTP (Protocolo simple de transferencia de correo) externos cuando envía mensajes a Internet. La ejecución de servidores DNS en controladores de dominio le permite integrar zonas DNS con Active Directory. Una ventaja de las zonas integradas con Active Directory es que todos los servidores DNS tienen copias que se pueden escribir y los cambios en la información de zona se replican entre los servidores DNS como parte de la replicación de Active Directory.Nota
Es posible y compatible instalar Exchange 2003 directamente en un controlador de dominio. Esta puede ser una opción para las organizaciones que no deseen implementar dos servidores adicionales que ejecuten Windows Server 2003 y Active Directory. No obstante, esta configuración presenta limitaciones de rendimiento. Cuando se ejecuta Exchange 2003 en un controlador de dominio, debe usar siempre el controlador de dominio local para las consultas de directorio y no puede realizar el equilibrio de carga entre los diversos controladores de dominio que existan en la red. Implemente los controladores de dominio dedicados en el bosque de una organización de Exchange 2003, sobre todo si los servidores adicionales también requieren que exista el acceso a Active Directory, como es el caso con servidores SQL, de impresión o de archivos.
Implemente Exchange Server 2003 Standard Edition La edición Standard de Exchange 2003 se ha diseñado para satisfacer las necesidades de colaboración y mensajería de organizaciones pequeñas y medianas. Cuesta aproximadamente seis veces menos que el precio básico de la edición Enterprise. Sin embargo, la edición Standard no admite las configuraciones de clúster de Windows y sólo permite una base de datos de buzones y una base de datos de carpetas públicas en cada grupo de almacenamiento. Las bases de datos de mensajería están limitadas a 16 GB. Si descubre que las capacidades de la edición Standard no cumplen los requisitos de su nivel de servicio, puede implementar Exchange Server 2003 Enterprise Edition en Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter o Windows Server 2003 Enterprise Edition. Aunque la edición Enterprise admite varias bases de datos por servidor sin restricciones de tamaño y proporciona compatibilidad con Servicio de Cluster Server, tenga en cuenta que el costo del hardware adicional podría ser superior a los beneficios de la consolidación de servidores en una organización mediana. Por ejemplo, podría necesitar comprar hardware adicional para implementar un clúster de dos nodos en una configuración activa/pasiva para el servidor de buzones de Exchange 2003.
En cualquier caso, diseñe el subsistema de almacenamiento con un configuración de RAID que proporcione la suficiente tolerancia a errores para el almacén de Exchange. De manera predeterminada, todas las bases de datos de mensajería y sus archivos de registro de transacciones se encuentran en el directorio \Archivos de programa\Exchsrvr\Mdbdata. Exchange 2003 utiliza los registros de transacciones para conservar las transacciones confirmadas en la memoria caché, lo que garantiza que estas transacciones no se pierdan si el servidor se cierra de manera inesperada. Al separar los registros de transacciones de las bases de datos y colocarlos en un disco físico independiente, puede aumentar la tolerancia a errores del almacén de Exchange. Si el disco duro de la base de datos resulta dañado, puede reemplazarlo, crear nuevas bases de datos y después reproducir los registros de transacciones, que todavía siguen disponibles porque residen en otro disco. Los usuarios pueden continuar trabajando como si nada hubiera sucedido. Si se produce un error en el disco donde se encuentran los registros de transacciones, las bases de datos siguen estando disponibles. Sólo puede que se pierdan las transacciones más recientes, si no se habían incorporado a las bases de datos antes de que se produjera el problema. La siguiente figura ilustra una configuración de disco duro recomendada para un servidor no agrupado que ejecute Exchange Server 2003 Standard Edition.
.gif "b48d94af-146d-4dff-9955-ac00752e4660")
Implemente una red perimetral para proteger los recursos internos de la Internet Debería separar la red interna de Internet mediante la disposición de servidores de seguridad distintos dedicados. No debería usar un servidor de Exchange 2003 como servidor de seguridad. El servidor de seguridad externo puede ser un enrutador con filtrado de paquetes u otro sistema más sofisticado para proporcionar un acceso controlado a los recursos de la red perimetral. Si es posible, habilite la traducción de direcciones de red tanto en el servidor de seguridad interno como en el externo para ocultar las direcciones IP reales ante los potenciales atacantes. En el servidor de seguridad interno, considere implementar Microsoft Internet Security and Acceleration (ISA) Server 2000, ya que ISA Server y Exchange 2003 se han diseñado para colaborar estrechamente con el fin de proporcionar un entorno de mensajería más seguro. Si implementa ISA Server 2000 con el Feature Pack 1 en el servidor de seguridad interno, puede proteger la organización de Exchange 2003 interna mediante el cifrado SSL (Nivel de sockets seguros), la autenticación en dos fases, la detección de direcciones URL y el filtrado SMTP. Al mismo tiempo, puede proporcionar a los usuarios de Internet remotos con VPN o RPC sobre HTTP conectividad y acceso a buzones a través de Protocolo de oficina de correos v.3 (POP3) o IMAP4 (Protocolo de acceso a mensajes de Internet versión 4rev1), Microsoft Outlook Web Access 2003, Microsoft Outlook Mobile Access y Exchange ActiveSync. Para obtener información acerca de cómo configurar ISA Server 2000 para Exchange 2003, consulte Using ISA Server 2000 with Exchange Server 2003 (Uso de ISA Server 2000 con Exchange Server 2003). Para obtener información acerca de cómo utilizar ISA Server 2004 con Exchange 2003, consulte Using ISA Server 2004 with Exchange Server 2003 (Uso de ISA Server 2004 con Exchange Server 2003).
Nota
Para lograr una seguridad elevada, use productos diferentes para el servidor de seguridad interno y el externo, de forma que un atacante no pueda usar las mismas técnicas en ambos servidores para alcanzar la red interna. Si usa un servidor ISA como servidor de seguridad interno, utilice un producto que no sea de Microsoft como servidor de seguridad externo, o viceversa. Además, no debe ejecutar Exchange 2003 en un servidor de seguridad porque un servidor de Exchange ejecuta muchos servicios que un atacante podría explotar.
Considere implementar un host SMTP inteligente en la red perimetral El entorno de Exchange 2003 de la figura 3 no requiere un conector de mensajería explícito para enviar o recibir mensajes por Internet. Si, mediante DNS, el servidor de Exchange puede resolver nombres de dominio SMTP como direcciones IP de hosts SMTP externos, el servidor puede establecer conexiones SMTP directamente para enviar mensajes. Puede configurar ISA Server para que acepte conexiones SMTP entrantes y reenvíe los mensajes aceptados a Exchange 2003. Sin embargo, muchas organizaciones prefieren implementar un host SMTP inteligente adicional (o diversos hosts inteligentes) en la red perimetral para impedir las conexiones directas por Internet desde los sistemas de mensajería internos o hacia ellos. El host SMTP inteligente acepta los mensajes de Internet y los retransmite a través del servidor de seguridad interno al servidor de Exchange. En la dirección opuesta, el host SMTP inteligente acepta los mensajes de Exchange 2003, consulta a DNS para buscar el host SMTP de destino y después envía los mensajes. Puede configurar el servicio SMTP en Exchange 2003 para que reenvíe todos los mensajes salientes a un host inteligente de la red perimetral. También puede usar el servicio SMTP estándar en Windows Server 2003 para implementar un host inteligente.
Nota
Para aumentar el rendimiento y la confiabilidad de la transferencia de mensajes, considere implementar varios hosts SMTP inteligentes en la red perimetral. Es posible registrar varios registros de recursos de agente de intercambio de correo (MX) para un dominio SMTP en DNS para el equilibrio de carga y la tolerancia a errores.