Cómo configurar el servicio de disponibilidad para topologías entre bosques

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2012-09-24

En este tema se explica cómo utilizar el Shell de administración de Exchange para configurar el servicio de disponibilidad de topologías entre bosques. El servicio de disponibilidad mejora la información de los datos de disponibilidad de los trabajadores facilitando información de disponibilidad segura, coherente y actualizada a los equipos que ejecutan Microsoft Office Outlook 2007. El servicio se encuentra instalado, de manera predeterminada, con Microsoft Exchange Server 2007. En las topologías entre bosques en las que todos los equipos cliente de conexión están ejecutando Outlook 2007, el servicio de disponibilidad es el único método para recuperar los datos de disponibilidad.

Puede utilizar el servicio de disponibilidad en las topologías entre bosques en bosques que sean o no de confianza. El tipo de información de disponibilidad se determina en función de si los datos de disponibilidad entre bosques están configurados por usuario o como servicio de la organización. Recuperar la información de disponibilidad de cada usuario es posible solo en una topología entre bosques de confianza. Habilita el servicio de disponibilidad para realizar solicitudes entre bosques en nombre de un usuario en particular. De este modo, el usuario de un bosque remoto podrá proporcionar información de disponibilidad detallada a un usuario entre bosques.

En contraposición, los datos de disponibilidad de la organización habilitan al servicio de disponibilidad para realizar solicitudes entre bosques solo en nombre de una organización en particular. En este caso, se devuelve la información de disponibilidad predeterminada de un usuario y no es posible controlar el nivel de información de disponibilidad que se devuelve a los usuarios de los otros bosques.

Configuración de Windows para topologías entre bosques

Según el escenario, también hay que tener en cuenta los requisitos siguientes:

• Debe sincronizar la lista global de direcciones (GAL) entre bosques.

• El servicio Detección automática debe estar funcionando entre bosques.

• Todos los servidores de acceso de cliente de Exchange 2007 deben validar el certificado en el bosque de destino.

Nota:

Microsoft La actualización acumulativa 6 de Exchange Server 2007 Service Pack 3 (SP3) usa la URL externa para que los servicios web de Exchange se conecten con el bosque de destino. La URL externa para los servicios web de Exchange no se puede devolver si el servicio de detección automática de Outlook Anywhere no está habilitado en el bosque de destino. En este caso, se produce un error en la búsqueda entre bosques. Para solucionar este problema, habilite Anywhere en el bosque de destino y, luego, compruebe que la URL externa para los servicios web de Exchange esté configurada correctamente. Habilitar Outlook Anywhere en el bosque de destino. Para obtener información sobre cómo habilitar Outlook Anywhere, visite el siguiente sitio web de TechNet: Asistente para habilitar Outlook Anywhere > Página Habilitar Outlook Anywhere Configure la URL externa para los servicios web de Exchange para el bosque de destino. Para hacerlo, ejecute el siguiente comando en Windows PowerShell para Exchange: Set-WebServicesVirtualDirectory -identity “server_name\EWS (Default Web Site)” -ExternalURL https://mail.contoso.com/ews/Exchange.asmx Nota En este comando, contoso es un marcador de posición para el dominio real. Habilite Outlook Anywhere para los buzones de la organización que realizarán solicitudes de disponibilidad remota entrante. Nota Si un administrador deshabilita Outlook Anywhere en un buzón individual, un bosque remoto no puede recuperar la información de ese buzón debido a que la detección automática no devolverá un valor de la URL externa de los servicios web de Exchange para ese buzón.

Con el objeto de configurar Microsoft Windows para una topología entre bosques, debe instalar y configurar la Sincronización de GAL (GALSync). Para obtener información detallada sobre cómo instalar y configurar la función GALSync en Identity Integration Server (MIIS) 2003 de Microsoft, consulte los siguientes recursos (en inglés):

• Escenarios de Microsoft Identity Integration Server 2003

• Microsoft Identity Integration Server 2003

Esta característica crea contactos habilitados para correo que representan a los destinatarios de otros bosques. Esto permite a los usuarios ver los contactos de la GAL y agregarlos como asistentes a reuniones.

En un escenario entre bosques de Exchange 2007, el único método para compartir información de disponibilidad entre bosques es el servicio Disponibilidad. Como los clientes o usuarios de Outlook heredados que tienen buzones hospedados en versiones anteriores de Exchange no pueden usar el servicio de disponibilidad, no pueden recuperar la información de disponibilidad de usuarios externos al bosque, a menos que la información que se almacena en las carpetas públicas se replique entre los bosques.

Por lo tanto, si ejecuta Office Outlook 2003 o una versión anterior, debe usar la herramienta de replicación entre organizaciones de Microsoft Exchange para sincronizar datos de disponibilidad entre varios bosques. Para obtener más información acerca de la herramienta de replicación entre organizaciones de Microsoft Exchange, consulte Replicación entre organizaciones de Microsoft Exchange Server (página en inglés).

También puede ejecutar el siguiente cmdlet en el Shell de administración de Exchange para establecer la disponibilidad de las carpetas públicas:

Add-AvailabilityAddressSpace -ForestName "target.forest.com" -AccessMethod PublicFolder

Permisos requeridos para ejecutar los cmdlets

• Para ejecutar el cmdlet Get-ClientAccessServer, la cuenta que utilice debe tener delegada la siguiente función:

  Función Administrador de Exchange con permiso de vista

• Para ejecutar el cmdlet Add-ADPermission, la cuenta que utilice debe tener delegada la siguiente función:

  Función de Administrador de la organización de Exchange

• Para ejecutar el cmdlet Add-AvailabilityAddressSpace, la cuenta que utilice debe tener delegada la siguiente función:

  Función de Administrador de la organización de Exchange

• Para ejecutar el cmdlet Set-AvailabilityConfig, la cuenta que utilice debe tener delegada la siguiente función:

  Función de Administrador de la organización de Exchange

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange Server 2007, consulte Consideraciones sobre permisos.

Servicio Detección automática y disponibilidad entre bosques

El servicio Detección automática proporciona información al servicio Disponibilidad, ya que ubica y proporciona las direcciones URL externas e internas para el cliente de Outlook 2007 y el servidor de acceso de cliente de Exchange 2007 para la disponibilidad entre bosques. Esto significa que los servidores de acceso de cliente deben poder conectarse al servicio Detección automática en los bosques de destino y devolver la URL del servicio Disponibilidad.

En un escenario de disponibilidad entre bosques, hay dos opciones para configurar el servicio Detección automática.

• Exportar el punto de conexión de servicio (SCP) del bosque de destino al de origen si hay una relación de confianza entre los bosques.

• Usar DNS para resolver la dirección del sitio web autodiscover.targetforest.com.

El servicio de disponibilidad entre bosques tiene un límite de tiempo cuando el servicio realiza una solicitud del servicio Detección automática para los usuarios entre bosques del servicio de directorio de Active Directory. De forma predeterminada, el valor del tiempo de espera es de 10 segundos. Si la solicitud de detección automática no finaliza en 10 segundos, la solicitud del servicio de disponibilidad para el usuario entre bosques puede superar el tiempo de espera. Para obtener más información al respecto, consulte los temas siguientes:

• Solución de problemas de la información de disponibilidad para Outlook 2007

• ¿Qué hace el servicio de disponibilidad de Exchange 2007?

Disponibilidad entre bosques y certificados

Al instalar Exchange 2007 con la función del servidor Acceso de cliente, se crea un certificado autofirmado. El certificado autofirmado tiene dos entradas de nombre alternativo del sujeto (SAN): una para el nombre NetBIOS del servidor de acceso de cliente y uno para el nombre de dominio completo (FQDN) del servidor de acceso de cliente. Por lo tanto, si planea usar el certificado autofirmado predeterminado instalado en el servidor de acceso de cliente, solo tiene una opción para que la detección automática funcione en ambos bosques: debe exportar el SCP desde el bosque de destino hasta el bosque de origen. En este escenario, debe tener una relación de confianza entre ambos bosques. Para obtener más información al respecto, consulte los temas siguientes:

• Notas del producto del servicio de detección automática de Exchange 2007

• Consejos de configuración y pasos comunes para solucionar problemas para la implementación del servicio de detección automática en varios bosques

Si no existe una relación de confianza entre bosques, pero desea usar un certificado autofirmado, debe emitir un nuevo certificado autofirmado e incluir el nombre alternativo de sujeto para autodiscover.targetforest.com. Puede utilizar el cmdlet New-ExchangeCertificate para emitir un nuevo certificado autofirmado. Para obtener más información, consulte New-ExchangeCertificate (RTM).

Aunque el certificado autofirmado se puede utilizar para cifrar comunicaciones entre un servidor de acceso de cliente y otras funciones del servidor de Exchange 2007, no recomendamos que lo utilice con aplicaciones y dispositivos cliente. Debido a las limitaciones de los certificados autofirmados, recomendamos que sustituya el certificado autofirmado por un certificado de terceros de confianza o por un certificado firmado por un PKI de Windows. Para obtener más información, consulte los siguientes temas de Ayuda de Exchange:

• Descripción del certificado autofirmado en Exchange 2007

• Uso de certificados en Exchange 2007 Server

Procedimiento

Para usar el Shell de administración de Exchange para configurar el servicio de disponibilidad para topologías entre bosques

1. En un escenario de relación de confianza de Windows, ejecute los siguientes cmdlets en el bosque de origen y de destino:

   Bosque de origen:

   Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod PerUserFB -UseServiceAccount $true
   

   Bosque de destino:

   Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User  "Sourceforest\Exchange Servers" 
   

2. Si no existe una relación de confianza, debe ejecutar los siguientes cmdlets en los bosques de origen y destino. En este escenario, se requiere una cuenta de servicio con permisos mínimos en el dominio de destino. Por ejemplo, use una cuenta normal sin permisos administrativos.

   Bosque de origen:

   $a = Get-Credential (Type the credential  "TargetForest\User"  for organization-wide user)
   Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod OrgWide -Credential $a
   

   Bosque de destino:

   Set-AvailabilityConfig -OrgWideAccount "TargetForest\User"
   

3. En un escenario de relación de confianza, hay dos maneras de configurar el servicio Detección automática. Exporte el SCP del bosque de destino o use DNS para consultar el registro del host "autodiscover.targetforest.com."

   • En un escenario de relación de confianza, exporte el SCP del bosque de destino al de origen usando el cmdlet siguiente:

     $a = Get-Credential (Type "SourceForest\Administrator")
     Export-AutodiscoverConfig -TargetForestDomainController "dc.sourceforest.com" -TargetForestCredential $a -MultipleExchangeDeployments $true
     

     Nota

     Después de importar el SCP de un dominio remoto, el servicio Detección automática tal vez no funcione correctamente y los clientes de Outlook 2007 quizá no puedan consultar la información de disponibilidad o de Fuera de la oficina. Para obtener información sobre cómo solucionar este problema, consulte 973404, Descripción del paquete de revisión de Outlook 2007 (Outlook-x-none.msp): 25 de agosto de 2009

   • En un escenario de confianza o de no confianza, el servidor de acceso de cliente de Exchange 2007 está configurado para consultar DNS para resolver "autodiscover.targetforest.com." En este caso, cree un registro de host para "autodiscover.targetforest.com."

     Nota

     El servicio Detección automática devolverá la URL interna de disponibilidad del servidor de acceso de cliente de Exchange 2007.

4. Cuando se tiene un bosque de confianza o sin confianza, el servidor de acceso de cliente de Exchange 2007 del bosque de origen debe validar el certificado instalado en cada servidor de acceso de cliente de Exchange 2007 en el bosque de destino. Para asegurarse de que está usando un certificado válido, siga estos pasos:

   1. Si hay instalado un certificado autofirmado en el servidor de acceso de cliente de Exchange 2007 del bosque de destino, debe exportarlo. El mismo concepto se aplica si hay una CA de raíz interna y se instala un certificado privado. Exchange 2007 se instala con un certificado predeterminado autofirmado de Capa de sockets seguros (SSL). Puede usar este certificado cuando habilite SSL para Exchange ActiveSync, Office Outlook Web Access y el servicio de disponibilidad. Sin embargo, los usuarios recibirán un aviso porque la mayoría de las aplicaciones cliente consideran que el certificado no es válido. Exchange ActiveSync y Office Outlook Web Access admiten el proxy de un servidor de acceso de cliente a otro. Para que el proceso del proxy funcione correctamente cuando se usa un certificado autofirmado, se deben configurar las siguientes claves del Registro como se muestra a continuación:

      HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1 
      HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternalUntrustedCerts = 1
      

   2. Después de exportar el certificado autofirmado o el certificado CA raíz, lo importará al almacén de cuentas de equipo de cada servidor de acceso de cliente de Exchange 2007.

5. Para probar correctamente los servicios Disponibilidad y Detección automática, siga uno de estos métodos:

   • SCP exportado: Desde el servidor de acceso de cliente de Exchange 2007 del bosque de origen, vaya al sitio web de detección automática y ejecute el cmdlet siguiente en el bosque de destino:

     Get-ClientAccessServer | fl name, AutoDiscoverServiceInternaluri
     Get-WebServiceVirtualDirectory | fl name, InternalUrl
     

     Repita este procedimiento en el sitio web del servicio de disponibilidad del bosque de destino.

   • DNS: Desde el servidor de acceso de cliente de Exchange 2007 del bosque de origen, vaya al sitio web de detección automática y ejecute el cmdlet siguiente en el bosque de destino:

     Get-WebServicesVirtualDirectory | fl name, ExternalUrl
     

     Repita este procedimiento en el sitio web del servicio de disponibilidad del bosque de destino.

Para obtener más información

Para obtener información detallada sobre la sintaxis y los parámetros, consulte los siguientes temas de referencia de los cmdlet:

• Get-ClientAccessServer

• Add-ADPermission

• Add-AvailabilityAddressSpace

• Set-AvailabilityConfig