Diseño de Active Directory con Exchange Server en mente
Última modificación del tema: 2005-05-16
Exchange 2003 utiliza el servicio de directorio Active Directory® para almacenar y compartir información de directorio con Windows Server. Dado que ambos componentes están integrados de forma muy estrecha, debería incluir en las tareas de diseño una profunda investigación sobre la influencia de Exchange en el diseño de Active Directory, y viceversa.
En caso de que Active Directory ya esté implementado, es importante conocer su estructura y el modo en que Exchange encaja en ella. En este tema se detallan los aspectos más relevantes.
Si aún no ha implementado Active Directory, contará con la ventaja de poder diseñar su infraestructura pensando en Exchange. Para obtener información exhaustiva acerca de la implementación de Active Directory, consulte las siguientes fuentes:
- Kit de implementación de Windows Server 2003 (https://go.microsoft.com/fwlink/?linkid=25197)
- Best Practice Active Directory Design for Exchange 2000 (https://go.microsoft.com/fwlink/?LinkId=17837). (este documento versa sobre Exchange 2000, si bien la información que recoge también es aplicable a Exchange 2003).
Para obtener más información acerca de métodos recomendados para integrar Exchange 2003 con Active Directory, consulte "Diseño de Active Directory y del modelo administrativo".
El resto de este tema trata el modo de evaluar el diseño actual de Active Directory en relación con Exchange en las siguientes áreas:
- Estructura física del sitio
- Partición del dominio y del bosque
- Administración
- Controlador de dominio y colocación del servidor de catálogo global
Estructura física del sitio
Comience por evaluar la ubicación de los sitios de Windows Server y las conexiones entre ellos, tal y como se ha descrito anteriormente en "Descripción del entorno de red actual". Exchange utiliza la infraestructura de red de Windows, de manera que no tiene que crear y mantener una infraestructura independiente para Exchange. Un aspecto relevante que no debe olvidarse es el tipo de estructura del enrutamiento punto a punto; así, deberá determinar si el sitio A puede establecer una comunicación con el sitio C a través del sitio B, o bien si hay restricciones en el enrutamiento.
Partición del dominio y del bosque
Dado que Exchange y Active Directory se integran de forma muy estrecha, no cabe duda de que la estructura de bosque de Active Directory influye directamente en el diseño de Exchange. Existe una relación uno a uno entre un bosque de Active Directory y una organización de Exchange, por lo que una organización de Exchange sólo puede abarcar un bosque de Active Directory. Del mismo modo, un bosque de Active Directory sólo puede alojar una organización de Exchange. El conocimiento de la estructura de bosque actual y la lógica que hay detrás de tales decisiones sobre el diseño sirven para optar por usar un bosque existente o por crear uno nuevo a la hora de alojar Exchange.
Si bien el diseño que se recomienda para Active Directory consiste en un solo bosque para la toda la organización, ésta puede contener varios bosques que representen unidades de negocio independientes. Una de las razones por las que la organización pueda requerir este diseño es que necesite establecer estrictos límites de seguridad entre los directorios en cada una de las unidades de negocio.
En un entorno con más de un bosque, será necesario determinar cuál va a ser el que aloje a Exchange. Para reducir la carga administrativa, deberá implementar asimismo un método de distribución para propagar los cambios efectuados en un bosque al resto, como, por ejemplo, Microsoft Identity Integration Manager (MIIS). Otra opción consiste en crear un bosque independiente que se encargue de ejecutar Exchange. Para obtener más información acerca de cómo reducir la carga administrativa, consulte "Diseño de Active Directory y del modelo administrativo".
Importante
Se aconseja establecer un solo bosque de Active Directory para toda la organización. No obstante, si la compañía precisa fijar estrictos límites de seguridad entre unidades de negocio, es probable que necesite crear más de un bosque. En Active Directory, un bosque forma un estricto límite de seguridad, que quiere decir que los administradores en el bosque permanecen aislados del resto de los bosques. Sin embargo, los principales límites administrativos son los dominios. Para obtener más información acerca del diseño y la administración de Active Directory, consulte Best Practice Active Directory Design for Managing Windows Networks(https://go.microsoft.com/fwlink/?LinkId=18348) y Design Considerations for Delegation of Administration in Active Directory(https://go.microsoft.com/fwlink/?LinkId=18349)..
Empiece por recabar información sobre los bosques, dominios y sitios de Windows que conforman la organización. Anote los servidores de cada dominio y el software del sistema operativo que se ejecuta en cada servidor. Asimismo, anote los grupos o los usuarios individuales que poseen cada bosque, dominio y sitio de Windows.
Administración de Active Directory
Otra consideración relevante es el modelo administrativo que se sigue en la organización. Puesto que Exchange 2003 utiliza Active Directory, la administración de Exchange se realiza en combinación con el sistema operativo. Active Directory proporciona el modo de delegar la autoridad administrativa en objetos de directorio a través de unidades de organización en Usuarios y equipos de Active Directory. Es posible delegar permisos administrativos de Windows en el nivel de unidad de organización de Active Directory. Para la administración del servidor de Exchange, puede reunir servidores en un solo grupo administrativo, en el que asimismo delega permisos.
Al documentar los servidores que componen cada dominio en un bosque, haga lo propio también con los grupos o individuales a los que se ha otorgado permisos administrativos de Active Directory. A continuación, y según sean los requisitos de negocio, puede utilizar esta información para establecer la forma en que los servidores de Exchange han de administrarse. Para obtener más información acerca de cómo diseñar su modelo administrativo, consulte "Diseño de Active Directory y del modelo administrativo".
Controlador de dominio y colocación del servidor de catálogo global
Al documentar los servidores de cada dominio, identifique los controladores de dominio y los servidores de catálogo global, ya que esta información resulta de importancia extrema en el diseño de una organización de Exchange. La razón es que es necesario saber el modo en que los usuarios de sitios diferentes inician sesión, además del modo en que la información de la lista global de direcciones va a reproducirse a través del bosque. Un controlador de dominio se halla limitado por el dominio en el que está instalado. La función de un servidor de catálogo global en Active Directory consiste en conservar un atributo parcial fijado para objetos de usuario a través de todos los dominios en el bosque. Es posible que necesite realizar algunos cambios en la colocación de estos servidores para Exchange. Para obtener más información acerca de la ubicación del servidor de Active Directory, consulte "Diseño de Active Directory y del modelo administrativo".