Consideraciones especiales acerca de topologías de modo mixto
Última modificación del tema: 2005-05-06
En este tema se tratan los acuerdos de conexión únicamente en lo que respecta a las carpetas públicas. Para obtener una descripción detallada de las topologías de modo mixto (topologías que contienen servidores de Exchange Server 2003 y de Exchange Server 5.5), incluido cómo configurar el Conector de Active Directory (ADC) y cómo utilizar acuerdos de conexión, consulte "Migrating from Exchange Server 5.5" y "Upgrading Mixed Exchange 2000 Server and Exchange Server 5.5 Organizations" en Exchange Server 2003 Deployment Guide.
Los acuerdos de conexión que mantiene el Conector de Active Directory sincronizan la información de usuarios y de grupos, la información de carpetas públicas y otra información de configuración entre el directorio de Exchange Server 5.5 y Active Directory. Con esta información en su lugar, los mensajes de replicación se transmiten entre servidores de Exchange Server 2003 y de Exchange Server 5.5 de la misma manera que entre servidores de Exchange Server 2003.
Nota
Los servidores de Exchange Server 5.5 pueden alojar réplicas de carpetas del árbol Carpetas públicas. No pueden alojar réplicas de carpetas procedentes de árboles de carpetas públicas de propósito general.
Acuerdos de conexión y replicación de carpetas públicas
Los tres tipos de acuerdos de conexión (acuerdos de conexión de configuración, acuerdos de conexión de usuario y acuerdos de conexión de carpeta pública) son importantes para la replicación de carpetas públicas.
Importante
Exchange Server 5.5 no admite árboles de carpetas públicas de propósito general. No obstante, puede configurar servidores de Exchange Server 5.5 para la participación en el enrutamiento de mensajes de replicación para árboles de propósito general. Para ello, debe agregar entradas al directorio de Exchange Server 5.5 para los almacenes de carpetas públicas de propósito general, en un contenedor especial llamado Objetos de configuración de Exchange 2003.
Acuerdos de conexión de configuración
Los acuerdos de conexión de configuración (CA de configuración) replican objetos de configuración de grupos administrativos y sitios entre Exchange Server 5.5 y Active Directory. El programa de instalación de Exchange crea acuerdos de conexión de configuración automáticamente. En las siguientes tablas se enumeran atributos importantes que los CA de configuración pueden utilizar. Estos atributos se utilizan en la replicación del árbol Carpetas públicas entre los servidores de Exchange Server 2003 y Exchange Server 5.5.
Atributos que el ADC replica desde el objeto Site-MDB-Config de Exchange Server 5.5 al objeto Grupo administrativo de Active Directory
| Exchange Server 5.5 | Active Directory | Descripción |
|---|---|---|
Site-Folder-Guid |
siteFolderGUID |
Identificación de las carpetas de este sitio. |
Site-Folder-Server |
siteFolderServer |
Nombre del servidor responsable de alojar las carpetas del sitio (normalmente se trata del primer servidor del sitio o del grupo administrativo). |
Folders-Container |
msExchPfCreation |
Ubicación en la que se crean las entradas de directorio de la carpeta pública en Exchange Server 5.5. Si este atributo no está presente, se utiliza el contenedor Destinatarios. En Exchange Server 2003, el almacén lee este atributo durante el inicio para determinar qué LegacyExchangeDN debe utilizar cuando se cree una carpeta en Exchange Server 2003. Con este atributo, el acuerdo de conexión de carpeta pública replicará de nuevo la carpeta en el contenedor correcto de Exchange Server 5.5. |
Atributos que el ADC replica desde el objeto Microsoft Public MDB de Exchange Server 5.5 a un objeto Almacén de carpetas públicas de Active Directory
| Exchange Server 5.5 | Active Directory | Descripción |
|---|---|---|
Obj-Dist-Name |
LegacyExchangeDN |
Realiza un seguimiento del nombre del almacén de carpetas públicas compatible con Exchange Server 5.5. |
Email Addresses |
proxyAddresses |
Identifica las direcciones de correo electrónico correspondientes al almacén de carpetas públicas. |
Home-MTA |
HomeMTA |
Replica el Home-MTA(MTA de origen) en Exchange Server 5.5, de manera que éste pueda enrutar los mensajes de replicación a Exchange Server 2003. |
Los servidores de Exchange Server 5.5 pueden enrutar mensajes de replicación para árboles de carpetas públicas de propósito general. En la siguiente tabla se enumeran los atributos que hacen posible esta función. Estos atributos se replican desde Active Directory al contenedor Objetos de configuración de Exchange Server 2003 en el directorio de Exchange Server 5.5.
Atributos que se replican desde Active Directory al contenedor Objetos de configuración de Exchange Server 2003 en Exchange Server 5.5
| Active Directory | Exchange Server 5.5 | Descripción |
|---|---|---|
LegacyExchangeDN |
Modified Obj-Dist-Name |
El atributo LegacyExchangeDN no se asigna directamente al atributo Obj-Dist-Name. (De lo contrario, el objeto de almacén de carpetas públicas de propósito general estaría en el mismo contenedor que los objetos de almacén de carpetas públicas del árbol Carpetas públicas). En su lugar, el objeto se coloca en el contenedor Objetos de configuración de Exchange Server 2003. |
LegacyExchangeDN |
X.500 Pilgrim Address |
Replica a una dirección X.500, o peregrina, adicional. |
HomeMTA |
Home-MTA |
Replica el valor de Home-MTA en Exchange Server 5.5, de manera que éste pueda enrutar los mensajes de replicación a Exchange Server 2003. |
proxyAddresses |
Email Addresses |
Replica las direcciones de correo electrónico del almacén al objeto de almacén en Exchange Server 5.5. |
Importante
Si necesita poder utilizar un conector para correo de Internet (IMC) de Exchange Server 5.5 para replicar información de un árbol de carpetas públicas de propósito general, debe configurar una dirección proxy X.500 adicional para el objeto de almacén de propósito general en el directorio de Exchange Server 5.5. Utilice el atributo Obj-Dist-Name de Exchange Server 5.5 para la nueva dirección proxy.
Acuerdos de conexión de usuario
Los acuerdos de conexión de usuario replican buzones, destinatarios personalizados y listas de distribución de Exchange Server 5.5 a usuarios, contactos y grupos de Active Directory. Puesto que estos objetos se utilizan en las listas de control de acceso (ACL) a carpetas públicas, resulta fundamental que esta información se replique correctamente.
Acuerdos de conexión de carpeta pública
Los acuerdos de conexión de carpeta pública replican los objetos de directorio de carpetas públicas entre Exchange Server 5.5 y Active Directory. En Exchange Server 5.5, todas las carpetas públicas tienen objetos de directorio. En Exchange Server 2003, únicamente las carpetas públicas habilitadas para correo tienen objetos de directorio. De forma predeterminada, las carpetas del árbol Carpetas públicas se habilitan automáticamente para correo en el modo mixto.
La configuración de acuerdos de conexión de carpeta pública puede evitar los problemas siguientes:
- Las carpetas creadas en Exchange Server 2003 no se pueden administrar desde Exchange Server 5.5 si no tienen una entrada de directorio en el directorio de Exchange Server 5.5. El programa administrativo de Exchange Server 5.5 requiere objetos de directorio para todas las carpetas públicas.
- Las carpetas creadas en Exchange Server 5.5 que no tengan un objeto en Active Directory generan errores si se administran con el Administrador del sistema de Exchange. La carpeta tiene propiedades que indican que está habilitada para correo, por lo que el Administrador del sistema de Exchange intenta encontrar el objeto de directorio correspondiente a esta carpeta. El error se puede solucionar y la carpeta todavía se puede administrar, pero recibirá el error cada vez que trabaje con la carpeta. Además, un administrador puede intentar de nuevo habilitar la carpeta para correo y crear un objeto independiente para la carpeta en Active Directory. En tal caso, si se establece un acuerdo de conexión de carpeta pública en algún momento, habrá dos objetos de directorio para la misma carpeta y los mensajes de correo electrónico enviados a la carpeta serán devueltos como no entregados.
- Si los objetos de carpeta no se replican correctamente, un administrador que ejecute el ajustador de coherencia de DS/IS en Exchange Server 5.5 podrá crear objetos de carpeta en el directorio de Exchange Server 5.5 que no correspondan a los objetos de carpeta en Active Directory. En tal caso, si se establece un acuerdo de conexión de carpeta pública en algún momento, habrá dos objetos de directorio para la misma carpeta y los mensajes de correo electrónico enviados a la carpeta serán devueltos como no entregados.
- En el futuro puede ser necesario enviar una carpeta en un mensaje de correo electrónico. Si se han quitado todos los servidores de Exchange Server 5.5 para cuando se necesita esta funcionalidad, ya no habrá ningún lugar de donde replicar los objetos de directorio, por lo que deberán actualizarse las carpetas manualmente (o habilitarlas de nuevo para correo mediante una secuencia de comandos).
Detalles de la replicación de objetos de carpetas públicas entre Active Directory y el directorio de Exchange Server 5.5
| De Exchange Server 5.5 a Active Directory | De Active Directory a Exchange Server 5.5 |
|---|---|
Se buscan los objetos de carpetas públicas en el directorio de Exchange Server 5.5, comenzando desde el nivel de sitio. Esto significa que se buscan los objetos de carpetas públicas en todos los contenedores, no sólo en el contenedor Destinatarios. |
Se buscan los objetos de carpetas públicas en el contenedor Objetos de sistema de Microsoft Exchange en Active Directory. Éste es el único contenedor de Active Directory que tiene objetos de carpetas públicas. |
Los objetos de carpetas públicas se replican al contenedor Objetos de sistema de Microsoft Exchange en Active Directory. |
Los objetos de carpetas públicas se replican al contenedor del directorio de Exchange Server 5.5 indicado mediante el valor de LegacyExchangeDN (que establece el almacén cuando se crea la carpeta, según el valor de msExchPfCreation). A menos que se especifique otro contenedor, el objeto se colocará en el contenedor Destinatarios. |
Los atributos Home-MTA y Home-MDB no se replican porque no son importantes para Exchange Server 2003. |
Los atributos HomeMDB y targetAddress no se replican porque no son importantes para Exchange Server 5.5. |
Cómo evitar problemas de replicación habituales en el modo mixto
Muchos problemas habituales relacionados con la replicación de carpetas públicas en el modo mixto son debidos a dos causas:
- Cuando una ACL de una carpeta pública en Exchange Server 5.5 contiene una lista de distribución, la ACL de una réplica de la carpeta en Exchange Server 2003 debe contener un grupo de seguridad de Active Directory. Si la topología está configurada correctamente, las conversiones de la lista de distribución de Exchange Server 5.5 a un grupo de distribución de Active Directory y después a un grupo de seguridad de Active Directory deben ser automáticas. Para obtener más información, consulte "Tipos de grupos utilizados en las listas de control de acceso" más adelante en este tema.
- Cuando una ACL de una carpeta pública contiene un usuario, Exchange Server 2003 debe poder localizar a este usuario en Active Directory. Cuando una ACL replicada desde Exchange Server 5.5 contiene un usuario que ya no existe (o, por algún otro motivo, Exchange Server 2003 no puede identificar un objeto de usuario coincidente en Active Directory), Exchange Server 2003 no puede procesar la ACL. Hasta que se solucione el problema, únicamente el propietario de la carpeta podrá tener acceso a ella. Para obtener detalles, consulte "Usuarios desconocidos en las listas de control de acceso" más adelante en este tema.
En esta sección se describe cómo evitar estos problemas. Para obtener instrucciones acerca de cómo identificar y resolver estos problemas cuando se producen, consulte Problemas con Problemas con los permisos en un entorno mixto de Exchange Server 2003 y Exchange Server 5.5.
Tipos de grupos utilizados en listas de control de acceso
Exchange Server 5.5 utiliza listas de distribución para la entrega de mensajes y el control del acceso, mientras que Exchange Server 2003 las utiliza únicamente para la entrega de mensajes. Exchange Server 2003 utiliza grupos de seguridad de Active Directory para el control del acceso. ADC replica listas de distribución de Exchange Server 5.5 a grupos de distribución universales (UDG) de Active Directory. Cuando Exchange Server 2003 procesa la ACL de una carpeta pública y encuentra un UDG, intenta inmediatamente actualizar el UDG a un grupo de seguridad universal. El grupo de seguridad universal reemplazará posteriormente al UDG en la ACL.
Importante
El UDG debe encontrarse en un dominio en modo nativo de Microsoft Windows Server 2003 o Microsoft Windows 2000 para permitir que Exchange Server 2003 lo actualice a un grupo de seguridad universal. En un entorno mixto de Exchange Server 2003 y Exchange Server 5.5, ADC muestra una advertencia si se replican listas de distribución de Exchange Server 5.5 a un dominio que no esté en modo nativo.
Exchange Server 2003 no puede convertir un UDG en un grupo de seguridad universal si se dan las siguientes circunstancias:
- El UDG reside en un dominio de Windows 2000 o Windows Server 2003 de modo mixto.
- Se ha convertido manualmente un grupo de seguridad universal en un UDG.
- No se ha replicado la pertenencia del UDG a Active Directory.
Importante
Evite el uso de UDG como miembros de grupos de seguridad universales. Exchange Server 2003 no realiza una comprobación para determinar si los miembros del grupo son grupos que es necesario convertir. Como resultado, si un grupo de seguridad universal de un ACL tiene miembros que son UDG, éstos se omiten y la ACL no se exige correctamente.
Usuarios desconocidos en listas de control de acceso
Un usuario desconocido (a veces denominado usuario "zombi") es aquél que aparece en una lista de control de acceso (ACL), pero que carece de cuenta. La forma más frecuente en que se produce esta situación es la siguiente. Cuando la topología era exclusivamente de Exchange Server 5.5, se eliminó un usuario de Exchange Server 5.5 al que se habían concedido permisos para las carpetas públicas de Exchange Server 5.5. Más tarde, cuando la carpeta pública se replica en Exchange Server 2003, sigue habiendo referencias a ese usuario en la ACL. Exchange Server 2003 no puede procesar la ACL porque no puede encontrar al usuario en Active Directory. Hasta que se solucione el problema, únicamente el propietario de la carpeta podrá tener acceso a ella. De esta manera se protege la carpeta contra el acceso de los usuarios a los que se les ha denegado explícitamente permisos sobre la carpeta. Exchange Server 2003 también registrará un suceso 9551 cuando haya establecido los permisos de una carpeta en "sólo el propietario". Para obtener más información acerca del suceso 9551 y otros sucesos que se pueden producir al replicar información entre Exchange Server 2003 y Exchange Server 5.5, consulte Diagnóstico y reparación de problemas de almacén de Exchange Server 2003.
Para obtener información detallada acerca de cómo Exchange Server 2003 convierte las ACL cuando las carpetas se replican de Exchange Server 5.5 a Exchange Server 2003, consulte "Anatomy of Object Level Access Control" en Working with Store Permissions in Microsoft Exchange 2000 and 2003. En concreto, consulte la subsección "Special Considerations for Coexisting Exchange 2000 and Exchange 5.5 Servers". La información de este artículo técnico corresponde tanto a Exchange Server 2003 como a Exchange 2000 Server.
La mejor manera de evitar la existencia de usuarios desconocidos es ejecutar el ajustador de coherencia de la utilidad DS/IS de Exchange Server 5.5 antes de comenzar a replicar carpetas públicas a Exchange Server 2003. De esta manera, se eliminarán los usuarios desconocidos de las ACL.
En algunas circunstancias, Exchange Server 2003 puede tratar a los usuarios desconocidos de otras maneras:
- Si la carpeta se ha replicado desde Exchange Server 5.5 anteriormente sin problemas, pero repentinamente aparece un usuario desconocido en la ACL, Exchange Server 2003 omite al usuario desconocido y procesa el resto de la ACL de la manera normal. En este caso se supone que se ha eliminado un usuario en Exchange Server 5.5, o que se ha agregado un nuevo usuario en Exchange Server 5.5 y que todavía no se ha replicado a Active Directory. El problema debería solucionarse solo en el siguiente intervalo de replicación de ADC.
- Si ha quitado todos los servidores de Exchange Server 5.5 y ha cambiado Exchange Server 2003 al modo nativo, Exchange Server 2003 supondrá que el usuario se ha eliminado y quitará el usuario desconocido de la ACL.
En algunos casos, puede establecer una clave del Registro que indique a Exchange que elimine los usuarios desconocidos de la ACL mientras esté en el modo mixto. Se recomienda establecer únicamente esta clave del Registro cuando sea absolutamente necesario (por ejemplo, si tiene un pequeño subconjunto de usuarios desconocidos y se pueden eliminar todos de forma segura de las ACL de carpetas públicas). Por otro lado, si el usuario era desconocido temporalmente debido a un retraso de la replicación (como se ha descrito en la lista anterior), habrá perdido la información de los permisos de ese usuario.
Advertencia
Al eliminar usuarios desconocidos, si estos usuarios tienen permisos de acceso concedidos o denegados para carpetas públicas, dichos permisos pueden perderse. No se recomienda eliminar usuarios desconocidos a largo plazo.
Para obtener los pasos detallados para omitir temporalmente los usuarios desconocidos en un servidor de Exchange Server 2003 que contiene réplicas de carpetas públicas, consulte Cómo ignorar temporalmente a los usuarios desconocidos en un servidor de Exchange Server 2003 que contenga réplicas de carpetas públicas.