• Artículo

Preguntas y respuestas sobre ExchangeFunciones de transporte de Hub y Edge, máquinas virtuales, etc.

KC Lemson and Nino Bilic

En la entrega de mayo de 2007 de Preguntas y respuestas sobre Exchange, hablamos acerca de los problemas de almacenar los archivos .pst en recursos compartidos de red. El equipo de rendimiento de Windows Server inició recientemente un blog y abordó

este tema con todos los detalles técnicos, así que queremos proporcionarles el vínculo. Ahora vayamos a las preguntas.

P ¿Es obligatorio implementar la función de servidor Edge si deseo implementar Microsoft Exchange Server 2007?

R No, no es obligatorio implementar Edge para implementar Exchange Server 2007. Puede tener un único equipo que ejecuta funciones de servidor de núcleo (tales como buzón, acceso de cliente y transporte de concentrador) que aceptan correo electrónico de Internet para el dominio y ejecutan programas contra correo electrónico no deseado y antivirus.

P ¿Cuáles son las diferencias entre las funciones de servidor de transporte Hub y Edge? ¿Qué pierdo si no implemento Edge?

R El propósito principal de la función de perímetro es dirigir correo dentro de la organización y aplicar directivas de negocio a esos mensajes. Con la función de Hub, las reglas de transporte se basan en objetos de Active Directory®; usuarios, listas de distribución, etc. La función de Hub también permite agregar renuncias de responsabilidad a mensajes o realizar registro de mensajes enviados a grupos de usuarios porque querrá probablemente basar esas reglas en la pertenencia a Active Directory. Por ejemplo, puede realizar el registro de todos los mensajes enviados a DLOfUsersOnLitigationHold o agregar renuncias de responsabilidad al correo saliente enviado por DLOfMembersOfLegalTeam. Aunque es posible ejecutar agentes contra correo electrónico no deseado en el servidor Hub, no están habilitados de forma predeterminada y necesitará instalarlos manualmente mediante la secuencia de comandos install-antispamagents disponible en el directorio \scripts del servidor.

El propósito principal de la función de Edge es dirigir el correo dentro y fuera de la organización así como realizar la limpieza de mensajes (contra correo electrónico no deseado, antivirus, filtrado de contenido o datos adjuntos, etc.) en esos mensajes. La funcionalidad contra correo electrónico no deseado está lista para usar en un servidor Edge y se habilita durante la instalación. Una de las características exclusivas de la función de Edge es que no es necesario estar unido a un dominio Windows®; se puede ejecutar en una instalación de Windows Server® independiente que no es parte de un dominio Windows, pero el perímetro todavía se puede administrar como parte de la organización Exchange 2007 en su bosque corporativo.

Esto es especialmente ventajoso en una red de perímetro donde quizás desee que el servidor esté en un grupo de trabajo, o puede tener un bosque explícitamente separado para equipos en la red de perímetro. De manera conveniente, los servidores Edge implementados en esta situación pueden realizar toda la limpieza de mensajes y dirigir correo entre la red corporativa e Internet, mientras que todavía se pueden administrar de una manera coherente con el resto de la administración de sistemas Exchange 2007.

En un servidor Edge, las reglas de transporte se basan en direcciones SMTP, no en objetos Active Directory. Por supuesto, puede usar direcciones SMTP de las DL o los usuarios en Active Directory. La mayoría de las veces, las reglas de transporte perimetral son un subconjunto de las reglas de transporte de Hub y la excepción es la acción de cuarentena, que sólo está disponible en servidores Edge.

Los servidores Edge también tienen alguna funcionalidad expuesta a través de agentes que no están disponible en el servidor de transporte Hub: eliminación de datos adjuntos y reescritura de direcciones. La eliminación de datos adjuntos es la capacidad de quitar selectivamente datos adjuntos posiblemente peligrosos con extensiones tales como .exe y .com. El agente de reescritura de direcciones permite reescribir los encabezados de correo electrónico para que, por ejemplo, aunque el dominio y direcciones proxy SMTP predeterminadas en cuentas de usuario puedan ser por ejemplo @contoso.com, los mensajes salientes a Internet aparecerán como originados en @northwindtraders.com. Además, los servidores perimetrales sólo realizan enrutamiento basado en dominio o espacio de direcciones, de manera que si comparte el mismo espacio de direcciones SMTP entre Exchange y otro sistema de correo electrónico, necesitará realizar ese enrutamiento en el servidor Hub o bien de común acuerdo con el agente de reescritura de direcciones en el servidor Edge.

Otro factor importante es si un servidor Exchange 2007 se conecta directamente a Internet (se trate de la función de servidor Edge o Hub). Es decir, las conexiones al puerto 25 en el registro MX del dominio, ¿están conectadas a Exchange 2007 de alguna manera? Es posible que tenga una puerta de enlace SMTP, pared antivirus u otra solución conectada a Internet que acepte correo para el dominio y lo pase a Exchange dentro de la red corporativa. Si implementa servidores Edge o Hub directamente conectados a Internet, entonces puede aprovechar alguna de las características más ingeniosas de Exchange 2007: agregación de safelist. Con la agregación de safelist, los usuarios que agregan remitentes a su lista segura en Microsoft Outlook® (típicamente lo hacen para boletines de Internet o correo electrónico de distribuidores) conseguirán que esas listas se propaguen con seguridad a las funciones de Edge o Hub para que los mensajes de esos remitentes eludan el filtrado de contenido. Por supuesto, el correo no deseado de un usuario es el valioso boletín de otro, de manera que la agregación de safelist se realiza por usuario. Puede obtener más información acerca de este funcionamiento en la documentación de Exchange 2007.

Si se decide por una implementación en la que un servidor que ejecuta la función de Hub acepta correo electrónico de Internet para su dominio, hay unas pocas cosas a tener en cuenta. Por supuesto, primero debe estar seguro que tiene un firewall o solución de filtrado de puertos eficaz para que el servidor sólo reciba conexiones en los puertos necesarios, como el puerto 25. Recuerde también que necesitará instalar agentes contra correo electrónico no deseado porque no están instalados ni habilitados de forma predeterminada. Debido a que el escenario de implementación más frecuente del servidor Hub es dentro de la red corporativa, la configuración de fábrica no permite conexiones anónimas; necesitará comprobar el grupo de permisos AnonymousUsers en el conector de recepción del puerto 25. También querrá asegurar que habilita la agregación de safelist y programa su ejecución periódica para que cuando los usuarios actualicen safelists en sus buzones, el correo para esos usuarios en sus listas seguras de remitentes eluda el filtrado de contenido. Puede obtener más detalles en nuestro blog.

El código siguiente muestra un comando AT que actualiza diariamente todos los buzones a las 23:00 h. en todos los servidores mediante un archivo por lotes denominado SafeList.bat:

at 23:00 /every:M,T,W,Th,F,S,Su cmd /c 
“D:\SafeList.bat”

Este código muestra el contenido del archivo SafeList.bat:

“d:\Program Files\Microsoft Command Shell\v1.0\Powershell.exe” 
-psconsolefile “d:\Program Files\Microsoft\Exchange Server\bin\exshell.psc1” -command 
“get-mailbox | where {$_.RecipientType 
-eq [Microsoft.Exchange.Data.Directory.Recipient.RecipientType]::UserMailbox } | update-safelist”

Si necesita comprobar que la configuración funciona correctamente, encontrará más información en la documentación de Exchange 2007.

P Después de arrancar mi imagen de Virtual PC que contiene Exchange, sigo teniendo problemas para consultar el directorio o el servidor LDAP. Si ejecuto Telnet a 389 funciona y todos los servicios se ejecutan. ¿A qué se debe?

R Tuve este problema el año pasado en Tech•Ed. Tenía una copia de Virtual PC en mi equipo portátil que había copiado de un equipo en el trabajo, y planeaba usarla para hacer demostraciones para miembros de la prensa que publicaban artículos que coincidían con el lanzamiento de Exchange 2007 Beta 2 el mes siguiente.

Había realizado un millón de demostraciones del producto y sabía que era sólido, así que no lo preparé a fondo. Puede imaginarse el sudor en mi frente cuando arranqué mi Virtual PC el lunes por la mañana, apenas unas horas antes de la primera reunión, y cada parte de mi compilación insistía en que no se podía poner en contacto con un controlador de dominio. Gracias a la alta concentración de amigos súper inteligentes en la cabaña, pudimos resolverlo rápidamente.

El problema que tuve en el desastre de Tech•Ed fue el resultado de ejecutar Virtual PC en mi equipo portátil súper lento. La raíz del problema fue una condición de carrera con DNS y Active Directory. El servidor DNS en la imagen se configuró integrado con Active Directory, pero debido a la secuencia de carga de los servicios en la imagen (y, digamos, a la falta de eficacia de mi equipo portátil), los servicios de directorio necesarios no se habían iniciado cuando el servidor DNS intentó ponerse en contacto con Active Directory.

Esta situación puede suceder en cualquier servidor en que DC y Exchange se encuentren en el mismo equipo (no tiene que ser una imagen virtualizada), pero es mucho más probable que suceda en un entorno virtual donde existe un retraso adicional, especialmente en un equipo portátil no tan eficaz, similar al mío.

También he visto que sucede un problema semejante con imágenes de Virtual PC que se copian entre dos equipos, especialmente cuando uno de esos equipos está en una red diferente. Si esto le sucede, compruebe la dirección IP del sistema operativo en la imagen; es posible que tenga una dirección IP obsoleta de la antigua red. Actualícela para obtener una dirección IP de la nueva red y vea si esto ayuda.

Para evitar esta clase de problemas en el futuro, una alternativa es hacer que el servidor DNS en el invitado no esté integrado con Active Directory, así como instalar DNS tanto en el host como en el invitado. Haga que el invitado reenvíe los registros desconocidos al host y a la vez, que el host los reenvíe también al servidor DNS apropiado. Cuando su imagen arranque e intente actualizar los registros DNS, será menos propensa a errores.

P Parece que la instalación de Exchange 2007 es bastante diferente de la instalación de versiones anteriores de Exchange. ¿Cómo funciona?

R Sí, sin duda, hay varias etapas de instalación de Exchange 2007. A continuación presento una introducción general de cómo funciona el proceso completo.

Cuando ejecuta setup.exe por primera vez, se inicia un proceso que le ofrece los vínculos de la mayor parte de los requisitos previos que necesita instalar antes de comenzar con la instalación de las funciones de servidor reales. Una vez instalados todos esos requisitos previos, queda disponible el vínculo de instalación de Microsoft Exchange para hacer clic en él. (consulte la figura 1).

Figura 1 Vínculo de instalación disponible después de que se cumplen los requisitos previos

Figura 1** Vínculo de instalación disponible después de que se cumplen los requisitos previos **

Si ejecutó setup.exe de la red e hizo clic en el vínculo de instalación, los archivos de instalación de núcleo se copian en la carpeta %TEMP%\ExchangeServerSetup\ en el equipo local. A continuación, se inicia el asistente para la instalación.

El asistente para la instalación le guiará por las distintas opciones tales como, por ejemplo, contrato de licencia, informe de errores y tipo de instalación (donde puede elegir las funciones de servidor que desea instalar). Las páginas del asistente variarán en función de la presencia y del estado de la organización Exchange actual (si existe).

Una vez completada, la instalación ejecutará una comprobación de preparación. En realidad es una versión modificada de Best Practices Analyzer (BPA) de Microsoft Exchange Server, que, de forma predeterminada, se conectará a Internet para descargar el archivo XML de requisitos previos más reciente. Esto proporciona una oportunidad de actualizar periódicamente los requisitos previos o solucionar cualquier problema que el equipo de Exchange conozca desde que el producto se lanzó al mercado. Cuando completa la comprobación de requisitos previos, podrá revisar los resultados y continuar; de otro modo verá cualquier problema que puede necesitar resolver antes de continuar con la instalación. Si el servidor no supera la comprobación de requisitos previos, el asistente le permitirá volver a intentar la comprobación en la mayoría de los casos.

Una vez aprobada la comprobación de requisitos previos, obtendrá el botón de instalación que le permite iniciar la instalación de cualquier función seleccionada anteriormente. Sólo se copiarán e instalarán los archivos para las funciones seleccionadas.

Al final de la instalación, podrá iniciar la consola de administración de Exchange, así como aplicar cualquier actualización de Exchange 2007 que pueda estar disponible.

KC Lemson es la administradora de experiencias del usuario para Exchange Server. Su cuenta bancaria en línea ha sido temporalmente suspendida.

Nino Bilic es administrador de programas de compatibilidad para Exchange Server. Recientemente agregó una dirección secundaria de correo electrónico a su tarjeta de crédito.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.