Planeamiento de accesos a Active Directory

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2016-11-28

Microsoft Exchange Server 2010 almacena toda la información de configuración y destinatario en la base de datos del servicio de directorio de Active Directory. Cuando un equipo en el que se ejecuta Exchange 2010 necesita información sobre los destinatarios y la configuración de la organización de Exchange, este tiene que consultar a Active Directory para tener acceso a la información. Los servidores de Active Directory tienen que estar disponibles para que Exchange 2010 funcione correctamente.

En este tema, se explica cómo Exchange 2010 almacena y recupera información en Active Directory de modo que pueda planear el acceso a Active Directory. Además, se analizan problemas que debe tener en cuenta si intenta recuperar objetos de Exchange 2010 Active Directory eliminados.

Información de Exchange almacenada en Active Directory

La base de datos de Active Directory almacena información en tres tipos de particiones lógicas, que se describen en las siguientes secciones:

  • La partición de esquema

  • La partición de configuración

  • La partición de dominio

La partición de esquema

La partición de esquema almacena dos tipos de información: clases de esquema y atributos de esquema. Las clases de esquema definen todos los tipos de objetos que se pueden crear y almacenar en Active Directory. Los atributos de esquema definen todas las propiedades que se pueden usar para describir los objetos que se almacenan en Active Directory.

Cuando se instala el primer rol del servidor de Exchange 2010 en el bosque o se ejecuta el proceso de preparación de Active Directory, el proceso de preparación de Active Directory agrega varias clases y atributos al esquema de Active Directory. Las clases que se agregan al esquema se usan para crear objetos específicos de Exchange, como agentes y conectores. Los atributos que se agregan al esquema se usan para configurar los objetos específicos de Exchange y los usuarios y grupos habilitados para correo. Estos atributos incluyen propiedades, tales como la configuración de MicrosoftOffice Outlook Web Access y la configuración de mensajería unificada de MicrosoftExchange. Cada controlador de dominio y servidor de catálogo global del bosque contiene una réplica completa de la partición del esquema.

Para obtener más información acerca de las modificaciones del esquema en Exchange 2010, consulte Cambios en el esquema de Active Directory de Exchange 2010.

La partición de configuración

La partición de configuración almacena información acerca de la configuración de todo el bosque. Esta información de configuración incluye la configuración de sitios Active Directory, configuración global de Exchange, configuración de transporte, directivas de buzón de correo y planes de marcado de mensajería unificada. Cada tipo de información de configuración se almacena en un contenedor de la partición de configuración. La información de configuración de Exchange se almacena en una subcarpeta, bajo el contenedor de servicios de la partición de la configuración. La información que se almacena en este contenedor incluye lo siguiente:

  • Listas de direcciones

  • Plantillas de dirección y visualización

  • Grupos administrativos

  • Configuración de acceso de cliente

  • Conexiones

  • Directivas de administración de registros de mensajería, móviles y de buzón de correo de mensajería unificada

  • Configuración global

  • Directivas de direcciones de correo electrónico

  • Directivas del sistema

  • Configuración de transporte

Cada controlador de dominio y servidor de catálogo global del bosque contiene una réplica completa de la partición de configuración.

La partición de dominio

La partición de dominio almacena información en contenedores predeterminados y en unidades organizativas que crea el administrador de Active Directory. Estos contenedores contienen los objetos específicos del dominio. Estos datos incluyen objetos del sistema de Exchange e información acerca de equipos, usuarios y grupos de ese dominio. Cuando Exchange 2010 está instalado, Exchange actualiza los objetos de esta partición para admitir la funcionalidad de Exchange. Esta funcionalidad afecta a cómo se almacena la información del destinatario y cómo se obtiene acceso a ella.

Cada controlador de dominio contiene una réplica completa de la partición del dominio para el que está autorizado. Cada servidor de catálogo global del bosque contiene un subconjunto de la información en cada partición de dominio del bosque.

Cómo Exchange 2010 obtiene acceso a la información en Active Directory

Exchange 2010 usa una API de Active Directory para obtener acceso a la información que se almacena en Active Directory. El servicio de topología de Active Directory se ejecuta en todos los roles del servidor de Exchange 2010. Este servicio lee la información de todas las particiones de Active Directory. La información recuperada se guarda en caché y los servidores de Exchange 2010 la usan para detectar la ubicación del sitio de Active Directory de todos los servicios de Exchange de la organización. Para obtener más información acerca de la topología y la detección del permiso, consulte Planeamiento de uso de Active Directory para el enrutamiento de correo.

Exchange 2010 es una aplicación preparada para sitios de Active Directory que prefiere comunicarse con los servidores de directorio situados en el mismo sitio que el servidor de Exchange para optimizar el tráfico de la red. Cada rol del servidor organizativo de Exchange 2010 tiene que comunicarse con Active Directory para recuperar información acerca de los destinatarios y de los otros roles del servidor de Exchange 2010. En las siguientes secciones se describen los datos que obtiene cada función del servidor.

De forma predeterminada, siempre que se inicia un servidor de Exchange 2010, este se enlaza con un controlador de dominio y un servidor de catálogo global seleccionados aleatoriamente en su propio sitio. Puede ver los servidores de directorio seleccionados mediante las propiedades del servidor de Exchange 2010 en la Consola de administración de Exchange o mediante el cmdlet Get-ExchangeServer en el Shell de administración de Exchange. También puede usar el cmdlet Set-ExchangeServer para configurar una lista estática de controladores de dominio a los que se debe enlazar un servidor de Exchange 2010 o una lista de controladores de dominio que se deben excluir.

Importante

Un controlador de dominio de Windows Server 2008 se puede configurar como servidor de directorio de solo lectura. Esta configuración resulta útil si desea implementar un controlador de dominio o un servidor de catálogo global en un sitio remoto para fines de autenticación y autorización, pero no desea que los administradores de ese sitio puedan escribir cambios en Active Directory. No obstante, no podrá implementar un servidor de Exchange 2010 en sitios que contengan servidores de directorio de solo lectura.

Función del servidor de transporte de concentradores

La función del servidor Transporte de concentradores entra en contacto con Active Directory cuando realiza la categorización del mensaje. El categorizador tiene que consultar a Active Directory para realizar la búsqueda de destinatarios y la resolución del enrutamiento. La información que el categorizador obtiene durante la búsqueda del destinatario incluye la ubicación del buzón del destinatario, y cualquier restricción o permiso que se pueda aplicar al destinatario. El categorizador también tiene que consultar a Active Directory para expandir la pertenencia de las listas de distribución y para realizar el procesamiento de las consultas del Protocolo ligero de acceso a directorios (LDAP) que son necesarias cuando el correo se envía a una lista de distribución dinámica.

Durante la resolución del enrutamiento, el categorizador usa la información de topología que el servicio de topología de Active Directory guardó en caché, para detectar la ruta de enrutamiento de un mensaje. El servidor de transporte de concentradores usa información de configuración del sitio de Active Directory para determinar la ubicación de otros servidores y conectores de la topología.

Cuando el servidor de transporte de concentradores ha resuelto la ubicación del buzón de destinatarios, usa la información del sitio de Active Directory para ubicar el almacén del buzón. Si el almacén del buzón está en el mismo sitio de Active Directory que el servidor de transporte de concentradores, éste entregará el mensaje directamente al buzón del usuario. Si el almacén del buzón está en un sitio de Active Directory diferente al del servidor de transporte de concentradores, éste entrega el mensaje a un servidor de transporte de concentradores del sitio Active Directory remoto.

El servidor de transporte de concentradores almacena toda la información de la configuración en Active Directory y tiene acceso a Active Directory para obtener esta información. La información de configuración incluye los detalles de cualquier regla de transporte, regla de diario y conector.

Función del servidor de acceso de cliente

El rol de servidor Acceso de clientes recibe conexiones de Internet para usuarios que obtienen acceso a sus buzones de correo mediante Outlook Web App, (POP3, IMAP4 o Microsoft Exchange ActiveSync). Cuando se recibe una conexión de usuario, el servidor de acceso de cliente entra en contacto con Active Directory para autenticar al usuario y determinar la ubicación del servidor de buzones del usuario. Si el buzón del usuario está en el mismo sitio de Active Directory que el servidor de acceso de cliente, el usuario se conecta directamente al buzón. Si el buzón del usuario está en un sitio de Active Directory distinto del servidor de acceso de cliente que recibió la conexión inicial, la conexión se redirige a un servidor de acceso de cliente que esté en el sitio de Active Directory remoto.

Función del servidor Mensajería unificada

La función del servidor Mensajería unificada tiene acceso a Active Directory para obtener información de la configuración global, como planes de marcado, puertas de enlace IP y grupos de búsqueda. Cuando el servidor de mensajería unificada recibe un mensaje, busca destinatarios de Active Directory que coincidan con el número telefónico de una dirección de destinatario. Una vez resuelta esta información, el servidor de mensajería unificada puede determinar la ubicación del almacén del buzón del destinatario y, a continuación, enviar el mensaje a un servidor de transporte de concentradores para enrutarlo al buzón.

Función del servidor Buzón de correo

La función del servidor Buzón almacena información de configuración acerca de los usuarios y almacenes del buzón en Active Directory. Además, la configuración para agentes, listas de direcciones y directivas se almacena en Active Directory. El servidor de buzones obtiene esta información para imponer las directivas de buzón y la configuración global.

Función del servidor Transporte perimetral

La función del servidor Transporte perimetral se implementa en la red perimetral y no es un miembro del dominio. El servidor de transporte perimetral no puede obtener acceso a Active Directory y usa Active Directory Lightweight Directory Services (AD LDS, antes denominado Active Directory Application Mode o ADAM) para almacenar la información de esquema y de configuración. Puede crear una suscripción perimetral para suscribir el servidor de transporte perimetral a un sitio de Active Directory. Los servidores Transporte de concentradores de ese sitio de Active Directory usan el servicio EdgeSync de Microsoft Exchange para sincronizar los datos de Active Directory con AD LDS.

Recomendamos crear una suscripción perimetral por cada servidor de transporte perimetral. Este proceso se encargará de proporcionar automáticamente los conectores de envío que sean necesarios para un flujo de correo integral. Tiene que crear una suscripción perimetral, si desea usar la búsqueda de destinatarios o las características contra correo electrónico no deseado de agregación a lista segura.

Recuperación de objetos eliminados de Exchange

La Papelera de reciclaje de Active Directory ayuda a minimizar el tiempo de inactividad del servicio de directorio mediante la mejora de la capacidad para conservar y recuperar los objetos de Active Directory eliminados por error sin necesidad de restaurar datos de Active Directory desde copias de seguridad, reiniciar los Servicios de dominio de Active Directory (AD DS) ni reiniciar los controladores de dominio.

Lo más importante que es necesario comprender acerca de la recuperación de objetos eliminados de Active Directory relacionados con Exchange es que los objetos de Exchange no existen de forma aislada. Por ejemplo, cuando se habilita un usuario para correo, se calculan varias directivas y vínculos distintos para el usuario sobre la base de la configuración de Exchange actual. Dos problemas que pueden surgir cuando se restaura una configuración de Exchange o un objeto de destinatario eliminados son los siguientes:

  • Colisiones   Algunos atributos de Exchange deben ser únicos en un bosque. Por ejemplo, las direcciones proxy (correo electrónico) no deben ser las mismas para dos usuarios distintos. Active Directory no exige el cumplimiento de la unicidad de las direcciones proxy, las herramientas administrativas de Exchange comprueban la unicidad. Las directivas de direcciones de correo electrónico de Exchange también resuelven de forma automática los conflictos posibles en la asignación de direcciones proxy en función de reglas deterministas. Por lo tanto, es posible restaurar un objeto de usuario de Exchange y, como resultado, generar una colisión con las direcciones proxy o con otros atributos que deben ser únicos.

  • Errores de configuración   Exchange cuenta con reglas automáticas que asignan diversas directivas o configuraciones. Si elimina un destinatario y, a continuación, cambia las reglas o las directivas, la restauración de un objeto de usuario de Exchange puede dar como resultado que se asigne un usuario a la directiva incorrecta (o incluso a una directiva que ya no existe).

Las instrucciones a continuación le ayudarán a minimizar los problemas que pueden surgir durante la recuperación de objetos eliminados relacionados con Exchange:

  • Si eliminó un objeto de configuración de Exchange mediante las herramientas de administración de Exchange, no restaure el objeto. En su lugar, vuelva a crear el objeto mediante las herramientas de administración de Exchange (la Consola de administración de Exchange o el Shell de administración de Exchange).

  • Si eliminó un objeto de configuración de Exchange sin usar la administración de Exchange, recupere el objeto tan pronto como sea posible. Cuantos más cambios administrativos y de configuración se realicen en el sistema desde la eliminación, mayor probabilidad habrá para que la restauración de los objetos dé como resultado errores de configuración.

  • Si recuperó destinatarios de Exchange eliminados (contactos, usuarios o grupos de distribución), supervise con atención las colisiones y los errores relacionados con los objetos recuperados. Si se modificaron directivas de Exchange u otras configuraciones relacionadas con destinatarios desde la eliminación, vuelva a aplicar las directivas actuales a los destinatarios recuperados para asegurarse de que cuenten con la configuración correcta.

Para obtener más información acerca del uso de la Papelera de reciclaje de Active Directory, consulte la Guía paso a paso de la Papelera de reciclaje de Active Directory.

 © 2010 Microsoft Corporation. Reservados todos los derechos.