Topologías de bosques de Active Directory

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-08-01

Puesto que tanto Microsoft Windows Server 2003 como Microsoft Exchange Server 2007 dependen del servicio de directorio Active Directory en lo referente a los servicios de directorio, tendrá que determinar cómo integrar Exchange 2007 en su estructura de Active Directory. Active Directory incluye los siguientes elementos lógicos que se combinan para definir una topología de Active Directory:

  • Bosque

  • Uno o más dominios

  • Uno o más sitios de Active Directory

Bosques de Active Directory

Un bosque representa el límite exterior del servicio de directorio. Los bosques funcionan dentro del contexto de una seguridad continua como, por ejemplo, una en la que todos los recursos dentro de un bosque confían de manera implícita entre sí independientemente del lugar del bosque en el que se ubican. Dentro de cada bosque hay un esquema y una configuración de directorio común del servicio de directorio. Un bosque puede estar formado por uno o más dominios. Hay dos tipos de topologías de bosque: topología de bosque único y topología de varios bosques.

Topología de bosque único

En una topología de bosque único, Exchange se instala en un único bosque de Active Directory que abarca toda la organización. Todas las cuentas de usuario y grupo y toda la información de configuración de Exchange se ubica en el mismo bosque.

Si la organización tiene un único bosque de Active Directory, puede implementar Exchange 2007 en él. Se recomienda el diseño de Exchange de bosque único porque ofrece la más variada gama de características de sistema de correo y, además, porque tiene el modelo administrativo más eficaz. Puesto que todos los recursos están contenidos en un único bosque, una única lista global de direcciones (GAL) incluye a todos los usuarios del bosque. La figura siguiente ilustra este escenario.

Dos ejemplos de implementación de Exchange en un único bosque de Active Directory

Implementación de Exchange en un solo bosque

La opción de bosque único presenta las siguientes ventajas:

  • Facilita la más variada gama de características de sistema de correo electrónico.

  • Facilita un modelo administrativo eficaz.

  • Aprovecha una estructura de Active Directory existente.

  • Utiliza controladores de dominio y servidores de catálogo global existentes.

  • No requiere sincronización de GAL.

La principal desventaja asociada a un bosque único es que los administradores deben determinar cómo compartir o dividir las responsabilidades para administrar objetos de Active Directory y Exchange.

Topología de varios bosques

Si bien se recomienda utilizar una topología de un único bosque porque ofrece la gama más variada de características de mensajería, hay varias razones por las que puede querer implementar varios bosques. Entre estas razones se incluyen las siguientes:

  • Tiene varias unidades de negocio que requieren un aislamiento del servicio de mensajería.

  • Tiene varias unidades de negocio con distintos requisitos de esquema.

  • Se enfrenta a una fusión, una adquisición o un desposeimiento.

Cualquiera que sea el motivo, la única forma de establecer límites estrictos entre las unidades de negocio consiste en crear un bosque independiente de Active Directory para cada unidad de negocio. Si ésta es su configuración de Active Directory, la mejor forma de implementar Exchange es crear un bosque de recursos de Exchange. Para obtener más información acerca de los bosques de recursos de Exchange, vea "Topología de bosque de recursos" más adelante en este tema.

Sin embargo, hay escenarios en los que no es factible un bosque de recursos (por ejemplo, con fusiones o adquisiciones o cuando varios bosques ya están ejecutando sus propias instancias de Exchange). En estos casos, puede implementar una topología entre bosques.

Topología entre bosques

En una topología entre bosques, una compañía tiene varios bosques de Active Directory, cada uno de los cuales contiene una organización de Exchange. A diferencia de la topología de bosque de recursos, las cuentas de usuario no están separadas de sus buzones. En su lugar, una cuenta de usuario y su buzón asociado están en el mismo bosque.

La principal ventaja de implementar una topología entre bosques es que puede mantener el aislamiento de los datos y los límites de seguridad entre las organizaciones de Exchange. Las desventajas asociadas a esta topología incluyen:

  • No se facilita la gama más variada de características de mensajería.

  • Los permisos de delegación de buzones no se conservan al mover buzones de un bosque a otro a menos que exista un contacto para el delegado en el bosque de destino o que mueva el buzón delegado al mismo tiempo.

  • Aunque puede sincronizar la información de disponibilidad de varios bosques y utilizarla para programar reuniones, no puede utilizar la característica Abrir la carpeta de otro usuario de Microsoft Office Outlook para ver los detalles de calendario de un usuario de otro bosque.

  • Como un grupo de otro bosque se representa como un contacto, no puede ver los miembros del grupo. La pertenencia a grupos no se expande hasta que se envía el correo al bosque que contiene el grupo que se representa como el contacto.

  • Es necesaria la sincronización de los objetos de directorio entre bosques, así como la replicación de información de datos de disponibilidad. Las soluciones usadas con más frecuencia para la sincronización de directorios son Microsoft Identity Integration Server (MIIS) 2003 Service Pack 2 (SP2) o Identity Integration Feature Pack para Microsoft Windows Server Active Directory con SP2. El servicio de disponibilidad en Exchange 2007 se puede utilizar para compartir información de disponibilidad y de calendario entre organizaciones de Exchange en bosques diferentes.

Exchange en una topología entre bosques

Organización de Exchange compleja con bosque múltiple

Topología de bosque de recursos

En algunos casos es posible que deba configurar un bosque de Active Directory por separado destinado a la ejecución de Exchange. Por ejemplo, puede tener un bosque existente de Active Directory que quiera conservar. O bien, puede tener que separar la administración de objetos de Active Directory y de objetos de Exchange. Por este motivo, puede que quiera configurar un bosque de Active Directory independiente dedicado a ejecutar Exchange. El bosque independiente dedicado se conoce como un bosque de recursos de Exchange. En el modelo de bosque de recursos, Exchange se instala en un bosque de Active Directory que está separado del bosque de Active Directory donde se instalan los usuarios, los equipos y los servidores de aplicaciones. Las compañías que requieren límites de seguridad entre la administración de Active Directory y la administración de Exchange utilizan normalmente esta opción.

El bosque de recursos de Exchange se dedica a ejecutar Exchange y a hospedar buzones. Las cuentas de usuario se guardan en uno o más bosques denominados bosques de cuentas. Los bosques de cuentas son independientes del bosque de recursos de Exchange. Se crea una confianza unidireccional entre el bosque de cuentas y el bosque de recursos de Exchange que permite al bosque de Exchange confiar en el bosque de cuentas, de forma que los usuarios del bosque de cuentas tengan acceso a los buzones en el bosque de recursos de Exchange. Debido a que una organización de Exchange no puede cruzar un límite de bosque de Active Directory, cada buzón que se crea en el bosque de recursos de Exchange debe tener un objeto de usuario correspondiente en el bosque de recursos de Exchange. En los objetos de usuario del bosque de recursos de Exchange no puede iniciar sesión ningún usuario, que está deshabilitado para impedir que sean un punto de explotación. Normalmente los usuarios no son conscientes de que hay cuentas duplicadas. Debido a que la cuenta en el bosque de recursos de Exchange está deshabilitada y no se puede utilizar con fines de inicio de sesión, debe concederse acceso a una cuenta real de usuario del bosque de cuentas para iniciar sesión en el buzón. Para conceder el acceso, es necesario incluir el identificador de seguridad (SID) del objeto de usuario del bosque de cuentas en el atributo msExchMasterAccountSID del objeto de usuario deshabilitado en el bosque de recursos de Exchange.

Cuando se utilice un bosque de recursos de Exchange, es posible que no resulte necesaria la sincronización de directorios. Desde la perspectiva de Exchange y Outlook, todos los objetos que se muestren en el servicio de directorio se recuperan de una única ubicación, en este caso el directorio que hospeda el bosque de recursos de Exchange. Sin embargo, si hay datos relacionados con GAL en los bosques de cuentas, tendrá que llevarse a cabo la sincronización para insertar los datos en el bosque de recursos de Exchange para el uso de GAL. Además, tendrá que configurar un proceso para que cuando se creen las cuentas en el bosque de cuentas, se cree una cuenta deshabilitada con un buzón en el bosque de recursos de Exchange.

El usuario habilitado del bosque de cuentas está asociado a un buzón que, a su vez, está vinculado a un usuario deshabilitado en el bosque de recursos. Esta configuración permite que los usuarios tengan acceso a buzones que residen en bosques diferentes. En esta situación, debe configurar una relación de confianza entre el bosque de recursos y el bosque de cuentas. Es posible que también tenga que configurar un proceso de distribución para que, cada vez que un administrador cree un usuario en el bosque de cuentas, se cree un usuario deshabilitado con un buzón en el bosque de recursos de Exchange.

Dado que un bosque único va a contener todos los recursos de Exchange, una sola lista GAL incluirá a todos los usuarios del bosque. La principal ventaja de la opción de un escenario de bosque de Exchange dedicado es que supone un límite de seguridad entre la administración de Active Directory y de Exchange.

Las desventajas asociadas a esta topología incluyen:

  • La implementación de un bosque de recursos permite la segregación de la administración de Exchange y de Active Directory; sin embargo, el costo asociado a la implementación de un bosque de recursos puede superar la necesidad de esta segregación.

  • Es necesario instalar controladores de dominio adicionales y de servidores de catálogo global en los sitios de Microsoft Windows donde Exchange se ejecute, lo que supone un aumento de los gastos.

  • Es necesario realizar un proceso de distribución para que las actualizaciones de Active Directory se reflejen en Exchange. Cuando crea un objeto en un bosque, debe asegurarse de que se crean los objetos correspondientes en el otro bosque. Por ejemplo, si crea un usuario en un bosque, asegúrese de que se crea un marcador para dicho usuario en el otro bosque. Puede crear los objetos correspondientes de manera manual o bien puede automatizar el proceso.

Una variante del escenario de bosque de recursos es una topología de varios bosques donde un bosque hospeda a Exchange. Si posee varios bosques de Active Directory, el modo en que implemente Exchange dependerá del grado de autonomía que habrá de mantener entre los bosques. Las compañías con unidades de negocio que necesitan límites (de bosque) de seguridad para los objetos de directorio, pero que comparten objetos de Exchange, pueden optar por implementar Exchange en uno de los bosques y utilizarlo para labergar los buzones de correo del resto de bosques de la compañía. Dado que un bosque único va a contener todos los recursos de Exchange, una sola lista GAL incluirá a todos los usuarios del bosque entero.

Las principales ventajas asociadas a esta situación incluyen:

  • Utiliza una estructura de Active Directory existente.

  • Utiliza controladores de dominio y servidores de catálogo global existentes.

  • Facilita estrictos límites de seguridad entre bosques.

Las desventajas asociadas a este escenario incluyen:

  • Requiere un proceso de distribución para que las actualizaciones de Active Directory se reflejen en Exchange. (Así, por ejemplo, puede crear un script de forma que al crear un nuevo usuario de Active Directory en el bosque A se genere un objeto con buzón habilitado con permisos que se deshabilite en el bosque B).

  • Los administradores necesitarán establecer el modo de compartir o dividir responsabilidades a la hora de administrar los objetos de Active Directory y de Exchange.

Exchange en una topología de bosque de recursos

Organización de Exchange compleja con bosque de recursos

Dominios de Active Directory

Un dominio es una agrupación de entidades de seguridad y otros objetos que se administran de manera colectiva. Los dominios son flexibles. La implementación de todo lo que comprende un dominio es abierta y está sujeta al criterio de un administrador. Por ejemplo, un dominio puede representar a un grupo de usuarios y equipos que se encuentran en una única ubicación física, o puede representar a todos los usuarios y equipos en varias ubicaciones o en una amplia zona geográfica. Conforme se consolide la asistencia técnica de infraestructura y administración, lo normal en el caso de los dominios es que se implementen en grandes zonas geográficas para reducir los costos de asistencia técnica. Sin embargo, conforme aumente el ámbito de un servicio de directorio, será necesario poder asignar el acceso de directorio a los recursos adecuados de la forma más eficaz posible.

Sitios de Active Directory

Los sitios de Active Directory representan una agrupación lógica de equipos dentro de Active Directory que disponen de una conectividad confiable. Con un sitio de Active Directory, es posible crear una partición en los equipos cliente para utilizar un conjunto o grupo específico de recursos de directorio. Un sitio de Active Directory consta de una o más subredes TCP/IP bien conectadas que permiten a los administradores configurar el acceso y la replicación de Active Directory. Estas subredes pueden o no corresponderse con la topología física.

La figura siguiente ilustra algunas de las relaciones implementadas con mayor frecuencia entre las definiciones lógicas de Active Directory y las ubicaciones físicas.

Bosques, dominios, ubicaciones y sitios

Bosques, dominios, ubicaciones y sitios

Escenarios de implementación de Active Directory

Hay cuatro escenarios principales para integrar Exchange con Active Directory:

  • Un único bosque

  • Bosque de recursos

  • Entre bosques

  • Fusiones y adquisiciones

En la siguiente tabla se resumen las ventajas de cada escenario.

Active Directory caso Descripción Por qué utiliza este caso

Un único bosque

Los usuarios y sus buzones se encuentran en el mismo bosque.

  • Gama variada de características de sistema de correo

  • Administración eficaz

  • Utiliza una estructura de Active Directory existente

  • No requiere sincronización con otros bosques

Bosque de recursos

Un bosque se dedica a ejecutar Exchange y a hospedar buzones de Exchange. Las cuentas de usuario asociadas a los buzones están en uno o más bosques diferentes.

  • Límite de seguridad entre la administración de Active Directory y de Exchange

  • Implementación más sencilla de Exchange en un entorno de varios bosques

  • Control limitado de la infraestructura de red y de cuentas de usuario

Entre bosques

Exchange se ejecuta en bosques independientes, pero la funcionalidad de correo electrónico está disponible entre los bosques.

  • Varias unidades de negocio requieren un aislamiento de datos y de servicio

  • Varias unidades de negocio tienen requisitos de esquema distintos

  • Fusión, adquisición o desinversión

Fusiones y adquisiciones

Las fusiones y adquisiciones implican con frecuencia la coexistencia entre organizaciones de Exchange hasta que se produce la fusión. En este caso, las consideraciones de diseño son similares a las del caso de varios bosques, además de algunos factores adicionales sobre la migración.

Las fusiones y adquisiciones son un caso especial de una implementación de varios bosques que precisa de una atención especial a los problemas de migración