Implementaciones híbridas con varios bosques de Active Directory
**Se aplica a:**Exchange Online, Exchange Server, Exchange Server 2013
**Última modificación del tema:**2016-12-09
Las implementaciones híbridas de Exchange 2010, Exchange 2013 y versiones posteriores se admiten en organizaciones con varios bosques de Active Directory locales y un único inquilino de Office 365. En las consideraciones y características de implementación híbrida, las organizaciones de bosques múltiples se definen como compuestas de servidores Exchange implementados en varios bosques de Active Directory. Las organizaciones que usan un bosque de recursos en las cuentas de usuario, pero que conservan todos los servidores Exchange en un solo bosque, no entran en la clasificación de bosques múltiples en los escenarios de implementación híbrida. Estos tipos de organizaciones se deben considerar como organizaciones de un solo bosque al planear y configurar una implementación híbrida.
Solo se admite la migración de carpetas públicas desde un entorno local a Office 365 desde un único bosque de Active Directory. Del mismo modo, solo se admite el acceso a las carpetas públicas en un estado híbrido cuando las carpetas públicas locales están alojadas en un único bosque de Active Directory.
Importante
Las implementaciones híbridas requieren la actualización acumulativa más reciente que esté disponible para la versión de Exchange instalada en la organización local. Si no puede instalar la actualización acumulativa más reciente, también se admite la versión inmediatamente anterior. No se admiten actualizaciones acumulativas más antiguas. Para obtener más información, vea Requisitos previos de implementación híbrida.
Para más información sobre las implementaciones híbridas, vea Implementaciones híbridas de Exchange Server.
Requisitos previos de las implementaciones híbridas con varios bosques
Los requisitos previos de las implementaciones híbridas con varios bosques son prácticamente idénticos a los de una organización con un solo bosque, con estas salvedades:
Detección automática Cada bosque de Exchange debe ser autoritativo de, como mínimo, un espacio de nombres SMTP y el espacio de nombres de detección automática correspondiente. En caso de que haya dominios compartidos entre varios bosques de Exchange, los extremos tanto de enrutamiento de correo como de detección automática se deben configurar y funcionar correctamente entre los bosques de Exchange para poder configurar la implementación híbrida con varios bosques. El servicio de Office 365 debe poder consultar el servicio Detección automática en cada uno de los bosques de Exchange.
Certificados Todas las implementaciones híbridas precisan de un certificado digital emitido por una entidad de certificación (CA) de terceros de confianza. En una implementación híbrida de varios bosques, no se puede usar un único certificado digital para varios bosques de Active Directory. Cada bosque debe usar un certificado emitido por una entidad de certificación dedicada para asegurar que el transporte de correo funcione correctamente en una implementación híbrida. El certificado que se use para las características de implementación híbrida de cada bosque en una organización con varios bosques debe ser distinto en al menos una de las siguientes propiedades:
Nombre común El nombre común (CN) del certificado digital forma parte del asunto del certificado. Este nombre debe ser el mismo que el host que se está autenticando y suele ser el nombre de host externo del servidor de acceso de cliente en el bosque de Active Directory. Por ejemplo, mail.contoso.com. Recomendamos usar el CN como una propiedad característica de cada certificado de Active Directory que se use en las implementaciones híbridas con varios bosques.
Emisor La entidad de certificación de terceros que verificó la información de la organización y emitió el certificado. Por ejemplo, VeriSign o Go Daddy. Así, un bosque podría tener un certificado emitido por VeriSign y otro, uno emitido por Go Daddy.
Importante
Los certificados instalados en los servidores de buzones de correo y de acceso de cliente (y de transporte perimetral, si hay instalados) en cada bosque de Active Directory usado para el transporte de correo en la implementación híbrida deben haber sido emitidos todos por la misma entidad de certificación y deben tener el mismo nombre común.
Servidores de Exchange En cada bosque de Active Directory configurado para la implementación híbrida debe haber como mínimo un servidor de Exchange 2010 o Exchange 2013 con el rol de servidor Acceso de clientes instalado, o bien un servidor de Exchange 2016 o posterior con el rol Buzón de correo.
El servidor de Acceso de clientes de Exchange 2010 y Exchange 2013 es el extremo de transporte de correo seguro entrante del servicio Exchange Online Protection (EOP), que se incluye con el servicio de inquilino de Office 365 y que permite ejecutar el Asistente de configuración híbrida en el bosque de Active Directory. Del mismo modo, en cada bosque de Active Directory configurado para la implementación híbrida debe haber como mínimo un servidor de Exchange con el rol de servidor Buzón de correo instalado. El servidor Buzón de correo de Exchange 2010 y Exchange 2013 es el extremo de transporte de correo seguro saliente para los mensajes que se envían al servicio EOP y la organización de Exchange Online.
En Exchange 2016 y versiones posteriores, el rol de servidor Buzón de correo controla todo el transporte seguro entrante y saliente entre su organización local y Exchange Online.
Planificación del espacio de nombres Cada bosque en el que instale Exchange requiere su propio espacio de nombres único y reconocible externamente. Deberá especificar el espacio de nombres único de un bosque en el Asistente de configuración híbrida cuando lo ejecute en cada bosque.
Sincronización de Active Directory Todas las implementaciones híbridas requieren la sincronización de Active Directory con Office 365. Si su empresa ya ha configurado la sincronización de Active Directory entre la organización local de varios bosques y Office 365 con Forefront Identity Manager, puede usar Azure Active Directory Connect.
Inicio de sesión único aunque no es un requisito para implementaciones híbridas solo con bosques de Active Directory, los administradores pueden elegir configurar un servidor de SSO en cada bosque de Active Directory, o configurar un único servidor de SSO si hay configurada una confianza de bosques bidireccional entre los bosques locales. Puede usar ya sea AD FS o la sincronización de contraseñas para hacer posible una experiencia de autenticación transparente para el usuario.
Para obtener más información, vea Inicio de sesión único con implementaciones híbridas.
Vea Requisitos previos de implementación híbrida para ver una lista completa de los requisitos previos de las implementaciones híbridas.
Escenario de implementación híbrida con varios bosques
Veamos el siguiente escenario. Se trata de un ejemplo de topología que proporciona una descripción general de una implementación de Exchange 2013 típica. Contoso, Ltd. es una organización multidominio con varios bosques, en concreto, dos bosques de Active Directory. El bosque A contiene el dominio contoso.com y el bosque B, el dominio sale.contoso.com. Cada uno incluye controladores de dominio en cada bosque, un servidor de Exchange 2013 con el rol de servidor Acceso de clientes instalado y un servidor de Exchange 2013 con el rol de servidor Buzón de correo instalado. Los usuarios remotos de Contoso usan Outlook Web App para conectarse a Exchange 2013 a través de Internet para consultar sus buzones de correo y acceder a su calendario de Outlook.
.png "Antes de implementación híbrida con varios bosques")
Imaginemos que es el administrador de red de Contoso y está interesado en configurar una implementación híbrida. Así, implementa y configura un servidor de sincronización de Active Directory necesario en el bosque A y decide implementar también un servidor de Servicios de federación de Active Directory como opción para reducir el número de solicitudes de credenciales de cuentas para los usuarios y administradores de Contoso que acceden a los servicios de Office 365. Tras completar los requisitos previos de la implementación híbrida y usar el asistente para configuración híbrida para seleccionar las opciones de esta implementación, su nueva topología tiene la siguiente configuración:
Los usuarios utilizarán sus credenciales de cuenta de red existentes para iniciar sesión en las organizaciones locales y de Exchange Online (“inicio de sesión único”).
Los buzones de usuario locales y de la organización de Exchange Online usarán varios dominios de dirección de correo electrónico. Por ejemplo, los buzones ubicados localmente en el bosque A y algunos buzones de la organización de Exchange Online utilizarán @contoso.com en las direcciones de correo electrónico de usuario, mientras que los buzones del bosque B y algunos otros buzones de la organización de Exchange Online harán uso de @sales.contoso.com.
Todo el correo se entrega en Internet por la organización local. La organización local controla todo el transporte de mensajería y sirve como retransmisor de la organización de Exchange Online (“transporte de correo centralizado”).
Los usuarios de la organización de Exchange Online local pueden compartir información de disponibilidad del calendario entre sí. Las relaciones entre organizaciones configuradas para ambas organizaciones también permiten realizar el seguimiento de mensajes entre instalaciones, sugerencias de correo electrónico y búsqueda de mensajes.
Los usuarios del sistema local y de Exchange Online usan la misma dirección URL para conectar a sus buzones en Internet.
.png "Después de implementación híbrida con varios bosques")
Si compara la configuración de organización existente de Contoso y la configuración de la implementación híbrida, observará que al configurar la implementación híbrida se han agregado servidores y servicios que admiten comunicaciones y características adicionales que se comparten entre la organización local y la de Exchange Online. Aquí tiene una descripción general de los cambios que la implementación híbrida ha supuesto en la organización de Exchange local inicial.
| Configuración | Antes de configurar una implementación híbrida | Después configurar una implementación híbrida |
|---|---|---|
Ubicación de buzón |
Sólo buzones locales. |
Buzones locales y en Exchange Online. |
Transporte de mensajes |
Los servidores de acceso de cliente locales administran todo el enrutamiento de mensajes entrantes y salientes. |
El servidor Acceso de cliente local administra el enrutamiento de mensajes internos entre la organización local y la organización de Exchange Online. |
Outlook Web App |
El servidor de acceso de cliente local recibe todas las solicitudes de Outlook Web App y muestra la información del buzón. |
El servidor Acceso de clientes redirige las solicitudes de Outlook Web App al servidor de buzones de correo de Exchange 2013 local, proporciona un vínculo para iniciar la sesión en la organización de Exchange Online. |
GAL unificado para ambas organizaciones |
No aplicable; solo una organización. |
El servidor de sincronización local de Active Directory replica la información de Active Directory relativa a objetos con correo habilitado a la organización de Exchange Online. |
Inicio de sesión único usado por ambas organizaciones |
No aplicable; solo una organización. |
El servidor local de Servicios de federación de Active Directory (AD FS) admite el uso de credenciales de inicio de sesión único en los buzones situados en el sistema local o en la organización de Office 365. |
Relación de organización establecida y confianza de federación con el sistema de autenticación de Azure AD. |
Se puede configurar una relación de confianza con el sistema de autenticación de Azure AD y relaciones de organización con otras organizaciones federadas de Exchange. |
Se requiere una relación de confianza con el sistema de autenticación de Azure AD. Las relaciones de organización se establecen entre la organización local y la organización de Exchange Online. |
Uso compartido de disponibilidad |
Uso compartido de la disponibilidad sólo entre usuarios locales. |
Uso compartido de la disponibilidad entre usuarios tanto locales como de Exchange Online. |
Configuración de implementaciones híbridas en organizaciones con varios bosques
Para configurar una implementación híbrida en una organización con varios bosques, se deben realizar los siguientes pasos básicos:
Confirme que reúne los requisitos previos de implementación híbrida. Vea los requisitos previos indicados anteriormente en este tema y Requisitos previos de implementación híbrida. Normalmente, solo un bosque necesita tener instalado un servidor de sincronización de Active Directory. Se debe instalar un servidor con Azure Active Directory Connect (Azure AD Connect) con Servicios de Federación de Active Directory (AD FS) en cada bosque para habilitar el inicio de sesión único si no hay configurada una confianza de bosques bidireccional entre los bosques.
Obtenga un certificado de una CA de terceros para cada uno de los bosques de Active Directory que reúna los requisitos mencionados anteriormente en este tema.
Instale el certificado en todos los servidores de buzones de correo y de acceso de cliente de Exchange 2013, o bien servidores de buzones de correo de Exchange 2016, en cada bosque.
Complete los pasos descritos en el tema Creación de una implementación híbrida con el Asistente de configuración híbrida relativos al bosque principal.
Importante
Procure seleccionar el certificado diseñado para el boque principal en el asistente de configuración híbrida y, asimismo, seleccionar el dominio SMTP principal del bosque.
Complete los pasos descritos en el tema Creación de una implementación híbrida con el Asistente de configuración híbrida relativos al bosque secundario.
Importante
Procure seleccionar el certificado diseñado para el boque secundario en el asistente de configuración híbrida y, asimismo, seleccionar el dominio SMTP principal del bosque.