• Artículo

Exchange Server 2007

Manténgase siempre al corriente con Exchange 2007

Joshua Trupin

 

Resumen:

  • Mejoras de Outlook Web Access
  • Mensajería unificada en Exchange Server 2007
  • Seguridad con el ISA Server 2006

Años atrás, la comunicación en línea era básica. Los mensajes de correo electrónico se enviaban a través de POP3 y SMTP. Era bastante simple. Pero claro, las necesidades cambian. Actualmente, las organizaciones tienen que ofrecer a los empleados la

flexibilidad de poder trabajar cuándo y cómo lo deseen, y tienen que hacerlo de forma segura. Microsoft® Exchange Server 2007 dispone de varias características incorporadas que tratan estas necesidades, como por ejemplo, Microsoft Office Outlook® Web Access (OWA) y la mensajería unificada. Vamos a analizar estos dos componentes clave de Exchange Server 2007 y la forma en que superan a versiones anteriores para crear una plataforma de comunicaciones más eficaz para el entorno empresarial actual.

OWA forma parte de Exchange desde la versión 5.5. Francamente, las primeras versiones eran un poco rudimentarias. Ofrecían una respuesta al problema de obtener acceso a un buzón de Exchange con un explorador Web, pero sin contar con muchas de las funciones que proporciona Outlook.

Gracias a la mejora de OWA que trajo consigo Exchange Server 2003, la situación empezó a mejorar para los usuarios finales. La experiencia basada en un explorador se hizo mucho más fácil, casi como si se trabajara en un programa cliente. OWA para Exchange Server 2007 mejora aún más la experiencia del explorador, ya que incluye una actualización completa de las versiones anteriores, lo que le permite aprovechar otras innovaciones técnicas recientes, como por ejemplo, RPC a través de HTTP y ASP.NET 2.0.

Por ejemplo, considere la forma en que OWA realiza su representación. En las versiones anteriores de OWA el servidor de buzones realizaba la representación durante el proceso de almacenamiento. Esto agregaba una carga adicional en el servidor de buzones, lo que podía ser la causa de otro tipo de ralentizaciones en el sistema. Outlook Web Access 2007, por el contrario, presenta los datos a través de ASP.NET en servidores de acceso de cliente (CAS). Esto elimina el procesamiento de páginas del servidor de buzones, con lo que se mejora el rendimiento.

El trabajo realizado en las aplicaciones de usuario también ha cambiado. En versiones anteriores de Exchange, las solicitudes de OWA HTTP se enviaban a través de proxy al servidor de buzones adecuado. Exchange Server 2007 reduce el tráfico asociado a OWA obteniendo los datos directamente del servidor de buzones adecuado a través de RPC. Éste es más o menos el mismo proceso que permite usar Outlook en un cliente que no esté en una conexión de red privada virtual (VPN) de su empresa. Por lo tanto, la información del buzón la presenta OWA. Exchange Server 2007 también puede enviar a través de proxy solicitudes OWA, pero en lugar de enviarlas directamente a servidores de buzones, las reenvía a otros servidores CAS.

La figura 1 muestra la arquitectura de OWA en Exchange Server 2007.

Figura 1 Cómo tiene acceso OWA a los recursos de Exchange Server

Figura 1** Cómo tiene acceso OWA a los recursos de Exchange Server **(Hacer clic en la imagen para ampliarla)

Administración

La arquitectura actualizada de Exchange Server 2007 incluye opciones ampliadas para la administración de OWA. Puede usar la Consola de administración de Exchange o el Shell de administración de Exchange. Los valores de configuración se almacenan en varios lugares.

La Consola de administración de Exchange permite tener acceso a la mayoría de valores de configuración posibles, como por ejemplo, la habilitación o deshabilitación de características mediante la segmentación, el bloqueo de datos adjuntos, la autenticación y el acceso a características como el calendario, la lista de tareas y la corrección ortográfica. Las tareas del Shell de administración de Exchange permiten realizar las mismas acciones que la Consola de administración de Exchange.

Además, el Shell de administración de Exchange permite crear y eliminar directorios virtuales nuevos para OWA. También puede ejercer un control más preciso sobre la configuración de segmentación por usuario y cambiar la configuración de idioma predeterminada, entre otras cosas.

El registro de Windows es el almacén predeterminado para los tiempos de espera de la autenticación basada en formularios. Esta configuración no está disponible a través de la Consola de administración de Exchange ni el Shell de administración de Exchange. Con Active Directory® puede tener acceso a valores de configuración específicos de OWA, como el bloqueo de datos adjuntos y la segmentación. La metabase de IIS contiene valores (autenticación, GZIP) que influyen en el comportamiento de IIS. Y web.config incluye valores de ASP.NET como "maxuploadsize", que controla la carga de datos adjuntos de OWA.

Autenticación

OWA proporciona varias opciones de autenticación en el servidor. Una vez realizada la instalación, la seguridad toma como valor predeterminado la autenticación basada en formularios. Sin embargo, la seguridad se puede mejorar de tantas maneras como sea necesario para satisfacer los requisitos de su organización. IIS llevará a cabo la autenticación en Active Directory para garantizar que el usuario que está intentando conectarse tenga derechos de dominio. También puede usar la autenticación básica, la autenticación de texto implícita, RSA SecurID o incluso un inicio de sesión de SmartCard para tener acceso al correo electrónico.

El nivel máximo de seguridad para OWA es la seguridad integrada de Windows, donde se combinan Kerberos y NTLM. De hecho, este tipo de seguridad es necesaria para el acceso a elementos Web de Outlook Web Access 2007, así como para el envío a través de proxy CAS entre los sitios de Active Directory. También ofrece una ventaja adicional para los usuarios que tienen acceso a OWA en una intranet: proporciona un inicio de sesión único con la autenticación de cliente Windows, así que no tiene que iniciar sesión en OWA si ya es un usuario de confianza.

Si usa la autenticación basada en formularios, que es el valor predeterminado, OWA se interrumpirá automáticamente después de un período de inactividad. Según si el usuario elige un equipo público o un equipo privado (cuando se le solicite al iniciar la sesión), el tiempo de espera puede ser de 15 minutos (en el caso de los equipos públicos) o puede llegar a ser de 8 horas (en el caso de un equipo privado). La elección de un equipo público frente a un equipo privado es importante para sus usuarios, ya que en función de este valor se pueden configurar de modo distinto otros valores de configuración. Por ejemplo, puede bloquear datos adjuntos en equipos públicos o cambiar los tiempos de espera de autenticación. Fundamentalmente, la autenticación basada en formularios es un proceso que consta de cuatro pasos, tal como se muestra en la figura 2.

Figura 2 Proceso de autenticación

  1. Los clientes envían solicitudes al servidor, sin cifrar.
  2. El servidor devuelve una cookie cifrada a los clientes.
  3. Los servidores siguen descartando y creando claves de cifrado nuevas y conservan las tres claves más recientes en la memoria.
  4. Los clientes que envían solicitudes con una clave de cifrado obsoleta que todavía está en la memoria reciben una nueva cookie cifrada con la clave más reciente.
    —o bien—
    Los clientes que envían solicitudes con una clave de cifrado obsoleta que ha sido descartada y ha agotado el tiempo de espera deben volver a iniciar sesión.

msExchQueryBaseDN es el mecanismo que se usa para restringir el acceso a determinados usuarios para que sólo vean una sección de la libreta de direcciones de OWA. msExchQueryBaseDN está registrado en objetos de usuario de Active Directory y apunta a una lista de direcciones (AL) o una unidad organizativa (OU). Esta AL se usará como lista global de direcciones (GAL) del usuario, y el usuario verá una GAL que sólo incluirá cuentas de usuario en esta OU. Puede establecer msExchQueryBaseDN mediante LDAP.

Compatibilidad con versiones anteriores

La base de Outlook Web Access en Exchange Server 2007 es CAS, y el modelo CAS se ha desarrollado para proporcionar la mejor interoperabilidad posible con servidores que ejecutan versiones anteriores de Exchange. Para garantizar que funcione, siempre deberá implementar o actualizar los servidores CAS antes de actualizar los servidores de buzones asociados correspondientes.

Un servidor Exchange 2007 con la función CAS puede usarse para conectar con buzones en servidores Exchange 2000 y Exchange 2003. Tanto RPC a través de HTTP como Exchange ActiveSync® seguirán funcionando con una actualización parcial del sitio. OWA y WebDAV también funcionarán si obtiene acceso a ellos a través de los directorios virtuales /exchange, /public o /exchweb. En Exchange Server 2007 también puede crear directorios virtuales de OWA personalizados para estas versiones anteriores.

El ISA Server 2006 es su amigo

Outlook Web Access ha mejorado respecto a Exchange Server 2007, pero se puede mejorar aún más si se ejecuta con Internet Security and Acceleration (ISA) Server 2006.

El ISA Server 2006 es una puerta de enlace de seguridad perimetral integrada. Además de ayudar a proteger su sitio de las amenazas que se originan en Internet, proporciona acceso remoto seguro a aplicaciones y datos. Dado que ese es también el objetivo de OWA, la ejecución conjunta de ambos servidores le proporciona el concepto informático más fabuloso: la sinergia. Para obtener más información general sobre el servidor ISA, eche un vistazo a microsoft.com/isaserver/2006.

El ISA Server 2006 proporciona varias ventajas al atareado administrador de Exchange. Por ejemplo, la característica WPLB (Web Publishing Load Balancing) permite equilibrar las cargas mediante el uso de cookies HTTP. Puede garantizar la afinidad de cliente-servidor incluso cuando cambia la IP de cliente. El ISA Server 2006 también proporciona compresión y descompresión GZIP, lo que permite analizar el tráfico o la compresión de descarga desde servidores Web. Con el ISA Server 2004, tenía que hacer una elección: podía usar la compresión HTTP con OWA o usar la autenticación basada en formularios con el servidor ISA. Afortunadamente, el ISA Server 2006 admite ambos simultáneamente.

Además, puede realizar la traducción de vínculos OWA a través del servidor ISA. Si alguien pone un vínculo de intranet en el correo electrónico de OWA, el servidor ISA puede traducirlo en un vínculo de Internet adecuado. Esto puede ser bastante útil, pero tiene que acordarse de publicar los vínculos de intranet en la misma matriz de ISA que publica OWA.

Lo más importante quizás es que el ISA Server 2006 realiza una autenticación previa para ayudarle a proteger la red en el perímetro. La autenticación previa tiene como objeto garantizar que el tráfico HTTP malintencionado no llegue a los servidores. Si el tráfico dirigido a los CAS es válido, el servidor ISA lo hará circular rápidamente desde el perímetro hasta el dominio. Los servidores de perímetro se encuentran fuera del dominio de la intranet y bloquean el tráfico que no pertenece a dicho dominio. Los CAS no deben implementarse en el dominio del perímetro; deben estar en el dominio de la intranet para poder tener acceso a las cuentas de usuario de Active Directory.

Solución de problemas de Outlook Web Access

Outlook Web Access 2007 presenta nuevas herramientas que mejoran la supervisión y la solución de problemas. Una tarea de supervisión se ejecuta automáticamente en el servidor CAS. Esta tarea comprueba la conectividad de cada uno de los servidores de buzones, así como los inicios de sesión de OWA. Exchange Server 2007 proporciona también mensajes de registro de eventos y contadores de rendimiento mucho más detallados.

Exchange Server Best Practices Analyzer (consulte nuestra descripción en microsoft.com/technet/technetmag/issues/2006/01/TuneUpExchange) se ha mejorado para alertar a los administradores de los avisos y errores importantes si OWA no está configurado correctamente. También puede generar informes sobre el uso de OWA a partir de los registros de IIS mediante la herramienta LogParser (descrita en el número correspondiente a octubre de 2006 en microsoft.com/technet/technetmag/issues/2006/10/LogParser).

Mensajería unificada

Cuando OWA trata las necesidades de la empresa móvil, la mensajería unificada consolida distintas formas de mensajería en un solo lugar (de ahí su nombre). Actualmente, el correo electrónico se encuentra en Exchange Server. Las opciones de voz (llamadas telefónicas y el correo de voz) está disponible en un servidor de telefonía. Recibe el correo electrónico en el escritorio y el correo de voz a través del teléfono. ¡Y ya ni hablaré de los mensajes de fax!

La mensajería unificada de Exchange Server 2007 permite que una organización envíe datos de correo electrónico, voz y fax a una sola bandeja de entrada, a la que los usuarios pueden tener acceso a través de Outlook y OWA. La mensajería unificada funciona también en dirección opuesta: los usuarios pueden tener acceso al correo de voz, al correo electrónico, a los contactos y a los calendarios por teléfono con Outlook Voice Access.

Para el administrador de sistemas, la mensajería unificada simplifica la mensajería mediante la combinación de las infraestructuras de Exchange y la telefonía para ofrecerle una solución de almacenamiento, un directorio y un transporte. El nivel general de complejidad se reduce cuando cada persona tiene un solo buzón.

¿Y cuál es la mejor parte? Todo esto puede llevarse a cabo con los servidores existentes, y si ya conoce Exchange Server 2007 y la telefonía, la curva de aprendizaje es bastante plana. Las características de la mensajería unificada están integradas en Exchange: se usa el mismo modelo de seguridad y las mismas bandejas de entrada. Incluso puede tener acceso al correo de voz y mensajes de fax a través de OWA.

La figura 3 muestra la arquitectura de la mensajería unificada en Exchange Server 2007 con la función de servidor de mensajería unificada instalado. Obsérvela con detenimiento (quizás encuentre unas preguntas más tarde) y, a continuación, analizaremos la arquitectura de la mensajería unificada con más detenimiento.

Figura 3 La mensajería unificada reúne las comunicaciones de voz, fax y correo electrónico.

Figura 3** La mensajería unificada reúne las comunicaciones de voz, fax y correo electrónico. **(Hacer clic en la imagen para ampliarla)

Cuando la mensajería unificada se configura en una empresa, deben tenerse en cuenta muchos elementos. Exchange Server contiene objetos que representan hardware de telefonía. Por tanto, estos objetos pueden tener definidas sus relaciones dentro del entorno de Exchange Server. Entre los objetos del sistema de mensajería unificada de Exchange Server se encuentran el servidor de MU, el plan de conmutación de llamadas de MU, la puerta de enlace IP de MU y el grupo de búsqueda de MU, así como la directiva de buzón de MU y el operador automático de MU. Echemos un vistazo a cómo cada uno de estos objetos justifica su existencia.

El objeto de servidor de MU se crea en Active Directory, donde está instalada la función de servidor de MU. Éste permite que un administrador controle la instalación y las propiedades de una implementación de mensajería unificada de Exchange Server 2007. El plan de conmutación de llamadas de MU es la unidad administrativa básica dentro de la mensajería unificada y representa la forma en que se usan las extensiones internamente. Todos los usuarios de un plan de conmutación de llamadas pueden comunicarse con los demás simplemente marcando su extensión. Si une otras ubicaciones, normalmente cada una de ellas tendrá su propio plan de conmutación de llamadas.

El objeto de puerta de enlace IP de MU representa una puerta de enlace VoIP (voz a través de IP) física o una IP PBX (infraestructura de central de conmutación) habilitado por SIP (Protocolo de inicio de sesión). Un servidor de mensajería unificada puede recibir llamadas desde un dispositivo de puerta de enlace IP/VoIP. Un grupo de búsqueda de MU vincula una puerta de enlace IP a un plan de conmutación de llamadas de MU. Tras configurar un grupo de búsqueda en PBX, se crea un grupo de búsqueda de MU en Active Directory para representar esto. Puede configurar el grupo de búsqueda para proporcionar equilibrio de carga en las puertas de enlace IP. Estas puertas de enlace, a su vez, pueden proporcionar equilibrio de carga asociando un solo grupo de búsqueda de MU a varias puertas de enlace. Las directivas de buzón de MU son análogas a las clases de servicio de correo de voz. Dichas directivas incluyen un plan de conmutación de llamadas y propiedades que establecen directivas operativas para usuarios y grupos.

El operador automático de MU puede asociarse a un solo plan de conmutación de llamadas de MU. Se puede personalizar para que realice varias tareas, como por ejemplo, el registro de solicitudes personalizadas y la definición de tareas para días y horas diferentes. El alcance de los operadores automáticos se puede limitar mediante listas de direcciones.

La figura 4 muestra cómo estos seis objetos de mensajería unificada funcionan juntos.

Figura 4 Interacción de los objetos de telefonía de mensajería unificada

Figura 4** Interacción de los objetos de telefonía de mensajería unificada **(Hacer clic en la imagen para ampliarla)

Configuración

Una vez que un usuario tiene un buzón de Exchange Server 2007, el administrador debe habilitarlo para la mensajería unificada. Para ello, el administrador debe asociar el buzón a una directiva de buzón de MU y a un número de extensión, ambos dentro del plan de conmutación de llamadas. También se debe configurar PBX para enrutar la llamada a la mensajería unificada de RNA (llamada sin respuesta). El PBX enrutará primero la llamada a la extensión del usuario. A continuación, si se genera una RNA, la llamada se enrutará a la puerta de enlace VoIP y, después, al servidor de mensajería unificada.

La mensajería unificada es escalable. Puede agregar tantos servidores de MU y canales PBX conmutados por circuito como necesite para conseguir capacidad. Cuando use puertas de enlace VoIP, las llamadas basadas en IP se enviarán a la mensajería unificada de Exchange. Dado que ésta es una nueva función para muchas empresas, deberá realizar un análisis completo de la red para asegurarse de que la red IP tiene el ancho de banda necesario para manejar los datos y la voz.

Un servidor típico de mensajería unificada de Exchange Server 2007 puede atender entre 50 y 200 llamadas IP simultáneas y hasta 200 llamadas de voz y fax entrantes (éstas se establecen en 100 de forma predeterminada). Puede agregar servidores de mensajería unificada adicionales si necesita más capacidad o si desea aumentar la tolerancia a errores.

Conclusión

¡Ahí lo tiene! Exchange Server 2007 proporciona dos características, Outlook Web Access y la mensajería unificada, que juntas ofrecen enormes ventajas a una organización. Outlook Web Access permite tener acceso al correo electrónico de forma segura desde cualquier lugar, y la mensajería unificada permite a los usuarios tener acceso a su correo electrónico, correo de voz, mensajes de fax y otros datos del buzón que puedan llegar a su buzón de Exchange 2007.

Joshua Trupin es el editor ejecutivo de MSDN Magazine y TechNet Magazine. Ha escrito numerosos artículos para MSJ, MIND, MSDN Magazine, y TechNet Magazine, así como un libro, Hoop Stats: The Basketball Abstract.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.