Llegamos a ustedes gracias a:



Reportajes y análisis

La configuración correcta de Exchange Server

Asegure una base sólida para la instalación del servidor Exchange en sus instalaciones con estos consejos esenciales de configuración.

Configurar Microsoft Exchange Server

[22/01/2016] Microsoft ha invertido millones de dólares en Azure y Office 365, y sus competidores están haciendo lo mismo con ofertas de nube pública. Pero las soluciones de nube pública no son para todos. Las organizaciones de todo tipo tienen razones legítimas para no querer que sus datos restringidos estén en sistemas más allá de su control.

Para muchas de estas entidades, Exchange Server en sus instalaciones es una necesidad de mensajería. Microsoft continúa actualizando el software con la seguridad de que las mejoras introducidas en su pila basada en la nube con el tiempo mejorarán. Cada vez más, estas características añadirán capas de complejidad a la ya enorme tarea que es ejecutar un sistema de mensajería a nivel empresarial. Es fácil perderse cuando se planifica la capacidad del hardware, la creación de DAG (grupos de disponibilidad de base de datos, por sus siglas en inglés) y resistencia de sitios, la configuración de enrutamiento de correo, y asegurarse de que los usuarios puedan conectarse al sistema.

Con esto en mente, he aquí algunos detalles que son indispensables antes de abrirle las puertas a su nuevo entorno de mensajería.

Capacidad

Antes de descargar Exchange Server, debe tener una buena idea de cuántos usuarios tendrá su sistema de apoyo, los acuerdos de nivel de servicio que pueda tener, y cuánto tiempo requerirá una ventana de recuperación de desastres de su organización. Estos son temas muy profundos que están mucho más allá del alcance de este artículo, pero Microsoft ofrece algunas herramientas para ayudarle a planear esto.

En primer lugar, están las recomendaciones de dimensiones y configuración de Exchange 2013, en un artículo de TechNet, que le llevará a través de los conceptos básicos, como el núcleo de la CPU de Active Directory, a ratios de núcleo de CPU de servidor de buzón, la configuración de red, las revisiones requeridas de Windows Server, y la configuración del archivo de paginación. Si está familiarizado con Exchange Server 2010, se dará cuenta de algunos cambios resaltados en este artículo para la configuración de Exchange 2013, como ya no recomendar una red separada para la replicación.

Una vez que se haya familiarizado con las recomendaciones básicas, es momento de sumergirse en la planificación de capacidad. El blog del equipo de Exchange es una gran fuente de información para esto, y el grupo ha publicado una visión integral de cómo dimensionar correctamente el entorno. No se desanime por las fórmulas matemáticas -una calculadora, está disponible para su descarga con el fin de ayudarle a través del proceso.

Unos cuantos consejos TL, DR:

* No se meta con las configuraciones RAID para sus volúmenes de base de datos. Eso es de la vieja escuela, y ya no es necesario debido a las mejoras de rendimiento en Exchange. JBOD está bien, especialmente cuando se utiliza DAG para la alta disponibilidad.

* Utilice un núcleo CPU de Active Directory para cada ocho núcleos de buzón de CPU.

* No utilice hyperthreading en servidores de buzones físicos.

* Establezca monitores de rendimiento para las métricas críticas tales como la consulta de duración AD, IOPS en sus discos de bases de datos, y para verificar toda la base de datos de AD que puede caber en la RAM.

Enrutamiento de correo

Tiene todo instalado. Sus bases de datos se replican. Sus cargas están equilibradas. El rendimiento se está supervisando. Ahora es el momento de hacer que el correo electrónico ingrese y salga de su sistema.

Dominios aceptados y directivas de direcciones de correo electrónico

Asegúrese de que todos sus dominios se enumeran con el tipo de dominio adecuado bajo flujo de correo > dominios aceptados, y que su dominio por defecto es correcto. Si tiene la intención de utilizar las directivas de direcciones de correo electrónico, ahora es un buen momento para revisar y asegurarse de que tiene los dominios adecuados y formato de nombre de usuario seleccionados. Puede hacerlo en virtud del flujo de correo > directivas de direcciones de correo electrónico.

Para asegurarse de que tiene los dominios adecuados y formato de nombre de usuario seleccionado para sus directivas de direcciones de correo electrónico, vaya a flujo de correo > directivas de direcciones de correo electrónico.
Confirugrar Microsoft Echange Server
DNS

Al igual que con Office 365, necesita que sus entradas DNS estén configuradas correctamente antes de que el correo electrónico se dirija hacia su sistema, o que los clientes descubran sus ajustes. Esto es un poco más difícil para las soluciones en las instalaciones, ya que necesitará configurar reglas de firewall para permitir que el puerto 25 sea la entrada a los servidores de front-end o de transporte dependiendo de su configuración específica.

Tendrá que crear primero un registro A para la dirección IP de su MTA (Message Transfer Agent o agente de transferencia de mensaje). Por ejemplo, estamos usando mail.exampleagency.com en nuestro laboratorio. Una vez que el registro A está en su lugar, debe crear un registro MX que apunte hacia él. Su proveedor de alojamiento DNS debe tener la documentación adecuada para cubrir la creación de estos registros.

Para el autodescubrimiento, necesita crear ya sea un registro A para la dirección IP de su servidor de acceso de cliente o, si es el mismo que el MTA, un registro CNAME que apunte al mismo. Una vez más, para nuestro laboratorio utilizamos un registro CNAME de autodiscover.exampleagency.com apuntando a mail.exampleagency.com ya que ambos utilizan la misma dirección IP. Se requiere que este registro sea autodiscover.yourdomain.tld ya que esa es la forma en que Outlook Autodiscover lo buscará.

Conectores

A diferencia de Office 365, Exchange en las instalaciones no crea un conector de envío para usted de forma automática. Para ello, abra EAC (centro de administración Exchange, por sus siglas en inglés) y navegue hasta el flujo de correo > Conectores de envío. Un conector de base se limita a enviar a Internet a través de la resolución de DNS.

Para crear un conector de envío, abra EAC (Exchange Admin Center) y navegue hasta flujo de correo > Conectores de envío.
Configrar Microsoft Echange Server

Si está usando una puerta de enlace de mensajería proveniente de terceros tales como Mimecast, lo configurará como un conector personalizado. Este es también el lugar donde va a configurar todas las conexiones TLS forzadas a otros MTAs. Por ejemplo, Bank of America requiere conexiones TLS forzadas durante sus proveedores. Para ello, tendrá que utilizar un conector de Partner.

Esta es también una buena oportunidad para revisar los conectores de recepción. Aquí se puede establecer el tamaño máximo de mensaje entrante (por defecto es 35MB -recuerde dar cuenta de los cerca de 33% de codificación MIME en general), ya sea para habilitar el registro de conexión, la configuración de seguridad como TLS forzada y las restricciones de IP.

Acceso del cliente

Tiene configurado el enrutamiento de correo básico y puede enviar y recibir correo electrónico. Ahora tiene que lograr que los clientes conectados a su sistema puedan utilizarlo.

Certificados

Con Office 365, Microsoft utiliza su propio espacio de nombres para la detección automática de Outlook, Outlook Web App, y la conectividad SMTP sobre TLS. Como tal, Microsoft utiliza sus propios certificados. Para Exchange en las instalaciones, tendrá que comprar nuevos certificados de una CA de confianza para permitir una conectividad confiable y segura en sus sistemas.

Afortunadamente, Microsoft ha hecho que el proceso sea fácil de completar. Para empezar, abra EAC y vaya a Servidores > Certificados. Añada un nuevo certificado y opte por generar una solicitud. Un asistente se abrirá y le guiará a través del proceso. Se le dará la oportunidad de elegir su dominio para cada tipo de acceso. En este ejemplo, he utilizado principalmente webmail.exampleagency.com para todo.

Para agregar un nuevo certificado, abra EAC y navegue hasta Servidores > Certificados.
Confirurar Microsoft Exchange Server

Una vez que finalice el asistente, tome su archivo de solicitud de certificado y súbalo a su autoridad de certificación preferida (utilizamos GoDaddy). A continuación, recibirá el certificado en forma de un archivo CER. Simplemente haga clic en completar, e importe el archivo CER para que el certificado esté habilitado en el entorno.

Directorios virtuales

Ahora que tiene su certificado instalado, es hora de decirle a Exchange qué dominios utilizará para determinados servicios. Vaya a Servidores > Directorios Virtuales. Desde aquí, debe configurar el acceso externo para cada uno. En este ejemplo, hemos configurado el directorio virtual de OWA para utilizar webmail.exampleagency.com.

Vaya a Servidores > Directorios virtuales para decirle a Exchange qué dominios utilizar según los servicios.
Configurar Microsoft Exchange Server

Hay temas más complejos para discutir tales como matrices de acceso de cliente y el balanceo de carga, pero es mejor dejarlos para una exploración más a fondo que este artículo. Para obtener más información, consulte la documentación de Exchange Server de Microsoft en TechNet.

Seguridad y cumplimiento

A pesar de que sus datos no se encuentran en una nube pública, todavía tiene que considerar cuidadosamente la seguridad. Para empezar, asegúrese de solicitar actualizaciones regulares para Windows Server y Exchange Server. El mismo consejo también aplica para las cuentas de servidor; utilice siempre las cuentas de administrador separadas de las cuentas regulares.

Es absolutamente necesario que restrinja el acceso a las tareas administrativas de las redes internas o VPN, a menos que quiera permitir alguna forma de autenticación de múltiples factores a través de productos de terceros, como RSA SecurID.

Asegúrese de tener una política de contraseñas sensata en su lugar. La orientación sobre esto va cambiando, pero nos parcializamos con la idea más reciente de utilizar contraseñas más largas que contraseñas más complejas. En nuestro laboratorio, pedimos que los usuarios tengan contraseñas de 14 caracteres -sin cualquier requisito de complejidad- que expiran cada 90 días.

También debe considerar si necesita restringir el envío de información confidencial a través de correo electrónico, como números de seguro social y números de tarjetas de crédito. Puede configurar estas restricciones bajo Compliance Management > Data Loss Prevention. Microsoft ofrece una serie de plantillas para ayudarle a hacerlo de manera rápida. En este ejemplo, utilizo la plantilla US FTC para restringir el envío de números de tarjetas de crédito.

Puede configurar las restricciones en el envío de información sensible bajo Compliance Management > Data Loss Prevention.
Configurar Microsoft Exchange Server
Reflexiones sobre otro software

Si ha llegado hasta acá, con suerte tiene un sistema de trabajo de Exchange en sus instalaciones. Ahora tiene que protegerlo, hacerle una copia de seguridad, y en general asegurarse de que permanece en línea.

Para las soluciones antivirus, querrá un paquete antivirus en tiempo real de todo el sistema, así como un paquete que escanea los mensajes en tránsito. Microsoft ofrece una lista de las exclusiones necesarias, tanto para los controladores de dominio de Active Directory, y los sistemas Exchange Server. Asegúrese de seguir las recomendaciones de Microsoft y no dependa de su proveedor de antivirus para implementarlos de forma automática. He visto demasiados paquetes antivirus pisoteando los archivos de registro de base de datos del buzón de correo para que usted crea que pueden hacerlo por usted.

También tiene que considerar el tipo de copia de seguridad y restaurar los métodos que desea apoyar. ¿Está realizando una copia de seguridad en disco o cinta? ¿Necesita restauración granular (que tienen muchos más recursos que por lo general valen la pena)? ¿Qué tan atrás deben remontarse las copias de seguridad? Hay muchas preguntas que debe hacerse a sí mismo, a su equipo, y a la alta dirección.

Otras consideraciones de productos incluyen la prevención de pérdida de datos, el software antispam, y el archivo de correo electrónico. En algunos casos, todo esto podría ser incluido en un solo paquete. Pero asegúrese de que está certificado para trabajar con Exchange Server 2013, y cuenta con el soporte del proveedor adecuado. No quiere comprar un producto solo para descubrir que fue construido para Exchange Server 2007 y solo cuenta con soporte por correo electrónico.

Pensamientos finales

Por último, asegúrese de hacer su tarea. Asegúrese de que su organización no tiene que seguir leyes específicas para la retención de datos, prevención de pérdida de datos o acceso a datos. Haga copias de seguridad de prueba y restauraciones de forma regular. Utilice el archivo de prueba EICAR para asegurarse de que el software antivirus está funcionando correctamente. Revise sus monitores de rendimiento para asegurarse de que no es necesario volver a equilibrar un DAG o añadir un controlador de dominio. Ah, y una cosa más: aprenda a amar PowerShell.

Ejecutar un servidor Exchange en las instalaciones es mucho más complicado que simplemente suscribirse a Office 365, pero tendrá mucho más control y obtendrá una experiencia mucho más gratificante como profesional de TI. Este artículo con suerte le dará al menos una buena visión general de sus opciones y lo que tiene que hacer bien cuando se configura Exchange Server en las instalaciones. Cada organización es diferente, y esta guía puede ser de la marca para su escenario. Debe, sin embargo, ser suficiente para la mayoría de los administradores TI de las pequeñas empresas que buscan que se instale rápidamente.

J. Peter Bruzzese, Dustin Cook, InfoWorld (EE.UU.)