La configuración de Exchange Server debe ser correcta

Microsoft ha invertido millones de dólares en Azure y Office 365, y sus competidores están haciendo lo mismo con sus propias ofertas de nube pública de buena fe. Pero las soluciones de nube pública no son para todos. Las organizaciones de diversos tipos tienen razones legítimas para no querer que sus datos restringidos estén en sistemas que escapan a su control total.

Para muchas de estas entidades, Exchange Server local es imprescindible para la mensajería. Microsoft continúa actualizando el software con la seguridad de que cualquier mejora realizada en su pila basada en la nube eventualmente se filtrará. Cada vez más, estas características agregan capas de complejidad a la ya abrumadora tarea de ejecutar un sistema de mensajería de nivel empresarial. Es fácil perderse al pasar por la planificación de la capacidad del hardware, configurar DAG (grupos de disponibilidad de base de datos) y la resistencia del sitio, configurar el enrutamiento de correo y asegurarse de que sus usuarios realmente puedan conectarse al sistema.

Con eso en mente, aquí hay algunos detalles que debe tener en cuenta antes de abrir las puertas a su nuevo entorno de mensajería.

Capacidad

Antes de descargar Exchange Server, debe tener una buena idea de cuántos usuarios necesitará admitir su sistema, los acuerdos de nivel de servicio que pueda tener y cuánto tiempo necesitará su organización para la recuperación ante desastres. Estos son temas muy profundos que están mucho más allá del alcance de este artículo, pero Microsoft proporciona algunas herramientas para ayudarlo a planificar esto.

En primer lugar, se encuentra el artículo Recomendaciones de configuración y tamaño de Exchange 2013 en TechNet. Lo llevará a través de los conceptos básicos, como el núcleo de la CPU de Active Directory a las proporciones del núcleo de la CPU del servidor de buzones de correo, la configuración de red, las revisiones necesarias de Windows Server y la configuración del archivo de paginación. Si está familiarizado con Exchange Server 2010, notará algunos cambios destacados en este artículo para configurar Exchange 2013, como no recomendar una red separada para la replicación.

Una vez que se haya familiarizado con las recomendaciones principales, es hora de sumergirse en la planificación de la capacidad. El Blog del equipo de Exchange es una gran fuente de información para esto, y el grupo ha publicado una visión completa sobre cómo dimensionar correctamente su entorno. No se desanime por las fórmulas matemáticas: hay una calculadora de tamaño disponible para descargar para ayudarlo a facilitar el proceso.

Algunos consejos de TL; DR:

  • No se meta con las configuraciones RAID para los volúmenes de su base de datos. Eso es de la vieja escuela y ya no es necesario debido a las mejoras de rendimiento en Exchange. JBOD está bien, especialmente cuando se usan DAG para alta disponibilidad.
  • Utilice un núcleo de CPU de Active Directory por cada ocho núcleos de CPU de buzón.
  • No utilice hyperthreading en servidores de buzones de correo físicos.
  • Configure monitores de rendimiento para métricas críticas como la duración de la consulta de AD, IOPS en los discos de su base de datos y verifique que toda la base de datos de AD pueda caber en la RAM.

Enrutamiento de correo

Tienes todo instalado. Sus bases de datos se están replicando. Tus cargas están equilibradas. Se está supervisando el rendimiento. Ahora es el momento de pasar a recibir correo dentro y fuera de su sistema.

Políticas de dominios y direcciones de correo electrónico aceptados

Asegúrese de que todos sus dominios aparezcan en la lista con el tipo de dominio adecuado en Flujo de correo> Dominios aceptados y que su dominio predeterminado sea correcto. Si tiene la intención de utilizar políticas de direcciones de correo electrónico, ahora es un buen momento para revisarlas para asegurarse de que ha seleccionado los dominios y el formato de nombre de usuario correctos. Puede hacerlo en Flujo de correo> Políticas de direcciones de correo electrónico.

DNS

Al igual que con Office 365, debe configurar correctamente las entradas de DNS antes de que el correo pueda enrutarse a su sistema o los clientes puedan descubrir automáticamente su configuración. Esto es un poco más difícil para las soluciones locales porque deberá configurar las reglas de firewall para permitir la entrada del puerto 25 a sus servidores de transporte frontales o frontales, según su configuración específica.

Primero deberá crear un registro A para la dirección IP de su MTA (Agente de transferencia de mensajes). Por ejemplo, estamos usando mail.exampleagency.com en nuestro laboratorio. Una vez que el registro A esté en su lugar, cree un registro MX que apunte a él. Su proveedor de alojamiento de DNS debe tener la documentación adecuada para cubrir la creación de estos registros.

Para la detección automática, deberá crear un registro A en la dirección IP de su servidor de acceso de cliente o, si es el mismo que su MTA, un registro CNAME que apunte a él. De nuevo, para nuestro laboratorio utilizamos un registro CNAME de un señalador utodiscover.exampleagency.com a mail.exampleagency.com ya que ambas utilizan la misma dirección IP. Es necesario que este registro sea autodiscover.yourdomain.tld ya que así es como lo buscará Outlook Autodiscover.

Conectores

A diferencia de Office 365, que cubrimos en un artículo anterior, Exchange local no crea automáticamente un conector de envío para usted. Para hacerlo, abra EAC (Centro de administración de Exchange) y vaya a Flujo de correo> Enviar conectores. Un conector básico simplemente enviará a Internet a través de una resolución DNS.

Si está utilizando una puerta de enlace de mensajería de terceros como Mimecast, la configurará como un conector personalizado. Aquí también es donde configurará las conexiones TLS forzadas a otros MTA. Por ejemplo, Bank of America requiere conexiones TLS forzadas para sus proveedores. Para ello, necesitará utilizar un conector de socio.

Esta también es una buena oportunidad para revisar sus conectores de recepción. Aquí puede establecer el tamaño máximo de mensaje entrante (el valor predeterminado es 35 MB; recuerde tener en cuenta la sobrecarga de codificación MIME de aproximadamente el 33 por ciento), ya sea para habilitar el registro de conexión, configuraciones de seguridad como TLS obligatorio y restricciones de IP.

Acceso cliente

Tiene configurado el enrutamiento de correo básico y puede enviar y recibir correo electrónico. Ahora necesita que los clientes se conecten a su sistema para que realmente puedan usarlo.

Certificados

Con Office 365, Microsoft usa su propio espacio de nombres para la detección automática de Outlook, la aplicación web de Outlook y la conectividad SMTP a través de TLS. Como tal, Microsoft usa sus propios certificados. Para Exchange local, deberá comprar nuevos certificados de una CA confiable para permitir una conectividad segura y confiable a sus sistemas.

Afortunadamente, Microsoft ha hecho que el proceso sea fácil de completar. Para comenzar, abra EAC y vaya a Servidores> Certificados. Agregue un nuevo certificado y elija generar una solicitud. Se abrirá un asistente y lo guiará a través del proceso. Se le dará la oportunidad de elegir su dominio para cada tipo de acceso. En este ejemplo, he utilizado principalmente webmail.exampleagency.com para todo.

Una vez que termine el asistente, tome su archivo de solicitud de certificado y cárguelo a su autoridad de certificación preferida (usamos GoDaddy). A continuación, recibirá el certificado en forma de archivo CER. Simplemente haga clic en Completar e importe el archivo CER para que el certificado se importe y habilite para su uso en su entorno.

Directorios virtuales

Ahora que tiene su certificado instalado, es hora de decirle a Exchange qué dominios usar para qué servicios. Vaya a Servidores> Directorios virtuales. Desde aquí, debe configurar el acceso externo para cada uno. En este ejemplo, hemos configurado el directorio virtual de OWA para usar webmail.exampleagency.com.

Hay temas más complejos para discutir, como las matrices de acceso de clientes y el equilibrio de carga, pero es mejor dejarlos para una exploración más profunda que este artículo. Para obtener más información, consulte la documentación de Microsoft Exchange Server en TechNet.

Seguridad y cumplimiento

Aunque sus datos no están en una nube pública, debe considerar cuidadosamente la seguridad. Para empezar, asegúrese de aplicar actualizaciones periódicas tanto a Windows Server como a Exchange Server. También se aplica el mismo consejo para las cuentas de administrador; Utilice siempre cuentas de administrador independientes de las cuentas normales.

Es absolutamente necesario mantener el acceso a las tareas administrativas restringido a redes internas o VPN, a menos que tenga la intención de habilitar alguna forma de autenticación multifactor a través de productos de terceros, como RSA SecurID.

Asegúrese de tener una política de contraseñas sensata. La orientación sobre esto sigue cambiando, pero somos partidarios de la nueva idea de usar contraseñas más largas en lugar de contraseñas más complejas. En nuestro laboratorio, requerimos que los usuarios tengan contraseñas de 14 caracteres, menos los requisitos de complejidad, que vencen cada 90 días.

También debe considerar si necesita restringir el envío de información confidencial por correo electrónico, como números de seguro social y números de tarjetas de crédito. Puede configurar estas restricciones en Administración de cumplimiento> Prevención de pérdida de datos. Microsoft proporciona una serie de plantillas que se pueden utilizar para ayudarle a empezar a trabajar rápidamente. En este ejemplo, estoy usando la plantilla de la FTC de EE. UU. Para restringir el envío de números de tarjetas de crédito.

Pensamientos sobre otro software

Si ha seguido hasta aquí, es de esperar que tenga un sistema Exchange local que funcione. Ahora necesita protegerlo, hacer una copia de seguridad y, en general, asegurarse de que permanezca en línea.

Para las soluciones antivirus, querrá un paquete antivirus en tiempo real para todo el sistema, así como un paquete que escanee los mensajes en tránsito. Microsoft proporciona una lista de exclusiones necesarias para los controladores de dominio de Active Directory y los sistemas Exchange Server. Asegúrese de seguir las recomendaciones de Microsoft y no dependa de su proveedor de antivirus para implementarlas automáticamente por usted. He visto demasiados paquetes antivirus pisotear los archivos de registro de la base de datos de los buzones de correo como para confiar en que lo harán por usted.

También debe considerar el tipo de métodos de copia de seguridad y restauración que desea admitir. ¿Está haciendo una copia de seguridad en disco o cinta? ¿Necesita una restauración granular (que consume muchos más recursos de lo que normalmente vale)? ¿Qué tan atrás deben ir sus copias de seguridad? Hay muchas preguntas que deberá hacerse a sí mismo, a su equipo y a la alta dirección.

Otras consideraciones del producto incluyen prevención de pérdida de datos, software antispam y archivo de correo electrónico. En algunos casos, todo esto podría incluirse en un solo paquete. Pero asegúrese de que esté certificado para funcionar con Exchange Server 2013 y que cuente con el soporte adecuado de los proveedores. No desea comprar un producto solo para descubrir que fue creado para Exchange Server 2007 y tiene soporte solo por correo electrónico.

Pensamientos finales

Por último, asegúrese de hacer su tarea. Asegúrese de que su organización no necesite seguir ninguna ley específica para la retención de datos, la prevención de pérdida de datos o el acceso a los datos. Pruebe las copias de seguridad y las restauraciones de forma regular. Utilice el archivo de prueba EICAR para asegurarse de que su software antivirus esté funcionando correctamente. Revise periódicamente sus monitores de rendimiento para asegurarse de que no necesita reequilibrar un DAG o agregar un controlador de dominio. Ah, y una cosa más: aprenda a amar PowerShell.

Ejecutar un Exchange Server local es mucho más complicado que simplemente registrarse en Office 365, pero tiene mucho más control y obtiene una experiencia mucho más gratificante como profesional de TI. Es de esperar que este artículo le haya brindado al menos una buena descripción general de sus opciones y de lo que debe hacer correctamente al configurar Exchange Server local. Cada organización es diferente y esta guía puede estar fuera de lugar para su escenario. Sin embargo, debería ser suficiente para la mayoría de los administradores de TI de pequeñas empresas que buscan configurarse rápidamente.

Artículos relacionados

  • El poder de PowerShell: una introducción para administradores de Exchange
  • Descargar: Guía rápida: Cómo pasar a Office 365
  • Descargar: Microsoft Office 365 frente a Google Apps: la guía definitiva
  • 5 configuraciones de administrador de Office 365 que debes acertar
  • 10 herramientas de terceros que se adaptan a sus necesidades de Office 365
  • 10 problemas importantes de migración de Office 365 que debe evitar
  • Cómo migrar su servidor Exchange a Office 365