 Por Carlos Dinápoli, MVP Exchange Introducción y roles de Servidores Dentro de Exchange 2007 existen diferentes roles de Servidor dentro de los cuales tenemos dos categorías diferenciadas. Un rol es diseñando para ser implementado en un red Pública o red perimetral que no tenga acceso a Active Directory. El resto de los otros roles están diseñados para ser instalados en la Intranet con acceso a Active Directory. El Server en la red perimetral llamado Edge Transport Server, es aislado de Active Directory y funciona como engine de ruteo e higiene en los mensajes. Este rol es el responsable para filtrar mensajes que arriban desde redes desconocidas al igual que Internet. Aunque este no formaría parte del árbol de Active Directory, para asegurarse que haga la entrega de mensajes correctamente a los recipientes este necesita acceso a la información de Active Directory la cual es provista por una instancia de Active Directory Application Mode (ADAM) instalada localmente y sincronizado con una instancia dentro de la intranet. Este rol no puede ser combinado con otro rol en la instalación del servidor. Para rutear mensajes hacia o desde la intranet, es necesario usar un Conector para que se encargue de esto. El ruteo de mensajes entre intranet o entre Organizaciones de Exchange que tienen confianza es manejada por el Hub Transport Server. Este rol es combinado con otros roles donde se requiera (por ejemplo Mailbox Server o Client Access). Client Access por ejemplo se encarga de hacer las conexiones de clientes a Exchange 2007. Este funciona como un Front End en 2003 sin todos los Mailbox y elementos de ruteo. El Mailbox Server es como un servidor de Exchange 2003 dedicado a casillas sin embargo este no maneja conexiones de Clientes No MAPI o ruteo de mensajes, como si los administran otros roles. El rol de Unified Messaging es un nuevo rol y permite integrar la casilla de mail con servicios de voice mail y fax. Este provee una integración con la central telefónica y reconocimiento de voz para acceder a la casilla de mail. Exchange 2007 Topología Enterprise El rol de Edge es un servidor que se encuentra aislado en la red perimetral ruteando mensajes desde/hacia Internet. Los mensajes son filtrados usando agentes, como Connection Filtering el cual acepta o rechaza conexiones SMTP desde hosts remotos basados en las direcciones IP. Los mensajes también pueden ser filtrados basados en la persona que lo envió, reputación de Envío, dirección de recipiente y contenido. También puede combinar antivirus de terceras partes y soluciones de AntiSpam en el Edge. Los conectores son definidos en ambos Edge y Hub Transport para rutear mensajes entre la red perimetral y la intranet. Los conectores deben ser definidos en pares, por ejemplo un Send Connector desde el Hub con su correspondiente RECEIVE Connector desde el Edge. La comunicación entre estos dos roles son seguras y autenticadas por defecto. El Hub Transport Server es el encargado de rutear los mensajes hacia el mailbox Server apropiado. Si el usuario esta conectado al Mailbox Server desde un cliente MAPI como Outlook 2007 el mismo es notificado acera del arribo de un nuevo mensaje. En caso de que este conectado a través de OWA, Active Sync o RPC sobre HTTPS (Outlook Anywhere) el rol llamado Client Access Server es el encargado de notificar al cliente. Grupos de Ruteo Los Grupos de ruteo desde Exchange 2000/3 aun son soportados, para asegurarse la compatibilidad con 2000/3 Exchange 2007 soporta Grupos de ruteo, los cuales son transparentes para los servidores “legacy”. Exchange 2007 no estará en ningún Grupo de ruteo definido. En lugar de estos, utiliza las redes IPS para tomar decisiones acerca del ruteo. En caso también puede utilizar la topología de Active Directory en términos de Sites, Sites links y Sites Links Bridges. Esto hará la vida un poco más fácil con Active Directory y las definiciones de ruteo de mails. Desde que Active Directory ya tiene definida la topología de IP en términos de subredes físicas y lógicas, todos los clientes, servidores y controladores de dominio conocen esos términos. Rol Edge Transport Tratando en más detalle este rol, este provee una funcionalidad de seguridad en la mensajería. Este rol no puede ser combinado con cualquier otro rol de Exchange 2007 pero puede ser instalado en la misma maquina que el ISA Server. ISA puede hacer la redirección a la red interna por ejemplo de Client Access Servers. Este rol no tiene acceso a información sensible y el aislamiento físico provee una seguridad adicional. Para habilitar al Edge de pasar información al apropiado Hub Server este requiere información de recipiente. Esta información es provista por Active Directory Aplication Mode (ADAM), está disponible desde un Hub Server a través del port 1389 usando LDAP y es de SOLO LECTURA en el Edge Server. Edge Transport Server ADAM obtiene la información de datos a través de Edge Sync que es una herramienta de sincronización con un subset de información de recipientes en Active Directory que existe disponible. Edge Sync Edge Sync es una colección de procesos que se ejecutan en el Hub Transport de Exchange 2007 a fin de establecer una replicación one-way de los recipientes y información de configuración que existe en Active Directory con ADAM. Edge Sync sólo copia la información que Edge Transport requiere para ejecutar los procesos de AntiSpam así como también información acerca de la configuración de Send Conector que es requerida para habilitar el flujo de mails desde Hub Transport a Edge. Edge Sync ejecuta actualizaciones agendadas para que la información en ADAM se mantenga actualizada. Cuando los datos son enviados a ADAM desde Active Directory esta información es pasada con un “hash” para proteger la información. La conexión LDAP es asegurada por credenciales de ADMIN guardadas en el archivo de suscripción de Edge. Edge Sync replica la siguiente información desde Active Directory hacia ADAM: • Send Connector • Accepted Domains • Remote Domains • Safe sender list • Recipientes Hub Transport La responsabilidad primaria de un Hub es proveer ruteo de mensajes en la organización de Exchange. Este siempre es usado. Al menos es necesario tener un Hub Transport Server por Active Directory Site donde existen casillas dadas de alta y servidores de Exchange (Mailbox Servers). Para asegurarse la comunicación con servidores de Exchange 2003 conectores deben ser creados hacia el Grupo de ruteo. Desde que Exchange 2007 es agregado en una organización de Exchange 2003, será agregado en un Grupo Administrativo propio llamado Exchange Administrative Group con un número en modo random entre paréntesis. Los servidores de 2007 también serán agrupados en su propio Routing Group llamado Exchange Routing Group con un número en modo random entre paréntesis. Topología de ruteo La comunicación entre Hub Transport y Edge Server se sincroniza a traves del port 1389 por LDAP.  Comunicación SMTP entre Hub Transport y Edge Server se realiza a través de TLS (asegurado). Autenticación por Kerberos no se puede usar ya que Edge no es parte de Active Directory. La comunicación del Hub Trsnport Server con el resto de los servidores de Exchange 2007 es a través de Kerberos ya que son parte del Forest de Active Directory.  Todos los mensajes ahora se envían como “direct-Relay”, los Hub Servers prefieren directamente la conectividad entre el destino y origen para rutear los mensajes. El Hub evitará el salto de redes intermedias y el efecto ping pong de los mensajes. Direct Relay es la comunicación Hub Server – Hub Server. La comunicación intersite de Active Directory la comunicación es por SMTP, Intra-Site relay usa comunicación MAPI basada sobre RPC. Los servidores Hub usan las rutas en forma determinística y no necesitan de Link State Table, que muestra el estado de los links en Exchange 2003 Server entre Grupos de ruteo. Como consecuencia de esto Exchange 2007 no consume o propaga la información de la Link State Table, y a menos ya exista algún problema de redes, siempre usa la misma ruta entre el origen y destino del mail. El término de rutas determinísticas se refiere a que la ruta entre el origen y destino es determinada antes de que la transmisión ocurra entre el origen y el destino.
La topología de ruteo es automáticamente generada, entonces no es necesario configurar conectores para el ruteo de los mensajes. La topología de ruteo de Exchange 2007 está basada en los sitios de Active Directory, por lo cual muchas organizaciones se pueden basar en los Grupos de ruteo creados especialmente si los mimos fueron diseñados en base a los Sites de Active Directory. Si se tiene mas de Hub Server en el mismo Site automáticamente funcionará como balanceo de carga sin necesidad de realizar ninguna configuración adicional. En el siguiente cuadro se puede ver una comparativa entre Exchange 2007 y Exchange 2003. Gasta recursos innecesarios cuando envía un mensaje | Direct Relay | Diseño de necesario de Topología de ruteo | AD Topología de Sitios | Creación de Conectores de Grupos de ruteo | Configuración de ruteo automática | No siempre es transparente como toma las decisiones de ruteo de los mensajes.
Uso de ancho de banda para expandir la información de ruteo
| Ruta de ruteo transparente.
No usa Link State Table. (Tabla de ruteo).
| Es necesario configurar restricciones por cada Conector | Reglas de transporte Globales |
Nuevo Stack de SMTP En Exchange 2007 el protocolo SMTP es provisto por Microsoft Exchange Transport Service (MSExchangeTransport.exe). En las versiones anteriores el servicio de SMTP era provisto por IIS. El SMTP Stack es el corazón de la infraestructura de Exchange 2007, sin esto este no puede ser capaz de enviar y recibir e-mails. Al sobrescribir el código del stack de SMTP administrado y ejecutándose con la cuenta Network Service Account se reducen los riegos asociados a ataques de denegación de servicio. El nuevo stack de SMTP es requerido como parte del corazón de Exchange 2007. Esto elimina la dependencia de IIS reduciendo el trabajo requerido para asegurar el Server en caso de que se encuentre en una red perimetral. Diagrama de Transporte en Exchange 2007  Direct Relay (Retransmisión directa) En Exchange 2007 los mensajes son enviados directamente desde el servidor origen al servidor destino reduciendo el número de saltos que puede tomar el mensaje a ser enviado. Cuando la resolución de ruteo ocurre el nombre y la dirección IP del servidor destino son resueltos. Si existen múltiples IP Site Links de Active Directory entre el origen y el destino el cálculo de la ruta es usado para determinar el punto óptimo de la bifurcación del mensaje y el punto en el cual debe ser encolado en caso que el destino sea inalcanzable. Hub Sites Para los que requieren más control del flujo de los mensajes y del ruteo de Exchange 2007 este posee la posibilidad de habilitar los Hub para evitar el Direct Relay. Se puede especificar que un Active Directory Site es un Hub Site. Un Hub site es un Sitio de Active Directory a través del cual todos los mensajes serán distribuidos al Hub Transport Server. El Hub Site debe existir con un menor costo en la ruta entre el origen y el destino. Esta configuración es útil para redes que tienen firewalls entre sitios que pueden bloquear las conexiones. Sobrescribir Costo del Sitio Para tener más control de los mensajes en el comportamiento del ruteo, se pueden asignar un costo Específico de Exchange al IP Site Link de Active Directory. Por defecto Exchange calcula el menor costo de ruta entre sitios de Active Directory usando los costos asignados a esos links. Si esos costos no son los óptimos para el ruteo de Exchange 2007 usando CMDLETS de Power Shell se puede configurar un costo específico sobre el Sitio de Active Directory para que lo utilice Exchange 2007. Queue (Cola) desde el punto de falla En versiones anteriores de Exchange, cuando el servidor destino es inalcanzable, el estado del conector Down era propagado a través de la Organización de Exchange por las actualizaciones de la tabla de ruteo (LSA) y una ruta alternativa era calculada. En Exchange 2007, cuando un mensaje no puede ser enviado directamente al Server destino a causa de problemas de conectividad no son calculadas rutas alternativas. El mensaje es encolado en el Hub Transport. Delayed Fan Out (Demora en Bifurcación) Un mensaje que es enviado a uno o más recipientes debe ser bifurcado o dividido para ser enviado a más de un destino. Exchange 2007 demora la bifurcación hasta que este determine el camino de ruteo. Al demorar la bifurcación, el ancho de banda utilizado es reducido. Conectores SMTP Exchange 2007 requiere de conectores para enviar y recibir e-mails. Para enviar y recibir correos internos no se necesita configurar conectores. Los conectores entre Hub Transport en la organización, son implícitos y son computados al usar la información guardada en Active Directory del Site Link. Para enviar hacia fuera de la organización de Exchange Send Connectors y Receive Connectors son necesarios. Cuando se instala un Hub Transport Server un Receive Connector por defecto es creado, a menos que sea necesario dedicar un Receive Connector para un dominio especifico no es necesario crear un Receive Connector adicional. Send Connectors desde Hub Transport Server a Edge Server, desde Edge hacia Hub Transport y desde Edge a Internet no son creados automáticamente por la instalación de Exchange 2007. Los Send connectors pueden ser creados manualmente o se puede suscribir un Edge Transport Server a un Sitio de Active Directory. Cuando este esta Subscripto a un Site de Active Directory los siguientes conectores son creados por Edge Sync: • Un Send Connector implícito desde el Hub Transport que esta en el mismo Forest que el Edge Server. • Un Send Connector desde el Edge Transport a el Hub Transport en el Site de Active Directory en el cual el Edge Transport Server esta subscripto. • Un Send Connector desde el Edge Transport a Internet.
| 