Toda la organización de Exchange 2007 en un solo servidor


Esta es una pregunta/queja que se recibe bastante a menudo cuando se cuenta cómo encaja cada unos de los diferentes roles de Exchange Server 2007 en la topología de una organización. Y es que como el role de Transporte de Perímetro no puede ser instalado junto a ninguno de los demás, y es en él donde se habilitan por defecto los diferentes agentes anti-spam, es justo pensar que no queda más remedio que montar al menos dos servidores para mantener una infraestructura de Exchange 2007 completamente segura:


Roles           topología


Sin embargo esto, aunque deseable, no es así. Vamos a ver como se monta una organización de Exchange Server 2007 con toda la funcionalidad en un solo servidor, por supuesto ya sobre Windows Server 2008, y de paso vamos a protegerlo contra malware utilizando Forefront Security for Exchage Server with Service Pack 1.


Paso 1: Instalar Windows Server 2008 x64, hacerle miembro de un dominio o controlador de dominio.


Paso 2: Instalar los roles y funcionalidades de Windows Server 2008 que son requisitos para la instalación de Exchange Server 2007 SP1 (http://technet.microsoft.com/en-us/library/bb691354.aspx)



ServerManagerCmd -i RSAT-ADDS (solamente si la máquina NO es un DC)
ServerManagerCmd -i Web-Server
ServerManagerCmd -i Web-ISAPI-Ext
ServerManagerCmd -i Web-Metabase
ServerManagerCmd -i Web-Lgcy-Mgmt-Console
ServerManagerCmd -i Web-Basic-Auth
ServerManagerCmd -i Web-Digest-Auth
ServerManagerCmd -i Web-Windows-Auth
ServerManagerCmd -i Web-Dyn-Compression
ServerManagerCmd -i RPC-over-HTTP-proxy
ServerManagerCmd -i PowerShell
ServerManagerCmd -i Desktop-Experience


Paso: 3: Instalar Exchange Server 2007 con el SP1 integrado. Solamente esta versión (no la RTM) se puede instalar en Windows Server 2008). Elegir la instalación personalizada y marcar todos los roles, menos el Edge. Siguiente, siguiente, finalizar. Ya os pude los pantallazos en este post: http://blogs.technet.com/davidcervigon/archive/2008/01/15/exchange-2007-sp1-y-un-cluster-ccr-en-windows-server-2008.aspx


Paso 4: Habilitar los agentes de anti-spam en el transporte de concentrador. Este es el truco para poder prescindir de servidor de perímetro. Estos agentes no están activados por defecto en los servidores con este role, pero pueden habilitarse de manera rápida y sencilla. Basta con ejecutar el script de Powershell Install-AntiSpamAgents.ps1 que se encuentra en la carpeta %Programfiles%\Microsoft\Exchange Server\Scripts


Install-AntispamAgents.ps1


A partir de este momento podemos configurar ya los diferentes filtros contra el correo no deseado tanto a nivel de toda la organización como a nivel del servidor en que han sido habilitados:


AntiSpam-Tranport-Org AntiSpam-Tranport-Server 


La solución que estamos exponiendo aquí pasa por publicar en el firewall los puertos pertinentes para que el correo entre y salga y para que los clientes se puedan conectar. Me parece importante mencionar que otra funcionalidad importante del Edge Transport es seleccionar de manera muy cuidadosa la información de la organización y del Directorio Activo que se expone directamente a Internet.


Paso 5: Instalar Forefront Security for Exchange Server SP1. La versión de evaluación puede descargarse desde aquí, y su instalación es de las de "pinta y colorea". Dado que Forefront Security es una solución multimotor, con 10 motores diferentes de antivirus con sus propias firmas, solo tendremos que elegir hasta cuatro de ellos que acompañen al de Microsoft para funcionar simultáneamente en cada servidor (en instalaciones con varios servidores, lo suyo es combinarlas de manera que cuando el correo haya llegado a un destinatario haya pasado por los diez motores)


FS Ex SP1 - 1 FS Ex SP1 - 2 FS Ex SP1 - 3


 FS Ex SP1 - 4 FS Ex SP1 - 5 FS Ex SP1 - 6


  FS Ex SP1 - 7FS Ex SP1 - 8 FS Ex SP1 - 9


 FS Ex SP1 - 10 FS Ex SP1 - 11 FS Ex SP1 - 12


 FS Ex SP1 - 13 FS Ex SP1 - 14 FS Ex SP1 - 15


 FS Ex SP1 - 16 FS Ex SP1 - 17 FS Ex SP1 - 18


Si te apetece probarlo y además contarlo, tanto Exchange Server 2007 como Forefront Security están actualmente cubiertos en nuestro programa IT Pro Momentum para soporte a pilotos.


Saludos


David Cervigón

Comments (7)
  1. Lo que has leido aqui es el modelo de licenciamiento de Windows Server.

    El de Vista es similar y lo tienes explicado aqui, pero depende de la edición y el tipo de licenciamiento (no OEM, por ejemplo, que va asociado a un equipo como el que habrás comprado). Y por cierto ¿que significa ELMS?)

    http://download.microsoft.com/download/3/d/4/3d42bdc2-6725-4b29-b75a-a5b04179958b/licensing_vista_with_VM_technologies.docx

    Si necesitas que aclaremos tu situacion particualr, mandame un correo y se lo redigijo a los que saben de estos asuntos

    Saludos

  2. Buen punto Miguel

    Los transportes de concentradir no están pensados para aceptar correos de fuera de la organización

    Se puede hacer por UI, pero el cmandito de Powershell puede sumarse al del paso 4 y dejarlo todo muy lo más desatendido posible

    Gracias

  3. Utopiko says:

    Una pregunta de licencias… la facu me ha dado un Vista Business (E.L.M.S)que tenia instaldo en un portátil, peeero ese portátil se fue al garete así que compre otro con Vista Ultimate instalado.

    Ahora la pregunta::

    ¿Puedo usar la licencia que me dieron en la facu para virtualizalo con VirtualPC?

    Pregunto esto porque aunque he mirado en la red y aquí en tu blgo tb explicas algo en un post pasado, me he liado dado que por un lado y por lo que entiendo es 1 licencia por Cpu sin posibilidad de cambio, pero por otro lado y si no recuerdo mal con 1 licencia puedo virtualizar 4 maquinas.

    entonces… 🙁

  4. Utopiko says:

    E.L.M.S. =
    https://infraestructura.ei.uvigo.es/elms/

    Empresas tan grandes con tantas policticas, que lio que lio!!!!!!!

    Hombre mi situación es ‘fácil’, tengo un sistema que he instalado en un pc, dicho pc ya no existe, y quiero saber si puedo virtualizarlo legalmente sobre otro pc recien comprado con Vista Ultimate OEM.

    Gracias por el enlace 😉

    Lo voy a descargar y te cuento.

    Muchas Gracias!!!!

  5. Miguel H says:

    Aquí tienes el paso 6: Hacer que el conector acepte correo anónimo.

    Set-ReceiveConnector -Name "Default (o nombre del conector)" -Server HubA -PermissionGroups AnonymousUsers,ExchangeUsers,ExchangeServers,ExchangeLegacyServers

    Saludos.

  6. Miguel H says:

    Pensé que podría ser el paso 6, para que no entrasen correos hasta tener toda la infraestructura de seguridad montada, pero como paso 4 esta bien, así agrupas los pasos a realizar en el servidor y luego empiezas con el firewall (muy bueno por cierto, solo la regla a crear y sus filtros merecen un artículo ).

    Por cierto, en el EBS (yo soy así de monotema), las reglas de publicación vienen creadas con sus filtros y demás, merece la pena analizar como publican el Exchange 2007.

    Un abrazo.

  7. Gina3 says:

     Hola he probado lo que es microsoft ForeFront Security for Echange Server para proteger outlook de los terribles ataques que se tienen el los correos mal intencionados y ha sido una herramienta muy buena para la empresa en donde laboro

Comments are closed.

Skip to main content