Descarga el nuevo ebook de Exchange 2013 / 2016

  • Acceso a material exclusivo del sitio
  • Actualizaciones y novedades
  • Ebooks, tutoriales y mucho más!
 
 

Arquitectura de roles en Exchange

En esta entrada vamos a hacer foco en la arquitectura de roles en Exchange 2013 / 2016.

En Exchange 2007 y 2010 existían 5 roles, en Exchange 2013 esto se redujo a 3:

  • Client Access
  • Mailbox
  • Edge Transport

Una instalación “típica” de Exchange 2013 incluiría los roles de Client Access y Mailbox server. Esto se conoce como multirol y es el tipo de instalación recomendada.

Esto es así al punto que en Exchange 2016 solo tenemos la opción de instalar el rol de Mailbox que incluye toda la funcionalidad siendo equivalente a una instalación multirol en Exchange 2013.

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Outlook: El nombre del certificado de seguridad no es válido

Encontrarse con alertas de seguridad y errores de certificados en Exchange no es algo inusual.

En general estos errores entran dentro de alguna de las siguientes categorías:

  • Certificado firmado por el propio servidor Exchange (self signed)
  • Entidad certificadora no confiable
  • El Certificado no es válido o se encuentra expirado
  • El nombre utilizado por el cliente no coincide con ninguno de los incluídos en el certificado

Si bien el proceso de resolución puede ser complejo, vamos a seguir un diagrama de flujo que nos va a guiar paso a paso en el troubleshooting del error de certificado:

Flujo de resolución de problemas de alerta de seguridad en Outlook

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Split DNS con Exchange

Utilizar split DNS nos permite que un mismo nombre se resuelva a una IP diferente dependiendo desde donde consulta el cliente. Por ejemplo, cuando un usuario interno ingresa a mail.dominio.com este registro se resolvería a una IP privada mientras que el mismo nombre consultado desde internet devolvería una IP pública.

Puntualmente esto habilitaría a minimizar la cantidad de nombres en el certificado para Exchange y eliminar la necesidad de incluir el nombre del servidor. En adición simplificaría el acceso a los recursos por parte de los usuarios ya que solo tendrían que recordar un nombre.

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Cómo renovar un certificado en Exchange 2010?

Para renovar un certificado en Exchange 2010 podemos utilizar la EMC o el EMS, en este caso vamos a ver el procedimiento a seguir mediante la Exchange Management Console.

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Certificados en Exchange 2013 / 2016

Con la instalación de Exchange 2013 / 2016 se genera automáticamente un certificado auto firmado (self signed) habilitado para IIS, POP, IMAP y SMTP:  “Microsoft Exchange”.


Por qué motivo cambiaríamos el certificado predeterminado?

El motivo principal es que los clientes no confían en el certificado y esto deriva en ventanas y carteles molestos.

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Cómo importar un certificado en Exchange 2013?

En una entrada anterior vimos el procedimiento a seguir para exportar un certificado en Exchange 2013, en este caso vamos a ver como importar el archivo exportado.

Algunos motivos por los cuales podría necesitar importar un certificado:

  • Instalación de un mismo certificado en múltiples servidores (por ejemplo, servidores balanceados)
  • Restauración de certificado

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Cómo respaldar un certificado en Exchange 2013?

Una vez instalado el certificado para Exchange 2013 y teniendo en cuenta el tiempo que involucra el proceso de solicitud, especialmente cuando se trata de una entidad emisora publica es recomendable realizar un respaldo y almacenarlo en un lugar seguro.

El respaldo de este certificado nos sería de utilidad frente a cualquiera de los siguientes escenarios:

  1. Caso de reinstalación o reconstrucción del servidor
  2. Cuando tengo alta disponibilidad y debo instalar el mismo certificado en varios servidores

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Certificados en Exchange 2013 / 2016 – Parte 2

En la primer parte vimos sobre el certificado predeterminado, la problemática asociada a utilizar este certificado y líneas generales para generar uno nuevo para Exchange 2013 / 2016.

En esta parte vemos el procedimiento para las siguientes tareas:

1. Generar una nueva solicitud de certificado en Exchange 2013 / 2016

2. (Opcional) Procesar la solicitud con una entidad certificadora interna

3. Completar una solicitud de certificado pendiente

4. Habilitar servicios de Exchange asociados al certificado

Certificados en Exchange


1. Generar el CSR (Certificate Signing Request)

Para generar la solicitud de certificado utilizando el EAC (Exchange Admin Center) de Exchange:

1. Ingresar al EAC: “HTTPS://ServidorCAS/ECP

2. Hacer clic en Servidores y luego Certificados

Certificado Microsoft Exchange

Nota: El certificado auto firmado con el que interactúan los clientes es el que se llama Microsoft Exchange. Los otros 2 se recomienda no modificarlos.

3. Hacer clic en “+” y seleccionar Crear una solicitud para un certificado desde una entidad de certificación:

Nueva solicitud de certificado para Exchange 2013

4. Especificar un nombre descriptivo y hacer clic en Siguiente:

nuevo certificado para Exchange 2013

5. Si es una solicitud para certificado de tipo comodín (wildcard) activar la casilla, de lo contrario hacer clic en siguiente:

nuevo certificado para Exchange 2013

6. Hacer clic en Examinar y seleccionar el servidor donde realizar la solicitud:

nuevo certificado para Exchange 2013

solicitud de certificado para Exchange 2013

7. Seleccionar los servicios en uso y definir los nombres a utilizar en el certificado. Dentro de los nombres debemos incluir los utilizados en la configuración de los directorios virtuales, servicios web en general y autodiscover:

solicitud de certificado para Exchange 2013 / 2016

solicitud de certificado para Exchange 2013 / 2016

Nota: En general conviene utilizar lo que se conoce como Split DNS de tal forma de utilizar los mismos nombres interna y externamente minimizando la cantidad a incluir en el certificado. De cualquier modo esto depende de cada escenario específico, hay varios factores que pueden afectar los nombres que se deben incluir.

8. En información de la organización completar cada uno de los campos y hacer clic en Siguiente:

nuevo certificado de exchange 2013 / 2016

9. Especificar una ruta UNC válida para guardar la solicitud. Ej: \\servidor\c$\temp\cert.req

Solicitud de certificado en Exchange 2013 / 2016 - Generación de CSR

10. Finalizar el asistente y verificar que la solicitud figure como Pedido Pendiente:

Solicitud pendiente de nuevo certificado para Exchange

A partir de este momento estaríamos en condiciones de enviar la solicitud sea a una entidad certificadora interna o a una externa.


2. Procesar la solicitud con una entidad certificadora

En caso de procesar el certificado con una CA interna, continuar el procedimiento de lo contrario ir directamente al punto 3:

1. Abrir Internet Explorer (u otro navegador) y escribir la URL de la entidad certificadora: Https://CA/Certsrv

2. En la ventana de bienvenida hacer clic en Request a Certificate y luego en advanced certificate request

Solicitud de certificado para Exchange con una CA interna

Solicitud de certificado para Exchange con una CA interna

3. Hacer clic en Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file…

Solicitud de certificado para Exchange con una CA interna

4. Abrir con el bloc de notas el archivo con extensión REQ y copiamos todo el texto

Solicitud de certificado para Exchange con una CA interna (CSR)

5. En la ventana de Submit a Certificate Request, en el cuadro de Saved Request pegamos el texto del REQ. En Certificate Template seleccionamos Web Server y hacemos clic en Submit

Solicitud de certificado para Exchange con una CA interna (CSR)

6. Seleccionar Base 64 encoded y clic en Download certificate

Solicitud de certificado para Exchange con una CA interna

7. Guardar el archivo .CER

Solicitud de certificado para Exchange con una CA interna (.cer)


3. Completar la solicitud pendiente en Exchange 2013 / 2016

Con el archivo devuelto por la entidad certificadora procedemos a completar la solicitud pendiente:

1. Ir al EACServidoresCertificados. Hacer clic en completo (completar solicitud)

Completar solicitud pendiente de certificado

2. En Completar pedido pendiente ingresar la ruta al archivo CER (la extensión puede variar)  utilizando el formato UNC (\\servidor\recurso). Aceptar para finalizar

Completar solicitud pendiente de certificado


4. Habilitar el certificado a nivel de servicios de Exchange 2013 / 2016

Para utilizar el nuevo certificado primero debemos habilitar servicios:

1. En el EACServidoresCertificados, seleccionamos el certificado y hacemos clic en Modificar (el icono que parece un lápiz)

Habilitar servicios para Exchange en nuevo certificado

2. Seleccionar los servicios que deseamos utilizar. Por ejemplo si los clientes utilizan únicamente OWA, Outlook Anywhere, MAPI/HTTPS y Activesync con seleccionar IIS es suficiente. Guardar los cambios.

Certificados en Exchange 2013 - Servicios

Luego de esto los clientes Outlook no deberían presentar más ventanas relacionadas a certificados y si vamos por OWA y hacemos clic sobre el certificado deberíamos ver algo similar a la siguiente imagen:

Certificado confiable en Exchange

En la parte 3 vamos a ver mejores prácticas asociadas al manejo de certificados en Exchange 2013 / 2016 y algunos errores comunes de configuración.

Por información sobre respaldo y restauración de certificados en Exchange ver los siguientes artículos:

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Cómo solicitar un certificado en Exchange 2010

De forma predeterminada al instalar el rol de Client Access de Exchange 2010 se crea un certificado auto firmado (self signed) que incluye el nombre de host y FQDN del servidor. Si bien este certificado nos puede ser útil para validar el funcionamiento general, este no es el ideal para un entorno productivo.

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Como simplificar el acceso a OWA en Exchange 2010 / 2013

Una situación frecuente al utilizar OWA es que los usuarios olviden poner HTTPS o especificar el directorio virtual “/OWA” al final de la dirección. Por este motivo la idea de este artículo es ver como simplificar la URL de acceso en Exchange 2010 o 2013, puntualmente como redireccionar las conexiones de HTTP a HTTPS y como hacer para que toda consulta que llegue al sitio web predeterminado de Exchange vaya automáticamente al directorio virtual del OWA.

Si bien hay muchas formas de lograr el requerimiento (por ejemplo con TMG), en este caso vamos a utilizar IIS (Internet Information Services) en el propio servidor de Exchange.

Nota: A partir de Exchange 2013 CU6 en adelante, existe una redirección automática hacia el directorio virtual de OWA. Es decir que si el requerimiento es que cuando un usuario ingrese https://mail.empresa.com sea redireccionado a https://mail.empresa.com/owa no hay necesidad de hacer ninguna modificación.

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Evento 1053: Insuff_Access_Rights – Access is denied

Si bien este evento se puede presentar en distintos productos, pienso que los más comunes serían OCS, Lync o Exchange (independientemente de la versión).

En este caso tomé captura de un evento que se me ha presentado en infinidad de clientes al querer sincronizar un dispositivo con ActiveSync, el error completo es el siguiente:

Exchange ActiveSync doesn’t have sufficient permissions to create the “”CN=..,DC=..,dc=..” container under Active Directory user “Active Directory operation failed or denied.

Active Directory response: 00000005: SecErr: DSID-XXXXXXX, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0”…

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

La pagina de OWA queda en blanco luego de instalar actualizaciones para Exchange 2010

Se me ha presentado en varias ocasiones la situación donde un cliente reporta que luego de instalar un rollup o service pack para Exchange 2010 la pagina de OWA queda en blanco como se muestra en la siguiente figura:

owa en blanco

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Cómo publicar Exchange 2010 con TMG en DMZ – Parte 2

Continuamos con la segunda parte del artículo “Cómo publicar Exchange 2010 con TMG en DMZ”. En la primer parte definimos el escenario a utilizar, vimos requerimientos a nivel de firewall, certificados y configuración de autenticación. En esta entrada vamos a comenzar con los asistentes de configuración, comenzando por la creación del web listener y siguiendo por la publicación de los distintos servicios a utilizar.

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Rollup 5 v2 para Exchange 2010 Service Pack 2 liberado

Leyendo el blog del equipo de Exchange acabo de ver que Microsoft liberó el rollup 5 v2 para Exchange 2010 SP2.

Este rollup en particular cuando se instalaba en su versión 1 derivaba en algunos problemas en ambientes con DAG. Esta versión en adición a no dar este problema incluye el boletín de seguridad MS12-080. Este fix es importante ya que el riesgo es una posible ejecución remota de código.

De los 19 fixes que contiene el rollup destaco los siguientes 4:

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Error al abrir las consolas de administración de Exchange 2010

Me encontré con este problema hace unos días. El cliente me contactó luego de que por un reinicio espontaneo del controlador de dominio del sitio de Exchange no pudiera abrir el Shell (EMS) ni la EMC. Cuando me conecte al servidor lo primero que hice fue abrir la consola de servicios a ver cual estaba abajo, sin embargo estaban todos arriba. Probe de crear una sesión manual con Windows Powershell y tampoco funcionó (a veces cuando no funcionan las consolas es posible conectarse utilizando el Powershell como se indica en este artículo).

El error era el siguiente:

[Servidor.dominio.com] Connecting to remote server failed with the following error message: The WS-Management service cannot process the request. The system load quota of 1000 requests per 2 seconds has been exceeded. Send future requests at a slower rate or raise the system quota. The next request from this user will not be approved for at least XXXXX milliseconds. For more information, see the about_Remote_Troubleshooting Help topic.

                +CategoryInfo   : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [], PSRemotingTransportException

                +FullyQualifiedErrorId  :  PSSessionOpenFailed

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Qué nombres debo tener en un certificado de Exchange 2010?

La respuesta es como en muchas otras ocasiones, “depende”.

Depende de si tengo múltiples sitios con Exchange, de la cantidad de dominios SMTP que soporte y si existen usuarios utilizando SMTP primarios de estos distintos dominios. Adicionalmente esto puede variar en función al mecanismo utilizado para el servicio de Autodiscover.

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Como asignar, importar y exportar un certificado en Exchange 2010

En este artículo vamos a ver como habilitar un certificado en Exchange 2010. En adición, el procedimiento a seguir para exportarlo con su llave privada (equivalente a un respaldo), lo que nos evitaría pasar nuevamente por el proceso de solicitud de certificado en caso de enfrentarnos a una reinstalación del servidor.

Por último veremos como importarlo ya sea en el mismo servidor (si lo reinstalo) o en un servidor diferente.

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

Instalar una CA para emitir certificados a Exchange

De forma predeterminada al instalar el rol de Client Access de Exchange se genera un certificado auto firmado con el nombre de host y fqdn del servidor.

Los clientes no confían en este certificado debido a que no tienen cargada la raíz de confianza asociada, por lo que presentan dificultades para conectarse incluyendo ventanas y carteles indicando que el certificado no es válido.

En general tenemos 2 opciones:

  1. Adquirir un certificado público. Por ejemplo uno emitido por digicert, comodo, godaddy, etc. (esta es la recomendación)
  2. Emitir un certificado privado con una entidad certificadora interna (CA). En este escenario debemos tener en cuenta que de forma predeterminada los clientes externos no unidos al dominio, por ejemplo dispositivos móviles van a presentar advertencias al conectarse por no confiar en la CA interna que emitió el certificado (en este aspecto, similar al caso de utilizar el certificado auto firmado).

Leer Más

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist