Conceptos básicos de Active Directory en relación a Exchange

A partir de Windows Server 2008 Active Directory abarca un conjunto de productos o servicios:

  • Active Directory Domain Services (ADDS)
  • Active Directory Lightweight Directory Services (ADLDS)
  • Active Directory Federation Services (ADFS)
  • Active Directory Rights Management Services (ADRMS)
  • Active Directory Certificate Services (ADCS)

Independientemente de esto, en general cuando se habla de Active Directory o Directorio Activo sin especificar se hace referencia a Active Directory Domain Services (foco de esta entrada).


Servicios de dominio de Active Directory

Active Directory Domain Services es un servicio de directorio que permite almacenar y administrar información de usuarios, computadoras, impresoras aplicaciones y otros objetos de la red de forma centralizada y segura.

Desde Exchange 2000 Active Directory es el servicio de directorio utilizado por Exchange.

En Active Directory se almacena información de configuración y destinatarios de correo. Cada vez que Exchange requiere información de configuración o sobre algún destinatario consulta Active Directory, si este no se encuentra disponible Exchange no va a funcionar correctamente.

Debido a la fuerte integración de Exchange con Active Directory es importante entender los conceptos más básicos en relación a su interacción con el directorio, donde almacena información y que componentes requiere.


Dominio de Active Directory

Un dominio de Active Directory es un contenedor lógico utilizado para administrar usuarios, grupos y computadoras entre otros objetos.

Todos estos objetos son contenidos en una partición específica dentro de la base de datos de Active Directory (ADDS).

Arbol de dominios

Un árbol de dominios (tree) es una colección de uno o más dominios que comparten un espacio de nombre contiguo. Por ejemplo si el primer dominio se llama contoso.com y tiene un subdominio, este sería subdominio.contoso.com.

En un bosque de Active Directory pueden existir múltiples árboles de dominio.

Bosque de Active Directory

En Active Directory el bosque (forest) es una colección de uno o más dominios  que comparten una misma estructura lógica, catálogo global, esquema y configuración.

Todos los dominios del bosque cuentan con relaciones de confianza automáticas de 2 vías y transitivas.

El bosque representa una instancia completa del directorio y una frontera de seguridad.

En el diagrama a continuación vemos un bosque compuesto por un árbol con un dominio raíz y 2 subdominios.

Las OU representan contenedores utilizados con el propósito de organizar y administrar los objetos de forma eficiente:

Directorio Activo | Bosque, dominio, arbol, ou

https://technet.microsoft.com/en-us/library/cc756901(v=ws.10).aspx

Exchange tiene una relación 1:1 con el bosque de Active Directory, esto significa que un bosque solo puede tener una organización de Exchange y una organización no puede expandirse más allá del bosque.


Particiones del directorio

La información en la base de datos de Active Directory es almacenada en particiones. Estas particiones almacenan distintos tipos de información y actúan como unidades de replicación.

Partición de Dominio

En esta partición se almacena información de usuarios, grupos, computadoras, OUs. Esta partición es replicada entre todos los controladores de dominio del dominio.

Un conjunto parcial de atributos se replica a todos los controladores de dominio del bosque con el rol de catálogo global.

Específicamente en relación a Exchange, en la partición de dominio se almacena información de destinatarios:

  • Usuarios con buzón
  • Usuarios habilitados para correo
  • Carpetas públicas con dirección de correo
  • Contactos habilitados para correo
  • Grupos de distribución

Partición de Configuración

En la partición de configuración se almacena información global de configuración, por ejemplo de sitios de Active Directory, PKI y Exchange entre otros. Esta partición es replicada entre todos los controladores de dominio del bosque.

En relación a Exchange encontramos prácticamente toda la configuración; información de base de datos, conectores, servidores, protocolos, etc.

Partición de Esquema

En el esquema se definen las clases y atributos de los objetos que podemos tener en el directorio. Este esquema es extensible y es lo primero que debemos preparar antes de instalar Exchange.

El esquema es único por bosque y es replicado entre todos los controladores de dominio.

Partición de Aplicación

En adición tenemos particiones de aplicación. Si bien Exchange no almacena información en este tipo de partición, en general se utilizan a nivel de DNS, servicio en el cual Active Directory depende y en consecuencia Exchange.


Catálogo Global

El Global Catalog (GC) incluye una copia parcial de solo lectura que contiene información de los atributos más utilizados de los objetos del bosque.

Entre otras cosas en lugar de tener que consultar DC por DC de cada dominio (de contar con más de uno) permite acelerar las búsquedas en el bosque consultando directamente al GC ya que tiene información de todos los objetos (funcionando como un índice).

En adición, la membresía de grupos universales se almacena en el Catálogo Global. Exchange desde la versión 2007 no permite la creación de grupos no universales para correo. Durante el período de coexistencia con una versión anterior sería posible la utilización de este tipo de grupos pero una vez finalizada esta etapa, estos grupos deben ser modificados para ser administrados por la nueva versión.

Independientemente de si se utiliza un bosque con un único dominio o con múltiples dominios, Exchange consulta al GC.

Todo Catálogo Global es controlador de dominio, mientras que no todo controlador de dominio es GC. Dependiendo de la cantidad de servidores, dominios, etc cuál sería la recomendación respecto a la ubicación de los controladores con rol de GC.

En el escenario más usual, donde encontramos un bosque compuesto por un único dominio, la recomendación en general es que todos los controladores de dominio sean Catálogo Global.

En el siguiente diagrama tenemos un bosque compuesto por 4 dominios; el dominio raíz y 3 subdominios. Si por ejemplo examinamos la base de datos (ntds.dit) de un controlador de dominio del dominio “A” encontramos la partición de dominio (A), configuración y esquema, si el controlador de dominio es además catálogo global tendría las mismas 3 particiones más una réplica parcial de las particiones de los dominios B, C y D:

Directorio Activo | Particiones, replicación y catálogo global

En adición a Exchange, el catálogo global es crítico para una variedad de escenarios, quizás el más básico sea el inicio de sesión de los usuarios.

Dada la criticidad de este servicio se recomienda que existan al menos 2 DC con el rol de GC y que al menos exista 1 GC en cada sitio donde se encuentre un servidor con Exchange instalado.


Replicación

Los controladores de dominio utilizan un modelo de replicación multimaster, es decir que podemos realizar cambios en cualquier controlador de dominio y estos posteriormente serán sincronizados entre sí.

A partir de Windows Server 2008 se incluye un tipo de controlador de dominio de solo lectura: RODC (Read Only Domain Controller), el cual a su vez puede funcionar como catálogo global. En lo referente a Exchange lo que se debe tener en cuenta es que este tipo de controlador de dominio no está soportado, puede existir en la red pero al menos un controlador de dominio de lectura y escritura debe estar en funcionamiento.


Roles maestros (FSMO)

Si bien Active Directory utiliza un modelo multimaster de replicación, existen operaciones particulares que dependen de un controlador de dominio con un rol específico. De forma predeterminada estos roles son asignados al primer DC del bosque.

En Active Directory tenemos 5 roles maestros (FSMO: Flexible Single Master Operations); 2 globales a nivel de bosque y 3 específicos a cada dominio (en el primer dominio (Forest Root Domain) se alojan 5 roles mientras que en el resto solo 3):

FSMO por bosque

  • Schema Master
  • Domain Naming Master

FSMO por dominio

  • PDC Emulator
  • RID Master
  • Infrastructure Master

La mayoría de estos roles son utilizados para tareas puntuales y en algunos casos hasta podrían encontrarse fuera de línea sin derivar en demasiado impacto, pero si por ejemplo al extender el esquema de Active Directory para Exchange, el rol de Schema Master no se encuentra operativo, el proceso va a fallar.


Sitios de Active Directory

Un sitio de Active Directory representa la topología física de la red en el directorio. Un sitio podría ser definido como un conjunto de subredes bien conectadas.

Exchange utiliza sitios de Active Directory para localizar los DC/GC más cercanos y para el ruteo de mensajes, esto es importante cuando tenemos más de un sitio con servidores de Exchange instalados.

De forma predeterminada se crea el Default-First-Site-Name sin subredes definidas lo que básicamente indicaría que toda la red está asociada a este sitio. Si se cuenta con un único sitio esto podría ser suficiente.

De haber más de un sitio físico, por ejemplo un edificio principal y una oficina remota conectada por un enlace lento sería posible definir un sitio de Active Directory asociado a cada ubicación física y así los clientes o servicios que dependen de Active Directory podrían encontrar los controladores de dominio más cercanos.

Mediante la configuración de sitios de Active Directory es posible optimizar los procesos de replicación, autenticación y localización de servicios en la red.

La cantidad de sitios no tiene relación con la de dominios; un sitio podría abarcar varios dominios (dentro de un mismo bosque) así como se podrían utilizar múltiples sitios para un único dominio. El sitio tiene relación con la estructura física mientras que el dominio con la estructura lógica:

Directorio Activo | Sitios de Active Directory

https://technet.microsoft.com/en-us/library/cc782048(v=ws.10).aspx

Por más información sobre Active Directory y Exchange ver el siguiente recurso: