Implementaciones híbridas con varios bosques

Exchange 2013 y las implementaciones híbridas posteriores son compatibles con organizaciones con varios bosques de Exchange locales y una sola organización de Microsoft 365 o Office 365. Para las características y consideraciones de implementación híbrida, las organizaciones de varios bosques se definen como organizaciones que tienen servidores exchange implementados en varios bosques. Las organizaciones que usan un bosque de recursos en las cuentas de usuario, pero que conservan todos los servidores Exchange en un solo bosque, no entran en la clasificación de bosques múltiples en los escenarios de implementación híbrida. Estos tipos de organizaciones se deben considerar como organizaciones de un solo bosque al planear y configurar una implementación híbrida.

La migración de carpetas públicas desde un entorno local a Microsoft 365 o Office 365 solo se admite desde un único bosque de Active Directory. Del mismo modo, solo se admite el acceso a las carpetas públicas en un estado híbrido cuando las carpetas públicas locales están alojadas en un único bosque de Active Directory.

Para obtener más información sobre las implementaciones híbridas, consulte Exchange Server implementaciones híbridas.

Importante

Para Exchange 2013 y versiones posteriores, las implementaciones híbridas requieren la actualización acumulativa (CU) más reciente disponible para la versión de Exchange que ha instalado en la organización local.

Si no puede instalar la actualización más reciente, también se admite la versión anterior inmediatamente. No se admiten las unidades de certificación y las RU anteriores. Para obtener más información, consulte Requisitos previos de implementación híbrida.

Requisitos previos de las implementaciones híbridas con varios bosques

Los requisitos previos de implementación híbrida de varios bosques son casi idénticos a los requisitos previos de implementación híbrida para una organización de bosque único, con las siguientes excepciones:

  • Detección automática: cada bosque de Exchange debe ser autoritativo para al menos un espacio de nombres SMTP y el espacio de nombres de detección automática correspondiente. En caso de que haya dominios compartidos entre varios bosques de Exchange, los extremos tanto de enrutamiento de correo como de detección automática se deben configurar y funcionar correctamente entre los bosques de Exchange para poder configurar la implementación híbrida con varios bosques. El servicio de Office 365 debe poder consultar el servicio Detección automática en cada uno de los bosques de Exchange.

  • Certificados: todas las implementaciones híbridas requieren un certificado digital emitido por la entidad de certificación (CA) de terceros de confianza. En una implementación híbrida de varios bosques, no se puede usar un único certificado digital para varios bosques de Active Directory. Cada bosque debe usar un certificado emitido por una entidad de certificación dedicada para asegurar que el transporte de correo funcione correctamente en una implementación híbrida. El certificado que se use para las características de implementación híbrida de cada bosque en una organización con varios bosques debe ser distinto en al menos una de las siguientes propiedades:

    • Nombre común: el nombre común (CN) del certificado digital forma parte del firmante del certificado. Este nombre debe ser el mismo que el host que se está autenticando y suele ser el nombre de host externo del servidor de acceso de cliente en el bosque de Active Directory. Por ejemplo, mail.contoso.com. Recomendamos usar el CN como una propiedad característica de cada certificado de Active Directory que se use en las implementaciones híbridas con varios bosques.

    • Emisor: entidad de certificación de terceros que comprobó la información de la organización y emitió el certificado. Por ejemplo, VeriSign o Go Daddy. Como ejemplo en una implementación híbrida de varios bosques, un bosque tendría un certificado emitido por VeriSign y un bosque tendría un certificado emitido por Go Daddy.

    Importante

    El certificado instalado en los servidores buzón y acceso de cliente (y transporte perimetral, si se implementa) en cada bosque de Active Directory usado para el transporte de correo en la implementación híbrida debe ser emitido por la misma CA y tener el mismo nombre común.

    En un servidor de transporte perimetral, si el nombre común del certificado y el nombre del emisor no coinciden, puede establecerlos manualmente en el conector de recepción mediante los siguientes comandos:

    $cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate"
    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
    Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatename
    
  • Servidores de Exchange: se debe instalar al menos un servidor de Exchange 2013 con el rol de servidor de acceso de cliente, o un servidor de Exchange 2016 o posterior con el rol Buzón de correo, en cada bosque de Active Directory configurado para la implementación híbrida.

    En Exchange 2013, el servidor de acceso de cliente es el punto de conexión de transporte de correo seguro de entrada para el servicio de Exchange Online Protection (EOP) incluido con el servicio de organización de Microsoft 365 o Office 365 y permite que el Asistente para configuración híbrida se ejecute en el bosque de Active Directory. Del mismo modo, en cada bosque de Active Directory configurado para la implementación híbrida debe haber como mínimo un servidor de Exchange con el rol de servidor Buzón de correo instalado. El servidor de buzones de Exchange 2013 es el punto de conexión de transporte de correo seguro de salida para los mensajes enviados al servicio EOP y a la organización Exchange Online.

    En Exchange 2016 y versiones posteriores, el rol de servidor Buzón de correo controla todo el transporte seguro entrante y saliente entre su organización local y Exchange Online.

  • Planeamiento de espacios de nombres: cada bosque en el que se instala Exchange requiere su propio espacio de nombres único que se puede detectar externamente. Especificará el espacio de nombres único de un bosque en el Asistente para configuración híbrida al ejecutarlo en cada bosque.

  • Sincronización de Active Directory: todas las implementaciones híbridas requieren la sincronización de Active Directory con Microsoft 365 o Office 365. Si su empresa ya ha configurado la sincronización de Active Directory entre la organización local de varios bosques y Microsoft 365 o Office 365 mediante Forefront Identity Manager, puede usar Microsoft Entra Connect.

  • Inicio de sesión único: aunque no es un requisito para las implementaciones híbridas con bosques de Active Directory únicos, los administradores pueden optar por configurar un servidor sso en cada bosque de Active Directory o configurar un único servidor sso si hay una confianza de bosque bidireccional configurada entre los bosques locales. Puede usar ya sea AD FS o la sincronización de contraseñas para hacer posible una experiencia de autenticación transparente para el usuario.

    Para obtener más información, vea Inicio de sesión único con implementaciones híbridas.

Vea Requisitos previos de implementación híbrida para ver una lista completa de los requisitos previos de las implementaciones híbridas.

Escenario de implementación híbrida con varios bosques

Veamos el siguiente escenario. Se trata de una topología de ejemplo que proporciona información general sobre una implementación típica de Exchange 2013. Contoso, Ltd. es una organización de varios bosques y varios dominios con dos bosques de Active Directory. El bosque A contiene el dominio contoso.com y el bosque B, el dominio sale.contoso.com. Cada uno contiene controladores de dominio en cada bosque, un servidor de Exchange 2013 con el rol de acceso de cliente instalado y un servidor de Exchange 2013 con el rol de servidor Buzón instalado. Los usuarios remotos de Contoso usan Outlook Web App para conectarse a Exchange 2013 a través de Internet para comprobar sus buzones y acceder a su calendario de Outlook.

Antes de la implementación híbrida con varios bosques.

Supongamos que es el administrador de red de Contoso y que está interesado en configurar una implementación híbrida. Implementa y configura un servidor de sincronización de Active Directory necesario en el bosque A y también decide implementar un servidor de Servicios de federación de Active Directory (AD FS) (AD FS) como opción para minimizar el número de solicitudes de credenciales de cuenta para los usuarios y administradores de Contoso que acceden a Microsoft 365 o Office 365 en el bosque A. Después de completar los requisitos previos de implementación híbrida y usar el Asistente para configuración híbrida para seleccionar opciones para la implementación híbrida, la nueva topología tiene la siguiente configuración:

  • Los usuarios utilizarán sus credenciales de cuenta de red existentes para iniciar sesión en las organizaciones locales y de Exchange Online ("inicio de sesión único").

  • Los buzones de usuario locales y de la organización de Exchange Online usarán varios dominios de dirección de correo electrónico. Por ejemplo, los buzones ubicados en el bosque A local y algunos buzones ubicados en la organización Exchange Online usarán @contoso.com en direcciones de correo electrónico de usuario y buzones en el bosque B y algunos buzones ubicados en la organización Exchange Online usarán @sales.contoso.com.

  • Todo el correo se entrega en Internet por la organización local. La organización local controla todo el transporte de mensajería y sirve como retransmisor de la organización de Exchange Online ("transporte de correo centralizado").

  • Los usuarios de la organización de Exchange Online local pueden compartir información de disponibilidad del calendario entre sí. Las relaciones entre organizaciones configuradas para ambas organizaciones también permiten realizar el seguimiento de mensajes entre instalaciones, sugerencias de correo electrónico y búsqueda de mensajes.

  • Los usuarios del sistema local y de Exchange Online usan la misma dirección URL para conectar a sus buzones en Internet.

Después de la implementación híbrida con varios bosques.

Si compara la configuración de organización existente de Contoso y la configuración de la implementación híbrida, observará que al configurar la implementación híbrida se han agregado servidores y servicios que admiten comunicaciones y características adicionales que se comparten entre la organización local y la de Exchange Online. Aquí tiene una descripción general de los cambios que la implementación híbrida ha supuesto en la organización de Exchange local inicial.

Configuración Antes de configurar una implementación híbrida Después configurar una implementación híbrida
Ubicación de buzón Sólo buzones locales. Buzones locales y en Exchange Online.
Transporte de mensajes Los servidores de acceso de cliente locales administran todo el enrutamiento de mensajes entrantes y salientes. El servidor Acceso de cliente local administra el enrutamiento de mensajes internos entre la organización local y la organización de Exchange Online.
Outlook Web App El servidor de acceso de cliente local recibe todas las solicitudes de Outlook Web App y muestra la información del buzón. El servidor Acceso de clientes redirige las solicitudes de Outlook Web App al servidor de buzones de correo de Exchange 2013 local, proporciona un vínculo para iniciar la sesión en la organización de Exchange Online.
GAL unificado para ambas organizaciones No aplicable; solo una organización. El servidor de sincronización local de Active Directory replica la información de Active Directory relativa a objetos con correo habilitado a la organización de Exchange Online.
Inicio de sesión único usado por ambas organizaciones No aplicable; solo una organización. El servidor de Servicios de federación de Active Directory (AD FS) local (AD FS) admite el uso de credenciales de inicio de sesión único para buzones ubicados en el entorno local o en la organización de Microsoft 365 o Office 365.
Relación de organización establecida y una confianza de federación con Microsoft Entra sistema de autenticación Se puede configurar la relación de confianza con el sistema de autenticación Microsoft Entra y las relaciones de la organización con otras organizaciones federadas de Exchange. Se requiere una relación de confianza con el sistema de autenticación de Microsoft Entra. Las relaciones de organización se establecen entre la organización local y la organización de Exchange Online.
Uso compartido de disponibilidad Uso compartido de la disponibilidad sólo entre usuarios locales. Uso compartido de la disponibilidad entre usuarios tanto locales como de Exchange Online.

Configuración de implementaciones híbridas en organizaciones con varios bosques

Para configurar una implementación híbrida en una organización con varios bosques, se deben realizar los siguientes pasos básicos:

  1. Confirme que reúne los requisitos previos de implementación híbrida. Vea los requisitos previos indicados anteriormente en este tema y Requisitos previos de implementación híbrida. Normalmente, solo un bosque necesita tener instalado un servidor de sincronización de Active Directory. Para obtener más información, consulte Topologías para Microsoft Entra Connect.

  2. Obtenga un certificado de una CA de terceros para cada uno de los bosques de Active Directory que reúna los requisitos mencionados anteriormente en este tema.

  3. Instale el certificado en todos los servidores de buzones de correo y de acceso de cliente de Exchange 2013, o bien servidores de buzones de correo de Exchange 2016, en cada bosque.

  4. Complete los pasos descritos en el tema Creación de una implementación híbrida con el Asistente de configuración híbrida relativos al bosque principal.

    Importante

    Procure seleccionar el certificado diseñado para el boque principal en el asistente de configuración híbrida y, asimismo, seleccionar el dominio SMTP principal del bosque.

  5. Complete los pasos descritos en el tema Creación de una implementación híbrida con el Asistente de configuración híbrida relativos al bosque secundario.

    Importante

    Procure seleccionar el certificado diseñado para el boque secundario en el asistente de configuración híbrida y, asimismo, seleccionar el dominio SMTP principal del bosque.