Asignaciones estáticas de puertos en Exchange Server

En este artículo se describe cómo asignar estáticamente los puertos que los equipos cliente de MAPI de versiones anteriores utilizan para conectarse a través de un firewall a un servidor que ejecuta Microsoft Exchange Server 5.5, Microsoft Exchange 2000 Server o Microsoft Exchange Server 2003. Entre los equipos cliente de MAPI de versiones anteriores se incluyen equipos cliente de Exchange Server y equipos cliente que ejecutan Microsoft Outlook en modo Corporativo o de Trabajo en grupo. Además, en este artículo se describe cómo asignar estáticamente los puertos en un servidor de aplicaciones para el usuario en un entorno Ethernet de red perimetral (también conocida como DMZ, zona desmilitarizada y subred filtrada) de forma que el equipo pueda iniciar sesión en la red y comunicarse con los servidores de servicios de fondo.

Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Asignaciones de puerto estático a equipos con cliente MAPI para que conecten mediante un firewall con Exchange 2000 Server o Exchange Server 2003

Para habilitar a los equipos con un cliente MAPI de una versión anterior para que conecten mediante un firewall con Exchange 2000 Server o Exchange Server 2003, agregue entradas al Registro para volver estáticos los puertos asignados a esas conexiones. Para ello, siga estos pasos:

1. Inicie el Editor del Registro.
2. Busque la clave siguiente para seleccionarla y haga clic en ella:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
3. Agregue la entrada siguiente para la interfaz SA RFR de Microsoft Exchange:
   Nombre de valor: TCP/IP Port
   Tipo de valor: REG_DWORD
   Información del valor: El número de puerto que se va a asignar, en formato decimal
   Asegúrese de de que asigna diferentes parámetros de puerto a cada clave del Registro. Si ejecuta el comando netstat -an en un símbolo del sistema, puede ver todas las conexiones TCP/IP y los puertos de escucha en formato numérico. Debe utilizar un puerto no usado para las asignaciones estáticas.
   
   Para obtener más información acerca de las directrices para asignar puertos estáticos a Exchange Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   154596  (http://support.microsoft.com/kb/154596/ ) Cómo configurar la asignación dinámica de puertos RPC para actuar con los servidores de seguridad
4. Busque la clave siguiente para seleccionarla y haga clic en ella:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
5. Agregue el valor del Registro siguiente para la interfaz Proxy NSPI de directorio de Microsoft Exchange:
   Nombre de valor: TCP/IP NSPI Port
   Tipo de valor: REG_DWORD
   Información del valor: El número de puerto que se va a asignar, en formato decimal
6. Busque y haga clic en la clave siguiente para seleccionarla:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
7. Agregue el valor del Registro siguiente para la interfaz del almacén de información de Microsoft Exchange:
   Nombre de valor: TCP/IP Port
   Tipo de valor: REG_DWORD
   Información del valor: El número de puerto que se va a asignar, en formato decimal
8. Busque y haga clic en la clave siguiente para seleccionarla:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSRS\Parameters
9. Agregue el valor del Registro siguiente para el Servicio de replicación de sitios (SRS) de Microsoft Exchange:
   Nombre de valor: TCP/IP
   Tipo de valor: REG_DWORD
   Información del valor: El número de puerto que se va a asignar, en formato decimal
10. Salga del Editor del Registro.
11. Reinicie el equipo.

Después de completar estos pasos, configure el filtro de paquetes o el firewall para que las conexiones TCP se realicen en el puerto 135 para el servicio Operador de sistema de Microsoft Exchange y en los puertos que asignó en los pasos 3, 5, 7 y 9.

Si realiza estos cambios en un servidor que ejecuta Exchange 2000 Server o Exchange Server 2003 y que está instalado en un servidor de catálogo global, siga estos pasos:

1. Inicie el Editor del Registro.
2. Busque y haga clic en la clave siguiente para seleccionarla:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
3. Agregue el valor de Registro siguiente:
   Nombre de valor: TCP/IP Port
   Tipo de valor: REG_DWORD
   Base: Decimal
   Información del valor: El número de puerto que se va a asignar, en formato decimal
4. Salga del Editor del Registro.

Reinicie el servidor de catálogo global para que la asignación estática se lea al inicializarse la Interfaz del proveedor de servicios de nombres (NSPI).

Nota: el número de puerto seleccionado no debe entrar en conflicto con otros programas. Si el número de puerto entra en conflicto con otros programas, el NSPI no se iniciará.

Asignaciones de puerto estático a equipos con cliente MAPI para que conecten mediante un firewall con Exchange Server 5.5

Para habilitar a los equipos con un cliente MAPI de una versión anterior para que conecten mediante un firewall con Exchange 5.5, agregue entradas al Registro para volver estáticos los puertos asignados a esas conexiones. Para ello, siga estos pasos:

1. Inicie el Editor del Registro.
2. Busque la subclave siguiente para seleccionarla y haga clic en ella:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
3. Agregue el valor de Registro siguiente:
   Nombre de valor: TCP/IP Port
   Tipo de valor: REG_DWORD
   Base: Decimal
   Información del valor: 5000
   Nota: se recomienda asignar puertos comprendidos en el intervalo 5000 - 65535 (decimal). Para obtener más información acerca de las directrices para asignar puertos estáticos a servicios de Exchange Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   154596  (http://support.microsoft.com/kb/154596/ ) Cómo configurar la asignación dinámica de puertos RPC para actuar con los servidores de seguridad
4. Busque y haga clic en la subclave siguiente para seleccionarla:
   System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
5. Agregue el valor de Registro siguiente:
   Nombre de valor: TCP/IP Port
   Tipo de valor: REG_DWORD
   Base: Decimal
   Información del valor: 5001
   Nota: se recomienda asignar puertos comprendidos en el intervalo 5000 - 65535 (decimal). Para obtener más información acerca de las directrices para asignar puertos estáticos a servicios de Exchange Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
   154596  (http://support.microsoft.com/kb/154596/ ) Cómo configurar la asignación dinámica de puertos RPC para actuar con los servidores de seguridad
6. Salga del Editor del Registro.
7. Reinicie el equipo.

Después de completar estos pasos, configure el filtro de paquetes o el firewall para que las conexiones del Protocolo de control de transmisión (TCP) se realicen en el puerto 135 para el servicio Operador de sistema de Microsoft Exchange y en los puertos que asignó en los pasos 3 y 5.

Asigne estáticamente los puertos para un servidor de aplicaciones en entornos de Ethernet de red perimetral, para que el equipo pueda iniciar sesión en la red y comunicar con los servidores de fondo

Para instalar Exchange Server 2003 o Exchange 2000 Server en equipos aislados de sus redes de Microsoft Windows Server 2003 o Microsoft Windows 2000 por un firewall y que están en un entorno de Ethernet de red perimetral, siga estos pasos:

1. Para que los equipos basados en Windows Server 2003 o en Windows 2000 Server puedan iniciar sesión en el dominio a través del firewall, abra los puertos siguientes para el tráfico entrante:
   • 53 (Protocolo de control de transmisión [TCP], Protocolo de datagramas de usuarios [UDP]) - Sistema de nombres de dominio (DNS).
   • 80 (TCP) - Necesario para el acceso de Outlook Web Access para la comunicación entre los servidores de Exchange de aplicaciones para el usuario y de servicios de fondo.
   • 88 (Protocolo de control de transmisión [TCP], UDP) - autenticación Kerberos.
   • 123 (UDP) - Protocolo de sincronización horaria (NTP) de Windows. No es necesario para el inicio de sesión en Windows 2000. Sin embargo, se puede configurar o puede requerirlo el administrador de red.
   • 135 (TCP) - EndPointMapper.
   • 389 (TCP, UDP) - Protocolo ligero de acceso a directorios (LDAP).
   • 445 (TCP) - Bloque de mensajes del servidor (SMB) para Netlogon, conversión a LDAP y descubrimiento del Sistema de archivos distribuido (DFS) de Microsoft.
   • 3268 (TCP) - LDAP a servidores de catálogo global.
   • Un puerto para el inicio de sesión y la interfaz de replicación de directorios de Active Directory (identificadores únicos universales [UUID] 12345678-1234-abcd-ef00-01234567cffb y 3514235-4b06-11d1-ab04-00c04fc2dcd2). Normalmente se le asigna el puerto 1025 ó 1026 durante el inicio. Este valor no se configura en el código fuente DSProxy o del Operador del sistema (MAD). Por tanto, debe asignar el puerto en el Registro en cualquier controlador de dominio con el que el servidor de Exchange deba ponerse en contacto a través del firewall para procesar los inicios de sesión. Después, abra el puerto en el firewall.
     
     Para asignar el puerto en el Registro, siga estos pasos:
     1. Inicie el Editor del Registro.
     2. Busque la clave siguiente para seleccionarla y haga clic en ella:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
     3. Agregue el valor de Registro siguiente:
        Nombre de valor: TCP/IP Port
        Tipo de valor: REG_DWORD
        Base: decimal
        Valor (Value): un valor superior a 1024
     4. Salga del Editor del Registro.
     Asegúrese de que la barra inclinada de "TCP/IP" sea una barra inclinada, no invertida. Además, asegúrese de que el valor que le asigna es mayor que 1024 (decimal). Este número es el puerto adicional que debe abrir (TCP, UDP) en el firewall. La configuración de este valor del Registro en todos los controladores de dominio dentro del firewall no afecta al rendimiento. Además, la configuración de este valor del Registro cubre todas las redirecciones de solicitudes de inicio de sesión debidas a los servidores que han entrado en inactividad, las funciones que cambian o los requisitos de ancho de banda.
   Notas
   • Para que el servidor que está dentro del firewall se comunique mediante éste con el servidor externo, debe tener también los puertos 1024 a 65535 configurados para las comunicaciones salientes. Los equipos que inician la comunicación a través del firewall utilizan un puerto de cliente que se asigna dinámicamente y que no se puede configurar.
   • Windows 2000 adopta la forma de una secuencia de solicitudes ping de TCP/IP al servidor de destino cuando los equipos basados en Windows 2000 inician sesión en el dominio a través del firewall. Windows 2000 hace esto para determinar si un equipo cliente está teniendo acceso a un controlador de dominio a través de un vínculo lento para aplicar una directiva de grupo o para descargar un perfil de usuario móvil.
2. Instale Exchange Server 2003 o Exchange 2000 Server en el equipo externo. No es necesario que haya más puertos abiertos para instalar Exchange Server 2003 o Exchange 2000 Server en el equipo externo.
3. Configure la conectividad de aplicaciones para el usuario y de servicios de fondo de Exchange Server 2003 o de Exchange 2000 Server. La conectividad de aplicaciones para el usuario y de servicios de fondo de Exchange Server 2003 o de Exchange 2000 Server sólo necesita que estén abiertos otros puertos necesarios para cualquier comunicación que sea apropiada. Por ejemplo, la conectividad de aplicaciones para el usuario y de servicios de fondo de los clientes Web requiere que esté abierto el puerto 80 [TCP], IMAP 143 [TCP], etc. Además, cualquier conectividad mediante protocolos seguros, como IPSec o Capa de sockets seguros (SSL)-HTTP seguro, Protocolo de acceso a mensajes de Internet (IMAP) o Protocolo de oficina de correos versión 3 (POP3), que necesite requiere una configuración adicional que no se especifica en este artículo. Si el servidor de servicios de fondo de la red perimetral tiene una subred diferente, asegúrese de agregar esa subred en el complemento Sitios y servicios de Active Directory.
   
   Nota: no tiene que agregar la subred si no ha creado un objeto de subred independiente en Sitios y servicios de Active Directory.
   
   
   En un entorno Ethernet de red perimetral, también debe definir las rutas de acceso TCP/IP desde el equipo del entorno Ethernet de red perimetral a todos los equipos de la red interna con los que se tiene que comunicar.
   
   Nota: en un escenario de firewall de red perimetral, no hay ninguna conectividad de Protocolo de mensajes de control de Internet (ICMP) entre el servidor Exchange y los controladores de dominio. De manera predeterminada, Acceso al directorio (DSAccess) utiliza ICMP para hacer ping en cada servidor con el que conecta para determinar si el servidor está disponible. Cuando no hay conectividad ICMP, Acceso al directorio responde como si todos los controladores de dominio no estuvieran disponibles. Para obtener más información acerca de cómo desactivar el ping a Acceso al directorio creando una clave del Registro, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
   320529  (http://support.microsoft.com/kb/320529/ ) Para utilizar DSAccess en un escenario con un servidor de seguridad de red perimetral se requiere establecer una clave del registro
   320228  (http://support.microsoft.com/kb/320228/ ) El valor del Registro "DisableNetLogonCheck" y cómo usarlo

Cómo configurar Microsoft Exchange Server 5.5 Outlook Web Access para conectar con Exchange Server 5.5 mediante un firewall.

Para instalar Outlook Web Access de Microsoft Exchange Server 5.5 en un equipo externo dirigido a un servidor de Exchange Server 5.5 que se ejecuta dentro de la red perimetral y de un firewall, debe abrir los puertos de Windows 2000 o de Windows Server 2003 mencionados al principio de la sección "Asigne estáticamente los puertos para un servidor de aplicaciones en entornos de Ethernet de red perimetral, para que el equipo pueda iniciar sesión en la red y comunicar con los servidores de fondo". Además, necesita asignaciones estáticas para el servicio de directorios de Exchange Server 5.5 (UUID f5cc5a18-4264-101a-8c59-08002b2f8426), el servicio Almacén de información de Microsoft Exchange (UUID a4f1db00-ca47-1067-b31f-00dd010662da) y el Operador del sistema (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c).

Para configurar el puerto RPC para el Servicio de directorios de Microsoft Exchange, siga estos pasos:

1. Inicie el Editor del Registro.
2. Busque la siguiente subclave del Registro y haga clic en ella para seleccionarla:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
3. Agregue el valor de Registro siguiente:
   Nombre de valor: TCP/IP Port
   Tipo de valor: REG_DWORD
   Base: Decimal
   Información del valor: el número de puerto que se va a asignar, en formato decimal
4. Salga del Editor del Registro.

Para configurar el puerto RPC para el Almacén de información de Microsoft Exchange, siga estos pasos:

1. Inicie el Editor del Registro.
2. Busque y haga clic en la subclave siguiente para seleccionarla:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
3. Agregue el valor de Registro siguiente:
   Nombre de valor: TCP/IP Port
   Tipo de valor: REG_DWORD
   Base: Decimal
   Información del valor: el número de puerto que se va a asignar, en formato decimal
4. Salga del Editor del Registro.

Para configurar el puerto RPC para el servicio Operador del sistema de Microsoft Exchange, siga estos pasos:

1. Inicie el Editor del Registro.
2. Busque y haga clic en la subclave siguiente para seleccionarla:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
3. Agregue el valor de Registro siguiente:
   Nombre de valor: TCP/IP Port
   Tipo de valor: REG_DWORD
   Base: Decimal
   Información del valor: el número de puerto que se va a asignar, en formato decimal
4. Salga del Editor del Registro.
5. Reinicie el equipo.

Limitaciones de las asignaciones de puerto estático de Exchange Server

La lista siguiente describe algunas de las limitaciones de las asignaciones de puerto estático de Exchange Server:

• Problemas de acceso a clientes de Outlook
  
  Si un proceso ya está utilizando el puerto asignado estáticamente cuando se inicia el servicio Exchange, este servicio no puede utilizar ese puerto. Sin embargo, el servicio Almacén de información de Microsoft Exchange o el servicio de directorios de Microsoft Exchange, o ambos, seguirán registrando todos los demás extremos y se iniciarán correctamente.
  
  Sin embargo, cuando los usuarios intentan abrir Outlook y se conectan a Exchange Server, pueden recibir el mensaje de error siguiente:
  No se pueden abrir las carpetas de correo electrónico predeterminadas. No tiene permiso para iniciar la sesión.
  Para resolver este problema, asegúrese de que Exchange Server ha inicializado un puerto para el servicio Almacén de información, el servicio Operador del sistema y el servicio NSPI de Microsoft Exchange. Puede comprobarlo si ejecuta RPCDump en el servidor para el protocolo TCP/IP.
  
  Puede asignar estáticamente los servicios de Exchange Server enumerados en este artículo a cualquier número de puerto TCP/IP libre de todo el intervalo (1-65535). Si ejecuta un comando netstat -an en un símbolo del sistema, verá una lista de todos los puertos registrados actualmente en el servidor. Puede utilizar esta lista para seleccionar un nuevo puerto válido (libre) para la asignación estática de los servicios de Exchange.
• Problemas de seguimiento de mensajes
  
  Para habilitar la función de seguimiento de mensajes en un servidor que ejecuta el Service Pack 2 (SP2) de Exchange 2000 Server o una versión posterior y que se encuentra en la red perimetral, se debe permitir que Instrumental de administración de Windows (WMI) se conecte al servidor de destino.
  
  El servicio WMI empieza a crear conexiones en el puerto con el número menor, empezando en el puerto 1024. Con el tiempo, el número de puerto utilizado por WMI aumenta secuencialmente. Para obtener más información acerca de cómo asignar estáticamente puertos para el servicio WMI, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
  154596  (http://support.microsoft.com/kb/154596/ ) Cómo configurar la asignación de puertos dinámica de RPC para actuar con los servidores de seguridad

Microsoft Exchange Server 2007

En este artículo, el proceso de asignación de puertos estáticos para Exchange Server 2003 y Exchange 2000 Server sigue funcionando en Exchange 2007. Pero no es compatible con la instalación de un servidor de acceso de cliente en una red perimetral. No es compatible con la instalación de un servidor de acceso de cliente en una red perimetral (también llamado DMZ, zona desmilitarizada y subred protegida) ni con ninguna configuración que tenga un firewall entre ella y el buzón de correo o los controladores de dominio. Puertos de firewall que deben estar abiertos para Exchange 2007.

El tema siguiente proporciona información acerca de los puertos, autenticación y cifrado para todas las rutas de datos usadas por Exchange 2007. Las secciones de Notas que siguen a cada tabla aclaran o definen los métodos de cifrado o autenticación no estándar.
http://technet.microsoft.com/es-es/library/bb331973.aspx (http://technet.microsoft.com/es-es/library/bb331973.aspx)

Para obtener más información acerca de cómo arreglar el puerto UDP para Outlook 2003 y Outlook 2007, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Todos los servidores salvo los de redes perimetrales deberían implementarse en la red corporativa. A diferencia de las versiones anteriores de Exchange, Microsoft no admite la instalación e implementación de Exchange 2007 en una red perimetral. Esta información está documentada en el siguiente artículo de Technet:
Nota: no se admite la instalación de un servidor de acceso de cliente en una red perimetral. Cuando no hay firewalls entre los servidores Exchange 2007, se deben comunicar libremente unos con otros. El firewall debe estar entre el entorno de producción y los clientes

Para obtener más información acerca de cómo configurar puertos de comunicación estáticos en Outlook 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de cómo Outlook 2000 tiene acceso al servicio de directorios Active Directory, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de los puertos que Exchange 2000 Server utiliza, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de cómo los clientes MAPI tienen acceso a Active Directory, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de los clientes de Outlook que se conectan a través de un firewall o de un servidor proxy que realiza la Traducción de direcciones de red (NAT) entre redes públicas y privadas, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de cómo configurar puertos para los paquetes UDP de notificación de nuevo correo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de los requisitos de puerto para los sistemas Windows Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: