Configurazione del flusso della posta Internet tramite un server Trasporto Edge senza utilizzare EdgeSync

  • Articolo

Si applica a: Exchange Server 2013

È consigliabile usare il processo di sottoscrizione Edge per stabilire il flusso di posta tra l'organizzazione di Exchange e un server Trasporto Edge. Tuttavia, alcune situazioni potrebbero impedire la sottoscrizione del server Trasporto Edge all'organizzazione di Exchange tramite il processo di sottoscrizione Edge. Per stabilire manualmente il flusso di posta tra l'organizzazione di Exchange e un server Trasporto Edge, è necessario creare e configurare i connettori di invio e ricezione nel server Trasporto Edge e nei server Cassette postali nell'organizzazione di Exchange.

Prima di iniziare

  • Tempo stimato per il completamento di questa attività: 30 minuti.

  • Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Connettori di invio", la voce "Connettori di invio - Trasporto Edge" e la voce "Connettori di ricezione - Trasporto Edge" nell'argomento Autorizzazioni flusso di posta .

  • Questa procedura usa l'autenticazione di base su Transport Layer Security (TLS) per fornire crittografia e autenticazione. Quando si usa l'autenticazione di base tramite TLS, il server ricevente deve avere installato un certificato server SSL (Secure Sockets Layer) X.509. Il valore del nome di dominio completo (FQDN) configurato nel connettore di ricezione deve corrispondere al nome di dominio completo nel certificato del server SSL. Per impostazione predefinita, il valore dell'FQDN nel connettore di ricezione è il nome di dominio completo del server che contiene il connettore di ricezione.

  • È anche possibile usare il metodo di autenticazione esternamente protetto. In questo caso, tuttavia, la comunicazione tra il server Trasporto Edge e il server Cassette postali non viene autenticata o crittografata da Exchange. È consigliabile usare il metodo di autenticazione esternamente protetto solo quando viene usato anche un metodo di crittografia aggiuntivo. Il metodo di crittografia può essere un'associazione IPsec (Internet Protocol Security) o una rete privata virtuale (VPN).

  • Un server Trasporto Edge è in genere multihomed. Ciò significa che il server Trasporto Edge dispone di schede di rete connesse a più segmenti di rete. Ognuna di queste schede di rete ha una configurazione IP univoca. La scheda di rete connessa al segmento di rete esterno o pubblico deve essere configurata per l'uso di un server DNS (Domain Name System) pubblico per la risoluzione dei nomi. In tal modo si consente al server di risolvere i nomi di dominio SMPT per i record di risorsa MX e di instradare la posta a Internet. La scheda di rete connessa al segmento di rete interno o privato deve essere configurata per l'uso di un server DNS nella rete perimetrale o deve avere un file Hosts disponibile.

  • È necessario creare un account utente in Active Directory e aggiungerlo al gruppo di sicurezza universale nel computer Exchange Server. Questo account viene usato dal connettore di invio nel server Trasporto Edge per eseguire l'autenticazione al server Cassette postali di destinazione nell'organizzazione di Exchange.

    Importante

    A questo account vengono concesse le autorizzazioni associate ai computer che eseguono Exchange Server. Si consiglia di prestare particolare attenzione alla salvaguardia delle credenziali dell'account per impedirne un utilizzo non appropriato. L'account può essere configurato per consentire l'accesso solo a computer specifici.

Procedure del server Trasporto Edge

Sul server Trasporto Edge sono necessari i connettori seguenti:

  • Connettore di invio configurato per l'invio di messaggi a Internet

  • Connettore di invio configurato per l'invio di messaggi ai server Cassette postali nell'organizzazione di Exchange

  • Connettore di ricezione configurato per ricevere messaggi solo dai server Cassette postali nell'organizzazione di Exchange

  • Connettore di ricezione configurato per accettare i messaggi solo da Internet

Per impostazione predefinita, durante l'installazione del ruolo server Trasporto Edge viene creato un singolo connettore di ricezione. Questo connettore può essere usato sia per i messaggi Internet in ingresso che per i messaggi in arrivo dai server Cassette postali. In genere, il processo di sottoscrizione Edge configura automaticamente le autorizzazioni e l'autenticazione corrette nel connettore di ricezione predefinito. Quando non si usa il processo di sottoscrizione Edge, è consigliabile modificare il connettore di ricezione predefinito nel server Trasporto Edge per accettare solo i messaggi da Internet. È quindi necessario creare un connettore di ricezione nel server Trasporto Edge configurato per accettare solo i messaggi dai server Cassette postali interni.

Le seguenti sezioni forniscono una guida alla procedura di configurazione necessaria alla preparazione del server Trasporto Edge per comunicare con l'organizzazione Exchange.

Nota

È possibile usare shell solo per eseguire queste procedure nei server Trasporto Edge.

Passaggio 1: Creare un connettore di invio configurato per inviare messaggi a Internet

Il connettore di invio richiede la seguente configurazione:

  • Nome: a Internet (o a qualsiasi nome descrittivo)

  • Tipo di utilizzo: Internet

  • Spazi di indirizzi: "*" (tutti i domini)

  • Impostazioni di rete: usare i record MX DNS per instradare automaticamente la posta. A seconda della configurazione di rete, è anche possibile instradare la posta attraverso uno SmartHost. Lo SmartHost instrada quindi la posta in Internet.

Per creare un connettore di invio configurato per l'invio di messaggi a Internet, eseguire il comando seguente.

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

Per ulteriori informazioni sulla sintassi e sui parametri, vedere New-SendConnector.

Passaggio 2: Creare un connettore di invio configurato per inviare messaggi all'organizzazione di Exchange

Usare il cmdlet New-SendConnector per creare un connettore di invio.

Nota

Prima di creare il connettore di invio, è prima necessario eseguire il comando Get-Credential per salvare il nome utente e la password che verranno usati in una variabile temporanea. È necessario eseguire questa operazione perché il cmdlet New-SendConnector non accetterà le credenziali utente in testo normale.

Il connettore di invio richiede la seguente configurazione:

  • Nome: all'organizzazione interna (o a qualsiasi nome descrittivo)

  • Tipo di utilizzo: Interno

  • Spazi di indirizzi: tutti i domini accettati per l'organizzazione di Exchange. Ad esempio, *.contoso.com.

  • Routing DNS disabilitato (routing smart host abilitato)

  • Host intelligenti: FQDN di uno o più server Cassette postali come host intelligenti. Ad esempio, mbxserver01.contoso.com e mbxserver02.contoso.com.

  • Metodi di autenticazione smart host: autenticazione di base tramite TLS

  • Credenziali di autenticazione smart host: credenziali per l'account utente nel dominio interno. È prima di tutto necessario salvare il nome utente e la password in una variabile temporanea, perché il cmdlet New-SendConnector non accetterà le credenziali utente in testo normale.

Per creare un connettore di invio configurato per l'invio di messaggi all'organizzazione di Exchange, eseguire i comandi seguenti.

$MailboxCredentials = Get-Credential
New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces *.contoso.com -DNSRoutingEnabled $false -SmartHosts mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $MailboxCredentials

Per ulteriori informazioni sulla sintassi e sui parametri, vedere New-SendConnector.

Passo 3: modificare il connettore di ricezione predefinito per accettare solo i messaggi provenienti da Internet

È necessario apportare le seguenti modifiche di configurazione al connettore di ricezione predefinito:

  • Modificare il nome in modo da riflettere che il connettore verrà usato esclusivamente per ricevere messaggi di posta elettronica da Internet. Il nome del connettore di ricezione predefinito è "Nome> server Trasporto Edge del connettore <di ricezione interno predefinito".

  • Modificare le associazioni di rete in modo che accettino i messaggi solo dalla scheda di rete accessibile da Internet. Ad esempio, 10.1.1.1 e il valore standard della porta TCP SMTP 25.

Per modificare il connettore di ricezione predefinito per accettare solo messaggi da Internet, eseguire il comando seguente.

Set-ReceiveConnector "Default internal Receive connector Edge01" -Name "From Internet" -Bindings 10.1.1.1:25

Per ulteriori informazioni sulla sintassi e sui parametri, vedere Set-ReceiveConnector.

Passaggio 4: Creare un connettore di ricezione configurato per accettare solo i messaggi provenienti dall'organizzazione Exchange

Nel connettore di ricezione è necessario impostare la seguente configurazione:

  • Nome: dall'organizzazione interna (o da qualsiasi nome descrittivo)

  • Tipo di utilizzo: Interno

  • Associazioni di rete locali: scheda di rete interna con connessione di rete. Ad esempio, 10.1.1.2 e il valore standard della porta TCP SMTP 25.

  • Impostazioni di rete remota: indirizzo IP di uno o più server Cassette postali nell'organizzazione di Exchange. Ad esempio, 192.168.5.10 e 192.168.5.20.

  • Metodi di autenticazione: TLS, autenticazione di base, autenticazione di base tramite TLS e autenticazione Exchange Server.

Per creare un connettore di ricezione configurato per accettare solo messaggi dall'organizzazione di Exchange, eseguire il comando seguente.

New-ReceiveConnector -Name "From Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.2:25 -RemoteIPRanges 192.168.5.10,192.168.5.20

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ReceiveConnector.

Come si fa a sapere che questi passaggi hanno funzionato?

Per verificare di aver configurato correttamente i connettori di invio e ricezione necessari, eseguire i comandi seguenti nel server Trasporto Edge e verificare che i valori visualizzati siano i valori configurati.

Get-SendConnector | Format-List Name,Usage,AddressSpaces,SourceTransportServers,DSNRoutingEnabled,SmartHosts,SmartHostAuthMechanism
Get-ReceiveConnector | Format-List Name,Usage,AuthMechanism,Bindings,RemoteIPRanges

Procedure del server cassette postali

I server cassette postali nell'organizzazione richiedono un connettore di invio configurato per inviare messaggi al server Trasporto Edge per l'inoltro a Internet.

Per impostazione predefinita, durante l'installazione del ruolo del server Cassette postali vengono creati due connettori di ricezione. Il connettore denominato Client ServerName è configurato per accettare i messaggi da tutti i client di messaggistica POP3 e IMAP. Il connettore denominato Default ServerName è configurato per accettare i messaggi da un server Trasporto Edge. Non sono necessarie modifiche a questi connettori.

Passaggio 5: Creare un connettore di invio configurato per inviare messaggi in uscita al server Trasporto Edge

Il connettore di invio richiede la seguente configurazione:

  • Nome: In Edge (o in qualsiasi nome descrittivo)

  • Tipo di utilizzo: Interno

  • Spazi di indirizzi: "*" (tutti i domini)

  • Routing DNS disabilitato (routing smart host abilitato)

  • Host intelligenti: indirizzo IP o FQDN del server Trasporto Edge. Ad esempio, edge01.contoso.net.

  • Server cassette postali di origine: FQDN di uno o più server Cassette postali. Ad esempio, mbxserver01.contoso.com e mbxserver02.contoso.com.

  • Metodo di autenticazione smart host: autenticazione di base tramite TLS.

  • Credenziali di autenticazione smart host: credenziali per l'account utente nel server Trasporto Edge. È prima di tutto necessario salvare il nome utente e la password in una variabile temporanea, perché il cmdlet New-SendConnector non accetterà le credenziali utente in testo normale.

Per creare un connettore di invio configurato per inviare messaggi in uscita al server Trasporto Edge, eseguire i comandi seguenti.

$EdgeCredentials = Get-Credential
New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $false -SmartHosts edge01.contoso.com -SourceTransportServers mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $EdgeCredentials

Per ulteriori informazioni sulla sintassi e sui parametri, vedere New-SendConnector.

Come verificare se l'operazione ha avuto esito positivo

Per verificare che sia stato creato correttamente un connettore di invio configurato per inviare messaggi in uscita al server Trasporto Edge, eseguire il comando seguente in un server Cassette postali e verificare che i valori visualizzati siano i valori configurati.

Get-SendConnector | Format-List Name,Usage,AddressSpaces,DSNRoutingEnabled,SmartHosts,SourceTransportServers,SmartHostAuthMechanism