Sottoscrizioni Edge
Si applica a: Exchange Server 2013
I server Trasporto Edge riducono al minimo la superficie di attacco gestendo tutti i flussi di posta con connessione Internet e fornendo servizi di inoltro SMTP e smart host per l'organizzazione di Exchange. Livelli aggiuntivi di protezione e sicurezza dei messaggi sono forniti da una serie di agenti in esecuzione nel server Trasporto Edge nella rete perimetrale dell'organizzazione. Questi agenti supportano funzionalità che forniscono protezione da virus e posta indesiderata e applicano regole di trasporto per controllare il flusso dei messaggi.
Le sottoscrizioni Edge vengono utilizzate per inserire i dati di Active Directory nell'istanza del servizio directory di Active Directory Lightweight Directory Services (AD LDS) nel server Trasporto Edge. Sebbene la creazione di una sottoscrizione Edge sia facoltativa, se un server Trasporto Edge viene sottoscritto all'organizzazione di Exchange, le prestazioni di gestione e le funzionalità di protezione da posta indesiderata risulteranno migliorate. È necessario creare una sottoscrizione Edge, se si prevede di utilizzare la ricerca dei destinatari o l'aggregazione dell'elenco indirizzi attendibili oppure se si prevede di fornire protezione alle comunicazioni SMTP con domini partner utilizzando l'autenticazione MTSL (Mutual Transport Layer Security).
Processo di sottoscrizione Edge
Un server Trasporto Edge non ha accesso diretto a Active Directory. Le informazioni sui destinatari e sulla configurazione di cui dispone il server Trasporto Edge per elaborare i messaggi vengono archiviate in AD LDS. La creazione di una sottoscrizione Edge garantisce la replica protetta e automatica delle informazioni da Active Directory ad AD LDS. Il processo di sottoscrizione Edge effettua il provisioning delle credenziali usate per stabilire una connessione LDAP sicura tra i server Cassette postali di Exchange 2013 e un server Trasporto Edge sottoscritto. Il servizio Microsoft Exchange EdgeSync (EdgeSync) eseguito nei server Cassette postali esegue la sincronizzazione unidirezionale periodica per trasferire dati aggiornati ad AD LDS. In questo modo vengono ridotte le attività di amministrazione eseguite dall'utente nella rete perimetrale permettendo di configurare il server Cassette postali e di sincronizzare le informazioni con il server Trasporto Edge.
Il server Trasporto Edge viene sottoscritto in un sito di Active Directory che contiene i server Cassette postali responsabili di trasferire i messaggi da e verso i server Trasporto Edge. Il processo di sottoscrizione Edge consente di creare un'affiliazione di appartenenza al sito di Active Directory per il server Trasporto Edge. L'affiliazione al sito consente ai server Cassette postali nell'organizzazione di Exchange di inoltrare messaggi al server Trasporto Edge per il recapito su Internet senza dover configurare connettori di invio espliciti.
Uno o più server Trasporto Edge possono essere sottoscritti solo a un unico sito di Active Directory. Tuttavia, un server Trasporto Edge non può essere sottoscritto in più di un sito di Active Directory. Se sono distribuiti più server Trasporto Edge, è possibile sottoscrivere ciascun server a un sito diverso di Active Directory. Per ciascun server Trasporto Edge è necessaria una singola sottoscrizione Edge.
Per distribuire un server Trasporto Edge ed effettuarne la sottoscrizione a un sito di Active Directory, eseguire i passaggi riportati di seguito:
- Installare il ruolo del server Trasporto Edge.
- Verificare che i server Cassette postali e il server Trasporto Edge siano in grado di individuare le rispettive posizioni tramite la risoluzione dei nomi DNS.
- Nel server cassette postali configurare gli oggetti e le impostazioni da replicare nel server Trasporto Edge.
- Nel server Trasporto Edge creare ed esportare un file di sottoscrizione Edge.
- Copiare il file di sottoscrizione Edge su un server Cassette postali o una condivisione file accessibile dal sito di Active Directory in cui si trovano i server Cassette postali.
- Importare il file della sottoscrizione Edge nel sito di Active Directory.
Cosa accade quando si crea una nuova sottoscrizione Edge
Quando si crea un file di sottoscrizione Edge (eseguendo il cmdlet New-EdgeSubscription nel server Trasporto Edge), si verificano le azioni seguenti:
Viene creato un account AD LDS chiamato account di replica bootstrap EdgeSync (ESBRA). Queste credenziali ESBRA vengono usate per autenticare la prima connessione EdgeSync al server Trasporto Edge. L'account è configurato per scadere 24 ore dopo essere stato creato. È quindi necessario completare il processo di sottoscrizione in sei passaggi descritto nella sezione precedente entro 24 ore. Se l'account ESBRA scade prima che venga completato il processo di sottoscrizione Edge, sarà necessario eseguire nuovamente il cmdlet New-EdgeSubscription per creare un nuovo file di sottoscrizione Edge.
Le credenziali dell'account ESBRA vengono recuperate da AD LDS e scritte nel file di sottoscrizione Edge. In questo file viene esportata anche la chiave pubblica del certificato autofirmato del server Trasporto Edge. Le credenziali che vengono scritte nel file di sottoscrizione Edge sono specifiche del server da cui il file è stato esportato.
Eventuali oggetti di configurazione creati in precedenza nel server Trasporto Edge che verrà ora replicato in AD LDS da Active Directory vengono eliminati da AD LDS e i cmdlet di Exchange Management Shell utilizzati per configurare questi oggetti vengono disabilitati. Tuttavia, è comunque possibile usare i cmdlet Get-* per visualizzare tali oggetti. Eseguendo il cmdlet New-EdgeSubscription vengono disabilitati i seguenti cmdlet nel server Trasporto Edge:
- Set-SendConnector
- New-SendConnector
- Remove-SendConnector
- New-AcceptedDomain
- Set-AcceptedDomain
- Remove-AcceptedDomain
- New-MessageClassification
- Set-MessageClassification
- Remove-MessageClassification
- New-RemoteDomain
- Set-RemoteDomain
- Remove-RemoteDomain
Quando si importa il file della sottoscrizione Edge nel server Cassette postali eseguendo il cmdlet New-EdgeSubscription nel server Cassette postali:
Viene creata la sottoscrizione Edge, che unisce un server Trasporto Edge a un'organizzazione di Exchange. EdgeSync propaga i dati di configurazione a questo server Trasporto Edge, creando un oggetto di configurazione Edge in Active Directory.
Ogni server Cassette postali nel sito di Active Directory riceve da Active Directory una notifica relativa alla sottoscrizione di un nuovo server Trasporto Edge. Il server Cassette postali recupera l'account ESBRA dal file sottoscrizione Edge. L'account viene quindi crittografato dal server Cassette postali tramite la chiave pubblica del certificato autofirmato del server Trasporto Edge. Le credenziali crittografate vengono scritte nell'oggetto di configurazione Edge.
L'account ESBRA viene crittografato anche da ogni server Cassette postali tramite la relativa chiave pubblica e le credenziali vengono archiviate nell'oggetto di configurazione corrispondente.
Gli account di replica EdgeSync (ESRA) vengono creati in Active Directory per ogni coppia di server Edge Transport-Mailbox. Le credenziali degli account ESRA vengono archiviate in ogni server Cassette postali come attributo del relativo oggetto di configurazione.
Vengono automaticamente creati connettori di invio per inoltrare i messaggi in uscita dal server Trasporto Edge su Internet e i messaggi in ingresso dal server all'organizzazione di Exchange.
Il servizio Microsoft Exchange EdgeSync eseguito nei server Cassette postali usa le credenziali ESBRA per stabilire una connessione LDAP sicura tra un server Cassette postali e il server Trasporto Edge ed esegue la replica iniziale dei dati. In AD LDS vengono replicati i seguenti dati:
- Dati relativi alla topologia
- Dati di configurazione
- Dati del destinatario
- Credenziali dell'account ESRA
Il servizio credenziali di Microsoft Exchange eseguito nel server Trasporto Edge installa le credenziali ESRA. Queste credenziali vengono usate per autenticare e proteggere le connessioni di sincronizzazione successive.
Viene stabilita la pianificazione della sincronizzazione di EdgeSync.
Il servizio Microsoft Exchange EdgeSync in esecuzione nei server Cassette postali nel sito di Active Directory sottoscritto esegue quindi la replica unidirezionale dei dati da Active Directory ad AD LDS in base a una pianificazione regolare. È anche possibile usare il cmdlet Start-EdgeSynchronization per eseguire l'override della pianificazione della sincronizzazione di EdgeSync e avviare immediatamente la sincronizzazione.
Per altre informazioni sugli account ESRA e su come vengono usati per proteggere il processo di sincronizzazione di EdgeSync, vedere Credenziali della sottoscrizione Edge.
In questo esempio, viene sottoscritto un server Trasporto Edge al sito specificato e viene creato il connettore di invio Internet e il connettore di invio dal server Trasporto Edge ai server Cassette postali.
New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\EdgeSubscriptionInfo.xml')) -CreateInternetSendConnector $true -CreateInboundSendConnector $true -Site "Default-First-Site-Name"
Nota
I valori predefiniti dei parametri CreateInternetSendConnector e CreateInboundSendConnector sono entrambi $true. Vengono mostrati qui solo per la dimostrazione.
In questo esempio viene esportato un file di sottoscrizione di Edge.
New-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml"
Nota
Quando si esegue il cmdlet New-EdgeSubscription sul server Trasporto Edge, viene richiesto di confermare i comandi che verranno disabilitati e la configurazione che verrà sovrascritta in questo server. Per ignorare la richiesta di conferma utilizzare il parametro Force. Questo parametro è utile quando si esegue lo script del cmdlet New-EdgeSubscription. Inoltre, il parametro Force consente di sovrascrivere un file esistente con lo stesso nome di quello creato quando si esegue nuovamente la sottoscrizione di un server Trasporto Edge.
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-EdgeSubscription.
Inviare connettori creati durante il processo di sottoscrizione Edge
Per impostazione predefinita, quando si completa il processo di sottoscrizione Edge consigliato importando il file della sottoscrizione Edge in un server Cassette postali, i connettori di invio necessari per abilitare il flusso di posta end-to-end tra Internet e l'organizzazione di Exchange vengono creati automaticamente e tutti i connettori di invio esistenti nel server Trasporto Edge vengono eliminati. In alcuni scenari, è possibile scegliere di eliminare la creazione automatica di connettori di invio e configurare manualmente i connettori di invio. Per altre informazioni sulla configurazione manuale dei connettori di invio, vedere Configurare manualmente il flusso di posta del server Trasporto Edge e Configurare il flusso di posta Internet tramite un server Trasporto Edge senza usare EdgeSync.
Il processo di sottoscrizione Edge esegue il provisioning dei connettori di invio seguenti:
- Connettore di invio configurato per inoltrare i messaggi di posta elettronica dall'organizzazione di Exchange a Internet.
- Connettore di invio configurato per inoltrare i messaggi di posta elettronica dal server Trasporto Edge all'organizzazione di Exchange.
Inoltre, la sottoscrizione di un server Trasporto Edge all'organizzazione di Exchange consente ai server Cassette postali nel sito di Active Directory sottoscritto di usare il connettore di invio all'interno dell'organizzazione per inoltrare i messaggi a tale server Trasporto Edge.
Creare automaticamente un connettore di invio in ingresso per ricevere messaggi da Internet
Per impostazione predefinita, quando si esegue il cmdlet New-EdgeSubscription nel server Cassette postali, il parametro Inbound Send Connector CreateInboundSendConnector viene impostato sul valore $true. In questo modo viene creato il connettore di invio necessario per inviare messaggi all'organizzazione di Exchange. Nella seguente tabella viene illustrata la configurazione di questo connettore di invio.
| Proprietà | Valore |
|---|---|
| Nome | EdgeSync - In ingresso al <nome> del sito |
| AddressSpaces | SMTP:--;1 Il -- valore nello spazio indirizzi rappresenta tutti i domini accettati di inoltro autorevole e interno per l'organizzazione di Exchange. I messaggi che il server Trasporto Edge riceve per i domini accettati vengono instradati a questo connettore di invio e inoltrati agli smart host. |
| SourceTransportServers | <Nome sottoscrizione Edge> |
| Enabled | True |
| Dnsroutingenabled | False |
| SmartHosts | -- Il -- valore nell'elenco di smart host rappresenta tutti i server Cassette postali nel sito di Active Directory sottoscritto. Tutti i server Cassette postali aggiunti al sito di Active Directory sottoscritto dopo aver stabilito la sottoscrizione Edge non partecipano al processo di sincronizzazione di EdgeSync. Tuttavia, vengono automaticamente aggiunti all'elenco di smart host per il connettore di invio in ingresso creato automaticamente. Se nel sito di Active Directory sottoscritto si trovano più server Cassette postali, il carico delle connessioni in ingresso verrà bilanciato tra gli smart host. |
Non è possibile modificare lo spazio indirizzo o l'elenco degli smart host per il connettore di invio in ingresso creato automaticamente nel momento della creazione. È tuttavia possibile impostare il parametro CreateInboundSendConnector sul valore $false quando si crea una sottoscrizione Edge. Ciò consente di configurare manualmente un connettore di invio dal server Trasporto Edge all'organizzazione di Exchange.
Creare automaticamente un connettore di invio in uscita per inviare messaggi a Internet
Per impostazione predefinita, quando si esegue il cmdlet New-EdgeSubscription nel server Cassette postali, il parametro Connettore di invio in uscita CreateInternetSendConnector viene impostato sul valore $true. In questo modo viene creato il connettore di invio necessario per inviare messaggi a Internet. Nella seguente tabella viene illustrata la configurazione predefinita di questo connettore di invio.
| Proprietà | Valore |
|---|---|
| Nome | EdgeSync - <Nome> sito in Internet |
| AddressSpaces | SMTP:*;100 |
| SourceTransportServers | <Nome sottoscrizione Edge> Nota: il nome della sottoscrizione Edge è lo stesso del nome del server Trasporto Edge sottoscritto. |
| Enabled | True |
| Dnsroutingenabled | True |
| DomainSecureEnabled | True |
Se si sottoscrivono più server Trasporto Edge allo stesso sito di Active Directory, non verranno creati connettori di invio Internet aggiuntivi. Verranno invece aggiunte tutte le sottoscrizioni Edge allo stesso connettore di invio come server di origine. Questo carico bilancia le connessioni Internet in uscita nei server Trasporto Edge sottoscritti.
Il connettore di invio in uscita è configurato per inviare messaggi dall'organizzazione di Exchange a tutti i domini SMTP remoti, usando il routing DNS per risolvere i nomi di dominio per i record di risorse MX. Per informazioni dettagliate sulla configurazione manuale di un connettore, vedere Configurare manualmente il flusso di posta del server Trasporto Edge.
Servizio EdgeSync di Microsoft Exchange
Dopo aver sottoscritto un server Trasporto Edge a un sito di Active Directory, EdgeSync replica i dati di configurazione e del destinatario nei server Trasporto Edge. Il servizio replica i seguenti dati da Active Directory ad AD LDS:
- Configurazione del connettore di invio
- Domini accettati
- Domini remoti
- Classificazioni dei messaggi
- Elenchi dei mittenti attendibili
- Elenchi dei mittenti bloccati
- Destinatari
- Elenco dei domini di invio e ricezione usati nelle comunicazioni di dominio protette con i partner
- Elenco dei server SMTP elencati come interni nella configurazione di trasporto dell'organizzazione
- Elenco di server Cassette postali nel sito Active Directory sottoscritto
Per informazioni dettagliate sui dati replicati in AD LDS e su come vengono usati, vedere Dati di replica di EdgeSync.
EdgeSync usa un canale LDAP sicuro autenticato reciprocamente e autorizzato per trasferire i dati dal server Cassette postali al server Trasporto Edge.
Per replicare i dati in AD LDS, il server Cassette postali effettua il binding a un server di catalogo globale e recupera i dati aggiornati. EdgeSync avvia una sessione LDAP sicura tra un server Cassette postali e il server Trasporto Edge sottoscritto sulla porta TCP non standard 50636.
Quando si sottoscrive per la prima volta un server Trasporto Edge a un sito di Active Directory, la replica iniziale che inserisce in AD LDS i dati da Active Directory può richiedere un certo tempo, a seconda della quantità di dati nel servizio di directory. Dopo la replica iniziale, EdgeSync sincronizza solo oggetti nuovi e modificati e rimuove tutti gli oggetti eliminati.
Pianificazione della sincronizzazione
I diversi tipi di dati vengono sincronizzati in base a pianificazioni differenti. La pianificazione della sincronizzazione EdgeSync specifica l'intervallo massimo tra le sincronizzazioni EdgeSync. La sincronizzazione di EdgeSync si verifica a intervalli seguenti:
- Dati di configurazione: 3 minuti.
- Dati del destinatario: 5 minuti.
- Dati relativi alla topologia: 5 minuti
Se si desidera modificare tali intervalli, utilizzare il cmdlet Set-EdgeSyncServiceConfig. L'uso del cmdlet Start-EdgeSynchronization nel server Cassette postali per forzare la sincronizzazione della sottoscrizione Edge sostituisce il timer per la successiva sincronizzazione pianificata di EdgeSync e avvia immediatamente EdgeSync.
Selezione dei server Cassette postali
Ogni server Trasporto Edge sottoscritto viene associato a un determinato sito di Active Directory. Se nel sito sono presenti più server Cassette postali, ciascuno di essi può replicare i dati nei server Trasporto Edge sottoscritti. Per evitare problemi tra i server Cassette postali durante la sincronizzazione, il server Cassette postali preferito viene selezionato nel seguente modo:
Il primo server Cassette postali nel sito di Active Directory che esegue un'analisi della topologia e rileva la nuova sottoscrizione Edge esegue la replica iniziale. Poiché tale rilevamento si basa sulla tempistica dell'analisi, qualunque server Cassette postali nel sito potrebbe eseguire la replica iniziale.
Il server Cassette postali che esegue la replica iniziale stabilisce un'opzione di lease EdgeSync e imposta un blocco sulla sottoscrizione Edge. Questa opzione di lease "contrassegna" quel server Cassette postali come preferito per fornire i servizi di sincronizzazione al server Trasporto Edge. Il blocco impedisce a EdgeSync in esecuzione in un altro server Cassette postali di acquisire l'opzione di lease.
L'opzione di lease EdgeSync dura un'ora. Durante quell'ora, nessun altro servizio EdgeSync può assumere l'opzione a meno che non venga avviata una sincronizzazione manuale prima della fine dell'ora. Se il server Cassette postali preferito non è disponibile per fornire il servizio EdgeSync al momento dell'avvio della sincronizzazione manuale, dopo un'attesa di cinque minuti, il blocco viene rilasciato e un altro servizio EdgeSync può assumere il controllo dell'opzione di lease ed eseguire la sincronizzazione.
A meno che non venga avviata la sincronizzazione manuale, la sincronizzazione si verifica in base alla pianificazione della sincronizzazione di EdgeSync. Se il server preferito non è disponibile quando si verifica una sincronizzazione pianificata, dopo cinque minuti di attesa, il blocco viene rilasciato e un altro servizio EdgeSync può assumere il controllo dell'opzione di lease ed eseguire la sincronizzazione.
Questo metodo di blocco e leasing impedisce a più istanze di EdgeSync di eseguire il push dei dati nello stesso server Trasporto Edge contemporaneamente.
Nota
Se si dispone anche di server Cassette postali di Exchange 2010 o Exchange 2007 nel sito di Active Directory sottoscritto, i server Cassette postali di Exchange 2013 avranno sempre la precedenza ed eseguiranno la replica.
Quando si sottoscrive un server Trasporto Edge a un sito di Active Directory, tutti i server Cassette postali installati in quel sito Active Directory in quel momento possono partecipare al processo di sincronizzazione di EdgeSync. Se uno di questi server viene rimosso, il servizio EdgeSync in esecuzione nei server Cassette postali rimanenti continuerà il processo di sincronizzazione dei dati. Tuttavia, se si installano nuovi server Cassette postali nel sito di Active Directory, non parteciperanno automaticamente alla sincronizzazione di EdgeSync. Se si desidera abilitare i nuovi server Cassette postali per partecipare alla sincronizzazione EdgeSync, è necessario sottoscrivere di nuovo il server Trasporto Edge.
Nella tabella seguente sono elencate le proprietà EdgeSync correlate al blocco e al leasing. Utilizzare il cmdlet Set-EdgeSyncServiceConfig per configurare queste proprietà.
Proprietà di lease di EdgeSync
| Parametro | Valore predefinito | Descrizione |
|---|---|---|
| LockDuration | 00:05:00 (5 minuti) |
Questa impostazione determina per quanto tempo un determinato servizio EdgeSync acquisirà un blocco. Se il servizio EdgeSync nel server Cassette postali che contiene questo blocco non risponde, dopo cinque minuti il servizio EdgeSync in un altro server Cassette postali assumerà il controllo del lease. La sincronizzazione immediata di EdgeSync non sostituisce questa impostazione. |
| OptionDuration | 01:00:00 1 ora |
Questa impostazione determina per quanto tempo un servizio EdgeSync può dichiarare un'opzione di lease in un server Trasporto Edge. Se il servizio EdgeSync che contiene il lease non è disponibile e non viene riavviato durante questo periodo di opzione, nessun altro servizio Exchange EdgeSync assumerà l'opzione di lease a meno che non si forza la sincronizzazione di EdgeSync. |
| LockRenewalDuration | 00:01:00 (1 minuto) |
Questa impostazione determina la frequenza con cui il campo di blocco viene aggiornato quando un servizio EdgeSync ha acquisito un blocco a un server Trasporto Edge. |
Preparazione per l'esecuzione del servizio EdgeSync
Prima di poter sottoscrivere il server Trasporto Edge all'organizzazione di Exchange, è necessario assicurarsi che l'infrastruttura e i server Cassette postali siano preparati per il servizio EdgeSync. Per preparare la sincronizzazione di EdgeSync, è necessario:
Verificare che il firewall di rete perimetrale che separa il server Trasporto Edge dall'organizzazione di Exchange sia configurato per abilitare le comunicazioni tramite le porte corrette. Il server Trasporto Edge usa porte LDAP non standard. Se l'ambiente richiede porte specifiche, è possibile modificare le porte usate da AD LDS usando lo script ConfigureAdam.ps1 fornito con Exchange. Per altre informazioni, vedere Modificare la configurazione di AD LDS. Modificare le porte prima di creare la sottoscrizione Edge. Se si modificano le porte dopo aver creato la sottoscrizione Edge, sarà necessario rimuovere la sottoscrizione Edge e quindi creare una nuova sottoscrizione Edge. Per impostazione predefinita, per accedere ad AD LDS vengono usate le porte LDAP seguenti:
LDAP: la porta 50389/TCP viene usata localmente per eseguire l'associazione all'istanza di AD LDS. Questa porta non deve essere aperta nel firewall di rete perimetrale.
LDAP sicuro: la porta 50636/TCP viene usata per la sincronizzazione della directory dai server Cassette postali ad AD LDS. Questa porta deve essere aperta nel firewall per la corretta sincronizzazione di EdgeSync.
Verificare che la risoluzione dei nomi host DNS sia riuscita dal server Trasporto Edge ai server Cassette postali e dai server Cassette postali al server Trasporto Edge.
Assegnare la licenza al server Trasporto Edge. Le informazioni sulle licenze per il server Trasporto Edge vengono acquisite quando viene creata la sottoscrizione Edge. I server Trasporto Edge sottoscritti devono essere sottoscritti all'organizzazione exchange dopo l'applicazione della chiave di licenza nel server Trasporto Edge. Se la chiave di licenza viene applicata al server Trasporto Edge dopo aver eseguito il processo di sottoscrizione Edge, le informazioni sulle licenze non verranno aggiornate nell'organizzazione di Exchange e sarà necessario inviare nuovamente il server Trasporto Edge.
Configurare le impostazioni di trasporto seguenti per la propagazione al server Trasporto Edge:
Server SMTP interni: usare il parametro InternalSMTPServers nel cmdlet Set-TransportConfig per specificare un elenco di indirizzi IP o intervalli di indirizzi IP del server SMTP interni da ignorare dagli agenti Sender ID e Connection Filtering nel server Trasporto Edge.
Domini accettati: configurare tutti i domini autorevoli, i domini di inoltro interni e i domini di inoltro esterni.
Domini remoti: configurare le impostazioni del dominio remoto.
Gestione delle sottoscrizioni di Edge
Per istruzioni dettagliate sulle attività di gestione delle sottoscrizioni Edge, vedere Gestire le sottoscrizioni Edge.