Assinaturas do Edge no Exchange Server
Inscrições de Borda são utilizadas para preencher a instância do AD LDS (Lightweight Directory Services) no servidor de Transporte de Borda com dados do Active Directory. Embora criar uma Inscrição de Borda seja opcional, inscrever um servidor de Transporte de Borda na organização do Exchange fornece uma experiência de gerenciamento mais simples para o administrador e melhora os recursos antispam. Você deverá criar uma Inscrição de Borda se planejar usar pesquisa de destinatário ou agregação de lista segura, ou se planejar ajudar a proteger as comunicações SMTP com domínios de parceiros usando MTLS (Mutual Transport Layer Security).
Observação
A Assinatura do Edge é obrigatória se o Edge Transport tratar o fluxo de email híbrido. Os cabeçalhos da organização são promovidos apenas entre servidores do Edge Transport e da Caixa de Correio por meio da Autenticação de Confiança Direta (também conhecida como TLS Mútuo) e a Assinatura do Edge é necessária para alcançar esse método de autenticação.
Processo de Inscrição de Borda
Um servidor de Transporte de Borda não tem acesso direto ao Active Directory. As informações de configuração e de destinatário que o servidor de Transporte de Borda usa para processar mensagens estão armazenadas no AD LDS. A criação de uma Inscrição de Borda estabelece uma replicação segura e automática de informações do Active Directory para o AD LDS. O processo de Assinatura do Edge provisiona as credenciais usadas para estabelecer uma conexão LDAP segura entre os servidores internos do Exchange Mailbox e um servidor de Transporte de Borda inscrito. O serviço Microsoft Exchange EdgeSync (EdgeSync) executado em servidores de Caixa de Correio realiza a sincronização unidirecional para transferir dados atualizados para o AD LDS. Isso reduz as tarefas administrativas realizadas na rede de perímetro permitindo que você configure o servidor de Caixa de Correio e, então, sincronize essas informações com o servidor de Transporte de Borda.
Inscreva um servidor de Transporte de Borda no site do Active Directory que contém os servidores de Caixa de Correio responsáveis pela transferência de mensagens de e para seus servidores de Transportes de Borda. O processo de Inscrição de Borda cria uma afiliação de associação do site do Active Directory para o servidor de Transporte de Borda. A afiliação de site permite que os servidores de Caixa de Correio da organização do Exchange retransmitam mensagens ao servidor de Transporte de Borda para que sejam entregues na Internet, sem necessidade de configurar conectores de Envio explícitos.
Você pode inscrever um ou mais servidores de Transporte de Borda em um único site do Active Directory. Entretanto, um servidor de Transporte de Borda não pode ser inscrito em mais de um site do Active Directory. Se você tiver mais de um servidor de Transporte de Borda implantado, cada servidor poderá ser inscrito em um site diferente do Active Directory. Cada servidor de Transporte de Borda requer uma Inscrição de Borda individual.
Para implantar um servidor de Transporte de Borda e inscrevê-lo em um site do Active Directory, siga estas etapas:
Instale a função de servidor Transporte de Borda.
Prepare-se para a Assinatura do Edge:
Licencie o servidor de Transporte de Borda.
Abra portas no firewall para fluxo de email e sincronização do EdgeSync.
Verifique se os servidores de Caixa de Correio e o servidor de Transporte de Borda podem localizar um ao outro utilizando a resolução de nomes DNS.
No Servidor de Caixa de Correio, configure as configurações de transporte a serem replicadas para o servidor de Transporte de Borda.
No servidor de Transporte do Edge, crie e exporte um arquivo de Assinatura do Edge executando o cmdlet New-EdgeSubscription .
Copie o arquivo de Inscrição de Borda em um servidor de Caixa de Correio ou em um compartilhamento de arquivos que seja acessível do site do Active Directory que contém seus servidores de Caixa de Correio.
Importe o arquivo de Assinatura do Edge para o site do Active Directory executando o cmdlet New-EdgeSubscription no servidor da caixa de correio.
Preparar para a Assinatura do Edge
Antes de assinar seu servidor de Transporte do Edge em sua organização do Exchange, você precisa garantir que sua infraestrutura e seus servidores de caixa de correio estejam preparados para a sincronização do EdgeSync. Para se preparar para o EdgeSync, você precisa:
Licenciar o servidor de Transporte de Borda: as informações de licenciamento do servidor de Transporte do Edge são capturadas quando a Assinatura do Edge é criada. Servidores de Transporte de Borda inscritos precisam ser inscritos na organização do Exchange após a aplicação da chave de licença no servidor de Transporte de Borda. Se a chave de licença for aplicada ao servidor de Transporte de Borda depois que você executar o processo de Inscrição de Borda, as informações de licença não serão atualizadas na organização do Exchange e você deverá inscrever novamente o servidor de Transporte de Borda.
Verifique se as portas necessárias estão abertas no firewall: As seguintes portas são usadas por servidores de Transporte de Borda inscritos:
SMTP: a porta 25/TCP deve estar aberta para fluxo de emails de entrada e saída entre a Internet e o servidor de Transporte de Borda e entre o servidor edge transport e a organização interna do Exchange.
LDAP seguro: a porta 50636/TCP não padrão é usada para sincronização de diretórios de servidores da caixa de correio para o AD LDS no servidor de Transporte de Borda. Essa porta é necessária para uma sincronização bem-sucedida do EdgeSync.
Observação
A porta 50389/TCP é usada localmente pelo LDAP para associar à instância do AD LDS. Essa porta não precisa ser aberta no firewall; ele é usado localmente no servidor de Transporte do Edge.
Se o ambiente exigir portas específicas, você poderá modificar as portas usadas pelo AD LDS usando o script fornecido com o
ConfigureAdam.ps1Exchange. Modifique as portas antes de criar a Inscrição de Borda. Se você modificar as portas depois de criar a Assinatura do Edge, precisará remover a Assinatura do Edge e criar outra.Verifique se a resolução do nome do host DNS é bem-sucedida do servidor de Transporte do Edge para os servidores da caixa de correio e dos servidores da caixa de correio para o servidor de Transporte do Edge
Configurar as seguintes configurações de transporte para propagação para o servidor de Transporte de Borda
Servidores SMTP internos: use o parâmetro InternalSMTPServers no cmdlet Set-TransportConfig para especificar uma lista de endereços IP internos do servidor SMTP ou intervalos de endereços IP a serem ignorados pelos agentes de ID do Remetente e filtragem de conexão no servidor de Transporte de Borda.
Domínios aceitos: configurar todos os domínios autoritativos, domínios de retransmissão interna e domínios de retransmissão externa.
Domínios remotos: configure as configurações para o objeto de domínio remoto padrão (usado para destinatários em todos os domínios remotos) e configure objetos de domínio remoto conforme necessário para destinatários em domínios remotos específicos.
Criar e exportar um arquivo de assinatura do Edge no servidor de transporte do Edge
Quando você cria um arquivo de Assinatura do Edge executando o cmdlet New-EdgeSubscription no servidor de Transporte de Borda, as seguintes ações ocorrem:
Uma conta do AD LDS que chamou a conta de replicação de inicialização do EdgeSync (ESBRA) é criada. Estas credenciais ESBRA são usadas para autenticar a primeira conexão do EdgeSync com o servidor de Transporte de Borda. Essa conta está configurada para expirar 24 horas após sua criação. Portanto, você precisa concluir o processo de assinatura de cinco etapas descrito na seção anterior dentro de 24 horas. Se a ESBRA expirar antes da conclusão do processo de Inscrição de Borda, será necessário executar o cmdlet New-EdgeSubscription no servidor de Transporte de Borda novamente para criar um novo arquivo de Inscrição de Borda.
As credenciais da ESBRA são recuperadas do AD LDS e gravadas no arquivo de Inscrição de Borda. A chave pública do certificado auto-assinado do servidor de Transporte de Borda também é exportada para o arquivo de Inscrição de Borda. As credenciais gravadas no servidor de Transporte de Borda são específicas para o servidor do qual o arquivo foi exportado.
Quaisquer objetos de configuração criados anteriormente no servidor de Transporte de Borda, que agora serão replicados para o AD LDS do Active Directory, serão excluídos do AD LDS e os cmdlets do Shell de Gerenciamento do Exchange usados para configurar esses objetos serão desabilitados. No entanto, você ainda pode usar os cmdlets Get-* para exibir esses objetos. A execução do cmdlet New-EdgeSubscription desabilita os seguintes cmdlets no servidor de Transporte de Borda:
Set-SendConnector
New-SendConnector
Remove-SendConnector
New-AcceptedDomain
Set-AcceptedDomain
Remove-AcceptedDomain
New-RemoteDomain
Set-RemoteDomain
Remove-RemoteDomain
Este exemplo cria e exporta o arquivo de Assinatura do Edge no servidor de Transporte de Borda.
New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"
Observação
Ao executar o cmdlet New-EdgeSubscription no servidor de Transporte de Borda, você recebe um prompt para reconhecer os comandos que serão desabilitados e a configuração que será substituída no servidor de Transporte de Borda. Para ignorar essa confirmação, você precisa usar o parâmetro Force . Esse parâmetro é útil quando você cria um script com o cmdlet New-EdgeSubscription. Você também pode usar o parâmetro Force para substituir um arquivo existente ao assinar novamente um servidor do Edge Transport.
Importar o arquivo assinatura do Edge em um servidor de caixa de correio
Quando você importa o arquivo de Assinatura do Edge para o site do Active Directory executando o cmdlet New-EdgeSubscription em um servidor da Caixa de Correio, as seguintes ações ocorrem:
A Assinatura do Edge é criada, juntando o servidor de Transporte do Edge à organização do Exchange. O EdgeSync propagará dados de configuração para este servidor de Transporte de Borda, criando um objeto de configuração de Borda no Active Directory.
Todos os servidores de Caixa de Correio no site do Active Directory recebem uma notificação do Active Directory de que um novo servidor de Transporte de Borda foi inscrito. O servidor de Caixa de Correio recupera a ESBRA do arquivo de Inscrição de Borda. Em seguida, o servidor de Caixa de Correio criptografa a ESBRA usando a chave pública do certificado autoassinado do servidor de Transporte de Borda. As credenciais criptografadas são gravadas no objeto de configuração de Borda.
Cada servidor de Caixa de Correio também criptografa a ESBRA usando sua própria chave pública e armazena as credenciais em seu próprio objeto de configuração.
As contas de replicação do EdgeSync (ESRAs) são criadas no Active Directory para cada par de servidores de Transporte de Borda-Caixa de Correio. Cada servidor de Caixa de Correio armazena suas credenciais de ESRA como um atributo do objeto de configuração do servidor de Caixa de Correio.
Conectores de envio são criados automaticamente para retransmitir mensagens de saída do servidor de Transporte de Borda para a Internet, e de entrada do servidor de Transporte de Borda para a organização do Exchange. Para obter mais informações, confira a seção Enviar conectores criados automaticamente pela seção Assinatura do Edge neste tópico.
O serviço do EdgeSync do Microsoft Exchange, que é executado em servidores de Caixa de Correio, usa as credenciais da ESBRA para estabelecer uma conexão LDAP segura entre um servidor de Caixa de Correio e o servidor de Transporte de Borda e realiza a replicação inicial de dados. Os seguintes dados são replicados para o AD LDS:
Dados de topologia
Dados de configuração
Dados de destinatário
Credenciais de ESRA
O Serviço de Credencial do Microsoft Exchange que é executado no servidor de Transporte de Borda instala as credenciais de ESRA. Essas credenciais são usadas para autenticar e proteger conexões de sincronização posteriores.
O agendamento de sincronização EdgeSync é estabelecido.
O serviço do EdgeSync do Microsoft Exchange em execução nos servidores de Caixa de Correio no site do Active Directory inscrito realiza a replicação unidirecional de dados do Active Directory para o AD LDS regularmente. Também é possível usar o cmdlet Start-EdgeSynchronization para substituir a programação de sincronização do EdgeSync e iniciar imediatamente a sincronização.
Este exemplo inscreve um servidor de Transporte de Borda no site especificado e cria automaticamente o conector de Envio da Internet e o conector de Envio a partir do servidor de Transporte de Borda para os servidores de Caixa de Correio.
New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\Data\EdgeSubscriptionInfo.xml')) -Site "Default-First-Site-Name"
Observação
Os valores padrão dos parâmetros CreateInternetSendConnector e CreateInboundSendConnector são ambos $true, portanto, você não precisa usá-los neste comando.
Enviar conectores criados automaticamente pela Assinatura do Edge
Por padrão, quando você importa o arquivo de Assinatura do Edge para um servidor da Caixa de Correio, os conectores de envio necessários para habilitar o fluxo de email de ponta a ponta entre a Internet e a organização do Exchange são criados automaticamente e todos os conectores de envio existentes no servidor de Transporte de Borda são excluídos.
A Assinatura do Edge cria os seguintes conectores de envio:
Um conector Send chamado EdgeSync – Entrada para <Nome> do Site configurado para retransmitir mensagens do servidor de Transporte de Borda para a organização exchange.
Um conector send chamado EdgeSync – <Nome> do site para a Internet que está configurado para retransmitir mensagens da organização do Exchange para a Internet.
Além disso, a assinatura de um servidor de Transporte de Borda para a organização exchange permite que os servidores da caixa de correio no site do Active Directory inscrito usem o conector De envio invisível e implícito da organização para retransmitir mensagens para o servidor de Transporte de Borda.
Conector enviar de entrada para receber mensagens da Internet
Quando você executa o cmdlet New-EdgeSubscription no servidor mailbox, o parâmetro CreateInboundSendConnector é definido como o valor $true. Isso cria o conector Enviar necessário para enviar mensagens do servidor de Transporte de Borda para a organização exchange. A tabela a seguir mostra a configuração desse Conector de Envio.
Configuração automática do conector de envio de entrada
| Propriedade | Valor |
|---|---|
| Nome | EdgeSync – Entrada para Nome <do Site> |
| Addressspaces | SMTP:--;1 O -- valor no espaço de endereço representa todos os domínios aceitos de retransmissão interna e autoritária para a organização exchange. Todas as mensagens recebidas pelo servidor de Transporte de Borda para esses domínios aceitos são roteadas para este conector Enviar e retransmitidas para os hosts inteligentes. |
| Sourcetransportservers | <Nome da Assinatura do Edge> |
| Enabled | Verdadeiro |
| Dnsroutingenabled | Falso |
| Smarthosts | -- O -- valor na lista de hosts inteligentes representa todos os servidores da Caixa de Correio no site do Active Directory inscrito. Todos os servidores de caixa de correio que você adicionar ao site do Active Directory inscrito depois de estabelecer a Assinatura do Edge não participam do processo de sincronização do EdgeSync. No entanto, eles são adicionados automaticamente à lista de hosts inteligentes para o conector Send de entrada criado automaticamente. Se mais de um servidor de caixa de correio estiver localizado no site do Active Directory inscrito, as conexões de entrada serão balanceadas entre os hosts inteligentes. |
Você não pode modificar o espaço de endereçamento, nem a lista de hosts inteligentes durante a criação para o conector de Envio de entrada criado automaticamente. No entanto, você pode definir o parâmetro CreateInboundSendConnector como o valor $false ao criar uma Assinatura do Edge. Isso permite a você configurar manualmente um conector de Envio do servidor de Transporte de Borda para a organização do Exchange.
Conector de envio de saída para enviar mensagens para a Internet
Quando você executa o cmdlet New-EdgeSubscription no servidor mailbox, o parâmetro CreateInternetSendConnector é definido como o valor $true. Isso cria o conector Enviar necessário para enviar mensagens da organização do Exchange para a Internet. A tabela a seguir mostra a configuração-padrão desse conector de Envio.
Configuração automática do conector de envio da Internet
| Propriedade | Valor |
|---|---|
| Nome | EdgeSync – < Nome >do site para a Internet |
| Addressspaces | SMTP:*;100 |
| Sourcetransportservers | <Nome da Assinatura do Edge> O nome da Assinatura do Edge é o mesmo que o nome do servidor de Transporte de Borda inscrito. |
| Enabled | Verdadeiro |
| Dnsroutingenabled | Verdadeiro |
| Domainsecureenabled | Verdadeiro |
Se mais de um servidor de Transporte de Borda estiver inscrito no mesmo site do Active Directory, nenhum conector de Envio adicional para a Internet será criado. Em vez disso, todas as Inscrições de Borda serão adicionadas ao mesmo conector de Envio do servidores de origem. Isso faz o balanceamento de carga de conexões de saída para a Internet entre os servidores de Transporte de Borda inscritos.
O conector de Envio de saída está configurado para enviar mensagens de email da organização do Exchange para todos os domínios SMTP remotos, usando roteamento de DNS para resolver nomes de domínio para registros de recurso MX.
Detalhes sobre o serviço EdgeSync
Depois de inscrever um servidor de Transporte de Borda em um site do Active Directory, o EdgeSync replicará dados de configuração e de destinatário para os servidores de Transporte de Borda. O serviço replica os seguintes dados do Active Directory para o AD LDS:
Configuração do conector de envio
Domínios aceitos
Domínios remotos
Listas de remetentes seguros
Lista de remetentes bloqueados
Destinatários
Lista de domínios de envio e recebimento usados nas comunicações seguras de domínio com parceiros
Lista de servidores SMTP listados como internos na configuração de transporte da organização
Lista de servidores de Caixa de Correio no site do Active Directory inscrito
O EdgeSync usa um canal LDAP seguro autorizado e autenticado mutuamente para transferir dados do servidor de Caixa de Correio para o servidor de Transporte de Borda.
Para replicar dados para o AD LDS, o servidor de Caixa de Correio associa-se a um servidor de catálogo global para recuperar dados atualizados. O EdgeSync inicia uma sessão LDAP segura entre um servidor de Caixa de Correio e o servidor de Transporte de Borda inscrito na porta TCP não-padrão 50636.
Quando você inscreve pela primeira vez um servidor de Transporte de Borda em um site do Active Directory, a replicação inicial que preenche o AD LDS com dados do Active Directory pode demorar algum tempo, dependendo da quantidade de dados no serviço do diretório. Após a replicação inicial, o EdgeSync só sincroniza objetos novos e alterados, além de remover qualquer objeto excluído.
Programação de sincronização
Tipos diferentes de sincronização de dados em agendas diferentes. A programação de sincronização do EdgeSync especifica o tempo máximo entre sincronizações do EdgeSync. A sincronização EdgeSync ocorre nos seguintes intervalos:
Dados de configuração: 3 minutos.
Dados de destinatário: 5 minutos.
Dados de topologia: 5 minutos
Se quiser alterar esses intervalos, use o cmdlet Set-EdgeSyncService. O uso do cmdlet Start-EdgeSynchronization no servidor de Caixa de Correio para forçar a sincronização de Inscrição de Borda substitui o temporizador para a próxima sincronização programada do EdgeSync e inicia imediatamente o EdgeSync.
Seleção de servidores de Caixa de Correio
Cada servidor de Transporte de Borda inscrito está associado a um site específico do Active Directory. Se mais de um servidor de Caixa de Correio existir no site, qualquer um deles poderá replicar os dados para os servidores de Transporte de Borda inscritos. Para evitar a contenção entre servidores de Caixa de Correio durante a sincronização, o servidor de Caixa de Correio será selecionado como a seguir:
O primeiro servidor de Caixa de Correio no site do Active Directory a executar uma verificação de topologia e a descobrir a Inscrição de Borda executa a replicação inicial. Como a descoberta é baseada no tempo da verificação de topologia, qualquer servidor de Caixa de Correio no site pode realizar a replicação inicial.
O servidor de Caixa de Correio que executa a replicação inicial estabelece uma opção de concessão do EdgeSync e define um bloqueio na Inscrição de Borda. A opção de concessão estabelece esse servidor de Caixa de Correio como preferencial para fornecer serviços de sincronização ao servidor de Transporte de Borda. O bloqueio impede que o serviço do EdgeSync em execução em outro servidor de Caixa de Correio assuma a opção de concessão.
A opção de concessão do EdgeSync dura uma hora. Durante essa hora, nenhum outro serviço do EdgeSync poderá assumir a opção, a menos que uma sincronização manual seja iniciada antes do término da hora. Se o servidor de Caixa de Correio preferencial não estiver disponível para fornecer o serviço do EdgeSync quando a sincronização manual for executada, após uma espera de cinco minutos, o bloqueio será liberado e outro serviço do EdgeSync assumirá a opção de concessão e executará a sincronização.
A menos que a sincronização manual seja iniciada, a sincronização ocorrerá com base na programação de sincronização do EdgeSync. Se o servidor preferencial não estiver disponível quando a sincronização programada ocorrer, após uma espera de cinco minutos, o bloqueio será liberado e outro serviço do EdgeSync assumirá a opção de concessão e executará a sincronização.
Esse método de bloqueio e concessão impede que mais de uma instância do serviço do EdgeSync envie dados por push ao mesmo servidor de Transporte de Borda ao mesmo tempo.
Observações:
Nas organizações do Exchange 2016, se você também tiver servidores de Transporte do Hub do Exchange 2010 no site do Active Directory inscrito, os servidores da Caixa de Correio do Exchange 2016 sempre terão precedência e executarão a replicação.
Quando você inscreve um servidor de Transporte de Borda em um site do Active Directory, todos os servidores de Caixa de Correio instalados nesse site do Active Directory naquele momento poderão participar do processo de sincronização do EdgeSync. Se um desses servidores for removido, o serviço do EdgeSync que estiver sendo executado nos servidores de Caixa de Correio restantes continuará o processo de sincronização de dados. No entanto, se você instalar novos servidores de Caixa de Correio no site do Active Directory, eles não participarão automaticamente da sincronização do EdgeSync. Além disso, eles não serão adicionados automaticamente ao Grupo de Entrega interno do Edge Server. Se você quiser permitir que esses novos servidores de caixa de correio participem da sincronização do EdgeSync e do fluxo de email automático do Edge to Mailbox, você precisará assinar o servidor do Edge Transport novamente.
A tabela a seguir lista as propriedades do EdgeSync relacionadas ao processo de bloqueio e concessão. Você pode usar o cmdlet Set-EdgeSyncServiceConfig para configurar essas propriedades.
Propriedades de concessão do EdgeSync
| Parâmetro | Valor padrão | Descrição |
|---|---|---|
| LockDuration | 00:05:00 (5 minutos) |
Essa configuração determina quanto tempo um determinado serviço EdgeSync adquirirá um bloqueio. Se o serviço EdgeSync no servidor mailbox que está segurando esse bloqueio não responder, após cinco minutos o serviço EdgeSync em outro servidor da Caixa de Correio assumirá a concessão. Forçar a sincronização imediata do EdgeSync não substitui essa configuração. |
| OptionDuration | 01:00:00 (1 hora) |
Essa configuração determina quanto tempo um serviço EdgeSync pode declarar uma opção de concessão em um servidor de Transporte de Borda. Se o serviço EdgeSync que mantém a concessão não estiver disponível e não for reiniciado durante esse período de opção, nenhum outro serviço do Exchange EdgeSync assumirá a opção de concessão, a menos que você force a sincronização do EdgeSync. |
| LockRenewalDuration | 00:01:00 (1 minuto) |
Essa configuração determina com que frequência o campo de bloqueio é atualizado quando um serviço EdgeSync adquiriu um bloqueio para um servidor de Transporte de Borda. |