Пограничные подписки в Exchange Server

Пограничные подписки используются для заполнения экземпляра служб Active Directory облегченного доступа к каталогам (AD LDS) на пограничном транспортном сервере данными службы Active Directory. Хотя пограничную подписку создавать необязательно, подписка пограничного транспортного сервера на организацию Exchange упрощает управление и расширяет возможности защиты от нежелательной почты. Пограничную подписку необходимо создавать, если планируется использовать поиск получателей или объединение списков надежных отправителей либо защищать связь по протоколу SMTP с доменами партнеров с помощью протокола Mutual TLS (MTLS).

Примечание.

Подписка Edge является обязательной, если пограничный транспорт должен обрабатывать гибридный поток обработки почты. Заголовки организации повышаются только между пограничными транспортными серверами и серверами почтовых ящиков с помощью проверки подлинности с прямым доверием (также называется Mutual TLS). Для этого метода проверки подлинности требуется подписка Edge.

Процесс пограничной подписки

Пограничный транспортный сервер не имеет прямого доступа к Active Directory. Сведения о конфигурации и получателях, которые пограничный транспортный сервер использует для обработки сообщений, хранятся локально в службах AD LDS. При создании пограничной подписки обеспечивается надежная автоматическая репликация сведений из Active Directory в AD LDS. Процесс пограничной подписки подготавливает учетные данные, используемые для установки безопасного подключения LDAP между внутренними серверами почтовых ящиков Exchange и подписанным пограничным транспортным сервером. Служба Microsoft Exchange EdgeSync (EdgeSync), запущенная на серверах почтовых ящиков, выполняет периодическую односторонней синхронизацию для передачи актуальных данных в AD LDS. Тем самым уменьшается количество задач администрирования, выполняемых в сети периметра, за счет возможности настройки сервера почтовых ящиков с последующей синхронизацией этих данных на пограничном транспортном сервере.

Вы подписываете пограничный транспортный сервер на сайт Active Directory, содержащий серверы почтовых ящиков, которые отвечают за передачу сообщений на пограничные транспортные серверы и их получение оттуда. В процессе пограничной подписки создается членство на сайте Active Directory для пограничного транспортного сервера. Это членство позволяет серверам почтовых ящиков в организации Exchange ретранслировать сообщения на пограничный транспортный сервер для доставки в Интернет без настройки явных соединителей отправки.

На один сайт Active Directory могут быть подписаны несколько пограничных транспортных серверов. При этом пограничный транспортный сервер нельзя подписать на несколько сайтов Active Directory. Если развернуто несколько пограничных транспортных серверов, каждый из них должен быть подписан на отдельный сайт Active Directory. Для каждого пограничного транспортного сервера требуется индивидуальная пограничная подписка.

Чтобы развернуть пограничный транспортный сервер и подписать его на сайт Active Directory, сделайте следующее:

  1. Установите роль пограничного транспортного сервера.

  2. Выполните подготовку к пограничной подписке:

    • Лицензируйте пограничный транспортный сервер.

    • Откройте порты в брандмауэре для потока обработки почты и синхронизации EdgeSync.

    • Убедитесь в том, что серверы почтовых ящиков и пограничный транспортный сервер могут находить друг друга с помощью разрешения имен DNS.

    • На сервере почтовых ящиков настройте объекты и параметры, которые необходимо реплицировать на пограничный транспортный сервер.

  3. На пограничном транспортном сервере создайте и экспортируйте файл пограничной подписки, выполнив командлет New-EdgeSubscription.

  4. Скопируйте файл пограничной подписки на сервер почтовых ящиков или в общий файловый ресурс, доступный на сайте Active Directory, где расположены серверы почтовых ящиков.

  5. Импортируйте файл пограничной подписки на сайт Active Directory, выполнив командлет New-EdgeSubscription на сервере почтовых ящиков.

Подготовка пограничной подписки

Прежде чем вы сможете подписать пограничный транспортный сервер на свою организацию Exchange, необходимо убедиться, что инфраструктура и серверы почтовых ящиков подготовлены к синхронизации EdgeSync. Чтобы подготовиться к EdgeSync, необходимо:

  • Лицензирование пограничного транспортного сервера. Сведения о лицензировании для пограничного транспортного сервера записываются при создании пограничной подписки. Подписанные пограничные транспортные серверы должны быть подписаны на организацию Exchange после применения лицензионного ключа на пограничном транспортном сервере. Если лицензионный ключ применяется к пограничному транспортному серверу после выполнения процесса пограничной подписки, сведения о лицензировании не будут обновляться в организации Exchange, и вам потребуется повторно подписаться на пограничный транспортный сервер.

  • Убедитесь, что необходимые порты открыты в брандмауэре. Следующие порты используются подписанными пограничными транспортными серверами:

    • SMTP. Порт 25/TCP должен быть открыт для входящего и исходящего потока почты между Интернетом и пограничным транспортным сервером, а также между пограничным транспортным сервером и внутренней организацией Exchange.

    • Secure LDAP. Нестандартный порт 50636/TCP используется для синхронизации каталогов с серверов почтовых ящиков в AD LDS на пограничном транспортном сервере. Этот порт необходим для успешной синхронизации EdgeSync.

    Примечание.

    TCP-порт 50389 используется локально протоколом LDAP для привязки экземпляра AD LDS. Этот порт не обязательно должен быть открыть в брандмауэре — он используется локально на пограничном транспортном сервере.

    Если для вашей среды требуются определенные порты, можно изменить порты, используемые AD LDS, с помощью скрипта, предоставленного ConfigureAdam.ps1 в Exchange. Измените порты, прежде чем создавать пограничную подписку. Если изменить настройки портов после создания пограничной подписки, необходимо удалить пограничную подписку и создать другую.

  • Убедитесь, что узел DNS правильно разрешает имена с пограничного транспортного сервера на серверы почтовых ящиков и наоборот.

  • Настройте приведенные ниже параметры транспорта, которые будут распространены на пограничный транспортный сервер.

    • Внутренние SMTP-серверы. Используйте параметр InternalSMTPServers в командлете Set-TransportConfig, чтобы указать список IP-адресов внутренних SMTP-серверов или диапазонов IP-адресов, которые будут игнорироваться агентами идентификатора отправителя и фильтрации подключений на пограничном транспортном сервере.

    • Обслуживаемые домены. Настройте все полномочные домены, внутренние домены ретранслятора и домены внешнего ретранслятора.

    • Удаленные домены. Настройте параметры для объекта удаленного домена по умолчанию (используется для получателей во всех удаленных доменах) и настройте объекты удаленного домена в соответствии с требованиями для получателей в определенных удаленных доменах.

Создание и экспорт файла пограничной подписки на пограничном транспортном сервере

При создании файла пограничной подписки (путем выполнения командлета New-EdgeSubscription на пограничном транспортном сервере) выполняются следующие действия:

  • Создается учетная запись AD LDS, которая называется учетной записью репликации начальной загрузки EdgeSync (ESBRA). Эти учетные данные ESBRA используются для проверки подлинности первого подключения EdgeSync к пограничному транспортному серверу. Срок действия учетной записи истекает через 24 часа после создания. Поэтому процесс подписки из пяти этапов, описанный в предыдущем разделе, необходимо выполнить в течение 24 часов. Если срок действия учетной записи ESBRA истечет до завершения процесса пограничной подписки, потребуется повторно выполнить командлет New-EdgeSubscription, чтобы создать новый файл пограничной подписки.

  • Учетные данные ESBRA извлекаются из службы AD LDS и записываются в файл пограничной подписки. В файл пограничной подписки также экспортируется открытый ключ самозаверяющего сертификата пограничного транспортного сервера. Учетные данные, записываемые в файл пограничной подписки, зависят от сервера, с которого экспортировался файл.

  • Все ранее созданные объекты конфигурации на пограничном транспортном сервере, которые будет реплицироваться в AD LDS из службы каталогов Active Directory, удаляются из AD LDS, а командлеты Командная консоль Exchange, используемые для настройки этих объектов, отключаются. Однако для просмотра этих объектов по-прежнему можно использовать командлеты Get-* . При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере отключаются приведенные ниже командлеты.

    • Set-SendConnector

    • New-SendConnector

    • Remove-SendConnector

    • New-AcceptedDomain

    • Set-AcceptedDomain

    • Remove-AcceptedDomain

    • New-RemoteDomain

    • Set-RemoteDomain

    • Remove-RemoteDomain

В этом примере создается и экспортируется файл пограничной подписки на пограничном транспортном сервере.

New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"

Примечание.

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере появляется запрос на подтверждение отключения команд и перезаписи конфигурации на пограничном транспортном сервере. Чтобы обойти это подтверждение, необходимо использовать параметр Force . Этот параметр полезен при использовании командлета New-EdgeSubscription в сценарии. Параметр Force также можно использовать для перезаписи существующего файла при повторной подписке на пограничный транспортный сервер.

Импорт файла пограничной подписки на сервере почтовых ящиков

При импорте файла пограничной подписки на сайт Active Directory с помощью командлета New-EdgeSubscription на сервере почтовых ящиков выполняются следующие действия:

  • Создается файл пограничной подписки с присоединением пограничного транспортного сервера к организации Exchange. EdgeSync будет распространять данные конфигурации на этот пограничный транспортный сервер, создавая объект конфигурации Edge в Active Directory.

  • Каждый сервер почтовых ящиков на сайте Active Directory получает уведомление от Active Directory о том, что подписан новый пограничный транспортный сервер. Сервер почтовых ящиков получает ESBRA из файла пограничной подписки. После этого сервер почтовых ящиков шифрует ESBRA с использованием открытого ключа самозаверяющего сертификата пограничного транспортного сервера. Зашифрованные учетные данные затем записываются в объект пограничной конфигурации.

  • Каждый сервер почтовых ящиков также шифрует ESBRA с помощью собственного открытого ключа и сохраняет учетные данные в своем объекте конфигурации.

  • Учетные записи репликации EdgeSync (ESRA) создаются в Active Directory для каждой пары пограничных Transport-Mailbox серверов. Каждый сервер почтовых ящиков хранит свои учетные данные ESRA в качестве атрибута объекта конфигурации сервера почтовых ящиков.

  • Соединители отправки создаются автоматически для ретрансляции сообщений, исходящих с пограничного транспортного сервера в Интернет, и для входящих сообщений с пограничного транспортного сервера в организацию Exchange. Дополнительные сведения см. в разделе Send connectors created automatically by the Edge Subscription этой статьи.

  • Служба Microsoft Exchange EdgeSync, которая работает на серверах почтовых ящиков, использует учетные данные ESBRA для установки безопасного подключения LDAP между сервером почтовых ящиков и пограничным транспортным сервером и выполняет начальную репликацию данных. В службу AD LDS реплицируются следующие данные:

    • данные топологии;

    • данные конфигурации;

    • данные получателей;

    • учетные данные ESRA.

  • Служба учетных данных Microsoft Exchange, которая выполняется на пограничном транспортном сервере, устанавливает учетные данные ESRA. Эти учетные данные используются для проверки подлинности и защиты последующих соединений синхронизации.

  • Установлено расписание синхронизации EdgeSync.

  • Служба Microsoft Exchange EdgeSync, запущенная на серверах почтовых ящиков на сайте Active Directory с подпиской, выполняет односторонняя репликацию данных из Active Directory в AD LDS по регулярному расписанию. Вы также можете использовать командлет Start-EdgeSynchronization , чтобы переопределить расписание синхронизации EdgeSync и немедленно начать синхронизацию.

В этом примере выполняется подписка пограничного транспортного сервера на указанный сайт и автоматически создается соединитель отправки в Интернет и соединитель отправки с пограничного транспортного сервера на серверы почтовых ящиков.

New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\Data\EdgeSubscriptionInfo.xml')) -Site "Default-First-Site-Name"

Примечание.

Значениями по умолчанию параметров CreateInternetSendConnector и CreateInboundSendConnector являются $true, поэтому их не нужно использовать в этой команде.

Соединители отправки, автоматически создаваемые пограничной подпиской

По умолчанию при импорте файла пограничной подписки на сервер почтовых ящиков автоматически создаются соединители отправки, необходимые для обеспечения непрерывного потока обработки почты между Интернетом и организацией Exchange, при этом все существующие соединители отправки на пограничном транспортном сервере удаляются.

Пограничная подписка создает следующие соединители отправки:

  • Соединитель отправки с именем EdgeSync — inbound to <Site Name> , настроенный для ретрансляции сообщений с пограничного транспортного сервера в организацию Exchange.

  • Соединитель Отправки с именем EdgeSync — <имя> сайта в Интернет, настроенный для передачи сообщений из организации Exchange в Интернет.

кроме того, подписка пограничного транспортного сервера на организацию Exchange позволяет серверам почтовых ящиков на подписанном сайте Active Directory использовать невидимый и неявный внутриорганизационный соединитель отправки для ретрансляции сообщений на пограничный транспортный сервер.

Соединитель входящей почты для приема сообщений из Интернета

При выполнении командлета New-EdgeSubscription на сервере почтовых ящиков параметру CreateInboundSendConnector присваивается значение $true. При этом создается соединитель отправки, необходимый для отправки сообщений с пограничного транспортного сервера в организацию Exchange. В таблице ниже показана конфигурация этого соединителя отправки.

Конфигурация автоматически создаваемого соединителя отправки для входящих подключений

Свойство Значение
Название EdgeSync — входящий трафик к <имени сайта>
AddressSpaces SMTP:--;1
Значение -- в адресном пространстве представляет все полномочные и внутренние обслуживаемые домены ретранслятора для организации Exchange. Все сообщения, которые получает пограничный транспортный сервер для этих обслуживаемых доменов и обслуживаемых доменов, маршрутизируются на данный соединитель отправки и ретранслируются на промежуточные узлы.
SourceTransportServers <Имя подписки Edge>
Enabled True
DNSRoutingEnabled False
SmartHosts --
Значение -- в списке интеллектуальных узлов представляет все серверы почтовых ящиков на сайте Active Directory с подпиской. Все серверы почтовых ящиков, добавленные на сайт Active Directory с подпиской после создания пограничной подписки, не участвуют в процессе синхронизации EdgeSync. Тем не менее они автоматически добавляются в список промежуточных узлов для автоматически создаваемого соединителя отправки для входящих подключений. Если на подписанном сайте Active Directory расположено несколько серверов почтовых ящиков, входящие подключения будут распределяться между промежуточными сайтами для балансировки нагрузки.

На момент создания адресное пространство и список промежуточных узлов автоматически создаваемого соединителя отправки для входящих подключений изменить нельзя. Однако при создании пограничной подписки для параметра CreateInboundSendConnector можно задать значение $false . Это позволяет вручную настроить соединитель отправки с пограничного транспортного сервера в организацию Exchange.

Соединитель исходящей почты для отправки сообщений в Интернет

При выполнении командлета New-EdgeSubscription на сервере почтовых ящиков параметру CreateInternetSendConnector присваивается значение $true. При этом создается соединитель отправки, необходимый для отправки сообщений из организации Exchange в Интернет. В следующей таблице показана конфигурация по умолчанию для этого соединителя отправки.

Конфигурация автоматически создаваемого соединителя отправки для Интернета

Свойство Значение
Название EdgeSync — <имя> сайта в Интернет
AddressSpaces SMTP:*;100
SourceTransportServers <Имя подписки Edge>
Имя пограничной подписки совпадает с именем подписанного пограничного транспортного сервера.
Enabled True
DNSRoutingEnabled True
DomainSecureEnabled True

Если на один сайт Active Directory подписано несколько пограничных транспортных серверов, дополнительные соединители отправки для Интернета не создаются. Вместо этого все пограничные подписки добавляются к одному соединителю отправки в качестве исходного сервера. Это обеспечивает балансировку нагрузки исходящих подключений к Интернету на подписанных пограничных транспортных серверах.

Соединитель отправки для исходящих подключений настроен на отправку сообщений электронной почты из организации Exchange на все удаленные SMTP-домены и использует маршрутизацию DNS для разрешения имен доменов в записи ресурсов MX.

Сведения о службе EdgeSync

После подписки на пограничный транспортный сервер на сайт Active Directory EdgeSync реплицирует данные конфигурации и получателей на пограничные транспортные серверы. Эта служба реплицирует из Active Directory в AD LDS следующие данные:

  • конфигурация соединителя отправки;

  • обслуживаемые домены;

  • удаленные домены;

  • списки надежных отправителей;

  • списки заблокированных отправителей;

  • получатели;

  • список доменов отправки и получения, используемых для безопасного обмена данными с партнерами в домене;

  • список SMTP-серверов, которые являются внутренними в конфигурации транспорта организации;

  • Список серверов почтовых ящиков на подписанном сайте Active Directory

EdgeSync использует взаимно прошедший проверку подлинности и авторизованный защищенный канал LDAP для передачи данных с сервера почтовых ящиков на пограничный транспортный сервер.

Для репликации данных в AD LDS сервер почтовых ящиков выполняет привязку к серверу глобального каталога для получения обновленных данных. EdgeSync инициирует безопасный сеанс LDAP между сервером почтовых ящиков и подписанным пограничным транспортным сервером через нестандартный TCP-порт 50636.

При первой подписке пограничного транспортного сервера на сайт Active Directory время первоначальной репликации, при которой происходит заполнение служб AD LDS данными из Active Directory, зависит от количества данных в службе каталогов, и может составлять 5 минут и больше. После начальной репликации EdgeSync синхронизирует только новые и измененные объекты и удаляет все удаленные объекты.

Расписание синхронизации

Расписания синхронизации различных типов данных различаются. Расписание синхронизации EdgeSync задает максимальный интервал между синхронизациями EdgeSync. Синхронизация EdgeSync выполняется через следующие интервалы:

  • Данные конфигурации: 3 минуты.

  • Данные получателей: 5 минут.

  • Данные топологии: 5 минут.

Эти интервалы можно изменить с помощью командлета Set-EdgeSyncServiceConfig. Использование командлета Start-EdgeSynchronization на сервере почтовых ящиков для принудительной синхронизации подписки Edge переопределяет таймер для следующей запланированной синхронизации EdgeSync и немедленно запускает EdgeSync.

Выбор серверов почтовых ящиков

Каждый подписанный пограничный транспортный сервер связан с определенным сайтом Active Directory. Если на сайте имеется несколько серверов почтовых ящиков, то любой из них может реплицировать данные на подписанные пограничные транспортные серверы. Чтобы избежать состязания между серверами почтовых ящиков при синхронизации, выбор основного сервера почтовых ящиков происходит, как описано ниже.

  1. Первоначальную репликацию выполняет сервер почтовых ящиков на сайте Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой сервер почтовых ящиков на сайте может выполнить первоначальную репликацию.

  2. Сервер почтовых ящиков, выполняющий начальную репликацию, устанавливает параметр аренды EdgeSync и устанавливает блокировку для подписки Edge. Благодаря аренде этот сервер почтовых ящиков считается основным сервером, предоставляющим службы синхронизации для данного пограничного транспортного сервера. Блокировка не позволяет EdgeSync, работающему на другом сервере почтовых ящиков, перебирать параметр аренды.

  3. Параметр аренды EdgeSync длится один час. В течение этого часа никакая другая служба EdgeSync не может взять на себя этот параметр, если не будет запущена ручная синхронизация до конца часа. Если предпочтительный сервер почтовых ящиков недоступен для предоставления службы EdgeSync во время запуска синхронизации вручную, после пятиминутного ожидания блокировка освобождается, и другая служба EdgeSync может взять на себя возможность аренды и выполнить синхронизацию.

  4. Если синхронизация не запущена вручную, синхронизация выполняется на основе расписания синхронизации EdgeSync. Если предпочтительный сервер недоступен при выполнении запланированной синхронизации, после пятиминутного ожидания блокировка освобождается, и другая служба EdgeSync может взять на себя возможность аренды и выполнить синхронизацию.

Этот метод блокировки и аренды предотвращает одновременное отправку данных на один и тот же пограничный транспортный сервер несколькими экземплярами EdgeSync.

Примечания.

  • В организациях Exchange 2016, если у вас также есть транспортные серверы концентратора Exchange 2010 на сайте Active Directory с подпиской, серверы почтовых ящиков Exchange 2016 всегда будут иметь приоритет и выполнять репликацию.

  • При подписке пограничного транспортного сервера на сайт Active Directory все серверы почтовых ящиков, установленные на этом сайте Active Directory в это время, могут участвовать в процессе синхронизации EdgeSync. Если один из этих серверов удален, служба EdgeSync, запущенная на остальных серверах почтовых ящиков, продолжит процесс синхронизации данных. Однако при последующей установке новых серверов почтовых ящиков на сайте Active Directory они не будут автоматически участвовать в синхронизации EdgeSync. Кроме того, они не будут автоматически добавлены во внутреннюю группу доставки пограничного сервера. Если вы хотите включить эти новые серверы почтовых ящиков для участия в синхронизации EdgeSync и автоматическом потоке обработки почты edge to Mailbox, вам потребуется снова подписаться на пограничный транспортный сервер.

В следующей таблице перечислены свойства EdgeSync, связанные с блокировкой и арендой. Для настройки этих свойств можно использовать командлет Set-EdgeSyncServiceConfig.

Свойства аренды EdgeSync

Параметр Значение по умолчанию Описание
LockDuration 00:05:00 (5 минут) Этот параметр определяет, как долго конкретная служба EdgeSync получит блокировку. Если служба EdgeSync на сервере почтовых ящиков, удерживающая эту блокировку, не отвечает, через пять минут служба EdgeSync на другом сервере почтовых ящиков возьмет на себя аренду. Принудительная немедленная синхронизация EdgeSync не переопределяет этот параметр.
OptionDuration 01:00:00 (1 час) Этот параметр определяет, как долго служба EdgeSync может объявить вариант аренды на пограничном транспортном сервере. Если служба EdgeSync, содержащая аренду, недоступна и не перезапускается в течение этого периода, ни одна другая служба Exchange EdgeSync не возьмет на себя возможность аренды, если не будет принудительной синхронизации EdgeSync.
LockRenewalDuration 00:01:00 (1 минута) Этот параметр определяет частоту обновления поля блокировки, когда служба EdgeSync получает блокировку пограничного транспортного сервера.