Поделиться через

Пограничные подписки

  • Статья

Область применения: Exchange Server 2013 г.

Пограничные транспортные серверы минимизируйте область атаки, обрабатывая весь поток обработки почты с выходом в Интернет и предоставляя службы ретранслятора SMTP и интеллектуальных узлов для организации Exchange. Дополнительные уровни защиты и безопасности сообщений обеспечиваются рядом агентов, работающих на пограничном транспортном сервере в сети периметра организации. Эти агенты поддерживают функции, обеспечивающие защиту от вирусов и нежелательной почты, а также применяют правила транспорта для управления потоком сообщений.

Пограничные подписки используются для заполнения экземпляра служб Active Directory облегченного доступа к каталогам (AD LDS) на пограничном транспортном сервере данными службы Active Directory. Хотя пограничную подписку создавать необязательно, подписка пограничного транспортного сервера на организацию Exchange упрощает управление и расширяет возможности защиты от нежелательной почты. Пограничную подписку необходимо создавать, если планируется использовать поиск получателей или объединение списков надежных отправителей либо защищать связь по протоколу SMTP с доменами партнеров с помощью протокола Mutual TLS (MTLS).

Процесс пограничной подписки

Пограничный транспортный сервер не имеет прямого доступа к Active Directory. Сведения о конфигурации и получателях, которые пограничный транспортный сервер использует для обработки сообщений, хранятся локально в службах AD LDS. При создании пограничной подписки обеспечивается надежная автоматическая репликация сведений из Active Directory в AD LDS. Процесс пограничной подписки подготавливает учетные данные, используемые для установления безопасного подключения LDAP между серверами почтовых ящиков Exchange 2013 и подписанным пограничным транспортным сервером. Служба Microsoft Exchange EdgeSync (EdgeSync), запущенная на серверах почтовых ящиков, выполняет периодическую односторонней синхронизацию для передачи актуальных данных в AD LDS. Тем самым уменьшается количество задач администрирования, выполняемых в сети периметра, за счет возможности настройки сервера почтовых ящиков с последующей синхронизацией этих данных на пограничном транспортном сервере.

Вы подписываете пограничный транспортный сервер на сайт Active Directory, содержащий серверы почтовых ящиков, которые отвечают за передачу сообщений на пограничные транспортные серверы и их получение оттуда. В процессе пограничной подписки создается членство на сайте Active Directory для пограничного транспортного сервера. Это членство позволяет серверам почтовых ящиков в организации Exchange ретранслировать сообщения на пограничный транспортный сервер для доставки в Интернет без настройки явных соединителей отправки.

На один сайт Active Directory могут быть подписаны несколько пограничных транспортных серверов. При этом пограничный транспортный сервер нельзя подписать на несколько сайтов Active Directory. Если развернуто несколько пограничных транспортных серверов, каждый из них должен быть подписан на отдельный сайт Active Directory. Для каждого пограничного транспортного сервера требуется индивидуальная пограничная подписка.

Чтобы развернуть пограничный транспортный сервер и подписать его на сайт Active Directory, сделайте следующее:

  1. Установите роль пограничного транспортного сервера.
  2. Убедитесь в том, что серверы почтовых ящиков и пограничный транспортный сервер могут находить друг друга с помощью разрешения имен DNS.
  3. На сервере почтовых ящиков настройте объекты и параметры для репликации на пограничный транспортный сервер.
  4. На пограничном транспортном сервере создайте и экспортируйте файл пограничной подписки.
  5. Скопируйте файл пограничной подписки на сервер почтовых ящиков или в общий файловый ресурс, доступный на сайте Active Directory, где расположены серверы почтовых ящиков.
  6. Импортируйте файл подписки Edge на сайт Active Directory.

Что происходит при создании новой подписки Edge

При создании файла подписки Edge (с помощью командлета New-EdgeSubscription на пограничном транспортном сервере) выполняются следующие действия:

  • Создается учетная запись AD LDS, которая называется учетной записью репликации начальной загрузки EdgeSync (ESBRA). Эти учетные данные ESBRA используются для проверки подлинности первого подключения EdgeSync к пограничному транспортному серверу. Срок действия учетной записи истекает через 24 часа после создания. Таким образом, необходимо выполнить шестишаговый процесс подписки, описанный в предыдущем разделе, в течение 24 часов. Если срок действия учетной записи ESBRA истечет до завершения процесса пограничной подписки, потребуется повторно выполнить командлет New-EdgeSubscription, чтобы создать новый файл пограничной подписки.

  • Учетные данные ESBRA извлекаются из службы AD LDS и записываются в файл пограничной подписки. В файл пограничной подписки также экспортируется открытый ключ самозаверяющего сертификата пограничного транспортного сервера. Учетные данные, записываемые в файл пограничной подписки, зависят от сервера, с которого экспортировался файл.

  • Все ранее созданные объекты конфигурации на пограничном транспортном сервере, которые будет реплицироваться в AD LDS из службы каталогов Active Directory, удаляются из AD LDS, а командлеты Командная консоль Exchange, используемые для настройки этих объектов, отключаются. Однако для просмотра этих объектов по-прежнему можно использовать командлеты Get-* . При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере отключаются приведенные ниже командлеты.

    • Set-SendConnector
    • New-SendConnector
    • Remove-SendConnector
    • New-AcceptedDomain
    • Set-AcceptedDomain
    • Remove-AcceptedDomain
    • New-MessageClassification
    • Set-MessageClassification
    • Remove-MessageClassification
    • New-RemoteDomain
    • Set-RemoteDomain
    • Remove-RemoteDomain

При импорте файла пограничной подписки на сервер почтовых ящиков с помощью командлета New-EdgeSubscription на сервере почтовых ящиков:

  • Создается граничная подписка, которая присоединяет пограничный транспортный сервер к организации Exchange. EdgeSync будет распространять данные конфигурации на этот пограничный транспортный сервер, создавая объект конфигурации Edge в Active Directory.

  • Каждый сервер почтовых ящиков на сайте Active Directory получает уведомление от Active Directory о том, что подписан новый пограничный транспортный сервер. Сервер почтовых ящиков получает ESBRA из файла пограничной подписки. После этого сервер почтовых ящиков шифрует ESBRA с использованием открытого ключа самозаверяющего сертификата пограничного транспортного сервера. Зашифрованные учетные данные затем записываются в объект пограничной конфигурации.

  • Каждый сервер почтовых ящиков также шифрует ESBRA с помощью собственного открытого ключа и сохраняет учетные данные в своем объекте конфигурации.

  • Учетные записи репликации EdgeSync (ESRA) создаются в Active Directory для каждой пары пограничных Transport-Mailbox серверов. Каждый сервер почтовых ящиков хранит свои учетные данные ESRA в качестве атрибута объекта конфигурации сервера почтовых ящиков.

  • Соединители отправки создаются автоматически для ретрансляции сообщений, исходящих с пограничного транспортного сервера в Интернет, и для входящих сообщений с пограничного транспортного сервера в организацию Exchange.

  • Служба Microsoft Exchange EdgeSync, которая работает на серверах почтовых ящиков, использует учетные данные ESBRA для установки безопасного подключения LDAP между сервером почтовых ящиков и пограничным транспортным сервером и выполняет начальную репликацию данных. В службу AD LDS реплицируются следующие данные:

    • данные топологии;
    • данные конфигурации;
    • данные получателей;
    • учетные данные ESRA.

  • Служба учетных данных Microsoft Exchange, которая выполняется на пограничном транспортном сервере, устанавливает учетные данные ESRA. Эти учетные данные используются для проверки подлинности и защиты последующих соединений синхронизации.

  • Установлено расписание синхронизации EdgeSync.

Служба Microsoft Exchange EdgeSync, запущенная на серверах почтовых ящиков на сайте Active Directory с подпиской, выполняет односторонняя репликацию данных из Active Directory в AD LDS по регулярному расписанию. Вы также можете использовать командлет Start-EdgeSynchronization , чтобы переопределить расписание синхронизации EdgeSync и немедленно начать синхронизацию.

Дополнительные сведения об учетных записях ESRA и их использовании для защиты процесса синхронизации EdgeSync см. в разделе Учетные данные подписки Edge.

В этом примере выполняется подписка пограничного транспортного сервера на указанный сайт и автоматически создается соединитель отправки в Интернет и соединитель отправки с пограничного транспортного сервера на серверы почтовых ящиков.

New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\EdgeSubscriptionInfo.xml')) -CreateInternetSendConnector $true -CreateInboundSendConnector $true -Site "Default-First-Site-Name"

Примечание.

Значения по умолчанию для параметров CreateInternetSendConnector и CreateInboundSendConnector являются .$true Они показаны здесь только для демонстрации.

В этом примере показан экспорт файла пограничной подписки.

New-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml"

Примечание.

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере появляется запрос на подтверждение отключения команд и перезаписи конфигурации на пограничном транспортном сервере. Чтобы данный запрос не требовал подтверждения, необходимо использовать параметр Force. Этот параметр полезен при использовании командлета New-EdgeSubscription в сценарии. Параметр Force также используется для перезаписи существующего файла, имя которого совпадает с именем файла, создаваемого в процессе повторной подписки пограничного транспортного сервера.

Подробные сведения о синтаксисе и параметрах см. в разделе New-EdgeSubscription.

Отправка соединителей, созданных в процессе подписки Edge

По умолчанию при выполнении рекомендуемого процесса пограничной подписки путем импорта файла подписки Edge на сервер почтовых ящиков автоматически создаются соединители отправки, необходимые для включения сквозного потока почты между Интернетом и организацией Exchange, а все существующие соединители отправки на пограничном транспортном сервере удаляются. В некоторых сценариях можно отключить автоматическое создание соединителей отправки и настроить отправку соединителей вручную. Дополнительные сведения о настройке соединителей отправки вручную см. в разделах Ручная настройка потока обработки почты пограничного транспортного сервера и Настройка потока почты Через Интернет через пограничный транспортный сервер без использования EdgeSync.

Процесс подписки Edge подготавливает следующие соединители отправки:

  • Соединитель отправки, настроенный для ретрансляции сообщений электронной почты из организации Exchange в Интернет.
  • Соединитель отправки, настроенный для ретрансляции сообщений электронной почты с пограничного транспортного сервера в организацию Exchange.

Кроме того, подписка на пограничный транспортный сервер организации Exchange позволяет серверам почтовых ящиков на сайте Active Directory, на который подписан подписка, использовать соединитель Отправки внутри организации для ретрансляции сообщений на этот пограничный транспортный сервер.

Автоматическое создание соединителя отправки входящего трафика для получения сообщений из Интернета

По умолчанию при выполнении командлета New-EdgeSubscription на сервере почтовых ящиков параметру соединителя для входящего сообщения CreateInboundSendConnector задается значение $true. При этом создается соединитель Отправки, необходимый для отправки сообщений в организацию Exchange. В таблице ниже показана конфигурация этого соединителя отправки.

Свойство Значение
Имя EdgeSync — входящий трафик к <имени> сайта
AddressSpaces SMTP:--;1

Значение -- в адресном пространстве представляет все полномочные и внутренние обслуживаемые домены ретранслятора для организации Exchange. Все сообщения, которые получает пограничный транспортный сервер для этих обслуживаемых доменов и обслуживаемых доменов, маршрутизируются на данный соединитель отправки и ретранслируются на промежуточные узлы.
SourceTransportServers <Имя подписки Edge>
Enabled True
DNSRoutingEnabled False
SmartHosts --

Значение -- в списке интеллектуальных узлов представляет все серверы почтовых ящиков на сайте Active Directory с подпиской. Все серверы почтовых ящиков, добавленные на сайт Active Directory с подпиской после создания пограничной подписки, не участвуют в процессе синхронизации EdgeSync. Тем не менее они автоматически добавляются в список промежуточных узлов для автоматически создаваемого соединителя отправки для входящих подключений. Если на подписанном сайте Active Directory расположено несколько серверов почтовых ящиков, входящие подключения будут распределяться между промежуточными сайтами для балансировки нагрузки.

На момент создания адресное пространство и список промежуточных узлов автоматически создаваемого соединителя отправки для входящих подключений изменить нельзя. Однако при создании пограничной подписки для параметра CreateInboundSendConnector можно задать значение $false . Это позволяет вручную настроить соединитель отправки с пограничного транспортного сервера в организацию Exchange.

Автоматическое создание соединителя исходящей отправки для отправки сообщений в Интернет

По умолчанию при выполнении командлета New-EdgeSubscription на сервере почтовых ящиков параметру Соединитель исходящей отправки CreateInternetSendConnector присваивается значение $true. При этом создается соединитель Отправки, необходимый для отправки сообщений в Интернет. В следующей таблице показана конфигурация по умолчанию для этого соединителя отправки.

Свойство Значение
Имя EdgeSync — <имя> сайта в Интернет
AddressSpaces SMTP:*;100
SourceTransportServers <Имя подписки Edge>

Примечание. Имя пограничной подписки совпадает с именем подписанного пограничного транспортного сервера.
Enabled True
DNSRoutingEnabled True
DomainSecureEnabled True

Если на один сайт Active Directory подписано несколько пограничных транспортных серверов, дополнительные соединители отправки для Интернета не создаются. Вместо этого все пограничные подписки добавляются к одному соединителю отправки в качестве исходного сервера. Это обеспечивает балансировку нагрузки исходящих подключений к Интернету на подписанных пограничных транспортных серверах.

Соединитель отправки для исходящих подключений настроен на отправку сообщений электронной почты из организации Exchange на все удаленные SMTP-домены и использует маршрутизацию DNS для разрешения имен доменов в записи ресурсов MX. Дополнительные сведения о настройке конфигурации соединителя вручную см. в разделе Ручная настройка потока обработки почты пограничного транспортного сервера.

Служба Microsoft Exchange EdgeSync

После подписки на пограничный транспортный сервер на сайт Active Directory EdgeSync реплицирует данные конфигурации и получателей на пограничные транспортные серверы. Эта служба реплицирует из Active Directory в AD LDS следующие данные:

  • конфигурация соединителя отправки;
  • обслуживаемые домены;
  • удаленные домены;
  • Классификации сообщений
  • списки надежных отправителей;
  • списки заблокированных отправителей;
  • получатели;
  • список доменов отправки и получения, используемых для безопасного обмена данными с партнерами в домене;
  • список SMTP-серверов, которые являются внутренними в конфигурации транспорта организации;
  • Список серверов почтовых ящиков на подписанном сайте Active Directory

Дополнительные сведения о данных, реплицированных в AD LDS, и их использовании см. в разделе Данные репликации EdgeSync.

EdgeSync использует взаимно прошедший проверку подлинности и авторизованный защищенный канал LDAP для передачи данных с сервера почтовых ящиков на пограничный транспортный сервер.

Для репликации данных в AD LDS сервер почтовых ящиков выполняет привязку к серверу глобального каталога для получения обновленных данных. EdgeSync инициирует безопасный сеанс LDAP между сервером почтовых ящиков и подписанным пограничным транспортным сервером через нестандартный TCP-порт 50636.

При первой подписке пограничного транспортного сервера на сайт Active Directory время первоначальной репликации, при которой происходит заполнение служб AD LDS данными из Active Directory, зависит от количества данных в службе каталогов, и может составлять 5 минут и больше. После начальной репликации EdgeSync синхронизирует только новые и измененные объекты и удаляет все удаленные объекты.

Расписание синхронизации

Расписания синхронизации различных типов данных различаются. Расписание синхронизации EdgeSync задает максимальный интервал между синхронизациями EdgeSync. Синхронизация EdgeSync выполняется через следующие интервалы:

  • Данные конфигурации: 3 минуты.
  • Данные получателей: 5 минут.
  • Данные топологии: 5 минут.

Эти интервалы можно изменить с помощью командлета Set-EdgeSyncServiceConfig. Использование командлета Start-EdgeSynchronization на сервере почтовых ящиков для принудительной синхронизации подписки Edge переопределяет таймер для следующей запланированной синхронизации EdgeSync и немедленно запускает EdgeSync.

Выбор серверов почтовых ящиков

Каждый подписанный пограничный транспортный сервер связан с определенным сайтом Active Directory. Если на сайте имеется несколько серверов почтовых ящиков, то любой из них может реплицировать данные на подписанные пограничные транспортные серверы. Чтобы избежать состязания между серверами почтовых ящиков при синхронизации, выбор основного сервера почтовых ящиков происходит, как описано ниже.

  1. Первоначальную репликацию выполняет сервер почтовых ящиков на сайте Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой сервер почтовых ящиков на сайте может выполнить первоначальную репликацию.

  2. Сервер почтовых ящиков, выполняющий начальную репликацию, устанавливает параметр аренды EdgeSync и устанавливает блокировку для подписки Edge. Благодаря аренде этот сервер почтовых ящиков считается основным сервером, предоставляющим службы синхронизации для данного пограничного транспортного сервера. Блокировка не позволяет EdgeSync, работающему на другом сервере почтовых ящиков, перебирать параметр аренды.

  3. Параметр аренды EdgeSync длится один час. В течение этого часа никакая другая служба EdgeSync не может взять на себя этот параметр, если не будет запущена ручная синхронизация до конца часа. Если предпочтительный сервер почтовых ящиков недоступен для предоставления службы EdgeSync во время запуска синхронизации вручную, после пятиминутного ожидания блокировка освобождается, и другая служба EdgeSync может взять на себя возможность аренды и выполнить синхронизацию.

  4. Если синхронизация не запущена вручную, синхронизация выполняется на основе расписания синхронизации EdgeSync. Если предпочтительный сервер недоступен при выполнении запланированной синхронизации, после пятиминутного ожидания блокировка освобождается, и другая служба EdgeSync может взять на себя возможность аренды и выполнить синхронизацию.

Этот метод блокировки и аренды предотвращает одновременное отправку данных на один и тот же пограничный транспортный сервер несколькими экземплярами EdgeSync.

Примечание.

Если у вас также есть серверы почтовых ящиков Exchange 2010 или Exchange 2007 на сайте Active Directory с подпиской, серверы почтовых ящиков Exchange 2013 всегда будут иметь приоритет и выполнять репликацию.

При подписке пограничного транспортного сервера на сайт Active Directory все серверы почтовых ящиков, установленные на этом сайте Active Directory в это время, могут участвовать в процессе синхронизации EdgeSync. Если один из этих серверов удален, служба EdgeSync, запущенная на остальных серверах почтовых ящиков, продолжит процесс синхронизации данных. Однако если вы установите новые серверы почтовых ящиков на сайте Active Directory, они не будут автоматически участвовать в синхронизации EdgeSync. Если вы хотите включить эти новые серверы почтовых ящиков для участия в синхронизации EdgeSync, необходимо снова подписаться на пограничный транспортный сервер.

В следующей таблице перечислены свойства EdgeSync, связанные с блокировкой и арендой. Для настройки этих свойств можно использовать командлет Set-EdgeSyncServiceConfig.

Свойства аренды EdgeSync

Параметр Значение по умолчанию Описание
LockDuration 00:05:00 (5 минут) Этот параметр определяет, как долго конкретная служба EdgeSync получит блокировку. Если служба EdgeSync на сервере почтовых ящиков, удерживающая эту блокировку, не отвечает, через пять минут служба EdgeSync на другом сервере почтовых ящиков возьмет на себя аренду. Принудительная немедленная синхронизация EdgeSync не переопределяет этот параметр.
OptionDuration 01:00:00 (1 час) Этот параметр определяет, как долго служба EdgeSync может объявить вариант аренды на пограничном транспортном сервере. Если служба EdgeSync, содержащая аренду, недоступна и не перезапускается в течение этого периода, ни одна другая служба Exchange EdgeSync не возьмет на себя возможность аренды, если не будет принудительной синхронизации EdgeSync.
LockRenewalDuration 00:01:00 (1 минута) Этот параметр определяет частоту обновления поля блокировки, когда служба EdgeSync получает блокировку пограничного транспортного сервера.

Подготовка к запуску службы EdgeSync

Прежде чем вы сможете подписать пограничный транспортный сервер на организацию Exchange, необходимо убедиться, что инфраструктура и серверы почтовых ящиков подготовлены для службы EdgeSync. Чтобы подготовиться к синхронизации EdgeSync, необходимо:

  • Убедитесь, что брандмауэр сети периметра, отделяющий пограничный транспортный сервер от организации Exchange, настроен для обеспечения связи через правильные порты. Пограничный транспортный сервер использует нестандартные порты LDAP. Если вашей среде требуются определенные порты, вы можете изменить порты, используемые AD LDS, с помощью скрипта ConfigureAdam.ps1, предоставленного Exchange. Дополнительные сведения см. в разделе Изменение конфигурации AD LDS. Измените порты, прежде чем создавать пограничную подписку. Если вы измените порты после создания пограничной подписки, необходимо удалить подписку Edge, а затем создать новую подписку Edge. По умолчанию для доступа к AD LDS используются следующие порты LDAP:

    • LDAP: порт 50389/TCP используется локально для привязки к экземпляру AD LDS. Этот порт не обязательно должен быть открыт в брандмауэре сети периметра.

    • Secure LDAP: порт 50636/TCP используется для синхронизации каталогов с серверов почтовых ящиков в AD LDS. Этот порт должен быть открыт в брандмауэре для успешной синхронизации EdgeSync.

  • Убедитесь, что разрешение имен узла DNS успешно выполнено с пограничного транспортного сервера на серверы почтовых ящиков и с серверов почтовых ящиков на пограничный транспортный сервер.

  • Лицензируйте пограничный транспортный сервер. Сведения о лицензировании для пограничного транспортного сервера записываются при создании пограничной подписки. Подписанные пограничные транспортные серверы должны быть подписаны на организацию Exchange после применения лицензионного ключа на пограничном транспортном сервере. Если лицензионный ключ применяется к пограничному транспортному серверу после выполнения процесса пограничной подписки, сведения о лицензировании не будут обновляться в организации Exchange, и вам потребуется повторно подписаться на пограничный транспортный сервер.

  • Настройте следующие параметры транспорта для распространения на пограничный транспортный сервер:

    • Внутренние SMTP-серверы. Используйте параметр InternalSMTPServers в командлете Set-TransportConfig , чтобы указать список IP-адресов или диапазонов внутренних SMTP-серверов, которые будут игнорироваться агентами идентификатора отправителя и фильтрации подключений на пограничном транспортном сервере.

    • Обслуживаемые домены. Настройте все полномочные домены, внутренние домены ретранслятора и домены внешнего ретранслятора.

    • Удаленные домены. Настройка параметров удаленного домена.

Управление пограничными подписками

Пошаговые инструкции по задачам управления подписками Edge см. в статье Управление пограничными подписками.