Общие сведения о пограничных подписках

Статья
09/30/2014

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2009-09-18

В этом разделе приведены подробные сведения о пограничных подписках и процессе синхронизации EdgeSync. Пограничные подписки используются для заполнения экземпляра службы каталогов ADAM для роли пограничного транспортного сервера Microsoft Exchange Server 2007 данными службы каталогов Active Directory.

Примечание.
Сервер Microsoft Exchange Server 2007 с пакетом обновления 1 (SP1) поддерживает развертывание ролей сервера на компьютере с операционной системой Windows Server 2008. При установке роли пограничного транспортного сервера на компьютер с операционной системой Windows Server 2008, ADAM заменяется службами Active Directory облегченного доступа к каталогам. В операционной системе Windows Server 2008 некоторые возможности были усовершенствованы или переименованы. Дополнительные сведения о различиях между Windows Server 2003 и Windows Server 2008 см. в разделе Изменения в терминологии.

Сервер Microsoft Exchange Server 2007 с пакетом обновления 1 (SP1) поддерживает развертывание ролей сервера на компьютере с операционной системой Windows Server 2008. При установке роли пограничного транспортного сервера на компьютер с операционной системой Windows Server 2008, ADAM заменяется службами Active Directory облегченного доступа к каталогам. В операционной системе Windows Server 2008 некоторые возможности были усовершенствованы или переименованы. Дополнительные сведения о различиях между Windows Server 2003 и Windows Server 2008 см. в разделе Изменения в терминологии.

В Exchange 2007 роль пограничного транспортного сервера развертывается в демилитаризованной зоне организации. Пограничный транспортный сервер, предназначенный для уменьшения контактной зоны, обрабатывает весь поток почты, получаемой из Интернета и отправляемой в Интернет, обеспечивая передачу по протоколу SMTP и работу служб промежуточных узлов организации Exchange. Дополнительные уровни защиты и безопасности сообщений обеспечиваются рядом агентов, которые работают на пограничном транспортном сервере и выполняют операции с сообщениями при их обработке компонентами транспорта сообщений. Эти агенты поддерживают средства, которые обеспечивают защиту от вирусов и нежелательной почты и применяют правила транспорта для управления потоком сообщений.

Хотя пограничную подписку создавать необязательно, подписка пограничного транспортного сервера на организацию Exchange упрощает управление для администратора и расширяет возможности защиты от нежелательной почты. Пограничную подписку необходимо создавать, если планируется использовать возможности защиты от нежелательной почты, поиск получателей или объединение списков надежных отправителей или защищать связь по протоколу SMTP с доменами партнеров с помощью протокола Mutual TLS.

Процесс пограничной подписки

Компьютер, на котором установлена роль пограничного транспортного сервера, не имеет доступа к Active Directory. Все сведения о конфигурации и получателях, которые пограничный транспортный сервер использует для обработки сообщений, хранятся в ADAM. Тем не менее значительное количество этих сведений также хранятся в Active Directory.

При создании пограничной подписки обеспечивается надежная автоматическая репликация сведений из Active Directory в ADAM. Процесс пограничной подписки подготавливает учетные данные, которые используются для установки безопасного подключения по протоколу LDAP между транспортными серверами-концентраторами и подписанным пограничным транспортным сервером. После этого служба Microsoft Exchange EdgeSync, запущенная на транспортных серверах-концентраторах, периодически выполняет одностороннюю синхронизацию для передачи данных в ADAM и их обновления. Эта процедура уменьшает количество задач администрирования, которые требуется выполнять в демилитаризованной зоне, за счет возможности выполнения необходимой настройки на транспортном сервере-концентраторе и последующей записи этих данных на пограничный транспортный сервер.

Пограничный транспортный сервер подписывается на сайт Active Directory. После того как пограничный транспортный сервер подписывается на сайт Active Directory, он может получать обновления ADAM от Active Directory, а между пограничным транспортным сервером и транспортными серверами-концентраторами, развернутыми на сайте, устанавливается отношение синхронизации. Процесс пограничной подписки также создает членство в сайте Active Directory для пограничного транспортного сервера. Это членство позволяет транспортным серверам-концентраторам в организации Exchange передавать сообщения на пограничный транспортный сервер для доставки в Интернет без настройки явных соединителей отправки.

На один сайт Active Directory могут быть подписаны несколько пограничных транспортных серверов. Тем не менее пограничный транспортный сервер нельзя подписать на несколько сайтов Active Directory. Если развернуто несколько пограничных транспортных серверов, каждый из них должен быть подписан на отдельный сайт Active Directory. Для каждого пограничного транспортного сервера требуется индивидуальная пограничная подписка. Подписанный пограничный транспортный сервер может поддерживать только одну организацию Exchange.

Служба Microsoft Exchange EdgeSync реплицирует из Active Directory в ADAM следующие данные:

конфигурация соединителя отправки;
обслуживаемые домены;
удаленные домены;
классификации сообщений;
списки надежных отправителей;
получатели;
списки безопасности домена для отправки и приема TLS;
список внутренних SMTP-серверов;
список транспортных серверов-концентраторов на подписанном сайте Active Directory.

Дополнительные сведения о данных, которые реплицируются в ADAM, и их использовании см. в разделе Данные репликации EdgeSync.

Чтобы развернуть пограничный транспортный сервер и подписать его на сайт Active Directory, выполните указанные ниже действия.

Примечание.
Перед тем как подписать пограничный транспортный сервер, необходимо ввести ключ продукта.

Установите роль пограничного транспортного сервера.
Убедитесь в том, что транспортные серверы-концентраторы и пограничный транспортный сервер могут находить друг друга с помощью разрешения имен DNS. Дополнительные сведения об этом действии см. в разделе Настройка параметров DNS для серверов Exchange 2007.
Настройте объекты и параметры, которые необходимо реплицировать на пограничный транспортный сервер. Дополнительные сведения об этом действии см. в разделе Подготовка к запуску службы Microsoft Exchange EdgeSync.
Чтобы экспортировать файл пограничной подписки, выполните в командной консоли Exchange пограничного транспортного сервера командлет New-EdgeSubscription.
Скопируйте файл пограничной подписки на транспортный сервер-концентратор.
Выполните командлет New-EdgeSubscription в командной консоли Exchange или используйте мастер создания пограничной подписки в консоли управления Exchange для импорта файла пограничной подписки.

На следующем рисунке показан процесс пограничной подписки.

Процесс пограничной подписки

Процесс импорта и экспорта файла пограничной подписки

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере происходят указанные ниже действия.

Создается учетная запись ADAM. Эта учетная запись называется учетной записью репликации начальной загрузки EdgeSync (ESBRA). Эти учетные данные используются для проверки подлинности первого подключения EdgeSync к пограничному транспортному серверу. Срок действия учетной записи истекает через 1400 минут (24 часа) после ее создания. Поэтому в течение этого времени необходимо завершить процесс подписки. Если срок действия EdgeSync истечет до завершения процесса пограничной подписки, необходимо снова выполнить командлет New-EdgeSubscription на пограничном транспортном сервере, чтобы создать новый файл пограничной подписки.
Учетные данные ESBRA получаются из ADAM и записываются в файл пограничной подписки. В файл пограничной подписки также экспортируется открытый ключ самозаверяющего сертификата пограничного транспортного сервера. Учетные данные, записываемые в файл пограничной подписки, зависят от сервера, с которого экспортируется файл.
Все ранее созданные объекты конфигурации в классе, который будет реплицироваться в ADAM из Active Directory, удаляются в ADAM, а задачи командной консоли Exchange, используемые для их настройки, отключаются. Тем не менее можно использовать задачи для просмотра этих объектов. При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере отключаются следующие задачи:
- Set-SendConnector
- New-SendConnector
- Remove-SendConnector
- New-AcceptedDomain
- Set-AcceptedDomain
- Remove-AcceptedDomain
- New-MessageClassification
- Set-MessageClassification
- Remove-MessageClassification
- New-RemoteDomain
- Set-RemoteDomain
- Remove-RemoteDomain

При импорте файла пограничной подписки на транспортном сервере-концентраторе с помощью командлета New-EdgeSubscription командной консоли Exchange или мастера создания пограничной подписки в Exchange происходят описанные ниже действия.

Создается пограничная подписка, при этом создается запись пограничного транспортного сервера, который был присоединен к организации Exchange и для которого служба Microsoft Exchange EdgeSync будет распространять данные конфигурации. Это действие создает объект пограничной конфигурации в Active Directory.
Каждый транспортный сервер-концентратор на сайте Active Directory получает уведомление от Active Directory о том, что подписан новый пограничный транспортный сервер. Транспортный сервер-концентратор получает ESBRA из файла пограничной подписки. После этого транспортный сервер-концентратор шифрует ESBRA с использованием открытого ключа самозаверяющего сертификата пограничного транспортного сервера. Зашифрованные учетные данные затем записываются в объект пограничной конфигурации.
Каждый транспортный сервер-концентратор также шифрует ESBRA с помощью собственного открытого ключа и сохраняет учетные данные в своем объекте конфигурации.
В Active Directory создаются учетные записи репликации EdgeSync для каждой пары из транспортного сервера-концентратора и пограничного транспортного сервера. Каждый транспортный сервер-концентратор хранит свои учетные данные ESRA в качестве атрибута объекта конфигурации транспортного сервера-концентратора.
Соединители отправки автоматически создаются для передачи исходящих сообщения с пограничного транспортного сервера в Интернет и входящих сообщений с пограничного транспортного сервера в организацию Exchange. Дополнительные сведения о подготовке соединителей отправки службой Microsoft Exchange EdgeSync см. в разделе EdgeSync и соединители отправки.
Служба Microsoft Exchange EdgeSync, которая выполняется на транспортных серверах-концентраторах, использует учетные данные ESBRA для установления безопасного подключения LDAP между транспортным сервером-концентратором и пограничным транспортным сервером, и выполняет первоначальную репликацию данных. Следующие данные реплицируются в ADAM:
- данные топологии;
- данные конфигурации;
- данные получателей;
- учетные данные ESRA.
Служба учетных данных Microsoft Exchange, которая выполняется на пограничном транспортном сервере, устанавливает учетные данные ESRA. Эти учетные данные используются для проверки подлинности и защиты последующих соединений синхронизации.
Устанавливается расписание синхронизации EdgeSync.

После этого служба Microsoft Exchange, запущенная на транспортных серверах-концентраторах сайта Active Directory, на который подписан пограничный транспортный сервер, будет регулярно выполнять одностороннюю репликацию данных из Active Directory в ADAM. Можно также использовать командлет Start-EdgeSynchronization в командной консоли Exchange, чтобы переопределить расписание синхронизации EdgeSync и начать синхронизацию немедленно.

Дополнительные сведения об учетных записях ESRA и их использовании для защиты процесса синхронизации EdgeSync см. в разделе Общие сведения об учетных данных пограничной подписки.

Служба Microsoft Exchange EdgeSync

Microsoft Exchange EdgeSync — это служба синхронизации данных, расположенная на транспортном сервере-концентраторе, которая периодически выполняет репликацию данных конфигурации из Active Directory на подписанный пограничный транспортный сервер.

Служба Microsoft Exchange EdgeSync отвечает за обновление ADAM сведениями из Active Directory. Данные из Active Directory реплицируются транспортными серверами-концентраторами внутри организации Exchange на пограничный транспортный сервер в демилитаризованной зоне. Для передачи этих данных служба Microsoft Exchange EdgeSync использует защищенный канал LDAP. От транспортного сервера-концентратора к пограничному транспортному серверу устанавливается авторизованный безопасный канал LDAP, для которого выполнена взаимная проверка подлинности.

Для репликации данных в ADAM транспортный сервер-концентратор выполняет привязку к серверу глобального каталога для получения обновленных данных. Служба Microsoft Exchange EdgeSync инициирует безопасный сеанс LDAP между транспортным сервером-концентратором и подписанным пограничным транспортным сервером через нестандартный TCP-порт 50636. Процесс синхронизации EdgeSync обеспечивает одностороннюю репликацию данных из Active Directory в ADAM. Измененные данные в ADAM никогда не синхронизируются с Active Directory.

На следующем рисунке показан процесс синхронизации EdgeSync.

Процесс синхронизации EdgeSync

Процесс синхронизации EdgeSync

При первоначальной репликации происходит заполнение ADAM данными из Active Directory. Время, которое занимает первоначальная репликация, зависит от количества данных в службе каталогов. При успешной синхронизации происходит обновление ADAM новыми и измененными объектами и удаление любых объектов, которые были удалены из Active Directory.

Изменения в службе каталогов, которые могут быть синхронизированы в ADAM для каждого интервала синхронизации, полностью зависят от данных, которые были реплицированы на сервер глобального каталога, к которому привязан транспортный сервер-концентратор. Транспортный сервер-концентратор выполняет привязку к серверу глобального каталога, который был обнаружен службой топологии Microsoft Exchange Active Directory при запуске сервера Exchange 2007. Привязка к серверу глобального каталога обеспечивает распространение данных получателей для каждого домена в лесу в ADAM.

Расписания синхронизации различных типов данных различаются. Расписание синхронизации EdgeSync определяет максимальный интервал синхронизации EdgeSync. Синхронизация EdgeSync выполняется через следующие интервалы:

данные конфигурации по расписанию синхронизируются через час;
данные получателей по расписанию синхронизируются через четыре часа;
данные топологии перезагружаются каждые пять минут.

Интервалы расписания синхронизации EdgeSync нельзя настроить.

При немедленной принудительной синхронизации пограничной подписки с помощью командлета Start-EdgeSynchronization в командной консоли Exchange на транспортном сервере-концентраторе выполняется переопределение таймера, который определяет время следующей запланированной синхронизации EdgeSync.

Дополнительные сведения о службе Microsoft Exchange EdgeSync и синхронизации EdgeSync см. в разделе Общие сведения о процессе синхронизации EdgeSync.

Повторная подписка пограничного транспортного сервера

Иногда необходимо выполнить повторную подписку пограничного транспортного сервера на сайт Active Directory. При повторном создании пограничной подписки создаются новые учетные данные и необходимо выполнить весь процесс пограничной подписки. Эта процедура используется в описанных ниже случаях.

На подписанном сайте Active Directory развернуты новые транспортные серверы-концентраторы и необходимо включить их в синхронизацию EdgeSync. Дополнительные сведения о таких случаях см. в пункте «Добавление и удаление транспортного сервера-концентратора» ниже в этом разделе.
Ключ лицензии для пограничного транспортного сервера был применен после создания пограничной подписки. Лицензионная информация для пограничного транспортного сервера записывается при создании пограничной подписки и ее отображении в консоли управления Exchange для организации Exchange. Чтобы пограничные транспортные серверы считались лицензированными, необходимо подписать их на организацию Exchange после применения ключа лицензии. Если лицензионный ключ применяется к пограничному транспортному серверу после выполнения пограничной подписки, сведения о лицензировании в организации Exchange не обновляются. Необходимо повторно выполнить подписку пограничного транспортного сервера.
После обновления сервера Exchange до более новой сборки следует убедиться, что сведения о версии Exchange были синхронизированы. В этом случае номер версии сборки пограничного транспортного сервера не реплицируется на серверы с другими ролями. Причина этого заключается в том, что процесс синхронизации EdgeSync обеспечивает одностороннюю репликацию данных из Active Directory в службы Active Directory облегченного доступа к каталогам. Дополнительные сведения см. в подразделе «Служба Microsoft Exchange EdgeSync» раздела Общие сведения о процессе синхронизации EdgeSync.
Учетные данные ESRA скомпрометированы.

Важно!
Чтобы повторно выполнить подписку пограничного транспортного сервера, экспортируйте на пограничный транспортный сервер новый файл пограничной подписки, а затем импортируйте XML-файл на транспортный сервер-концентратор. Повторную подписку пограничного транспортного сервера необходимо выполнить для того же сайта Active Directory, на который этот сервер был изначально подписан. Исходную пограничную подписку удалять не требуется. Повторная подписка перезапишет существующую пограничную подписку.

Чтобы повторно выполнить подписку пограничного транспортного сервера, экспортируйте на пограничный транспортный сервер новый файл пограничной подписки, а затем импортируйте XML-файл на транспортный сервер-концентратор. Повторную подписку пограничного транспортного сервера необходимо выполнить для того же сайта Active Directory, на который этот сервер был изначально подписан. Исходную пограничную подписку удалять не требуется. Повторная подписка перезапишет существующую пограничную подписку.

Удаление пограничной подписки

В некоторых случаях может потребоваться удалить пограничную подписку из организации Exchange или из организации Exchange и пограничного транспортного сервера. Если необходимо выполнить повторную подписку пограничного транспортного сервера на организацию Exchange, не удаляйте с него пограничную подписку. При удалении пограничной подписки с пограничного транспортного сервера из ADAM удаляются все реплицированные данные. При большом количестве данных получателей эта операция может занять продолжительное время.

Ниже приведены примеры ситуаций, в которых необходимо удалить пограничную подписку.

Необходимо, чтобы пограничный транспортный сервер больше не участвовал в синхронизации EdgeSync. В этом случает необходимо удалить пограничную подписку с пограничного транспортного сервера и из организации Exchange.
Пограничный транспортный сервер списывается. В этом случае требуется удалить пограничную подписку только из организации Exchange. При удалении с этого компьютера роли пограничного транспортного сервера также удаляется экземпляр ADAM и все данные Active Directory, которые хранятся в ADAM.
Необходимо изменить сопоставление сайта Active Directory для пограничной подписки. В этом случае требуется удалить пограничную подписку только из организации Exchange. После удаления пограничной подписки из организации Exchange можно повторно подписать пограничный транспортный сервер на другой сайт Active Directory.

Чтобы удалить пограничную подписку, выполните указанные ниже действия.

Остановите поток почты на пограничном транспортном сервере. Отключите все соединители приема на пограничном транспортном сервере, чтобы он не принимал никакие сообщения, и затем дождитесь опустошения очередей.
Удалите пограничную подписку, выполнив командлет Remove-EdgeSubscription на транспортном сервере-концентраторе в организации Exchange. Если не требуется повторно подписывать пограничный транспортный сервер, выполните данный командлет и на пограничном транспортном сервере после завершения этого действия на транспортном сервере-концентраторе.

После удаления пограничной подписки из организации Exchange происходит следующее:

прекращается синхронизация сведений из Active Directory в ADAM;
учетные записи ESRA удаляются как из Active Directory, так и из ADAM;
компьютер с установленной ролью пограничного транспортного сервера удаляется из списков исходных серверов всех соединителей отправки;
автоматический входящий соединитель отправки с пограничного транспортного сервера в организацию Exchange удаляется из ADAM.

После удаления пограничной подписки с пограничного транспортного сервера происходит следующее:

возможности пограничного транспортного сервера, которые основываются на данных Active Directory, больше не будут доступны;
реплицированные данные удаляются из ADAM;
задачи, которые были отключены при создании пограничной подписки, включаются повторно для поддержки локальной настройки.

В зависимости от причины удаления пограничной подписки может возникнуть необходимость повторно подписать тот же пограничный транспортный сервер на исходный сайт Active Directory, к которому он был подписан, или на другой сайт Active Directory. При повторном создании пограничной подписки создаются новые учетные данные и необходимо выполнить весь процесс пограничной подписки.

При удалении пограничного транспортного сервера из службы выполните процедуры, описанные в разделе Инструкции по полному удалению Exchange 2007 с сервера.

Добавление пограничного транспортного сервера

На один сайт Active Directory можно подписать несколько пограничных транспортных серверов. При развертывании дополнительных пограничных транспортных серверов в демилитаризованной зоне и подписке их на один и тот же сайт Active Directory, в котором уже существует пограничная подписка, происходят описанные ниже действия.

В Active Directory создается новый объект пограничной подписки.
Создаются дополнительные учетные записи ESRA для каждого транспортного сервера-концентратора на сайте Active Directory. Эти учетные записи реплицируются в ADAM и используются процессом синхронизации EdgeSync по время синхронизации с новым сервером.
Новая пограничная подписка добавляется в список исходных серверов для созданного автоматически соединителя отправки в Интернет. Сообщения, отправленные для обработки на этот соединитель, будут распределяться между подписанными пограничными транспортными серверами для балансировки нагрузки.
Автоматически создается входящий соединитель отправки с пограничного транспортного сервера в организацию Exchange.
Начинается синхронизация EdgeSync на пограничный транспортный сервер.

Добавление и удаление транспортного сервера-концентратора

Транспортный сервер-концентратор, добавленный на сайт Active Directory, на который уже подписан пограничный транспортный сервер, не участвует автоматически в процессе синхронизации EdgeSync. Чтобы развернутый транспортный сервер-концентратор участвовал в процессе синхронизации EdgeSync, необходимо повторно подписать каждый пограничный транспортный сервер на сайт Active Directory.

Удаление транспортного сервера-концентратора из сайта Active Directory, на которой подписан пограничный транспортный сервер, не влияет на синхронизацию EdgeSync, если он не является последним транспортным сервером-концентратором в организации. При удалении всех транспортных серверов-концентраторов из сайта Active Directory, на который подписаны пограничные транспортные серверы, такие пограничные транспортные серверы становятся потерянными.

Проверка результатов EdgeSync

Все ошибки, которые возникают в процессе синхронизации EdgeSync, регистрируются в журнале событий окна «Просмотр событий» Windows. Эти ошибки обычно происходят на транспортном сервере-концентраторе. Тем не менее при длительной задержке синхронизации пограничные транспортные серверы сообщают об ошибках.

Test-EdgeSynchronization — это диагностический командлет, который выводит отчет о состоянии синхронизации подписанных пограничных транспортных серверов. Эта задача при запуске вручную предоставляет администратору полезные сведения. Ее также может вызывать Microsoft Operations Manager. Когда задача вызывается Microsoft Operations Manager, если пограничный транспортный сервер не синхронизован, создается предупреждение.

Командлет Test-EdgeSynchronization выдает упреждающие предупреждения, если пограничный транспортный сервер не синхронизован. Выходные данные этого командлета позволяют узнать, какие объекты на пограничном транспортном сервере не синхронизованы. Задача выполняет сравнение данных, хранящихся в Active Directory, и данных, хранящихся в ADAM. Обо всех расхождениях сообщается в выходных данных команды.

Чтобы не выполнять проверку синхронизации данных получателей, можно использовать параметр ExcludeRecipientTest командлета Test-EdgeSynchronization. Если включить этот параметр, проверяется только синхронизация объектов конфигурации. Проверка синхронизации данных получателей занимает больше времени, чем проверка только данных конфигурации.

Если необходимо проверить результаты синхронизации EdgeSync для конкретного получателя, можно использовать средство Ldp.exe для просмотра свойств получателя, которые хранятся в ADAM. Необходимо найти получателя по его GUID Active Directory. Кроме того, так как данные отправляются в хэшированном виде, необходимо проанализировать сведения, которые возвращаются при просмотре данных получателя. Это средство можно использовать только для просмотра данных получателей. Его никогда нельзя использовать для изменения данных в ADAM. Дополнительные сведения см. в разделе Проверка результатов EdgeSync для получателя.

Новые возможности сервера Exchange Server 2007 с пакетом обновления 1 (SP1)

При установке сервера Exchange Server 2007 с пакетом обновления 1 (SP1) на транспортный сервер-концентратор для проверки состояния синхронизации EdgeSync для отдельного получателя можно использовать командлет Test-EdgeSynchronization с параметром VerifyRecipient. Получатель указывается с помощью адреса прокси-сервера. Результаты, возвращаемые командлетом Test-EdgeSynchronization, показывают, синхронизирован ли получатель.

Дополнительные сведения

Дополнительные сведения см. в следующих разделах: