Exchange Server 中的边缘订阅

  • 项目

边缘订阅用于使用 Active Directory 数据填充边缘传输服务器上的 Active Directory 轻型目录服务 (AD LDS) 实例。 虽然可以视需要选择创建边缘订阅,但如果将边缘传输服务器订阅到 Exchange 组织,则可以带来更简单的管理体验,并能改进反垃圾邮件功能。 如果您计划使用收件人查找或安全列表聚合,或计划使用相互传输层安全性 (MTLS) 帮助保护与合作伙伴域的 SMTP 通信,则需要创建边缘订阅。

注意

如果边缘传输应处理混合邮件流,则边缘订阅是必需的。 组织标头仅在边缘传输服务器和邮箱服务器之间通过直接信任身份验证 (又名相互 TLS) 和边缘订阅是实现此身份验证方法所必需的。

边缘订阅进程

边缘传输服务器不能直接访问 Active Directory。 边缘传输服务器用来处理邮件的配置和收件人信息均存储在本地 AD LDS 中。 创建边缘订阅后,可以自动并且安全地将信息从 Active Directory 复制到 AD LDS。 边缘订阅过程预配用于在内部 Exchange 邮箱服务器与订阅的边缘传输服务器之间建立安全 LDAP 连接的凭据。 在邮箱服务器上运行的 Microsoft Exchange EdgeSync 服务 (EdgeSync) 执行定期单向同步,以将最新数据传输到 AD LDS。 这样就可以通过允许您配置邮箱服务器并将信息同步到边缘传输服务器,减少您在外围网络中执行的管理任务。

将边缘传输服务器订阅到 Active Directory 站点,该站点中包含负责将邮件传入或传出边缘传输服务器的邮箱服务器。 边缘订阅进程会为边缘传输服务器创建 Active Directory 站点成员身份关联。 通过站点关联,Exchange 组织中的邮箱服务器可以将邮件中继到边缘传输服务器,以传递到 Internet,而不必配置显式发送连接器。

可以为一个或多个边缘传输服务器订阅单个 Active Directory 站点。 但是,不能为一个边缘传输服务器订阅多个 Active Directory 站点。 如果部署了多个边缘传输服务器,可以为每个服务器订阅不同的 Active Directory 站点。 每个边缘传输服务器需要各自的边缘订阅。

若要部署边缘传输服务器并为其订阅 Active Directory 站点,请执行下列步骤:

  1. 安装边缘传输服务器角色。

  2. 准备边缘订阅:

    • 认证边缘传输服务器。

    • 在防火墙中打开用于邮件流和 EdgeSync 同步的端口。

    • 验证邮箱服务器和边缘传输服务器能否使用 DNS 名称解析找到对方。

    • 在邮箱服务器上,配置要复制到边缘传输服务器的传输设置。

  3. 在边缘传输服务器上,通过运行 New-EdgeSubscription cmdlet 来创建并导出边缘订阅文件。

  4. 将边缘订阅文件复制到邮箱服务器,或复制到可从包含邮箱服务器的 Active Directory 站点进行访问的文件共享。

  5. 通过在邮箱服务器上运行 New-EdgeSubscription cmdlet 将边缘订阅文件导入到 Active Directory 站点。

准备边缘订阅

在将边缘传输服务器订阅到 Exchange 组织之前,需要确保基础结构和邮箱服务器已准备好进行 EdgeSync 同步。 若要准备 EdgeSync,需要:

  • 许可边缘传输服务器:创建边缘订阅时会捕获边缘传输服务器的许可信息。 在许可证密钥在边缘传输服务器上应用之后,您需要将已订阅的边缘传输服务器订阅到 Exchange 组织。 如果您在执行边缘订阅过程后在边缘传输服务器上应用许可证密钥,则 Exchange 组织中的许可信息不会更新,您需要重新订阅边缘传输服务器。

  • 验证防火墙中是否打开了所需的端口:订阅的边缘传输服务器使用以下端口:

    • SMTP:必须为 Internet 与边缘传输服务器之间以及边缘传输服务器与内部 Exchange 组织之间的入站和出站邮件流打开端口 25/TCP。

    • 安全 LDAP:非标准端口 50636/TCP 用于从邮箱服务器到边缘传输服务器上的 AD LDS 的目录同步。 此端口是成功 EdgeSync 同步所必需的。

    注意

    LDAP 在本地使用端口 50389/TCP 绑定到 AD LDS 实例。 不必在防火墙上打开此端口;此端口用于边缘传输服务器本地。

    如果环境需要特定端口,则可以使用 ConfigureAdam.ps1 Exchange 提供的脚本修改 AD LDS 使用的端口。 在创建边缘订阅之前修改端口。 如果在创建边缘订阅后修改端口,则需要删除边缘订阅并创建新的边缘订阅。

  • 验证从边缘传输服务器到邮箱服务器以及从邮箱服务器到边缘传输服务器的 DNS 主机名解析是否成功。

  • 配置下列传输设置,以向边缘传输服务器进行传播

    • 内部 SMTP 服务器:使用 Set-TransportConfig cmdlet 上的 InternalSMTPServers 参数可指定边缘传输服务器上的发件人 ID 和连接筛选代理要忽略的内部 SMTP 服务器 IP 地址或 IP 地址范围的列表。

    • 接受域:配置所有权威域、内部中继域和外部中继域。

    • 远程域:配置用于所有远程域) 收件人的默认远程域对象 (设置,并根据需要为特定远程域中的收件人配置远程域对象。

在边缘传输服务器上,创建并导出边缘订阅文件

当您通过在边缘传输服务器上运行 New-EdgeSubscription cmdlet 创建边缘订阅文件时,会执行下列操作:

  • 创建名为 EdgeSync 启动加载程序复制帐户 (ESBRA) 的 AD LDS 帐户。 这些 ESBRA 凭据用于对与边缘传输服务器的第一个 EdgeSync 连接进行身份验证。 此帐户配置为在创建 24 小时后过期。 因此,您需要在 24 小时内完成上述部分中介绍的 5 步订阅过程。 如果 ESBRA 在边缘订阅过程完成之前过期,则您需要再次运行 New-EdgeSubscription cmdlet,以新建一个边缘订阅文件。

  • 从 AD LDS 检索 ESBRA 凭据并写入边缘订阅文件。 边缘传输服务器的自签名证书的公钥也会导出到边缘订阅文件。 写入边缘订阅文件的凭据是导出该文件的服务器的专用凭据。

  • 之前在边缘传输服务器上创建、现在将从 Active Directory 复制到 AD LDS 的任何配置对象都会从 AD LDS 中删除,并且用于配置这些对象的 Exchange 命令行管理程序 cmdlet 也会被禁用。 但是,仍可以使用 Get-* cmdlet 查看这些对象。 运行 New-EdgeSubscription cmdlet 会在边缘传输服务器上禁用下列 cmdlet:

    • Set-SendConnector

    • New-SendConnector

    • Remove-SendConnector

    • New-AcceptedDomain

    • Set-AcceptedDomain

    • Remove-AcceptedDomain

    • New-RemoteDomain

    • Set-RemoteDomain

    • Remove-RemoteDomain

此示例在边缘传输服务器上创建和导出边缘订阅文件。

New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"

注意

在边缘传输服务器上运行 New-EdgeSubscription cmdlet 时,系统将提示您确认边缘传输服务器上将禁用的命令以及将覆盖的配置。 若要绕过此确认,需要使用 Force 参数。 如果使用 New-EdgeSubscription cmdlet,则会发现此参数很有用。 重新订阅边缘传输服务器时,还可以使用 Force 参数覆盖现有文件。

在邮箱服务器上导入边缘订阅文件

当您通过在邮箱服务器上运行 New-EdgeSubscription cmdlet 将边缘订阅文件导入到 Active Directory 站点时,会执行下列操作:

  • 创建边缘订阅,从而将边缘传输服务器加入到 Exchange 组织中。 EdgeSync 会将配置数据传播到此边缘传输服务器,并在 Active Directory 中创建边缘配置对象。

  • Active Directory 站点中的每个邮箱服务器都会收到 Active Directory 发来的通知,告知已订阅了新的边缘传输服务器。 邮箱服务器从边缘订阅文件中检索 ESBRA。 然后,邮箱服务器使用边缘传输服务器的自签名证书的公钥对 ESBRA 进行加密。 加密后的凭据将写入边缘配置对象。

  • 每个邮箱服务器还使用自己的公钥对 ESBRA 进行加密,然后将凭据存储在自己的配置对象中。

  • (ESRA) 的 EdgeSync 复制帐户在 Active Directory 中为每个边缘Transport-Mailbox服务器对创建。 每个邮箱服务器将其 ESRA 凭据存储为邮箱服务器配置对象的属性。

  • 自动创建发送连接器,以便将出站邮件从边缘传输服务器中继到 Internet,并将入站邮件从边缘传输服务器中继到 Exchange 组织。 有关详细信息,请参阅本主题中的自动由边缘订阅创建的发送连接器部分。

  • 在邮箱服务器上运行的 Microsoft Exchange EdgeSync 服务使用 ESBRA 凭据在邮箱服务器和边缘传输服务器之间建立安全的 LDAP 连接,并执行数据的初始复制。 下列数据将被复制到 AD LDS:

    • 拓扑数据

    • 配置数据

    • 收件人数据

    • ESRA 凭据

  • 边缘传输服务器上运行的 Microsoft Exchange 凭据服务安装 ESRA 凭据。 这些凭据用于验证并保护以后的同步连接。

  • 已建立 EdgeSync 同步计划。

  • 然后,在订阅的 Active Directory 站点中的邮箱服务器上运行的 Microsoft Exchange EdgeSync 服务会定期执行数据从 Active Directory 到 AD LDS 的单向复制。 还可以使用 Start-EdgeSynchronization cmdlet 替代 EdgeSync 同步计划并立即启动同步。

本示例将边缘传输服务器订阅到指定站点,并自动创建 Internet 发送连接器以及从该边缘传输服务器连接到邮箱服务器的发送连接器。

New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\Data\EdgeSubscriptionInfo.xml')) -Site "Default-First-Site-Name"

注意

CreateInternetSendConnectorCreateInboundSendConnector 参数的默认值都是 $true,因此不需要在此命令中使用它们。

自动由边缘订阅创建的发送连接器

默认情况下,当您将边缘订阅文件导入到邮箱服务器中时,将自动创建所需的发送连接器,以便在 Internet 和 Exchange 组织之间启用端到端邮件流功能,边缘传输服务器上的任何现有发送连接器将删除。

边缘订阅创建以下发送连接器:

  • 名为 EdgeSync 的发送连接器 - 入站到 <站点名称> ,配置为将邮件从边缘传输服务器中继到 Exchange 组织。

  • 名为 EdgeSync - <站点名称> 到 Internet 的发送连接器,配置为将消息从 Exchange 组织中继到 Internet。

此外,将边缘传输服务器订阅到 Exchange 组织允许已订阅的 Active Directory 站点中的邮箱服务器使用隐式和不可见的组织内发送连接器将邮件中继到边缘传输服务器。

从 Internet 接收邮件的入站发送连接器

在邮箱服务器上运行 New-EdgeSubscription cmdlet 时, CreateInboundSendConnector 参数设置为值 $true。 这将创建将邮件从边缘传输服务器发送到 Exchange 组织所需的发送连接器。 下表介绍了此发送连接器的配置。

入站发送连接器的自动配置

属性
名称 EdgeSync - 入站到 <站点名称>
AddressSpaces SMTP:--;1
--地址空间中的值表示 Exchange 组织的所有权威和内部中继接受域。 边缘传输服务器针对这些接受的域收到的所有邮件都会路由至此发送连接器并中继到智能主机。
SourceTransportServers <Edge 订阅名称>
Enabled True
DNSRoutingEnabled False
SmartHosts --
--智能主机列表中的值表示订阅的 Active Directory 站点中的所有邮箱服务器。 建立 Edge 订阅后添加到订阅的 Active Directory 站点的任何邮箱服务器都不参与 EdgeSync 同步过程。 不过,这些邮箱服务器会自动添加到自动创建的入站发送连接器的智能主机列表中。 如果多个邮箱服务器位于已订阅的 Active Directory 站点中,则入站连接会在智能主机之间平衡负载。

无法在创建时修改自动创建的入站发送连接器的地址空间或智能主机列表。 但是,可以在创建 Edge 订阅时将 CreateInboundSendConnector 参数设置为值 $false 。 这样,您便可以手动配置从边缘传输服务器连接到 Exchange 组织的发送连接器。

向 Internet 发送邮件的出站发送连接器

在邮箱服务器上运行 New-EdgeSubscription cmdlet 时, CreateInternetSendConnector 参数设置为值 $true。 这将创建从 Exchange 组织向 Internet 发送邮件所需的发送连接器。 下表显示此发送连接器的默认配置。

Internet 发送连接器的自动配置

属性
名称 EdgeSync - <Internet 的站点名称>
AddressSpaces SMTP:*;100
SourceTransportServers <Edge 订阅名称>
边缘订阅的名称与订阅的边缘传输服务器的名称相同。
Enabled True
DNSRoutingEnabled True
DomainSecureEnabled True

如果将多个边缘传输服务器订阅到同一个 Active Directory 站点,则不会创建到 Internet 的其他任何发送连接器。 相反,所有边缘订阅会作为源服务器添加到同一发送连接器。 到 Internet 的出站连接会在各个已订阅的边缘传输服务器之间平衡此负载。

出站发送连接器配置为使用将域名解析为 MX 资源记录的 DNS 路由,从 Exchange 组织向所有远程 SMTP 域发送电子邮件。

关于 EdgeSync 服务的详细信息

将边缘传输服务器订阅到 Active Directory 站点后,EdgeSync 会将配置和收件人数据复制到边缘传输服务器。 EdgeSync 服务将下列数据从 Active Directory 复制到 AD LDS:

  • 发送连接器配置

  • 接受域

  • 远程域

  • 安全发件人列表

  • 阻止发件人列表

  • 收件人

  • 用于与伙伴的域安全通信的发送和接收域列表

  • 列为组织传输配置内部的 SMTP 服务器列表

  • 已订阅的 Active Directory 站点中的邮箱服务器列表

EdgeSync 使用经过相互身份验证和授权的安全 LDAP 通道将数据从邮箱服务器传输到边缘传输服务器。

为了将数据复制到 AD LDS,邮箱服务器绑定到全局编录服务器以检索更新的数据。 EdgeSync 通过非标准 TCP 端口 50636 在邮箱服务器与订阅的边缘传输服务器之间启动安全 LDAP 会话。

当您首次将边缘传输服务器订阅到 Active Directory 站点时,使用来自 Active Directory 的数据填充 AD LDS 的初始复制可能需要 5 分钟或更长的时间才能完成,具体取决于目录服务中的数据量。 初始复制后,EdgeSync 仅同步新的和更改的对象,并删除所有已删除的对象。

同步计划

不同类型的数据按照不同的计划进行同步。 EdgeSync 同步计划指定 EdgeSync 同步之间的最大间隔。 EdgeSync 同步按以下间隔进行:

  • 配置数据:3 分钟。

  • 收件人数据:5 分钟。

  • 拓扑数据:5 分钟。

如果您想更改这些时间间隔,请使用 Set-EdgeSyncServiceConfig cmdlet。 使用邮箱服务器上的 Start-EdgeSynchronization cmdlet 强制 Edge 订阅同步将替代下一个计划的 EdgeSync 同步的计时器,并立即启动 EdgeSync。

选择邮箱服务器

每一个已订阅的边缘传输服务器均与特定的 Active Directory 站点相关联。 如果站点中存在多个邮箱服务器,则任何一个邮箱服务器都可以将数据复制到已订阅的边缘传输服务器。 为了避免同步时邮箱服务器之间发生争用,首选邮箱服务器的选择如下所示:

  1. Active Directory 站点中第一个执行拓扑扫描并发现新边缘订阅的邮箱服务器执行初始复制。 由于此发现基于拓扑扫描的时间安排,因此该站点中的任何邮箱服务器都可以执行初始复制。

  2. 执行初始复制的邮箱服务器会建立 EdgeSync 租约选项,并在 Edge 订阅上设置锁定。 租用选项将该特定邮箱服务器设立为向相应的边缘传输服务器提供同步服务的首选服务器。 锁定阻止在另一个邮箱服务器上运行的 EdgeSync 接管租用选项。

  3. EdgeSync 租约选项持续一小时。 在该小时内,除非在小时结束前启动手动同步,否则其他 EdgeSync 服务无法接管选项。 如果在启动手动同步时,首选邮箱服务器无法提供 EdgeSync 服务,则等待五分钟后,锁定将释放,另一个 EdgeSync 服务可以接管租用选项并执行同步。

  4. 除非手动同步已启动,否则会根据 EdgeSync 同步计划进行同步。 如果首选服务器在计划同步发生时不可用,则等待 5 分钟后,锁将释放,另一个 EdgeSync 服务可以接管租约选项并执行同步。

这种锁定和租赁方法可防止 EdgeSync 的多个实例同时将数据推送到同一边缘传输服务器。

注意

  • 在 Exchange 2016 组织中,如果订阅的 Active Directory 站点中还有 Exchange 2010 中心传输服务器,则 Exchange 2016 邮箱服务器将始终优先执行复制。

  • 将边缘传输服务器订阅到 Active Directory 站点时,该 Active Directory 站点中安装的所有邮箱服务器都可以参与 EdgeSync 同步过程。 如果删除其中一个服务器,则在其余邮箱服务器上运行的 EdgeSync 服务将继续执行数据同步过程。 但是,如果以后在 Active Directory 站点中安装新的邮箱服务器,它们不会自动参与 EdgeSync 同步。 此外,它们不会自动添加到边缘服务器的内部交付组。 如果要使这些新邮箱服务器能够参与 EdgeSync 同步和自动 Edge 到邮箱的邮件流,则需要再次订阅边缘传输服务器。

下表列出了与锁定和租赁相关的 EdgeSync 属性。 使用 Set-EdgeSyncServiceConfig cmdlet 可配置这些属性。

EdgeSync 租用属性

参数 默认值 描述
LockDuration 00:05:00(5 分钟) 此设置确定特定 EdgeSync 服务获取锁的时长。 如果持有此锁的邮箱服务器上的 EdgeSync 服务没有响应,5 分钟后,另一个邮箱服务器上的 EdgeSync 服务将接管租约。 强制立即 EdgeSync 同步不会覆盖此设置。
OptionDuration 01:00:00(1 小时) 此设置确定 EdgeSync 服务可以在边缘传输服务器上声明租约选项的时长。 如果保留租约的 EdgeSync 服务不可用且未在此选项期间重启,则除非强制 EdgeSync 同步,否则其他 Exchange EdgeSync 服务不会接管租约选项。
LockRenewalDuration 00:01:00(1 分钟) 此设置确定当 EdgeSync 服务获取边缘传输服务器的锁时,锁字段的更新频率。