边缘订阅

适用于:Exchange Server 2013

边缘传输服务器通过处理所有面向 Internet 的邮件流并为 Exchange 组织提供 SMTP 中继和智能主机服务,最大程度地减少攻击面。 组织外围网络中边缘传输服务器上运行的一系列代理提供了额外的消息保护和安全性层。 这些代理支持提供病毒和垃圾邮件防护的功能,并应用传输规则来控制消息流。

边缘订阅用于使用 Active Directory 数据填充边缘传输服务器上的 Active Directory 轻型目录服务 (AD LDS) 实例。 虽然可以视需要选择创建边缘订阅,但如果将边缘传输服务器订阅到 Exchange 组织,则可以带来更简单的管理体验,并能改进反垃圾邮件功能。 如果您计划使用收件人查找或安全列表聚合,或计划使用相互传输层安全性 (MTLS) 帮助保护与合作伙伴域的 SMTP 通信,则需要创建边缘订阅。

边缘订阅进程

边缘传输服务器不能直接访问 Active Directory。 边缘传输服务器用来处理邮件的配置和收件人信息均存储在本地 AD LDS 中。 创建边缘订阅后,可以自动并且安全地将信息从 Active Directory 复制到 AD LDS。 边缘订阅过程预配用于在 Exchange 2013 邮箱服务器与订阅的边缘传输服务器之间建立安全 LDAP 连接的凭据。 在邮箱服务器上运行的 Microsoft Exchange EdgeSync 服务 (EdgeSync) 执行定期单向同步,以将最新数据传输到 AD LDS。 这样就可以通过允许您配置邮箱服务器并将信息同步到边缘传输服务器,减少您在外围网络中执行的管理任务。

将边缘传输服务器订阅到 Active Directory 站点,该站点中包含负责将邮件传入或传出边缘传输服务器的邮箱服务器。 边缘订阅进程会为边缘传输服务器创建 Active Directory 站点成员身份关联。 通过站点关联,Exchange 组织中的邮箱服务器可以将邮件中继到边缘传输服务器,以传递到 Internet,而不必配置显式发送连接器。

可以为一个或多个边缘传输服务器订阅单个 Active Directory 站点。 但是,不能为一个边缘传输服务器订阅多个 Active Directory 站点。 如果部署了多个边缘传输服务器,可以为每个服务器订阅不同的 Active Directory 站点。 每个边缘传输服务器需要各自的边缘订阅。

若要部署边缘传输服务器并为其订阅 Active Directory 站点,请执行下列步骤:

  1. 安装边缘传输服务器角色。
  2. 验证邮箱服务器和边缘传输服务器能否使用 DNS 名称解析找到对方。
  3. 在邮箱服务器上,配置要复制到边缘传输服务器的对象和设置。
  4. 在边缘传输服务器上,创建并导出边缘订阅文件。
  5. 将边缘订阅文件复制到邮箱服务器,或复制到可从包含邮箱服务器的 Active Directory 站点进行访问的文件共享。
  6. 将 Edge 订阅文件导入到 Active Directory 站点。

创建新的 Edge 订阅时会发生什么情况

通过在边缘传输服务器上运行 New-EdgeSubscription cmdlet (创建边缘订阅文件) 时,将执行以下操作:

  • 创建名为 EdgeSync 启动加载程序复制帐户 (ESBRA) 的 AD LDS 帐户。 这些 ESBRA 凭据用于对与边缘传输服务器的第一个 EdgeSync 连接进行身份验证。 此帐户配置为在创建 24 小时后过期。 因此,需要在 24 小时内完成上一部分所述的六步订阅过程。 如果 ESBRA 在边缘订阅过程完成之前过期,则您需要再次运行 New-EdgeSubscription cmdlet,以新建一个边缘订阅文件。

  • 从 AD LDS 检索 ESBRA 凭据并写入边缘订阅文件。 边缘传输服务器的自签名证书的公钥也会导出到边缘订阅文件。 写入边缘订阅文件的凭据是导出该文件的服务器的专用凭据。

  • 之前在边缘传输服务器上创建、现在将从 Active Directory 复制到 AD LDS 的任何配置对象都会从 AD LDS 中删除,并且用于配置这些对象的 Exchange 命令行管理程序 cmdlet 也会被禁用。 但是,仍可以使用 Get-* cmdlet 查看这些对象。 运行 New-EdgeSubscription cmdlet 会在边缘传输服务器上禁用下列 cmdlet:

    • Set-SendConnector
    • New-SendConnector
    • Remove-SendConnector
    • New-AcceptedDomain
    • Set-AcceptedDomain
    • Remove-AcceptedDomain
    • New-MessageClassification
    • Set-MessageClassification
    • Remove-MessageClassification
    • New-RemoteDomain
    • Set-RemoteDomain
    • Remove-RemoteDomain

通过在邮箱服务器上运行 New-EdgeSubscription cmdlet 在邮箱服务器上导入边缘订阅文件时:

  • 创建边缘订阅,将边缘传输服务器加入 Exchange 组织。 EdgeSync 会将配置数据传播到此边缘传输服务器,并在 Active Directory 中创建边缘配置对象。

  • Active Directory 站点中的每个邮箱服务器都会收到 Active Directory 发来的通知,告知已订阅了新的边缘传输服务器。 邮箱服务器从边缘订阅文件中检索 ESBRA。 然后,邮箱服务器使用边缘传输服务器的自签名证书的公钥对 ESBRA 进行加密。 加密后的凭据将写入边缘配置对象。

  • 每个邮箱服务器还使用自己的公钥对 ESBRA 进行加密,然后将凭据存储在自己的配置对象中。

  • (ESRA) 的 EdgeSync 复制帐户在 Active Directory 中为每个边缘Transport-Mailbox服务器对创建。 每个邮箱服务器将其 ESRA 凭据存储为邮箱服务器配置对象的属性。

  • 自动创建发送连接器,以便将出站邮件从边缘传输服务器中继到 Internet,并将入站邮件从边缘传输服务器中继到 Exchange 组织。

  • 在邮箱服务器上运行的 Microsoft Exchange EdgeSync 服务使用 ESBRA 凭据在邮箱服务器和边缘传输服务器之间建立安全 LDAP 连接,并执行数据的初始复制。 下列数据将被复制到 AD LDS:

    • 拓扑数据
    • 配置数据
    • 收件人数据
    • ESRA 凭据
  • 边缘传输服务器上运行的 Microsoft Exchange 凭据服务安装 ESRA 凭据。 这些凭据用于验证并保护以后的同步连接。

  • 已建立 EdgeSync 同步计划。

然后,在订阅的 Active Directory 站点中的邮箱服务器上运行的 Microsoft Exchange EdgeSync 服务会定期执行数据从 Active Directory 到 AD LDS 的单向复制。 还可以使用 Start-EdgeSynchronization cmdlet 替代 EdgeSync 同步计划并立即启动同步。

有关 ESRA 帐户以及如何使用这些帐户帮助保护 EdgeSync 同步过程的详细信息,请参阅 Edge 订阅凭据

本示例将边缘传输服务器订阅到指定站点,并自动创建 Internet 发送连接器以及从该边缘传输服务器连接到邮箱服务器的发送连接器。

New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\EdgeSubscriptionInfo.xml')) -CreateInternetSendConnector $true -CreateInboundSendConnector $true -Site "Default-First-Site-Name"

注意

CreateInternetSendConnectorCreateInboundSendConnector 参数的默认值都是 $true。 此处仅演示它们。

本示例导出边缘订阅文件。

New-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml"

注意

在边缘传输服务器上运行 New-EdgeSubscription cmdlet 时,你会收到一条提示,提示确认将禁用的命令以及将在边缘传输服务器上覆盖的配置。 若要绕过此确认,必须使用 Force 参数。 如果使用 New-EdgeSubscription cmdlet,则会发现此参数很有用。 Force 参数还用于覆盖与重新订阅边缘传输服务器时要创建的文件同名的现有文件。

有关语法和参数的详细信息,请参阅 New-EdgeSubscription

在 Edge 订阅过程中创建的发送连接器

默认情况下,通过将边缘订阅文件导入邮箱服务器完成建议的边缘订阅过程时,将自动创建在 Internet 和 Exchange 组织之间启用端到端邮件流所需的发送连接器,并删除边缘传输服务器上的所有现有发送连接器。 在某些情况下,可以选择禁止自动创建发送连接器并手动配置发送连接器。 有关手动配置发送连接器的详细信息,请参阅 手动配置边缘传输服务器邮件流配置 Internet 邮件流通过边缘传输服务器而不使用 EdgeSync

Edge 订阅过程预配以下发送连接器:

  • 配置为将电子邮件从 Exchange 组织中继到 Internet 的发送连接器。
  • 配置为将电子邮件从边缘传输服务器中继到 Exchange 组织的发送连接器。

此外,将边缘传输服务器订阅到 Exchange 组织允许订阅的 Active Directory 站点中的邮箱服务器使用组织内部发送连接器将邮件中继到该边缘传输服务器。

自动创建入站发送连接器以接收来自 Internet 的消息

默认情况下,在邮箱服务器上运行 New-EdgeSubscription cmdlet 时,入站发送连接器参数 CreateInboundSendConnector 设置为值 $true。 这将创建向 Exchange 组织发送邮件所需的发送连接器。 下表介绍了此发送连接器的配置。

属性
名称 EdgeSync - 入站到 <站点名称>
AddressSpaces SMTP:--;1

--地址空间中的值表示 Exchange 组织的所有权威域和内部中继接受域。 边缘传输服务器针对这些接受的域收到的所有邮件都会路由至此发送连接器并中继到智能主机。
SourceTransportServers <Edge 订阅名称>
Enabled True
DNSRoutingEnabled False
SmartHosts --

--智能主机列表中的值表示订阅的 Active Directory 站点中的所有邮箱服务器。 在建立 Edge 订阅后添加到订阅的 Active Directory 站点的任何邮箱服务器都不参与 EdgeSync 同步过程。 不过,这些邮箱服务器会自动添加到自动创建的入站发送连接器的智能主机列表中。 如果多个邮箱服务器位于已订阅的 Active Directory 站点中,则入站连接会在智能主机之间平衡负载。

无法在创建时修改自动创建的入站发送连接器的地址空间或智能主机列表。 但是,可以在创建 Edge 订阅时将 CreateInboundSendConnector 参数设置为值 $false 。 这样,您便可以手动配置从边缘传输服务器连接到 Exchange 组织的发送连接器。

自动创建出站发送连接器以将消息发送到 Internet

默认情况下,在邮箱服务器上运行 New-EdgeSubscription cmdlet 时,出站发送连接器参数 CreateInternetSendConnector 设置为值 $true。 这将创建向 Internet 发送消息所需的发送连接器。 下表显示此发送连接器的默认配置。

属性
名称 EdgeSync - <Internet 的站点名称>
AddressSpaces SMTP:*;100
SourceTransportServers <Edge 订阅名称>

注意:边缘订阅的名称与订阅的边缘传输服务器的名称相同。
Enabled True
DNSRoutingEnabled True
DomainSecureEnabled True

如果将多个边缘传输服务器订阅到同一个 Active Directory 站点,则不会创建到 Internet 的其他任何发送连接器。 相反,所有边缘订阅会作为源服务器添加到同一发送连接器。 到 Internet 的出站连接会在各个已订阅的边缘传输服务器之间平衡此负载。

出站发送连接器配置为使用将域名解析为 MX 资源记录的 DNS 路由,从 Exchange 组织向所有远程 SMTP 域发送电子邮件。 有关手动配置连接器配置的详细信息,请参阅 手动配置边缘传输服务器邮件流

Microsoft Exchange EdgeSync 服务

将边缘传输服务器订阅到 Active Directory 站点后,EdgeSync 会将配置和收件人数据复制到边缘传输服务器。 EdgeSync 服务将下列数据从 Active Directory 复制到 AD LDS:

  • 发送连接器配置
  • 接受域
  • 远程域
  • 邮件分类
  • 安全发件人列表
  • 阻止发件人列表
  • 收件人
  • 用于与伙伴的域安全通信的发送和接收域列表
  • 列为组织传输配置内部的 SMTP 服务器列表
  • 已订阅的 Active Directory 站点中的邮箱服务器列表

有关复制到 AD LDS 的数据及其使用方式的详细信息,请参阅 EdgeSync 复制数据

EdgeSync 使用经过相互身份验证和授权的安全 LDAP 通道将数据从邮箱服务器传输到边缘传输服务器。

为了将数据复制到 AD LDS,邮箱服务器绑定到全局编录服务器以检索更新的数据。 EdgeSync 通过非标准 TCP 端口 50636 在邮箱服务器与订阅的边缘传输服务器之间启动安全 LDAP 会话。

当您首次将边缘传输服务器订阅到 Active Directory 站点时,使用来自 Active Directory 的数据填充 AD LDS 的初始复制可能需要 5 分钟或更长的时间才能完成,具体取决于目录服务中的数据量。 初始复制后,EdgeSync 仅同步新的和更改的对象,并删除所有已删除的对象。

同步计划

不同类型的数据按照不同的计划进行同步。 EdgeSync 同步计划指定 EdgeSync 同步之间的最大间隔。 EdgeSync 同步按以下间隔进行:

  • 配置数据:3 分钟。
  • 收件人数据:5 分钟。
  • 拓扑数据:5 分钟。

如果您想更改这些时间间隔,请使用 Set-EdgeSyncServiceConfig cmdlet。 使用邮箱服务器上的 Start-EdgeSynchronization cmdlet 强制 Edge 订阅同步将替代下一个计划的 EdgeSync 同步的计时器,并立即启动 EdgeSync。

选择邮箱服务器

每一个已订阅的边缘传输服务器均与特定的 Active Directory 站点相关联。 如果站点中存在多个邮箱服务器,则任何一个邮箱服务器都可以将数据复制到已订阅的边缘传输服务器。 为了避免同步时邮箱服务器之间发生争用,首选邮箱服务器的选择如下所示:

  1. Active Directory 站点中第一个执行拓扑扫描并发现新边缘订阅的邮箱服务器执行初始复制。 由于此发现基于拓扑扫描的时间安排,因此该站点中的任何邮箱服务器都可以执行初始复制。

  2. 执行初始复制的邮箱服务器会建立 EdgeSync 租约选项,并在 Edge 订阅上设置锁定。 租用选项将该特定邮箱服务器设立为向相应的边缘传输服务器提供同步服务的首选服务器。 锁定阻止在另一个邮箱服务器上运行的 EdgeSync 接管租用选项。

  3. EdgeSync 租约选项持续一小时。 在该小时内,除非在小时结束前启动手动同步,否则其他 EdgeSync 服务无法接管选项。 如果在启动手动同步时,首选邮箱服务器无法提供 EdgeSync 服务,则等待五分钟后,锁定将释放,另一个 EdgeSync 服务可以接管租用选项并执行同步。

  4. 除非手动同步已启动,否则会根据 EdgeSync 同步计划进行同步。 如果首选服务器在计划同步发生时不可用,则等待 5 分钟后,锁将释放,另一个 EdgeSync 服务可以接管租约选项并执行同步。

这种锁定和租赁方法可防止 EdgeSync 的多个实例同时将数据推送到同一边缘传输服务器。

注意

如果订阅的 Active Directory 站点中还有 Exchange 2010 或 Exchange 2007 邮箱服务器,则 Exchange 2013 邮箱服务器将始终优先执行复制。

将边缘传输服务器订阅到 Active Directory 站点时,该 Active Directory 站点中安装的所有邮箱服务器都可以参与 EdgeSync 同步过程。 如果删除其中一个服务器,则在其余邮箱服务器上运行的 EdgeSync 服务将继续执行数据同步过程。 但是,如果 ;ater 在 Active Directory 站点中安装新的邮箱服务器,它们不会自动参与 EdgeSync 同步。 如果要使这些新邮箱服务器能够参与 EdgeSync 同步,则需要再次订阅边缘传输服务器。

下表列出了与锁定和租赁相关的 EdgeSync 属性。 使用 Set-EdgeSyncServiceConfig cmdlet 可配置这些属性。

EdgeSync 租用属性

参数 默认值 描述
LockDuration 00:05:00(5 分钟) 此设置确定特定 EdgeSync 服务获取锁的时长。 如果持有此锁的邮箱服务器上的 EdgeSync 服务没有响应,5 分钟后,另一个邮箱服务器上的 EdgeSync 服务将接管租约。 强制立即 EdgeSync 同步不会覆盖此设置。
OptionDuration 01:00:00(1 小时) 此设置确定 EdgeSync 服务可以在边缘传输服务器上声明租约选项的时长。 如果保留租约的 EdgeSync 服务不可用且未在此选项期间重启,则除非强制 EdgeSync 同步,否则其他 Exchange EdgeSync 服务不会接管租约选项。
LockRenewalDuration 00:01:00(1 分钟) 此设置确定当 EdgeSync 服务获取边缘传输服务器的锁时,锁字段的更新频率。

准备运行 EdgeSync 服务

在将边缘传输服务器订阅到 Exchange 组织之前,需要确保基础结构和邮箱服务器已准备好使用 EdgeSync 服务。 若要准备 EdgeSync 同步,需要:

  • 验证将边缘传输服务器与 Exchange 组织分开的外围网络防火墙是否已配置为通过正确的端口启用通信。 边缘传输服务器使用非标准 LDAP 端口。 如果环境需要特定端口,则可以使用 Exchange 提供的ConfigureAdam.ps1脚本修改 AD LDS 使用的端口。 有关详细信息,请参阅 修改 AD LDS 配置。 在创建边缘订阅之前修改端口。 如果在创建 Edge 订阅后修改端口,则需要删除 Edge 订阅,然后创建新的 Edge 订阅。 默认情况下,以下 LDAP 端口用于访问 AD LDS:

    • LDAP:端口 50389/TCP 在本地用于绑定到 AD LDS 实例。 无需在外围网络防火墙上打开此端口。

    • 安全 LDAP:端口 50636/TCP 用于从邮箱服务器到 AD LDS 的目录同步。 必须在防火墙上打开此端口才能成功进行 EdgeSync 同步。

  • 验证从边缘传输服务器到邮箱服务器以及从邮箱服务器到边缘传输服务器的 DNS 主机名解析是否成功。

  • 认证边缘传输服务器。 创建边缘订阅时,将会捕获边缘传输服务器的许可信息。 在许可证密钥在边缘传输服务器上应用之后,您需要将已订阅的边缘传输服务器订阅到 Exchange 组织。 如果您在执行边缘订阅过程后在边缘传输服务器上应用许可证密钥,则 Exchange 组织中的许可信息不会更新,您需要重新订阅边缘传输服务器。

  • 配置以下传输设置以传播到边缘传输服务器:

    • 内部 SMTP 服务器:使用 Set-TransportConfig cmdlet 上的 InternalSMTPServers 参数可指定边缘传输服务器上的发件人 ID 和连接筛选代理要忽略的内部 SMTP 服务器 IP 地址或 IP 地址范围的列表。

    • 接受域:配置所有权威域、内部中继域和外部中继域。

    • 远程域:配置远程域设置。

管理边缘订阅

有关 Edge 订阅管理任务的分步说明,请参阅 管理边缘订阅