在现有 Exchange Server 2003 组织中部署边缘传输服务器
**适用于:**Exchange Server 2010
**上一次修改主题:**2009-12-09
您可以部署并配置边缘传输服务器,使其充当现有 Microsoft Exchange Server 2003 组织的外围网络中的智能主机。您可以使用边缘传输服务器,为 Exchange 组织提供反垃圾邮件、防病毒和传输规则处理。
备注
在本主题所描述的方案中,Exchange 组织中尚未部署运行 Microsoft Exchange Server 2010 的计算机。这限制了边缘传输服务器上的可用功能,您无法使用依赖边缘订阅的任何功能。依赖边缘订阅的功能是收件人查找和安全列表聚合。如果要创建边缘订阅,必须在 Exchange 组织中部署最少一个 Exchange 2010 集线器传输服务器并将组织配置为共存。有关详细信息,请参阅从 Exchange 2003 传输升级。
若要了解与边缘传输服务器相关的其他管理任务,请查看管理传输服务器。
先决条件
- 边缘传输服务器已部署在外围网络中。有关详细步骤,请参阅执行 Exchange 2010 自定义安装。
- 已对边缘传输服务器进行了配置,以执行防病毒和反垃圾邮件的处理并应用传输规则。有关详细步骤,请参阅管理反垃圾邮件和防病毒功能和管理传输规则。
- 已在边缘传输服务器上配置了接受域。对于每个通过 Exchange 组织接收电子邮件的 SMTP 域,您需要为其创建接受域条目。有关详细步骤,请参阅传输服务器部署后任务。
- 验证上述域的域名系统 (DNS) 邮件交换 (MX) 资源记录并对其做出所需修改,以便发送到接收域的电子邮件定向到边缘传输服务器。
- 确定身份验证方法,该方法将用于帮助确保边缘传输服务器与 Exchange 组织间的连接的安全。我们建议使用基于传输层安全性 (TLS) 的基本身份验证。您也可以决定将外部安全用作自己的身份验证机制。此身份验证机制依赖于网络安全(如 Internet 协议安全性 (IPsec))来帮助确保连接安全。有关可用的身份验证方法的详细信息,请参阅保护传输服务器的安全。
在 Exchange 2003 组织中部署边缘传输服务器
对于所有部署,必须首先创建从边缘传输服务器到 Internet 的发送连接器。然后,根据所选身份验证方法配置邮件流。
创建从边缘传输服务器到 Internet 的发送连接器
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“边缘传输服务器”条目。
使用 EMC 中的新建发送连接器向导,在边缘传输服务器上创建具有以下设置的发送连接器:
- 简介页:在“选择此发送连接器的预期用法”中,选择“Internet”****。
- 地址空间页:单击“添加”,然后在“SMTP 地址空间”****对话框中键入 *(星号)。
有关详细步骤,请参阅创建 SMTP 发送连接器。
另外,可以使用 New-SendConnector cmdlet 在命令行管理程序中创建连接器。此示例将创建“到 Internet”的发送连接器,此发送连接器使用 DNS 来路由邮件。
New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true
如果使用智能主机将邮件路由到 Internet,则需要使用不同的参数。此示例将创建相同的发送连接器,但将其配置为使用智能主机 10.10.1.1,而不是使用 DNS 来路由邮件。
New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $false -SmartHosts "10.10.1.1"
有关语法和参数的详细信息,请参阅 New-SendConnector。
备注
安装边缘传输服务器角色时,将创建配置为从 Internet 接收邮件的默认接收连接器。因此,不需要再创建与本节中创建的发送连接器相对应的接收连接器。
使用基于 TLS 的基本身份验证在边缘传输服务器和 Exchange 2003 组织之间配置邮件流
本节中的步骤将帮助您使用基于 TLS 的基本身份验证在边缘传输服务器和 Exchange 2003 组织之间配置安全邮件流。
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“边缘传输服务器”条目。
为已通过身份验证的邮件流配置凭据
创建边缘传输服务器使用的凭据,以对 Exchange 2003 服务器进行身份验证。在为 Exchange 组织服务的 Active Directory 中创建用户帐户。将该用户帐户添加到 Exchange 域服务器安全组。
重要
授予该帐户指定给 Exchange 服务器的权限和权利。确保保护帐户凭据以避免误用该帐户。可以将该帐户配置为仅允许登录特定的计算机。
在边缘传输服务器上,创建 Exchange 2003 服务器对边缘传输服务器进行身份验证所使用的凭据。在边缘传输服务器上的“本地用户和组”容器中的“用户”文件夹中创建用户帐户。
配置 Exchange 2003 以接受来自边缘传输服务器的邮件
在 Exchange 2003 服务器或将接收来自于边缘传输服务器的邮件的服务器上,验证 SMTP 虚拟服务器是否配置为启用基于 TLS 的基本身份验证。
- 打开 Exchange 系统管理器。展开“服务器”节点。展开所需服务器。展开“协议”节点。展开“SMTP”。右键单击“默认 SMTP 虚拟服务器”,然后选择“属性”。
- 单击“访问”****选项卡,然后单击“身份验证”。
- 在“身份验证”对话框中,选择“基本身份验证(密码以明文形式发送)”和“需要 TLS 加密”。单击“确定”。
- 单击“确定”****关闭“默认 SMTP 虚拟服务器属性”。
创建从边缘传输服务器到 Exchange 2003 组织的发送连接器
使用 EMC 中的新建发送连接器向导,在边缘传输服务器上创建具有以下设置的发送连接器:
- 简介页:在“选择此发送连接器的预期用法”中,选择“内部”****。
- 地址空间页:单击“添加”打开“SMTP 地址空间”对话框。在此对话框的“地址”字段中键入“–”。此字符是一个占位符,表示接受域配置中的所有权威内部中继域。另外,可以将每个域作为单独的条目列出。其他字段保留其默认设置,然后单击“确定”。
- 网络设置页:在“通过以下智能主机路由邮件”中,输入将从边缘传输服务器接收邮件的 Exchange 2003 桥头服务器的 IP 地址或完全限定域名 (FQDN)。如果将多个桥头服务器配置为智能主机,来自边缘传输服务器的连接将在各智能主机间实现负载平衡。
- 配置智能主机身份验证设置页:选择“基本身份验证”和“基于 TLS 的基本身份验证”****。在“用户名”和“密码”****字段中,输入在本主题前面的“为已通过身份验证的邮件流配置凭据”一节中创建的用户帐户凭据。
有关详细步骤,请参阅创建 SMTP 发送连接器。
另外,可以使用 New-SendConnector cmdlet 在命令行管理程序中创建连接器。此示例将创建具有所需设置的“到 Exchange 组织”的发送连接器,并将服务器 10.10.1.10 和 10.10.1.11 指定为将从边缘传输服务器接收邮件的 Exchange 2003 桥头服务器。
$mycred = get-credential
在显示的对话框中,输入“为已通过身份验证的邮件流配置凭据”一节中创建的用户帐户凭据。使用域\用户格式或用户主要名称 (UPN) 格式输入用户名,然后提供用户密码。单击“确定”。
New-SendConnector -Name "To Exchange Organization" -Usage Internal -AddressSpaces "--" -DNSRoutingEnabled $false -SmartHosts "10.10.1.10","10.10.1.11" -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred
有关语法和参数的详细信息,请参阅 New-SendConnector。
创建发送连接器之后,必须通过在命令行管理程序中运行此命令,授予能够将 XExch50 数据从边缘传输服务器传输到 Exchange 2003 服务器所需的权限。
Add-AdPermission -Identity "To Exchange Organization" -User "NT Authority\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Send-Exch50
在边缘传输服务器上创建接收连接器以接受来自 Exchange 2003 组织的邮件
使用 EMC 中的新建接收连接器向导,在边缘传输服务器上创建具有以下设置的接收连接器:
- 简介页:在“选择此接收连接器的预期用法”中,选择“内部”****。
- 远程网络设置页:删除所有网络范围,并添加将邮件中继到边缘传输服务器的 Exchange 2003 桥头服务器的 IP 地址
创建连接器之后,通过在连接器属性的“身份验证”选项卡上选择“基本身份验证”****和“仅在启动 TLS 之后提供基本身份验证”,修改身份验证方法。有关详细步骤,请参阅创建 SMTP 接收连接器和配置接收连接器属性。
另外,可以使用 New-ReceiveConnector cmdlet 在命令行管理程序中创建连接器。此示例将创建具有所需设置的“从 Exchange 组织”接收连接器,并指定接收连接器将仅接受来自服务器 10.10.1.10 和 10.10.1.11 的邮件。
New-ReceiveConnector -Name "From Exchange Organization" -Usage Internal -RemoteIPRanges 10.10.1.10,10.10.1.11 -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS -Bindings 0.0.0.0:25
在边缘传输服务器上,在命令行管理程序中运行此命令,对“为已通过身份验证的邮件流配置凭据”一节中创建的本地用户帐户授予新建接收连接器的权限。
Add-AdPermission -Identity "Receive Connector Name" -User Edge\Contoso -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-Accept-Headers-Routing,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
重要
授予该帐户使其可以通过边缘传输服务器中继邮件的权限。确保保护帐户凭据以避免误用该帐户。
配置 Exchange 2003 以将邮件发送到边缘传输服务器
在 Exchange 2003 服务器上,创建 SMTP 连接器,将该连接器配置为通过边缘传输服务器中继所有 Internet 电子邮件并使用基于 TLS 的基本身份验证帮助确保连接安全,所需执行的步骤如下:
打开 Exchange 系统管理器。右键单击位于将驻留此连接器的服务器所在的路由组中的“连接器”容器,选择“新建”****,再选择“SMTP 连接器”。
备注
如果 Exchange 系统管理器中未显示路由组,请右键单击 Exchange 组织容器,选择“属性”,然后选中“显示路由组”复选框。
选择“常规”****选项卡。在“名称”字段中,键入此连接器的唯一名称。
选择“将通过此连接器的所有邮件转发到下列智能主机”****,然后键入边缘传输服务器的 IP 地址或 FQDN。如果输入 IP 地址,则必须将其括在方括号中,例如:[192.168.1.1]。
单击“添加”以添加本地桥头服务器。在“添加桥头”****对话框中,选择一个或多个 Exchange 2003 服务器。
选择“地址空间”选项卡,再单击“添加”****创建地址空间。在“添加地址空间”对话框中,选择 SMTP,再单击“确定”。
在“Internet 地址空间属性”****页中,输入 *,再单击“确定”。
选择“高级”****选项卡,再单击“出站安全”。在“出站安全”对话框中,选择“基本身份验证”,再单击“修改”。
在“出站连接凭据”****对话框中,输入在边缘传输服务器中创建的本地用户帐户的用户名,输入帐户密码,然后单击“确定”。
在“出站安全”****对话框中,选择“TLS 加密”。单击“确定”关闭“出站安全”对话框。单击“确定”。
使用匿名访问在边缘传输服务器和 Exchange 2003 组织之间配置邮件流
本节中的步骤将帮助您使用匿名访问在边缘传输服务器和 Exchange 2003 组织之间配置未经身份验证的邮件流。
需要首先分配权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“边缘传输服务器”条目。
配置 Exchange 2003 以接受来自边缘传输服务器的邮件
在 Exchange 2003 服务器或将接收来自边缘传输服务器的邮件的服务器上,确认 SMTP 虚拟服务器已配置为启用匿名访问:
- 打开 Exchange 系统管理器。展开“服务器”节点。展开所需服务器。展开“协议”节点。展开“SMTP”。右键单击“默认 SMTP 虚拟服务器”,然后选择“属性”。
- 单击“访问”****选项卡,然后单击“身份验证”。
- 在“身份验证”对话框中,选择“匿名访问”。单击“确定”。
为 Exchange 2003 服务器配置中继限制以使边缘传输服务器通过此虚拟服务器中继:
- 在“默认 SMTP 虚拟服务器属性”的“访问”****选项卡上,单击“中继”。
- 在“中继限制”对话框中,选择“仅以下列表”,然后单击“添加”。
- 在“计算机”对话框中,选择“一台计算机”指定 IP 地址,或选择“计算机组”指定 IP 地址范围。单击“确定”。
- 在“中继限制”对话框中,确保选中了“不管上表中如何设置,所有通过身份验证的计算机都可以进行中继”****复选框。单击“确定”。
- 单击“确定”****关闭“默认 SMTP 虚拟服务器属性”。
执行以下步骤,修改 Exchange 2003 桥头服务器中的注册表设置,以允许 Exchange 2003 服务器匿名发送和接收 XExch50 属性:
警告
不正确地编辑注册表时,可能导致出现严重问题,从而需要重新安装操作系统。因不正确地编辑注册表而导致出现的问题是能够解决的问题。在编辑注册表之前,请备份任何有用数据。
- 打开注册表编辑器。
- 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\XEXCH50
- 右键单击 XEXCH50,再选择“新建”|“DWORD 值”。键入值名称 SuppressExternal。默认情况下,值数据为 0。这表明 XEXCH50 属性被匿名传输到远程服务器上。
- 右键单击 XEXCH50,再选择“新建”|“项”****。键入 SMTP 虚拟服务器实例的编号作为项值。例如,默认的虚拟服务器实例是 1,则在服务器上创建的第二个 SMTP 虚拟服务器是 2。
- 右键单击刚才创建的项,指向“新建”,再单击“DWORD 值”****。
- 在详细信息窗格中,键入值名称 Exch50AuthCheckEnabled。默认情况下,值数据为 0。这表明当匿名发送电子邮件时,将传输 XEXCH50 属性。
创建从边缘传输服务器到 Exchange 2003 组织的发送连接器
使用 EMC 中的新建发送连接器向导,在边缘传输服务器上创建具有以下设置的发送连接器:
- 简介页:在“选择此发送连接器的预期用法”中,选择“内部”****。
- 地址空间页:键入 -- 字符,该字符是一个占位符,它代表接受域配置中的所有权威域和内部中继域。此外,可以将每个域列为独立的条目。
- 网络设置页:在“通过以下智能主机路由邮件”中,输入将从边缘传输服务器接收邮件的 Exchange 2003 桥头服务器的 IP 地址或 FQDN。如果将多个桥头服务器配置为智能主机,来自边缘传输服务器的连接将在各智能主机间实现负载平衡。
- 配置智能主机身份验证设置页:选择“外部安全(例如使用 IPsec)”。
在边缘传输服务器上创建接收连接器以接受来自 Exchange 2003 组织的邮件
使用 EMC 中的新建接收连接器向导,在边缘传输服务器上创建具有以下设置的接收连接器:
- 简介页:在“选择此接收连接器的预期用法”中,选择“内部”****。
- 远程网络设置页:删除所有网络范围,并添加将邮件中继到边缘传输服务器的 Exchange 2003 桥头服务器的 IP 地址。
创建连接器之后,通过在连接器属性的“身份验证”选项卡上选择“外部安全(例如使用 IPsec)”****,修改身份验证方法。清除所有其他身份验证选项。有关详细步骤,请参阅创建 SMTP 接收连接器和配置接收连接器属性。
另外,可以使用 New-ReceiveConnector cmdlet 在命令行管理程序中创建连接器。此示例将创建具有所需设置的“从 Exchange 组织”接收连接器,并指定接收连接器将仅接受来自服务器 10.10.1.10 和 10.10.1.11 的邮件。
New-ReceiveConnector -Name "From Exchange Organization" -Usage Internal -RemoteIPRanges 10.10.1.10,10.10.1.11 -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25
重要
如果为此接收连接器指定 IP 地址范围而不是特定的 IP 地址,则它将启用来自指定远程 IP 地址范围的所有连接,以通过边缘传输服务器中继邮件。在这种情况下,请确保在边缘传输服务器与 Exchange 组织之间存在受信任的网络连接。
配置 Exchange 2003 以将邮件发送到边缘传输服务器
在 Exchange 2003 服务器上,执行以下步骤,以创建配置为通过边缘传输服务器中继所有 Internet 电子邮件的 SMTP 连接器:
打开 Exchange 系统管理器。右键单击位于将驻留连接器的服务器所在的路由组中的“连接器”容器,选择“新建”****,然后选择“SMTP 连接器”。
备注
如果 Exchange 系统管理器中未显示路由组,请右键单击 Exchange 组织容器,选择“属性”,然后选中“显示路由组”复选框。
选择“常规”****选项卡。在“名称”字段中,键入此连接器的唯一名称。
选择“将通过此连接器的所有邮件转发到下列智能主机”****,然后键入边缘传输服务器的 IP 地址或 FQDN。如果输入 IP 地址,则必须将其括在方括号中,例如:[192.168.1.1]。
单击“添加”以添加本地桥头服务器。在“添加桥头”****对话框中,选择一个或多个 Exchange 2003 服务器。
选择“地址空间”选项卡,再单击“添加”****创建地址空间。在“添加地址空间”对话框中,选择 SMTP,再单击“确定”。
在“Internet 地址空间属性”****页中,输入 *,再单击“确定”。
单击“确定”****关闭 SMTP 连接器属性页。