了解边缘订阅
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2009-09-18
本主题提供有关边缘订阅和 EdgeSync 同步进程的详细信息。边缘订阅用于使用 Active Directory 目录服务数据填充 Microsoft Exchange Server 2007 边缘传输服务器角色上的 Active Directory 应用程序模式 (ADAM) 目录服务实例。
.gif "note") 注意: |
|---|
| Microsoft Exchange Server 2007 Service Pack 1 (SP1) 支持在 Windows Server 2008 计算机上部署服务器角色。如果在 Windows Server 2008 上安装边缘传输服务器,ADAM 将替换为 Active Directory 轻型目录服务 (AD LDS)。Windows Server 2008 包含多项已增强或重命名的功能。有关 Windows Server 2003 与 Windows Server 2008 之间的功能更改的信息,请参阅术语更改。 |
在 Exchange 2007 中,边缘传输服务器角色部署在组织的外围网络中。边缘传输服务器旨在最小化攻击面,并可处理所有面向 Internet 的邮件流,为 Exchange 组织提供简单邮件传输协议 (SMTP) 中继和智能主机服务。边缘传输服务器上运行的一系列代理提供更多的邮件保护层和安全层,当邮件传输组件处理邮件时,这一系列代理将作用于这些邮件。这些代理支持的功能可抵御病毒和垃圾邮件,并通过应用传输规则来控制邮件流。
尽管创建边缘订阅是可选操作,但是,为边缘传输服务器订阅 Exchange 组织可以简化管理员的管理工作,并增强可用的反垃圾邮件功能。如果计划使用反垃圾邮件功能(收件人查找或安全列表聚合),或计划使用相互传输层安全性 (TLS) 帮助保护与伙伴域的 SMTP 通信,则必须创建边缘订阅。
边缘订阅进程
安装了边缘传输服务器角色的计算机不能访问 Active Directory。边缘传输服务器处理邮件时所需的所有配置信息和收件人信息均存储在 ADAM 中。但是,其中许多信息也存储在 Active Directory 中。
创建边缘订阅后,可以自动并且安全地将信息从 Active Directory 复制到 ADAM。边缘订阅进程会设置凭据,用于在集线器传输服务器与订阅了站点的边缘传输服务器之间建立安全的轻型目录访问协议 (LDAP) 连接。然后,集线器传输服务器上运行的 Microsoft Exchange EdgeSync 服务定期执行单向同步,以便向 ADAM 传输数据,从而保持数据是最新的。通过允许您在集线器传输服务器角色上执行所需的配置,然后将该信息写入边缘传输服务器,此进程可以减少您必须在外围网络中执行的管理活动。
为边缘传输服务器订阅 Active Directory 站点。通过为边缘传输服务器订阅 Active Directory 站点,边缘传输服务器可以从 Active Directory 接收对 ADAM 的更新,并在边缘传输服务器与该站点中部署的集线器传输服务器之间建立同步关系。边缘订阅进程还会为边缘传输服务器创建 Active Directory 站点成员身份关联。站点关联使 Exchange 组织中的集线器传输服务器可以将邮件中继到边缘传输服务器,以传递到 Internet,而不必配置显式发送连接器。
可以为一个或多个边缘传输服务器订阅单个 Active Directory 站点。但是,不能为一个边缘传输服务器订阅多个 Active Directory 站点。如果部署了多个边缘传输服务器,可以为每个服务器订阅不同的 Active Directory 站点。每个边缘传输服务器需要各自的边缘订阅。订阅了站点的边缘传输服务器只能支持一个 Exchange 组织。
Microsoft Exchange EdgeSync 服务将下列数据从 Active Directory 复制到 ADAM:
发送连接器配置
接受域
远程域
邮件分类
安全发件人列表
收件人
TLS 发送域和接收域安全列表
内部 SMTP 服务器列表
订阅的 Active Directory 站点中的集线器传输服务器列表
有关复制到 ADAM 的数据及其使用方式的详细信息,请参阅 EdgeSync 复制数据。
若要部署边缘传输服务器并为其订阅 Active Directory 站点,请执行下列步骤:
| 注意: |
|---|
| 在订阅边缘传输服务器之前,必须输入产品密钥。 |
安装边缘传输服务器角色。
验证集线器传输服务器和边缘传输服务器是否可以使用 DNS 名称解析相互查找。有关此步骤的详细信息,请参阅配置 Exchange 2007 服务器的 DNS 设置。
配置要复制到边缘传输服务器的对象和设置。有关此步骤的详细信息,请参阅准备运行 Microsoft Exchange EdgeSync 服务。
在边缘传输服务器的 Exchange 命令行管理程序中运行 New-EdgeSubscription cmdlet,来导出边缘订阅文件。
将边缘订阅文件复制到集线器传输服务器。
在 Exchange 命令行管理程序中运行 New-EdgeSubscription cmdlet 或使用 Exchange 管理控制台中的“新建边缘订阅”向导,来导入边缘订阅文件。
下图说明了边缘订阅进程。
边缘订阅进程
.gif "边缘订阅文件导入和导出过程")
在边缘传输服务器上运行 New-EdgeSubscription cmdlet 时,会执行下列操作:
创建 ADAM 帐户。此帐户称为 EdgeSync bootstrap 复制帐户 (ESBRA)。这些凭据用于验证与边缘传输服务器的初次 EdgeSync 连接。该帐户配置为在创建后 1,440 分钟(24 小时)过期。因此,必须在过期前完成订阅进程。如果 ESBRA 在边缘订阅进程完成前已过期,则必须在边缘传输服务器上再次运行 New-EdgeSubscription cmdlet,来新建边缘订阅文件。
从 ADAM 检索 ESBRA 凭据并写入边缘订阅文件。边缘传输服务器的自签名证书的公钥也会导出到边缘订阅文件。写入边缘订阅文件的凭据针对所导出文件的源服务器。
从 ADAM 中删除某个类中所有以前创建的、现在将从 Active Directory 复制到 ADAM 的配置对象,并禁用用于配置这些对象的 Exchange 命令行管理程序任务。仍可以使用用于查看这些对象的任务。运行 New-EdgeSubscription cmdlet 时,边缘传输服务器上将禁用下列任务:
Set-SendConnector
New-SendConnector
Remove-SendConnector
New-AcceptedDomain
Set-AcceptedDomain
Remove-AcceptedDomain
New-MessageClassification
Set-MessageClassification
Remove-MessageClassification
New-RemoteDomain
Set-RemoteDomain
Remove-RemoteDomain
通过在 Exchange 命令行管理程序中运行 New-EdgeSubscription cmdlet 或使用 Exchange 管理控制台中的“新建边缘订阅”向导在集线器传输服务器上导入边缘订阅文件时,会执行下列操作:
创建边缘订阅,为已加入 Exchange 组织并且 Microsoft Exchange EdgeSync 服务将向其传播配置数据的边缘传输服务器建立一条记录。此步骤在 Active Directory 中创建边缘配置对象。
Active Directory 站点中的每个集线器传输服务器从 Active Directory 收到已为新边缘传输服务器订阅的通知。集线器传输服务器从边缘订阅文件中检索 ESBRA。然后,集线器传输服务器使用边缘传输服务器的自签名证书的公钥为 ESBRA 加密。加密后的凭据将被写入边缘配置对象。
每个集线器传输服务器还使用自己的公钥为 ESBRA 加密,然后将凭据存储在自己的配置对象中。
在 Active Directory 中为每个边缘传输服务器/集线器传输服务器对创建 EdgeSync 复制帐户 (ESRA)。每个集线器传输服务器将其 ESRA 凭据作为集线器传输服务器配置对象的属性进行存储。
自动创建发送连接器,以便将出站邮件从边缘传输服务器中继到 Internet,并将入站邮件从边缘传输服务器中继到 Exchange 组织。有关 Microsoft Exchange EdgeSync 服务如何设置发送连接器的详细信息,请参阅 EdgeSync 和发送连接器。
集线器传输服务器上运行的 Microsoft Exchange EdgeSync 服务使用 ESBRA 凭据在集线器传输服务器与边缘传输服务器之间建立安全的 LDAP 连接并执行初次数据复制。下列数据将被复制到 ADAM:
拓扑数据
配置数据
收件人数据
ESRA 凭据
边缘传输服务器上运行的 Microsoft Exchange 凭据服务将安装 ESRA 凭据。这些凭据用于验证并保护以后的同步连接。
制订 EdgeSync 同步计划。
在为边缘传输服务器订阅的 Active Directory 站点中,集线器传输服务器上运行的 Microsoft Exchange EdgeSync 服务现在将定期从 Active Directory 向 ADAM 单向复制数据。还可以在 Exchange 命令行管理程序中使用 Start-EdgeSynchronization cmdlet,以覆盖 EdgeSync 同步计划并立即开始同步。
有关 ESRA 帐户以及如何使用这些帐户帮助保护 EdgeSync 同步进程的详细信息,请参阅了解边缘订阅凭据。
Microsoft Exchange EdgeSync 服务
Microsoft Exchange EdgeSync 服务是集线器传输服务器上的数据同步服务,定期将配置数据从 Active Directory 复制到订阅了站点的边缘传输服务器。
Microsoft Exchange EdgeSync 服务负责使用来自 Active Directory 的信息更新 ADAM。Exchange 组织内部的集线器传输服务器将数据从 Active Directory 复制到外围网络中的边缘传输服务器。Microsoft Exchange EdgeSync 服务使用安全 LDAP 通道传输此数据。将从集线器传输服务器向边缘传输服务器建立一个相互验证和授权的安全 LDAP 通道。
为了将数据复制到 ADAM,集线器传输服务器绑定到全局编录服务器以检索更新的数据。Microsoft Exchange EdgeSync 服务通过非标准 TCP 端口 50636 在集线器传输服务器与订阅了站点的边缘传输服务器之间建立安全 LDAP 会话。EdgeSync 同步进程从 Active Directory 向 ADAM 单向复制数据。ADAM 中更改的数据不会同步到 Active Directory。
下图说明了 EdgeSync 同步进程。
EdgeSync 同步进程
.gif "EdgeSync 同步过程")
初次复制使用来自 Active Directory 的数据填充 ADAM,根据目录服务中的数据量,可能会需要一些时间。后续的同步将使用新对象和更改的对象更新 ADAM,并删除任何已从 Active Directory 中删除的对象。
在同步间隔内可以同步到 ADAM 的目录服务更改完全取决于已复制到集线器传输服务器所绑定的全局编录服务器的数据。集线器传输服务器将绑定到 Microsoft Exchange Active Directory 拓扑服务在 Exchange 2007 服务器启动时发现的全局编录服务器。绑定到全局编录服务器后,可以确保将林中每个域的收件人数据传播到 ADAM。
不同类型的数据按照不同的计划进行同步。EdgeSync 同步计划指定 EdgeSync 同步间隔之间的最长时间。按下列间隔进行 EdgeSync 同步:
安排每隔一个小时同步一次配置数据。
安排每隔四个小时同步一次收件人数据。
每隔 5 分钟重新加载一次拓扑数据。
EdgeSync 同步计划间隔不可配置。
如果在集线器传输服务器的 Exchange 命令行管理程序中使用 Start-EdgeSynchronization cmdlet,来强制立即进行边缘订阅同步,则将覆盖确定下次 EdgeSync 同步的计划时间的计时器。
有关 Microsoft Exchange EdgeSync 服务和 EdgeSync 同步的详细信息,请参阅了解 EdgeSync 同步进程。
重新订阅边缘传输服务器
有时,可能必须为边缘传输服务器重新订阅 Active Directory 站点。重新创建边缘订阅后,将生成新凭据,并且必须执行完整的边缘订阅进程。请在下列方案中使用此进程:
新集线器传输服务器已部署在订阅的 Active Directory 站点中,并且希望新服务器参与 EdgeSync 同步。有关此方案的详细信息,请参阅本主题后文的“添加或删除集线器传输服务器”。
在创建边缘订阅后应用了边缘传输服务器的许可密钥。边缘传输服务器的许可信息在创建边缘订阅时捕获,并显示在 Exchange 组织的 Exchange 管理控制台中。若要使订阅了站点的边缘传输服务器作为经过许可的服务器出现,必须在边缘传输服务器上应用许可密钥后为其订阅 Exchange 组织。如果在执行边缘订阅进程后在边缘传输服务器上应用许可密钥,则不会更新 Exchange 组织中的许可信息,必须重新订阅边缘传输服务器。
将 Exchange 服务器升级到更新的内部版本之后,需要确保 Exchange 服务器的版本信息已同步。在这种情况下,边缘传输服务器的内部版本号不会复制到其他服务器角色。这是因为 EdgeSync 同步进程提供的是从 Active Directory 到 AD 轻型目录服务的单向数据复制。有关详细信息,请参阅了解 EdgeSync 同步进程主题的“Microsoft Exchange EdgeSync 服务”部分。
ESRA 凭据出现问题。
.gif "important") 要点: |
|---|
| 若要重新订阅边缘传输服务器,请在边缘传输服务器上导出新边缘订阅文件,然后在集线器传输服务器上导入 XML 文件。必须为边缘传输服务器重新订阅原来所订阅的同一个 Active Directory 站点。不必先删除原来的边缘订阅。重新订阅进程将覆盖现有的边缘订阅。 |
删除边缘订阅
有些方案中,可能必须将边缘订阅从 Exchange 组织中删除,或者从 Exchange 组织中和边缘传输服务器上同时删除。如果将为边缘传输服务器重新订阅该 Exchange 组织,请不要将边缘订阅从边缘传输服务器上删除。将边缘订阅从边缘传输服务器上删除时,会将所有复制的数据从 ADAM 中删除。如果收件人数据很多,则可能需要很长时间。
下表提供了要求删除边缘订阅的情况示例。
不再希望边缘传输服务器参与 EdgeSync 同步进程。在此方案中,必须将边缘订阅从边缘传输服务器上和 Exchange 组织中同时删除。
正在取消边缘传输服务器。在此方案中,必须只将边缘订阅从 Exchange 组织中删除。如果将边缘传输服务器角色从计算机上卸载,ADAM 实例以及 ADAM 中存储的所有 Active Directory 数据也将被删除。
希望更改边缘订阅的 Active Directory 站点关联。在此方案中,必须只将边缘订阅从 Exchange 组织中删除。将边缘订阅从 Exchange 组织中删除后,可以为边缘传输服务器重新订阅其他 Active Directory 站点。
如果希望删除边缘订阅,请执行下列步骤:
停止边缘传输服务器上的邮件流。禁用边缘传输服务器上的所有接收连接器,使其无法接收任何新邮件,等待队列处理完毕。
在 Exchange 组织内部的集线器传输服务器上运行 Remove-EdgeSubscription cmdlet,来删除边缘订阅。如果不希望重新订阅边缘传输服务器,在集线器传输服务器上执行此步骤后,还应在边缘传输服务器上运行此 cmdlet。
将边缘订阅从 Exchange 组织中删除后,效果如下:
从 Active Directory 向 ADAM 的信息同步停止。
ESRA 帐户从 Active Directory 和 ADAM 中同时删除。
安装了边缘传输服务器角色的计算机从任何发送连接器的源服务器列表中删除。
从边缘传输服务器到 Exchange 组织的自动入站发送连接器从 ADAM 中删除。
将边缘订阅从集线器传输服务器上删除后,效果如下:
您无法再使用依赖于 Active Directory 数据的边缘传输服务器功能。
复制的数据从 ADAM 中删除。
创建边缘订阅时禁用的任务将重新启用,以便进行本地配置。
根据删除边缘订阅的原因,您可能希望为同一个边缘传输服务器重新订阅原来为其订阅的 Active Directory 站点,也可能希望为其订阅其他 Active Directory 站点。重新创建边缘订阅后,将生成新凭据,并且必须执行完整的边缘订阅进程。
如果要将边缘订阅服务器从服务中删除,请执行如何从服务器上完全删除 Exchange 2007中所述的步骤。
添加边缘传输服务器
可以为一个或多个边缘传输服务器订阅单个 Active Directory 站点。如果在外围网络中部署其他边缘传输服务器,并且为其订阅已存在边缘订阅的同一个 Active Directory 站点,会执行下列操作:
在 Active Directory 中新建边缘订阅对象。
为 Active Directory 站点中的每个集线器传输服务器创建其他 ESRA 帐户。在与新服务器同步期间,这些帐户将被复制到 ADAM 并供 EdgeSync 同步进程使用。
新边缘订阅将添加到自动 Internet 发送连接器的源服务器列表中。已提交到该连接器进行处理的邮件将在订阅了站点的边缘传输服务器之间平衡负载。
自动创建从边缘传输服务器到 Exchange 组织的入站发送连接器。
开始向边缘传输服务器进行 EdgeSync 同步。
添加或删除集线器传输服务器
如果集线器传输服务器被添加到已为边缘传输服务器订阅的 Active Directory 站点,则不会自动参与 EdgeSync 同步过程。若要使新部署的集线器传输服务器能够参与 EdgeSync 同步进程,必须为每个边缘传输服务器重新订阅 Active Directory 站点。
将集线器传输服务器从为边缘传输服务器订阅的 Active Directory 站点中删除时,不会影响 EdgeSync 同步,除非该集线器传输服务器是该站点中的最后一个集线器传输服务器。如果将所有集线器传输服务器从为边缘传输服务器订阅的 Active Directory 站点中删除,订阅了站点的边缘传输服务器将被孤立。
验证 EdgeSync 结果
EdgeSync 同步进程中出现的任何错误将报告给 Windows 事件查看器的应用程序日志。这些错误通常在集线器传输服务器上出现。但是,如果长时间未进行同步,订阅了站点的边缘传输服务器将报告错误。
Test-EdgeSynchronization 是一个诊断 cmdlet,提供订阅了站点的边缘传输服务器的同步状态报告。如果手动运行此任务,可以向管理员提供有用的信息。Microsoft Operations Manager 也可以调用此 cmdlet。Microsoft Operations Manager 调用该任务时,如果边缘传输服务器未同步,则将生成警报。
如果不再同步边缘传输服务器,Test-EdgeSynchronization cmdlet 将提供主动警报。通过此 cmdlet 的输出可以查看哪些对象尚未同步到边缘传输服务器。该任务将 Active Directory 中存储的数据与 ADAM 中存储的数据进行比较。数据中的任何不一致都会在此命令输出的结果中报告。
可以在 Test-EdgeSynchronization cmdlet 中使用 ExcludeRecipientTest 参数来排除收件人数据同步的验证。如果包含此参数,将只验证配置对象同步。验证收件人数据是否同步需要的时间要长于只验证配置数据需要的时间。
如果希望验证特定收件人的 EdgeSync 同步结果,可以使用 Ldp.exe 查看 ADAM 中存储的收件人属性。必须通过 Active Directory GUID 查找收件人,并且由于数据以哈希形式发送,所以还必须可以解释在查看收件人详细信息时返回的信息。此工具只应当用于查看收件人信息,不应当用于修改 ADAM 中的数据。有关详细信息,请参阅如何验证收件人的 EdgeSync 结果。
Exchange 2007 SP1 中的新增功能
如果已将 Exchange 2007 SP1 安装在集线器传输服务器角色上,可以使用包含 VerifyRecipient 参数的 Test-EdgeSynchronization cmdlet 来验证单个收件人的 EdgeSync 同步状态。您通过代理地址指定收件人。运行 Test-EdgeSynchronization cmdlet 时返回的结果指示收件人是否已同步。
详细信息
有关详细信息,请参阅下列主题: