Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-02-01

В этом разделе приведены подробные сведения о пограничных подписках и процессе синхронизации EdgeSync. Пограничные подписки используются для заполнения экземпляра служб облегченного доступа к каталогам (AD LDS) службы Служба каталогов Active Directory для роли пограничного транспортного сервера Microsoft Exchange Server 2010 данными службы каталогов Служба каталогов Active Directory.

В Exchange 2010 роль пограничного транспортного сервера развертывается в демилитаризованной зоне организации. Пограничный транспортный сервер, предназначенный для уменьшения уязвимости, обрабатывает весь поток почты, получаемой из Интернета и отправляемой в Интернет, обеспечивая ретрансляцию SMTP и работу служб промежуточных узлов организации Exchange. Дополнительные уровни защиты и безопасности сообщений обеспечиваются рядом агентов, которые работают на пограничном транспортном сервере и выполняют операции с сообщениями при их обработке компонентами транспорта сообщений. Эти агенты поддерживают средства, которые обеспечивают защиту от вирусов и нежелательной почты и применяют правила транспорта для управления потоком сообщений.

Хотя пограничную подписку создавать необязательно, подписка пограничного транспортного сервера на организацию Exchange упрощает управление для администратора и расширяет доступные возможности защиты от нежелательной почты. Пограничную подписку необходимо создавать, если планируется использовать, поиск получателей или объединение списков надежных отправителей или защищать связь по протоколу SMTP с доменами партнеров с помощью протокола Mutual TLS.

Необходимы сведения о других задачах управления, связанных с управлением транспортными серверами? См. раздел Управление транспортными серверами.

Содержание

Процесс пограничной подписки

Служба Microsoft Exchange EdgeSync

Управление пограничными подписками

Процесс пограничной подписки

В типичном сценарии развертывания компьютер, на котором установлена роль пограничного транспортного сервера, не имеет доступа к Служба каталогов Active Directory. Все сведения о конфигурации и получателях, которые пограничный транспортный сервер использует для обработки сообщений, хранятся в службах AD LDS. При создании пограничной подписки обеспечивается надежная автоматическая репликация сведений из Служба каталогов Active Directory в AD LDS. В процессе пограничной подписки создаются учетные данные, которые используются для установки безопасного подключения по протоколу LDAP между транспортными серверами-концентраторами и подписанным пограничным транспортным сервером. После этого служба Microsoft Exchange EdgeSync, запущенная на транспортных серверах-концентраторах, периодически выполняет одностороннюю синхронизацию для передачи данных в AD LDS и их обновления. Эта процедура уменьшает количество задач администрирования, которые требуется выполнять в демилитаризованной зоне, за счет возможности выполнения необходимой настройки на транспортном сервере-концентраторе и последующей записи этих данных на пограничный транспортный сервер.

Транспортный пограничный сервер необходимо подписать на сайт Служба каталогов Active Directory, содержащий транспортные серверы-концентраторы, которые должны напрямую обмениваться сообщениями с транспортными пограничными серверами организации. В процессе пограничной подписки создается членство в сайте Служба каталогов Active Directory для пограничного транспортного сервера. Это членство позволяет транспортным серверам-концентраторам в организации Exchange передавать сообщения на пограничный транспортный сервер для доставки в Интернет без настройки явных соединителей отправки.

На один сайт Служба каталогов Active Directory могут быть подписаны несколько пограничных транспортных серверов. Тем не менее, пограничный транспортный сервер нельзя подписать на несколько сайтов Служба каталогов Active Directory. Если развернуто несколько пограничных транспортных серверов, каждый из них должен быть подписан на отдельный сайт Служба каталогов Active Directory. Для каждого пограничного транспортного сервера требуется индивидуальная пограничная подписка.

Чтобы развернуть пограничный транспортный сервер и подписать его на сайт Служба каталогов Active Directory, выполните указанные ниже действия.

  1. Установите роль пограничного транспортного сервера.

  2. Убедитесь, что транспортные серверы-концентраторы и пограничный транспортный сервер могут находить друг друга с помощью разрешения имен DNS.

  3. Настройте объекты и параметры, которые необходимо реплицировать на пограничный транспортный сервер.

  4. На пограничном транспортном сервере создайте и экспортируйте файл пограничной подписки. Дополнительные сведения об этом шаге см. в разделе Создание файла пограничной подписки.

  5. Скопируйте файл пограничной подписки на транспортный сервер-концентратор или в общий файловый ресурс, доступный с сайта Служба каталогов Active Directory , на котором расположены транспортные серверы-концентраторы.

  6. Импортируйте файл пограничной подписки на сайт Служба каталогов Active Directory, на который необходимо подписать пограничный транспортный сервер. Дополнительные сведения об этом шаге см. в разделе Создание пограничной подписки.

На следующем рисунке показан процесс пограничной подписки.


Процесс импорта и экспорта файла пограничной подписки

Изменения конфигурации, внесенные при создании пограничной подписки

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере для создания файла пограничной подписки происходят следующие действия.

  • Создается учетная запись служб AD LDS. Эта учетная запись называется учетной записью репликации начальной загрузки EdgeSync (ESBRA). Эти учетные данные используются для проверки подлинности первого подключения EdgeSync к пограничному транспортному серверу. Срок действия учетной записи истекает через 1400 минут (24 часа) после ее создания. Поэтому в течение этого времени необходимо завершить процесс подписки. Если срок действия записи ESBRA истечет до завершения процесса пограничной подписки, необходимо снова выполнить командлет New-EdgeSubscription на пограничном транспортном сервере, чтобы создать новый файл пограничной подписки.

  • Учетные данные ESBRA извлекаются из службы AD LDS и записываются в файл пограничной подписки. В файл пограничной подписки также экспортируется открытый ключ самозаверяющего сертификата пограничного транспортного сервера. Учетные данные, записываемые в файл пограничной подписки, зависят от сервера, с которого экспортируется файл.

  • Все ранее созданные объекты конфигурации в классе, который будет реплицироваться в AD LDS из Служба каталогов Active Directory, удаляются из AD LDS, а команды командной консоли Exchange, используемые для их настройки, отключаются. Тем не менее можно использовать командлеты для просмотра этих объектов. При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере отключаются следующие командлеты:

    • Set-SendConnector

    • New-SendConnector

    • Remove-SendConnector

    • New-AcceptedDomain

    • Set-AcceptedDomain

    • Remove-AcceptedDomain

    • New-MessageClassification

    • Set-MessageClassification

    • Remove-MessageClassification

    • New-RemoteDomain

    • Set-RemoteDomain

    • Remove-RemoteDomain

При импорте файла пограничной подписки на транспортном сервере-концентраторе с помощью командлета New-EdgeSubscription командной консоли или мастера создания пограничной подписки в консоли управления Exchange происходят следующие действия.

  • Создается пограничная подписка, при этом создается запись пограничного транспортного сервера, который был присоединен к организации Exchange и для которого служба Microsoft Exchange EdgeSync будет распространять данные конфигурации. На этом этапе создается объект пограничной конфигурации в Служба каталогов Active Directory.

  • Каждый транспортный сервер-концентратор на сайте Служба каталогов Active Directory получает уведомление от Служба каталогов Active Directory о том, что подписан новый пограничный транспортный сервер. Транспортный сервер-концентратор получает ESBRA из файла пограничной подписки. После этого транспортный сервер-концентратор шифрует ESBRA с использованием открытого ключа самозаверяющего сертификата пограничного транспортного сервера. Зашифрованные учетные данные затем записываются в объект пограничной конфигурации.

  • Каждый транспортный сервер-концентратор также шифрует ESBRA с помощью собственного открытого ключа и сохраняет учетные данные в своем объекте конфигурации.

  • В Служба каталогов Active Directory создаются учетные записи репликации EdgeSync (ESRA) для каждой пары транспортного сервера-концентратора и пограничного транспортного сервера. Каждый транспортный сервер-концентратор хранит свои учетные данные ESRA в качестве атрибута объекта конфигурации транспортного сервера-концентратора.

  • Соединители отправки автоматически создаются для передачи исходящих сообщения с пограничного транспортного сервера в Интернет и входящих сообщений с пограничного транспортного сервера в организацию Exchange.

  • Служба Microsoft Exchange EdgeSync, работающая на транспортных серверах-концентраторах, использует учетные данные ESBRA для установления безопасного подключения LDAP между транспортным сервером-концентратором и пограничным транспортным сервером, и выполняет первоначальную репликацию данных. В службу AD LDS реплицируются следующие данные:

    • данные топологии;

    • данные конфигурации;

    • данные получателей;

    • учетные данные ESRA.

  • Служба учетных данных Microsoft Exchange, которая выполняется на пограничном транспортном сервере, устанавливает учетные данные ESRA. Эти учетные данные используются для проверки подлинности и защиты последующих соединений синхронизации.

  • Устанавливается расписание синхронизации EdgeSync.

После этого служба EdgeSync Microsoft Exchange, запущенная на транспортных серверах-концентраторах сайта Служба каталогов Active Directory, на который подписан пограничный транспортный сервер, будет регулярно выполнять одностороннюю репликацию данных из Служба каталогов Active Directory в AD LDS. Можно также использовать командлет Start-EdgeSynchronization в командной консоли, чтобы переопределить расписание синхронизации EdgeSync и начать синхронизацию немедленно.

Дополнительные сведения об учетных записях ESRA и их использовании для защиты процесса синхронизации EdgeSync см. в разделе Общие сведения об учетных данных пограничной подписки.

Соединители отправки, созданные в процессе пограничной подписки

По умолчанию при завершении процесса пограничной подписки посредством импорта файла пограничной подписки на транспортный сервер-концентратор соединители отправки, необходимые для сквозного потока почты между Интернетом и организацией Exchange, создаются автоматически. Все имеющиеся на пограничном транспортном сервере соединители отправки удаляются. Хотя такой метод рекомендуется, тем не менее можно запретить автоматическое создание соединителей отправки и настроить соединители отправки вручную. Дополнительные сведения о настройке соединителей отправки вручную см. в разделе Настройка потока почты между пограничным транспортным сервером и транспортными серверами-концентраторами без использования EdgeSync.

В процессе синхронизации EdgeSync подготавливаются следующие соединители отправки:

  • соединитель отправки, настроенный для ретрансляции сообщений электронной почты из организации Exchange в Интернет;

  • соединитель отправки, настроенный для ретрансляции сообщений электронной почты с пограничного транспортного сервера в организацию Exchange.

Также при подписке пограничного транспортного сервера на организацию Exchange транспортным серверам-концентраторам, расположенным на сайте Служба каталогов Active Directory, на который подписан пограничный транспортный сервер, разрешается использовать внутриорганизационный соединитель отправки для ретрансляции сообщений на этот пограничный транспортный сервер.

Автоматическое создание соединителя отправки для отправки сообщений в Интернет

По умолчанию при выполнении командлета New-EdgeSubscription в командной консоли на транспортном сервер-концентраторе для параметра CreateInternetSendConnector устанавливается значение $true. При этом создается соединитель отправки, необходимый для отправки сообщений в Интернет. В следующей таблице показана конфигурация по умолчанию для этого соединителя отправки.

Конфигурация автоматически создаваемого соединителя отправки для Интернета

Параметр Значение

Имя

EdgeSync - <имя_сайта> to Internet

Адресное пространство

SMTP:*;100

Исходные серверы

Имя пограничной подписки

Примечание.
Имя пограничной подписки совпадает с именем подписанного пограничного транспортного сервера.

Включен

True

Маршрутизация DNS включена

True

Безопасность домена включена (проверка подлинности Mutual TLS)

True

Если на один сайт Служба каталогов Active Directory подписано несколько пограничных транспортных серверов, дополнительные соединители отправки в Интернет не создаются. Вместо этого все пограничные подписки добавляются к одному соединителю отправки в качестве исходных серверов. Такая конфигурация позволяет выполнять балансировку нагрузки исходящих подключений к Интернету между подписанными пограничными транспортными серверами.

Этот соединитель отправки настроен на отправку сообщений электронной почты из организации Exchange на все удаленные домены SMTP. Для разрешения имен доменов в записи MX ресурса этот соединитель будет использовать маршрутизацию DNS. Конфигурацию этого соединителя можно изменить вручную. Однако если необходимо настроить маршрутизацию исходящей электронной почты через промежуточный сайт, можно запретить создание этого соединителя и настроить соединитель отправки в Интернет вручную.

Примечание.
Для параметра DNSRoutingEnabled соединителя отправки, настроенного на использование промежуточного сайта для маршрутизации электронной почты, должно быть установлено значение $false. Если значение параметра DNSRoutingEnabled равно $false, то для параметра DomainSecureEnabled также необходимо установить значение $false.

Автоматическое создание соединителя отправки для входящих подключений

По умолчанию при выполнении командлета New-EdgeSubscription в командной консоли на транспортном сервер-концентраторе для параметра CreateInboundSendConnector устанавливается значение $true. При этом создается соединитель отправки, необходимый для отправки сообщений в организацию Exchange. В следующей таблице показана конфигурация этого соединителя отправки.

Конфигурация автоматически создаваемого соединителя отправки для входящих подключений

Параметр Значение

Имя

EdgeSync - Inbound to <имя_сайта>

Адресное пространство

SMTP:--;1

Исходные серверы

Имя пограничной подписки

Включен

True

Маршрутизация DNS включена

False

Промежуточные сайты

--

Прототип -- в адресном пространстве соединителя отправки для входящих подключений представляет заслуживающие доверия обслуживаемые домены и обслуживаемые домены внутренней ретрансляции для организации Exchange и является литералом. Все сообщения, которые получает пограничный транспортный сервер для заслуживающих доверия обслуживаемых доменов и обслуживаемых доменов внутренней ретрансляции, маршрутизируются на этот соединитель отправки и ретранслируются на промежуточные сайты.

Прототип -- в списке промежуточных сайтов представляет все транспортные серверы-концентраторы, расположенные на подписанном сайте Служба каталогов Active Directory и является литералом. Транспортные серверы-концентраторы, которые добавляются на сайт Служба каталогов Active Directory после создания пограничной подписки, не участвуют в процессе синхронизации EdgeSync. Тем не менее они автоматически добавляются в список промежуточных сайтов для соединителя отправки для входящих подключений. Если на подписанном сайте Служба каталогов Active Directory расположено несколько транспортных серверов-концентраторов, входящие подключения будут распределяться между промежуточных сайтов для балансировки нагрузки.

Адресное пространство и список промежуточных сайтов автоматически создаваемого соединителя отправки для входящих подключений изменить нельзя. Тем не менее при создании пограничной подписки для параметра CreateInboundSendConnector можно установить значение $false и вручную настроить соединитель отправки с пограничного транспортного сервера в организацию Exchange.

Внутриорганизационный соединитель отправки

Внутриорганизационный соединитель отправки — это скрытый и неявный соединитель отправки, который вычисляется сервером Exchange 2010 автоматически и позволяет транспортным серверам-концентраторам в одной организации ретранслировать сообщения друг другу без использования явных соединителей отправки. Так как для пограничной подписки в службе каталогов Служба каталогов Active Directory существует объект конфигурации, сопоставленный с сайтом Служба каталогов Active Directory, внутриорганизационный соединитель отправки также будет использоваться для ретрансляции сообщений на пограничный транспортный сервер.

Получать сообщения непосредственно с подписанного пограничного транспортного сервера и отправлять их на него могут только транспортные серверы-концентраторы, расположенные на сайте Служба каталогов Active Directory, на который подписан этот пограничный транспортный сервер. Если в лесу имеется несколько сайтов и сервер Exchange 2010 развернут на нескольких сайтах, транспортные серверы-концентраторы на неподписанных сайтах будут маршрутизировать исходящую электронную почту на подписанный сайт. Транспортный сервер-концентратор на подписанном сайте будет маршрутизировать исходящую электронную почту на пограничный транспортный сервер.

Создание дополнительных соединителей отправки после завершения пограничной подписки

После подписки пограничного транспортного сервера на сайт Служба каталогов Active Directory задачи создания и изменения соединителей отправки на пограничном транспортном сервере отключаются. Если необходимо создать соединитель отправки, для которого пограничный транспортный сервер будет являться исходным сервером, он создается внутри организации Exchange. В качестве исходного сервера для соединителя отправки можно задать одну или несколько пограничных подписок. В качестве исходных серверов для одного соединителя отправки нельзя одновременно указывать транспортные серверы-концентраторы и пограничные подписки. Соединитель отправки будет реплицирован в экземпляр AD LDS на пограничном транспортном сервере, который настроен в качестве исходного сервера, при следующей синхронизации данных конфигурации с помощью процесса синхронизации EdgeSync. При наличии нескольких пограничных подписок, назначенных в качестве исходного сервера для соединителя отправки, подключения к нему будут распределяться между подписанных пограничных транспортных серверов для балансировки нагрузки. Однако балансировка нагрузки возможна только в том случае, если пограничные транспортные серверы подписаны на один сайт Служба каталогов Active Directory. Если в качестве исходных серверов одного соединителя отправки настроены пограничные подписки на разных сайтах Служба каталогов Active Directory, транспортные серверы-концентраторы будут маршрутизировать сообщения только на ближайший исходный сервер.

Соединители отправки требуется создавать вручную в следующих случаях:

  • автоматическое создание соединителей отправки в Интернет и для входящих подключений было отменено;

  • существуют обслуживаемые домены, настроенные в качестве доменов внешней ретрансляции.

Запрет автоматического создания соединителей отправки

В зависимости от топологии организации Exchange может потребоваться запретить автоматическое создание соединителей отправки. Ниже приведены примеры топологий, в которых требуется запретить автоматическое создание соединителей отправки.

Разделение потока почты

Можно разделить обработку входящей и исходящей почты между двумя пограничными транспортными серверами. В этом случае один пограничный транспортный сервер будет отвечать за обработку исходящего потока почты, а второй — за обработку входящего потока почты. Для реализации этого сценария необходимо настроить пограничные подписки, как описано ниже.

  • Для пограничного транспортного сервера, который будет обрабатывать только исходящий поток почты, выполните на транспортном сервере-концентраторе в командной консоли следующую команду:

    Скопировать код
    New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeServerSubscription.xml" -Encoding Byte -ReadCount 0)) -Site "Site-A" -CreateInboundSendConnector $false -CreateInternetSendConnector $true
    
  • Для пограничного транспортного сервера, который будет обрабатывать только входящий поток почты, выполните на транспортном сервере-концентраторе в командной консоли следующую команду:

    Скопировать код
    New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeServerSubscription.xml" -Encoding Byte -ReadCount 0)) -Site "Site-A" -CreateInboundSendConnector $true -CreateInternetSendConnector $false
    
Маршрутизация исходящей электронной почты на промежуточный сайт

Если организация Exchange маршрутизирует всю исходящую электронную почту через промежуточный сайте, автоматически создаваемый соединитель отправки в Интернет по умолчанию будет иметь неправильную конфигурацию.

Чтобы запретить в этом случае автоматическое создание соединителя отправки в Интернет, выполните на транспортном сервере-концентраторе в командной консоли следующую команду:

Скопировать код
New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeServerSubscription.xml" -Encoding Byte -ReadCount 0)) -Site "Site-A" -CreateInternetSendConnector $false

После завершения процесса пограничной подписки создайте соединитель отправки в Интернет вручную. Создайте соединитель отправки в организации Exchange и выберите пограничную подписку в качестве исходного сервера для этого соединителя. Выберите тип использования Настраиваемая и настройте один или несколько промежуточных сайтов. Соединитель отправки будет реплицирован в экземпляр AD LDS на пограничном транспортном сервере при следующей синхронизации данных конфигурации EdgeSync. Можно также принудительно запустить немедленную синхронизацию EdgeSync. Для этого на транспортном сервере-концентраторе в командной консоли выполните командлет Start-EdgeSynchronization.

Следующий код является примером использования командной консоли для настройки соединителя отправки подписанного пограничного транспортного сервера для маршрутизации сообщений во все адресные пространства Интернета через промежуточный сайт. Эта задача выполняется внутри организации Exchange, а не на пограничном транспортном сервере.

Скопировать код
New-SendConnector -Name "EdgeSync - Site-A to Internet" -Usage Custom -AddressSpaces SMTP:*;100 -DNSRoutingEnabled $false -SmartHosts 192.168.10.1 -SmartHostAuthMechanism None -SourceTransportServers EdgeSubscriptionName
Важно!
В этом примере не задан способ проверки подлинности промежуточного сайта. При создании соединителя промежуточного сайта в организации Exchange проверьте правильность настройки способа проверки подлинности и наличие всех необходимых учетных данных.

Настройка соединителей отправки для доменов внешней ретрансляции

Если в организации Exchange имеются обслуживаемые домены, которые настроены в качестве доменов внешней ретрансляции, соединители отправки для таких адресных пространств необходимо создавать вручную. Передачу сообщений, которые доставляются в домены внешней ретрансляции, выполняет пограничный транспортный сервер. В процессе пограничной подписки не происходит автоматического создания и настройки соединителей отправки для доменов внешней ретрансляции. Поэтому необходимо настроить соединители отправки для этих доменов и указать для них одну или несколько пограничных подписок в качестве исходного сервера.

Запись ресурса DNS MX для домена внешней ретрансляции разрешается в пограничный транспортный сервер. Настройте соединитель отправки, который передает электронную почту в домен внешней ретрансляции, на использование для маршрутизации промежуточного сайта. Настройка соединителя отправки для домена внешней ретрансляции на использование маршрутизации DNS может привести к зацикливанию маршрутизации. Дополнительные сведения о доменах внешней ретрансляции см. в разделе Общие сведения об обслуживаемых доменах.

В начало

Служба Microsoft Exchange EdgeSync

После подписки пограничного транспортного сервера на сайт Служба каталогов Active Directory служба EdgeSync, запущенная на транспортных серверах-концентраторах, выполнит репликацию данных конфигурации и получателей на пограничные транспортные серверы с помощью службы Exchange EdgeSync. Эта служба реплицирует из Служба каталогов Active Directory в AD LDS следующие данные:

  • конфигурация соединителя отправки;

  • обслуживаемые домены;

  • удаленные домены;

  • классификации сообщений;

  • списки надежных отправителей;

  • списки заблокированных отправителей;

  • получатели;

  • список доменов отправки и получения, используемых для безопасного обмена данными с партнерами в домене;

  • список SMTP-серверов, которые являются внутренними в конфигурации транспорта организации;

  • список транспортных серверов-концентраторов на подписанном сайте Служба каталогов Active Directory.

Дополнительные сведения о данных, реплицируемых в службы Active Directory облегченного доступа к каталогам (AD LDS), и их использовании см. в разделе Данные репликации EdgeSync.

Для передачи этих данных служба Microsoft Exchange EdgeSync использует защищенный канал LDAP. От транспортного сервера-концентратора к пограничному транспортному серверу устанавливается авторизованный безопасный канал LDAP, для которого выполнена взаимная проверка подлинности.

Для репликации данных в AD LDS транспортный сервер-концентратор выполняет привязку к серверу глобального каталога для получения обновленных данных. Служба Microsoft Exchange EdgeSync инициирует безопасный сеанс LDAP между транспортным сервером-концентратором и подписанным пограничным транспортным сервером через нестандартный TCP-порт 50636.

На следующем рисунке показан процесс синхронизации EdgeSync.


Процесс синхронизации EdgeSync

При первой подписке пограничного транспортного сервера на сайт Служба каталогов Active Directory время первоначальной репликации, при которой происходит заполнение служб AD LDS данными из Служба каталогов Active Directory, зависит от количества данных в службе каталогов. После завершения первоначальной репликации служба EdgeSync синхронизирует только новые и измененные объекты и удаляет все объекты, которые были удалены из Служба каталогов Active Directory.

Расписание синхронизации

Расписания синхронизации различных типов данных различаются. Расписание синхронизации EdgeSync определяет максимальный интервал синхронизации EdgeSync. Синхронизация EdgeSync выполняется через следующие интервалы:

  • данные конфигурации по расписанию синхронизируются через 3 минуты;

  • данные получателей по расписанию синхронизируются через 5 минут;

  • данные топологии перезагружаются каждые пять минут.

Для настройки расписания синхронизации EdgeSync можно использовать командлет Set-EdgeSyncServiceConfig. При немедленной принудительной синхронизации пограничной подписки с помощью командлета Start-EdgeSynchronization в командной консоли на транспортном сервере-концентраторе выполняется переопределение таймера, который определяет время следующей запланированной синхронизации EdgeSync.

Выбор транспортного сервера-концентратора

Подписанный пограничный транспортный сервер сопоставлен с определенным сайтом Служба каталогов Active Directory. Если на сайте имеется несколько транспортных серверов-концентраторов, то любой из них может реплицировать данные на подписанные пограничные транспортные серверы. Чтобы избежать состязания между транспортными серверами-концентраторами при синхронизации, выбор основного транспортного сервера-концентратора происходит следующим образом.

  1. Первоначальную репликацию выполняет транспортный сервер-концентратор на сайте Служба каталогов Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой транспортный сервер-концентратор на сайте может выполнить первоначальную репликацию.

  2. Транспортный сервер-концентратор, выполняющий первоначальную репликацию, устанавливает аренду EdgeSync и «блокировку» пограничной подписки. Благодаря аренде этот транспортный сервер-концентратор считается основным сервером, предоставляющим службы синхронизации для данного пограничного транспортного сервера. Блокировка не допускает, чтобы служба Microsoft Exchange EdgeSync на другом транспортном сервере-концентраторе получила аренду.

  3. Аренда службы EdgeSync продолжается один час. Другая служба Microsoft Exchange EdgeSync не сможет получить аренду с другого транспортного сервера-концентратора в течение данного периода, если только не будет выполнена синхронизация вручную. Если основной транспортный сервер-концентратор не может предоставить службу Microsoft Exchange EdgeSync при выполнении синхронизации вручную, после пятиминутного периода ожидания блокировка снимается, а другая служба Microsoft Exchange EdgeSync получает аренду и выполняет синхронизацию.

  4. Если синхронизация вручную не выполняется, происходит синхронизация на основе расписания синхронизации EdgeSync. Если основной сервер не доступен при запланированной синхронизации, после пятиминутного периода ожидания блокировка снимается, а другая служба Microsoft Exchange EdgeSync получает аренду и выполняет синхронизацию.

Такой способ блокировки и аренды не позволяет нескольким экземплярам службы Microsoft Exchange EdgeSync одновременно принудительно отправлять данные на один и тот же пограничный транспортный сервер.

Примечание.
Если транспортные серверы-концентраторы Exchange 2010 и Exchange Server 2007 располагаются вместе на сайте Служба каталогов Active Directory, на который подписан транспортный пограничный сервер, транспортные серверы-концентраторы Exchange 2010 всегда имеют приоритет перед транспортными серверами-концентраторами Exchange 2007.
Примечание.
Если пограничный транспортный сервер подписан на сайт Служба каталогов Active Directory, все транспортные серверы-концентраторы, установленные в это время на данном сайте Служба каталогов Active Directory, могут участвовать в процессе синхронизации EdgeSync. При удалении одного из этих серверов служба Microsoft Exchange EdgeSync, которая выполняется на оставшихся транспортных серверах-концентраторах, продолжит процесс синхронизации данных. Однако новые транспортные серверы-концентраторы, установленные на сайт Служба каталогов Active Directory, автоматически не будут участвовать в процессе синхронизации EdgeSync. Чтобы эти транспортные серверы-концентраторы участвовали в процессе синхронизации EdgeSync, необходимо повторно выполнить подписку пограничного транспортного сервера.

В следующей таблице приведены свойства EdgeSync, относящиеся к процессу блокировки и аренды. Для настройки этих свойств можно использовать командлет Set-EdgeSyncServiceConfig.

Свойства аренды EdgeSync

Имя свойства Значение Описание

Продолжительность блокировки

5 минут

Этот параметр определяет время, в течение которого конкретная служба Microsoft Exchange EdgeSync будет пытаться получить блокировку. Если служба Microsoft Exchange EdgeSync на транспортном сервере-концентраторе, удерживающем блокировку, не отвечает, через пять минут служба Microsoft Exchange EdgeSync на другом транспортном сервере-концентраторе получит аренду. Принудительная синхронизация EdgeSync не переопределяет это значение.

Продолжительность аренды

1 час

Этот параметр определяет продолжительность аренды службы Microsoft Exchange EdgeSync на пограничном транспортном сервере. Если служба Microsoft Exchange EdgeSync, удерживающая аренду, недоступна и не перезапускается в течение данного периода, никакая другая служба Microsoft Exchange EdgeSync не сможет получить аренду, если не будет выполнена принудительная синхронизация EdgeSync.

Обновление блокировки

1 мин

Этот параметр определяет частоту обновления поля блокировки после получения службой Microsoft Exchange EdgeSync блокировки для пограничного транспортного сервера.

Подготовка к запуску службы EdgeSync

Перед подпиской пограничного транспортного сервера на организацию Exchange убедитесь, что инфраструктура организации и транспортные серверы-концентраторы подготовлены к запуску службы EdgeSync. Ниже приведены действия, необходимые для подготовки к синхронизации EdgeSync.

  • Необходимо убедиться, что на брандмауэре демилитаризованной зоны, который отделяет пограничный транспортный сервер от организации Exchange, настроено включение передачи данных через правильные порты. Пограничный транспортный сервер использует нестандартные порты LDAP. Если для среды требуются определенные порты, изменить настройки портов, используемых службой AD LDS, можно с помощью сценария ConfigureAdam.ps1, входящего в Exchange 2010. Дополнительные сведения см. в разделе Изменение конфигурации службы Active Directory облегченного доступа к каталогам. Однако запрещается изменять настройки портов после создания пограничной подписки. Если настройки портов были изменены после создания пограничной подписки, то данную подписку необходимо удалить и создать новую подписку. По умолчанию для доступа к AD LDS используются следующие LDAP-порты.

    • LDAP   Порт 50389/TCP используется локально для привязки экземпляра служб AD LDS. Этот порт не требуется открывать на брандмауэре демилитаризованной зоны.

    • Безопасный LDAP   Порт 50636/TCP используется для синхронизации каталогов между транспортными серверами-концентраторами и AD LDS. Для успешной синхронизации EdgeSync этот порт должен быть открыт.

  • Необходимо убедиться, что сайт системы DNS правильно разрешает имена с пограничного транспортного сервера на транспортные серверы-концентраторы и с транспортных серверов-концентраторов на пограничный транспортный сервер.

  • Лицензируйте пограничный транспортный сервер. Сведения о лицензировании пограничного транспортного сервера записываются при создании пограничной подписки и отображаются в консоли управления организации Exchange. Чтобы пограничные транспортные серверы считались лицензированными, необходимо подписать их на организацию Exchange после применения ключа лицензии. Если ключ лицензии применяется к пограничному транспортному серверу после выполнения пограничной подписки, сведения о лицензировании в организации Exchange не обновляются. Необходимо повторно выполнить подписку пограничного транспортного сервера.

  • Необходимо настроить следующие параметры для распространения пограничным транспортным серверам.

    • Внутренние SMTP-серверы   Используйте командлет Set-TransportConfig для настройки параметра InternalSMTPServers. Этот параметр указывает список IP-адресов внутреннего SMTP-сервера или диапазоны IP-адресов, которые не должны учитываться кодом отправителя и фильтрацией подключений.

    • Обслуживаемые домены   Настройте все уполномоченные домены, домены внутренней ретрансляции и домены внешней ретрансляции.

    • Удаленные домены   Настройте параметры удаленных доменов.

В начало

Управление пограничными подписками

В этом подразделе приведены общие сведения о различных задач управления пограничной подпиской. Пошаговые инструкции см. в разделе Управление пограничными подписками.

Добавление пограничного транспортного сервера

На один сайт Служба каталогов Active Directory можно подписать несколько пограничных транспортных серверов. При развертывании дополнительных пограничных транспортных серверов в демилитаризованной зоне и подписке их на один и тот же сайт Служба каталогов Active Directory, в котором уже существует пограничная подписка, происходят описанные ниже действия.

  • В Служба каталогов Active Directory создается новый объект пограничной подписки.

  • Создаются дополнительные учетные записи ESRA для каждого транспортного сервера-концентратора на сайте Служба каталогов Active Directory. Эти учетные записи реплицируются в AD LDS и используются процессом синхронизации EdgeSync во время синхронизации с новым сервером.

  • Новая пограничная подписка добавляется в список исходных серверов для созданного автоматически соединителя отправки в Интернет. Сообщения, отправленные для обработки на этот соединитель, будут распределяться между подписанными пограничными транспортными серверами для балансировки нагрузки.

  • Автоматически создается входящий соединитель отправки с пограничного транспортного сервера в организацию Exchange.

  • Начинается синхронизация EdgeSync на пограничный транспортный сервер.

Инструкции по созданию пограничной подпиской см. в следующих разделах:

Добавление и удаление транспортного сервера-концентратора

Транспортный сервер-концентратор, добавленный на сайт Служба каталогов Active Directory, на который уже подписан пограничный транспортный сервер, не участвует автоматически в процессе синхронизации EdgeSync. Чтобы развернутый транспортный сервер-концентратор участвовал в процессе синхронизации EdgeSync, необходимо повторно подписать каждый пограничный транспортный сервер на сайт Служба каталогов Active Directory.

Удаление транспортного сервера-концентратора из сайта Служба каталогов Active Directory, на которой подписан пограничный транспортный сервер, не влияет на синхронизацию EdgeSync, если он не является последним транспортным сервером-концентратором на этом сайте. При удалении всех транспортных серверов-концентраторов из сайта Служба каталогов Active Directory, на который подписаны пограничные транспортные серверы, такие пограничные транспортные серверы становятся потерянными.

Повторная подписка пограничного транспортного сервера

Иногда необходимо выполнить повторную подписку пограничного транспортного сервера на сайт Служба каталогов Active Directory. При повторном создании пограничной подписки создаются новые учетные данные и необходимо выполнить весь процесс пограничной подписки. Эта процедура используется в описанных ниже случаях.

  • На подписанном сайте Служба каталогов Active Directory развернуты новые транспортные серверы-концентраторы и необходимо включить их в синхронизацию EdgeSync.

  • Ключ лицензии для пограничного транспортного сервера был применен после создания пограничной подписки. Сведения о лицензировании пограничного транспортного сервера записываются при создании пограничной подписки и отображаются в консоли управления организации Exchange. Чтобы пограничные транспортные серверы считались лицензированными, необходимо подписать их на организацию Exchange после применения ключа лицензии. Если ключ лицензии применяется к пограничному транспортному серверу после выполнения пограничной подписки, сведения о лицензировании в организации Exchange не обновляются. Необходимо повторно выполнить подписку пограничного транспортного сервера.

  • Учетные данные ESRA скомпрометированы.

    Важно!
    Чтобы повторно выполнить подписку пограничного транспортного сервера, экспортируйте на пограничный транспортный сервер новый файл пограничной подписки, а затем импортируйте XML-файл на транспортный сервер-концентратор. Повторную подписку пограничного транспортного сервера необходимо выполнить для того же сайта Служба каталогов Active Directory, на который этот сервер был изначально подписан. Исходную пограничную подписку удалять не требуется. Повторная подписка перезапишет существующую пограничную подписку.

Удаление пограничной подписки

В некоторых случаях может потребоваться удалить пограничную подписку из организации Exchange или из организации Exchange и пограничного транспортного сервера. Если необходимо выполнить повторную подписку пограничного транспортного сервера на организацию Exchange, не удаляйте с него пограничную подписку. При удалении пограничной подписки с пограничного транспортного сервера из AD LDS удаляются все реплицированные данные. При большом количестве данных получателей эта операция может занять продолжительное время.

Ниже приведены примеры ситуаций, в которых необходимо удалить пограничную подписку.

  • Необходимо, чтобы пограничный транспортный сервер больше не участвовал в синхронизации EdgeSync. В этом случает необходимо удалить пограничную подписку с пограничного транспортного сервера и из организации Exchange.

  • Пограничный транспортный сервер списывается. В этом случае требуется удалить пограничную подписку только из организации Exchange. При удалении с компьютера роли пограничного транспортного сервера также удаляется экземпляр служб AD LDS и все данные Служба каталогов Active Directory, которые хранятся в AD LDS.

  • Необходимо изменить сопоставление сайта Служба каталогов Active Directory для пограничной подписки. В этом случае требуется удалить пограничную подписку только из организации Exchange. После удаления пограничной подписки из организации Exchange можно повторно подписать пограничный транспортный сервер на другой сайт Служба каталогов Active Directory.

После удаления пограничной подписки из организации Exchange происходит следующее:

  • прекращается синхронизация данных из Служба каталогов Active Directory в AD LDS;

  • учетные записи ESRA удаляются как из Служба каталогов Active Directory, так и из AD LDS;

  • компьютер с установленной ролью пограничного транспортного сервера удаляется из списков исходных серверов всех соединителей отправки;

  • соединитель отправки входящих подключений с пограничного транспортного сервера в организацию Exchange, создаваемый автоматически, удаляется из AD LDS.

После удаления пограничной подписки с пограничного транспортного сервера происходит следующее:

  • возможности пограничного транспортного сервера, которые основываются на данных Служба каталогов Active Directory, больше не будут доступны;

  • реплицированные данные удаляются из AD LDS;

  • задачи, которые были отключены при создании пограничной подписки, включаются повторно для поддержки локальной настройки.

Пошаговые инструкции по удалению пограничной подписки см. в разделе Удаление пограничной подписки.

Проверка результатов EdgeSync

Для проверки выполнения синхронизации можно использовать диагностический командлет Test-EdgeSynchronization. Этот командлет выводит отчет о состоянии синхронизации подписанных пограничных транспортных серверов. Его можно запустить вручную или вызвать с помощью Microsoft System Center Operations Manager 2007. Когда задача вызывается Microsoft System Center Operations Manager, если пограничный транспортный сервер не синхронизован, создается предупреждение.

Выходные данные этого командлета позволяют узнать, какие объекты на пограничном транспортном сервере не синхронизованы. Задача выполняет сравнение данных, хранящихся в Служба каталогов Active Directory, и данных, хранящихся в AD LDS. Обо всех расхождениях сообщается в выходных данных команды.

Чтобы не выполнять проверку синхронизации данных получателей, можно использовать параметр ExcludeRecipientTest с командлетом Test-EdgeSynchronization. Если включить этот параметр, проверяется только синхронизация объектов конфигурации. Проверка синхронизации данных получателей занимает больше времени, чем проверка только данных конфигурации.

Дополнительные сведения см. в разделе Проверка результатов EdgeSync для получателя.

В начало



Процесс синхронизации EdgeSync
Процесс пограничной подписки