Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2009-12-04
Компьютер, на котором установлена роль пограничного транспортного сервера, не имеет доступа к Служба каталогов Active Directory. Для выполнения поиска получателей и объединения списков надежных отправителей, а также для реализации безопасности домена с помощью проверки подлинности Mutual TLS пограничному транспортному серверу требуются данные, находящиеся в Служба каталогов Active Directory. Эти данные реплицируются на пограничный транспортный сервер с помощью процесса EdgeSync, а пограничный транспортный сервер сохраняет всю реплицированную информацию в службах Служба каталогов Active Directory облегченного доступа к каталогам (AD LDS).
В этом разделе описаны данные, реплицируемые из Служба каталогов Active Directory в экземпляр служб Active Directory облегченного доступа к каталогам на пограничном транспортном сервере Microsoft Exchange Server 2010, если этот сервер подписан на сайт Служба каталогов Active Directory. Дополнительные сведения о процессе EdgeSync и пограничных подписках см. в разделе Общие сведения о пограничных подписках.
Следующие данные реплицируются из Служба каталогов Active Directory в службы Active Directory облегченного доступа к каталогам.
- сведения о пограничной подписке;
- сведения о конфигурации;
- сведения о получателях;
- сведения о топологии.
В следующих разделах описаны эти типы данных и способ их использования пограничным транспортным сервером.
Необходимы сведения о задачах управления, связанных с управлением транспортными серверами? См. раздел Управление транспортными серверами.
Сведения о пограничной подписке
Система Exchange 2010 расширяет схемы Служба каталогов Active Directory и служб Active Directory облегченного доступа к каталогам, добавляя в объект ms-Exch-ExchangeServer атрибуты, представляющие данные, необходимые для управления процессом синхронизации EdgeSync. Эти атрибуты выполняют три функции, важные для процесса синхронизации EdgeSync, которые описаны ниже.
- Они обеспечивают автоматическую подготовку и обслуживание
учетных данных, используемых для защиты подключения по протоколу
LDAP между транспортным сервером-концентратором и подписанным
пограничным транспортным сервером.
- Они устанавливают блокировку и аренду синхронизации, которые
гарантируют, что только один транспортный сервер-концентратор
сможет одновременно синхронизироваться с отдельным пограничным
транспортным сервером. Дополнительные сведения о блокировке и
аренде см. в разделе Общие сведения о
пограничных подписках.
- Они оптимизируют процесс синхронизации EdgeSync для обеспечения
записи текущего состояния синхронизации и предотвращения избыточной
синхронизации вручную.
В следующей таблице приведены расширения схемы, которые относятся к пограничным подпискам. Значения, присвоенные этим атрибутам, управляются процессами пограничной подписки и синхронизации EdgeSync. Эти атрибуты не следует изменять вручную с помощью средств редактирования, таких как Ldp.exe или редактор ADSI Служба каталогов Active Directory.
Расширения схемы пограничной подписки
Имя атрибута | Описание |
---|---|
ms-Exch-Server-EKPK-Public-Key |
Этот атрибут представляет текущий открытый ключ для используемого сервером сертификата. Это значение хранится как на пограничных транспортных серверах, так и на транспортных серверах-концентраторах. Открытый ключ применяется для шифрования учетных данных, используемых для проверки подлинности сервера при установлении связи по протоколам LDAP и SMTP. |
ms-Exch-EdgeSync-Credential |
Этот атрибут представляет список учетных данных, которые служба Microsoft Exchange EdgeSync использует для установки сеанса LDAP с проверкой подлинности со службами Active Directory облегченного доступа к каталогам. На транспортных серверах-концентраторах этот атрибут содержит только те учетные данные, которые транспортный сервер-концентратор использует для проверки подлинности на подписанных пограничных транспортных серверах. На пограничных транспортных серверах этот атрибут содержит учетные данные каждого транспортного сервера-концентратора на подписанном сайте Служба каталогов Active Directory, который участвует в процессе синхронизации EdgeSync. Этот атрибут присутствует только на тех транспортных серверах-концентраторах, на которых запущен процесс синхронизации EdgeSync, а также на подписанных пограничных транспортных серверах. |
ms-Exch-Edge-Sync-Lease |
Этот атрибут используется для выбора одного из транспортных серверов-концентраторов, если несколько транспортных серверов-концентраторов пытаются выполнить репликацию данных на один и тот же пограничный транспортный сервер. |
ms-Exch-Edge-Sync-Status |
Этот атрибут присутствует только в службах Active Directory облегченного доступа к каталогам в объекте пограничного транспортного сервера. Этот атрибут отслеживает состояние репликации в экземпляр служб Active Directory облегченного доступа к каталогам и содержит сведения о репликации. |
Сведения о конфигурации
При подписке пограничного транспортного сервера на организацию можно управлять объектами конфигурации, общими для пограничного транспортного сервера и организации Exchange, изнутри организации. Эти изменения реплицируются на пограничный транспортный сервер с помощью службы Microsoft Exchange EdgeSync. Этот процесс обеспечивает согласованность конфигурации всех серверов, используемых для обработки сообщений.
Подмножество данных конфигурации для организации Exchange также должно храниться на пограничном транспортном сервере. В процессе синхронизации EdgeSync данные конфигурации, необходимые пограничному транспортному серверу, записываются в раздел конфигурации служб Active Directory облегченного доступа к каталогам. Ниже перечислены данные конфигурации, которые записываются в службы AD LDS:
- Транспортные
серверы-концентраторы Локальному хранилищу
служб Active Directory облегченного доступа к каталогам на
пограничном транспортном сервере предоставляется имя FQDN каждого
транспортного сервера-концентратора на подписанном сайте Служба
каталогов Active Directory. Эти сведения используются для получения
списка серверов промежуточных узлов для входящего соединителя
отправки.
- Обслуживаемые домены Все уполномоченные
домены внутренней и внешней ретрансляции, настроенные для
организации Exchange, записываются в службы Active Directory
облегченного доступа к каталогам. Наличие обслуживаемых доменов,
доступных для пограничного транспортного сервера, позволяет
организации Exchange как можно раньше выполнять фильтрацию доменов
и отклонять недопустимый трафик SMTP, поступающий в организацию.
Дополнительные сведения об обслуживаемых доменах см. в разделе
Общие сведения
об обслуживаемых доменах.
- Классификации сообщений. Если на пограничном
транспортном сервере доступны классификации сообщений, агенты
транспорта и функция преобразования содержимого могут
воздействовать на классификации сообщений в демилитаризованной
зоне. Например, агент фильтрации вложений может применить
классификацию «Вложение удалено» при удалении вложения. Таким
образом, в Microsoft Outlook или
Microsoft Office Outlook Web App для получателя будет
отображаться объяснение того, что произошло. Агенты, разработанные
для использования сторонними приложениями, могут использовать
классификации сообщений аналогичным образом. Кроме того,
пограничному транспортному серверу может потребоваться
преобразовать классификации сообщений из идентификатора GUID в
X-заголовке в формат TNEF (как локализованное описание
получателя).
- Удаленные домены Все политики удаленных
доменов, настроенные для организации Exchange, записываются в
службы Active Directory облегченного доступа к каталогам. Политики
удаленных доменов контролируют параметры сообщения об отсутствии на
работе и параметры формата сообщения для удаленного домена.
Дополнительные сведения об удаленных доменах см. в разделе Общие сведения об
удаленных доменах.
- Соединители отправки По умолчанию
соединители отправки, необходимые для обеспечения сквозного потока
почты между организацией Exchange и Интернетом, создаются
автоматически. Все имеющиеся на пограничном транспортном сервере
соединители отправки удаляются. Если необходимо настроить
дополнительные соединители отправки, настройте соединитель отправки
внутри организации Exchange и выберите пограничную подписку в
качестве исходного сервера для соединителя. Дополнительные сведения
см. в разделе Общие сведения о
пограничных подписках.
- Внутренние SMTP-серверы. Значение атрибута
InternalSMTPServers хранится в объекте
TransportConfig как для организации Exchange, так и для
локального пограничного транспортного сервера. В процессе
синхронизации EdgeSync значение, хранящееся в объекте локального
пограничного транспортного сервера, перезаписывается значением,
хранящимся в этом же объекте для организации Exchange. Этот атрибут
задает список IP-адресов внутреннего SMTP-сервера или диапазоны
IP-адресов, которые не должны учитываться кодом отправителя и
фильтрацией подключений.
- Списки безопасности домена. Атрибуты
TLSReceiveDomainSecureList и TLSSendDomainSecureList
хранятся в объекте TransportConfig как для организации
Exchange, так и для локального пограничного транспортного сервера.
В процессе синхронизации EdgeSync значение, хранящееся в объекте
локального пограничного транспортного сервера, перезаписывается
значением, хранящимся в этом же объекте для организации Exchange.
Эти атрибуты задают список удаленных доменов, настроенных для
взаимной проверки подлинности TLS.
Сведения о получателях
К сведениям о получателях, реплицируемым в службы Active Directory облегченного доступа к каталогам, относится только подмножество атрибутов получателя. Реплицируются только данные, необходимые пограничному транспортному серверу для выполнения определенных задач защиты от нежелательной почты. Ниже указаны сведения о получателях, которые реплицируются в службы Active Directory облегченного доступа к каталогам:
- Получатели Список получателей в
организации Exchange реплицируется в службы Active Directory
облегченного доступа к каталогам. Каждый получатель
идентифицируется по идентификатору GUID, назначенному в Служба
каталогов Active Directory. Если учетная запись пользователя
получателя настроена так, что она отклоняет почту из-за пределов
организации, получатель не реплицируется в службы Active Directory
облегченного доступа к каталогам. При отключении или удалении
почтового ящика получателя он не реплицируется в службы Active
Directory облегченного доступа к каталогам.
- Адреса прокси-серверов Все адреса
прокси-серверов, назначенные каждому получателю, реплицируются в
службы Active Directory облегченного доступа к каталогам в виде
хэшированных данных. Этот хэш является односторонним хэшем,
использующим алгоритм SHA-256. Алгоритм SHA-256 создает
256-разрядный хэш исходных данных. Хранение адресов прокси-серверов
в виде хэшированных данных позволяет защитить их на случай
компрометации пограничного транспортного сервера или служб Active
Directory облегченного доступа к каталогам. Адреса прокси-серверов
используются при выполнении пограничным транспортным сервером поиск
получателей для защиты от нежелательной почты.
- Список надежных отправителей, список заблокированных
отправителей и список надежных
получателей Списки надежных отправителей,
заблокированных отправителей и надежных получателей, определенные в
экземпляре Outlook каждого получателя, объединяются и реплицируются
в службы Active Directory облегченного доступа к каталогам. Эти
параметры хранятся в хранилище почтовых ящиков, в котором находится
почтовый ящик получателя. Коллекция списков надежных отправителей
пользователя Outlook — это объединенные данные из пользовательского
списка надежных отправителей, списка надежных получателей, списка
заблокированных отправителей и внешних контактов. Наличие в службах
Active Directory облегченного доступа к каталогам данных о
коллекции списков надежных отправителей позволяет пограничному
транспортному серверу надлежащим образом блокировать отправителей,
сокращая при этом накладные расходы, связанные с фильтрацией почты.
Эти сведения отправляются в виде хэшированных данных.
Важно! Несмотря на то что данные о надежных получателях хранятся в Outlook и могут быть объединены в коллекцию списков надежных получателей в экземпляре служб AD LDS на пограничном транспортном сервере, функции фильтрации содержимого не оказывают влияния на данные о надежных получателях. - Параметры защиты от нежелательной почты для каждого
получателя. С помощью командлета Set-Mailbox можно
назначить для каждого получателя пороговые значения параметров
защиты от нежелательной почты, отличающиеся от параметров защиты от
нежелательной почты, действующих во всей организации. Параметры
защиты от нежелательной почты, настроенные для получателя,
переопределяют параметры организации. Репликация этих параметров в
службы Active Directory облегченного доступа к каталогам позволяет
учитывать параметры для отдельных получателей перед ретрансляцией
сообщения в организацию Exchange. Эти сведения отправляются в виде
хэшированных данных.
Сведения о топологии
К сведениям о топологии относятся уведомления о недавно подписанных пограничных транспортных серверах и об удаленных пограничных подписках. Эти данные обновляются каждые пять минут.