В этом разделе описываются данные, которые реплицируются из службы каталогов Active Directory в экземпляр службы каталогов ADAM на пограничном транспортном сервере Microsoft Exchange Server 2007, если пограничный транспортный сервер подписан на сайт Active Directory.

Компьютер, на котором установлена роль пограничного транспортного сервера, не имеет доступа к Active Directory. Пограничный транспортный сервер хранит все сведения о конфигурации и получателях в ADAM. Для выполнения поиска получателей и объединения списков надежных отправителей, а также для реализации безопасности домена с использованием взаимной проверки подлинности TLS пограничному транспортному серверу требуются данные, находящиеся в Active Directory.

Поскольку и Active Directory, и ADAM используют протокол LDAP, а также схему Exchange 2007, данные из Active Directory можно реплицировать в ADAM. Репликация устанавливается при подписке пограничного транспортного сервера на сайт Active Directory. Процесс пограничной подписки позволяет транспортным серверам-концентраторам на этом сайте использовать службу EdgeSync сервера Microsoft Exchange для синхронизации данных получателей и конфигурации из Active Directory в экземпляр ADAM на пограничном транспортном сервере. Для обеспечения актуальности данных в ADAM служба EdgeSync Microsoft Exchange выполняет запланированные обновления.

Примечание.
Служба Microsoft Exchange EdgeSync выполняет только одностороннюю репликацию данных из Active Directory в ADAM. Данные из ADAM никогда не реплицируются в Active Directory, и никакие данные ADAM не объединяются с данными Active Directory. При создании пограничной подписки Active Directory становится заслуживающим доверия источником данных для пограничного транспортного сервера, а все имеющиеся в ADAM объекты реплицированного класса данных перезаписываются.

Типы данных, реплицируемых в ADAM

Из Active Directory в ADAM реплицируются несколько типов данных:

  • сведения о пограничной подписке;

  • сведения о конфигурации;

  • сведения о получателях;

  • сведения о топологии.

В следующих разделах описаны эти типы данных и способ их использования пограничным транспортным сервером.

Сведения о пограничной подписке

Exchange 2007 расширяет схемы Active Directory и ADAM, добавляя в объект ms-Exch-ExchangeServer атрибуты, представляющие данные, необходимые для контроля над синхронизацией EdgeSync. Эти атрибуты выполняют три функции, важные для процесса синхронизации EdgeSync, которые описаны ниже.

  • Они обеспечивают автоматическую подготовку и обслуживание учетных данных, используемых для защиты подключения по протоколу LDAP между транспортным сервером-концентратором и подписанным пограничным транспортным сервером.

  • Они устанавливают блокировку и аренду синхронизации, которые гарантируют, что только один транспортный сервер-концентратор сможет одновременно синхронизироваться с отдельным пограничным транспортным сервером. Дополнительные сведения о блокировке и аренде см. в разделе Общие сведения о процессе синхронизации EdgeSync.

  • Они оптимизируют процесс синхронизации EdgeSync для обеспечения записи текущего состояния синхронизации и предотвращения избыточной синхронизации вручную.

В следующей таблице приведены расширения схемы, которые относятся к пограничным подпискам. Значения, присвоенные этим атрибутам, управляются процессами пограничной подписки и синхронизации EdgeSync. Эти атрибуты не следует изменять вручную с помощью средств редактирования, таких как Ldp.exe или редактор ADSI.

Расширения схемы пограничной подписки

Имя атрибута Описание

ms-Exch-Server-EKPK-Public-Key

Этот атрибут представляет текущий открытый ключ для используемого сервером сертификата. Это значение хранится как на пограничных транспортных серверах, так и на транспортных серверах-концентраторах. Открытый ключ применяется для шифрования учетных данных, используемых для проверки подлинности сервера при связи по протоколам LDAP и SMTP.

ms-Exch-EdgeSync-Credential

Этот атрибут представляет список учетных данных, которые служба Microsoft Exchange EdgeSync использует для установки с ADAM сеанса LDAP с проверкой подлинности. На транспортных серверах-концентраторах этот атрибут содержит только те учетные данные, которые транспортный сервер-концентратор использует для проверки подлинности на подписанных пограничных транспортных серверах. На пограничных транспортных серверах этот атрибут содержит учетные данные каждого транспортного сервера-концентратора на подписанном сайте Active Directory, который участвует в процессе синхронизации EdgeSync. Этот атрибут присутствует только на тех транспортных серверах-концентраторах, на которых запущен процесс синхронизации EdgeSync, а также на подписанных пограничных транспортных серверах.

ms-Exch-Edge-Sync-Lease

Этот атрибут используется для выбора одного из транспортных серверов-концентраторов, если несколько транспортных серверов-концентраторов пытаются выполнить репликацию данных на один и тот же пограничный транспортный сервер.

ms-Exch-Edge-Sync-Status

Этот атрибут присутствует только в ADAM в объекте пограничного транспортного сервера. Этот атрибут отслеживает состояние репликации в экземпляр ADAM и содержит сведения о репликации.

Дополнительные сведения см. в следующих разделах:

Сведения о конфигурации

При подписке пограничного транспортного сервера на организацию можно управлять объектами конфигурации, общими для пограничного транспортного сервера и организации Exchange, изнутри организации, а затем записывать изменения на пограничный транспортный сервер с помощью службы Microsoft Exchange EdgeSync. Этот процесс обеспечивает согласованность конфигурации всех серверов, используемых для обработки сообщений.

Подмножество данных конфигурации для организации Exchange также должно храниться на пограничном транспортном сервере. В процессе синхронизации EdgeSync данные конфигурации, необходимые пограничному транспортному серверу, записываются в раздел конфигурации ADAM. При настройке пограничного транспортного сервера вручную и последующем создании пограничной подписки для этого сервера соответствующие объекты конфигурации удаляются. Ниже перечислены данные конфигурации, которые записываются в ADAM.

  • Транспортные серверы-концентраторы. Локальному хранилищу ADAM на пограничном транспортном сервере предоставляется полное доменное имя каждого транспортного сервера-концентратора на подписанном сайте Active Directory. Эти сведения используются для получения списка серверов промежуточных узлов для входящего соединителя отправки.

  • Обслуживаемые домены. Все заслуживающие доверия домены внутренней и внешней ретрансляции, настроенные для организации Exchange, записываются в ADAM. Наличие обслуживаемых доменов, доступных для пограничного транспорта, позволяет организации Exchange как можно раньше выполнять фильтрацию доменов и отклонять недопустимый трафик SMTP для организации. Дополнительные сведения об обслуживаемых доменах см. в разделе Управление принятыми доменами .

  • Классификации сообщений. Если на пограничном транспортном сервере доступны классификации сообщений, агенты транспорта и функция преобразования содержимого могут воздействовать на классификации сообщений в демилитаризованной зоне. Например, агент фильтрации вложений может применить классификацию «Вложение удалено» при удалении вложения. Таким образом, в Microsoft Outlook или Outlook Web Access будет отображаться объяснение того, что произошло, для получателя. Агенты, разработанные для использования сторонними приложениями, могут использовать классификации сообщений аналогичным образом. Кроме того, пограничному транспортному серверу может потребоваться преобразовать классификации сообщений на пограничном транспортном сервере из идентификатора GUID в X-заголовке в формат TNEF (как локализованное описание получателя).

  • Удаленные домены. Все политики удаленных доменов, настроенные для организации Exchange, записываются в ADAM. Политики удаленных доменов контролируют параметры сообщения об отсутствии на работе и параметры формата сообщения для удаленного домена. Дополнительные сведения об удаленных доменах см. в разделе Управление удаленными доменами.

  • Соединители отправки. По умолчанию соединители отправки, необходимые для обеспечения сквозного потока почты между организацией Exchange и Интернетом, создаются автоматически. Все имеющиеся на пограничном транспортном сервере соединители отправки удаляются. Если необходимо настроить дополнительные соединители отправки, настройте соединитель отправки внутри организации Exchange и выберите пограничную подписку в качестве исходного сервера для соединителя. Дополнительные сведения см. в разделе EdgeSync и соединители отправки.

  • Внутренние SMTP-серверы. Значение атрибута InternalSMTPServers хранится в объекте TransportConfig как для организации Exchange, так и для локального пограничного транспортного сервера. В процессе синхронизации EdgeSync значение, хранящееся в объекте локального пограничного транспортного сервера, перезаписывается значением, хранящимся в этом же объекте для организации Exchange. Этот атрибут задает список IP-адресов внутреннего SMTP-сервера или диапазоны IP-адресов, которые не должны учитываться кодом отправителя и фильтрацией подключений.

  • Списки безопасности домена. Атрибуты TLSReceiveDomainSecureList и TLSSendDomainSecureList хранятся в объекте TransportConfig как для организации Exchange, так и для локального пограничного транспортного сервера. В процессе синхронизации EdgeSync значение, хранящееся в объекте локального пограничного транспортного сервера, перезаписывается значением, хранящимся в этом же объекте для организации Exchange. Эти атрибуты задают список удаленных доменов, настроенных для взаимной проверки подлинности TLS.

Задачи, которые используются для настройки объектов конфигурации, описанных ранее в данном разделе, отключаются на пограничном транспортном сервере при его подписке на организацию Exchange. Тем не менее можно использовать задачи для просмотра этих объектов. При удалении пограничной подписки из ADAM удаляются все реплицированные объекты конфигурации.

Сведения о получателях

К сведениям о получателях, реплицируемым в ADAM, относится только подмножество атрибутов получателя. Реплицируются только данные, необходимые пограничному транспортному серверу для выполнения определенных задач защиты от нежелательной почты. Ниже указаны сведения о получателях, которые реплицируются в ADAM.

  • Получатели. Список получателей в организации Exchange реплицируется в ADAM. Каждый получатель идентифицируется по идентификатору GUID, назначенному в Active Directory. Если учетная запись пользователя получателя настроена так, что она отклоняет почту из-за пределов организации, получатель не реплицируется в ADAM. Если почтовый ящик получателя отключен или удален, этот получатель не реплицируется в ADAM.

  • Адреса прокси-серверов. Все адреса прокси-серверов, назначенные каждому получателю, реплицируются в ADAM в виде хэшированных данных. Этот хэш является односторонним хэшем, использующим алгоритм SHA-256. Алгоритм SHA-256 создает 256-разрядный хэш исходных данных. Хранение адресов прокси-серверов в виде хэшированных данных позволяет защитить их на случай компрометации пограничного транспортного сервера или ADAM. Адреса прокси-серверов используются при выполнении пограничным транспортным сервером поиск получателей для защиты от нежелательной почты.

  • Список надежных отправителей и список надежных получателей. Списки надежных отправителей и списки надежных получателей, определенные в экземпляре Outlook каждого получателя, объединяются и реплицируются в ADAM. Эти параметры хранятся в хранилище почтовых ящиков, в котором находится почтовый ящик получателя. Сведения о заблокированных отправителях не реплицируются. Коллекция списков надежных отправителей пользователя Outlook — это объединенные данные из пользовательского списка надежных отправителей, списка надежных получателей, списка заблокированных отправителей и внешних контактов. Наличие в ADAM данных о коллекции списков надежных отправителей позволяет пограничному транспортному серверу надлежащим образом блокировать отправителей, сокращая при этом накладные расходы, связанные с фильтрацией почты. Эти сведения отправляются в виде хэшированных данных.

    Важно!
    Несмотря на то, что данные о надежных получателях хранятся в Outlook и могут быть объединены в коллекцию списков надежных получателей в экземпляре ADAM на пограничном транспортном сервере, функции фильтрации содержимого не используют данные о надежных получателях. Поэтому рекомендуется не настраивать командлет Update-Safelist для обновления данных о надежных получателях. Дополнительные сведения см. в разделах Инструкции по настройке объединения списка надежных отправителей и Update-SafeList.
  • Параметры защиты от нежелательной почты для каждого получателя. С помощью командлета Set-Mailbox можно назначить для каждого получателя пороговые значения параметров защиты от нежелательной почты, отличающиеся от параметров защиты от нежелательной почты, действующих во всей организации. Параметры защиты от нежелательной почты, настроенные для получателя, переопределяют параметры организации. Репликация этих параметров в ADAM позволяет учитывать параметры для отдельных получателей перед передачей сообщения в организацию Exchange. Эти сведения отправляются в виде хэшированных данных.

При удалении пограничной подписки все реплицированные данные также удаляются, что не позволяет использовать возможности пограничного транспортного сервера, которым требуются эти данные о получателях.

Сведения о топологии

К сведениям о топологии относятся уведомления о недавно подписанных пограничных транспортных серверах и об удаленных пограничных подписках. Эти данные обновляются каждые пять минут.

Дополнительные сведения