Пограничные подпискиEdge Subscriptions

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Пограничные транспортные серверы уменьшают область атак, обрабатывая весь поток обработки почты в Интернете и обеспечивая ретрансляцию SMTP и службы промежуточных узлов для организации Exchange.Edge Transport servers minimize attack surface by handling all Internet-facing mail flow and providing SMTP relay and smart host services for your Exchange organization. Дополнительные уровни защиты и безопасности сообщений предоставляются серией агентов, работающих на пограничном транспортном сервере в сети периметра организации.Additional layers of message protection and security are provided by a series of agents running on the Edge Transport server in your organization's perimeter network. Эти агенты поддерживают функции, обеспечивающие защиту от вирусов и нежелательной почты и применение правил транспорта для управления потоками сообщений.These agents support features that provide protection against viruses and spam and apply transport rules to control message flow.

Пограничные подписки используются для заполнения экземпляра служб Active Directory облегченного доступа к каталогам (AD LDS) на пограничном транспортном сервере с данными Active Directory.Edge Subscriptions are used to populate the Active Directory Lightweight Directory Services (AD LDS) instance on the Edge Transport server with Active Directory data. Хотя пограничную подписку создавать необязательно, подписка пограничного транспортного сервера на организацию Exchange упрощает управление и расширяет возможности защиты от нежелательной почты.Although creating an Edge Subscription is optional, subscribing an Edge Transport server to the Exchange organization provides a simpler management experience and enhances antispam features. Пограничную подписку необходимо создавать, если планируется использовать поиск получателей или объединение списков надежных отправителей либо защищать связь по протоколу SMTP с доменами партнеров с помощью протокола Mutual TLS (MTLS).You need to create an Edge Subscription if you plan to use recipient lookup or safelist aggregation, or if you plan to help secure SMTP communications with partner domains by using Mutual Transport Layer Security (MTLS).

Процесс пограничной подпискиEdge Subscription process

Пограничный транспортный сервер не имеет прямого доступа к Active Directory.An Edge Transport server doesn't have direct access to Active Directory. Сведения о конфигурации и получателях, которые пограничный транспортный сервер использует для обработки сообщений, хранятся локально в службах AD LDS.The configuration and recipient information the Edge Transport server uses to process messages is stored locally in AD LDS. При создании пограничной подписки обеспечивается надежная автоматическая репликация сведений из Active Directory в AD LDS.Creating an Edge Subscription establishes secure, automatic replication of information from Active Directory to AD LDS. Процесс пограничной подписки предоставляет учетные данные, используемые для установления безопасного подключения LDAP между серверами почтовых ящиков Exchange 2013 и подписанным пограничным транспортным сервером.The Edge Subscription process provisions the credentials used to establish a secure LDAP connection between Exchange 2013 Mailbox servers and a subscribed Edge Transport server. Служба Microsoft Exchange EdgeSync (EdgeSync), которая работает на серверах почтовых ящиков, выполняет периодическую односторонняя синхронизацию для передачи обновленных данных в AD LDS.The Microsoft Exchange EdgeSync service (EdgeSync) that runs on Mailbox servers performs periodic one-way synchronization to transfer up-to-date data to AD LDS. Тем самым уменьшается количество задач администрирования, выполняемых в сети периметра, за счет возможности настройки сервера почтовых ящиков с последующей синхронизацией этих данных на пограничном транспортном сервере.This reduces the administration tasks you perform in the perimeter network by letting you configure the Mailbox server and then synchronize that information to the Edge Transport server.

Вы подписываете пограничный транспортный сервер на сайт Active Directory, содержащий серверы почтовых ящиков, которые отвечают за передачу сообщений на пограничные транспортные серверы и их получение оттуда. В процессе пограничной подписки создается членство на сайте Active Directory для пограничного транспортного сервера. Это членство позволяет серверам почтовых ящиков в организации Exchange ретранслировать сообщения на пограничный транспортный сервер для доставки в Интернет без настройки явных соединителей отправки.You subscribe an Edge Transport server to the Active Directory site that contains the Mailbox servers responsible for transferring messages to and from your Edge Transport servers. The Edge Subscription process creates an Active Directory site membership affiliation for the Edge Transport server. The site affiliation enables Mailbox servers in the Exchange organization to relay messages to the Edge Transport server for delivery to the Internet without having to configure explicit Send connectors.

На один сайт Active Directory могут быть подписаны несколько пограничных транспортных серверов. При этом пограничный транспортный сервер нельзя подписать на несколько сайтов Active Directory. Если развернуто несколько пограничных транспортных серверов, каждый из них должен быть подписан на отдельный сайт Active Directory. Для каждого пограничного транспортного сервера требуется индивидуальная пограничная подписка.One or more Edge Transport servers can be subscribed to a single Active Directory site. However, an Edge Transport server can't be subscribed to more than one Active Directory site. If you have more than one Edge Transport server deployed, each server can be subscribed to a different Active Directory site. Each Edge Transport server requires an individual Edge Subscription.

Чтобы развернуть пограничный транспортный сервер и подписать его на сайт Active Directory, сделайте следующее:To deploy an Edge Transport server and subscribe it to an Active Directory site, follow these steps:

  1. Установите роль пограничного транспортного сервера.Install the Edge Transport server role.

  2. Убедитесь в том, что серверы почтовых ящиков и пограничный транспортный сервер могут находить друг друга с помощью разрешения имен DNS.Verify that the Mailbox servers and the Edge Transport server can locate one another using DNS name resolution.

  3. На сервере почтовых ящиков настройте объекты и параметры, которые необходимо реплицировать на пограничный транспортный сервер.On the Mailbox Server, configure the objects and settings to be replicated to the Edge Transport server.

  4. На пограничном транспортном сервере создайте и экспортируйте файл пограничной подписки.On the Edge Transport server, create and export an Edge Subscription file.

  5. Скопируйте файл пограничной подписки на сервер почтовых ящиков или в общий файловый ресурс, доступный на сайте Active Directory, где расположены серверы почтовых ящиков.Copy the Edge Subscription file to a Mailbox server or a file share that's accessible from the Active Directory site containing your Mailbox servers.

  6. Импортируйте файл пограничной подписки на сайт Active Directory.Import the Edge Subscription file to the Active Directory site.

Что происходит при создании новой пограничной подпискиWhat happens when you create a new Edge Subscription

При создании файла пограничной подписки (путем выполнения командлета New-EdgeSubscription на пограничном транспортном сервере) выполняются следующие действия:When you create an Edge Subscription file (by running the New-EdgeSubscription cmdlet on the Edge Transport server), the following actions occur:

  • Создается учетная запись AD LDS, которая называется учетной записью репликации начальной загрузки EdgeSync (ESBRA).An AD LDS account called the EdgeSync bootstrap replication account (ESBRA) is created. Эти учетные данные ESBRA используются для проверки подлинности первого подключения EdgeSync к пограничному транспортному серверу.These ESBRA credentials are used to authenticate the first EdgeSync connection to the Edge Transport server. Срок действия учетной записи истекает через 24 часа после создания.This account is configured to expire 24 hours after being created. Поэтому необходимо выполнить шесть этапов подписки, описанные в предыдущем разделе, в течение 24 часов.Therefore, you need to complete the six-step subscription process described in the previous section within 24 hours. Если срок действия учетной записи ESBRA истечет до завершения процесса пограничной подписки, потребуется повторно выполнить командлет New-EdgeSubscription, чтобы создать новый файл пограничной подписки.If the ESBRA expires before the Edge Subscription process is complete, you will need to run the New-EdgeSubscription cmdlet again to create a new Edge Subscription file.

  • Учетные данные ESBRA извлекаются из службы AD LDS и записываются в файл пограничной подписки. В файл пограничной подписки также экспортируется открытый ключ самозаверяющего сертификата пограничного транспортного сервера. Учетные данные, записываемые в файл пограничной подписки, зависят от сервера, с которого экспортировался файл.The ESBRA credentials are retrieved from AD LDS and written to the Edge Subscription file. The public key for the Edge Transport server's self-signed certificate is also exported to the Edge Subscription file. The credentials written to the Edge Subscription file are specific to the server that exported the file.

  • Все ранее созданные объекты конфигурации на пограничном транспортном сервере, которые будет реплицироваться в AD LDS из службы каталогов Active Directory, удаляются из AD LDS, а командлеты Командная консоль Exchange, используемые для настройки этих объектов, отключаются.Any previously created configuration objects on the Edge Transport server that will now be replicated to AD LDS from Active Directory are deleted from AD LDS, and the Exchange Management Shell cmdlets used to configure those objects are disabled. Однако вы сможете просматривать эти объекты с помощью командлетов Get-*.However, you can still use the Get-* cmdlets to view those objects. При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере отключаются приведенные ниже командлеты.Running the New-EdgeSubscription cmdlet disables the following cmdlets on the Edge Transport server:

    • Set — SendConnectorSet-SendConnector

    • New — SendConnectorNew-SendConnector

    • Remove — SendConnectorRemove-SendConnector

    • New — AcceptedDomainNew-AcceptedDomain

    • Set — AcceptedDomainSet-AcceptedDomain

    • Remove — AcceptedDomainRemove-AcceptedDomain

    • New — MessageClassificationNew-MessageClassification

    • Set — MessageClassificationSet-MessageClassification

    • Remove — MessageClassificationRemove-MessageClassification

    • New — RemoteDomainNew-RemoteDomain

    • Set — RemoteDomainSet-RemoteDomain

    • Remove — RemoteDomainRemove-RemoteDomain

При импорте файла пограничной подписки на сервер почтовых ящиков, выполнив командлет New – EdgeSubscription на сервере почтовых ящиков:When you import the Edge Subscription file on the Mailbox server by running the New-EdgeSubscription cmdlet on the Mailbox server:

  • Создается пограничная подписка, соединяющая пограничный транспортный сервер с организацией Exchange.The Edge Subscription is created, joining an Edge Transport server to an Exchange organization. Служба EdgeSync распространяет данные конфигурации на этот пограничный транспортный сервер, создавая объект пограничной конфигурации в Active Directory.EdgeSync will propagate configuration data to this Edge Transport Server, creating an Edge configuration object in Active Directory.

  • Каждый сервер почтовых ящиков на сайте Active Directory получает уведомление от Active Directory о том, что подписан новый пограничный транспортный сервер. Сервер почтовых ящиков получает ESBRA из файла пограничной подписки. После этого сервер почтовых ящиков шифрует ESBRA с использованием открытого ключа самозаверяющего сертификата пограничного транспортного сервера. Зашифрованные учетные данные затем записываются в объект пограничной конфигурации.Each Mailbox server in the Active Directory site receives notification from Active Directory that a new Edge Transport server has been subscribed. The Mailbox server retrieves the ESBRA from the Edge Subscription file. The Mailbox server then encrypts the ESBRA by using the public key of the Edge Transport server's self-signed certificate. The encrypted credentials are then written to the Edge configuration object.

  • Каждый сервер почтовых ящиков также шифрует ESBRA с помощью собственного открытого ключа и сохраняет учетные данные в своем объекте конфигурации.Each Mailbox server also encrypts the ESBRA using its own public key and then stores the credentials in its own configuration object.

  • Учетные записи репликации EdgeSync (ESRA) создаются в Active Directory для каждой из них пограничных транспортных серверов почтовых ящиков.EdgeSync replication accounts (ESRAs) are created in Active Directory for each Edge Transport-Mailbox server pair. Каждый сервер почтовых ящиков хранит свои учетные данные ESRA в качестве атрибута объекта конфигурации сервера почтовых ящиков.Each Mailbox server stores its ESRA credentials as an attribute of the Mailbox server configuration object.

  • Соединители отправки создаются автоматически для ретрансляции сообщений, исходящих с пограничного транспортного сервера в Интернет, и от пограничного транспортного сервера в организацию Exchange.Send connectors are automatically created to relay messages outbound from the Edge Transport server to the Internet, and inbound from the Edge Transport server to the Exchange organization.

  • Служба Microsoft Exchange EdgeSync, работающая на серверах почтовых ящиков, использует учетные данные ESBRA для установления безопасного подключения LDAP между сервером почтовых ящиков и пограничным транспортным сервером, а также выполняет начальную репликацию данных.The Microsoft Exchange EdgeSync service that runs on Mailbox servers uses the ESBRA credentials to establish a secure LDAP connection between a Mailbox server and the Edge Transport server, and performs the initial replication of data. В службу AD LDS реплицируются следующие данные:The following data is replicated to AD LDS:

    • данные топологии;Topology data

    • данные конфигурации;Configuration data

    • данные получателей;Recipient data

    • учетные данные ESRA.ESRA credentials

  • Служба учетных данных Microsoft Exchange, которая выполняется на пограничном транспортном сервере, устанавливает учетные данные ESRA. Эти учетные данные используются для проверки подлинности и защиты последующих соединений синхронизации.The Microsoft Exchange Credential Service that runs on the Edge Transport server installs the ESRA credentials. These credentials are used to authenticate and secure later synchronization connections.

  • Устанавливается расписание синхронизации EdgeSync.The EdgeSync synchronization schedule is established.

Служба Microsoft Exchange EdgeSync, работающая на серверах почтовых ящиков на подписанном сайте Active Directory, затем выполняет одностороннюю репликацию данных из Active Directory в AD LDS по регулярному расписанию.The Microsoft Exchange EdgeSync service running on the Mailbox servers in the subscribed Active Directory site then performs one-way replication of data from Active Directory to AD LDS on a regular schedule. Вы также можете использовать командлет Start – EdgeSynchronization , чтобы переопределить расписание синхронизации EdgeSync и сразу же начать синхронизацию.You can also use the Start-EdgeSynchronization cmdlet to override the EdgeSync synchronization schedule and immediately start synchronization.

Дополнительные сведения об учетных записях УЧЕТНЫЕ ESRA и способах их использования для защиты процесса синхронизации EdgeSync содержатся в разделе учетные данные пограничной подписки.For more information about ESRA accounts and how they're used to help secure the EdgeSync synchronization process, see Edge Subscription credentials.

В этом примере выполняется подписка пограничного транспортного сервера на указанный сайт и автоматически создается соединитель отправки в Интернет и соединитель отправки с пограничного транспортного сервера на серверы почтовых ящиков.This example subscribes an Edge Transport server to the specified site and automatically creates the Internet Send connector and the Send connector from the Edge Transport server to the Mailbox servers.

New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeSubscriptionInfo.xml" -Encoding Byte -ReadCount 0)) -CreateInternetSendConnector $true -CreateInboundSendConnector $true -Site "Default-First-Site-Name"

Примечание

Значения по умолчанию параметров CreateInternetSendConnector и CreateInboundSendConnector $true.The default values of the CreateInternetSendConnector and CreateInboundSendConnector parameters are both $true. Они показаны здесь только для демонстрации.They are shown here for demonstration only.

В этом примере показан экспорт файла пограничной подписки.This example exports an Edge Subscription file.

New-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml"

Примечание

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере появляется запрос на подтверждение отключения команд и перезаписи конфигурации на пограничном транспортном сервере.When the New-EdgeSubscription cmdlet is run on the Edge Transport server, you receive a prompt to acknowledge the commands that will be disabled and the configuration that will be overwritten on the Edge Transport server. Чтобы данный запрос не требовал подтверждения, необходимо использовать параметр Force.To bypass this confirmation, you must use the Force parameter. Этот параметр полезен при использовании командлета New-EdgeSubscription в сценарии.This parameter is useful when you script the New-EdgeSubscription cmdlet. Параметр Force также используется для перезаписи существующего файла, имя которого совпадает с именем файла, создаваемого в процессе повторной подписки пограничного транспортного сервера.The Force parameter is also used to overwrite an existing file with the same name as the file that you're creating when you resubscribe an Edge Transport server.

Подробные сведения о синтаксисе и параметрах см. в разделе New-EdgeSubscription.For detailed syntax and parameter information, see New-EdgeSubscription.

Соединители отправки, созданные во время процесса пограничной подпискиSend connectors created during the Edge Subscription process

По умолчанию при выполнении рекомендуемого процесса пограничной подписки путем импорта файла пограничной подписки на сервер почтовых ящиков соединители отправки, необходимые для включения сквозного обмена почтой между Интернетом и организацией Exchange, создаются автоматически и все существующие соединители отправки на пограничном транспортном сервере удаляются.By default, when you complete the recommended Edge Subscription process by importing the Edge Subscription file to a Mailbox server, the Send connectors required to enable end-to-end mail flow between the Internet and the Exchange organization are created automatically, and any existing Send connectors on the Edge Transport server are deleted. В некоторых случаях вы можете отключить автоматическое создание соединителей отправки и настроить соединители отправки вручную.In some scenarios, you may choose to suppress automatic creation of Send connectors and configure Send connectors manually. Дополнительные сведения о настройке соединителей отправки вручную можно узнать в статье Настройка почтового ящика пограничного транспортного сервера вручную и Настройка поток почты Интернета через пограничный транспортный сервер без использования EdgeSync.For more information about manually configuring Send connectors, see Manually configure Edge Transport server mail flow and Configure Internet mail flow through an Edge Transport server without using EdgeSync.

Процесс пограничной подписки подготавливает следующие соединители отправки:The Edge Subscription process provisions the following Send connectors:

  • Соединитель отправки, настроенный для ретрансляции сообщений электронной почты из организации Exchange в Интернет.A Send connector configured to relay email messages from the Exchange organization to the Internet.

  • Соединитель отправки, настроенный для ретрансляции сообщений электронной почты с пограничного транспортного сервера в организацию Exchange.A Send connector configured to relay email messages from the Edge Transport server to the Exchange organization.

Кроме того, подписывать пограничный транспортный сервер на организацию Exchange позволяет серверам почтовых ящиков на подписанном сайте Active Directory использовать соединитель отправки внутри организации для ретрансляции сообщений на этот пограничный транспортный сервер.Also, subscribing an Edge Transport server to the Exchange organization allows the Mailbox servers in the subscribed Active Directory site to use the intra-organization Send connector to relay messages to that Edge Transport server.

Автоматическое создание соединителя входящей почты для получения сообщений из ИнтернетаAutomatically create an inbound Send connector to receive messages from the Internet

По умолчанию при выполнении командлета New-EdgeSubscription на сервере почтовых ящиков параметру соединителя отправки входящих сообщений CreateInboundSendConnector присваивается значение $true.By default, when you run the New-EdgeSubscription cmdlet on the Mailbox server, the Inbound Send Connector parameter CreateInboundSendConnector is set to the value $true. При этом создается соединитель отправки, необходимый для отправки сообщений в организацию Exchange.This creates the Send connector needed to send messages to the Exchange organization. В таблице ниже показана конфигурация этого соединителя отправки.The following table shows the configuration of this Send connector.

Конфигурация автоматически создаваемого соединителя отправки для входящих подключенийAutomatic inbound Send connector configuration

СвойствоProperty ЗначениеValue

ИмяName

Служба EdgeSync — входящее <на сайт имя сайта>EdgeSync - Inbound to <Site Name>

АддрессспацесAddressSpaces

SMTP:--;1

-- Значение в адресном пространстве представляет все обслуживаемые домены и обслуживаемые домены для организации Exchange.The -- value in the address space represents all authoritative and internal relay accepted domains for the Exchange organization. Все сообщения, которые получает пограничный транспортный сервер для этих обслуживаемых доменов и обслуживаемых доменов, маршрутизируются на данный соединитель отправки и ретранслируются на промежуточные узлы.Any messages the Edge Transport server receives for these accepted domains are routed to this Send connector and relayed to the smart hosts.

SourceTransportServers всех соединителейSourceTransportServers

<Имя пограничной подписки><Edge Subscription name>

EnabledEnabled

TrueTrue

DNSRoutingEnabledDNSRoutingEnabled

FalseFalse

СмарсостсSmartHosts

--

-- Значение в списке промежуточных узлов представляет все серверы почтовых ящиков на подписанном сайте Active Directory.The -- value in the list of smart hosts represents all Mailbox servers in the subscribed Active Directory site. Все серверы почтовых ящиков, добавляемые на подписанный сайт Active Directory после создания пограничной подписки, не участвуют в процессе синхронизации EdgeSync.Any Mailbox servers you add to the subscribed Active Directory site after you establish the Edge Subscription don't participate in the EdgeSync synchronization process. Тем не менее они автоматически добавляются в список промежуточных узлов для автоматически создаваемого соединителя отправки для входящих подключений.However, they are automatically added to the list of smart hosts for the automatically created inbound Send connector. Если на подписанном сайте Active Directory расположено несколько серверов почтовых ящиков, входящие подключения будут распределяться между промежуточными сайтами для балансировки нагрузки.If more than one Mailbox server is located in the subscribed Active Directory site, inbound connections will be load balanced across the smart hosts.

На момент создания адресное пространство и список промежуточных узлов автоматически создаваемого соединителя отправки для входящих подключений изменить нельзя.You can't modify the address space or list of smart hosts at creation time for the automatically created inbound Send connector. Однако при создании пограничной подписки можно присвоить параметру CreateInboundSendConnector значение $false .However, you can set the CreateInboundSendConnector parameter to the value $false when you create an Edge Subscription. Это позволяет вручную настроить соединитель отправки с пограничного транспортного сервера в организацию Exchange.This allows you to manually configure a Send connector from the Edge Transport server to the Exchange organization.

Автоматическое создание соединителя отправки исходящих сообщений для отправки сообщений в ИнтернетAutomatically create an outbound Send connector to send messages to the Internet

По умолчанию при выполнении командлета New-EdgeSubscription на сервере почтовых ящиков параметру соединителя отправки исходящих сообщений CreateInternetSendConnector присваивается $trueзначение.By default, when you run the New-EdgeSubscription cmdlet on the Mailbox server, the Outbound Send Connector parameter CreateInternetSendConnector is set to the value $true. При этом создается соединитель отправки, необходимый для отправки сообщений в Интернет.This creates the Send connector needed to send messages to the Internet. В следующей таблице показана конфигурация по умолчанию для этого соединителя отправки.The following table shows the default configuration of this Send connector.

Конфигурация автоматически создаваемого соединителя отправки для ИнтернетаAutomatic Internet Send connector configuration

СвойствоProperty ЗначениеValue

ИмяName

<> Имя сайта EdgeSync в ИнтернетEdgeSync - <Site Name> to Internet

АддрессспацесAddressSpaces

SMTP:*;100

SourceTransportServers всех соединителейSourceTransportServers

<Имя пограничной подписки><Edge Subscription name>

Примечание

Имя пограничной подписки совпадает с именем подписанного пограничного транспортного сервера.The name of the Edge Subscription is the same as the name of the subscribed Edge Transport server.

EnabledEnabled

TrueTrue

DNSRoutingEnabledDNSRoutingEnabled

TrueTrue

DomainSecureEnabled имеетDomainSecureEnabled

TrueTrue

Если на один сайт Active Directory подписано несколько пограничных транспортных серверов, дополнительные соединители отправки для Интернета не создаются. Вместо этого все пограничные подписки добавляются к одному соединителю отправки в качестве исходного сервера. Это обеспечивает балансировку нагрузки исходящих подключений к Интернету на подписанных пограничных транспортных серверах.If more than one Edge Transport server is subscribed to the same Active Directory site, no additional Send connectors to the Internet are created. Instead, all Edge Subscriptions are added to the same Send connector as the source server. This load balances outbound connections to the Internet across the subscribed Edge Transport servers.

Соединитель отправки для исходящих подключений настроен на отправку сообщений электронной почты из организации Exchange на все удаленные SMTP-домены и использует маршрутизацию DNS для разрешения имен доменов в записи ресурсов MX.The outbound Send connector is configured to send email messages from the Exchange organization to all remote SMTP domains, using DNS routing to resolve domain names to MX resource records. Дополнительные сведения о настройке конфигурации соединителя вручную: вручную настройте поток обработки почтына пограничном транспортном сервере.For details about manually configuring a connector's configuration, see Manually configure Edge Transport server mail flow.

Служба Microsoft Exchange EdgeSyncMicrosoft Exchange EdgeSync service

После подписки пограничного транспортного сервера на сайт Active Directory служба EdgeSync реплицирует данные конфигурации и получателей на пограничные транспортные серверы.After you subscribe an Edge Transport server to an Active Directory site, EdgeSync will replicate configuration and recipient data to the Edge Transport servers. Эта служба реплицирует из Active Directory в AD LDS следующие данные:The service replicates the following data from Active Directory to AD LDS:

  • конфигурация соединителя отправки;Send connector configuration

  • обслуживаемые домены;Accepted domains

  • удаленные домены;Remote domains

  • Классификации сообщенийMessage classifications

  • списки надежных отправителей;Safe Senders Lists

  • списки заблокированных отправителей;Blocked Senders Lists

  • получатели;Recipients

  • список доменов отправки и получения, используемых для безопасного обмена данными с партнерами в домене;List of send and receive domains used in domain secure communications with partners

  • список SMTP-серверов, которые являются внутренними в конфигурации транспорта организации;List of SMTP servers listed as internal in your organization's transport configuration

  • Список серверов почтовых ящиков на подписанном сайте Active DirectoryList of Mailbox servers in the subscribed Active Directory site

Подробные сведения о данных, реплицированных в AD LDS, и о том, как они используются, приведены в статье Replication EdgeSync Data.For details about the data replicated to AD LDS and how it's used, see EdgeSync replication data.

Для передачи данных с сервера почтовых ящиков на пограничный транспортный сервер EdgeSync использует канал LDAP с взаимной проверкой подлинности и авторизованный безопасный канал LDAP.EdgeSync uses a mutually authenticated and authorized secure LDAP channel to transfer data from the Mailbox server to the Edge Transport server.

Для репликации данных в AD LDS сервер почтовых ящиков выполняет привязку к серверу глобального каталога для получения обновленных данных.To replicate data to AD LDS, the Mailbox server binds to a global catalog server to retrieve updated data. Служба EdgeSync инициирует безопасный сеанс LDAP между сервером почтовых ящиков и подписанным пограничным транспортным сервером через нестандартный TCP-порт 50636.EdgeSync initiates a secure LDAP session between a Mailbox server and the subscribed Edge Transport server over the non-standard TCP port 50636.

При первой подписке пограничного транспортного сервера на сайт Active Directory время первоначальной репликации, при которой происходит заполнение служб AD LDS данными из Active Directory, зависит от количества данных в службе каталогов, и может составлять 5 минут и больше.When you first subscribe an Edge Transport server to an Active Directory site, the initial replication that populates AD LDS with data from Active Directory can take five minutes or more, depending on the quantity of data in the directory service. После начальной репликации служба EdgeSync синхронизирует только новые и измененные объекты, а также удаляет все удаленные объекты.After initial replication, EdgeSync only synchronizes new and changed objects, and removes any deleted objects.

Расписание синхронизацииSynchronization schedule

Расписания синхронизации различных типов данных различаются.Different types of data synchronize on different schedules. Расписание синхронизации EdgeSync задает максимальный интервал между синхронизациями EdgeSync.The EdgeSync synchronization schedule specifies the maximum interval between EdgeSync synchronizations. Синхронизация EdgeSync выполняется через следующие интервалы:EdgeSync synchronization occurs at the following intervals:

  • Данные конфигурации: 3 минуты.Configuration data: 3 minutes.

  • Данные получателей: 5 минут.Recipient data: 5 minutes.

  • Данные топологии: 5 минут.Topology data: 5 minutes

Эти интервалы можно изменить с помощью командлета Set-EdgeSyncServiceConfig.If you want to change these intervals, use the Set-EdgeSyncServiceConfig cmdlet. Использование командлета Start – EdgeSynchronization на сервере почтовых ящиков для принудительной синхронизации пограничных подписок переопределяет таймер для следующей запланированной синхронизации EdgeSync и сразу же запускает EdgeSync.Using the Start-EdgeSynchronization cmdlet on the Mailbox server to force Edge Subscription synchronization overrides the timer for the next scheduled EdgeSync synchronization, and starts EdgeSync immediately.

Выбор серверов почтовых ящиковSelection of Mailbox servers

Каждый подписанный пограничный транспортный сервер связан с определенным сайтом Active Directory. Если на сайте имеется несколько серверов почтовых ящиков, то любой из них может реплицировать данные на подписанные пограничные транспортные серверы. Чтобы избежать состязания между серверами почтовых ящиков при синхронизации, выбор основного сервера почтовых ящиков происходит, как описано ниже.Each subscribed Edge Transport server is associated with a particular Active Directory site. If more than one Mailbox server exists in the site, any of these Mailbox servers can replicate data to the subscribed Edge Transport servers. To avoid contention among Mailbox servers when synchronizing, the preferred Mailbox server is selected as follows:

  1. Первоначальную репликацию выполняет сервер почтовых ящиков на сайте Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой сервер почтовых ящиков на сайте может выполнить первоначальную репликацию.The first Mailbox server in the Active Directory site to perform a topology scan and discover the new Edge Subscription performs the initial replication. Because this discovery is based on the timing of the topology scan, any Mailbox server in the site may perform the initial replication.

  2. Сервер почтовых ящиков, выполняющий первоначальную репликацию, устанавливает параметр аренды EdgeSync и блокирует блокировку пограничной подписки.The Mailbox server performing the initial replication establishes an EdgeSync lease option and sets a lock on the Edge Subscription. Благодаря аренде этот сервер почтовых ящиков считается основным сервером, предоставляющим службы синхронизации для данного пограничного транспортного сервера.The lease option establishes that particular Mailbox server as the preferred server providing synchronization services to that Edge Transport server. Блокировка не позволяет службе EdgeSync, запущенной на другом сервере почтовых ящиков, затронуть аренду.The lock prevents EdgeSync running on another Mailbox server from taking over the lease option.

  3. Срок аренды EdgeSync длится в течение одного часа.The EdgeSync lease option lasts for one hour. В течение этого часа никакие другие службы EdgeSync не могут принимать какие-либо операции, пока синхронизация вручную не будет запущена до конца часа.During that hour, no other EdgeSync service can take over the option unless a manual synchronization is started before the end of the hour. Если предпочитаемый сервер почтовых ящиков недоступен для предоставления службы EdgeSync во время выполнения синхронизации вручную, то после пяти минут ожидания блокировка снимается, а другая служба EdgeSync может получить доступ к параметру аренды и выполнить синхронизацию.If the preferred Mailbox server isn't available to provide EdgeSync service at the time manual synchronization is started, after a five-minute wait, the lock is released and another EdgeSync service can take over the lease option and perform synchronization.

  4. Если синхронизация вручную не запускается, синхронизация выполняется на основе расписания синхронизации EdgeSync.Unless manual synchronization is started, synchronization occurs based on the EdgeSync synchronization schedule. Если основной сервер недоступен при запланированной синхронизации, то через пять минут ожидания блокировка снимается, а другая служба EdgeSync может принимать дополнительные параметры аренды и выполнять синхронизацию.If the preferred server isn't available when a scheduled synchronization occurs, after a five-minute wait, the lock is released and another EdgeSync service can take over the lease option and perform synchronization.

Этот метод блокировки и аренды предотвращает принудительную отправку данных на один и тот же пограничный транспортный сервер несколькими экземплярами EdgeSync.This method of locking and leasing prevents more than one instance of EdgeSync from pushing data to the same Edge Transport server at the same time.

Примечание

Если у вас также есть серверы почтовых ящиков Exchange 2010 или Exchange 2007 на подписанном сайте Active Directory, серверы почтовых ящиков Exchange 2013 всегда получают приоритет и выполняют репликацию.If you also have Exchange 2010 or Exchange 2007 Mailbox servers in the subscribed Active Directory site, Exchange 2013 Mailbox servers will always take precedence and perform the replication.

Примечание

Когда вы подписываете пограничный транспортный сервер на сайт Active Directory, все серверы почтовых ящиков, установленные на сайте Active Directory в это время, могут участвовать в процессе синхронизации EdgeSync.When you subscribe an Edge Transport server to an Active Directory site, all Mailbox servers installed in that Active Directory site at that time can participate in the EdgeSync synchronization process. При удалении одного из этих серверов служба EdgeSync, запущенная на оставшихся серверах почтовых ящиков, продолжит процесс синхронизации данных.If one of those servers is removed, the EdgeSync service that's running on the remaining Mailbox servers will continue the data synchronization process. Тем не менее, если вы Атер установку новых серверов почтовых ящиков на сайте Active Directory, они не будут автоматически участвовать в синхронизации EdgeSync.However, if you ;ater install new Mailbox servers in the Active Directory site, they won't automatically participate in EdgeSync synchronization. Если вы хотите, чтобы новые серверы почтовых ящиков участвовали в синхронизации EdgeSync, пограничный транспортный сервер необходимо будет снова подписаться.If you want to enable those new Mailbox servers to participate in EdgeSync synchronization, you will need to subscribe the Edge Transport server again.

В следующей таблице перечислены свойства EdgeSync, относящиеся к блокировке и аренде.The following table lists the EdgeSync properties related to locking and leasing. Для настройки этих свойств можно использовать командлет Set-EdgeSyncServiceConfig.You can use the Set-EdgeSyncServiceConfig cmdlet to configure these properties.

Свойства аренды EdgeSyncEdgeSync lease properties

ПараметрParameter Значение по умолчаниюDefault value ОписаниеDescription

ЛоккдуратионLockDuration

00:05:00 (5 минут)00:05:00 (5 minutes)

Этот параметр определяет, сколько времени определенная служба EdgeSync будет получать блокировку.This setting determines how long a particular EdgeSync service will acquire a lock. Если служба EdgeSync на сервере почтовых ящиков, на которой удерживается блокировка, не отвечает, то через пять минут служба EdgeSync на другом сервере почтовых ящиков будет принимать через аренду.If the EdgeSync service on the Mailbox server that's holding this lock doesn't respond, after five minutes the EdgeSync service on another Mailbox server will take over the lease. Принудительное выполнение немедленной синхронизации EdgeSync не переопределяет этот параметр.Forcing immediate EdgeSync synchronization doesn't override this setting.

ОптиондуратионOptionDuration

01:00:00 (1 час)01:00:00 (1 hour)

Этот параметр определяет, как долго служба EdgeSync может объявить аренду на пограничном транспортном сервере.This setting determines how long an EdgeSync service can declare a lease option on an Edge Transport server. Если служба EdgeSync, удерживающие аренду, недоступна и не перезапускается в течение этого периода, то никакие другие службы Exchange EdgeSync не будут занимать аренду до тех пор, пока не будет принудительно синхронизация EdgeSync.If the EdgeSync service holding the lease is unavailable and doesn't restart during this option period, no other Exchange EdgeSync service will take over the lease option unless you force EdgeSync synchronization.

ЛоккреневалдуратионLockRenewalDuration

00:01:00 (1 минута)00:01:00 (1 minute)

Этот параметр определяет частоту обновления поля блокировки, когда служба EdgeSync получила блокировку на пограничный транспортный сервер.This setting determines how frequently the lock field is updated when an EdgeSync service has acquired a lock to an Edge Transport server.

Подготовка к запуску службы EdgeSyncPreparing to run the EdgeSync service

Прежде чем подписывать пограничный транспортный сервер на организацию Exchange, необходимо убедиться, что инфраструктура и серверы почтовых ящиков подготовлены для службы EdgeSync.Before you can subscribe your Edge Transport server to your Exchange organization, you need to make sure your infrastructure and your Mailbox servers are prepared for the EdgeSync service. Чтобы подготовиться к синхронизации EdgeSync, необходимо выполнить следующие действия:To prepare for EdgeSync synchronization, you need to:

  • Убедитесь, что брандмауэр периметра сети отделяет пограничный транспортный сервер от организации Exchange, чтобы разрешить связь через правильные порты.Verify that the perimeter network firewall separating the Edge Transport server from the Exchange organization is configured to enable communications through the correct ports. Пограничный транспортный сервер использует нестандартные порты LDAP.The Edge Transport server uses non-standard LDAP ports. Если для вашей среды требуются определенные порты, можно изменить порты, используемые AD LDS, с помощью сценария сценария ConfigureAdam. ps1, поставляемого вместе с Exchange.If your environment requires specific ports, you can modify the ports used by AD LDS using the ConfigureAdam.ps1 script provided with Exchange. Дополнительные сведения см. в разделе изменение конфигурации AD LDS.For more information, see Modify AD LDS configuration. Измените порты, прежде чем создавать пограничную подписку.Modify the ports before you create the Edge Subscription. При изменении портов после создания пограничной подписки необходимо удалить пограничную подписку, а затем создать новую пограничную подписку.If you modify the ports after you create the Edge Subscription, you will need to remove the Edge Subscription and then create a new Edge subscription. По умолчанию для доступа к AD LDS используются следующие порты LDAP:By default, the following LDAP ports are used to access AD LDS:

    • LDAP: порт 50389/TCP используется локально для привязывания к ЭКЗЕМПЛЯРУ AD LDS.LDAP: Port 50389/TCP is used locally to bind to the AD LDS instance. Этот порт не обязательно должен быть открыт на брандмауэре сети периметра.This port doesn't have to be open on the perimeter network firewall.

    • Secure LDAP: порт 50636/TCP используется для синхронизации службы каталогов с серверов почтовых ящиков и AD LDS.Secure LDAP: Port 50636/TCP is used for directory synchronization from Mailbox servers to AD LDS. Для успешной синхронизации EdgeSync этот порт должен быть открыт на брандмауэре.This port must be open on the firewall for successful EdgeSync synchronization.

  • Убедитесь, что разрешение имен узлов DNS выполняется успешно с пограничного транспортного сервера на серверы почтовых ящиков и с серверов почтовых ящиков на пограничный транспортный сервер.Verify that DNS host name resolution is successful from the Edge Transport server to the Mailbox servers and from the Mailbox servers to the Edge Transport server.

  • Лицензируйте пограничный транспортный сервер.License the Edge Transport server. Сведения о лицензировании пограничного транспортного сервера фиксируются при создании пограничной подписки.The licensing information for the Edge Transport server is captured when the Edge Subscription is created. Подписанные пограничные транспортные серверы должны быть подписаны на организацию Exchange после применения ключа лицензии на пограничном транспортном сервере.Subscribed Edge Transport servers need to be subscribed to the Exchange organization after the license key has been applied on the Edge Transport server. Если после выполнения пограничной подписки на пограничном транспортном сервере применяется лицензионный ключ, сведения о лицензировании не будут обновляться в организации Exchange, и пограничный транспортный сервер необходимо будет повторно подписаться.If the license key is applied on the Edge Transport server after you perform the Edge Subscription process, licensing information will not be updated in the Exchange organization, and you will need to resubscribe the Edge Transport server.

  • Настройте следующие параметры транспорта для распространения на пограничном транспортном сервере:Configure the following transport settings for propagation to the Edge Transport server:

    • Внутренние SMTP-серверы: используйте параметр InternalSMTPServers в командлете Set-TransportConfig , чтобы указать список IP-адресов внутреннего SMTP-сервера или диапазоны IP-адресов, которые должны игнорироваться идентификатором отправителя и агентами фильтрации подключений. на пограничном транспортном сервере.Internal SMTP servers: Use the InternalSMTPServers parameter on the Set-TransportConfig cmdlet to specify a list of internal SMTP server IP addresses or IP address ranges to be ignored by the Sender ID and Connection Filtering agents on the Edge Transport server.

    • Обслуживаемые домены: Настройте все уполномоченные домены, домены внутренней ретрансляции и домены внешней ретрансляции.Accepted domains: Configure all authoritative domains, internal relay domains, and external relay domains.

    • Удаленные домены: Настройка параметров удаленного домена.Remote domains: Configure remote domain settings.

Управление пограничными подпискамиManaging Edge Subscriptions

Пошаговые инструкции по управлению пограничными подписками содержатся в разделе Управление пограничными подписками.For step-by-step instructions on Edge Subscription management tasks, see Manage Edge Subscriptions.