Планирование пограничных транспортных серверовEdge Transport server planning

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Роль пограничного транспортного сервера была вновь введена в пакете обновления 1 Exchange. Пограничный транспортный сервер обеспечивает улучшенную защиту от нежелательной почты для организации Exchange. Пограничный транспортный сервер также применяет политики к сообщениям при их передаче между организациями. Эта роль сервера развертывается в демилитаризованной зоне и за пределами леса Active Directory. Пограничные транспортные серверы не имеют прямого доступа к сведениям о конфигурации и получателях в Active Directory, который есть у серверов почтовых ящиков или серверов клиентского доступа. Для локального хранения сведений о конфигурации и данных получателей пограничный транспортный сервер использует службу облегченного доступа к каталогам (AD LDS) Active Directory.The Edge Transport server role has been re-introduced in Exchange Service Pack 1. Edge Transport provides improved anti-spam protection for the Exchange organization. The Edge Transport server also applies policies to messages in transport between organizations. This server role is deployed in the perimeter network and outside the Active Directory forest. Edge Transport servers don't have direct access to Active Directory for configuration and recipient information in the way Client Access or Mailbox servers do. The Edge Transport server uses the Active Directory Lightweight Directory Service (AD LDS) to store configuration and recipient information locally.

Вы можете добавить пограничный транспортный сервер к существующей организации Exchange 2013. При установке пограничного транспортного сервера не требуется выполнять никаких дополнительных подготовительных действий для Active Directory.You can add an Edge Transport server to an existing Exchange 2013 organization. You don't have to perform any additional Active Directory preparation steps when you install the Edge Transport server.

Примечание

При добавлении пограничного транспорта для существующего Exchange 2010 или организации Exchange 2007 необходимо установить определенные накопительный пакет обновлений на устаревших серверов перед установкой Exchange 2013 Edge Transport. Дополнительные сведения см системные требования Exchange 2013.If you are adding Edge Transport to an existing Exchange 2010 or Exchange 2007 organization, you will need to install specific rollup updates on your legacy servers before installing Exchange 2013 Edge Transport. For details, see Exchange 2013 system requirements.

При планировании развертывания пограничных транспортных серверов следует учесть следующие вопросы:When you're planning to deploy Edge Transport servers, you should consider the following issues:

  • Мощность сервера Планирование мощности серверов включает в себя планирования для проведения мониторинга производительности пограничного транспортного сервера. Мониторинг производительности поможет вам понять, как серьезный работа сервера. Эти сведения будут определить емкость текущей конфигурации аппаратного обеспечения.Server Capacity Planning for server capacity includes planning to conduct performance monitoring of the Edge Transport server. Performance monitoring will help you understand how hard the server is working. This information will determine the capacity of your current hardware configuration.

  • Компоненты транспорта Пограничный транспортный сервер может предоставить защита от нежелательной почты в пограничной сети. Как часть процесса планирования следует определить функции защиты от нежелательной почты, которые позволят на пограничный транспортный сервер и как они будут настроены.Transport Features The Edge Transport server can provide anti-spam protection at the edge of the network. As part of your planning process, you should determine the anti-spam features that you will enable at the Edge Transport server and how they will be configured.

  • Безопасность Роль пограничного транспортного сервера позволяет иметь минимальные атаки. Таким образом важно правильно защиты и управления физической доступа и сетевого доступа к серверу. Планирование безопасности поможет вам убедитесь в том, что IP-адрес подключения включены только из авторизованных серверов и авторизованные пользователи. Для получения дополнительных сведений см Контрольный список развертывания для безопасности.Security The Edge Transport server role is designed to have a minimal attack surface. Therefore, it's important to correctly secure and manage both the physical access and network access to the server. Planning for security will help you make sure that IP connections are only enabled from authorized servers and from authorized users. For more information, see the Deployment security checklist.

    Рекомендуется поместить пограничного транспортного сервера в сети периметра. Чтобы убедиться в том, что сервер можно отправлять и получать электронную почту и получать обновления данных получателя и конфигурации из службы Microsoft Exchange EdgeSync, необходимо разрешить связь через порты, которые перечислены в следующей таблице.The recommended practice is to put the Edge Transport server within a perimeter network. To make sure that the server can send and receive e-mail and receive recipient and configuration data updates from the Microsoft Exchange EdgeSync service, you must allow communication through the ports that are listed in the following table.

    Настройка коммуникационных портов для пограничных транспортных серверовCommunication port settings for Edge Transport servers

    Сетевой интерфейсNetwork interface Открытый портOpen port ПротоколProtocol ПримечаниеNote

    Входящий трафик из Интернета и исходящий трафик в ИнтернетInbound from and outbound to the Internet

    25/TCP25/TCP

    SMTPSMTP

    Этот порт необходим для передачи почты в Интернет и получения почты из Интернета.This port is required for mail flow to and from the Internet.

    Входящий трафик из внутренней сети и исходящий трафик во внутреннюю сетьInbound from and outbound to the internal network

    25/TCP25/TCP

    SMTPSMTP

    Этот порт необходим для потока обработки почты, поступающей и исходящей из организации Exchange.This port is required for mail flow to and from the Exchange organization.

    Только локальный трафикLocal only

    50389/TCP50389/TCP

    LDAPLDAP

    Этот порт используется для локального подключения к службам Active Directory облегченного доступа к каталогам.This port is used to make a local connection to AD LDS.

    Входящий трафик из внутренней сетиInbound from the internal network

    50636/TCP50636/TCP

    Защищенный LDAPSecure LDAP

    Этот порт необходим для синхронизации EdgeSync.This port is required for EdgeSync synchronization.

    Входящий трафик из внутренней сетиInbound from the internal network

    3389/TCP3389/TCP

    RDPRDP

    Открывать этот порт не обязательно. Он обеспечивает более высокую гибкость управления пограничными транспортными серверами из внутренней сети, позволяя использовать для этого удаленное подключение к рабочему столу.Opening this port is optional. It provides more flexibility in managing the Edge Transport servers from inside the internal network by letting you use a remote desktop connection to manage the Edge Transport server.

    Примечание

    Роль пограничного транспортного сервера использует нестандартные порты LDAP. Порты, указанные в данном разделе — это порты связи LDAP, настраиваемые при установке роли пограничного транспортного сервера.The Edge Transport server role uses non-standard LDAP ports. The ports specified in this topic are the LDAP communication ports configured when the Edge Transport server role is installed.

  • EdgeSync Процесс развертывания рекомендуется заключается в создании пограничной подписки для подписки пограничного транспортного сервера в организацию Exchange. При создании пограничной подписки, получателя и конфигурации репликации данных из Active Directory в AD LDS. Подписка пограничного транспортного сервера на сайт Active Directory. Затем службы Microsoft Exchange EdgeSync, на котором работает на серверах почтовых ящиков на этом сайте, периодически обновляет AD LDS, синхронизации данных из Active Directory. В процессе синхронизации EdgeSync автоматически подготавливает соединителях отправки, необходимые для работы потока обработки почты из организации Exchange к Интернету через пограничный транспортный сервер. Если вы используете поиска получателей или функции объединение списков надежных отправителей на пограничном транспортном сервере, необходимо Подписка пограничного транспортного сервера в организацию.EdgeSync The recommended deployment process is to create an Edge Subscription to subscribe the Edge Transport server to the Exchange organization. When you create an Edge Subscription, recipient and configuration data is replicated from Active Directory to AD LDS. You subscribe an Edge Transport server to an Active Directory site. Then the Microsoft Exchange EdgeSync service that is running on the Mailbox servers in that site periodically updates AD LDS by synchronizing data from Active Directory. The Edge Subscription process automatically provisions the Send connectors that are required to enable mail flow from the Exchange organization to the Internet through an Edge Transport server. If you're using the recipient lookup or safelist aggregation features on the Edge Transport server, you must subscribe the Edge Transport server to the organization.

Настройка параметров DNS для роли пограничного транспортного сервераConfigure DNS settings for the Edge Transport server role

Пограничный транспортный сервер развертывается вне организации Exchange в качестве изолированного сервера в сети периметра или в качестве участника сети периметра домена Active Directory. Необходимо вручную настроить правильный DNS-суффикс для роли пограничного транспортного сервера, прежде чем установить Exchange 2013. Ели DNS-суффикс не настроен, произойдет сбой установки.The Edge Transport server is deployed outside the Exchange organization as a stand-alone server in the perimeter network or as a member of a perimeter network Active Directory domain. You need to manually configure the correct DNS suffix for the Edge Transport server role before you install Exchange 2013. If a DNS suffix isn't configured, setup will fail.

Поскольку пограничный транспортный сервер развертывается в сети периметра, его сетевые адаптеры подключаются к нескольким сетевым сегментам. Все эти сетевые сегменты имеют уникальные IP-настройки. Сетевой адаптер, подключенный к внешнему (общему) сетевому сегменту, должен быть настроен с использованием общего DNS-сервера для разрешения имен. Это позволяет серверу разрешать имена доменов SMTP в записи ресурсов MX и маршрутизировать почту в Интернет.Because the Edge Transport server is deployed in the perimeter network, it has network interfaces that are connected to multiple network segments. Each of these network segments has a unique IP configuration. The network interface that is connected to the external, or public, network segment should be configured to use a public DNS server for name resolution. This enables the server to resolve SMTP domain names to MX resource records and route mail to the Internet.

Сетевой адаптер, подключенный к внутреннему (частному) сетевому сегменту, должен быть настроен с использованием DNS-сервера с возможностью разрешения имен серверов почтовых ящиков в вашей организации или иметь файл "Hosts". Пограничные транспортные серверы и серверы почтовых ящиков должны иметь возможность использовать механизм разрешения узлов DNS, чтобы обнаруживать друг друга.The network interface that is connected to the internal, or private, network segment should be configured to use a DNS server that can resolve the names of the Mailbox servers in your organization, or should have a Hosts file available. The Edge Transport servers and the Mailbox servers must be able to use DNS host resolution to locate each other.

Чтобы включить разрешение имен серверов почтовых ящиков пограничными транспортными серверами, используйте один из следующих методов:To enable name resolution of Mailbox servers by Edge Transport servers, use one of the following methods:

  • Вручную создайте записи ресурсов для серверов почтовых ящиков в зоне прямого поиска на DNS-сервере, который настроен на внутреннем сетевом адаптере пограничного транспортного сервера.Manually create resource records for Mailbox servers in a forward lookup zone on the DNS server that's configured on the internal network adapter of the Edge Transport server.

  • Измените файл Hosts на пограничном транспортном сервере, чтобы включить записи узлов для серверов почтовых ящиков. Файл Hosts — это локальный текстовый файл в формате 4,3 файл/etc/hosts UNIX распространения программного обеспечения Беркли (BSD). Этот файл сопоставляет имена узлов с IP-адресов, а файл сохраняется в \% Systemroot %\System32\драйверы\папки и Т.д.Edit the Hosts file on the Edge Transport server to include the Host records for the Mailbox servers. The Hosts file is a local text file in the same format as the 4.3 Berkeley Software Distribution (BSD) UNIX /etc/hosts file. This file maps host names to IP addresses, and the file is stored in the \%Systemroot%\System32\Drivers\Etc folder.

Чтобы включить разрешение имен пограничных транспортных серверов с помощью серверов почтовых ящиков, используйте один из следующих методов:To enable name resolution of Edge Transport servers by Mailbox servers, use one of the following methods:

  • Вручную создайте записи ресурсов для пограничных транспортных серверов в зоне прямого поиска на DNS-сервере, который настроен на сервере почтовых ящиков.Manually create resource records for Edge Transport servers in a forward lookup zone on the DNS server that's configured on the Mailbox server.

  • Измените файл "Hosts" на серверах почтовых ящиков, расположенных на подписанном сайте Active Directory, чтобы включить записи узлов для пограничных транспортных серверов.To include the Host records for the Edge Transport servers, edit the Hosts file on the Mailbox servers that are located in the subscribed Active Directory site.

Чтобы настроить параметры DNS для пограничного транспортного сервера, необходимо выполнить следующие шаги:Follow these steps to configure DNS settings for the Edge Transport server:

  1. Убедиться, что параметры сервера DNS для каждого сетевого адаптера являются правильными для сетевого сегмента.Verify that the DNS server settings for each network interface are correct for the network segment.

  2. Настроить DNS-суффикс для имени пограничного транспортного сервера, используя следующие шаги:Configure the DNS suffix for the Edge Transport server name using the following steps:

    1. Откройте панель управления и выберите Свойства системы.Open Control Panel, and then choose System Properties.

    2. Выберите вкладку Имя компьютера.Choose the Computer Name tab.

    3. Выберите Изменить.Choose Change.

    4. На странице Изменение имени компьютера нажмите кнопку Дополнительно.On the Computer Name Changes page, click More.

    5. В поле Основной DNS-суффикс этого компьютера введите доменное имя и суффикс DNS для пограничного транспортного сервера.In the Primary DNS suffix of this computer field, type a DNS domain name and suffix for the Edge Transport server.

    Это имя не может изменяться после установки роли пограничного транспортного сервера.This name can't be changed after the Edge Transport server role is installed.

Переопределите параметры DNSOverride DNS settings

Чтобы почта правильно перенаправлялась и доставлялась, может понадобиться переопределение параметров DNS по умолчанию на сервере Exchange. Для этого измените параметры Внутренние DNS-запросы и Внешние DNS-запросы в свойствах транспортного сервера. Эти параметры переопределяют параметры сетевого адаптера для маршрутизации сообщений электронной почты.You might need to override the default DNS settings on the Exchange server so mail can be routed and delivered correctly. To do this, modify the Internal DNS Lookups and External DNS Lookups settings of the transport server's properties. These settings override the settings on the network adapter to route e-mail messages.