Данные репликации EdgeSyncEdgeSync replication data

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В процессе развертывания пограничный транспортный сервер не имеет доступа к Active Directory. Для выполнения поиска получателей и объединения списков надежных отправителей, а также для реализации безопасности домена с использованием взаимной проверки подлинности TLS пограничному транспортному серверу требуются данные, хранящиеся в Active Directory. Эти данные реплицируются на пограничный транспортный сервер с помощью EdgeSync и сохраняются в службах Active Directory облегченного доступа к каталогам (AD LDS).When you deploy an Edge Transport server, it doesn't have access to Active Directory. To perform recipient lookup and safelist aggregation tasks, and to implement domain security by using Mutual Transport Layer Security (MTLS) authentication, the Edge Transport server needs data from Active Directory. This data is replicated to the Edge Transport server using EdgeSync; the Edge Transport server stores all replicated information in Active Directory Lightweight Directory Services (AD LDS).

В этой статье рассматриваются данные, реплицированные с Active Directory в службы Active Directory облегченного доступа к каталогам на пограничном транспортном сервере с подпиской на сайт Active Directory.This topic focuses on data replicated from Active Directory to AD LDS on an Edge Transport server subscribed to an Active Directory site. Дополнительные сведения об EdgeSync и пограничных подписках см. в разделе Edge Subscriptions.To learn more about EdgeSync and Edge Subscriptions, see Edge Subscriptions.

В службы Active Directory облегченного доступа к каталогам реплицируются четыре типа данных, которые затем используются пограничным транспортным сервером:Four types of data are replicated to AD LDS and used by the Edge Transport server:

сведения о пограничной подписке;Edge Subscription information

сведения о конфигурации;Configuration information

Recipient informationRecipient information

Topology informationTopology information

сведения о пограничной подписке;Edge Subscription information

Exchange 2013 расширяет схемы Active Directory и служб Active Directory облегченного доступа к каталогам, добавляя в объект ms-Exch-ExchangeServer атрибуты, представляющие данные, необходимые для управления синхронизацией EdgeSync.Exchange 2013 extends both the Active Directory and AD LDS schemas to provide attributes on the ms-Exch-ExchangeServer object to represent the data needed to control EdgeSync synchronization. Эти атрибуты обеспечивают выполнение трех функций EdgeSync:These attributes provide three functions to EdgeSync:

  • автоматическое предоставление и обслуживание учетных данных, которые обеспечивают соединение LDAP между сервером почтовых ящиков и подписанным пограничным транспортным сервером;Automatic provisioning and maintenance of the credentials used to help secure the LDAP connection between a Mailbox server and a subscribed Edge Transport server.

  • арбитраж процесса блокировки и аренды синхронизации, что обеспечивает одновременную попытку синхронизации только одного сервера с отдельным пограничным транспортным сервером. Дополнительные сведения о блокировке и аренде см. в разделе пограничные подписки.Arbitrating the synchronization lock and lease process, ensuring that only one server at a time will try to synchronize with an individual Edge Transport server. For more information about the lock and lease process, see Edge Subscriptions.

  • оптимизация синхронизации EdgeSync для ведения записи о текущем состоянии синхронизации. Простой просмотр состояния синхронизации помогает избежать излишней ручной синхронизации.Optimizing EdgeSync synchronization to maintain a record of current synchronization status. Easily viewing synchronization status helps avoid excessive manual synchronization.

В таблице ниже приведены расширения схемы, которые относятся к пограничным подпискам. Значения, назначенные этим атрибутам, устанавливаются пограничной подпиской и EdgeSync; они не предназначены для исправления вручную.The schema extensions in the following table are specific to Edge Subscriptions. The values assigned to these attributes are maintained by the Edge Subscription and EdgeSync; they are not intended to be manually edited.

Расширения схемы пограничной подпискиEdge Subscription schema extensions

Имя атрибутаAttribute name ОписаниеDescription

ms-Exch-Server-EKPK-Public-Keyms-Exch-Server-EKPK-Public-Key

Текущий общедоступный ключ сертификата, используемого сервером. Это значение хранится как на пограничных транспортных серверах, так серверах почтовых ящиков. Общедоступный ключ используется для шифрования учетных данных, используемых для проверки подлинности сервера во время подключения по протоколам LDAP и SMTP.The current public key for the certificate being used by the server. This value is stored by both Edge Transport servers and Mailbox servers. The public key is used to encrypt credentials used to authenticate the server during LDAP and SMTP communication.

MS — дов — EdgeSync — учетные данныеms-Exch-EdgeSync-Credential

Список учетных данных, используемых EdgeSync для установления сеансов с поверкой подлинности по протоколу LDAP со службами Active Directory облегченного доступа к каталогам. На серверах почтовых ящиков этот атрибут содержит только учетные данные, с помощью которых сервер почтовых ящиков проверяет подлинность подписанных пограничных транспортных серверов. На пограничных транспортных серверах этот атрибут содержит учетные данные каждого сервера почтовых ящиков на подписанном сайте Active Directory, который участвует в процессе синхронизации EdgeSync. Этот атрибут содержится только на серверах почтовых ящиков с запущенной синхронизацией EdgeSync, а также на подписанных пограничных транспортных серверах.The list of credentials EdgeSync uses to establish an authenticated LDAP session with AD LDS. On Mailbox servers, this attribute contains only credentials the Mailbox server uses to authenticate the subscribed Edge Transport servers. On Edge Transport servers, this attribute contains the credentials of each Mailbox server in the subscribed Active Directory site that participates in EdgeSync synchronization. This attribute is only present on Mailbox servers running EdgeSync synchronization and on subscribed Edge Transport servers.

ms-Exch-Edge-Sync-Leasems-Exch-Edge-Sync-Lease

Используется для выбора сервера почтовых ящиков, когда несколько серверов пытаются реплицировать один и тот же пограничный транспортный сервер.Used to arbitrate between Mailbox servers when more than one Mailbox server tries to replicate to the same Edge Transport server.

ms-Exch-Edge-Sync-Statusms-Exch-Edge-Sync-Status

Содержится только в службах Active Directory облегченного доступа к каталогам в объекте пограничного транспортного сервера. Этот атрибут отслеживает состояние репликации в экземпляр служб Active Directory облегченного доступа к каталогам и содержит сведения о репликации.Only present in AD LDS on the Edge Transport server object. This attribute tracks the status of replication to an AD LDS instance and includes information about replication.

сведения о конфигурации;Configuration information

Во время оформления подписки на пограничный транспортный сервер в организации можно изменить настройки, общие для пограничного транспортного сервера и организации Exchange, изнутри организации. Эти изменения затем реплицируются на пограничный транспортный сервер с помощью EdgeSync. Этот процесс обеспечивает согласованность конфигурации всех серверов, используемых для обработки сообщений.When you subscribe an Edge Transport server to an organization, you can manage the configuration objects common to the Edge Transport server and the Exchange organization from inside the organization. These changes are then replicated to the Edge Transport server using EdgeSync. This process helps maintain a consistent configuration across all servers involved in message processing.

Подмножество данных конфигурации для организации Exchange также должно храниться на пограничном транспортном сервере.A subset of the configuration data for the Exchange organization must also be maintained on the Edge Transport server. В процессе синхронизации EdgeSync данные конфигурации, необходимые пограничному транспортному серверу, записываются в раздел конфигурации служб Active Directory облегченного доступа к каталогам.During EdgeSync synchronization, the configuration data the Edge Transport server needs is written to the configuration partition of AD LDS. К записываемым данным конфигурации относятся:The configuration data written to AD LDS includes:

  • Серверыпочтовых ящиков: полное доменное имя каждого сервера почтовых ящиков на подписанном сайте Active Directory становится доступным для ЛОКАЛЬНОГО хранилища AD LDS на пограничном транспортном сервере.Mailbox servers: The fully qualified domain name (FQDN) of each Mailbox server in the subscribed Active Directory site is made available to the local AD LDS store on the Edge Transport server. Эти сведения используются для получения списка серверов промежуточных узлов для входящего соединителя отправки.This information is used to derive a list of smart host servers for the inbound Send connector.

  • Обслуживаемые домены: все полномочные, внутренние ретрансляции и домены внешней ретрансляции, настроенные для организации Exchange, записываются в AD LDS.Accepted domains: All authoritative, internal relay, and external relay domains configured for the Exchange organization are written to AD LDS. Наличие обслуживаемых доменов, доступных для пограничного транспортного сервера, позволяет организации Exchange выполнять фильтрацию доменов и отклонять недопустимый трафик SMTP в своей организации как можно раньше.Having the accepted domains available to the Edge Transport server enables the Exchange organization to perform domain filtering and reject invalid SMTP traffic into their organization as early as possible. Дополнительные сведения о обслуживаемых доменах приведены в разделе обслуживаемые домены.For more information about accepted domains, see Accepted domains.

  • Классификации сообщений: Если классификации сообщений доступны на пограничном транспортном сервере, агенты транспорта и преобразования контента могут выполнять классификацию сообщений в сети периметра.Message classifications: If message classifications are available on the Edge Transport server, transport agents and content conversion can act on message classifications in the perimeter network. Например, агент фильтра вложений может применить удаленную классификацию, когда она удаляет вложение, отправляя информационный текст пользователю Microsoft Outlook или пользователю Outlook Web App, чтобы сообщить получателю о том, что произошло.For example, the Attachment Filter agent can apply the Attachment Removed classification when it removes an attachment, sending informational text to a Microsoft Outlook user or an Outlook Web App user to tell the recipient what happened. Агенты, разработанные для использования сторонними приложениями, могут использовать классификации сообщений аналогичным образом.Agents developed for use by third-party applications can use message classifications in a similar manner.

  • Удаленные домены: все записи удаленных доменов, настроенные для организации Exchange, записываются в AD LDS.Remote domains: All remote domain entries configured for the Exchange organization are written to AD LDS. Записи удаленных доменов определяют параметры сообщения об отсутствии на работе и параметры формата сообщения для удаленного домена.Remote domain entries control out-of-office message settings and message format settings for a remote domain. Дополнительные сведения об удаленных доменах см. в разделе Удаленные домены.For more information about remote domains, see Remote domains.

  • Соединители отправки: по умолчанию при создании пограничной подписки автоматически создаются соединители отправки, необходимые для включения сквозного поток обработки почты между организацией Exchange и Интернетом на момент подписки пограничного транспортного сервера.Send connectors: By default, creating an Edge Subscription automatically creates the Send connectors required to enable end-to-end mail flow between the Exchange organization and the Internet at the time the Edge Transport Server is subscribed. Все существующие соединители отправки на пограничном транспортном сервере удаляются.Any existing Send connectors on the Edge Transport server are deleted. Если требуется настроить дополнительные соединители отправки, настройте соединитель отправки в организации Exchange, а затем выберите пограничную подписку в качестве исходного сервера для соединителя.If you want to configure additional Send connectors, configure the Send connector inside the Exchange organization and then select the Edge Subscription as the source server for the connector. Дополнительную информацию см. в статье Edge Subscriptions.For more information, see Edge Subscriptions.

  • Внутренние SMTP-серверы: значение атрибута InternalSMTPServers хранится в объекте TransportConfig для организации Exchange и локального пограничного транспортного сервера.Internal SMTP servers: The value for the InternalSMTPServers attribute is stored on the TransportConfig object for both the Exchange organization and the local Edge Transport server. Во время синхронизации EdgeSync значение, хранящееся на локальном объекте пограничного транспортного сервера, перезаписывается значением, хранящимся в этом объекте для организации Exchange.During EdgeSync synchronization, the value stored on the local Edge Transport server object is overwritten with the value stored on this object for the Exchange organization. Этот атрибут задает список IP-адресов внутреннего SMTP-сервера или диапазоны IP-адресов, которые не должны учитываться кодом отправителя и процессом фильтрации подключений.This attribute specifies a list of internal SMTP server IP addresses or IP address ranges that should be ignored by Sender ID and connection filtering.

  • Списки безопасных доменов: атрибуты TLSReceiveDomainSecureList и TLSSendDomainSecureList хранятся в объекте TransportConfig для организации Exchange и локального пограничного транспортного сервера.Domain Secure lists: The TLSReceiveDomainSecureList and the TLSSendDomainSecureList attributes are stored on the TransportConfig object for both the Exchange organization and the local Edge Transport server. Во время синхронизации EdgeSync значение, хранящееся на локальном объекте пограничного транспортного сервера, перезаписывается значением, хранящимся в этом объекте для организации Exchange.During EdgeSync synchronization, the value stored on the local Edge Transport server object is overwritten with the value stored on this object for the Exchange organization. Эти атрибуты задают список удаленных доменов, настроенных для взаимной проверки подлинности TLS.These attributes specify the list of remote domains configured for mutual TLS authentication.

Recipient informationRecipient information

Информация о получателе, которая реплицируется в службы Active Directory облегченного доступа к каталогам, содержит только подмножество атрибутов получателя.Recipient information replicated to AD LDS includes only a subset of recipient attributes. Реплицируются только данные, необходимые пограничному транспортному серверу для выполнения определенных задач с защиты от нежелательной почты.Only data required by the Edge Transport to perform certain antispam tasks is replicated. К информации о получателе, реплицируемой в службы Active Directory облегченного доступа к каталогам, принадлежит:Recipient information replicated to AD LDS includes:

  • Получатели: список получателей в организации Exchange реплицируется в AD LDS.Recipients: The list of recipients in the Exchange organization is replicated to AD LDS. Каждый получатель идентифицируется назначенным идентификатором GUID Active Directory.Each recipient is identified by assigned Active Directory GUID. Если вы настроили учетную запись получателя для отказа от получения почты извне организации, этот получатель не реплицируется в AD LDS.If you configure a recipient's account to deny receipt of mail from outside the organization, that recipient isn't replicated to AD LDS. Если вы отключаете или удаляете почтовый ящик получателя, этот почтовый ящик больше не реплицируется в AD LDS.If you disable or delete a recipient's mailbox, that mailbox is no longer replicated to AD LDS.

  • Прокси-адреса: все прокси-адреса, назначенные каждому получателю, реплицируются в AD LDS в виде хэшированных данных.Proxy addresses: All proxy addresses assigned to each recipient are replicated to AD LDS as hashed data. Этот хэш является односторонним и использует алгоритм SHA-256.This is a one-way hash using Secure Hash Algorithm (SHA)-256. Алгоритм SHA-256 создает 256-разрядный хэш исходных данных.SHA-256 generates a 256-bit message digest of the original data. Хранение адресов прокси-серверов в виде хэшированных данных позволяет защитить их на случай компрометации пограничного транспортного сервера или служб Active Directory облегченного доступа к каталогам.Storing proxy addresses as hashed data helps secure this information in case the Edge Transport server or AD LDS is compromised. Адреса прокси-серверов используются при выполнении пограничным транспортным сервером поиска получателей для защиты от нежелательной почты.Proxy addresses are referenced when the Edge Transport server performs the recipient lookup antispam task.

  • Список надежных отправителей, список блокируемых отправителей и список надежных получателей: списки надежных отправителей, списки заблокированных отправителей и списки надежных получателей, определенные в экземпляре Outlook каждого получателя, объединяются и реплицируются в AD LDS.Safe Senders List, Blocked Senders List, and Safe Recipients List: Safe Senders Lists, Blocked Senders Lists and Safe Recipients Lists defined in each recipient's Outlook instance are aggregated and replicated to AD LDS. Эти параметры хранятся в базе данных почтовых ящиков, где размещается почтовый ящик получателя.These settings are stored in the mailbox database where the recipient's mailbox resides. Коллекция списков надежных отправителей пользователя Outlook — это Объединенные данные из списка надежных отправителей пользователя, списка надежных получателей, списка заблокированных отправителей и внешних контактов.An Outlook user's safelist collection is the combined data from the user's Safe Senders List, Safe Recipients List, Blocked Senders List, and external contacts. Если данные коллекции списков надежных отправителей доступны в AD LDS, пограничный транспортный сервер должен соответствующим образом отправителям, уменьшая эксплуатационные издержки для фильтрации почты.Having safelist collection data available in AD LDS enables the Edge Transport server to screen senders appropriately, reducing operational overhead for filtering mail. Эти сведения отправляются в виде хэшированных данных.This information is sent as hashed data.

    Важно!

    Хотя данные безопасного получателя хранятся в Outlook и могут быть объединены в коллекцию списков надежных отправителей в экземпляре AD LDS на пограничном транспортном сервере, функции фильтрации содержимого не действуют для данных безопасного получателя.Although the safe recipient data is stored in Outlook and can be aggregated into the safelist collection on the AD LDS instance on the Edge Transport server, the content filtering functionality doesn't act on safe recipient data.

  • Параметры защиты от нежелательной почты для каждого получателя: с помощью командлета Set – Mailbox можно назначить параметры порога нежелательной почты для каждого получателя, отличающиеся от параметров защиты от нежелательной почты в масштабе всей Организации.Per recipient anti spam settings: You can use the Set-Mailbox cmdlet to assign anti spam threshold settings per recipient that differ from the organization-wide anti spam settings. Если вы настроили параметры защиты от нежелательной почты для каждого получателя, эти параметры переопределяют параметры на уровне Организации.If you configure per recipient anti spam settings, these settings override organization-wide settings. При репликации этих параметров в AD LDS параметры каждого получателя можно рассматривать до ретрансляции сообщения в организацию Exchange.By replicating these settings to AD LDS, the per recipient settings can be considered before the message is relayed to the Exchange organization. Эти сведения отправляются в виде хэшированных данных.This information is sent as hashed data.

Topology informationTopology information

К сведениям о топологии относятся уведомления о недавно подписанных пограничных транспортных серверах и об удаленных пограничных подписках.The topology information includes notification of newly subscribed Edge Transport servers or removed Edge Subscriptions. Эти данные обновляются каждые пять минут.This data is refreshed every five minutes.