Данные репликации EdgeSync
Область применения: Exchange Server 2013 г.
В процессе развертывания пограничный транспортный сервер не имеет доступа к Active Directory. Для выполнения поиска получателей и объединения списков надежных отправителей, а также для реализации безопасности домена с использованием взаимной проверки подлинности TLS пограничному транспортному серверу требуются данные, хранящиеся в Active Directory. Эти данные реплицируются на пограничный транспортный сервер с помощью EdgeSync и сохраняются в службах Active Directory облегченного доступа к каталогам (AD LDS).
В этой статье рассматриваются данные, реплицированные с Active Directory в службы Active Directory облегченного доступа к каталогам на пограничном транспортном сервере с подпиской на сайт Active Directory. Дополнительные сведения об EdgeSync и пограничных подписках см. в разделе Edge Subscriptions.
В службы Active Directory облегченного доступа к каталогам реплицируются четыре типа данных, которые затем используются пограничным транспортным сервером:
- сведения о пограничной подписке;
- сведения о конфигурации;
- Recipient information
- Topology information
сведения о пограничной подписке;
Exchange 2013 расширяет схемы Active Directory и служб Active Directory облегченного доступа к каталогам, добавляя в объект ms-Exch-ExchangeServer атрибуты, представляющие данные, необходимые для управления синхронизацией EdgeSync. Эти атрибуты обеспечивают выполнение трех функций EdgeSync:
автоматическое предоставление и обслуживание учетных данных, которые обеспечивают соединение LDAP между сервером почтовых ящиков и подписанным пограничным транспортным сервером;
арбитраж процесса блокировки и аренды синхронизации, что обеспечивает одновременную попытку синхронизации только одного сервера с отдельным пограничным транспортным сервером. Дополнительные сведения о блокировке и аренде см. в разделе Edge Subscriptions.
оптимизация синхронизации EdgeSync для ведения записи о текущем состоянии синхронизации. Простой просмотр состояния синхронизации помогает избежать излишней ручной синхронизации.
В таблице ниже приведены расширения схемы, которые относятся к пограничным подпискам. Значения, назначенные этим атрибутам, устанавливаются пограничной подпиской и EdgeSync; они не предназначены для исправления вручную.
Расширения схемы пограничной подписки
| Имя атрибута | Описание |
|---|---|
| ms-Exch-Server-EKPK-Public-Key | Текущий общедоступный ключ сертификата, используемого сервером. Это значение хранится как на пограничных транспортных серверах, так серверах почтовых ящиков. Общедоступный ключ используется для шифрования учетных данных, используемых для проверки подлинности сервера во время подключения по протоколам LDAP и SMTP. |
| ms-Exch-EdgeSync-Credential | Список учетных данных, используемых EdgeSync для установления сеансов с поверкой подлинности по протоколу LDAP со службами Active Directory облегченного доступа к каталогам. На серверах почтовых ящиков этот атрибут содержит только учетные данные, с помощью которых сервер почтовых ящиков проверяет подлинность подписанных пограничных транспортных серверов. На пограничных транспортных серверах этот атрибут содержит учетные данные каждого сервера почтовых ящиков на подписанном сайте Active Directory, который участвует в процессе синхронизации EdgeSync. Этот атрибут содержится только на серверах почтовых ящиков с запущенной синхронизацией EdgeSync, а также на подписанных пограничных транспортных серверах. |
| ms-Exch-Edge-Sync-Lease | Используется для выбора сервера почтовых ящиков, когда несколько серверов пытаются реплицировать один и тот же пограничный транспортный сервер. |
| ms-Exch-Edge-Sync-Status | Содержится только в службах Active Directory облегченного доступа к каталогам в объекте пограничного транспортного сервера. Этот атрибут отслеживает состояние репликации в экземпляр служб Active Directory облегченного доступа к каталогам и содержит сведения о репликации. |
сведения о конфигурации;
Во время оформления подписки на пограничный транспортный сервер в организации можно изменить настройки, общие для пограничного транспортного сервера и организации Exchange, изнутри организации. Эти изменения затем реплицируются на пограничный транспортный сервер с помощью EdgeSync. Этот процесс обеспечивает согласованность конфигурации всех серверов, используемых для обработки сообщений.
Подмножество данных конфигурации для организации Exchange также должно храниться на пограничном транспортном сервере. В процессе синхронизации EdgeSync данные конфигурации, необходимые пограничному транспортному серверу, записываются в раздел конфигурации служб Active Directory облегченного доступа к каталогам. К записываемым данным конфигурации относятся:
Серверы почтовых ящиков. Полное доменное имя (FQDN) каждого сервера почтовых ящиков на сайте Active Directory с подпиской становится доступным в локальном хранилище AD LDS на пограничном транспортном сервере. Эти сведения используются для получения списка серверов промежуточных узлов для входящего соединителя отправки.
Принятые домены. Все полномочные, внутренние и внешние домены ретранслятора, настроенные для организации Exchange, записываются в AD LDS. Наличие обслуживаемых доменов, доступных пограничному транспортному серверу, позволяет организации Exchange выполнять фильтрацию доменов и отклонять недопустимый SMTP-трафик в свою организацию как можно раньше. Дополнительные сведения о принятых доменах см. в разделе Принятые домены.
Классификации сообщений. Если на пограничном транспортном сервере доступны классификации сообщений, агенты транспорта и преобразование содержимого могут работать с классификациями сообщений в сети периметра. Например, агент фильтра вложений может применить классификацию Вложение удалено при удалении вложения, отправляя информационный текст пользователю Microsoft Outlook или пользователю Outlook Web App сообщить получателю о том, что произошло. Агенты, разработанные для использования сторонними приложениями, могут использовать классификации сообщений аналогичным образом.
Удаленные домены. Все записи удаленного домена, настроенные для организации Exchange, записываются в AD LDS. Записи удаленных доменов определяют параметры сообщения об отсутствии на работе и параметры формата сообщения для удаленного домена. Дополнительные сведения об удаленных доменах см. в разделе Удаленные домены.
Отправка соединителей. По умолчанию при создании пограничной подписки автоматически создаются соединители отправки, необходимые для включения сквозного потока обработки почты между организацией Exchange и Интернетом во время подписки на пограничный транспортный сервер. Все существующие соединители отправки на пограничном транспортном сервере удаляются. Если вы хотите настроить дополнительные соединители отправки, настройте соединитель Отправки в организации Exchange, а затем выберите подписку Edge в качестве исходного сервера соединителя. Дополнительную информацию см. в статье Edge Subscriptions.
Внутренние SMTP-серверы. Значение атрибута InternalSMTPServers хранится в объекте TransportConfig как для организации Exchange, так и для локального пограничного транспортного сервера. Во время синхронизации EdgeSync значение, хранящееся в локальном объекте пограничного транспортного сервера, перезаписывается значением, хранящимся в этом объекте для организации Exchange. Этот атрибут задает список IP-адресов внутреннего SMTP-сервера или диапазоны IP-адресов, которые не должны учитываться кодом отправителя и процессом фильтрации подключений.
Списки безопасности домена. Атрибуты TLSReceiveDomainSecureList и TLSSendDomainSecureList хранятся в объекте TransportConfig как для организации Exchange, так и для локального пограничного транспортного сервера. Во время синхронизации EdgeSync значение, хранящееся в локальном объекте пограничного транспортного сервера, перезаписывается значением, хранящимся в этом объекте для организации Exchange. Эти атрибуты указывают список удаленных доменов, настроенных для взаимной проверки подлинности TLS.
Recipient information
Информация о получателе, которая реплицируется в службы Active Directory облегченного доступа к каталогам, содержит только подмножество атрибутов получателя. Реплицируются только данные, необходимые пограничному транспортному серверу для выполнения определенных задач с защиты от нежелательной почты. К информации о получателе, реплицируемой в службы Active Directory облегченного доступа к каталогам, принадлежит:
Получатели. Список получателей в организации Exchange реплицируется в AD LDS. Каждый получатель идентифицируется с помощью назначенного GUID Active Directory. Если в учетной записи получателя запретить получение почты из-за пределов организации, этот получатель не реплицируется в AD LDS. При отключении или удалении почтового ящика получателя этот почтовый ящик больше не реплицируется в AD LDS.
Адреса прокси-сервера. Все прокси-адреса, назначенные каждому получателю, реплицируются в AD LDS в виде хэшированных данных. Этот хэш является односторонним и использует алгоритм SHA-256. Алгоритм SHA-256 создает 256-разрядный хэш исходных данных. Хранение адресов прокси-серверов в виде хэшированных данных позволяет защитить их на случай компрометации пограничного транспортного сервера или служб Active Directory облегченного доступа к каталогам. Адреса прокси-серверов используются при выполнении пограничным транспортным сервером поиска получателей для защиты от нежелательной почты.
Список надежных отправителей, список заблокированных отправителей и список надежных получателей: списки надежных отправителей, списки заблокированных отправителей и списки надежных получателей, определенные в экземпляре Outlook каждого получателя, объединяются и реплицируются в AD LDS. Эти параметры хранятся в базе данных почтовых ящиков, где находится почтовый ящик получателя. Коллекция списка безопасных пользователей Outlook — это объединенные данные из списка надежных отправителей пользователя, списка надежных получателей, списка заблокированных отправителей и внешних контактов. Наличие данных для сбора безопасных списков в AD LDS позволяет пограничному транспортному серверу соответствующим образом отыскать отправителей, уменьшая операционные издержки при фильтрации почты. Эти сведения отправляются в виде хэшированных данных.
Важно!
Хотя данные о надежных получателях хранятся в Outlook и могут быть объединены в коллекцию списков надежных получателей в экземпляре служб Active Directory облегченного доступа к каталогам на пограничном транспортном сервере, функции фильтрации содержимого не используют в работе данные о надежных получателях.
Параметры защиты от нежелательной почты для каждого получателя. Вы можете использовать командлет Set-Mailbox для назначения пороговых параметров защиты от нежелательной почты для каждого получателя, отличающегося от параметров защиты от нежелательной почты в масштабах всей организации. Если настроить параметры защиты от нежелательной почты для каждого получателя, эти параметры переопределяют параметры всей организации. Репликация этих параметров в AD LDS позволяет учитывать параметры для каждого получателя до передачи сообщения в организацию Exchange. Эти сведения отправляются в виде хэшированных данных.
Topology information
К сведениям о топологии относятся уведомления о недавно подписанных пограничных транспортных серверах и об удаленных пограничных подписках. Эти данные обновляются каждые пять минут.