Данные репликации EdgeSyncEdgeSync replication data

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В процессе развертывания пограничный транспортный сервер не имеет доступа к Active Directory. Для выполнения поиска получателей и объединения списков надежных отправителей, а также для реализации безопасности домена с использованием взаимной проверки подлинности TLS пограничному транспортному серверу требуются данные, хранящиеся в Active Directory. Эти данные реплицируются на пограничный транспортный сервер с помощью EdgeSync и сохраняются в службах Active Directory облегченного доступа к каталогам (AD LDS).When you deploy an Edge Transport server, it doesn't have access to Active Directory. To perform recipient lookup and safelist aggregation tasks, and to implement domain security by using Mutual Transport Layer Security (MTLS) authentication, the Edge Transport server needs data from Active Directory. This data is replicated to the Edge Transport server using EdgeSync; the Edge Transport server stores all replicated information in Active Directory Lightweight Directory Services (AD LDS).

В этой статье рассматриваются данные, реплицированные с Active Directory в службы Active Directory облегченного доступа к каталогам на пограничном транспортном сервере с подпиской на сайт Active Directory. Дополнительные сведения об EdgeSync и пограничных подписках см. в разделе пограничные подписки.This topic focuses on data replicated from Active Directory to AD LDS on an Edge Transport server subscribed to an Active Directory site. To learn more about EdgeSync and Edge Subscriptions, see Edge Subscriptions.

В службы Active Directory облегченного доступа к каталогам реплицируются четыре типа данных, которые затем используются пограничным транспортным сервером:Four types of data are replicated to AD LDS and used by the Edge Transport server:

сведения о пограничной подписке;Edge Subscription information

сведения о конфигурации;Configuration information

сведения о получателях;Recipient information

сведения о топологии.Topology information

сведения о пограничной подписке;Edge Subscription information

Exchange 2013 расширяет схемы Active Directory и служб Active Directory облегченного доступа к каталогам, добавляя в объект ms-Exch-ExchangeServer атрибуты, представляющие данные, необходимые для управления синхронизацией EdgeSync. Эти атрибуты обеспечивают выполнение трех функций EdgeSync:Exchange 2013 extends both the Active Directory and AD LDS schemas to provide attributes on the ms-Exch-ExchangeServer object to represent the data needed to control EdgeSync synchronization. These attributes provide three functions to EdgeSync:

  • автоматическое предоставление и обслуживание учетных данных, которые обеспечивают соединение LDAP между сервером почтовых ящиков и подписанным пограничным транспортным сервером;Automatic provisioning and maintenance of the credentials used to help secure the LDAP connection between a Mailbox server and a subscribed Edge Transport server.

  • арбитраж процесса блокировки и аренды синхронизации, что обеспечивает одновременную попытку синхронизации только одного сервера с отдельным пограничным транспортным сервером. Дополнительные сведения о блокировке и аренде см. в разделе пограничные подписки.Arbitrating the synchronization lock and lease process, ensuring that only one server at a time will try to synchronize with an individual Edge Transport server. For more information about the lock and lease process, see Edge Subscriptions.

  • оптимизация синхронизации EdgeSync для ведения записи о текущем состоянии синхронизации. Простой просмотр состояния синхронизации помогает избежать излишней ручной синхронизации.Optimizing EdgeSync synchronization to maintain a record of current synchronization status. Easily viewing synchronization status helps avoid excessive manual synchronization.

В таблице ниже приведены расширения схемы, которые относятся к пограничным подпискам. Значения, назначенные этим атрибутам, устанавливаются пограничной подпиской и EdgeSync; они не предназначены для исправления вручную.The schema extensions in the following table are specific to Edge Subscriptions. The values assigned to these attributes are maintained by the Edge Subscription and EdgeSync; they are not intended to be manually edited.

Расширения схемы пограничной подпискиEdge Subscription schema extensions

Имя атрибутаAttribute name ОписаниеDescription

ms-Exch-Server-EKPK-Public-Keyms-Exch-Server-EKPK-Public-Key

Текущий общедоступный ключ сертификата, используемого сервером. Это значение хранится как на пограничных транспортных серверах, так серверах почтовых ящиков. Общедоступный ключ используется для шифрования учетных данных, используемых для проверки подлинности сервера во время подключения по протоколам LDAP и SMTP.The current public key for the certificate being used by the server. This value is stored by both Edge Transport servers and Mailbox servers. The public key is used to encrypt credentials used to authenticate the server during LDAP and SMTP communication.

MS-Exch--учетные данные EdgeSyncms-Exch-EdgeSync-Credential

Список учетных данных, используемых EdgeSync для установления сеансов с поверкой подлинности по протоколу LDAP со службами Active Directory облегченного доступа к каталогам. На серверах почтовых ящиков этот атрибут содержит только учетные данные, с помощью которых сервер почтовых ящиков проверяет подлинность подписанных пограничных транспортных серверов. На пограничных транспортных серверах этот атрибут содержит учетные данные каждого сервера почтовых ящиков на подписанном сайте Active Directory, который участвует в процессе синхронизации EdgeSync. Этот атрибут содержится только на серверах почтовых ящиков с запущенной синхронизацией EdgeSync, а также на подписанных пограничных транспортных серверах.The list of credentials EdgeSync uses to establish an authenticated LDAP session with AD LDS. On Mailbox servers, this attribute contains only credentials the Mailbox server uses to authenticate the subscribed Edge Transport servers. On Edge Transport servers, this attribute contains the credentials of each Mailbox server in the subscribed Active Directory site that participates in EdgeSync synchronization. This attribute is only present on Mailbox servers running EdgeSync synchronization and on subscribed Edge Transport servers.

ms-Exch-Edge-Sync-Leasems-Exch-Edge-Sync-Lease

Используется для выбора сервера почтовых ящиков, когда несколько серверов пытаются реплицировать один и тот же пограничный транспортный сервер.Used to arbitrate between Mailbox servers when more than one Mailbox server tries to replicate to the same Edge Transport server.

ms-Exch-Edge-Sync-Statusms-Exch-Edge-Sync-Status

Содержится только в службах Active Directory облегченного доступа к каталогам в объекте пограничного транспортного сервера. Этот атрибут отслеживает состояние репликации в экземпляр служб Active Directory облегченного доступа к каталогам и содержит сведения о репликации.Only present in AD LDS on the Edge Transport server object. This attribute tracks the status of replication to an AD LDS instance and includes information about replication.

В началоReturn to top

сведения о конфигурации;Configuration information

Во время оформления подписки на пограничный транспортный сервер в организации можно изменить настройки, общие для пограничного транспортного сервера и организации Exchange, изнутри организации. Эти изменения затем реплицируются на пограничный транспортный сервер с помощью EdgeSync. Этот процесс обеспечивает согласованность конфигурации всех серверов, используемых для обработки сообщений.When you subscribe an Edge Transport server to an organization, you can manage the configuration objects common to the Edge Transport server and the Exchange organization from inside the organization. These changes are then replicated to the Edge Transport server using EdgeSync. This process helps maintain a consistent configuration across all servers involved in message processing.

Подмножество данных конфигурации для организации Exchange также должно храниться на пограничном транспортном сервере. В процессе синхронизации EdgeSync данные конфигурации, необходимые пограничному транспортному серверу, записываются в раздел конфигурации служб Active Directory облегченного доступа к каталогам. К записываемым данным конфигурации относятся:A subset of the configuration data for the Exchange organization must also be maintained on the Edge Transport server. During EdgeSync synchronization, the configuration data the Edge Transport server needs is written to the configuration partition of AD LDS. The configuration data written to AD LDS includes:

  • Серверы почтовых ящиков Полное доменное имя (FQDN) каждого сервера почтовых ящиков на подписанном сайте Active Directory можно сделать доступной в локальном хранилище служб AD LDS на пограничном транспортном сервере. Эта информация используется для получения списка серверов промежуточного узла для входящего соединителя отправки.Mailbox servers The fully qualified domain name (FQDN) of each Mailbox server in the subscribed Active Directory site is made available to the local AD LDS store on the Edge Transport server. This information is used to derive a list of smart host servers for the inbound Send connector.

  • Обслуживаемые домены AD LDS должны записываться все достоверными, внутренней ретрансляции и домены внешней ретрансляции, настроенного для организации Exchange. Наличие обслуживаемых доменов, доступные для пограничного транспортного сервера позволяет организации Exchange для фильтрации домена и отклонения Недопустимый SMTP-трафика в своей организации, как можно раньше по мере возможности. Дополнительные сведения об обслуживаемых доменов можно обслуживаемые домены.Accepted domains All authoritative, internal relay, and external relay domains configured for the Exchange organization are written to AD LDS. Having the accepted domains available to the Edge Transport server enables the Exchange organization to perform domain filtering and reject invalid SMTP traffic into their organization as early as possible. For more information about accepted domains, see Accepted domains.

  • Классификации сообщений Если классификации сообщений доступны на пограничном транспортном сервере, агенты транспорта и преобразование содержимого может выступать на классификации сообщений в сети периметра. К примеру агента фильтра вложений можно применять классификации вложение удалено при удаляет вложения, отправки информационного текста пользователя Microsoft Outlook и пользователя с Outlook Web App, чтобы сообщить получателю, что произошло. Агенты, разработанных для использования с приложениями сторонних производителей в так же, как можно использовать классификации сообщений.Message classifications If message classifications are available on the Edge Transport server, transport agents and content conversion can act on message classifications in the perimeter network. For example, the Attachment Filter agent can apply the Attachment Removed classification when it removes an attachment, sending informational text to a Microsoft Outlook user or an Outlook Web App user to tell the recipient what happened. Agents developed for use by third-party applications can use message classifications in a similar manner.

  • Удаленные домены Все записи удаленного домена, настроенного для организации Exchange должны записываться AD LDS. Записи удаленных доменов управлять параметрами отсутствии сообщений и параметры формата сообщений для удаленного домена. Дополнительные сведения об удаленных доменов можно удаленных доменов.Remote domains All remote domain entries configured for the Exchange organization are written to AD LDS. Remote domain entries control out-of-office message settings and message format settings for a remote domain. For more information about remote domains, see Remote domains.

  • Соединители отправки По умолчанию при создании пограничной подписки автоматически создается соединители отправки, необходимое для поддержки потока почты начала до конца между организацией Exchange и Интернетом во время Подписка пограничного транспортного сервера. Удаляются все существующие соединители отправки на пограничном транспортном сервере. Если вы хотите настроить дополнительные соединители отправки, настроить соединитель отправки внутри организации Exchange и затем выберите пограничной подписки в качестве исходного сервера для соединителя. Для получения дополнительных сведений см Пограничные подписки.Send connectors By default, creating an Edge Subscription automatically creates the Send connectors required to enable end-to-end mail flow between the Exchange organization and the Internet at the time the Edge Transport Server is subscribed. Any existing Send connectors on the Edge Transport server are deleted. If you want to configure additional Send connectors, configure the Send connector inside the Exchange organization and then select the Edge Subscription as the source server for the connector. For more information, see Edge Subscriptions.

  • Внутренний SMTP-серверов Значение атрибута пограничный хранятся на объект TransportConfig для организации Exchange и локальном пограничном транспортном сервере. Во время синхронизации EdgeSync значение, хранящееся в объекте локального пограничного транспортного сервера заменяются значение, хранящееся на этот объект для организации Exchange. Этот атрибут задает список IP-адресов внутреннего SMTP сервера или диапазоны IP-адресов, которые должны пропускаться кодом отправителя и фильтрации подключений.Internal SMTP servers The value for the InternalSMTPServers attribute is stored on the TransportConfig object for both the Exchange organization and the local Edge Transport server. During EdgeSync synchronization, the value stored on the local Edge Transport server object is overwritten with the value stored on this object for the Exchange organization. This attribute specifies a list of internal SMTP server IP addresses or IP address ranges that should be ignored by Sender ID and connection filtering.

  • Список безопасного домена TLSReceiveDomainSecureList и атрибуты TLSSendDomainSecureList хранятся на объект TransportConfig для организации Exchange и локальном пограничном транспортном сервере. Во время синхронизации EdgeSync значение, хранящееся в объекте локального пограничного транспортного сервера заменяются значение, хранящееся на этот объект для организации Exchange. Эти атрибуты указывают список удаленных доменов, настроенных для проверки подлинности TLS.Domain Secure lists The TLSReceiveDomainSecureList and the TLSSendDomainSecureList attributes are stored on the TransportConfig object for both the Exchange organization and the local Edge Transport server. During EdgeSync synchronization, the value stored on the local Edge Transport server object is overwritten with the value stored on this object for the Exchange organization. These attributes specify the list of remote domains configured for mutual TLS authentication.

В началоReturn to top

сведения о получателях;Recipient information

Информация о получателе, которая реплицируется в службы Active Directory облегченного доступа к каталогам, содержит только подмножество атрибутов получателя. Реплицируются только данные, необходимые пограничному транспортному серверу для выполнения определенных задач с защиты от нежелательной почты. К информации о получателе, реплицируемой в службы Active Directory облегченного доступа к каталогам, принадлежит:Recipient information replicated to AD LDS includes only a subset of recipient attributes. Only data required by the Edge Transport to perform certain antispam tasks is replicated. Recipient information replicated to AD LDS includes:

  • Получатели Список получателей в организации Exchange реплицируется в AD LDS. Каждого получателя, отмечаются назначенный GUID службы Active Directory. При настройке учетной записи получателя для запрета получения почты из за пределами организации, что получатель не реплицирована в AD LDS. Если отключить или удалить почтовый ящик получателя, этот почтовый ящик больше не реплицированы в AD LDS.Recipients The list of recipients in the Exchange organization is replicated to AD LDS. Each recipient is identified by assigned Active Directory GUID. If you configure a recipient's account to deny receipt of mail from outside the organization, that recipient isn't replicated to AD LDS. If you disable or delete a recipient's mailbox, that mailbox is no longer replicated to AD LDS.

  • Адреса прокси-сервера Все адреса прокси-сервера, назначенных для каждого получателя, реплицируются в AD LDS как хэш данных. Это односторонняя хэш, с помощью Secure хэш-функции алгоритм SHA-256. SHA-256 создает 256-разрядный хэш исходных данных. Хранение прокси-адреса как хэшируются данных помогает безопасной эти сведения в случае, если раскрыты пограничного транспортного сервера или служб AD LDS. Когда на пограничный транспортный сервер выполняет задачу поиска получателей, защиты от нежелательной почты для ссылки прокси-адреса.Proxy addresses All proxy addresses assigned to each recipient are replicated to AD LDS as hashed data. This is a one-way hash using Secure Hash Algorithm (SHA)-256. SHA-256 generates a 256-bit message digest of the original data. Storing proxy addresses as hashed data helps secure this information in case the Edge Transport server or AD LDS is compromised. Proxy addresses are referenced when the Edge Transport server performs the recipient lookup antispam task.

  • Список надежных отправителей, списка заблокированных отправителей и список надежных получателей Надежные списки отправителей, списки заблокированных отправителей и списки надежных получателей, определяемому в Outlook каждого получателя экземпляра сводный и реплицировать в AD LDS. Эти параметры хранятся в базе данных почтовых ящиков, где расположен почтовый ящик получателя. Коллекции списков надежных отправителей пользователя Outlook — объединенные данные из списка надежных отправителей, список надежных получателей, список заблокированных отправителей и внешние контакты пользователя. Наличие данных коллекции списков надежных отправителей, которые доступны в AD LDS позволяет пограничного транспортного сервера на экране отправителей соответственным образом сократить эксплуатационные затраты для фильтрации почты. Эти сведения передаются как хэш данные.Safe Senders List, Blocked Senders List, and Safe Recipients List Safe Senders Lists, Blocked Senders Lists and Safe Recipients Lists defined in each recipient's Outlook instance are aggregated and replicated to AD LDS. These settings are stored in the mailbox database where the recipient's mailbox resides. An Outlook user's safelist collection is the combined data from the user's Safe Senders List, Safe Recipients List, Blocked Senders List, and external contacts. Having safelist collection data available in AD LDS enables the Edge Transport server to screen senders appropriately, reducing operational overhead for filtering mail. This information is sent as hashed data.

    Важно!

    Хотя данные безопасных получателей хранятся в Outlook и их можно объединить в коллекцию списков надежных отправителей на AD экземпляра LDS на пограничном транспортном сервере, фильтрация содержимого не распространяется на эти данные.Although the safe recipient data is stored in Outlook and can be aggregated into the safelist collection on the AD LDS instance on the Edge Transport server, the content filtering functionality doesn't act on safe recipient data.

  • Отдельно для каждого получателя защита от нежелательной почты параметров Командлет Set-Mailbox для назначения защита от нежелательной почты порогового значения параметров каждого получателя, которые отличаются в зависимости от организации защита от нежелательной почты параметры. Если настроить отдельно для каждого получателя защита от нежелательной почты параметры эти параметры переопределяют параметры всей организации. Путем репликации эти параметры в AD LDS каждого получателя параметров можно оценить как перед ретрансляция сообщений в организацию Exchange. Эти сведения передаются как хэш данные.Per recipient anti spam settings You can use the Set-Mailbox cmdlet to assign anti spam threshold settings per recipient that differ from the organization-wide anti spam settings. If you configure per recipient anti spam settings, these settings override organization-wide settings. By replicating these settings to AD LDS, the per recipient settings can be considered before the message is relayed to the Exchange organization. This information is sent as hashed data.

В началоReturn to top

сведения о топологии.Topology information

К сведениям о топологии относятся уведомления о недавно подписанных пограничных транспортных серверах и об удаленных пограничных подписках. Эти данные обновляются каждые пять минут.The topology information includes notification of newly subscribed Edge Transport servers or removed Edge Subscriptions. This data is refreshed every five minutes.

В началоReturn to top