Принцип работы Exchange 2013 Edge

Егор Васильев Exchange Server , 0 Комментариев
Принцип работы Exchange 2013 Edge
www.microsoft.com

Принцип работы Exchange 2013 Edge при ручной настройке соединителей значительно отличается от механизма работы с использованием подписки EdgeSync. В статье я постараюсь рассмотреть оба сценария, снабдив их необходимыми комментариями и ссылками на официальный материал. Если вы спешите заняться процессом создания подписки, рекомендую обратиться к статье Настройка Exchange 2013 Edge.

Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики – Exchange 2013 — Установка, настройка, администрирование.

Принцип работы Exchange 2013 Edge без использования EdgeSync

Такой вариант официально поддерживается со стороны Microsoft и рекомендуется к внедрению в тех случаях, когда использование подписки EdgeSync по каким-либо причинам невозможно. Тем не менее общие рекомендации касательно сервера Edge остаются прежние – желательно, чтобы это был изолированный сервер вне домена Active Directory.
Надо понимать, что поток обработки почты в связке Internet<–>EDGE<–>MBX осуществляется минимум шестью различными соединителями:

transport

При установке пограничного сервера по умолчанию создается всего один соединитель получения, который можно перенастроить для приема сообщений из интернета или от сервера почтовых ящиков. Рекомендуют его оставить только для приема почты из интернета. Таким образом, глядя на рисунок, мы уже имеем соединитель получения – “1 – From Internet”. Проверить наличие соединителей можно с помощью соответствующих команд через Exchange Management Shell:

exchange 2013 edge configuring 02

Как видно, на данный момент существует только один соединитель, о котором и говорилось выше.

При установке Exchange 2013 с роль MailBox по умолчанию создается два соединителя получения с именами “Client Proxy <servername>” и “Default <servername>”. Например вот такие соединители создались у меня в процессе установки сервера (подробнее в статье Настройка Exchange 2013 и Exchange 2013 — Установка на Windows Server 2012 R2):

exchange 2013 edge configuring 01

Из этих двух соединителей “Default <servername>” уже настроен на получение почты с пограничного транспортного сервера (если вы конечно не изменяли/удаляли его). То есть соединитель “3 – From EDGE” также существует и настройки не требует.

Резюмируем сказанное выше (список пронумерован в соответствии с соединителями на рисунке в начале статьи):

  1. Соединитель получения на EDGE из интернета – по умолчанию создан и настроен;
  2. Соединитель отправки с EDGE на MBX- необходимо создать;
  3. Соединитель получения с EDGE на MBX – по умолчанию создан и настроен;
  4. Соединитель отправки с MBX на EDGE – необходимо создать;
  5. Соединитель получения с MBX на EDGE – необходимо создать;
  6. Соединитель отправки с EDGE в интернет – необходимо создать.

Процесс настройки с примерами необходимых команд подробно описан в соответствующей статье 1 на Technet и я не буду его касаться.

Также напоминаю, что при ручной настройке необходимо создать учетную запись пользователя AD 2:

An Active Directory account that belongs to the Exchange Servers universal security group. This account is used by the Send connector on the Edge Transport server for smart host authentication to the destination Mailbox servers in the Exchange organization.

Данные этой учетной записи будут использоваться соединителем отправки в организацию Exchenge 2013 (на рисунке №2) и соединителем отправки на сервер Edge (на рисунке №4).

При использовании подписки EdgeSync необходимости создавать учетную запись вручную нет, она создается автоматически в процессе импорта файла подписки. Об этом ниже.

Принцип работы Exchange 2013 Edge с использованием EdgeSync

Гораздо более удобный, гибкий и надежный способ настройки потока обработки почты – это использование подписки EdgeSync. Файл пограничной подписки создается на сервере Edge и далее переносится на транспортные серверы Exchange 2013, находящиеся в домене. На один сайт AD можно подписать несколько пограничных транспортных серверов (неплохая затея для балансировки нагрузки и обеспечения отказоустойчивости), но на один пограничный транспортный сервер нельзя подписать несколько сайтов.

Серверу Edge необходимы данные 3 из Active Directory, среди них:

  1. Список получателей, список надежных получателей;
  2. Список отправителей, список надежных отправителей;
  3. Список заблокированных отправителей;
  4. Параметры защиты от нежелательной почты для каждого получателя (если параметры защиты от нежелательной почты настроены вручную для конкретного ящика, а не наследуются от конфигурации организации)

Помимо этого требуются ещё и данные конфигурации – серверы почтовых ящиков, обслуживаемые домены, соединители отправки и др. Также Edge требуется доступ к AD для реализации взаимной проверки подлинности TLS.

Вся необходимая информация хранится в локальном экземпляре AD LDS на пограничном транспортном сервере.

subscription

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере выполняются следующие действия:

  1. В AD LDS создается учетная запись репликации начальной загрузки EdgeSync – ESBRA 4 для выполнения начальной репликации (действует 24 часа);
  2. Учетная запись ESBRA экспортируется (в открытом виде) в файл подписки вместе с открытым ключом замозаверенного сертификата Edge;
  3. Отключаются командлеты изменения/создания/удаления (Set-, New-, Remove-) объектов SendConnector, AcceptedDomain, MessageClassification, RemoteDomain. Также из базы AD LDS удаляются все объекты конфигурации, управляемые этими командлетами.

Во время импорта файла подписки на сервер почтовых ящиков, происходит следующее 5:

  1. Пограничный транспортный сервер присоединяется к организации Exchenge 2013 (создается отдельный объект в AD);
  2. Все серверы (если их больше одного) почтовых ящиков получают от AD сведения о подписке нового пограничного транспортного сервера;
  3. ESBRA, полученная из файла пограничной подписки, шифруется с помощью открытого ключа (получен также из файла подписки) пограничного транспортного сервера. Зашифрованные данные записываются в объект пограничной конфигурации;
  4. В AD создаются учетные записи репликации EdgeSync (ESRA) для каждой пары пограничного транспортного сервера и сервера почтовых ящиков (разумеется если серверов почтовых ящиков в организации несколько);
  5. Создаются необходимые соединители отправки (их можно создать и вручную 6, если это необходимо);
  6. Службой Microsoft Exchange EdgeSync на каждом сервере почтовых ящиков создается безопасное соединение с пограничным транспортным сервером для осуществления репликации данных (в том числе и ESRA);
  7. Пограничный транспортный сервер принимает данные ESRA и использует их для открытия и защиты последующих заданий односторонней репликации, которые выполняются по определенному расписанию.

На этом процесс первоначальной инициализации заканчивается.

Стоит отметить, что благодаря членству пограничного транспортного сервера в Active Directory, исчезает необходимость создания явных соединителей для ретрансляции почты от серверов почтовых ящиков к серверам Edge, это делается автоматически на основе данных о серверах организации Exchenge 2013 при внутренней маршрутизации сообщений.

Notes:

  1. Настройка потока обработки почты через пограничный транспортный сервер без использования EdgeSync
  2. Exchange 2016 – Configure Internet mail flow through Edge Transport servers without using EdgeSync
  3. Данные репликации EdgeSync
  4. Учетные записи репликации EdgeSync
  5. Процесс пограничной подписки
  6. Создание дополнительных соединителей отправки после подписания пограничного сервера

Похожие статьи:

Яндекс.Метрика