EdgeSync-Replikationsdaten

Gilt für: Exchange Server 2013

Wenn Sie einen Edge-Transport-Server bereitstellen, hat dieser keinen Zugriff auf Active Directory. Der Edge-Transport-Server benötigt Daten aus Active Directory, um Die Empfängersuche und Aggregationsaufgaben für sichere Listen auszuführen und die Domänensicherheit mithilfe der MTLS-Authentifizierung (Mutual Transport Layer Security) zu implementieren. Diese Daten werden mithilfe von EdgeSync auf den Edge-Transport-Server repliziert. Der Edge-Transport-Server speichert alle replizierten Informationen in Active Directory Lightweight Directory Services (AD LDS).

In diesem Abschnitt werden die auf dem Edge-Transport-Server vom Active Directory zum AD LDS replizierten Daten beschrieben, die auf einer Active Directory-Website abonniert werden. Weitere Informationen zu EdgeSync und Edge-Abonnements finden Sie unter Edge-Abonnements.

Vier Datentypen werden an den AD LDS repliziert und vom Edge-Transport-Server verwendet:

  • Edge Subscription information
  • Configuration information
  • Recipient information
  • Topology information

Edge-Abonnementinformationen

Exchange 2013 erweitert die Schemas des Active Directory und AD LDS, um Attribute im Objekt ms-Exch-ExchangeServer bereitzustellen, die zur Darstellung der zum Steuern des EdgeSync-Synchronisationsprozesses erforderlichen Daten dienen. Diese Attribute stellen EdgeSync drei Funktionen zur Verfügung:

  • Sie stellen die automatische Bereitstellung und Wartung der Anmeldeinformationen bereit, die verwendet werden, um das Schützen der LDAP-Verbindung zwischen einem Postfachserver und einem abonnierten Edge-Transport-Server zu unterstützen.

  • Sie handeln den Sperr- und Freigabeprozess der Synchronisation aus, durch den sichergestellt wird, dass jeweils nur ein Server die Synchronisation mit einem einzelnen Edge-Transport-Server versucht. Weitere Informationen zum Sperr- und Freigabeprozess finden Sie unter Edge-Abonnements.

  • Optimiert die EdgeSync-Synchronisierung, um einen Datensatz des aktuellen Synchronisierungsstatus zu verwalten. Durch das leichte Anzeigen des Synchronisierungsstatus kann eine übermäßige manuelle Synchronisierung vermieden werden.

In der folgenden Tabelle sind die Schemaerweiterungen aufgelistet, die für Edge-Abonnements spezifisch sind. Die den betreffenden Attributen zugeordneten Werte werden vom Edge-Abonnement und EdgeSync verwaltet; sie sind nicht dazu bestimmt, manuell bearbeitet zu werden.

Schemaerweiterungen für Edge-Abonnements

Attributname Beschreibung
ms-Exch-Server-EKPK-Public-Key Der aktuelle öffentlichen Schlüssel für das vom Server verwendete Zertifikat. Dieser Wert wird sowohl von Edge-Transport-Servern als auch von Postfachservern gespeichert. Der öffentliche Schlüssel wird zum Verschlüsseln der Anmeldeinformationen verwendet, die zur Authentifizierung des Servers während der LDAP- und SMTP-Kommunikation verwendet werden.
ms-Exch-EdgeSync-Credential Die Liste der Anmeldeinformationen, die vom -EdgeSync-Dienst zum Einrichten einer authentifizierten LDAP-Sitzung mit AD LDS verwendet werden. Auf Postfachservern enthält dieses Attribut nur die Anmeldeinformationen, die vom Postfachserver für die Authentifizierung bei den abonnierten Edge-Transport-Servern verwendet werden. Auf Edge-Transport-Servern enthält dieses Attribut die Anmeldeinformationen jedes Postfachservers auf der abonnierten Active Directory-Website, der am EdgeSync-Synchronisationsprozess teilnimmt. Dieses Attribut ist nur auf Postfachservern, auf denen der EdgeSync-Synchronisationsprozess ausgeführt wird, sowie auf abonnierten Edge-Transport-Servern vorhanden.
ms-Exch-Edge-Sync-Lease Wird verwendet, um zwischen Postfachservern zu vermitteln, wenn mehr als ein Postfachserver versucht, auf den gleichen Edge-Transport-Server zu replizieren.
ms-Exch-Edge-Sync-Status Nur in AD LDS im Edge-Transport-Serverobjekt vorhanden. Dieses Attribut verfolgt den Replikationsstatus auf eine AD LDS-Instanz nach und enthält Informationen zur Replikation.

Konfigurationsinformationen

Wenn Sie einen Edge-Transport-Server für eine Organisation abonnieren, können Sie die Konfigurationsobjekte, die für einen Edge-Transport-Server üblich sind, und die Exchange-Organisation von innen verwalten. Die Änderungen werden dann mithilfe des -EdgeSync-Diensts auf den Edge-Transport-Server repliziert. Dieser Prozess unterstützt Sie beim der Aufrechterhaltung einer konsistenten Konfiguration auf allen an der Nachrichtenverarbeitung beteiligten Servern.

Eine Teilmenge der Konfigurationsdaten für die Exchange-Organisation muss auch auf dem Edge-Transport-Server verwaltet werden. Während des EdgeSync-Synchronisierungsvorgangs werden die Konfigurationsdaten, die vom Edge-Transport-Server benötigt werden, in die Konfigurationspartition von AD LDS geschrieben. Zu den in die Konfigurationsdaten in AD LDS geschriebenen Daten gehören:

  • Postfachserver: Der vollqualifizierte Domänenname (FQDN) jedes Postfachservers am abonnierten Active Directory-Standort wird dem lokalen AD LDS-Speicher auf dem Edge-Transport-Server zur Verfügung gestellt. Diese Informationen werden verwendet, um eine Liste der Smarthostserver für den eingehenden Sendeconnector abzuleiten.

  • Akzeptierte Domänen: Alle autoritativen, internen Relay- und externen Relaydomänen, die für die Exchange-Organisation konfiguriert sind, werden in AD LDS geschrieben. Die Verfügbarkeit der akzeptierten Domänen für den Edge-Transport-Server ermöglicht der Exchange-Organisation, Domänenfilterung auszuführen und ungültigen SMTP-Verkehr so früh wie möglich in der Organisation zurückzuweisen. Weitere Informationen zu akzeptierten Domänen finden Sie unter Akzeptierte Domänen.

  • Nachrichtenklassifizierungen: Wenn Nachrichtenklassifizierungen auf dem Edge-Transport-Server verfügbar sind, können Transport-Agents und die Inhaltskonvertierung auf Nachrichtenklassifizierungen im Umkreisnetzwerk reagieren. Der Anlagenfilter-Agent kann beispielsweise die Klassifizierung „Anlage entfernt" anwenden, wenn er eine Anlage entfernt, Informationstext an einen Benutzer von Microsoft Outlook oder einen Outlook Web App-Benutzer senden, um dem Empfänger mitzuteilen, was passiert ist. Agents, die für die Verwendung durch Anwendungen von Drittanbietern entwickelt wurden, können Nachrichtenklassifikationen in ähnlicher Weise verwenden.

  • Remotedomänen: Alle Remotedomäneneinträge, die für die Exchange-Organisation konfiguriert sind, werden in AD LDS geschrieben. Richtlinien für Remotedomänen steuern die Einstellungen für Abwesenheitsbenachrichtigungen und die Nachrichtenformateinstellungen für eine Remotedomäne. Weitere Informationen zu Remotedomänen finden Sie unter Remotedomänen.

  • Sendeconnectors: Beim Erstellen eines Edgeabonnements werden standardmäßig automatisch die Sendeconnectors erstellt, die zum Aktivieren des End-to-End-E-Mail-Flusses zwischen der Exchange-Organisation und dem Internet zum Zeitpunkt des Abonnements des Edge-Transport-Servers erforderlich sind. Alle vorhandenen Sendeconnectors auf dem Edge-Transport-Server werden gelöscht. Wenn Sie zusätzliche Sendeconnectors konfigurieren möchten, konfigurieren Sie den Sendeconnector innerhalb der Exchange-Organisation, und wählen Sie dann das Edge-Abonnement als Quellserver für den Connector aus. Weitere Informationen finden Sie unter Edge-Abonnements.

  • Interne SMTP-Server: Der Wert für das InternalSMTPServers-Attribut wird im TransportConfig-Objekt sowohl für die Exchange-Organisation als auch für den lokalen Edge-Transport-Server gespeichert. Während des EdgeSync-Synchronisierungsvorgangs wird der Wert, der im lokalen Edge-Transport-Serverobjekt gespeichert ist, mit dem Wert überschrieben, der in diesem Objekt für die Exchange-Organisation gespeichert ist. Dieses Attribut gibt eine Liste von internen SMTP-Server-IP-Adressen oder -IP-Adressbereichen an, die von der Sender ID- und der Verbindungsfilterung ignoriert werden sollen.

  • Domänensicherheitslisten: Die Attribute TLSReceiveDomainSecureList und TLSSendDomainSecureList werden im TransportConfig-Objekt sowohl für die Exchange-Organisation als auch für den lokalen Edge-Transport-Server gespeichert. Während des EdgeSync-Synchronisierungsvorgangs wird der Wert, der im lokalen Edge-Transport-Serverobjekt gespeichert ist, mit dem Wert überschrieben, der in diesem Objekt für die Exchange-Organisation gespeichert ist. In diesen Attributen ist die Liste der Remotedomänen angegeben, die für gegenseitige TLS-Authentifizierung konfiguriert ist.

Empfängerinformationen

Die Empfängerinformationen, die nach AD LDS repliziert werden, enthalten nur eine Teilmenge der Empfängerattribute. Es werden nur die Daten repliziert, die der Edge-Transport-Server zum Ausführen bestimmter Antispamtasks benötigt. In AD LDS replizierte Empfängerinformationen umfassen:

  • Empfänger: Die Liste der Empfänger in der Exchange-Organisation wird in AD LDS repliziert. Each recipient is identified by assigned Active Directory GUID. If you configure a recipient's account to deny receipt of mail from outside the organization, that recipient isn't replicated to AD LDS. If you disable or delete a recipient's mailbox, that mailbox is no longer replicated to AD LDS.

  • Proxyadressen: Alle Proxyadressen, die jedem Empfänger zugewiesen sind, werden als Hashdaten in AD LDS repliziert. Hierbei handelt es sich um einen Einweghash, der SHA-256 verwendet (Secure Hash Algorithm). SHA-256 erzeugt einen 256-Bit-Nachrichtenhash der Originaldaten. Das Speichern von Proxyadressen als gehashte Daten trägt zum Schützen dieser Informationen im Fall einer Beschädigung des Edge-Transport-Servers oder von AD LDS bei. Proxyadressen werden referenziert, wenn der Edge-Transport-Server den Antispamtask Empfängersuche ausführt.

  • Liste sicherer Absender, Liste blockierter Absender und Liste sicherer Empfänger: Listen sicherer Absender, Listen blockierter Absender und Listen sicherer Empfänger, die in der Outlook-Instanz der einzelnen Empfänger definiert sind, werden aggregiert und in AD LDS repliziert. Diese Einstellungen werden in dem Postfachspeicher gespeichert, in dem sich das Empfängerpostfach befindet. Die Sammlung von Listen sicherer Adressen eines -Benutzers enthält die zusammengefassten Daten aus den Listen sicherer Absender, sicherer Empfänger, blockierter Absender und externer Kontakte des betreffenden Benutzers. Die Verfügbarkeit der zusammengefassten Daten der sicheren Listen in AD LDS ermöglicht dem Edge-Transport-Server das Durchsuchen der Absender und verringert den betrieblichen Mehraufwand beim Filtern von E-Mail. Diese Informationen werden als gehashte Daten gesendet.

    Wichtig

    Obwohl die Daten sicherer Empfänger in Outlook gespeichert werden und so in der AD LDS-Instanz auf dem Edge-Transport-Server in die Sammlung der Listen sicherer Absender aggregiert werden können, wird die Inhaltsfilterungsfunktion nicht für Daten sicherer Empfänger ausgeführt.

  • Antispameinstellungen pro Empfänger: Sie können das Cmdlet Set-Mailbox verwenden, um Einstellungen für den Antispamschwellenwert pro Empfänger zuzuweisen, die sich von den organisationsweiten Antispameinstellungen unterscheiden. Wenn Sie Antispameinstellungen pro Empfänger konfigurieren, überschreiben diese Einstellungen die organisationsweiten Einstellungen. Durch Replizieren dieser Einstellungen nach AD LDS können die Einstellungen pro Empfänger berücksichtigt werden, bevor die Nachricht per Relay an die Exchange-Organisation weitergeleitet wird. Diese Informationen werden als gehashte Daten gesendet.

Topologieinformationen

Die Topologieinformationen umfassen die Benachrichtigung der neu abonnierten Edge-Transport-Server oder der entfernten Edge-Abonnements. Diese Daten werden alle fünf Minuten aktualisiert.