Konfigurieren des Internet-E-Mail-Flusses über Edge-Transport-Server ohne Verwendung von EdgeSync

Es wird empfohlen, den Edge-Abonnementprozess zu verwenden, um den E-Mail-Fluss zwischen Ihrer Exchange-Organisation und einem Edge-Transport-Server einzurichten, wie unter Edge-Abonnements beschrieben. Allerdings kann es in bestimmten Situationen nicht möglich sein, den Edge-Transport-Server für die Exchange-Organisation zu abonnieren. Um den E-Mail-Fluss zwischen Ihrer Exchange-Organisation und einem abgemeldeten Edge-Transport-Server manuell einzurichten, müssen Sie die folgenden Sendeconnectors und Empfangsconnectors manuell erstellen und/oder ändern:

Auf dem Edge-Transport-Server:

• Erstellen Sie einen dedizierten Sendeconnector, um nur Nachrichten an das Internet zu senden.

• Erstellen Sie einen dedizierten Sendeconnector, um Nachrichten nur an Postfachserver in der Exchange-Organisation zu senden. ¹

• Erstellen eines dedizierten Empfangsconnectors, um nur Nachrichten von Postfachservern in der Exchange-Organisation^{zu empfangen 2}

• Ändern Sie den Standardmäßigen Empfangsconnector so, dass nur Nachrichten aus dem Internet akzeptiert werden.

Auf einem Postfachserver:

• Erstellen eines dedizierten Sendeconnectors zum Weiterleiten ausgehender Nachrichten an den Edge-Transport-Server

¹ Der Sendeconnector, der von einem EdgeSync-Abonnement für die Übermittlung von E-Mails an die Exchange-Organisation erstellt wird, ist für die Verwendung Exchange Server -Authentifizierung (GSSAPI) konfiguriert. Das EdgeSync-Abonnement identifiziert den Edge-Transport-Server als Exchange-Server für die interne Active Directory-Gesamtstruktur, wodurch auch Exchange Server-Authentifizierung ermöglicht wird. Definitionsgemäß gibt es in diesem Szenario kein EdgeSync-Abonnement, sodass Sie improvisieren müssen:

• Sie können die Standardauthentifizierung über TLS konfigurieren, um die Authentifizierung und Verschlüsselung für den E-Mail-Datenverkehr zwischen dem Edge-Transport-Server und der internen Exchange-Organisation bereitzustellen. Diese Methode weist die folgenden Probleme auf:

  • Sie müssen ein Active Directory-Konto konfigurieren, das zur universellen Sicherheitsgruppe Exchange-Server für die Authentifizierung auf dem Sendeconnector gehört, der Nachrichten vom Edge-Transport-Server an die interne Exchange-Organisation weitergibt. Achten Sie darauf, die Kontoanmeldeinformationen zu schützen, und Sie können das Konto so konfigurieren, dass die Anmeldung nur bei bestimmten Computern zulässig ist. Außerdem benötigen Sie ein lokales Konto auf dem Edge-Transport-Server für die Authentifizierung auf dem Sendeconnector, der Nachrichten von der internen Exchange-Organisation an den Edge-Transport-Server weitergibt.

  • Nachrichten, die von diesen Sendeconnectors stammen, werden vom Zielpostfachserver als authentifizierte SMTP-Adresse angesehen. Dies bedeutet, dass der Standardmäßige Empfangsconnector namens Client Front-End <ServerName> im Front-End-Transportdienst die Nachrichten an Port 587 akzeptiert, und die Nachrichten werden im Back-End-Transportdienst mit dem Standard-Empfangsconnector client proxy <ServerName> an Port 465 akzeptiert.

  • Zum Bereitstellen der Verschlüsselung müssen Sie ein Zertifikat verwenden. Das selbstsignierte Zertifikat auf dem Edge-Transport-Server wird von der internen Exchange-Organisation nicht erkannt (auch hier übernimmt das EdgeSync-Abonnement dies normalerweise). Sie müssen das selbstsignierte Zertifikat manuell in jedes Postfach importieren oder ein Zertifikat von einer vertrauenswürdigen Drittanbieterzertifizierungsstelle verwenden.

• Wenn Sie nicht möchten, dass die Nachrichten, die vom Edge-Transport-Server stammen, als authentifiziertes SMTP identifiziert werden und daher die entsprechenden Client-Empfangsconnectors verwenden, können Sie Extern gesichert als Authentifizierungsmethode verwenden. Dies bedeutet, dass der E-Mail-Datenverkehr zwischen dem Edge-Transport-Server und der internen Exchange-Organisation nicht von Exchange authentifiziert oder verschlüsselt wird. Wenn Sie diese Methode verwenden, müssen Sie eine externe Verschlüsselungsmethode konfigurieren und verwenden (z. B. IPsec oder ein VPN).

² Anstelle eines dedizierten Empfangsconnectors können Sie den Standardmäßigen Empfangsconnector auf dem Edge-Transport-Server sowohl für eingehende Internetnachrichten als auch für eingehende Nachrichten von internen Postfachservern konfigurieren und verwenden (ein EdgeSync-Abonnement verwendet diesen Empfangsconnector für beide Verbindungen).

Weitere Informationen zu Sendeconnectors finden Sie unter Sendeconnectors. Weitere Informationen zu Empfangsconnectors finden Sie unter Empfangsconnectors.

Bevor Sie beginnen

• Geschätzte Zeit bis zum Abschließen dieser Aufgabe: 30 Minuten.

• Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Sendeconnectors", "Sendeconnectors - Edge-Transport" und "Empfangsconnectors - Edge-Transport" im Thema Berechtigungen für den Nachrichtenfluss.

• Auf Edge-Transport-Servern können Sie nur Exchange-Verwaltungsshell zum Erstellen von Sende- und Empfangsconnectors verwenden. Auf Postfachservern können Sie die Exchange-Verwaltungskonsole (EAC) oder die Exchange-Verwaltungsshell zum Erstellen von Sendeconnectors verwenden.

  Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

  Informationen zum Öffnen und Verwenden des Exchange-Verwaltungskonsoles finden Sie unter Exchange Admin Center in Exchange Server.

• Die grundlegende Konfiguration eines Edge-Transport-Servers im Umkreisnetzwerk muss das Auflösen öffentlicher Domänen für Internet-E-Mails und interne Hostnamen für interne E-Mails ermöglichen. Dazu gibt es verschiedene Möglichkeiten, aber Sie können den Netzwerkadapter, der mit dem externen (öffentlichen) Netzwerksegment verbunden ist, so konfigurieren, dass ein öffentlicher DNS-Server verwendet wird, und den Netzwerkadapter, der mit dem internen (privaten) Netzwerksegment verbunden ist, für die Verwendung eines DNS-Servers im Umkreisnetzwerk konfigurieren.

• Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Verfahren für Edge-Transport-Server

Schritt 1: Erstellen eines dedizierten Sendeconnectors, um nur Nachrichten an das Internet zu senden

Dieser Sendeconnector erfordert die folgende Konfiguration:

• Name: Ins Internet (oder einen beliebigen beschreibenden Namen)

• Verwendungstyp: Internet

• Adressräume: "*" (alle Domänen)

• Netzwerkeinstellungen: Verwenden Sie DNS-MX-Einträge, um E-Mails automatisch weiterzuleiten. Je nach Netzwerkkonfiguration können Sie E-Mail-Nachrichten auch über eine Smarthost weiterleiten. Der Smarthost leitet dann E-Mails an das Internet weiter.

Führen Sie den folgenden Befehl aus, um einen Sendeconnector zu erstellen, der für das Senden von Nachrichten an das Internet konfiguriert ist:

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-SendConnector.

Schritt 2: Erstellen eines dedizierten Sendeconnectors, um nur Nachrichten an die Exchange-Organisation zu senden

Dieser Sendeconnector erfordert die folgende Konfiguration:

• Name: An interne Organisation (oder einen beliebigen beschreibenden Namen)

• Verwendungstyp: Intern

• Adressräume: -- (gibt alle akzeptierten Domänen für die Exchange-Organisation an)

• DNS-Routing deaktiviert (Smarthostrouting aktiviert)

• Smarthosts: FQDN eines oder mehrerer Postfachserver als Smarthosts. Beispielsweise „mbxserver01.contoso.com" und „mbxserver02.contoso.com".

• Authentifizierungsmethoden für intelligente Hosts: Standardauthentifizierung über TLS

• Anmeldeinformationen für die Smarthost-Authentifizierung: Anmeldeinformationen für das Benutzerkonto in der internen Domäne, das Mitglied der universellen Sicherheitsgruppe von Exchange Server ist. Sie müssen das Cmdlet Get-Credential zum Speichern der Anmeldeinformationen verwenden. Verwenden Sie das Format <Domain>\ <UserName> oder den Benutzerprinzipalnamen (UPN, chris@contoso.comz. B. ), um den Benutzernamen einzugeben.

Um einen Sendeconnector zu erstellen, der zum Senden von Nachrichten an die Exchange-Organisation konfiguriert ist, ersetzen Sie die Smarthostwerte durch die Postfachserver in Ihrer Organisation, und führen Sie den folgenden Befehl aus:

New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces "--" -DNSRoutingEnabled $false -SmartHosts mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential (Get-Credential)

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-SendConnector.

Schritt 3: Ändern des Standardmäßigen Empfangsconnectors so, dass nur Nachrichten aus dem Internet akzeptiert werden

Nehmen Sie die folgenden Konfigurationsänderungen am Standardmäßigen Empfangsconnector vor:

• Ändern Sie den Namen, um anzugeben, dass der Connector ausschließlich zum Empfangen von E-Mails aus dem Internet verwendet wird (der Standardname des internen Empfangsconnectors <ServerName>).

• Ändern Sie die Netzwerkbindungen so, dass nachrichten nur von dem Netzwerkadapter akzeptiert werden, auf den über das Internet zugegriffen werden kann (z. B. 10.1.1.1 und der STANDARD-SMTP-TCP-Portwert 25).

Um den Standardmäßigen Empfangsconnector so zu ändern, dass er nur Nachrichten aus dem Internet akzeptiert, ersetzen <Sie ServerName> und Bindungen, den Namen Ihres Edge-Transport-Servers und die Konfiguration des externen Netzwerkadapters, und führen Sie den folgenden Befehl aus:

Set-ReceiveConnector -Identity "Default internal Receive connector ServerName>" -Name "From Internet" -Bindings 10.1.1.1:25

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ReceiveConnector.

Schritt 4: Erstellen eines dedizierten Empfangsconnectors, der nur Nachrichten von der Exchange-Organisation akzeptiert

Dieser Empfangsconnector erfordert die folgende Konfiguration:

• Name: Aus interner Organisation (oder einem beliebigen beschreibenden Namen)

• Verwendungstyp: Intern

• Lokale Netzwerkbindungen: Interner Netzwerkadapter (z. B. 10.1.1.2 und der STANDARD-SMTP-TCP-Portwert 25).

• Remotenetzwerkeinstellungen: IP-Adresse eines oder mehrerer Postfachserver in der Exchange-Organisation. Beispielsweise 192.168.5.10 und 192.168.5.20.

• Authentifizierungsmethoden: TLS, Standardauthentifizierung, Standardauthentifizierung über TLS und Exchange Server Authentifizierung.

Um einen Empfangsconnector zu erstellen, der so konfiguriert ist, dass nur Nachrichten von der Exchange-Organisation angenommen werden, ersetzen Sie die Bindungen und Remote-IP-Bereiche durch Ihre Werte, und führen Sie den folgenden Befehl aus:

New-ReceiveConnector -Name "From Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.2:25 -RemoteIPRanges 192.168.5.10,192.168.5.20

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ReceiveConnector.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Um die erfolgreiche Konfiguration der erforderlichen Sende- und Empfangsconnectors auf dem Edge-Transport-Server zu überprüfen, führen Sie den folgenden auf dem Edge-Transport-Server aus, und überprüfen Sie die Eigenschaftswerte:

Get-SendConnector | Format-List Name,Usage,AddressSpaces,SourceTransportServers,DSNRoutingEnabled,SmartHosts,SmartHostAuthMechanism; Get-ReceiveConnector | Format-List Name,Usage,AuthMechanism,Bindings,RemoteIPRanges

Postfachserververfahren

Der Standardwert für Empfangsconnectors auf Postfachservern muss nicht geändert werden. Weitere Informationen zu diesen standardmäßigen Empfangsconnectors auf Postfachservern finden Sie unter Während der Installation erstellte Standardempfangsconnectors.

Schritt 5: Erstellen eines dedizierten Sendeconnectors zum Senden ausgehender Nachrichten an den Edge-Transport-Server

Dieser Sendeconnector erfordert die folgende Konfiguration:

• Name: To Edge (oder ein beliebiger beschreibender Name)

• Verwendungstyp: Intern

• Adressräume: "*" (alle externen Domänen)

• DNS-Routing deaktiviert (Smarthostrouting aktiviert)

• Smarthosts: IP-Adresse oder FQDN des Edge-Transport-Servers. Beispielsweise "edge01.contoso.net".

• Quellserver: FQDN eines oder mehrerer Postfachserver. Beispielsweise „mbxserver01.contoso.com" und „mbxserver02.contoso.com".

• Authentifizierungsmethoden für intelligente Hosts: Standardauthentifizierung über TLS.

• Anmeldeinformationen für die Smarthost-Authentifizierung: Anmeldeinformationen für das Benutzerkonto auf dem Edge-Transport-Server.

Erstellen eines Sendeconnectors, der zum Senden ausgehender Nachrichten an den Edge-Transport-Server konfiguriert ist, mithilfe der Exchange-Verwaltungskonsole

1. Wechseln Sie im EAC zu E-Mail flow>Send connectors ,und klicken Sie dann auf . Der Assistent Neuer Sendeconnector wird gestartet.

2. Konfigurieren Sie auf der ersten Seite die folgenden Einstellungen:

   • Name: Geben Sie To Edge ein.

   • Typ: Wählen Sie Intern aus.

   Klicken Sie auf Weiter.

3. Wählen Sie auf der nächsten Seite E-Mails über Smarthosts weiterleiten aus, und klicken Sie dann auf . Identifizieren Sie im angezeigten Dialogfeld Smarthost hinzufügen den Edge-Transport-Server mithilfe eines der folgenden Werte:

   • IP-Adresse: Beispiel: 10.1.1.2.

   • Vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN): Beispiel: edge01.contoso.net. Beachten Sie, dass die Quellpostfachserver für den Sendeconnector in der Lage sein müssen, den Edge-Transport-Server in DNS mithilfe dieses FQDN aufzulösen. Wenn dies nicht möglich ist, verwenden Sie stattdessen die IP-Adresse.

   Klicken Sie auf Speichern.

4. Wählen Sie auf der nächsten Seite im Abschnitt Smarthost-Authentifizierung die Option Standardauthentifizierung aus, und konfigurieren Sie die folgenden zusätzlichen Einstellungen:

   • Wählen Sie Standardauthentifizierung erst nach dem Start von TLS anbieten aus.

   • Geben Sie in die Felder Benutzername und Kennwort die Anmeldeinformationen für das lokale Benutzerkonto auf dem Edge-Transport-Server ein.

   Klicken Sie auf Weiter.

5. Klicken Sie auf der nächsten Seite im Abschnitt Adressraum auf Symbol. Geben Sie im daraufhin angezeigten Dialogfeld Domäne hinzufügen die folgenden Informationen ein:

   • Typ: Überprüfen Sie, ob SMTP ausgewählt ist.

   • Vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN): Geben Sie ein Sternchen (*) ein, um anzugeben, dass der Sendeconnector für alle externen Domänen verwendet wird.

   • Kosten: Überprüfen Sie, ob 1 eingegeben ist. Je niedriger der Wert, desto bevorzugter ist die betreffende Route.

   Klicken Sie auf Speichern.

6. Auf der vorherigen Seite ist die Einstellung Sendeconnector mit Bereich wichtig, falls Ihre Organisation Exchange-Server an mehreren Active Directory-Standorten installiert hat:

   • Wenn Sie nicht Bereichsbezogenen Sendeconnector auswählen, kann der Connector für alle Transportserver (Exchange 2019-Postfachserver, Exchange 2016-Postfachserver, Exchange 2013-Postfachserver und Exchange 2010 Hub-Transport-Server) in der gesamten Active Directory-Gesamtstruktur verwendet werden. Dies ist der Standardwert.

   • Wenn Sie Sendeconnector mit Bereich auswählen, kann der Connector nur von anderen Transportservern am selben Active Directory-Standort verwendet werden.

   Klicken Sie auf Weiter.

7. Klicken Sie auf der nächsten Seite im Abschnitt Quellserver auf Hinzufügen. Wählen Sie im angezeigten Dialogfeld Server auswählen mindestens einen Postfachserver aus, den Sie zum Senden ausgehender E-Mails über den Edge-Transport-Server verwenden möchten. Wählen Sie einen Postfachserver aus, und klicken Sie auf Hinzufügen> – (wiederholen Sie dies so oft wie nötig), klicken Sie auf OK, und klicken Sie dann auf Fertig stellen.

Erstellen eines Sendeconnectors, der zum Senden ausgehender Nachrichten an den Edge-Transport-Server konfiguriert ist, mithilfe der Exchange-Verwaltungsshell

Um einen Sendeconnector zum Senden ausgehender Nachrichten an den Edge-Transport-Server zu erstellen, ersetzen Sie die Smarthosts und Quellpostfachserver mit Ihren eigenen Werten, und führen Sie den folgenden Befehl aus:

New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $false -SmartHosts edge01.contoso.com -SourceTransportServers mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential (Get-Credential)

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-SendConnector.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Um zu bestätigen, dass ein Sendeconnector zum Senden ausgehender Nachrichten an den Edge-Transport-Server erfolgreich erstellt wurde, führen Sie einen der folgenden Schritte aus:

• Wechseln Sie im EAC zu Nachrichtenfluss-Sendeconnectors>, wählen Sie den Sendeconnector mit dem Namen To Edge > aus, klicken Sie auf und überprüfen Sie die Eigenschaftswerte.

• Führen Sie diesen Befehl in der Exchange-Verwaltungsshell auf einem Postfachserver aus, und überprüfen Sie die Eigenschaftswerte:

  Get-SendConnector -Identity "To Edge" | Format-List Usage,AddressSpaces,DSNRoutingEnabled,SmartHosts,SourceTransportServers,SmartHostAuthMechanism