Exchange Server中的邊緣訂用帳戶

Edge 訂閱可在 Edge Transport Server 上的 Active Directory 輕量型目錄服務 (AD LDS) 執行個體中，填入 Active Directory 資料。 雖然可以選擇是否要建立 Edge 訂閱，但讓 Exchange 組織訂閱 Edge Transport Server，將可簡化管理工作並增強反垃圾郵件功能。 如果您計劃使用收件者查閱或安全清單彙總，或是要利用相互傳輸層安全性 (MTLS) 來保護與夥伴網域間的 SMTP 通訊安全，您必須建立 Edge 訂閱。

Edge Transport Server 沒有 Active Directory 的直接存取權。 Edge Transport Server 用以處理郵件的組態和收件者資訊，都儲存在本機的 AD LDS 中。 建立 Edge 訂閱，可以將資訊安全而自動地從 Active Directory 複寫至 AD LDS。 Edge 訂閱程式會布建認證，用來在內部 Exchange 信箱伺服器與已訂閱的 Edge Transport Server 之間建立安全的 LDAP 連線。 在信箱伺服器上執行的 Microsoft Exchange EdgeSync 服務 (EdgeSync) 會定期執行單向同步處理，將最新的資料傳輸至 AD LDS。 這可以讓您設定信箱伺服器，然後將這些資訊同步處理至 Edge Transport Server，而減少您所需執行的管理工作。

您可以讓負責對 Edge Transport Server 傳輸及接收郵件的信箱伺服器所在的 Active Directory 站台訂閱 Edge Transport Server。 Edge 訂閱程序會建立 Edge Transport Server 的 Active Directory 站台成員資格聯盟。 站台聯盟可讓 Exchange 組織中的信箱伺服器將郵件轉送至 Edge Transport Server，以傳遞到網際網路，而不必設定明確的傳送連接器。

單一 Active Directory 站台可以訂閱一或多部 Edge Transport Server。 但多個 Active Directory 站台無法訂閱同一部 Edge Transport Server。 如果您已部署多部 Edge Transport Server，每部伺服器可訂閱至不同的 Active Directory 站台。 每一個 Edge Transport Server 都需要個別的 Edge 訂閱。

若要部署 Edge Transport Server 並將其訂閱至 Active Directory 站台，請遵循下列步驟：

1. 安裝 Edge Transport server role。

2. 準備 Edge 訂用帳戶：

   • 授權 Edge Transport Server。

   • 開啟防火牆中的埠，以進行郵件流程和 EdgeSync 同步處理。

   • 請確認信箱伺服器與 Edge Transport Server 可以使用 DNS 名稱解析找到彼此。

   • 在信箱伺服器上，設定要複寫至 Edge Transport Server 的傳輸設定。

3. 在 Edge Transport Server 上，執行 New-EdgeSubscription Cmdlet 來建立和匯出 Edge 訂用帳戶檔案。

4. 將 Edge 訂閱檔案複製到信箱伺服器，或複製到可從您信箱伺服器所在的 Active Directory 站台存取的檔案共用。

5. 在信箱伺服器上執行 New-EdgeSubscription Cmdlet，以將 Edge 訂用帳戶檔案匯入 Active Directory 網站。

您必須先確定基礎結構和信箱伺服器已準備好進行 EdgeSync 同步處理，才能將 Edge Transport Server 訂閱至 Exchange 組織。 若要準備 EdgeSync，您需要：

• 授權 Edge Transport Server：Edge Transport Server 的授權資訊會在 Edge 訂用帳戶建立時擷取。 在 Edge Transport Server 上套用授權金鑰後，已訂閱的 Edge Transport Servers 必須訂閱至 Exchange 組織。 若在執行 Edge 訂閱程序後才在 Edge Transport Server 上套用授權金鑰，則不會在 Exchange 組織中更新授權資訊，而且您必須重新訂閱 Edge Transport Server。

• 確認防火牆中已開啟必要的埠：訂閱的 Edge Transport Server 會使用下列埠：

  • SMTP：必須針對網際網路與 Edge Transport Server 之間的輸入和輸出郵件流程，以及 Edge Transport Server 與內部 Exchange 組織之間的輸入和輸出郵件流程，開啟埠 25/TCP。

  • 安全 LDAP：非標準埠 50636/TCP 用於從信箱伺服器到 Edge Transport Server 上 AD LDS 的目錄同步處理。 此埠是成功的 EdgeSync 同步處理所需的埠。

  注意

  LDAP 會在本機使用埠 50389/TCP 來系結至 AD LDS 實例。 此埠不需要在防火牆上開啟;它會在 Edge Transport Server 本機使用。

  如果您的環境需要特定埠，您可以使用 ConfigureAdam.ps1 Exchange 提供的腳本來修改 AD LDS 所使用的埠。 建立 Edge 訂閱之前，請修改連接埠。 如果您在建立 Edge 訂用帳戶之後修改埠，則必須移除 Edge 訂用帳戶並建立另一個。

• 確認從 Edge Transport Server 到信箱伺服器，以及從信箱伺服器到 Edge Transport Server 的 DNS 主機名稱解析成功

• 設定下列傳輸設定以傳播至 Edge Transport Server

  • 內部 SMTP 伺服器：使用Set-TransportConfig Cmdlet 上的InternalSMTPServers參數來指定內部 SMTP 伺服器 IP 位址清單，或 Edge Transport Server 上的傳送者識別碼和連線篩選代理程式要忽略的 IP 位址範圍清單。

  • 接受的網域：設定所有授權網域、內部轉送網域和外部轉送網域。

  • 遠端網域：設定預設遠端網域物件的設定， (用於所有遠端網域) 中的收件者，並視需要為特定遠端網域中的收件者設定遠端網域物件。

當您在 Edge Transport Server 上執行 New-EdgeSubscription Cmdlet 來建立 Edge 訂用帳戶檔案時，會發生下列動作：

• 建立名為 EdgeSync 開機複寫帳戶 (ESBRA) 的 AD LDS 帳戶。 這些 ESBRA 認證可用來驗證對 Edge Transport Server 的第一個 EdgeSync 連線。 此帳戶依設定會在建立後的 24 小時到期。 因此，您必須在 24 小時內完成上一節所述的五步驟訂閱程式。 如果 ESBRA 在完成 Edge 訂閱程序前即到期，您將必須重新執行 New-EdgeSubscription 指令程式，以建立新的 Edge 訂閱檔案。

• 從 AD LDS 擷取 ESBRA 認證並寫入 Edge 訂閱檔案中。 Edge Transport Server 自我簽署憑證的公開金鑰也會一併匯出到 Edge 訂閱檔案。 寫入至 Edge 訂閱檔案的認證只適用於先前匯出檔案的伺服器。

• 任何先前在 Edge Transport Server 上建立、而現在即將從 Active Directory 複寫至 AD LDS 的組態物件，都會從 AD LDS 中刪除，且用以設定這些物件的 Exchange 管理命令介面指令程式將會停用。 不過，您仍然可以使用 Get-* Cmdlet 來檢視這些物件。 執行 New-EdgeSubscription 指令程式時，會在 Edge Transport Server 上停用下列的指令程式：

  • Set-SendConnector

  • New-SendConnector

  • Remove-SendConnector

  • New-AcceptedDomain

  • Set-AcceptedDomain

  • Remove-AcceptedDomain

  • New-RemoteDomain

  • Set-RemoteDomain

  • Remove-RemoteDomain

此範例會在 Edge Transport Server 上建立和匯出 Edge 訂用帳戶檔案。

New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"

當您在信箱伺服器上執行 New-EdgeSubscription Cmdlet 將 Edge 訂用帳戶檔案匯入 Active Directory 網站時，會發生下列動作：

• 已建立 Edge 訂用帳戶，將 Edge Transport Server 加入 Exchange 組織。 EdgeSync 會將組態資料傳播至這部 Edge Transport Server，在 Active Directory 中建立 Edge 組態物件。

• Active Directory 站台中的每部信箱伺服器都會接收到來自 Active Directory 的通知，告知已訂閱新的 Edge Transport Server。 信箱伺服器會擷取 Edge 訂閱檔案中的 ESBRA。 接著，信箱伺服器會使用 Edge Transport Server 自我簽署憑證的公開金鑰，來加密 ESBRA。 然後，將加密的認證寫入 Edge 組態物件。

• 每部信箱伺服器也會使用其本身的公開金鑰來加密 ESBRA，然後將認證儲存在本身的組態物件中。

• 每組「Edge Transport Server-信箱伺服器」都會在 Active Directory 中建立 EdgeSync 複寫帳戶 (ESRA)。 每部信箱伺服器都會將其 ESRA 認證儲存為信箱伺服器組態物件的屬性。

• 傳送連接器會自動建立，以便將從 Edge Transport Server 輸出的郵件轉送至網際網路，以及將 Edge Transport Server 的輸入轉送至 Exchange 組織。 For more information, see the Send connectors created automatically by the Edge Subscription section in this topic.

• 在信箱伺服器上執行的 Microsoft Exchange EdgeSync 服務會使用 ESBRA 認證，在信箱伺服器與 Edge Transport Server 之間建立安全的 LDAP 連線，並執行資料的初始複寫。 複寫到 AD LDS 的資料如下：

  • 拓撲資料

  • 組態資料

  • 複寫資料

  • ESRA 認證

• 在 Edge Transport Server 上執行的 Microsoft Exchange 認證服務會安裝 ESRA 認證。 這些認證是用來驗證同步處理連線，並保護稍後的連線安全。

• 建立 EdgeSync 同步處理排程。

• 接著，在已訂閱的 Active Directory 站台中的信箱伺服器上執行的 Microsoft Exchange EdgeSync 服務，會以定期排程執行從 Active Directory 到 AD LDS 的單向資料複寫。 您也可以使用 Start-EdgeSynchronization 指令程式覆寫 EdgeSync 同步處理排程，並立即開始同步處理。

此範例會讓指定的站台訂閱 Edge Transport Server，並自動建立網際網路傳送連接器，以及從 Edge Transport Server 至信箱伺服器的傳送連接器。

New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\Data\EdgeSubscriptionInfo.xml')) -Site "Default-First-Site-Name"

根據預設，當您將 Edge 訂用帳戶檔案匯入至信箱伺服器時，會自動建立啟用網際網路與 Exchange 組織之間端對端郵件流程所需的傳送連接器，並刪除 Edge Transport Server 上任何現有的傳送連接器。

Edge 訂用帳戶會建立下列傳送連接器：

• 名為 EdgeSync - 輸入網站 <名稱> 的傳送連接器，設定為將訊息從 Edge Transport Server 轉送至 Exchange 組織。

• 名為 EdgeSync - <月臺名稱> 的連接器傳送至網際網路，設定為將訊息從 Exchange 組織轉送至網際網路。

此外，將 Edge Transport Server 訂閱至 Exchange 組織可讓訂閱的 Active Directory 網站中的信箱伺服器使用隱藏且隱含的組織內傳送連接器，將訊息轉送至 Edge Transport Server。

當您在 Mailbox 伺服器上執行 New-EdgeSubscription Cmdlet 時， CreateInboundSendConnector 參數會設定為 值 $true 。 這會建立從 Edge Transport Server 傳送訊息到 Exchange 組織所需的傳送連接器。 下表顯示此傳送連接器的組態。

自動輸入傳送連接器組態

對於自動建立的輸入傳送連接器，您無法在建立時修改其位址空間或智慧主機清單。 不過，您可以在建立 Edge 訂用帳戶時，將 CreateInboundSendConnector 參數設定為 值 $false 。 這可讓您以手動方式設定從 Edge Transport Server 到 Exchange 組織的傳送連接器。

當您在 Mailbox 伺服器上執行 New-EdgeSubscription Cmdlet 時， CreateInternetSendConnector 參數會設定為 值 $true 。 這會建立將訊息從 Exchange 組織傳送至網際網路所需的傳送連接器。 下表顯示此傳送連接器的預設組態。

自動網際網路傳送連接器組態

相同的 Active Directory 站台訂閱了多部 Edge Transport Server 時，將不會建立更多連至網際網路的傳送連接器。 此時，所有 Edge 訂閱都會新增至相同的傳送連接器，作為來源伺服器。 這可讓各個已訂閱的 Edge Transport Server 對網際網路的輸出連線達到負載平衡。

輸出傳送連接器依設定會使用 DNS 路由將網域名稱解析為 MX 資源記錄，以將電子郵件從 Exchange 組織傳送至所有遠端 SMTP 網域。

當您將 Edge Transport Server 訂閱至 Active Directory 站台後，EdgeSync 會將組態和收件者資料複寫至 Edge Transport Server。 此服務會將下列資料從 Active Directory 複寫至 AD LDS：

• 傳送連接器組態

• 公認的網域

• 遠端網域

• 安全寄件者清單

• 封鎖的寄件者清單

• 收件者

• 與合作夥伴進行的網域安全通訊中所使用的傳送和接收網域清單

• 列為組織傳輸組態內部的 SMTP 伺服器清單

• 已訂閱的 Active Directory 站台中的信箱伺服器清單

EdgeSync 會使用相互驗證及授權的安全 LDAP 通道，將資料從信箱伺服器傳輸至 Edge Transport Server。

為了將資料複寫至 AD LDS，信箱伺服器會繫結至通用類別目錄伺服器，以擷取更新的資料。 EdgeSync 會透過非標準 TCP 連接埠 50636，起始信箱伺服器與訂閱的 Edge Transport Server 之間的安全 LDAP 工作階段。

當您第一次將 Edge Transport Server 訂閱至 Active Directory 站台時，將 Active Directory 中的資料填入至 AD LDS 的初始複寫約需五分鐘才能完成，時間長短視目錄服務中的資料數量而定。 初始複寫之後，EdgeSync 只會同步處理新增和變更的物件，並且會移除任何已刪除的物件。

不同類型的資料會以不同的排程來加以同步。 EdgeSync 同步處理排程會指定 EdgeSync 同步處理的最大間隔。 EdgeSync 同步處理的執行間隔如下：

• 組態資料：3 分鐘。

• 複寫資料：5 分鐘。

• 拓撲資料：5 分鐘

如果您要變更這些間隔，請使用 Set-EdgeSyncServiceConfig 指令程式。 在信箱伺服器上使用 Start-EdgeSynchronization 指令程式，可強制 Edge 訂閱同步處理覆寫下一個排定 EdgeSync 同步處理的計時器，並立即啟動 EdgeSync。

每個已訂閱的 Edge Transport Server 都會與一個 Active Directory 站台相關聯。 如果站台中有多部信箱伺服器，則其中任一部信箱伺服器都可將資料複寫至已訂閱的 Edge Transport Server。 在同步處理時若要避免信箱伺服器之間發生爭用的情況，請依照下列方式選取慣用的信箱伺服器：

1. 在 Active Directory 站台中，第一部執行拓撲掃描及探索新 Edge 訂閱的信箱伺服器，將會執行初始複寫。 由於探索會以拓撲掃描的時間點為基礎，因此站台中的任何信箱伺服器都可能會執行初始複寫。

2. 執行初始複寫的信箱伺服器會建立 EdgeSync 租用選項，並在 Edge 訂閱上設定鎖定。 租用選項會將這一部信箱伺服器建立為對該 Edge Transport Server 提供同步處理服務的慣用伺服器。 鎖定可防止在另一部信箱伺服器上執行的 EdgeSync 接管租用選項。

3. EdgeSync 租用選項可持續一小時。 在這一小時中，除非啟動了手動同步處理，否則將不會有其他 EdgeSync 服務接管租賃選項。 如果在啟動手動同步處理時，沒有慣用的信箱伺服器可提供 EdgeSync 服務，則在五分鐘過後就會解除鎖定，而可由另一個 EdgeSync 服務接管租用選項並執行同步處理。

4. 若未啟動手動同步處理，則會根據 EdgeSync 同步處理排程進行同步處理。 如果在進行排定的同步處理時沒有慣用伺服器可供使用，則在五分鐘過後就會解除鎖定，而可由另一個 EdgeSync 服務接管租用選項並執行同步處理。

這種鎖定及租用方法，可防止 EdgeSync 服務的多個執行個體同時將資料發送至同一部 Edge Transport Server。

附註：

• 在 Exchange 2016 組織中，如果您在已訂閱的 Active Directory 網站中也有 Exchange 2010 中樞傳輸伺服器，則 Exchange 2016 信箱伺服器一律優先，並執行複寫。

• 當您將 Edge Transport Server 訂閱至 Active Directory 站台時，該 Active Directory 站台上當時已安裝的所有信箱伺服器都將可加入 EdgeSync 同步處理程序中。 若移除其中一部伺服器，在其餘信箱伺服器上執行的 EdgeSync 服務仍會繼續進行資料同步程序。 不過，如果您稍後在 Active Directory 網站中安裝新的信箱伺服器，它們將不會自動參與 EdgeSync 同步處理。 此外，它們不會自動新增至 Edge Server 的內部傳遞群組。 如果您想要讓這些新的信箱伺服器參與 EdgeSync 同步處理和自動 Edge 到信箱信箱流程，您必須再次訂閱 Edge Transport Server。

下表列出與鎖定和租用相關的 EdgeSync 屬性。 您可以使用 Set-EdgeSyncServiceConfig 指令程式來設定這些內容。

EdgeSync 租用內容