Настройка потока обработки почты Интернета через пограничный транспортный сервер без использования EdgeSync

  • Статья

Область применения: Exchange Server 2013 г.

Мы рекомендуем использовать процесс пограничной подписки для установления потока почты между вашей организацией Exchange и пограничным транспортным сервером. Однако в некоторых ситуациях вы можете помешать подписке на пограничный транспортный сервер в организации Exchange с помощью процесса пограничной подписки. Чтобы вручную установить поток обработки почты между организацией Exchange и пограничным транспортным сервером, необходимо создать и настроить соединители отправки и получения на пограничном транспортном сервере и на серверах почтовых ящиков в организации Exchange.

Перед началом работы

  • Предполагаемое время выполнения задачи: 30 минут.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Отправка соединителей", в записи "Отправка соединителей - пограничный транспорт" и в записи "Получение соединителей - пограничный транспорт" в разделе Разрешения потока обработки почты .

  • Эта процедура использует обычную проверку подлинности по протоколу TLS для обеспечения шифрования и проверки подлинности. При использовании обычной проверки подлинности по протоколу TLS на принимающем сервере должен быть установлен ssl-сертификат сервера X.509. Полное доменное имя (FQDN), настроенное в соединителе получения, должно соответствовать полному доменному имени в ssl-сертификате сервера. По умолчанию значением полного доменного имени в соединителе получения является полное доменное имя сервера, содержащего соединитель получения.

  • Вы также можете использовать метод проверки подлинности с внешней защитой. Однако в этом случае обмен данными между пограничным транспортным сервером и сервером почтовых ящиков exchange не проходит проверку подлинности и не шифруется. Мы рекомендуем использовать метод проверки подлинности с внешней защитой, только если также используется дополнительный метод шифрования. Методом шифрования может быть сопоставление IPsec или виртуальная частная сеть (VPN).

  • Пограничный транспортный сервер обычно является многосетевым. Это означает, что пограничный транспортный сервер имеет сетевые адаптеры, подключенные к нескольким сегментам сети. Каждый из этих сетевых адаптеров имеет уникальную IP-конфигурацию. Сетевой адаптер, подключенный к внешнему или общедоступному сегменту сети, должен быть настроен на использование общедоступного dns-сервера для разрешения имен. Это позволяет серверу разрешать имена доменов SMTP в записи ресурса MX и направлять почту в Интернет. Сетевой адаптер, подключенный к внутреннему или частному сегменту сети, должен быть настроен для использования DNS-сервера в сети периметра или должен иметь файл Hosts.

  • Необходимо создать учетную запись пользователя в Active Directory и добавить ее в универсальную группу безопасности на Exchange Server компьютере. Эта учетная запись используется соединителем отправки на пограничном транспортном сервере для проверки подлинности на целевом сервере почтовых ящиков в организации Exchange.

    Важно!

    Этой учетной записи предоставляются разрешения, связанные с компьютерами, на которых выполняется Exchange Server. Убедитесь, что учетные данные учетной записи защищены, чтобы предотвратить неправильное использование учетной записи. Учетную запись можно настроить так, чтобы вход в систему был разрешен только на определенных компьютерах.

Процедуры для пограничного транспортного сервера

На пограничном транспортном сервере должны быть установлены следующие соединители:

  • Соединитель отправки, настроенный для отправки сообщений в Интернет.

  • Соединитель отправки, настроенный для отправки сообщений на серверы почтовых ящиков в организации Exchange.

  • Соединитель получения, настроенный для получения сообщений только с серверов почтовых ящиков в организации Exchange.

  • Соединитель получения, настроенный для приема сообщений только из Интернета

По умолчанию во время установки роли пограничного транспортного сервера создается один соединитель получения. Этот соединитель можно использовать как для входящих интернет-сообщений, так и для входящих сообщений с серверов почтовых ящиков. Как правило, процесс подписки Edge автоматически настраивает правильные разрешения и проверку подлинности для соединителя получения по умолчанию. Если вы не используете процесс подписки Edge, рекомендуется изменить соединитель получения по умолчанию на пограничном транспортном сервере, чтобы принимать только сообщения из Интернета. Затем на пограничном транспортном сервере необходимо создать соединитель получения, настроенный для приема сообщений только с внутренних серверов почтовых ящиков.

Ниже описано, как подготовить пограничный транспортный сервер к взаимодействию с организацией Exchange.

Примечание.

Оболочку можно использовать только для выполнения этих процедур на пограничных транспортных серверах.

Шаг 1. Создание соединителя отправки, настроенного для отправки сообщений в Интернет

Этот соединитель отправки должен иметь следующие характеристики:

  • Имя: в Интернет (или любое описательное имя)

  • Тип использования: Интернет

  • Адресные пространства: "*" (все домены)

  • Параметры сети. Используйте записи DNS MX для автоматической маршрутизации почты. При определенной конфигурации сети можно также отправлять почту через промежуточный узел. Промежуточный узел затем отправляет почту в Интернет.

Чтобы создать соединитель отправки, настроенный для отправки сообщений в Интернет, выполните следующую команду.

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

Подробные сведения о синтаксисе и параметрах см. в статье New-SendConnector.

Шаг 2. Создание соединителя отправки, настроенного для отправки сообщений в организацию Exchange

Используйте командлет New-SendConnector для создания соединителя отправки.

Примечание.

Перед созданием соединителя Send необходимо выполнить команду Get-Credential , чтобы сохранить имя пользователя и пароль, которые будут использоваться во временной переменной. Это необходимо сделать, так как командлет New-SendConnector не будет принимать учетные данные пользователя в виде обычного текста.

Этот соединитель отправки должен иметь следующие характеристики:

  • Имя: во внутреннюю организацию (или любое описательное имя)

  • Тип использования: Внутренний

  • Адресные пространства: все обслуживаемые домены для организации Exchange. Например, *.contoso.com.

  • DNS-маршрутизация отключена (маршрутизация промежуточного узла включена).

  • Интеллектуальные узлы: полное доменное имя одного или нескольких серверов почтовых ящиков в качестве интеллектуальных узлов. Например: mbxserver01.contoso.com и mbxserver02.contoso.com.

  • Методы проверки подлинности интеллектуального узла: обычная проверка подлинности по протоколу TLS

  • Учетные данные проверки подлинности интеллектуального узла. Учетные данные для учетной записи пользователя во внутреннем домене. Сначала необходимо сохранить имя пользователя и пароль во временной переменной, так как командлет New-SendConnector не будет принимать учетные данные пользователя в виде обычного текста.

Чтобы создать соединитель отправки, настроенный для отправки сообщений в организацию Exchange, выполните следующие команды.

$MailboxCredentials = Get-Credential
New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces *.contoso.com -DNSRoutingEnabled $false -SmartHosts mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $MailboxCredentials

Подробные сведения о синтаксисе и параметрах см. в статье New-SendConnector.

Шаг 3. Изменение соединителя получения по умолчанию для получения сообщений только из Интернета

В конфигурацию соединителя получения по умолчанию необходимо внести следующие изменения:

  • Измените имя, чтобы отобразилось, что соединитель будет использоваться исключительно для получения электронной почты из Интернета. Имя соединителя получения по умолчанию — "Имя> пограничного транспортного сервера внутреннего соединителя <получения по умолчанию".

  • Измените сетевые привязки, чтобы принимать сообщения только с сетевого адаптера, доступного из Интернета. Например, 10.1.1.1 и стандартное значение TCP-порта SMTP 25.

Чтобы изменить соединитель получения по умолчанию так, чтобы он принимал только сообщения из Интернета, выполните следующую команду.

Set-ReceiveConnector "Default internal Receive connector Edge01" -Name "From Internet" -Bindings 10.1.1.1:25

Подробные сведения о синтаксисе и параметрах см. в статье Set-ReceiveConnector.

Шаг 4. Создайте соединитель получения для приема сообщений только из организации Exchange

Этот соединитель приема должен иметь указанные ниже характеристики.

  • Имя: из внутренней организации (или любое описательное имя)

  • Тип использования: Внутренний

  • Привязки локальной сети: внутренний сетевой адаптер. Например, 10.1.1.2 и стандартное значение TCP-порта SMTP 25.

  • Параметры удаленной сети: IP-адрес одного или нескольких серверов почтовых ящиков в организации Exchange. Например: 192.168.5.10 и 192.168.5.20.

  • Методы проверки подлинности: TLS, обычная проверка подлинности, обычная проверка подлинности через TLS и проверка подлинности Exchange Server.

Чтобы создать соединитель получения, настроенный только для приема сообщений из организации Exchange, выполните следующую команду.

New-ReceiveConnector -Name "From Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.2:25 -RemoteIPRanges 192.168.5.10,192.168.5.20

Дополнительные сведения о синтаксисе и параметрах см. в статье New-ReceiveConnector.

Как узнать, что эти шаги сработали?

Чтобы убедиться, что вы успешно настроили необходимые соединители отправки и получения, выполните следующие команды на пограничном транспортном сервере и убедитесь, что отображаемые значения являются настроенными значениями.

Get-SendConnector | Format-List Name,Usage,AddressSpaces,SourceTransportServers,DSNRoutingEnabled,SmartHosts,SmartHostAuthMechanism
Get-ReceiveConnector | Format-List Name,Usage,AuthMechanism,Bindings,RemoteIPRanges

Процедуры сервера почтовых ящиков

Для серверов почтовых ящиков в вашей организации требуется соединитель Отправки, настроенный для отправки сообщений на пограничный транспортный сервер для ретрансляции в Интернет.

По умолчанию во время установки роли сервера почтовых ящиков создаются два соединителя получения. Соединитель с именем Client ServerName настроен для приема сообщений от всех клиентов сообщений POP3 и IMAP. Соединитель с именем Default ServerName настроен для приема сообщений с пограничного транспортного сервера. Никаких изменений в этих соединителях не требуется.

Шаг 5. Создание соединителя отправки, настроенного для отправки исходящих сообщений на пограничный транспортный сервер

Этот соединитель отправки должен иметь следующие характеристики:

  • Имя: к краю (или любое описательное имя)

  • Тип использования: Внутренний

  • Адресные пространства: "*" (все домены)

  • DNS-маршрутизация отключена (маршрутизация промежуточного узла включена).

  • Интеллектуальные узлы: IP-адрес или полное доменное имя пограничного транспортного сервера. Например: пограничный_сервер01.contoso.net.

  • Исходные серверы почтовых ящиков: полное доменное имя одного или нескольких серверов почтовых ящиков. Например: mbxserver01.contoso.com и mbxserver02.contoso.com.

  • Метод проверки подлинности интеллектуального узла: обычная проверка подлинности по протоколу TLS.

  • Учетные данные проверки подлинности интеллектуального узла. Учетные данные учетной записи пользователя на пограничном транспортном сервере. Сначала необходимо сохранить имя пользователя и пароль во временной переменной, так как командлет New-SendConnector не будет принимать учетные данные пользователя в виде обычного текста.

Чтобы создать соединитель отправки, настроенный для отправки исходящих сообщений на пограничный транспортный сервер, выполните следующие команды.

$EdgeCredentials = Get-Credential
New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $false -SmartHosts edge01.contoso.com -SourceTransportServers mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $EdgeCredentials

Подробные сведения о синтаксисе и параметрах см. в статье New-SendConnector.

Как убедиться, что все получилось?

Чтобы убедиться, что вы успешно создали соединитель отправки, настроенный для отправки исходящих сообщений на пограничный транспортный сервер, выполните следующую команду на сервере почтовых ящиков и убедитесь, что отображаемые значения являются настроенными значениями.

Get-SendConnector | Format-List Name,Usage,AddressSpaces,DSNRoutingEnabled,SmartHosts,SourceTransportServers,SmartHostAuthMechanism