Suscripciones perimetrales en Exchange Server
Las suscripciones perimetrales se usan para rellenar la instancia de Active Directory Lightweight Directory Services (AD LDS) en el servidor de transporte perimetral con datos de Active Directory. Aunque la creación de una suscripción perimetral sea opcional, la suscripción de un servidor de transporte perimetral a la organización de Exchange proporciona una experiencia administrativa más sencilla y mejora las características contra el correo electrónico no deseado. Es necesario crear una suscripción perimetral si se desea usar la búsqueda de destinatarios o agregación de listas seguras, o bien si se desea proteger las comunicaciones SMTP con dominios asociados a través de Seguridad de la capa transporte mutua (MTLS) .
Nota:
La suscripción perimetral es obligatoria si el transporte perimetral debe controlar el flujo de correo híbrido. Los encabezados de organización solo se promueven entre los servidores de transporte perimetral y buzón de correo a través de la autenticación de confianza directa (también conocida como TLS mutua) y la suscripción perimetral es necesario para lograr este método de autenticación.
Proceso de suscripción perimetral
Un servidor Transporte perimetral no tiene acceso directo a Active Directory. Toda la información de configuración y de destinatarios que usa el servidor Transporte perimetral para procesar mensajes está almacenada localmente en AD LDS. La creación de una suscripción perimetral establece una replicación automática y segura de la información de Active Directory en AD LDS. El proceso de suscripción perimetral aprovisiona las credenciales usadas para establecer una conexión LDAP segura entre los servidores internos de buzones de Exchange y un servidor de transporte perimetral suscrito. El servicio Microsoft Exchange EdgeSync (EdgeSync) que se ejecuta en servidores de buzones realiza una sincronización unidireccional periódica para transferir datos actualizados a AD LDS. Esto reduce las tareas de administración que se realizan en la red perimetral permitiendo que se configure el servidor de buzones de correo y después se sincronice dicha información con el servidor Transporte perimetral.
Puede suscribir un servidor Transporte perimetral al sitio de Active Directory que contiene los servidores de buzón de correo responsables de transferir mensajes hacia y desde los servidores Transporte perimetral. El proceso de suscripción perimetral crea una afiliación de pertenencia al sitio de Active Directory en el servidor de transporte perimetral. La afiliación al sitio permite a los servidores de buzones de correo de la organización de Exchange transmitir mensajes al servidor Transporte perimetral para su entrega en Internet sin necesidad de configurar conectores de envío.
Se pueden suscribir uno o más servidores de transporte perimetral a un único sitio de Active Directory. Sin embargo, un servidor de transporte perimetral no se puede suscribir a más de un sitio de Active Directory. Si tiene más de un servidor de transporte perimetral implementado, cada servidor se puede suscribir a un sitio de Active Directory diferente. Cada servidor de transporte perimetral requiere una suscripción perimetral independiente.
Para implementar un servidor de transporte perimetral y suscribirlo a un sitio de Active Directory, siga estos pasos:
Instale la función del servidor Transporte perimetral.
Prepárese para la suscripción perimetral:
Concesión de licencia al servidor de transporte perimetral.
Abra puertos en el firewall para el flujo de correo y la sincronización de EdgeSync.
Compruebe que los servidores de transporte de buzones y el servidor de transporte perimetral se pueden comunicar entre sí mediante una resolución de nombres DNS.
En el servidor de buzones de correo, realice la configuración de transporte que se va a replicar en el servidor Transporte perimetral.
En el servidor Transporte perimetral, cree y exporte un archivo de suscripción perimetral a través de la ejecución del cmdlet New-EdgeSubscription.
Copie el archivo de suscripción perimetral en el servidor de buzones de correo o en un recurso compartido de archivos al que se pueda tener acceso desde el sitio de Active Directory que tiene los servidores de buzones de correo.
Importe el archivo de suscripción perimetral al sitio de Active Directory mediante la ejecución del cmdlet New-EdgeSubscription en el servidor de buzones de correo.
Prepárese para la suscripción perimetral
Para poder suscribir el servidor de transporte perimetral a su organización de Exchange, debe asegurarse de que la infraestructura y los servidores de buzones están preparados para la sincronización de EdgeSync. Para prepararse para EdgeSync, debe hacer lo siguiente:
Licencia del servidor de transporte perimetral: la información de licencias del servidor de transporte perimetral se captura cuando se crea la suscripción perimetral. Los servidores de transporte perimetral con suscripción necesitan suscribirse a la organización de Exchange después de que la clave de licencia se ha aplicado en el servidor Transporte perimetral. Si se aplica la clave de licencia en el servidor Transporte perimetral después de realizar el proceso de suscripción perimetral, la información de concesión de licencia no se actualiza en la organización de Exchange y deberá volverse a suscribir al servidor Transporte perimetral.
Compruebe que los puertos necesarios están abiertos en el firewall: Los siguientes puertos los usan los servidores de transporte perimetral suscritos:
SMTP: el puerto 25/TCP debe estar abierto para el flujo de correo entrante y saliente entre Internet y el servidor de transporte perimetral, y entre el servidor de transporte perimetral y la organización interna de Exchange.
LDAP seguro: el puerto no estándar 50636/TCP se usa para la sincronización de directorios de servidores de buzones de correo a AD LDS en el servidor de transporte perimetral. Este puerto es necesario para una sincronización correcta de EdgeSync.
Nota:
LDAP usa localmente el puerto 50389/TCP para enlazar con la instancia de AD LDS. Este puerto no tiene que estar abierto en el firewall, se usa localmente en el servidor Transporte perimetral.
Si el entorno requiere puertos específicos, puede modificar los puertos usados por AD LDS mediante el
ConfigureAdam.ps1script proporcionado con Exchange. Modifique los puertos antes de crear la suscripción perimetral. Si modifica los puertos después de crear la suscripción perimetral, debe quitarla y crear una nueva.Comprobar que la resolución de nombres de host de DNS se realice correctamente desde el servidor Transporte perimetral a los servidores de buzones de correo y viceversa
Configurar los siguientes valores de transporte para la propagación en el servidor Transporte perimetral
Servidores SMTP internos: use el parámetro InternalSMTPServers en el cmdlet Set-TransportConfig para especificar una lista de direcciones IP de servidor SMTP internas o intervalos de direcciones IP que los agentes de identificador de remitente y filtrado de conexiones del servidor de transporte perimetral omitirán.
Dominios aceptados: configure todos los dominios autoritativos, los dominios de retransmisión internos y los dominios de retransmisión externos.
Dominios remotos: configure los valores del objeto de dominio remoto predeterminado (que se usa para los destinatarios de todos los dominios remotos) y configure los objetos de dominio remoto según sea necesario para los destinatarios de dominios remotos específicos.
Crear y exportar un archivo de suscripción perimetral en el servidor Transporte perimetral
Cuando se crea un archivo de suscripción perimetral a través de la ejecución del cmdlet New-EdgeSubscription en el servidor Transporte perimetral, tienen lugar las siguientes acciones:
Se crea una cuenta AD LDS llamada cuenta de replicación de inicio de EdgeSync (ESBRA). Estas credenciales de ESBRA se usan para autenticar la primera conexión de EdgeSync con el servidor de transporte perimetral. Esta cuenta se configura para que expire 24 horas después de su creación. Por lo tanto, es necesario completar el proceso de suscripción de cinco pasos que se describe en la sección anterior en un plazo de 24 horas. Si la cuenta ESBRA expira antes de que se haya completado el proceso de suscripción perimetral, tendrá que volver a ejecutar el cmdlet New-EdgeSubscription para crear un nuevo archivo de suscripción perimetral.
Las credenciales de la ESBRA se recuperan desde AD LDS y se escriben en el archivo de suscripción perimetral. La clave pública del certificado autofirmado del servidor de transporte perimetral también se exporta al archivo de suscripción perimetral. Las credenciales que se escriben en el archivo de suscripción perimetral son específicas del servidor desde el que se exporta el archivo.
Cualquier objeto de configuración creado anteriormente en un servidor Transporte perimetral que ahora se va a replicar en AD LDS desde Active Directory se eliminará de AD LDS y los cmdlets Shell de administración de Exchange que se usaron para configurar dichos objetos quedarán deshabilitados. Sin embargo, todavía puede usar los cmdlets Get-* para ver esos objetos. La ejecución del cmdlet New-EdgeSubscription deshabilita los siguientes cmdlets en el servidor Transporte perimetral:
Set-SendConnector
New-SendConnector
Remove-SendConnector
New-AcceptedDomain
Set-AcceptedDomain
Remove-AcceptedDomain
New-RemoteDomain
Set-RemoteDomain
Remove-RemoteDomain
En este ejemplo se crea y se exporta el archivo de suscripción perimetral en el servidor Transporte perimetral.
New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"
Nota:
Al ejecutar el cmdlet New-EdgeSubscription en el servidor Transporte perimetral, se recibe un mensaje para confirmar los comandos que se deshabilitarán y la configuración que se sobrescribirá en el servidor Transporte perimetral. Para omitir esta confirmación, debe usar el parámetro Force . Este parámetro resulta útil en scripts con el cmdlet New-EdgeSubscription. También puede usar el parámetro Force para sobrescribir un archivo existente al volver a enviar un servidor de transporte perimetral.
Importar el archivo de suscripción perimetral a un servidor de buzones de correo
Al importar el archivo de suscripción perimetral al sitio de Active Directory al ejecutar el cmdlet New-EdgeSubscription en un servidor de buzones de correo, ocurrirá lo siguiente:
Se crea la suscripción perimetral y se une el servidor Transporte perimetral a la organización Exchange. EdgeSync propagará los datos de configuración a este servidor de transporte perimetral, creando un objeto de configuración perimetral en Active Directory.
Cada servidor de buzones de correo del sitio Active Directory recibe una notificación de Active Directory que informa que se ha suscrito un nuevo servidor Transporte perimetral. El servidor de buzones de correo recupera la ESBRA desde el archivo de suscripción perimetral. El servidor de buzones de correo cifra entonces la cuenta ESBRA mediante la clave pública del certificado autofirmado del servidor Transporte perimetral. A continuación, las credenciales cifradas se escriben en el objeto de configuración perimetral.
Cada servidor de buzones de correo cifra también la cuenta ESBRA mediante su propia clave pública y, a continuación, almacena las credenciales en su propio objeto de configuración.
Las cuentas de replicación de EdgeSync (ESRA) se crean en Active Directory para cada par de servidores Transport-Mailbox edge. Cada servidor de buzones de correo almacena sus credenciales de ESRA como un atributo del objeto de configuración del servidor de buzones de correo.
Se crean automáticamente conectores de envío para transmitir mensajes salientes desde el servidor de transporte perimetral a Internet y mensajes entrantes desde dicho servidor a la organización de Exchange. Para obtener más información, consulte la sección Conectores de envío creados automáticamente por la suscripción perimetral en este tema.
El servicio Microsoft Exchange EdgeSync que se ejecuta en servidores de buzones usa las credenciales de ESBRA para establecer una conexión LDAP segura entre un servidor de buzones y el servidor de transporte perimetral y realiza la replicación inicial de datos. Los siguientes datos se replican en AD LDS:
Datos de topología
Datos de configuración
Datos de destinatario
Credenciales de ESRA
El servicio de credenciales de Microsoft Exchange que se ejecuta en el servidor Transporte perimetral instala las credenciales de ESRA. Dichas credenciales se usan para autenticar y proteger posteriores conexiones de sincronización.
Se establece la programación de sincronización de EdgeSync.
El servicio Microsoft Exchange EdgeSync que se ejecuta en los servidores de buzones del sitio de Active Directory suscrito realiza la replicación unidireccional de datos de Active Directory a AD LDS según una programación regular. También puede usar el cmdlet Start-EdgeSynchronization para invalidar la programación de sincronización de EdgeSync e iniciar inmediatamente la sincronización.
En este ejemplo se suscribe un servidor Transporte perimetral al sitio especificado y se crea el conector de envío de Internet y el conector de envío desde el servidor Transporte perimetral a los servidores de buzones de correo.
New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\Data\EdgeSubscriptionInfo.xml')) -Site "Default-First-Site-Name"
Nota:
Los valores predeterminados de los parámetros CreateInternetSendConnector y CreateInboundSendConnector son $true, por lo que no es necesario usarlos en este comando.
Conectores de envío creados automáticamente por la suscripción perimetral
De forma predeterminada, al importar el archivo de suscripción perimetral a un servidor de buzones de correo, los conectores de envío necesarios para habilitar el flujo de correo de extremo a extremo entre Internet y la organización Exchange se crean automáticamente y se eliminan los conectores de envío existentes en el servidor Transporte perimetral.
La suscripción perimetral crea los siguientes conectores de envío:
Conector de envío denominado EdgeSync: nombre> de entrada al < sitio configurado para retransmitir mensajes desde el servidor de transporte perimetral a la organización de Exchange.
Un conector de envío denominado EdgeSync: <nombre> del sitio a Internet que está configurado para retransmitir mensajes de la organización de Exchange a Internet.
Además, al suscribir un servidor Transporte perimetral a la organización Exchange permite a los servidores de buzones de correo del sitio Active Directory suscrito usar el conector de envío implícito e invisible dentro de la organización para retransmitir mensajes al servidor Transporte perimetral.
Conector de envío entrante para recibir mensajes de Internet
Al ejecutar el cmdlet New-EdgeSubscription en el servidor de buzones, el parámetro CreateInboundSendConnector se establece en el valor $true. De esta forma se crea el conector de envío necesario para enviar mensajes desde el servidor Transporte perimetral a la organización Exchange. La siguiente tabla muestra la configuración de este conector de envío.
Configuración del conector de envío entrante automático
| Propiedad | Valor |
|---|---|
| Nombre | EdgeSync: nombre de entrada al <sitio> |
| AddressSpaces | SMTP:--;1 El -- valor del espacio de direcciones representa todos los dominios aceptados de retransmisión autoritativa e interna para la organización de Exchange. Cualquier mensaje que el servidor Transporte perimetral reciba de los dominios aceptados se enrutan a este conector de envío y se retransmiten a los hosts inteligentes. |
| SourceTransportServers | <Nombre de la suscripción de Edge> |
| Enabled | True |
| DNSRoutingEnabled | False |
| SmartHosts | -- El -- valor de la lista de hosts inteligentes representa todos los servidores de buzones del sitio de Active Directory suscrito. Los servidores de buzones de correo que agregue al sitio de Active Directory suscrito después de establecer la suscripción perimetral no participan en el proceso de sincronización de EdgeSync. Sin embargo, se agregan automáticamente a la lista de hosts inteligentes para el conector de envío entrante creado automáticamente. Si hay más de un servidor de buzones de correo ubicado en el sitio de Active Directory suscrito, las conexiones entrantes se cargarán equilibradas entre los hosts inteligentes. |
No se puede modificar el espacio de direcciones ni la lista de hosts inteligentes durante su creación para el conector de envío entrante creado automáticamente. Sin embargo, puede establecer el parámetro CreateInboundSendConnector en el valor $false al crear una suscripción perimetral. Esto permite configurar de forma manual un conector de envío desde el servidor Transporte perimetral a la organización de Exchange.
Conector de envío saliente para enviar mensajes a Internet
Al ejecutar el cmdlet New-EdgeSubscription en el servidor de buzones de correo, el parámetro CreateInternetSendConnector se establece en el valor $true. De esta manera se crea el conector de envío necesario para enviar mensajes desde la organización Exchange a Internet. La siguiente tabla muestra la configuración predeterminada de este conector de envío.
Configuración del conector de envío automático a Internet
| Propiedad | Valor |
|---|---|
| Nombre | EdgeSync: < nombre >del sitio a Internet |
| AddressSpaces | SMTP:*;100 |
| SourceTransportServers | <Nombre de la suscripción de Edge> El nombre de la suscripción perimetral es el mismo que el del servidor de transporte perimetral con suscripción. |
| Enabled | True |
| DNSRoutingEnabled | True |
| DomainSecureEnabled | True |
Si se suscribe más de un servidor Transporte perimetral para el mismo sitio de Active Directory, no se crean conectores de envío adicionales para Internet. En su lugar, todas las suscripciones perimetrales se agregan al mismo conector de envío como servidor de origen. Esto equilibra la carga de las conexiones salientes a Internet en los servidores de transporte perimetral con suscripción.
El conector de envío saliente se configura para enviar mensajes de correo electrónico desde la organización de Exchange a todos los dominios remotos de SMTP, mediante enrutamiento de DNS para resolver nombres de dominio en registros de recursos MX.
Detalles sobre el servicio EdgeSync
Después de suscribir un servidor de transporte perimetral a un sitio de Active Directory, EdgeSync replicará los datos de configuración y destinatarios en los servidores de transporte perimetral. El servicio replica los siguientes datos desde Active Directory en AD LDS:
Configuración de conector de envío
Dominios aceptados
Dominios remotos
Listas de remitentes seguros
Listas de remitentes bloqueados
Destinatarios
Lista de dominios de envío y de recepción usada en las comunicaciones seguras de dominios con asociados
Lista de servidores SMTP que aparecen como internos en la configuración de transporte de su organización
Lista de servidores de buzones de correo en el sitio de Active Directory suscrito
EdgeSync usa un canal LDAP seguro mutuamente autenticado y autorizado para transferir datos desde el servidor de buzones al servidor de transporte perimetral.
Para replicar datos en AD LDS, el servidor de buzones de correo se enlaza con un servidor de catálogo global para recuperar datos actualizados. EdgeSync inicia una sesión LDAP segura entre un servidor de buzones y el servidor de transporte perimetral suscrito a través del puerto TCP no estándar 50636.
Cuando se suscribe por primera vez un servidor Transporte perimetral en un sitio de Active Directory, la replicación inicial que completa AD LDS con los datos de Active Directory puede tardar 5 minutos o más, según la cantidad de datos del servicio de directorio. Después de la replicación inicial, EdgeSync solo sincroniza objetos nuevos y modificados, y quita los objetos eliminados.
Programación de sincronización
Los distintos tipos de datos se sincronizan en distintas programaciones. La programación de sincronización de EdgeSync especifica el intervalo máximo entre las sincronizaciones de EdgeSync. La sincronización de EdgeSync se produce a los intervalos siguientes:
Datos de configuración: 3 minutos.
Datos de destinatario: 5 minutos.
Datos de topología: 5 minutos
Si quiere cambiar estos intervalos, use el cmdlet Set-EdgeSyncServiceConfig. El uso del cmdlet Start-EdgeSynchronization en el servidor de buzones para forzar la sincronización de la suscripción perimetral invalida el temporizador para la siguiente sincronización programada de EdgeSync e inicia EdgeSync inmediatamente.
Selección de servidores de buzones de correo
Cada servidor Transporte perimetral suscrito se asocia con un sitio Active Directory particular. Si existe más de un servidor de buzones de correo en el sitio, todos ellos pueden replicar datos a los servidores de transporte perimetral con suscripción. Para evitar la contención entre servidores de buzones de correo al sincronizar, el servidor de buzones de correo preferido se selecciona de la siguiente forma:
El primer servidor de buzones de correo del sitio de Active Directory en realizar una exploración topológica y detectar la nueva suscripción perimetral realiza la réplica inicial. Como esta detección se basa en el momento de la exploración topológica, cualquier servidor de buzones de correo del sitio puede realizar la réplica inicial.
El servidor de buzones de correo que realiza la replicación inicial establece una opción de concesión de EdgeSync y establece un bloqueo en la suscripción perimetral. La opción de concesión establece al servidor de buzones de correo como servidor preferido para proporcionar servicios de sincronización a dicho servidor Transporte perimetral. El bloqueo impide que EdgeSync que se ejecuta en otro servidor de buzones tome la opción de concesión.
La opción de concesión EdgeSync dura una hora. Durante esa hora, ningún otro servicio EdgeSync puede asumir la opción a menos que se inicie una sincronización manual antes del final de la hora. Si el servidor de buzones preferido no está disponible para proporcionar el servicio EdgeSync en el momento en que se inicia la sincronización manual, después de una espera de cinco minutos, se libera el bloqueo y otro servicio EdgeSync puede asumir la opción de concesión y realizar la sincronización.
A menos que se inicie la sincronización manual, la sincronización se produce en función de la programación de sincronización de EdgeSync. Si el servidor preferido no está disponible cuando se produce una sincronización programada, después de una espera de cinco minutos, se libera el bloqueo y otro servicio EdgeSync puede asumir la opción de concesión y realizar la sincronización.
Este método de bloqueo y arrendamiento impide que más de una instancia de EdgeSync inserte datos en el mismo servidor de transporte perimetral al mismo tiempo.
Notas:
En las organizaciones de Exchange 2016, si también tiene servidores de transporte del centro de Exchange 2010 en el sitio de Active Directory suscrito, los servidores de buzones de Exchange 2016 siempre tendrán prioridad y realizarán la replicación.
Al suscribir un servidor de transporte perimetral a un sitio de Active Directory, todos los servidores de buzones instalados en ese sitio de Active Directory en ese momento pueden participar en el proceso de sincronización de EdgeSync. Si se quita uno de esos servidores, el servicio EdgeSync que se ejecuta en los servidores de buzones restantes continuará el proceso de sincronización de datos. Sin embargo, si más adelante instala nuevos servidores de buzones en el sitio de Active Directory, no participarán automáticamente en la sincronización de EdgeSync. Además, no se agregarán automáticamente al grupo de entrega interno del servidor perimetral. Si desea permitir que esos nuevos servidores de buzones participen en la sincronización de EdgeSync y en el flujo de correo de Edge to Mailbox automático, tendrá que suscribirse de nuevo al servidor de transporte perimetral.
En la tabla siguiente se enumeran las propiedades de EdgeSync relacionadas con el bloqueo y el arrendamiento. Se puede usar el cmdlet Set-EdgeSyncServiceConfig para configurar estas propiedades.
Propiedades de concesión de EdgeSync
| Parámetro | Valor predeterminado | Descripción |
|---|---|---|
| LockDuration | 00:05:00 (5 minutos) |
Esta configuración determina cuánto tiempo adquirirá un bloqueo un servicio EdgeSync determinado. Si el servicio EdgeSync del servidor de buzón de correo que contiene este bloqueo no responde, después de cinco minutos el servicio EdgeSync de otro servidor de buzones se hará cargo de la concesión. Forzar la sincronización inmediata de EdgeSync no invalida esta configuración. |
| OptionDuration | 01:00:00 (1 hora) |
Esta configuración determina cuánto tiempo un servicio EdgeSync puede declarar una opción de concesión en un servidor de transporte perimetral. Si el servicio EdgeSync que contiene la concesión no está disponible y no se reinicia durante este período de opción, ningún otro servicio Exchange EdgeSync asumirá la opción de concesión a menos que fuerce la sincronización de EdgeSync. |
| LockRenewalDuration | 00:01:00 (1 minuto) |
Esta configuración determina la frecuencia con la que se actualiza el campo de bloqueo cuando un servicio EdgeSync ha adquirido un bloqueo a un servidor de transporte perimetral. |