Abonnements Edge

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez l’abonnement d’un serveur de transport Edge à votre organisation Exchange Server 2016 interne, afin de bénéficier d’un flux de messagerie de bout en bout, de la recherche de destinataires et de l’agrégation de listes fiables.

Les abonnements Edge permettent de renseigner l’instance Services AD LDS (Active Directory Lightweight Directory Services) (AD LDS) présente sur le serveur de transport Edge avec des données Active Directory. Bien que la création d’un abonnement Edge soit facultative, l’abonnement d’un serveur de transport Edge à l’organisation Exchange offre une expérience de gestion plus simple et améliore les fonctionnalités de blocage du courrier indésirable. Vous devez créer un abonnement Edge si vous prévoyez d’utiliser les fonctions de recherche de destinataire ou d’agrégation de listes fiables, ou si vous envisagez de renforcer la sécurité des communications SMTP avec des domaines partenaires via l’utilisation du protocole MTLS (Mutual Transport Layer Security).

Contenu de cette rubrique

Un serveur de transport Edge ne dispose pas d’un accès direct à Active Directory. Toutes les informations de configuration et de destinataire que le serveur de transport Edge utilise pour traiter les messages sont stockées dans AD LDS. La création d’un abonnement Edge établit une réplication automatique et sécurisée des informations d’Active Directory vers AD LDS. Le processus d’abonnement Edge fournit les informations d’identification utilisées pour établir une connexion LDAP sécurisée entre les serveurs de boîtes aux lettres Exchange 2016 et un serveur de transport Edge abonné. Le Service Microsoft Exchange EdgeSync (EdgeSync) qui s’exécute sur des serveurs de boîtes aux lettres effectue régulièrement une synchronisation unidirectionnelle pour transférer des données à jour vers AD LDS. Ceci réduit les tâches d’administration que vous effectuez dans le réseau de périmètre en vous permettant de configurer le serveur de boîtes aux lettres, puis de synchroniser ces informations sur le serveur de transport Edge.

Vous abonnez un serveur de transport Edge au site Active Directory contenant les serveurs de boîtes aux lettres chargés de transférer des messages vers et à partir de vos serveurs de transport Edge. Le processus d’abonnement Edge crée une affiliation d’appartenance au site Active Directory pour le serveur de transport Edge. L’affiliation au site permet aux serveurs de boîtes aux lettres dans l’organisation Exchange de relayer les messages vers le serveur de transport Edge pour les remettre sur Internet sans qu’il soit nécessaire de configurer des connecteurs d’envoi explicites.

Un ou plusieurs serveurs de transport Edge peuvent être abonnés à un site Active Directory. Toutefois, un serveur de transport Edge ne peut pas être abonné à plusieurs sites Active Directory. Si plusieurs serveurs de transport Edge sont déployés, chaque serveur peut être abonné à un site Active Directory différent. Chaque serveur de transport Edge requiert un abonnement Edge individuel.

Pour déployer un serveur de transport Edge et l’abonner à un site Active Directory, procédez comme suit :

  1. Installez le rôle serveur de transport Edge.

  2. Préparez l’abonnement Edge :

    • Attribuez une licence au serveur de transport Edge.

    • Ouvrez des ports dans le pare-feu pour le flux de messagerie et la synchronisation EdgeSync.

    • Vérifiez que les serveurs de boîtes aux lettres et le serveur de transport Edge parviennent à se localiser via la résolution de nom DNS.

    • Sur le serveur de boîte aux lettres, configurez les paramètres de transport devant être répliqués sur le serveur de transport Edge.

  3. Sur le serveur de Transport Edge, créez et exportez le fichier d’abonnement Edge en exécutant la cmdlet New-EdgeSubscription.

  4. Copiez le fichier d’abonnement Edge sur un serveur de boîtes aux lettres ou un partage de fichiers accessible à partir du site Active Directory sur lequel se trouvent vos serveurs de boîtes aux lettres.

  5. Importez le fichier d’abonnement Edge sur le site Active Directory en exécutant la cmdlet New-EdgeSubscription sur le serveur de boîtes aux lettres.

Retour au début

Pour pouvoir abonner votre serveur de transport Edge à votre organisation Exchange, vous devez vous assurer que votre infrastructure et que vos serveurs de boîtes aux lettres sont préparés à la synchronisation EdgeSync. Pour vous préparer à EdgeSync, procédez comme suit :

  • Attribuez une licence au serveur de transport Edge   Les informations de licence du serveur de transport Edge sont capturées lors de la création de l’abonnement Edge. L’abonnement des serveurs de transport Edge à l’organisation Exchange doit se faire après l’application de la clé de licence sur le serveur de transport Edge. Si la clé de licence est appliquée au serveur de transport Edge après l’exécution du processus d’abonnement Edge, les informations de licence ne seront pas mises à jour dans l’organisation Exchange et vous devrez réabonner le serveur de transport Edge.

  • Vérifiez que les ports requis sont ouverts dans le pare-feu    Les ports suivants sont utilisés par les serveurs de transport Edge :

    • SMTP    Le port 25/TCP doit être ouvert pour le flux de messagerie entrant et sortant entre Internet et le serveur de transport Edge, et entre le serveur de transport Edge et l’organisation Exchange interne.

    • LDAP sécurisé    Le port non standard 50636/TCP est utilisé pour la synchronisation d’annuaires à partir de serveurs de boîtes aux lettres vers AD LDS sur le serveur de transport Edge. Ce port est requis pour la synchronisation EdgeSync.

      noteRemarque :
      Le port 50389/TCP est utilisé localement pour établir la liaison avec l’instance AD LDS. Ce port ne doit pas être ouvert sur le pare-feu. Il est utilisé localement sur le serveur de transport Edge.

    Si votre environnement nécessite des ports spécifiques, vous pouvez modifier les ports utilisés par AD LDS à l’aide du script ConfigureAdam.ps1 fourni avec Exchange. Modifiez les ports avant de créer l’abonnement Edge. Si vous modifiez les ports après avoir créé l’abonnement Edge, vous devez supprimer l’abonnement Edge puis en créer un autre.

  • Vérifiez que la résolution de nom d’hôte DNS du serveur de transport Edge vers les serveurs de boîtes aux lettres et des serveurs de boîtes aux lettres vers le serveur de transport Edge a réussi.

  • Configurer les paramètres de transport suivants pour la propagation vers le serveur de transport Edge

    • Serveurs SMTP internes   Utilisez le paramètre InternalSMTPServers sur la cmdlet Set-TransportConfig pour indiquer la liste des plages d’adresses IP ou d’adresses IP de serveur SMTP interne que l’agent d’ID de l’expéditeur et l’agent de filtrage des connexions doivent ignorer sur le serveur de transport Edge.

    • Domaines acceptés   Configurez l’ensemble des domaines faisant autorité, des domaines de relais interne et des domaines de relais externes.

    • Domaines distants   Configurez les paramètres de l’objet de domaine distant par défaut (utilisé pour les destinataires dans tous les domaines distants) et configurez les objets de domaine distant selon les besoins pour les destinataires dans des domaines distants spécifiques.

Retour au début

Lorsque vous créez un fichier d’abonnement Edge (en exécutant la cmdlet New-EdgeSubscription sur le serveur de transport Edge), les actions suivantes se produisent :

  • Un compte AD LDS compte appelé le compte de réplication d’amorçage EdgeSync (ESBRA) est créé. Les informations d’identification du compte ESBRA permettent d’authentifier la première connexion EdgeSync au serveur de transport Edge. Ce compte est configuré pour expirer 24 heures après sa création. Par conséquent, vous devez terminer le processus d’abonnement en cinq étapes décrit dans la section précédente dans les 24 heures. Si l’expiration du compte ESBRA intervient avant la fin du processus d’abonnement Edge, vous devrez à nouveau exécuter la cmdlet New-EdgeSubscription pour créer un fichier d’abonnement Edge.

  • Les informations d’identification du compte ESBRA sont récupérées depuis AD LDS et écrites dans le fichier d’abonnement Edge. La clé publique du certificat auto-signé du serveur de transport Edge est également exportée vers le fichier d’abonnement Edge. Les informations d’identification écrites dans le fichier d’abonnement Edge sont propres au serveur qui a exporté le fichier.

  • Tout objet de configuration précédemment créé sur le serveur de transport Edge qui est sur le point d’être répliqué dans AD LDS à partir d’Active Directory est supprimé d’AD LDS, et les cmdlets de l’environnement Environnement de ligne de commande Exchange Management Shell utilisées pour configurer ces objets sont désactivées. Toutefois, vous pouvez toujours utiliser les cmdlets Get-* pour afficher ces objets. L’exécution de la cmdlet New-EdgeSubscription désactive les cmdlets suivantes sur le serveur de transport Edge :

    • Set-SendConnector

    • New-SendConnector

    • Remove-SendConnector

    • New-AcceptedDomain

    • Set-AcceptedDomain

    • Remove-AcceptedDomain

    • New-RemoteDomain

    • Set-RemoteDomain

    • Remove-RemoteDomain

Cet exemple crée et exporte le fichier d’abonnement Edge sur le serveur de transport Edge.

New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"
noteRemarque :
Lorsque vous exécutez la cmdlet New-EdgeSubscription sur le serveur de transport Edge, vous êtes invité à confirmer les commandes qui seront désactivées et la configuration qui sera remplacée sur le serveur de transport Edge. Pour contourner cette confirmation, vous devez utiliser le paramètre Force. Ce paramètre est utile lorsque vous scriptez la cmdlet New-EdgeSubscription. Vous pouvez également utiliser le paramètre Force pour écraser un fichier existant lorsque vous réabonnez un serveur de transport Edge.

Retour au début

Lorsque vous importez le fichier d’abonnement Edge sur le site Active Directory en exécutant la cmdlet New-EdgeSubscription sur un serveur de boîtes aux lettres, les actions suivantes se produisent :

  • L’abonnement Edge est créé et relie le serveur de transport Edge à l’organisation Exchange. EdgeSync propage les données de configuration sur ce serveur de Transport Edge et crée ainsi un objet de configuration Edge dans Active Directory.

  • Chaque serveur de boîtes aux lettres du site Active Directory reçoit une notification d’Active Directory signalant l’abonnement d’un nouveau serveur de transport Edge. Le serveur de boîtes aux lettres récupère le compte ESBRA à partir du fichier d’abonnement Edge. Le serveur de boîtes aux lettres chiffre ensuite le compte ESBRA en utilisant la clé publique du certificat auto-signé du serveur de transport Edge. Les informations d’identification chiffrées sont ensuite écrites sur l’objet de configuration Edge.

  • Chaque serveur de boîtes aux lettres chiffre également le compte ESBRA en utilisant sa propre clé publique, puis stocke les informations d’identification dans son propre objet de configuration.

  • Les comptes de réplication EdgeSync (ESRA) sont créés dans Active Directory pour chaque paire de serveurs de transport Edge et de boîtes aux lettres. Chaque serveur de boîtes aux lettres stocke ses informations d’identification de compte ESRA en tant qu’attributs de l’objet de configuration du serveur de boîtes aux lettres.

  • Les connecteurs d’envoi sont automatiquement créés pour relayer les messages à l’extérieur, du serveur de transport Edge vers Internet et à l’intérieur, du serveur de transport Edge vers l’organisation Exchange. Pour plus d’informations, consultez la section Connecteurs d’envoi créés automatiquement par l’abonnement Edge dans cette rubrique.

  • Le Service Microsoft Exchange EdgeSync exécuté sur les serveurs de boîtes aux lettres utilise les informations d’identification du compte ESBRA pour établir une connexion LDAP sécurisée entre un serveur de boîtes aux lettres et le serveur de transport Edge, puis procède à la réplication initiale des données. Les données suivantes sont répliquées dans AD LDS :

    • données de topologie ;

    • données de configuration ;

    • données des destinataires ;

    • informations d’identification du compte ESRA.

  • Le service d’informations d’identification de Microsoft Exchange exécuté sur le serveur de transport Edge installe les informations d’identification du compte ESRA. Ces informations d’identification permettent d’authentifier et de sécuriser les connexions de synchronisation ultérieures.

  • La planification de la synchronisation EdgeSync est établie.

  • Le Service Microsoft Exchange EdgeSync exécuté sur les serveurs de boîtes aux lettres sur le site Active Directory abonné effectue ensuite une réplication unidirectionnelle des données de Active Directory vers AD LDS à intervalles réguliers. Vous pouvez également utiliser la cmdlet Start-EdgeSynchronization pour ignorer la planification de la synchronisation EdgeSync et démarrer immédiatement la synchronisation.

Cet exemple abonne un serveur de transport Edge au site spécifié et crée automatiquement le connecteur d’envoi Internet et le connecteur d’envoi du serveur de transport Edge aux serveurs de boîtes aux lettres créés.

New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\Data\EdgeSubscriptionInfo.xml" -Encoding Byte -ReadCount 0)) -Site "Default-First-Site-Name" 
noteRemarque :
Les valeurs par défaut des paramètres CreateInternetSendConnector et CreateInboundSendConnector sont toutes deux $true, de sorte que vous n’avez pas besoin de les utiliser dans cette commande.

Retour au début

Par défaut, lorsque vous importez le fichier d’abonnement Edge recommandé sur un serveur de boîtes aux lettres, les connecteurs d’envoi requis pour activer un flux de messagerie de bout en bout entre Internet et l’organisation Exchange sont créés automatiquement et les connecteurs d’envoi présents sur le serveur de transport Edge sont supprimés.

L’abonnement Edge crée les connecteurs d’envoi suivants :

  • Un connecteur d’envoi nommé EdgeSync - Entrant sur <Nom du site> et configuré pour relayer les messages du serveur de transport Edge vers l’organisation Exchange.

  • Un connecteur d’envoi nommé EdgeSync - <Nom du site> vers Internet, configuré pour relayer les messages de l’organisation Exchange vers Internet.

En outre, l’abonnement d’un serveur de transport Edge à l’organisation Exchange permet aux serveurs de boîtes aux lettres du site Active Directory abonné d’utiliser le connecteur d’envoi intra-organisationnel invisible et implicite pour relayer les messages vers le serveur de transport Edge.

Retour au début

Lorsque vous exécutez la cmdlet New-EdgeSubscription sur le serveur de boîtes aux lettres, le paramètre CreateInboundSendConnector est défini sur la valeur $true. Permet de créer le connecteur d’envoi nécessaire pour envoyer des messages du serveur de transport Edge à l’organisation Exchange. Le tableau suivant explique la configuration de ce connecteur d’envoi.

Configuration du connecteur d’envoi entrant automatique

Propriété Valeur

Name

EdgeSync - Entrant vers <Nom de site

AddressSpaces

SMTP:--;1

La valeur -- dans l’espace d’adressage représente tous les domaines acceptés de relais interne et faisant autorité pour l’organisation Exchange. Chaque message reçu par le serveur de transport Edge pour ces domaines acceptés sont routés vers ce connecteur d’envoi et relayés vers les hôtes actifs.

SourceTransportServers

<Nom d’abonnement Edge>

Enabled

True

DNSRoutingEnabled

False

SmartHosts

--

La valeur -- dans la liste des hôtes actifs représente tous les serveurs de boîtes aux lettres dans le site Active Directory abonné. Les serveurs de boîtes aux lettres ajoutés au site Active Directory abonné après l’établissement de l’abonnement Edge ne sont pas inclus dans le processus de synchronisation EdgeSync. Toutefois, ils sont automatiquement ajoutés à la liste des hôtes actifs pour le connecteur d’envoi entrant créé automatiquement. Si plusieurs serveurs de boîte aux lettres se trouvent dans le site Active Directory abonné, la charge liée aux connexions entrantes est équilibrée entre les hôtes actifs.

Vous ne pouvez pas modifier l’espace d’adressage ou la liste des hôtes actifs au moment de la création automatique du connecteur d’envoi entrant. Cependant, vous pouvez définir le paramètre CreateInboundSendConnector sur la valeur $false lors de la création d’un abonnement Edge. Ainsi, vous pouvez configurer manuellement un connecteur d’envoi à partir du serveur de transport Edge vers l’organisation Exchange.

Retour au début

Lorsque vous exécutez la cmdlet New-EdgeSubscription sur le serveur de boîtes aux lettres, le paramètre CreateInternetSendConnector est défini sur la valeur $true. Permet de créer le connecteur d’envoi nécessaire pour envoyer des messages de l’organisation Exchange à Internet. Le tableau suivant montre la configuration par défaut de ce connecteur d’envoi.

Configuration automatique du connecteur d’envoi vers Internet

Propriété Valeur

Name

EdgeSync - <Nom de site> vers Internet

AddressSpaces

SMTP:*;100

SourceTransportServers

<Nom d’abonnement Edge>

noteRemarque :
Le nom de l’abonnement Edge est le même que le nom du serveur de transport Edge abonné.

Enabled

True

DNSRoutingEnabled

True

DomainSecureEnabled

True

Si plusieurs serveurs de transport Edge sont abonnés au même site Active Directory, aucun connecteur d’envoi vers Internet supplémentaire n’est créé. En revanche, tous les abonnements Edge sont ajoutés au même connecteur d’envoi que le serveur source. Cette charge de connexions sortantes vers Internet est équilibrée entre les serveurs de transport Edge abonnés.

Le connecteur d’envoi sortant est configuré pour envoyer des messages électroniques à partir de l’organisation Exchange vers tous les domaines SMTP distants, à l’aide du routage DNS pour résoudre les noms de domaine en enregistrements de ressource MX.

Retour au début

Après avoir abonné un serveur de transport Edge à un site Active Directory, EdgeSync réplique la configuration et les données des destinataires vers les serveurs de transport Edge. Le service réplique les données suivantes d’Active Directory vers AD LDS :

  • Configuration du connecteur d’envoi

  • Domaines acceptés

  • Domaines distants

  • Listes des expéditeurs approuvés

  • Listes des expéditeurs bloqués

  • Destinataires

  • Liste ses domaines d’envoi et de réception servant les communications de domaines sécurisés avec les partenaires

  • Liste des serveurs SMTP indiqués comme internes à la configuration de transport de votre organisation

  • Liste de serveurs de boîtes aux lettres sur le site Active Directory abonné

EdgeSync utilise un canal LDAP sécurisé mutuellement authentifié et autorisé pour transférer des données à partir du serveur de boîtes aux lettres vers le serveur de transport Edge.

Pour répliquer des données vers AD LDS, le serveur de boîtes aux lettres établit la liaison avec un serveur de catalogue global pour récupérer des données actualisées. EdgeSync démarre une session LDAP sécurisée entre un serveur de boîtes aux lettres et le serveur de transport Edge sur le port TCP non standard 50636.

Lorsque vous abonnez pour la première fois un serveur de transport Edge à un site Active Directory, la réplication initiale qui renseigne AD LDS avec les données d’Active Directory peut prendre plus de cinq minutes, en fonction de la quantité de données dans le service d’annuaire. Après la réplication initiale, EdgeSync synchronise uniquement les objets nouveaux et modifiés, et enlève tous les objets supprimés.

Retour au début

Différents types de données sont synchronisés lors de différentes planifications. Le plan de synchronisation EdgeSync indique l’intervalle maximal entre les synchronisations EdgeSync. La synchronisation EdgeSync se produit aux intervalles suivants :

  • Données de configuration ; 3 minutes.

  • Données des destinataires ; 5 minutes.

  • Données de topologie : 5 minutes.

Pour modifier ces intervalles, utilisez la cmdlet Set-EdgeSyncServiceConfig. L’utilisation de la cmdlet Start-EdgeSynchronization sur le serveur de boîtes aux lettres pour forcer la synchronisation d’abonnement Edge remplace le minuteur pour la prochaine synchronisation EdgeSync planifiée et démarre immédiatement EdgeSync.

Chaque serveur de transport Edge abonné doit être associé à un site Active Directory particulier. Si plusieurs serveurs de boîtes aux lettres existent dans le site, tous peuvent répliquer des données sur les serveurs de transport Edge abonnés. Pour éviter toute contention entre les serveurs de boîtes aux lettres lors de la synchronisation, le serveur de boîtes aux lettres privilégié est choisi selon les critères suivants :

  1. Le premier serveur de boîtes aux lettres dans Active Directory qui effectue une analyse de la topologie et découvre le nouvel abonnement Edge effectue la réplication initiale. Comme cette découverte est basée sur la durée de l’analyse de la topologie, n’importe quel serveur de boîtes aux lettres du site peut effectuer la réplication initiale.

  2. Le serveur de boîtes aux lettres qui effectue la réplication initiale établit une option de bail EdgeSync et définit un verrou pour l’abonnement Edge. L’option de bail établit ce serveur de boîtes aux lettres spécifique comme serveur privilégié pour la fourniture des services de synchronisation à ce serveur de transport Edge. Le verrou empêche qu’une instance du service EdgeSync exécutée sur un autre serveur de boîtes aux lettres reprenne l’option de bail.

  3. L’option de bail EdgeSync est activée pendant une heure. Au cours de cette heure, aucun autre service EdgeSync ne peut reprendre l’option, à moins qu’une synchronisation manuelle ne soit démarrée avant la fin de l’heure. Si le serveur de boîtes aux lettres privilégié n’est pas disponible pour fournir un service EdgeSync au démarrage de la synchronisation manuelle, après une période d’attente de cinq minutes, le verrou est libéré et un autre service EdgeSync peut reprendre l’option de bail et effectuer la synchronisation.

  4. À moins qu’une synchronisation manuelle ne soit effectuée, la synchronisation intervient sur la base de la planification de synchronisation EdgeSync. Si le serveur privilégié n’est pas disponible lors de la synchronisation planifiée, après une période d’attente de cinq minutes, le verrou est libéré et un autre service EdgeSync peut reprend l’option de bail et exécuter la synchronisation.

Cette méthode de verrouillage et de bail empêche que plusieurs instances du service EdgeSync envoient simultanément des données au même serveur de transport Edge.

noteRemarque :
Si des serveurs de transport Hub Exchange 2010 sont également présents dans le site Active Directory abonné, les serveurs de boîtes aux lettres Exchange 2016 seront toujours prioritaires et effectueront la réplication.
noteRemarque :
Lorsque vous abonnez un serveur de transport Edge à un site Active Directory, tous les serveurs de boîtes aux lettres installés dans ce site Active Directory à ce moment-là peuvent être inclus dans le processus de synchronisation EdgeSync. Si l’un de ces serveurs est supprimé, le service EdgeSync qui s’exécute sur les serveurs de boîtes aux lettres restants poursuit le processus de synchronisation des données. Toutefois, si vous installez ultérieurement de nouveaux serveurs de boîtes aux lettres dans le site Active Directory, ils ne seront pas automatiquement inclus dans la synchronisation EdgeSync. Pour activer l’inclusion de ces nouveaux serveurs de boîtes aux lettres dans la synchronisation EdgeSync, vous devez vous réabonner au serveur de transport Edge.

Le tableau suivant répertorie les propriétés EdgeSync liées au verrouillage et au bail. La cmdlet Set-EdgeSyncServiceConfig permet de configurer ces propriétés.

Propriétés de bail EdgeSync

Paramètre Valeur par défaut Description

LockDuration

00:05:00 (5 minutes)

Ce paramètre détermine la durée pendant laquelle un service EdgeSync particulier acquiert un verrou. Si le service EdgeSync sur le serveur de boîtes aux lettres détenteur du verrou ne répond pas, au bout de cinq minutes, le service EdgeSync sur un autre serveur de boîtes aux lettres reprendra le bail. Le fait de forcer une synchronisation EdgeSync immédiate ne modifie pas cette valeur.

OptionDuration

01:00:00 (1 heure)

Ce paramètre détermine la durée pendant laquelle un service EdgeSync peut déclarer une option de bail sur un serveur de transport Edge. Si le service EdgeSync qui détient le bail est indisponible et ne redémarre pas pendant cette période d’option, aucun autre service Exchange EdgeSync ne reprendra l’option de bail, sauf si vous forcez la synchronisation EdgeSync.

LockRenewalDuration

00:01:00 (1 minute)

Ce paramètre détermine la fréquence à laquelle le champ de verrou est mis à jour quand un service EdgeSync a acquis un verrou sur un serveur de transport Edge.

Retour au début

 
Afficher: