Abonnements Edge dans Exchange Server

Les abonnements Edge permettent de renseigner l’instance des services AD LDS (Active Directory Lightweight Directory Services) présente sur le serveur de transport Edge avec des données Active Directory. Bien que la création d'un abonnement Edge soit facultative, l'abonnement d'un serveur de transport Edge à l'organisation Exchange offre une expérience de gestion plus simple et améliore les fonctionnalités de blocage du courrier indésirable. Vous devez créer un abonnement Edge si vous prévoyez d'utiliser les fonctions de recherche de destinataire ou d'agrégation de listes fiables, ou si vous envisagez de renforcer la sécurité des communications SMTP avec des domaines partenaires via l'utilisation du protocole MTLS (Mutual Transport Layer Security).

Remarque

L’abonnement Edge est obligatoire si le transport Edge doit gérer le flux de messagerie hybride. Les en-têtes d’organisation sont promus uniquement entre les serveurs de transport Edge et de boîte aux lettres par le biais de l’authentification par approbation directe (également appelé TLS mutuel) et un abonnement Edge est requis pour obtenir cette méthode d’authentification.

Processus d’abonnement Edge

Un serveur de transport Edge ne dispose pas d'un accès direct à Active Directory. Toutes les informations de configuration et de destinataire que le serveur de transport Edge utilise pour traiter les messages sont stockées dans AD LDS. La création d'un abonnement Edge établit une réplication automatique et sécurisée des informations d'Active Directory vers AD LDS. Le processus d’abonnement Edge provisionne les informations d’identification utilisées pour établir une connexion LDAP sécurisée entre les serveurs de boîtes aux lettres Exchange internes et un serveur de transport Edge abonné. Le service Microsoft Exchange EdgeSync (EdgeSync) qui s’exécute sur les serveurs de boîtes aux lettres effectue une synchronisation périodique unidirectionnelle pour transférer des données à jour vers AD LDS. Ceci réduit les tâches d'administration que vous effectuez dans le réseau de périmètre en vous permettant de configurer le serveur de boîtes aux lettres, puis de synchroniser ces informations sur le serveur de transport Edge.

Vous abonnez un serveur de transport Edge au site Active Directory contenant les serveurs de boîtes aux lettres chargés de transférer des messages vers et à partir de vos serveurs de transport Edge. Le processus d'abonnement Edge crée une affiliation d'appartenance au site Active Directory pour le serveur de transport Edge. L'affiliation au site permet aux serveurs de boîtes aux lettres dans l'organisation Exchange de relayer les messages vers le serveur de transport Edge pour les remettre sur Internet sans qu'il soit nécessaire de configurer des connecteurs d'envoi explicites.

Un ou plusieurs serveurs de transport Edge peuvent être abonnés à un site Active Directory. Toutefois, un serveur de transport Edge ne peut pas être abonné à plusieurs sites Active Directory. Si plusieurs serveurs de transport Edge sont déployés, chaque serveur peut être abonné à un site Active Directory différent. Chaque serveur de transport Edge requiert un abonnement Edge individuel.

Pour déployer un serveur de transport Edge et l'abonner à un site Active Directory, procédez comme suit :

  1. Installez le rôle serveur de transport Edge.

  2. Préparez l’abonnement Edge :

    • Attribuez une licence au serveur de transport Edge.

    • Ouvrez des ports dans le pare-feu pour le flux de messagerie et la synchronisation EdgeSync.

    • Vérifiez que les serveurs de boîtes aux lettres et le serveur de transport Edge parviennent à se localiser via la résolution de nom DNS.

    • Sur le serveur de boîte aux lettres, configurez les paramètres de transport devant être répliqués sur le serveur de transport Edge.

  3. Sur le serveur de Transport Edge, créez et exportez le fichier d'abonnement Edge en exécutant la cmdlet New-EdgeSubscription.

  4. Copiez le fichier d'abonnement Edge sur un serveur de boîtes aux lettres ou un partage de fichiers accessible à partir du site Active Directory sur lequel se trouvent vos serveurs de boîtes aux lettres.

  5. Importez le fichier d'abonnement Edge sur le site Active Directory en exécutant la cmdlet New-EdgeSubscription sur le serveur de boîtes aux lettres.

Préparer l’abonnement Edge

Avant de pouvoir abonner votre serveur de transport Edge à votre organization Exchange, vous devez vous assurer que votre infrastructure et vos serveurs de boîtes aux lettres sont préparés pour la synchronisation EdgeSync. Pour préparer EdgeSync, vous devez :

  • Licence du serveur de transport Edge : les informations de licence pour le serveur de transport Edge sont capturées lors de la création de l’abonnement Edge. L'abonnement des serveurs de transport Edge à l'organisation Exchange doit se faire après l'application de la clé de licence sur le serveur de transport Edge. Si la clé de licence est appliquée au serveur de transport Edge après l'exécution du processus d'abonnement Edge, les informations de licence ne seront pas mises à jour dans l'organisation Exchange et vous devrez réabonner le serveur de transport Edge.

  • Vérifiez que les ports requis sont ouverts dans le pare-feu : les ports suivants sont utilisés par les serveurs de transport Edge abonnés :

    • SMTP : le port 25/TCP doit être ouvert pour le flux de courrier entrant et sortant entre Internet et le serveur de transport Edge, et entre le serveur de transport Edge et le organization Exchange interne.

    • LDAP sécurisé : le port non standard 50636/TCP est utilisé pour la synchronisation d’annuaires entre les serveurs de boîtes aux lettres et AD LDS sur le serveur de transport Edge. Ce port est requis pour une synchronisation EdgeSync réussie.

    Remarque

    Le port 50389/TCP est utilisé localement par LDAP pour établir une liaison à l’instance AD LDS. Ce port n’a pas besoin d’être ouvert sur le pare-feu ; il est utilisé localement sur le serveur de transport Edge.

    Si votre environnement nécessite des ports spécifiques, vous pouvez modifier les ports utilisés par AD LDS à l’aide du ConfigureAdam.ps1 script fourni avec Exchange. Modifiez les ports avant de créer l’abonnement Edge. Si vous modifiez les ports après avoir créé l’abonnement Edge, vous devez supprimer l’abonnement Edge puis en créer un autre.

  • Vérifiez que la résolution de nom d’hôte DNS du serveur de transport Edge vers les serveurs de boîtes aux lettres et des serveurs de boîtes aux lettres vers le serveur de transport Edge a réussi.

  • Configurer les paramètres de transport suivants pour la propagation vers le serveur de transport Edge

    • Serveurs SMTP internes : utilisez le paramètre InternalSMTPServers sur l’applet de commande Set-TransportConfig pour spécifier une liste d’adresses IP de serveur SMTP internes ou de plages d’adresses IP à ignorer par les agents id d’expéditeur et filtrage de connexion sur le serveur de transport Edge.

    • Domaines acceptés : configurez tous les domaines faisant autorité, les domaines de relais internes et les domaines de relais externes.

    • Domaines distants : configurez les paramètres de l’objet de domaine distant par défaut (utilisé pour les destinataires dans tous les domaines distants) et configurez les objets de domaine distant en fonction des besoins des destinataires dans des domaines distants spécifiques.

Créer et exporter un fichier d’abonnement Edge sur le serveur de transport Edge

Lorsque vous créez un fichier d'abonnement Edge (en exécutant la cmdlet New-EdgeSubscription sur le serveur de transport Edge), les actions suivantes se produisent :

  • Un compte AD LDS compte appelé le compte de réplication d'amorçage EdgeSync (ESBRA) est créé. Ces informations d’identification ESBRA sont utilisées pour authentifier la première connexion EdgeSync au serveur de transport Edge. Ce compte est configuré pour expirer 24 heures après sa création. Par conséquent, vous devez terminer le processus d'abonnement en cinq étapes décrit dans la section précédente dans les 24 heures. Si l'expiration du compte ESBRA intervient avant la fin du processus d'abonnement Edge, vous devrez à nouveau exécuter la cmdlet New-EdgeSubscription pour créer un fichier d'abonnement Edge.

  • Les informations d'identification du compte ESBRA sont récupérées depuis AD LDS et écrites dans le fichier d'abonnement Edge. La clé publique du certificat auto-signé du serveur de transport Edge est également exportée vers le fichier d'abonnement Edge. Les informations d'identification écrites dans le fichier d'abonnement Edge sont propres au serveur qui a exporté le fichier.

  • Tout objet de configuration précédemment créé sur le serveur de transport Edge qui est sur le point d'être répliqué dans AD LDS à partir d'Active Directory est supprimé d'AD LDS, et les cmdlets de l'environnement Environnement de ligne de commande Exchange Management Shell utilisées pour configurer ces objets sont désactivées. Toutefois, vous pouvez toujours utiliser les applets de commande Get-* pour afficher ces objets. L'exécution de la cmdlet New-EdgeSubscription désactive les cmdlets suivantes sur le serveur de transport Edge :

    • Set-SendConnector

    • New-SendConnector

    • Remove-SendConnector

    • New-AcceptedDomain

    • Set-AcceptedDomain

    • Remove-AcceptedDomain

    • New-RemoteDomain

    • Set-RemoteDomain

    • Remove-RemoteDomain

Cet exemple crée et exporte le fichier d'abonnement Edge sur le serveur de transport Edge.

New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"

Remarque

Lorsque vous exécutez la cmdlet New-EdgeSubscription sur le serveur de transport Edge, vous êtes invité à confirmer les commandes qui seront désactivées et la configuration qui sera remplacée sur le serveur de transport Edge. Pour contourner cette confirmation, vous devez utiliser le paramètre Force . Ce paramètre est utile lorsque vous scriptez la cmdlet New-EdgeSubscription. Vous pouvez également utiliser le paramètre Force pour remplacer un fichier existant lorsque vous réabonnez un serveur de transport Edge.

Importer le fichier d’abonnement Edge sur un serveur de boîtes aux lettres

Lorsque vous importez le fichier d'abonnement Edge sur le site Active Directory en exécutant la cmdlet New-EdgeSubscription sur un serveur de boîtes aux lettres, les actions suivantes se produisent :

  • L'abonnement Edge est créé et relie le serveur de transport Edge à l'organisation Exchange. EdgeSync propage les données de configuration à ce serveur de transport Edge, créant ainsi un objet de configuration Edge dans Active Directory.

  • Chaque serveur de boîtes aux lettres du site Active Directory reçoit une notification d'Active Directory signalant l'abonnement d'un nouveau serveur de transport Edge. Le serveur de boîtes aux lettres récupère le compte ESBRA à partir du fichier d'abonnement Edge. Le serveur de boîtes aux lettres chiffre ensuite le compte ESBRA en utilisant la clé publique du certificat auto-signé du serveur de transport Edge. Les informations d’identification chiffrées sont ensuite écrites sur l’objet de configuration Edge.

  • Chaque serveur de boîtes aux lettres chiffre également le compte ESBRA en utilisant sa propre clé publique, puis stocke les informations d’identification dans son propre objet de configuration.

  • Les comptes de réplication EdgeSync (ESRAs) sont créés dans Active Directory pour chaque paire de serveurs Edge Transport-Mailbox. Chaque serveur de boîtes aux lettres stocke ses informations d'identification de compte ESRA en tant qu'attributs de l'objet de configuration du serveur de boîtes aux lettres.

  • Les connecteurs d'envoi sont automatiquement créés pour relayer les messages à l'extérieur, du serveur de transport Edge vers Internet et à l'intérieur, du serveur de transport Edge vers l'organisation Exchange. Pour plus d'informations, consultez la section Connecteurs d'envoi créés automatiquement par l'abonnement Edge dans cette rubrique.

  • Le service Microsoft Exchange EdgeSync qui s’exécute sur les serveurs de boîtes aux lettres utilise les informations d’identification ESBRA pour établir une connexion LDAP sécurisée entre un serveur de boîtes aux lettres et le serveur de transport Edge, et effectue la réplication initiale des données. Les données suivantes sont répliquées dans AD LDS :

    • données de topologie ;

    • données de configuration ;

    • données des destinataires ;

    • informations d’identification du compte ESRA.

  • Le service d’informations d’identification de Microsoft Exchange exécuté sur le serveur de transport Edge installe les informations d’identification du compte ESRA. Ces informations d’identification permettent d’authentifier et de sécuriser les connexions de synchronisation ultérieures.

  • La planification de synchronisation EdgeSync est établie.

  • Le service Microsoft Exchange EdgeSync s’exécutant sur les serveurs de boîtes aux lettres dans le site Active Directory abonné effectue ensuite une réplication unidirectionnelle des données d’Active Directory vers AD LDS selon une planification régulière. Vous pouvez également utiliser l’applet de commande Start-EdgeSynchronization pour remplacer la planification de synchronisation EdgeSync et démarrer immédiatement la synchronisation.

Cet exemple abonne un serveur de transport Edge au site spécifié et crée automatiquement le connecteur d’envoi Internet et le connecteur d’envoi du serveur de transport Edge aux serveurs de boîtes aux lettres créés.

New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\Data\EdgeSubscriptionInfo.xml')) -Site "Default-First-Site-Name"

Remarque

Les valeurs par défaut des paramètres CreateInternetSendConnector et CreateInboundSendConnector sont toutes deux $true, vous n’avez donc pas besoin de les utiliser dans cette commande.

Connecteurs d’envoi créés automatiquement par l’abonnement Edge

Par défaut, lorsque vous importez le fichier d'abonnement Edge recommandé sur un serveur de boîtes aux lettres, les connecteurs d'envoi requis pour activer un flux de messagerie de bout en bout entre Internet et l'organisation Exchange sont créés automatiquement et les connecteurs d'envoi présents sur le serveur de transport Edge sont supprimés.

L'abonnement Edge crée les connecteurs d'envoi suivants :

  • Un connecteur d’envoi nommé EdgeSync - Entrant vers <le nom> du site configuré pour relayer les messages du serveur de transport Edge vers le organization Exchange.

  • Un connecteur d’envoi nommé EdgeSync - <Nom> du site vers Internet configuré pour relayer les messages du organization Exchange vers Internet.

En outre, l'abonnement d'un serveur de transport Edge à l'organisation Exchange permet aux serveurs de boîtes aux lettres du site Active Directory abonné d'utiliser le connecteur d'envoi intra-organisationnel invisible et implicite pour relayer les messages vers le serveur de transport Edge.

Connecteur d’envoi entrant pour la réception de messages à partir d’Internet

Lorsque vous exécutez l’applet de commande New-EdgeSubscription sur le serveur de boîtes aux lettres, le paramètre CreateInboundSendConnector est défini sur la valeur $true. Permet de créer le connecteur d'envoi nécessaire pour envoyer des messages du serveur de transport Edge à l'organisation Exchange. Le tableau suivant explique la configuration de ce connecteur d'envoi.

Configuration du connecteur d'envoi entrant automatique

Propriété Valeur
Name EdgeSync - Entrant vers < le nom du site>
AddressSpaces SMTP:--;1
La -- valeur dans l’espace d’adressage représente tous les domaines de relais faisant autorité et interne acceptés pour le organization Exchange. Chaque message reçu par le serveur de transport Edge pour ces domaines acceptés sont routés vers ce connecteur d'envoi et relayés vers les hôtes actifs.
SourceTransportServers <Nom de l’abonnement Edge>
Enabled True
DNSRoutingEnabled False
SmartHosts --
La -- valeur dans la liste des hôtes intelligents représente tous les serveurs de boîtes aux lettres dans le site Active Directory abonné. Les serveurs de boîtes aux lettres que vous ajoutez au site Active Directory abonné après avoir établi l’abonnement Edge ne participent pas au processus de synchronisation EdgeSync. Toutefois, ils sont automatiquement ajoutés à la liste des hôtes actifs pour le connecteur d'envoi entrant créé automatiquement. Si plusieurs serveurs de boîte aux lettres se trouvent dans le site Active Directory abonné, la charge liée aux connexions entrantes est équilibrée entre les hôtes actifs.

Vous ne pouvez pas modifier l'espace d'adressage ou la liste des hôtes actifs au moment de la création automatique du connecteur d'envoi entrant. Toutefois, vous pouvez définir le paramètre CreateInboundSendConnector sur la valeur $false lorsque vous créez un abonnement Edge. Ainsi, vous pouvez configurer manuellement un connecteur d'envoi à partir du serveur de transport Edge vers l'organisation Exchange.

Connecteur d’envoi sortant pour l’envoi de messages vers Internet

Lorsque vous exécutez l’applet de commande New-EdgeSubscription sur le serveur de boîtes aux lettres, le paramètre CreateInternetSendConnector est défini sur la valeur $true. Permet de créer le connecteur d'envoi nécessaire pour envoyer des messages de l'organisation Exchange à Internet. Le tableau suivant montre la configuration par défaut de ce connecteur d'envoi.

Configuration automatique du connecteur d'envoi vers Internet

Propriété Valeur
Name EdgeSync - < Nom >du site vers Internet
AddressSpaces SMTP:*;100
SourceTransportServers <Nom de l’abonnement Edge>
Le nom de l’abonnement Edge est le même que le nom du serveur de transport Edge abonné.
Enabled True
DNSRoutingEnabled True
DomainSecureEnabled True

Si plusieurs serveurs de transport Edge sont abonnés au même site Active Directory, aucun connecteur d'envoi vers Internet supplémentaire n'est créé. En revanche, tous les abonnements Edge sont ajoutés au même connecteur d'envoi que le serveur source. Cette charge de connexions sortantes vers Internet est équilibrée entre les serveurs de transport Edge abonnés.

Le connecteur d'envoi sortant est configuré pour envoyer des messages électroniques à partir de l'organisation Exchange vers tous les domaines SMTP distants, à l'aide du routage DNS pour résoudre les noms de domaine en enregistrements de ressource MX.

Informations détaillées sur le service EdgeSync

Une fois que vous avez abonné un serveur de transport Edge à un site Active Directory, EdgeSync réplique les données de configuration et de destinataire sur les serveurs de transport Edge. Le service réplique les données suivantes d'Active Directory vers AD LDS :

  • Configuration du connecteur d'envoi

  • Domaines acceptés

  • Domaines distants

  • Listes des expéditeurs approuvés

  • Listes des expéditeurs bloqués

  • Destinataires

  • Liste ses domaines d’envoi et de réception servant les communications de domaines sécurisés avec les partenaires

  • Liste des serveurs SMTP indiqués comme internes à la configuration de transport de votre organisation

  • Liste de serveurs de boîtes aux lettres sur le site Active Directory abonné

EdgeSync utilise un canal LDAP sécurisé mutuellement authentifié et autorisé pour transférer des données du serveur de boîtes aux lettres vers le serveur de transport Edge.

Pour répliquer des données vers AD LDS, le serveur de boîtes aux lettres établit la liaison avec un serveur de catalogue global pour récupérer des données actualisées. EdgeSync lance une session LDAP sécurisée entre un serveur de boîtes aux lettres et le serveur de transport Edge abonné sur le port TCP non standard 50636.

Lorsque vous abonnez pour la première fois un serveur de transport Edge à un site Active Directory, la réplication initiale qui renseigne AD LDS avec les données d'Active Directory peut prendre plus de cinq minutes, en fonction de la quantité de données dans le service d'annuaire. Après la réplication initiale, EdgeSync synchronise uniquement les objets nouveaux et modifiés, et supprime tous les objets supprimés.

Planification de la synchronisation

Différents types de données sont synchronisés lors de différentes planifications. La planification de synchronisation EdgeSync spécifie l’intervalle maximal entre les synchronisations EdgeSync. La synchronisation EdgeSync se produit aux intervalles suivants :

  • Données de configuration ; 3 minutes.

  • Données des destinataires ; 5 minutes.

  • Données de topologie : 5 minutes.

Pour modifier ces intervalles, utilisez la cmdlet Set-EdgeSyncServiceConfig. L’utilisation de l’applet de commande Start-EdgeSynchronization sur le serveur de boîtes aux lettres pour forcer la synchronisation d’abonnement Edge remplace le minuteur pour la synchronisation EdgeSync planifiée suivante et démarre EdgeSync immédiatement.

Sélection des serveurs de boîtes aux lettres

Chaque serveur de transport Edge abonné doit être associé à un site Active Directory particulier. Si plusieurs serveurs de boîtes aux lettres existent dans le site, tous peuvent répliquer des données sur les serveurs de transport Edge abonnés. Pour éviter toute contention entre les serveurs de boîtes aux lettres lors de la synchronisation, le serveur de boîtes aux lettres privilégié est choisi selon les critères suivants :

  1. Le premier serveur de boîtes aux lettres dans Active Directory qui effectue une analyse de la topologie et découvre le nouvel abonnement Edge effectue la réplication initiale. Comme cette découverte est basée sur la durée de l’analyse de la topologie, n’importe quel serveur de boîtes aux lettres du site peut effectuer la réplication initiale.

  2. Le serveur de boîtes aux lettres qui effectue la réplication initiale établit une option de bail EdgeSync et définit un verrou sur l’abonnement Edge. L’option de bail établit ce serveur de boîtes aux lettres spécifique comme serveur privilégié pour la fourniture des services de synchronisation à ce serveur de transport Edge. Le verrou empêche EdgeSync s’exécutant sur un autre serveur de boîtes aux lettres de prendre en charge l’option de bail.

  3. L’option de bail EdgeSync dure une heure. Pendant cette heure, aucun autre service EdgeSync ne peut reprendre l’option, sauf si une synchronisation manuelle est démarrée avant la fin de l’heure. Si le serveur de boîtes aux lettres par défaut n’est pas disponible pour fournir le service EdgeSync au démarrage de la synchronisation manuelle, après une attente de cinq minutes, le verrou est libéré et un autre service EdgeSync peut reprendre l’option de bail et effectuer la synchronisation.

  4. Sauf si la synchronisation manuelle est démarrée, la synchronisation se produit en fonction de la planification de synchronisation EdgeSync. Si le serveur préféré n’est pas disponible lorsqu’une synchronisation planifiée se produit, après une attente de cinq minutes, le verrou est libéré et un autre service EdgeSync peut reprendre l’option de bail et effectuer la synchronisation.

Cette méthode de verrouillage et de location empêche plusieurs instance d’EdgeSync d’envoyer des données au même serveur de transport Edge en même temps.

Remarques :

  • Dans les organisations Exchange 2016, si vous avez également des serveurs de transport Hub Exchange 2010 dans le site Active Directory abonné, les serveurs de boîtes aux lettres Exchange 2016 sont toujours prioritaires et effectuent la réplication.

  • Lorsque vous abonnez un serveur de transport Edge à un site Active Directory, tous les serveurs de boîtes aux lettres installés sur ce site Active Directory à ce moment-là peuvent participer au processus de synchronisation EdgeSync. Si l’un de ces serveurs est supprimé, le service EdgeSync qui s’exécute sur les autres serveurs de boîtes aux lettres poursuit le processus de synchronisation des données. Toutefois, si vous installez ultérieurement de nouveaux serveurs de boîtes aux lettres sur le site Active Directory, ils ne participeront pas automatiquement à la synchronisation EdgeSync. En outre, ils ne seront pas automatiquement ajoutés au groupe de remise interne du serveur Edge. Si vous souhaitez autoriser ces nouveaux serveurs de boîtes aux lettres à participer à la synchronisation EdgeSync et au flux automatique de messagerie Edge vers boîte aux lettres, vous devez vous abonner à nouveau au serveur de transport Edge.

Le tableau suivant répertorie les propriétés EdgeSync liées au verrouillage et à la location. La cmdlet Set-EdgeSyncServiceConfig permet de configurer ces propriétés.

Propriétés de bail EdgeSync

Paramètre Valeur par défaut Description
LockDuration 00:05:00 (5 minutes) Ce paramètre détermine la durée pendant laquelle un service EdgeSync particulier acquiert un verrou. Si le service EdgeSync sur le serveur de boîtes aux lettres qui détient ce verrou ne répond pas, après cinq minutes, le service EdgeSync sur un autre serveur de boîtes aux lettres prend en charge le bail. Le fait de forcer la synchronisation EdgeSync immédiate ne remplace pas ce paramètre.
OptionDuration 01:00:00 (1 heure) Ce paramètre détermine la durée pendant laquelle un service EdgeSync peut déclarer une option de bail sur un serveur de transport Edge. Si le service EdgeSync qui détient le bail n’est pas disponible et ne redémarre pas pendant cette période d’option, aucun autre service Exchange EdgeSync n’accepte l’option de bail, sauf si vous forcez la synchronisation EdgeSync.
LockRenewalDuration 00:01:00 (1 minute) Ce paramètre détermine la fréquence à laquelle le champ de verrouillage est mis à jour lorsqu’un service EdgeSync a acquis un verrou sur un serveur de transport Edge.