Données de réplication EdgeSync
S’applique à : Exchange Server 2013
Lorsque vous déployez un serveur de transport Edge, il n’a pas accès à Active Directory. Pour effectuer des tâches de recherche de destinataires et d'agrégation de listes fiables, et pour implémenter la sécurité de domaine à l'aide d'une authentification MTLS (Mutual Transport Layer Security), le serveur de transport Edge a besoin de données d'Active Directory. Ces données sont répliquées vers le serveur de transport Edge à l'aide d'EdgeSync et le serveur de transport Edge stocke toutes les informations répliquées dans Active Directory Lightweight Directory Services (AD LDS).
Cette rubrique porte sur les données répliquées d'Active Directory vers AD LDS sur un serveur de transport Edge abonné à un site Active Directory. Pour plus d'informations sur EdgeSync et les abonnements Edge, voir abonnements Edge.
Quatre types de données sont répliqués vers AD LDS et utilisés par le serveur de transport Edge :
- Edge Subscription information
- Configuration information
- Recipient information
- Topology information
informations d’abonnement Edge ;
Exchange 2013 étend les schémas Active Directory et AD LDS pour fournir des attributs sur l'objet ms-Exch-ExchangeServer afin de représenter les données nécessaires au contrôle de la synchronisation EdgeSync. Ces attributs fournissent trois fonctions à EdgeSync :
configuration et maintenance automatiques des informations d’identification utilisées pour sécuriser la connexion LDAP entre un serveur de boîtes aux lettres et un serveur de transport Edge abonné ;
arbitrage du processus de verrouillage et de bail de synchronisation, garantissant qu'un seul serveur à la fois tente de se synchroniser avec un serveur de transport Edge individuel. Pour plus d'informations sur le processus de verrouillage et de bail, voir abonnements Edge ;
optimisation de la synchronisation EdgeSync pour conserver un enregistrement de l'état de synchronisation actuel. Un affichage simple de l’état de synchronisation permet d’éviter une synchronisation manuelle excessive.
Le tableau suivant indique les extensions de schéma spécifiques des abonnements Edge. Les valeurs affectées à ces attributs sont maintenues par l’abonnement Edge et EdgeSync ; elles ne sont pas destinées à être modifiées manuellement.
Extensions du schéma d’abonnement Edge
| Nom de l’attribut | Description |
|---|---|
| ms-Exch-Server-EKPK-Public-Key | Clé publique actuelle du certificat utilisé par le serveur. Cette valeur est stockée par les serveurs de transport Edge et les serveurs de boîtes aux lettres. La clé publique permet de chiffrer les informations d'identification utilisées pour authentifier le serveur durant une communication avec les protocoles LDAP et SMTP. |
| ms-Exch-EdgeSync-Credential | Liste des informations d'identification qu'EdgeSync utilise pour établir une session LDAP authentifiée avec AD LDS. Sur les serveurs de boîtes aux lettres, cet attribut ne contient que des informations d'identification que le serveur de boîtes aux lettres utilise pour authentifier les serveurs de transport Edge abonnés. Sur les serveurs de transport Edge, cet attribut contient les informations d’identification de chaque serveur de transport de boîtes aux lettres dans le site Active Directory abonné qui participe à la synchronisation EdgeSync. Cet attribut n'est présent que sur les serveurs de boîtes aux lettres exécutant la synchronisation EdgeSync et sur les serveurs de transport Edge abonnés. |
| ms-Exch-Edge-Sync-Lease | Utilisé pour l'arbitrage entre les serveurs de boîtes aux lettres lorsque plusieurs serveurs de boîtes aux lettres tentent d'opérer une réplication sur le même serveur de transport Edge. |
| ms-Exch-Edge-Sync-Status | Uniquement présent dans AD LDS sur l'objet serveur de transport Edge. Cet attribut suit l'état de la réplication sur une instance AD LDS et inclut des informations sur la réplication. |
informations de configuration ;
Lorsque vous abonnez un serveur de transport Edge à une organisation, vous pouvez gérer les objets de configuration communs au serveur et à l'organisation Exchange à partir de cette dernière. Ces modifications sont ensuite répliquées vers le serveur de transport Edge à l'aide d'EdgeSync. Ce processus permet de maintenir une configuration cohérente sur tous les serveurs impliqués dans le traitement de message.
Un sous-ensemble des données de configuration pour l'organisation Exchange doit également être maintenu sur le serveur de transport Edge. Lors de la synchronisation EdgeSync, les données de configuration dont le serveur de transport Edge a besoin sont écrites dans la partition de configuration d'AD LDS. Les données de configuration écrites sur AD LDS sont les suivantes :
Serveurs de boîtes aux lettres : le nom de domaine complet (FQDN) de chaque serveur de boîtes aux lettres dans le site Active Directory abonné est mis à disposition du magasin AD LDS local sur le serveur de transport Edge. Ces informations permettent de générer une liste de serveurs hôtes actifs pour le connecteur d’envoi des messages entrants.
Domaines acceptés : tous les domaines faisant autorité, relais interne et relais externe configurés pour l’organisation Exchange sont écrits dans AD LDS. Le fait que les domaines acceptés soient accessibles au serveur de transport Edge permet à l'organisation Exchange d'effectuer un filtrage des domaines et de rejeter le trafic SMTP non valide entrant le plus rapidement possible. Pour plus d’informations sur les domaines acceptés, consultez Domaines acceptés.
Classifications de messages : si des classifications de messages sont disponibles sur le serveur de transport Edge, les agents de transport et la conversion de contenu peuvent agir sur les classifications de messages dans le réseau de périmètre. Par exemple, l'agent de filtrage de pièces jointe peut appliquer la classification Pièce jointe supprimée lors de la suppression d'une pièce jointe, ce qui envoie un texte d'information à un utilisateur Microsoft Outlook ou un utilisateur Outlook Web App pour l'informer de ce qui s'est produit. Les agents développés pour un usage par des applications tierces peuvent utiliser les classifications des messages d'une façon similaire.
Domaines distants : toutes les entrées de domaine distant configurées pour l’organisation Exchange sont écrites dans AD LDS. Les entrées de domaine distant contrôlent les paramètres de message d'absence du bureau et les paramètres de format de message pour un domaine distant. Pour plus d'informations sur les domaines distants, voir Domaines distants.
Connecteurs d’envoi : par défaut, la création d’un abonnement Edge crée automatiquement les connecteurs d’envoi requis pour activer le flux de courrier de bout en bout entre l’organisation Exchange et Internet au moment où le serveur de transport Edge est abonné. Tous les connecteurs d'envoi existants sur le serveur de transport Edge sont supprimés. Si vous voulez configurer des connecteurs d'envoi supplémentaires, configurez le connecteur d'envoi à l'intérieur de l'organisation Exchange et sélectionnez l'abonnement Edge comme serveur source pour le connecteur. Pour plus d'informations, voir abonnements Edge.
Serveurs SMTP internes : la valeur de l’attribut InternalSMTPServers est stockée sur l’objet TransportConfig pour l’organisation Exchange et le serveur de transport Edge local. Lors de la synchronisation EdgeSync, la valeur stockée sur l'objet serveur de transport Edge local est remplacée par la valeur stockée sur cet objet pour l'organisation Exchange. Cet attribut spécifie une liste d'adresses IP de serveur SMTP interne ou des plages d'adresses IP qui doivent être ignorées par l'ID de l'expéditeur et le filtrage des connexions.
Listes sécurisées de domaine : les attributs TLSReceiveDomainSecureList et TLSSendDomainSecureList sont stockés sur l’objet TransportConfig pour l’organisation Exchange et le serveur de transport Edge local. Lors de la synchronisation EdgeSync, la valeur stockée sur l'objet serveur de transport Edge local est remplacée par la valeur stockée sur cet objet pour l'organisation Exchange. Ces attributs spécifient la liste des domaines distants configurés pour l'authentification TLS mutuelle.
informations sur le destinataire ;
Les informations sur le destinataire répliquées vers AD LDS incluent uniquement un sous-ensemble des attributs de destinataire. Seules les données requises par le transport Edge pour exécuter certaines tâches de blocage du courrier indésirable sont répliquées. Les informations sur le destinataire répliquées vers AD LDS comprennent :
Destinataires : la liste des destinataires de l’organisation Exchange est répliquée vers AD LDS. Each recipient is identified by assigned Active Directory GUID. If you configure a recipient's account to deny receipt of mail from outside the organization, that recipient isn't replicated to AD LDS. If you disable or delete a recipient's mailbox, that mailbox is no longer replicated to AD LDS.
Adresses proxy : toutes les adresses proxy affectées à chaque destinataire sont répliquées sur AD LDS en tant que données hachées. Il s’agit d’un hachage unidirectionnel utilisant l’algorithme SHA (Secure Hash Algorithm)-256. L'algorithme SHA-256 génère un message de 256 bits résumant les données originales. Le stockage d'adresses proxy sous la forme de données hachées permet de sécuriser ces informations en cas d'endommagement du serveur de transport Edge ou d'AD-LDS. Les adresses proxy sont référencées lorsque le serveur de transport Edge effectue la tâche de blocage du courrier indésirable de recherche de destinataire.
Liste des expéditeurs approuvés, liste des expéditeurs bloqués et liste des destinataires approuvés : les listes d’expéditeurs approuvés, les listes d’expéditeurs bloqués et les listes de destinataires approuvés définies dans l’instance Outlook de chaque destinataire sont agrégées et répliquées dans AD LDS. Ces paramètres sont stockés dans la base de données de boîtes aux lettres où se trouve la boîte aux lettres du destinataire. La collection de listes fiables d'un utilisateur Outlook correspond aux données combinées provenant de la liste des expéditeurs approuvés, de la liste des destinataires approuvés, de la liste des expéditeurs bloqués et des contacts externes de l'utilisateur. Le fait que des données de collection de listes fiables soient disponibles dans AD LDS permet au serveur de transport Edge de filtrer correctement les expéditeurs, réduisant ainsi les coûts fixes d'exploitation pour le filtrage des messages. Ces informations sont envoyées sous la forme de données hachées.
Importante
Bien que les données des destinataires approuvés soient stockées dans Outlook et puissent être regroupées en une collection de listes fiables sur l'instance AD LDS sur le serveur de transport Edge, la fonctionnalité de filtrage du contenu n'agit pas sur les données des destinataires approuvés.
Paramètres anti-courrier indésirable par destinataire : vous pouvez utiliser l’applet de commande Set-Mailbox pour affecter des paramètres de seuil anti-courrier indésirable par destinataire qui diffèrent des paramètres anti-courrier indésirable à l’échelle de l’organisation. Si vous configurez des paramètres de blocage du courrier indésirable par destinataire, ces derniers remplacent les paramètres utilisés à l'échelle de l'organisation. La réplication de ces paramètres vers AD LDS permet de prendre en considération les paramètres de destinataire avant de relayer le message à l'organisation Exchange. Ces informations sont envoyées sous la forme de données hachées.
informations de topologie.
Les informations de topologie incluent la notification des nouveaux serveurs de transport Edge inscrits ou des abonnements Edge supprimés. Ces données sont actualisées toutes les cinq minutes.