Sottoscrizioni Edge in Exchange Server

Le sottoscrizioni Edge vengono utilizzate per inserire i dati di Active Directory nell'istanza del servizio directory di Active Directory Lightweight Directory Services (AD LDS) nel server Trasporto Edge. Sebbene la creazione di una sottoscrizione Edge sia facoltativa, se un server Trasporto Edge viene sottoscritto all'organizzazione di Exchange, le prestazioni di gestione e le funzionalità di protezione da posta indesiderata risulteranno migliorate. È necessario creare una sottoscrizione Edge, se si prevede di utilizzare la ricerca dei destinatari o l'aggregazione dell'elenco indirizzi attendibili oppure se si prevede di fornire protezione alle comunicazioni SMTP con domini partner utilizzando l'autenticazione MTSL (Mutual Transport Layer Security).

Nota

La sottoscrizione Edge è obbligatoria se Trasporto Edge deve gestire il flusso di posta ibrido. Per ottenere questo metodo di autenticazione, le intestazioni dell'organizzazione vengono alzate di livello solo tra i server Trasporto Edge e Cassette postali tramite l'autenticazione direct trust (nota anche come Mutual TLS) e la sottoscrizione Edge.

Processo di sottoscrizione Edge

Un server Trasporto Edge non ha accesso diretto a Active Directory. Le informazioni sui destinatari e sulla configurazione di cui dispone il server Trasporto Edge per elaborare i messaggi vengono archiviate in AD LDS. La creazione di una sottoscrizione Edge garantisce la replica protetta e automatica delle informazioni da Active Directory ad AD LDS. Il processo di sottoscrizione Edge effettua il provisioning delle credenziali usate per stabilire una connessione LDAP sicura tra i server Cassette postali di Exchange interni e un server Trasporto Edge sottoscritto. Il servizio Microsoft Exchange EdgeSync (EdgeSync) eseguito nei server Cassette postali esegue la sincronizzazione unidirezionale periodica per trasferire dati aggiornati ad AD LDS. In questo modo vengono ridotte le attività di amministrazione eseguite dall'utente nella rete perimetrale permettendo di configurare il server Cassette postali e di sincronizzare le informazioni con il server Trasporto Edge.

Il server Trasporto Edge viene sottoscritto in un sito di Active Directory che contiene i server Cassette postali responsabili di trasferire i messaggi da e verso i server Trasporto Edge. Il processo di sottoscrizione Edge consente di creare un'affiliazione di appartenenza al sito di Active Directory per il server Trasporto Edge. L'affiliazione al sito consente ai server Cassette postali nell'organizzazione di Exchange di inoltrare messaggi al server Trasporto Edge per il recapito su Internet senza dover configurare connettori di invio espliciti.

Uno o più server Trasporto Edge possono essere sottoscritti solo a un unico sito di Active Directory. Tuttavia, un server Trasporto Edge non può essere sottoscritto in più di un sito di Active Directory. Se sono distribuiti più server Trasporto Edge, è possibile sottoscrivere ciascun server a un sito diverso di Active Directory. Per ciascun server Trasporto Edge è necessaria una singola sottoscrizione Edge.

Per distribuire un server Trasporto Edge ed effettuarne la sottoscrizione a un sito di Active Directory, eseguire i passaggi riportati di seguito:

  1. Installare il ruolo del server Trasporto Edge.

  2. Preparare la sottoscrizione Edge:

    • Assegnare la licenza al server Trasporto Edge.

    • Aprire le porte nel firewall per il flusso di posta e la sincronizzazione edgesync.

    • Verificare che i server Cassette postali e il server Trasporto Edge siano in grado di individuare le rispettive posizioni tramite la risoluzione dei nomi DNS.

    • Nel server Cassette postali, configurare le impostazioni del trasporto da replicare nel server Trasporto Edge.

  3. Sul server Trasporto Hub, creare ed esportare il file di sottoscrizione Edge eseguendo il cmdlet New-EdgeSubscription.

  4. Copiare il file di sottoscrizione Edge su un server Cassette postali o una condivisione file accessibile dal sito di Active Directory in cui si trovano i server Cassette postali.

  5. Importare il file di sottoscrizione Edge nel sito di Active Directory eseguendo il cmdlet New-EdgeSubscription nel server Cassette postali

Preparare la sottoscrizione Edge

Prima di poter sottoscrivere il server Trasporto Edge all'organizzazione di Exchange, è necessario assicurarsi che l'infrastruttura e i server Cassette postali siano preparati per la sincronizzazione di EdgeSync. Per preparare EdgeSync, è necessario:

  • Concedere in licenza il server Trasporto Edge: le informazioni sulle licenze per il server Trasporto Edge vengono acquisite al momento della creazione della sottoscrizione Edge. I server Trasporto Edge sottoscritti devono essere sottoscritti all'organizzazione exchange dopo l'applicazione della chiave di licenza nel server Trasporto Edge. Se la chiave di licenza viene applicata al server Trasporto Edge dopo aver eseguito il processo di sottoscrizione Edge, le informazioni sulle licenze non verranno aggiornate nell'organizzazione di Exchange e sarà necessario inviare nuovamente il server Trasporto Edge.

  • Verificare che le porte necessarie siano aperte nel firewall: le porte seguenti vengono usate dai server Trasporto Edge sottoscritti:

    • SMTP: la porta 25/TCP deve essere aperta per il flusso di posta in ingresso e in uscita tra Internet e il server Trasporto Edge e tra il server Trasporto Edge e l'organizzazione exchange interna.

    • LDAP sicuro: la porta non standard 50636/TCP viene usata per la sincronizzazione della directory dai server Cassette postali ad AD LDS nel server Trasporto Edge. Questa porta è necessaria per la corretta sincronizzazione di EdgeSync.

    Nota

    La porta 50389/TCP è utilizzata localmente da LDAP per il binding all'istanza AD LDS. Non è necessario che questa porta sia aperta nel firewall; viene utilizzata localmente sul server Trasporto Edge.

    Se l'ambiente richiede porte specifiche, è possibile modificare le porte usate da AD LDS usando lo ConfigureAdam.ps1 script fornito con Exchange. Modificare le porte prima di creare la sottoscrizione Edge. Se si modificano le porte dopo aver creato la sottoscrizione Edge, è necessario rimuovere la sottoscrizione Edge e crearne un'altra.

  • Verificare che la risoluzione del nome host DNS avvenga correttamente dal server Trasporto Edge ai server Cassette postali e dai server Cassette postali al server Trasporto Edge

  • Per la propagazione al server Trasporto Edge, è necessario configurare le seguenti impostazioni di trasporto

    • Server SMTP interni: usare il parametro InternalSMTPServers nel cmdlet Set-TransportConfig per specificare un elenco di indirizzi IP o intervalli di indirizzi IP del server SMTP interni da ignorare dagli agenti Sender ID e Connection Filtering nel server Trasporto Edge.

    • Domini accettati: configurare tutti i domini autorevoli, i domini di inoltro interni e i domini di inoltro esterni.

    • Domini remoti: configurare le impostazioni per l'oggetto dominio remoto predefinito (usato per i destinatari in tutti i domini remoti) e configurare gli oggetti di dominio remoto come richiesto per i destinatari in domini remoti specifici.

Creare ed esportare un file di sottoscrizione Edge sul server Trasporto Edge

Quando si crea un nuovo file di sottoscrizione Edge eseguendo il cmdlet New-EdgeSubscription sul server Trasporto Edge, si verifica quanto segue:

  • Viene creato un account AD LDS chiamato account di replica bootstrap EdgeSync (ESBRA). Queste credenziali ESBRA vengono usate per autenticare la prima connessione EdgeSync al server Trasporto Edge. L'account è configurato per scadere 24 ore dopo essere stato creato. Pertanto, è necessario completare i cinque passaggi della procedure di sottoscrizione descritti nella sezione precedente entro 24 ore. Se l'account ESBRA scade prima che venga completato il processo di sottoscrizione Edge, sarà necessario eseguire nuovamente il cmdlet New-EdgeSubscription per creare un nuovo file di sottoscrizione Edge.

  • Le credenziali dell'account ESBRA vengono recuperate da AD LDS e scritte nel file di sottoscrizione Edge. In questo file viene esportata anche la chiave pubblica del certificato autofirmato del server Trasporto Edge. Le credenziali che vengono scritte nel file di sottoscrizione Edge sono specifiche del server da cui il file è stato esportato.

  • Eventuali oggetti di configurazione creati in precedenza nel server Trasporto Edge che verrà ora replicato in AD LDS da Active Directory vengono eliminati da AD LDS e i cmdlet di Exchange Management Shell utilizzati per configurare questi oggetti vengono disabilitati. Tuttavia, è comunque possibile usare i cmdlet Get-* per visualizzare tali oggetti. Eseguendo il cmdlet New-EdgeSubscription vengono disabilitati i seguenti cmdlet nel server Trasporto Edge:

    • Set-SendConnector

    • New-SendConnector

    • Remove-SendConnector

    • New-AcceptedDomain

    • Set-AcceptedDomain

    • Remove-AcceptedDomain

    • New-RemoteDomain

    • Set-RemoteDomain

    • Remove-RemoteDomain

In questo esempio viene creato ed esportato il file sottoscrizione Edge sul server Trasporto Edge.

New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"

Nota

Quando si esegue il cmdlet New-EdgeSubscription sul server Trasporto Edge, viene richiesto di confermare i comandi che verranno disabilitati e la configurazione che verrà sovrascritta in questo server. Per ignorare questa conferma, è necessario usare il parametro Force . Questo parametro è utile quando si esegue lo script del cmdlet New-EdgeSubscription. È anche possibile usare il parametro Force per sovrascrivere un file esistente quando si invia di nuovo un server Trasporto Edge.

Importare il file di sottoscrizione Edge su un server Cassette postali

Quando si importa il file di sottoscrizione Edge nel sito di Active Directory eseguendo il cmdlet New-EdgeSubscription sul server Cassette postali, si verifica quanto segue:

  • Viene creata la sottoscrizione Edge, aggiungendo il server Trasporto Edge all'organizzazione di Exchange. EdgeSync propaga i dati di configurazione a questo server Trasporto Edge, creando un oggetto di configurazione Edge in Active Directory.

  • Ogni server Cassette postali nel sito di Active Directory riceve da Active Directory una notifica relativa alla sottoscrizione di un nuovo server Trasporto Edge. Il server Cassette postali recupera l'account ESBRA dal file sottoscrizione Edge. L'account viene quindi crittografato dal server Cassette postali tramite la chiave pubblica del certificato autofirmato del server Trasporto Edge. Le credenziali crittografate vengono scritte nell'oggetto di configurazione Edge.

  • L'account ESBRA viene crittografato anche da ogni server Cassette postali tramite la relativa chiave pubblica e le credenziali vengono archiviate nell'oggetto di configurazione corrispondente.

  • Gli account di replica EdgeSync (ESRA) vengono creati in Active Directory per ogni coppia di server Edge Transport-Mailbox. Le credenziali degli account ESRA vengono archiviate in ogni server Cassette postali come attributo del relativo oggetto di configurazione.

  • Vengono automaticamente creati connettori di invio per inoltrare i messaggi in uscita dal server Trasporto Edge su Internet e i messaggi in ingresso dal server all'organizzazione di Exchange. Per ulteriori informazioni, vedere la sezione Inviare connettori creati automaticamente dalla sottoscrizione Edge in questo argomento.

  • Il servizio Microsoft Exchange EdgeSync eseguito nei server Cassette postali usa le credenziali ESBRA per stabilire una connessione LDAP sicura tra un server Cassette postali e il server Trasporto Edge ed esegue la replica iniziale dei dati. In AD LDS vengono replicati i seguenti dati:

    • Dati relativi alla topologia

    • Dati di configurazione

    • Dati del destinatario

    • Credenziali dell'account ESRA

  • Il servizio credenziali di Microsoft Exchange eseguito nel server Trasporto Edge installa le credenziali ESRA. Queste credenziali vengono usate per autenticare e proteggere le connessioni di sincronizzazione successive.

  • Viene stabilita la pianificazione della sincronizzazione di EdgeSync.

  • Il servizio Microsoft Exchange EdgeSync in esecuzione nei server Cassette postali nel sito di Active Directory sottoscritto esegue quindi la replica unidirezionale dei dati da Active Directory ad AD LDS in base a una pianificazione regolare. È anche possibile usare il cmdlet Start-EdgeSynchronization per eseguire l'override della pianificazione della sincronizzazione di EdgeSync e avviare immediatamente la sincronizzazione.

In questo esempio, viene sottoscritto un server Trasporto Edge al sito specificato e viene creato il connettore di invio Internet e il connettore di invio dal server Trasporto Edge ai server Cassette postali.

New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\Data\EdgeSubscriptionInfo.xml')) -Site "Default-First-Site-Name"

Nota

I valori predefiniti dei parametri CreateInternetSendConnector e CreateInboundSendConnector sono entrambi $true, quindi non è necessario usarli in questo comando.

Inviare connettori creati automaticamente dalla sottoscrizione Edge

Per impostazione predefinita, quando viene importato il file di sottoscrizione Edge in un server Cassette postali, i connettori di invio necessari per abilitare il flusso di posta end-to-end tra Internet e l'organizzazione Exchange vengono creati automaticamente e tutti i connettori di invio esistenti sul server Trasporto Edge vengono eliminati.

La sottoscrizione Edge consente di creare i seguenti connettori di invio:

  • Connettore di invio denominato EdgeSync : in ingresso al <nome> del sito configurato per l'inoltro dei messaggi dal server Trasporto Edge all'organizzazione di Exchange.

  • Connettore di invio denominato EdgeSync - <Nome> sito a Internet configurato per l'inoltro dei messaggi dall'organizzazione di Exchange a Internet.

Inoltre, sottoscrivendo un server Trasporto Edge nell'organizzazione di Exchange si consente ai server Cassette postali nel sito di Active Directory sottoscritto di utilizzare il connettore di invio tra organizzazioni implicito e invisibile per inoltrare i messaggi al server Trasporto Edge.

Connettore di invio in ingresso per ricevere messaggi da Internet

Quando si esegue il cmdlet New-EdgeSubscription nel server Cassette postali, il parametro CreateInboundSendConnector viene impostato sul valore $true. Questa operazione crea il connettore di invio necessario per inviare i messaggi dal server Trasporto Edge all'organizzazione di Exchange. Nella seguente tabella viene illustrata la configurazione di questo connettore di invio.

Configurazione automatica del connettore di invio in ingresso

Proprietà Valore
Nome EdgeSync - In ingresso al <nome del sito>
AddressSpaces SMTP:--;1
Il -- valore nello spazio indirizzi rappresenta tutti i domini accettati di inoltro autorevole e interno per l'organizzazione di Exchange. I messaggi che il server Trasporto Edge riceve per i domini accettati vengono instradati a questo connettore di invio e inoltrati agli smart host.
SourceTransportServers <Nome sottoscrizione Edge>
Enabled True
Dnsroutingenabled False
SmartHosts --
Il -- valore nell'elenco di smart host rappresenta tutti i server Cassette postali nel sito di Active Directory sottoscritto. Tutti i server Cassette postali aggiunti al sito di Active Directory sottoscritto dopo aver stabilito la sottoscrizione Edge non partecipano al processo di sincronizzazione di EdgeSync. Tuttavia, vengono automaticamente aggiunti all'elenco di smart host per il connettore di invio in ingresso creato automaticamente. Se nel sito di Active Directory sottoscritto si trovano più server Cassette postali, il carico delle connessioni in ingresso verrà bilanciato tra gli smart host.

Non è possibile modificare lo spazio indirizzo o l'elenco degli smart host per il connettore di invio in ingresso creato automaticamente nel momento della creazione. È tuttavia possibile impostare il parametro CreateInboundSendConnector sul valore $false quando si crea una sottoscrizione Edge. Ciò consente di configurare manualmente un connettore di invio dal server Trasporto Edge all'organizzazione di Exchange.

Connettore di invio in uscita per inviare messaggi a Internet

Quando si esegue il cmdlet New-EdgeSubscription nel server Cassette postali, il parametro CreateInternetSendConnector viene impostato sul valore $true. Questa operazione crea il connettore di invio necessario per inviare i messaggi dall'organizzazione di Exchange a Internet. Nella seguente tabella viene illustrata la configurazione predefinita di questo connettore di invio.

Configurazione automatica del connettore di invio Internet

Proprietà Valore
Nome EdgeSync - <Nome> sito in Internet
AddressSpaces SMTP:*;100
SourceTransportServers <Nome sottoscrizione Edge>
Il nome della sottoscrizione Edge è lo stesso nome del server Trasporto Edge sottoscritto.
Enabled True
Dnsroutingenabled True
DomainSecureEnabled True

Se si sottoscrivono più server Trasporto Edge allo stesso sito di Active Directory, non verranno creati connettori di invio Internet aggiuntivi. Verranno invece aggiunte tutte le sottoscrizioni Edge allo stesso connettore di invio come server di origine. Questo carico bilancia le connessioni Internet in uscita nei server Trasporto Edge sottoscritti.

Il connettore di invio in uscita è configurato per inviare messaggi dall'organizzazione di Exchange a tutti i domini SMTP remoti, usando il routing DNS per risolvere i nomi di dominio per i record di risorse MX.

Dettagli sul servizio EdgeSync

Dopo aver sottoscritto un server Trasporto Edge a un sito di Active Directory, EdgeSync replica i dati di configurazione e del destinatario nei server Trasporto Edge. Il servizio replica i seguenti dati da Active Directory ad AD LDS:

  • Configurazione del connettore di invio

  • Domini accettati

  • Domini remoti

  • Elenchi dei mittenti attendibili

  • Elenchi dei mittenti bloccati

  • Destinatari

  • Elenco dei domini di invio e ricezione usati nelle comunicazioni di dominio protette con i partner

  • Elenco dei server SMTP elencati come interni nella configurazione di trasporto dell'organizzazione

  • Elenco di server Cassette postali nel sito Active Directory sottoscritto

EdgeSync usa un canale LDAP sicuro autenticato e autorizzato a vicenda per trasferire i dati dal server Cassette postali al server Trasporto Edge.

Per replicare i dati in AD LDS, il server Cassette postali effettua il binding a un server di catalogo globale e recupera i dati aggiornati. EdgeSync avvia una sessione LDAP sicura tra un server Cassette postali e il server Trasporto Edge sottoscritto sulla porta TCP non standard 50636.

Quando si sottoscrive per la prima volta un server Trasporto Edge a un sito di Active Directory, la replica iniziale che inserisce in AD LDS i dati da Active Directory può richiedere un certo tempo, a seconda della quantità di dati nel servizio di directory. Dopo la replica iniziale, EdgeSync sincronizza solo gli oggetti nuovi e modificati e rimuove tutti gli oggetti eliminati.

Pianificazione della sincronizzazione

I diversi tipi di dati vengono sincronizzati in base a pianificazioni differenti. La pianificazione della sincronizzazione EdgeSync specifica l'intervallo massimo tra le sincronizzazioni EdgeSync. La sincronizzazione di EdgeSync si verifica a intervalli seguenti:

  • Dati di configurazione: 3 minuti.

  • Dati del destinatario: 5 minuti.

  • Dati relativi alla topologia: 5 minuti

Se si desidera modificare tali intervalli, utilizzare il cmdlet Set-EdgeSyncServiceConfig. L'uso del cmdlet Start-EdgeSynchronization nel server Cassette postali per forzare la sincronizzazione della sottoscrizione Edge sostituisce il timer per la successiva sincronizzazione pianificata di EdgeSync e avvia immediatamente EdgeSync.

Selezione dei server Cassette postali

Ogni server Trasporto Edge sottoscritto viene associato a un determinato sito di Active Directory. Se nel sito sono presenti più server Cassette postali, ciascuno di essi può replicare i dati nei server Trasporto Edge sottoscritti. Per evitare problemi tra i server Cassette postali durante la sincronizzazione, il server Cassette postali preferito viene selezionato nel seguente modo:

  1. Il primo server Cassette postali nel sito di Active Directory che esegue un'analisi della topologia e rileva la nuova sottoscrizione Edge esegue la replica iniziale. Poiché tale rilevamento si basa sulla tempistica dell'analisi, qualunque server Cassette postali nel sito potrebbe eseguire la replica iniziale.

  2. Il server Cassette postali che esegue la replica iniziale stabilisce un'opzione di lease EdgeSync e imposta un blocco sulla sottoscrizione Edge. Questa opzione di lease "contrassegna" quel server Cassette postali come preferito per fornire i servizi di sincronizzazione al server Trasporto Edge. Il blocco impedisce a EdgeSync in esecuzione in un altro server Cassette postali di acquisire l'opzione di lease.

  3. L'opzione di lease EdgeSync dura un'ora. Durante quell'ora, nessun altro servizio EdgeSync può assumere l'opzione a meno che non venga avviata una sincronizzazione manuale prima della fine dell'ora. Se il server Cassette postali preferito non è disponibile per fornire il servizio EdgeSync al momento dell'avvio della sincronizzazione manuale, dopo un'attesa di cinque minuti, il blocco viene rilasciato e un altro servizio EdgeSync può assumere il controllo dell'opzione di lease ed eseguire la sincronizzazione.

  4. A meno che non venga avviata la sincronizzazione manuale, la sincronizzazione viene eseguita in base alla pianificazione della sincronizzazione di EdgeSync. Se il server preferito non è disponibile quando si verifica una sincronizzazione pianificata, dopo cinque minuti di attesa, il blocco viene rilasciato e un altro servizio EdgeSync può assumere il controllo dell'opzione di lease ed eseguire la sincronizzazione.

Questo metodo di blocco e leasing impedisce a più istanze di EdgeSync di eseguire il push dei dati nello stesso server Trasporto Edge contemporaneamente.

Note:

  • Nelle organizzazioni di Exchange 2016, se sono presenti anche server Trasporto hub di Exchange 2010 nel sito di Active Directory sottoscritto, i server Cassette postali di Exchange 2016 avranno sempre la precedenza ed eseguiranno la replica.

  • Quando si sottoscrive un server Trasporto Edge a un sito di Active Directory, tutti i server Cassette postali installati nel sito active directory in quel momento possono partecipare al processo di sincronizzazione di EdgeSync. Se uno di questi server viene rimosso, il servizio EdgeSync in esecuzione nei server Cassette postali rimanenti continuerà il processo di sincronizzazione dei dati. Tuttavia, se in seguito si installano nuovi server Cassette postali nel sito di Active Directory, non parteciperanno automaticamente alla sincronizzazione di EdgeSync. Inoltre, non verranno aggiunti automaticamente al gruppo di recapito interno del server perimetrale. Se si desidera abilitare i nuovi server Cassette postali per partecipare alla sincronizzazione EdgeSync e al flusso di posta automatica da Edge a Cassetta postale, sarà necessario sottoscrivere nuovamente il server Trasporto Edge.

Nella tabella seguente sono elencate le proprietà EdgeSync correlate al blocco e al leasing. Utilizzare il cmdlet Set-EdgeSyncServiceConfig per configurare queste proprietà.

Proprietà di lease di EdgeSync

Parametro Valore predefinito Descrizione
LockDuration 00:05:00 (5 minuti) Questa impostazione determina per quanto tempo un determinato servizio EdgeSync acquisirà un blocco. Se il servizio EdgeSync nel server Cassette postali che contiene questo blocco non risponde, dopo cinque minuti il servizio EdgeSync in un altro server Cassette postali assumerà il controllo del lease. La sincronizzazione immediata di EdgeSync non sostituisce questa impostazione.
OptionDuration 01:00:00 1 ora Questa impostazione determina per quanto tempo un servizio EdgeSync può dichiarare un'opzione di lease in un server Trasporto Edge. Se il servizio EdgeSync che contiene il lease non è disponibile e non viene riavviato durante questo periodo di opzione, nessun altro servizio Exchange EdgeSync assumerà l'opzione di lease a meno che non si forza la sincronizzazione di EdgeSync.
LockRenewalDuration 00:01:00 (1 minuto) Questa impostazione determina la frequenza con cui il campo di blocco viene aggiornato quando un servizio EdgeSync ha acquisito un blocco a un server Trasporto Edge.