Настройка потока обработки почты через пограничный транспортный сервер без использования EdgeSync

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2017-01-23

Чтобы установить поток почты между вашей организацией Exchange и пограничным транспортным сервером, мы рекомендуем использовать процесс пограничной подписки. Однако в некоторых случаях невозможно использовать процесс пограничной подписки для подписки пограничного транспортного сервера на организацию Exchange. Чтобы вручную создать поток почты между организацией Exchange и пограничным транспортным сервером, необходимо создать и настроить соединители отправки и приема на пограничном транспортном сервере и серверах почтовых ящиков в организации Exchange.

  • Предполагаемое время выполнения задачи: 30 минут.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Записи "Соединители отправки", "Соединители отправки — пограничный транспортный сервер" и "Соединители получения — пограничный транспортный сервер" в разделе Разрешения потока обработки почты.

  • Для шифрования и проверки подлинности в данной процедуре используется обычная проверка подлинности по протоколу TLS. При использовании этого способа на принимающем сервере должен быть установлен SSL-сертификат сервера X.509. Полное доменное имя, заданное для соединителя приема, должно соответствовать полному доменному имени в SSL-сертификате сервера. По умолчанию в качестве полного доменного имени для соединителя приема используется полное доменное имя сервера, включающего соединитель приема.

  • Можно также использовать способ проверки подлинности с использованием внешней защиты. Однако в этом случае сервер Exchange не выполняет проверку подлинности или шифрование связи между пограничным транспортным сервером и сервером почтовых ящиков. Мы рекомендуем использовать способ проверки подлинности с внешней защитой только в случае одновременного использования дополнительного способа шифрования. Способ шифрования может быть связан с протоколом IPsec или виртуальной частной сетью VPN.

  • Пограничный транспортный сервер обычно является многосетевым. Это означает, что он имеет сетевые платы, которые подключены к нескольким сегментам сети. Каждая из этих сетевых плат имеет уникальный IP-адрес. Сетевая плата, подключенная к внешнему (общедоступному) сегменту сети, должна быть настроена на использование общедоступного DNS-сервера для разрешения имен. Это позволяет серверу разрешать имена доменов SMTP в записи ресурсов MX и маршрутизировать почту в Интернет. Сетевая плата, подключенная к внутреннему (частному) сегменту сети, должна быть настроена на использование DNS-сервера в пограничной сети или иметь доступный файл Hosts.

  • В Active Directory необходимо создать учетную запись и добавить ее в универсальную группу безопасности на компьютере с установленным Exchange Server. Эта учетная запись используется соединителем отправки на пограничном транспортном сервере для проверки подлинности на конечном сервере почтовых ящиков в организации Exchange.

    ВажноВажно!
    Этой учетной записи предоставляются разрешения, связанные с компьютерами с установленным Exchange Server. Защитите учетные данные этой учетной записи, чтобы предотвратить ее несанкционированное использование. Учетную запись можно настроить так, чтобы вход в систему был разрешен только на определенных компьютерах.

На пограничном транспортном сервере должны быть установлены следующие соединители:

  • Соединитель отправки, настроенный на отправку сообщений в Интернет

  • Соединитель отправки, настроенный для отправки сообщений на сервер почтовых ящиков в организации Exchange

  • Соединитель получения, настроенный для получения сообщений только с серверов почтовых ящиков в организации Exchange

  • Соединитель приема, настроенный на прием сообщений только из Интернета

По умолчанию во время установки роли пограничного транспортного сервера создается один соединитель приема. Этот соединитель можно использовать для входящих сообщений как из Интернета, так и от серверов почтовых ящиков. Как правило, в ходе пограничной подписки правильные разрешения и способ проверки подлинности настраиваются на соединителе приема по умолчанию автоматически. Если пограничная подписка не используется, мы рекомендуем изменить соединитель получения по умолчанию на пограничном транспортном сервере так, чтобы он принимал только сообщения из Интернета. Затем на пограничном транспортном сервере необходимо создать соединитель получения, настроенный для получения сообщений только с внутренних серверов почтовых ящиков.

Ниже приведены все шаги по настройке, необходимые для подготовки пограничного транспортного сервера для взаимодействия с организацией Exchange.

ПримечаниеПримечание.
Доступ к выполнению этих процедур на пограничных транспортных серверах возможен только из командной консоли.

Этот соединитель отправки должен иметь указанные ниже характеристики:

  • Имя   В Интернет (или любое другое описательное имя)

  • Тип использования   Интернет

  • Адресные пространства   "*" (все домены)

  • Параметры сети   Используйте записи DNS MX для автоматической маршрутизации электронной почты. При определенной конфигурации сети можно также отправлять почту через промежуточный узел. Промежуточный узел затем отправляет почту в Интернет.

Чтобы создать соединитель отправки, настроенный на отправку сообщений в Интернет, выполните следующую команду.

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-SendConnector.

Командлет New-SendConnector используется для создания соединителя отправки.

ПримечаниеПримечание.
Перед созданием соединителя отправки сначала необходимо выполнить команду Get-Credential, чтобы сохранить имя пользователя и пароль, которые будут использоваться во временной переменной. Это необходимо, так как командлет New-SendConnector не принимает учетные данные пользователей в формате обычного текста.

Этот соединитель отправки должен иметь следующие характеристики:

  • Имя: "Во внутреннюю организацию" (или любое другое описательное имя).

  • Тип использования: внутреннее.

  • Адресные пространства: все обслуживаемые домены для организации Exchange. Например: *.contoso.com.

  • DNS-маршрутизация отключена (маршрутизация промежуточного узла включена.

  • Промежуточные узлы: полное доменное имя одного или нескольких серверов почтовых ящиков в качестве промежуточных узлов. Например: сервер_почтовых_ящиков01.contoso.com и сервер_почтовых_ящиков02.contoso.com.

  • Методы проверки подлинности на промежуточном узле: обычная проверка подлинности с использованием TLS.

  • Учетные данные для проверки подлинности на промежуточном узле: учетные данные для учетной записи пользователя во внутреннем домене. Сначала необходимо сохранить имя пользователя и пароль во временной переменной, поскольку командлет New-SendConnector не принимает учетные данные пользователей в формате обычного текста.

Чтобы создать соединитель отправки, настроенный на отправку сообщений в организацию Exchange, выполните следующие команды.

$MailboxCredentials = Get-Credential
New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces *.contoso.com -DNSRoutingEnabled $false -SmartHosts mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $MailboxCredentials

Подробные сведения о синтаксисе и параметрах см. в разделе New-SendConnector.

В конфигурацию соединителя получения по умолчанию необходимо внести следующие изменения:

  • Изменить имя, чтобы показать, что соединитель будет использоваться исключительно для получения электронной почты из Интернета. Имя соединителя получения по умолчанию — "<имя сервера пограничного транспорта> внутреннего соединителя получения по умолчанию".

  • Изменить привязки сети для получения сообщений только через сетевой адаптер, доступный в Интернете. Например: 10.1.1.1 и стандартное значение для порта SMTP TCP, равное 25.

Чтобы настроить соединитель получения по умолчанию только на получение сообщений из Интернета, выполните следующую команду.

Set-ReceiveConnector "Default internal Receive connector Edge01" -Name "From Internet" -Bindings 10.1.1.1:25

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ReceiveConnector.

Этот соединитель приема должен иметь указанные ниже характеристики.

  • Имя: "Из внутренней организации" (или любое другое описательное имя).

  • Тип использования: внутреннее.

  • Привязки локальной сети: сетевой адаптер для внутренней сети. Например: 10.1.1.2 и стандартное значение для порта SMTP TCP, равное 25.

  • Параметры удаленной сети: IP-адрес одного или нескольких серверов почтовых ящиков в организации Exchange. Например: 192.168.5.10 и 192.168.5.20.

  • Способы проверки подлинности: TLS, обычная проверка подлинности, обычная проверка подлинности с использованием TLS и проверка подлинности Exchange Server.

Чтобы создать соединитель получения, настроенный на получение сообщений в организацию Exchange, выполните следующую команду.

New-ReceiveConnector -Name "From Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.2:25 -RemoteIPRanges 192.168.5.10,192.168.5.20

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ReceiveConnector.

Чтобы убедиться в успешности настройки необходимых соединителей отправки и получения, выполните следующие команды на пограничном транспортном сервере и проверьте соответствие отображаемых значений выбранным вами.

Get-SendConnector | Format-List Name,Usage,AddressSpaces,SourceTransportServers,DSNRoutingEnabled,SmartHosts,SmartHostAuthMechanism
Get-ReceiveConnector | Format-List Name,Usage,AuthMechanism,Bindings,RemoteIPRanges

Для работы серверов почтовых ящиков в вашей организации требуется, чтобы соединитель отправки был настроен на отправку сообщений на пограничный транспортный сервер для ретрансляции в Интернет.

По умолчанию во время установки роли сервера почтовых ящиков создаются два соединителя получения. Соединитель с именем "Клиент ServerName" настраивается на прием сообщений от всех POP3- и IMAP-клиентов обмена сообщениями. Соединитель с именем "ServerName по умолчанию" настраивается на прием сообщений от пограничного транспортного сервера. Изменять параметры этих соединителей не требуется.

Этот соединитель отправки должен иметь следующие характеристики:

  • Имя: "На пограничный сервер" (или любое другое описательное имя).

  • Тип использования: внутреннее.

  • Адресные пространства: "*" (все домены).

  • DNS-маршрутизация отключена (маршрутизация промежуточного узла включена).

  • Промежуточные узлы: IP-адрес или полное доменное имя пограничного транспортного сервера. Например: пограничный_сервер01.contoso.net.

  • Серверы исходных почтовых ящиков: полное доменное имя одного или нескольких серверов почтовых ящиков. Например: сервер_почтовых_ящиков01.contoso.com и сервер_почтовых_ящиков02.contoso.com.

  • Метод проверки подлинности на промежуточном узле: обычная проверка подлинности с использованием TLS.

  • Учетные данные для проверки подлинности на промежуточном узле: учетные данные для учетной записи пользователя на пограничном транспортном сервере. Сначала необходимо сохранить имя пользователя и пароль во временной переменной, поскольку командлет New-SendConnector не принимает учетные данные пользователей в формате обычного текста.

Чтобы создать соединитель отправки, настроенный на отправку сообщений на пограничный транспортный сервер, выполните следующие команды.

$EdgeCredentials = Get-Credential
New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $false -SmartHosts edge01.contoso.com -SourceTransportServers mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $EdgeCredentials

Подробные сведения о синтаксисе и параметрах см. в разделе New-SendConnector.

Чтобы убедиться в успешном создании соединителя отправки, настроенного на отправку исходящих сообщений на пограничный транспортный сервер, выполните следующую команду на сервере почтовых ящиков и проверьте соответствие отображаемых значений выбранным вами.

Get-SendConnector | Format-List Name,Usage,AddressSpaces,DSNRoutingEnabled,SmartHosts,SourceTransportServers,SmartHostAuthMechanism
 
Показ: