Настройка потока электронной почты через пограничные транспортные серверы без использования EdgeSync

  • Статья

Мы рекомендуем использовать процесс пограничной подписки для создания потока почты между организацией Exchange и пограничным транспортным сервером, как описано в разделе Пограничные подписки. Однако иногда невозможно подписать пограничный транспортный сервер на организацию Exchange. Чтобы вручную установить поток обработки почты между вашей организацией Exchange и неподписанным пограничным транспортным сервером, необходимо вручную создать и (или) изменить следующие соединители отправки и получения:

На пограничном транспортном сервере:

  • Создайте выделенный соединитель отправки только для отправки сообщений в Интернет.

  • Создайте выделенный соединитель отправки, чтобы отправлять сообщения только на серверы почтовых ящиков в организации Exchange. 1

  • Создание выделенного соединителя получения для получения сообщений только с серверов почтовых ящиков в организацииExchange 2

  • Измените соединитель получения по умолчанию, чтобы принимать только сообщения из Интернета.

На сервере почтовых ящиков:

  • Создание выделенного соединителя отправки для ретрансляции исходящих сообщений на пограничный транспортный сервер

1 Соединитель отправки, созданный подпиской EdgeSync для доставки электронной почты в организацию Exchange, настроен для использования проверки подлинности Exchange Server (GSSAPI). Подписка EdgeSync определяет пограничный транспортный сервер как сервер Exchange для внутреннего леса Active Directory, что также позволяет Exchange Server проверку подлинности. По определению, в этом сценарии нет подписки EdgeSync, поэтому вам потребуется импровизировать:

  • Вы можете настроить обычную проверку подлинности по протоколу TLS, чтобы обеспечить проверку подлинности и шифрование трафика электронной почты между пограничным транспортным сервером и внутренней организацией Exchange. Этот метод имеет следующие проблемы:

    • Необходимо настроить учетную запись Active Directory, принадлежающую к универсальной группе безопасности серверов Exchange Server, для проверки подлинности в соединителе Отправки сообщений, который передает сообщения с пограничного транспортного сервера во внутреннюю организацию Exchange. Обязательно защитите учетные данные учетной записи, и вы можете настроить учетную запись так, чтобы разрешить вход только на определенных компьютерах. Вам также потребуется локальная учетная запись на пограничном транспортном сервере для проверки подлинности на соединителе Отправки, который ретранслирует сообщения из внутренней организации Exchange на пограничный транспортный сервер.

    • Сообщения, поступающие от этих соединителей отправки, будут рассматриваться конечным сервером почтовых ящиков как SMTP с проверкой подлинности. Это означает, что соединитель получения по умолчанию с именем Client Frontend <ServerName> в транспортной службе переднего плана будет принимать сообщения через порт 587, а сообщения принимаются во внутренней транспортной службе с помощью соединителя получения по умолчанию с именем Client Proxy <ServerName> через порт 465.

    • Чтобы обеспечить шифрование, необходимо использовать сертификат. Самозаверяющий сертификат на пограничном транспортном сервере не будет распознана внутренней организацией Exchange (опять же, подписка EdgeSync обычно отвечает за это). Необходимо вручную импортировать самозаверяющий сертификат в каждый почтовый ящик или использовать сертификат из доверенного стороннего центра сертификации.

  • Если вы не хотите, чтобы сообщения, поступающие с пограничного транспортного сервера, были идентифицированы как SMTP с проверкой подлинности и, следовательно, с помощью соответствующих клиентских соединителей получения, в качестве метода проверки подлинности можно использовать метод externally Secured. Это означает, что трафик электронной почты между пограничным транспортным сервером и внутренней организацией Exchange не проходит проверку подлинности или не шифруется Exchange. При использовании этого метода необходимо настроить и использовать внешний метод шифрования (например, IPsec или VPN).

2 Вместо выделенного соединителя получения можно настроить и использовать соединитель получения по умолчанию на пограничном транспортном сервере для входящих интернет-сообщений и входящих сообщений с внутренних серверов почтовых ящиков (подписка EdgeSync использует этот соединитель получения для обоих подключений).

Дополнительные сведения о отправке соединителей см. в разделе Отправка соединителей. Дополнительные сведения о соединителях получения см. в разделе Соединители получения.

Перед началом работы

  • Предполагаемое время выполнения задачи: 30 минут.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Отправка соединителей", в записи "Отправка соединителей - пограничный транспорт" и в записи "Получение соединителей - пограничный транспорт" в разделе Разрешения потока обработки почты .

  • На пограничных транспортных серверах можно использовать командную консоль Exchange только для создания соединителей отправки и получения. На серверах почтовых ящиков для создания соединителей отправки можно использовать Центр администрирования Exchange (EAC) или командную консоль Exchange.

    Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

    Сведения об открытии и использовании Центра администрирования Exchange см. в разделе Центр администрирования Exchange в Exchange Server.

  • Базовая конфигурация пограничного транспортного сервера в сети периметра должна разрешать общедоступные домены для электронной почты в Интернете и внутренние имена узлов для внутренней электронной почты. Это можно сделать разными способами, но можно настроить сетевой адаптер, подключенный к сегменту внешней (общедоступной) сети, для использования общедоступного DNS-сервера, а сетевой адаптер, подключенный к сегменту внутренней (частной) сети, использовать DNS-сервер в сети периметра.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server.

Процедуры для пограничного транспортного сервера

Шаг 1. Создание выделенного соединителя отправки только для отправки сообщений в Интернет

Этот соединитель отправки должен иметь следующие характеристики:

  • Имя: в Интернет (или любое описательное имя)

  • Тип использования: Интернет

  • Адресные пространства: "*" (все домены)

  • Параметры сети. Используйте записи DNS MX для автоматической маршрутизации почты. При определенной конфигурации сети можно также отправлять почту через промежуточный узел. Затем интеллектуальный узел направляет почту в Интернет.

Чтобы создать соединитель отправки, настроенный для отправки сообщений в Интернет, выполните следующую команду:

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

Подробные сведения о синтаксисе и параметрах см. в статье New-SendConnector.

Шаг 2. Создание выделенного соединителя отправки для отправки сообщений только в организацию Exchange

Этот соединитель отправки должен иметь следующие характеристики:

  • Имя: во внутреннюю организацию (или любое описательное имя)

  • Тип использования: Внутренний

  • Адресные пространства: -- (указывает все обслуживаемые домены для организации Exchange)

  • DNS-маршрутизация отключена (маршрутизация промежуточного узла включена).

  • Интеллектуальные узлы: полное доменное имя одного или нескольких серверов почтовых ящиков в качестве интеллектуальных узлов. Например: mbxserver01.contoso.com и mbxserver02.contoso.com.

  • Методы проверки подлинности интеллектуального узла: обычная проверка подлинности по протоколу TLS

  • Учетные данные проверки подлинности интеллектуального узла. Учетные данные учетной записи пользователя во внутреннем домене, который входит в универсальную группу безопасности серверов Exchange Server. Для хранения учетных данных используйте командлет Get-Credential. Используйте форматИмя пользователя> домена<\ >или имя участника-пользователя (имя участника-пользователя; например, ) для ввода имени< пользователя. chris@contoso.com

Чтобы создать соединитель для отправки сообщений в организацию Exchange, замените промежуточные узлы серверами почтовых ящиков в организации и выполните следующую команду:

New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces "--" -DNSRoutingEnabled $false -SmartHosts mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential (Get-Credential)

Подробные сведения о синтаксисе и параметрах см. в разделе New-SendConnector.

Шаг 3. Изменение соединителя получения по умолчанию так, чтобы он принимал только сообщения из Интернета

Внесите следующие изменения в конфигурацию соединителя получения по умолчанию:

  • Измените имя, чтобы указать, что соединитель будет использоваться исключительно для получения электронной почты из Интернета (по умолчанию используется имя внутреннего соединителя <получения ServerName>).

  • Измените сетевые привязки, чтобы принимать сообщения только с сетевого адаптера, доступного из Интернета (например, 10.1.1.1 и стандартного TCP-порта SMTP 25).

Чтобы изменить соединитель получения по умолчанию так, чтобы он принимал только сообщения из Интернета, замените ServerName> и привязыв его к имени пограничного транспортного сервера и конфигурации внешнего сетевого адаптера, а затем выполните следующую команду:<

Set-ReceiveConnector -Identity "Default internal Receive connector ServerName>" -Name "From Internet" -Bindings 10.1.1.1:25

Подробные сведения о синтаксисе и параметрах см. в статье Set-ReceiveConnector.

Шаг 4. Создание выделенного соединителя получения для приема только сообщений из организации Exchange

Этот соединитель приема должен иметь указанные ниже характеристики.

  • Имя: из внутренней организации (или любое описательное имя)

  • Тип использования: Внутренний

  • Привязки локальной сети: внутренний сетевой адаптер (например, 10.1.1.2 и стандартное значение TCP-порта SMTP 25).

  • Параметры удаленной сети: IP-адрес одного или нескольких серверов почтовых ящиков в организации Exchange. Например: 192.168.5.10 и 192.168.5.20.

  • Методы проверки подлинности: TLS, обычная проверка подлинности, обычная проверка подлинности через TLS и проверка подлинности Exchange Server.

Чтобы создать соединитель получения для приема сообщений только из организации Exchange, замените привязки и диапазоны удаленных IP-адресов своими значениями и выполните следующую команду:

New-ReceiveConnector -Name "From Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.2:25 -RemoteIPRanges 192.168.5.10,192.168.5.20

Подробные сведения о синтаксисе и параметрах см. в статье New-ReceiveConnector.

Как проверить, все ли получилось?

Чтобы убедиться, что необходимые соединители отправки и получения успешно настроены на пограничном транспортном сервере, выполните следующую команду на пограничном транспортном сервере и проверьте значения свойств:

Get-SendConnector | Format-List Name,Usage,AddressSpaces,SourceTransportServers,DSNRoutingEnabled,SmartHosts,SmartHostAuthMechanism; Get-ReceiveConnector | Format-List Name,Usage,AuthMechanism,Bindings,RemoteIPRanges

Процедуры сервера почтовых ящиков

Не нужно изменять соединители получения по умолчанию на серверах почтовых ящиков. Дополнительные сведения о соединителях получения по умолчанию на серверах почтовых ящиков см. в этом разделе.

Шаг 5. Создание выделенного соединителя отправки для отправки исходящих сообщений на пограничный транспортный сервер

Этот соединитель отправки должен иметь следующие характеристики:

  • Имя: к краю (или любое описательное имя)

  • Тип использования: Внутренний

  • Адресные пространства: "*" (все внешние домены)

  • DNS-маршрутизация отключена (маршрутизация промежуточного узла включена).

  • Интеллектуальные узлы: IP-адрес или полное доменное имя пограничного транспортного сервера. Например: пограничный_сервер01.contoso.net.

  • Исходные серверы: полное доменное имя одного или нескольких серверов почтовых ящиков. Например: mbxserver01.contoso.com и mbxserver02.contoso.com.

  • Методы проверки подлинности интеллектуального узла: обычная проверка подлинности по протоколу TLS.

  • Учетные данные проверки подлинности интеллектуального узла. Учетные данные учетной записи пользователя на пограничном транспортном сервере.

Создание соединителя для отправки исходящих сообщений на пограничный транспортный сервер в Центре администрирования Exchange

  1. В EAC перейдите в разделОтправка соединителейпотока> обработки почты и нажмите кнопку Добавитьзначок добавления. Откроется мастер создания соединителя отправки.

  2. На первой странице настройте следующие параметры:

    • Имя: введите в edge.

    • Тип: выберите Внутренний.

    Нажмите кнопку Далее.

  3. На следующей странице выберите Маршрутизировать почту через смарт-узлы и нажмите кнопку Добавитьзначок. В появившемся диалоговом окне Добавление интеллектуального узла определите пограничный транспортный сервер, используя одно из следующих значений:

    • IP-адрес: например, 10.1.1.2.

    • Полное доменное имя (FQDN): например, edge01.contoso.net. Обратите внимание, что исходные серверы почтовых ящиков для соединителя отправки должны иметь возможность разрешать пограничный транспортный сервер в DNS с помощью этого FQDN. В противном случае используйте IP-адрес.

    Нажмите Сохранить.

  4. На следующей странице, в разделе Проверка подлинности промежуточных узлов, выберите Обычная проверка подлинности и настройте эти дополнительные параметры:

    • Выберите Предлагать обычную проверку подлинности только после запуска TLS

    • В полях Имя пользователя и Пароль введите данные учетной записи локального пользователя на пограничном транспортном сервере.

    Нажмите кнопку Далее.

  5. На следующей странице в разделе Адресное пространство нажмите кнопку Добавитьзначок. В открывшемся диалоговом окне Добавление домена введите следующие сведения:

    • Тип: убедитесь, что выбран smtp.

    • Полное доменное имя (FQDN): введите звездочку (*), чтобы указать, что соединитель отправки используется для всех внешних доменов.

    • Затраты: убедитесь, что введено значение 1. Чем ниже значение, тем предпочтительнее будет маршрут.

    Нажмите Сохранить.

  6. На предыдущей странице имеется параметр Соединитель отправки с заданной областью, который важен, если серверы Exchange установлены на нескольких сайтах Active Directory в организации:

    • Если не выбрать соединитель отправки с областью действия, соединитель будет использоваться всеми транспортными серверами (серверами почтовых ящиков Exchange 2019, серверами почтовых ящиков Exchange 2016, серверами почтовых ящиков Exchange 2013 и транспортными серверами-концентраторами Exchange 2010) во всем лесу Active Directory. Это значение используется по умолчанию.

    • Если вы выберите Соединитель отправки с заданной областью, соединитель смогут использовать только другие транспортные серверы на том же сайте Active Directory.

    Нажмите кнопку Далее.

  7. На следующей странице в разделе Исходный сервер нажмите кнопку Добавитьзначок. В появившемся диалоговом окне Выбор сервера выберите один или несколько серверов почтовых ящиков, которые нужно использовать для отправки исходящей почты через пограничный транспортный сервер. Выберите сервер почтовых ящиков и нажмите кнопку Добавить (> повторить столько раз), нажмите кнопку ОК и нажмите кнопку Готово.

Создание соединителя для отправки исходящих сообщений на пограничный транспортный сервер в командной консоли Exchange

Чтобы создать соединитель для отправки исходящих сообщений на пограничный транспортный сервер, замените промежуточные узлы и исходные серверы почтовых ящиков своими значениями и выполните следующую команду:

New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $false -SmartHosts edge01.contoso.com -SourceTransportServers mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential (Get-Credential)

Подробные сведения о синтаксисе и параметрах см. в статье New-SendConnector.

Как проверить, все ли получилось?

Чтобы убедиться, что соединитель для отправки исходящих сообщений на пограничный транспортный сервер успешно создан, выполните одно из следующих действий:

  • В EAC перейдите к разделуОтправка соединителей потока >обработки почты, выберите значок Отправить соединитель с именем в Edge > щелкните Изменить изменить и проверьте значения свойств.

  • В командной консоли Exchange выполните следующую команду на сервере почтовых ящиков и проверьте значения свойств:

    Get-SendConnector -Identity "To Edge" | Format-List Usage,AddressSpaces,DSNRoutingEnabled,SmartHosts,SourceTransportServers,SmartHostAuthMechanism