Данные репликации EdgeSync

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-03-09

В процессе развертывания пограничный транспортный сервер не имеет доступа к Active Directory. Для выполнения поиска получателей и объединения списков надежных отправителей, а также для реализации безопасности домена с использованием взаимной проверки подлинности TLS пограничному транспортному серверу требуются данные, хранящиеся в Active Directory. Эти данные реплицируются на пограничный транспортный сервер с помощью EdgeSync и сохраняются в службах Active Directory облегченного доступа к каталогам (AD LDS).

В этой статье рассматриваются данные, реплицированные с Active Directory в службы Active Directory облегченного доступа к каталогам на пограничном транспортном сервере с подпиской на сайт Active Directory. Дополнительные сведения об EdgeSync и пограничных подписках см. в разделе Пограничные подписки.

В службы Active Directory облегченного доступа к каталогам реплицируются четыре типа данных, которые затем используются пограничным транспортным сервером:

сведения о пограничной подписке;

сведения о конфигурации;

сведения о получателях;

сведения о топологии.

Exchange 2013 расширяет схемы Active Directory и служб Active Directory облегченного доступа к каталогам, добавляя в объект ms-Exch-ExchangeServer атрибуты, представляющие данные, необходимые для управления синхронизацией EdgeSync. Эти атрибуты обеспечивают выполнение трех функций EdgeSync:

  • автоматическое предоставление и обслуживание учетных данных, которые обеспечивают соединение LDAP между сервером почтовых ящиков и подписанным пограничным транспортным сервером;

  • арбитраж процесса блокировки и аренды синхронизации, что обеспечивает одновременную попытку синхронизации только одного сервера с отдельным пограничным транспортным сервером. Дополнительные сведения о блокировке и аренде см. в разделе Пограничные подписки.

  • оптимизация синхронизации EdgeSync для ведения записи о текущем состоянии синхронизации. Простой просмотр состояния синхронизации помогает избежать излишней ручной синхронизации.

В таблице ниже приведены расширения схемы, которые относятся к пограничным подпискам. Значения, назначенные этим атрибутам, устанавливаются пограничной подпиской и EdgeSync; они не предназначены для исправления вручную.

Расширения схемы пограничной подписки

Имя атрибута Описание

ms-Exch-Server-EKPK-Public-Key

Текущий общедоступный ключ сертификата, используемого сервером. Это значение хранится как на пограничных транспортных серверах, так серверах почтовых ящиков. Общедоступный ключ используется для шифрования учетных данных, используемых для проверки подлинности сервера во время подключения по протоколам LDAP и SMTP.

ms-Exch-EdgeSync-Credential

Список учетных данных, используемых EdgeSync для установления сеансов с поверкой подлинности по протоколу LDAP со службами Active Directory облегченного доступа к каталогам. На серверах почтовых ящиков этот атрибут содержит только учетные данные, с помощью которых сервер почтовых ящиков проверяет подлинность подписанных пограничных транспортных серверов. На пограничных транспортных серверах этот атрибут содержит учетные данные каждого сервера почтовых ящиков на подписанном сайте Active Directory, который участвует в процессе синхронизации EdgeSync. Этот атрибут содержится только на серверах почтовых ящиков с запущенной синхронизацией EdgeSync, а также на подписанных пограничных транспортных серверах.

ms-Exch-Edge-Sync-Lease

Используется для выбора сервера почтовых ящиков, когда несколько серверов пытаются реплицировать один и тот же пограничный транспортный сервер.

ms-Exch-Edge-Sync-Status

Содержится только в службах Active Directory облегченного доступа к каталогам в объекте пограничного транспортного сервера. Этот атрибут отслеживает состояние репликации в экземпляр служб Active Directory облегченного доступа к каталогам и содержит сведения о репликации.

В начало

Во время оформления подписки на пограничный транспортный сервер в организации можно изменить настройки, общие для пограничного транспортного сервера и организации Exchange, изнутри организации. Эти изменения затем реплицируются на пограничный транспортный сервер с помощью EdgeSync. Этот процесс обеспечивает согласованность конфигурации всех серверов, используемых для обработки сообщений.

Подмножество данных конфигурации для организации Exchange также должно храниться на пограничном транспортном сервере. В процессе синхронизации EdgeSync данные конфигурации, необходимые пограничному транспортному серверу, записываются в раздел конфигурации служб Active Directory облегченного доступа к каталогам. К записываемым данным конфигурации относятся:

  • Серверы почтовых ящиков. Полное доменное имя каждого сервера почтовых ящиков на подписанном сайте Active Directory становится доступным в локальном хранилище служб Active Directory облегченного доступа к каталогам на пограничном транспортном сервере. Эти сведения используются для получения списка серверов промежуточных узлов для входящего соединителя отправки.

  • Обслуживаемые домены   Все уполномоченные домены внутренней и внешней ретрансляции, настроенные для организации Exchange, записываются в службы Active Directory облегченного доступа к каталогам. Наличие обслуживаемых доменов, доступных для пограничного транспортного сервера, позволяет организации Exchange как можно раньше выполнять фильтрацию доменов и отклонять недопустимый трафик SMTP, поступающий в организацию. Дополнительные сведения об обслуживаемых доменах см. в разделе Обслуживаемые домены.

  • Классификации сообщений. Если на пограничном транспортном сервере доступны классификации сообщений, агенты транспорта и функция преобразования содержимого могут воздействовать на классификации сообщений в демилитаризованной зоне. Например, агент фильтра вложений может применить классификацию "Вложение удалено" при перемещении вложения, отправив информационный текст пользователю Microsoft Outlook или Outlook Web App с объяснением случившегося. Агенты, разработанные для использования сторонними приложениями, могут использовать классификации сообщений аналогичным образом.

  • Удаленные домены. Все данные удаленных доменов, настроенные для организации Exchange, записываются в службы Active Directory облегченного доступа к каталогам. Записи удаленных доменов определяют параметры сообщения об отсутствии на работе и параметры формата сообщения для удаленного домена. Дополнительные сведения об удаленных доменах см. в разделе Удаленные домены.

  • Соединители отправки. По умолчанию при создании пограничного транспортного сервера автоматически создаются соединители отправки, необходимые для активации сквозного потока обработки почты между организацией Exchange и Интернетом в процессе подписки на пограничный транспортный сервер. Все имеющиеся на пограничном транспортном сервере соединители отправки удаляются. Если необходимо настроить дополнительные соединители отправки, настройте соединитель отправки внутри организации Exchange и выберите пограничную подписку в качестве исходного сервера для соединителя. Дополнительные сведения см. в разделе Пограничные подписки.

  • Внутренние SMTP-серверы. Значение атрибута InternalSMTPServers хранится в объекте TransportConfig как для организации Exchange, так и для локального пограничного транспортного сервера. В процессе синхронизации EdgeSync значение, хранящееся в объекте локального пограничного транспортного сервера, перезаписывается значением, хранящимся в этом же объекте для организации Exchange. Этот атрибут задает список IP-адресов внутреннего SMTP-сервера или диапазоны IP-адресов, которые не должны учитываться кодом отправителя и фильтрацией подключений.

  • Списки безопасности домена. Атрибуты TLSReceiveDomainSecureList и TLSSendDomainSecureList хранятся в объекте TransportConfig как для организации Exchange, так и для локального пограничного транспортного сервера. В процессе синхронизации EdgeSync значение, хранящееся в объекте локального пограничного транспортного сервера, перезаписывается значением, хранящимся в этом же объекте для организации Exchange. Эти атрибуты задают список удаленных доменов, настроенных для взаимной проверки подлинности TLS.

В начало

Информация о получателе, которая реплицируется в службы Active Directory облегченного доступа к каталогам, содержит только подмножество атрибутов получателя. Реплицируются только данные, необходимые пограничному транспортному серверу для выполнения определенных задач с защиты от нежелательной почты. К информации о получателе, реплицируемой в службы Active Directory облегченного доступа к каталогам, принадлежит:

  • Получатели. Список получателей в организации Exchange реплицируется в службы Active Directory облегченного доступа к каталогам. Каждый получатель идентифицируется по GUID службы Active Directory. Если учетная запись получателя настроена так, что она отклоняет почту из-за пределов организации, получатель не реплицируется в службы Active Directory облегченного доступа к каталогам. Отключенный или удаленный почтовый ящик больше не будет реплицироваться в службы Active Directory облегченного доступа к каталогам.

  • Адреса прокси-серверов   Все адреса прокси-серверов, назначенные каждому получателю, реплицируются в службы Active Directory облегченного доступа к каталогам в виде хэшированных данных. Этот хэш является односторонним и использует алгоритм SHA-256. Алгоритм SHA-256 создает 256-разрядный хэш исходных данных. Хранение адресов прокси-серверов в виде хэшированных данных позволяет защитить их на случай компрометации пограничного транспортного сервера или служб Active Directory облегченного доступа к каталогам. Адреса прокси-серверов используются при выполнении пограничным транспортным сервером поиска получателей для защиты от нежелательной почты.

  • Список надежных отправителей, список заблокированных отправителей и список надежных получателей. Списки надежных отправителей, заблокированных отправителей и надежных получателей, созданные в каждом экземпляре Outlook получателя, объединяются и реплицируются в службы Active Directory облегченного доступа к каталогам. Эти параметры хранятся в базе данных почтовых ящиков, где размещен почтовый ящик получателя. Коллекция списков надежных отправителей пользователя Outlook — это объединенные данные из пользовательского списка надежных отправителей, надежных получателей, заблокированных отправителей и внешних контактов. Наличие в службах Active Directory облегченного доступа к каталогам данных о коллекции списков надежных отправителей позволяет пограничному транспортному серверу надлежащим образом блокировать отправителей, сокращая при этом накладные расходы, связанные с фильтрацией почты. Эти сведения отправляются в виде хэшированных данных.

    ВажноВажно!
    Хотя данные о надежных получателях хранятся в Outlook и могут быть объединены в коллекцию списков надежных получателей в экземпляре служб Active Directory облегченного доступа к каталогам на пограничном транспортном сервере, функции фильтрации содержимого не используют в работе данные о надежных получателях.
  • Параметры защиты от нежелательной почты для каждого получателя. С помощью командлета Set-Mailbox можно назначить для каждого получателя пороговые значения параметров защиты от нежелательной почты, отличающиеся от параметров защиты от нежелательной почты, действующих во всей организации. Параметры защиты от нежелательной почты, настроенные для получателя, переопределяют параметры организации. Репликация этих параметров в службы Active Directory облегченного доступа к каталогам позволяет учитывать параметры для отдельных получателей перед ретрансляцией сообщения в организацию Exchange. Эти сведения отправляются в виде хэшированных данных.

В начало

К сведениям о топологии относятся уведомления о недавно подписанных пограничных транспортных серверах и об удаленных пограничных подписках. Эти данные обновляются каждые пять минут.

В начало

 
Показ: