Планирование пограничных транспортных серверов

Exchange 2013
 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-04-07

Роль пограничного транспортного сервера была вновь введена в пакете обновления 1 Exchange. Пограничный транспортный сервер обеспечивает улучшенную защиту от нежелательной почты для организации Exchange. Пограничный транспортный сервер также применяет политики к сообщениям при их передаче между организациями. Эта роль сервера развертывается в демилитаризованной зоне и за пределами леса Active Directory. Пограничные транспортные серверы не имеют прямого доступа к сведениям о конфигурации и получателях в Active Directory, который есть у серверов почтовых ящиков или серверов клиентского доступа. Для локального хранения сведений о конфигурации и данных получателей пограничный транспортный сервер использует службу облегченного доступа к каталогам (AD LDS) Active Directory.

Вы можете добавить пограничный транспортный сервер к существующей организации Exchange 2013. При установке пограничного транспортного сервера не требуется выполнять никаких дополнительных подготовительных действий для Active Directory.

ПримечаниеПримечание.
Если вы добавляете пограничный транспортный сервер к существующей организации Exchange 2010 или Exchange 2007, перед тем, как установить пограничный транспортный сервер Exchange 2013, необходимо установить конкретные накопительные пакеты обновлений на устаревших серверах. Дополнительные сведения см. в разделе Требования к системе для установки Exchange 2013.

При планировании развертывания пограничных транспортных серверов следует учесть следующие вопросы:

  • Производительность сервера   Планирование производительности сервера включает в себя планирование проведения контроля производительности пограничного транспортного сервера. Контроль производительности дает возможность оценить величину рабочей нагрузки сервера. Эта информация определяет производительность используемой конфигурации оборудования.

  • Компоненты транспорта. Пограничный транспортный сервер может обеспечивать защиту от нежелательной почты на границе сети. В процессе планирования необходимо определить компоненты защиты от нежелательной почты, которые будут включены на пограничном транспортном сервере, и вариант их настройки.

  • Безопасность. Роль пограничного транспортного сервера разработана с целью минимизации площади атаки. Поэтому важно надлежащим образом защищать физический и сетевой доступ к серверу и управлять им. Планирование средств защиты помогает гарантировать активирование IP-подключений только с авторизованных серверов и только авторизованными пользователями. Дополнительные сведения см. в разделе Контрольный список по безопасности развертывания.

    Пограничный транспортный сервер рекомендуется размещать в демилитаризованной зоне. Чтобы сервер мог отправлять и принимать сообщения электронной почты и получать обновления сведений о получателях и данных конфигурации от службы Microsoft Exchange EdgeSync, необходимо разрешить обмен данными через порты, перечисленные в приведенной ниже таблице.

    Настройка коммуникационных портов для пограничных транспортных серверов

    Сетевой интерфейс Открытый порт Протокол Примечание

    Входящий трафик из Интернета и исходящий трафик в Интернет

    25/TCP

    SMTP

    Этот порт необходим для передачи почты в Интернет и получения почты из Интернета.

    Входящий трафик из внутренней сети и исходящий трафик во внутреннюю сеть

    25/TCP

    SMTP

    Этот порт необходим для потока обработки почты, поступающей и исходящей из организации Exchange.

    Только локальный трафик

    50389/TCP

    LDAP

    Этот порт используется для локального подключения к службам Active Directory облегченного доступа к каталогам.

    Входящий трафик из внутренней сети

    50636/TCP

    Защищенный LDAP

    Этот порт необходим для синхронизации EdgeSync.

    Входящий трафик из внутренней сети

    3389/TCP

    RDP

    Открывать этот порт не обязательно. Он обеспечивает более высокую гибкость управления пограничными транспортными серверами из внутренней сети, позволяя использовать для этого удаленное подключение к рабочему столу.

    ПримечаниеПримечание.
    Роль пограничного транспортного сервера использует нестандартные порты LDAP. Порты, указанные в данном разделе — это порты связи LDAP, настраиваемые при установке роли пограничного транспортного сервера.
  • EdgeSync   Рекомендуемая процедура развертывания: создать пограничную подписку для того, чтобы подписать пограничный транспортный сервер на организацию Exchange. При создании пограничной подписки сведения о получателях и конфигурации реплицируются из Active Directory в службы Active Directory облегченного доступа к каталогам. Пограничный транспортный сервер подписывается на сайт Active Directory. Впоследствии служба EdgeSync Microsoft Exchange, работающая на серверах почтовых ящиков этого сайта, будет периодически обновлять службы Active Directory облегченного доступа к каталогам путем синхронизации данных с Active Directory. Процедура пограничной подписки автоматически готовит соединители отправки, необходимые для обеспечения потока почты из организации Exchange в Интернет через пограничный транспортный сервер. Если на пограничном транспортном сервере используется поиск получателей или объединение списков надежных отправителей, необходимо подписать пограничный транспортный сервер на организацию.

Пограничный транспортный сервер развертывается вне организации Exchange в качестве изолированного сервера в сети периметра или в качестве участника сети периметра домена Active Directory. Необходимо вручную настроить правильный DNS-суффикс для роли пограничного транспортного сервера, прежде чем установить Exchange 2013. Ели DNS-суффикс не настроен, произойдет сбой установки.

Поскольку пограничный транспортный сервер развертывается в сети периметра, его сетевые адаптеры подключаются к нескольким сетевым сегментам. Все эти сетевые сегменты имеют уникальные IP-настройки. Сетевой адаптер, подключенный к внешнему (общему) сетевому сегменту, должен быть настроен с использованием общего DNS-сервера для разрешения имен. Это позволяет серверу разрешать имена доменов SMTP в записи ресурсов MX и маршрутизировать почту в Интернет.

Сетевой адаптер, подключенный к внутреннему (частному) сетевому сегменту, должен быть настроен с использованием DNS-сервера с возможностью разрешения имен серверов почтовых ящиков в вашей организации или иметь файл "Hosts". Пограничные транспортные серверы и серверы почтовых ящиков должны иметь возможность использовать механизм разрешения узлов DNS, чтобы обнаруживать друг друга.

Чтобы включить разрешение имен серверов почтовых ящиков пограничными транспортными серверами, используйте один из следующих методов:

  • Вручную создайте записи ресурсов для серверов почтовых ящиков в зоне прямого поиска на DNS-сервере, который настроен на внутреннем сетевом адаптере пограничного транспортного сервера.

  • Измените файл "Hosts" на пограничном транспортном сервере, чтобы включить записи узлов для серверов почтовых ящиков. Файл "Hosts" — это локальный текстовый файл, представленный в том же формате, что и файл /etc/hosts операционной системы UNIX 4.3 Berkeley Software Distribution (BSD). В этом файле имена узлов сопоставляются с IP-адресами, а сам файл хранится в папке \%Systemroot%\System32\Drivers\Etc.

Чтобы включить разрешение имен пограничных транспортных серверов с помощью серверов почтовых ящиков, используйте один из следующих методов:

  • Вручную создайте записи ресурсов для пограничных транспортных серверов в зоне прямого поиска на DNS-сервере, который настроен на сервере почтовых ящиков.

  • Измените файл "Hosts" на серверах почтовых ящиков, расположенных на подписанном сайте Active Directory, чтобы включить записи узлов для пограничных транспортных серверов.

Чтобы настроить параметры DNS для пограничного транспортного сервера, необходимо выполнить следующие шаги:

  1. Убедиться, что параметры сервера DNS для каждого сетевого адаптера являются правильными для сетевого сегмента.

  2. Настроить DNS-суффикс для имени пограничного транспортного сервера, используя следующие шаги:

    1. Откройте панель управления и выберите Свойства системы.

    2. Выберите вкладку Имя компьютера.

    3. Выберите Изменить.

    4. На странице Изменение имени компьютера нажмите кнопку Дополнительно.

    5. В поле Основной DNS-суффикс этого компьютера введите доменное имя и суффикс DNS для пограничного транспортного сервера.

    Это имя не может изменяться после установки роли пограничного транспортного сервера.

Чтобы почта правильно перенаправлялась и доставлялась, может понадобиться переопределение параметров DNS по умолчанию на сервере Exchange. Для этого измените параметры Внутренние DNS-запросы и Внешние DNS-запросы в свойствах транспортного сервера. Эти параметры переопределяют параметры сетевого адаптера для маршрутизации сообщений электронной почты.

 
Показ: