Планирование пограничных транспортных серверов

  • Статья

Область применения: Exchange Server 2013 г.

Роль пограничного транспортного сервера была вновь введена в пакете обновления 1 Exchange. Пограничный транспортный сервер обеспечивает улучшенную защиту от нежелательной почты для организации Exchange. Пограничный транспортный сервер также применяет политики к сообщениям при их передаче между организациями. Эта роль сервера развертывается в демилитаризованной зоне и за пределами леса Active Directory. Пограничные транспортные серверы не имеют прямого доступа к сведениям о конфигурации и получателях в Active Directory, который есть у серверов почтовых ящиков или серверов клиентского доступа. Для локального хранения сведений о конфигурации и данных получателей пограничный транспортный сервер использует службу облегченного доступа к каталогам (AD LDS) Active Directory.

Вы можете добавить пограничный транспортный сервер к существующей организации Exchange 2013. При установке пограничного транспортного сервера не требуется выполнять никаких дополнительных подготовительных действий для Active Directory.

Примечание.

Если вы добавляете пограничный транспорт в существующую организацию Exchange 2010 или Exchange 2007, перед установкой пограничного транспорта Exchange 2013 необходимо установить специальные накопительные обновления на устаревших серверах. Дополнительные сведения см. в статье Требования к системе Для Exchange 2013.

При планировании развертывания пограничных транспортных серверов следует учесть следующие вопросы:

  • Емкость сервера. Планирование емкости сервера включает планирование мониторинга производительности пограничного транспортного сервера. Контроль производительности дает возможность оценить величину рабочей нагрузки сервера. Эта информация определяет производительность используемой конфигурации оборудования.

  • Функции транспорта. Пограничный транспортный сервер может обеспечить защиту от нежелательной почты на границе сети. В процессе планирования необходимо определить компоненты защиты от нежелательной почты, которые будут включены на пограничном транспортном сервере, и вариант их настройки.

  • Безопасность. Роль пограничного транспортного сервера предназначена для минимальной области атак. Поэтому важно надлежащим образом защищать физический и сетевой доступ к серверу и управлять им. Планирование средств защиты помогает гарантировать активирование IP-подключений только с авторизованных серверов и только авторизованными пользователями. Дополнительные сведения см. в разделе Контрольный список безопасности развертывания.

    Пограничный транспортный сервер рекомендуется размещать в демилитаризованной зоне. Чтобы убедиться, что сервер может отправлять и получать сообщения электронной почты, а также получать обновления данных получателя и конфигурации из службы Microsoft Exchange EdgeSync, необходимо разрешить обмен данными через порты, перечисленные в следующей таблице.

    Сетевой интерфейс Открытый порт Протокол Примечание.
    Входящий трафик из Интернета и исходящий трафик в Интернет 25/TCP SMTP Этот порт необходим для передачи почты в Интернет и получения почты из Интернета.
    Входящий трафик из внутренней сети и исходящий трафик во внутреннюю сеть 25/TCP SMTP Этот порт необходим для потока обработки почты, поступающей и исходящей из организации Exchange.
    Только локальный трафик 50389/TCP LDAP Этот порт используется для локального подключения к службам Active Directory облегченного доступа к каталогам.
    Входящий трафик из внутренней сети 50636/TCP Защищенный LDAP Этот порт необходим для синхронизации EdgeSync.
    Входящий трафик из внутренней сети 3389/TCP RDP Открывать этот порт не обязательно. Он обеспечивает более высокую гибкость управления пограничными транспортными серверами из внутренней сети, позволяя использовать для этого удаленное подключение к рабочему столу.

    Примечание.

    Роль пограничного транспортного сервера использует нестандартные порты LDAP. Порты, указанные в данном разделе — это порты связи LDAP, настраиваемые при установке роли пограничного транспортного сервера.

  • EdgeSync. Рекомендуемый процесс развертывания заключается в создании пограничной подписки для подписки на пограничный транспортный сервер в организации Exchange. При создании пограничной подписки сведения о получателях и конфигурации реплицируются из Active Directory в службы Active Directory облегченного доступа к каталогам. Пограничный транспортный сервер подписывается на сайт Active Directory. Затем служба Microsoft Exchange EdgeSync, запущенная на серверах почтовых ящиков на этом сайте, периодически обновляет AD LDS путем синхронизации данных из Active Directory. Процедура пограничной подписки автоматически готовит соединители отправки, необходимые для обеспечения потока почты из организации Exchange в Интернет через пограничный транспортный сервер. Если на пограничном транспортном сервере используется поиск получателей или объединение списков надежных отправителей, необходимо подписать пограничный транспортный сервер на организацию.

Настройка параметров DNS для роли пограничного транспортного сервера

Пограничный транспортный сервер развертывается вне организации Exchange в качестве изолированного сервера в сети периметра или в качестве участника сети периметра домена Active Directory. Необходимо вручную настроить правильный DNS-суффикс для роли пограничного транспортного сервера, прежде чем установить Exchange 2013. Ели DNS-суффикс не настроен, произойдет сбой установки.

Поскольку пограничный транспортный сервер развертывается в сети периметра, его сетевые адаптеры подключаются к нескольким сетевым сегментам. Все эти сетевые сегменты имеют уникальные IP-настройки. Сетевой адаптер, подключенный к внешнему (общему) сетевому сегменту, должен быть настроен с использованием общего DNS-сервера для разрешения имен. Это позволяет серверу разрешать имена доменов SMTP в записи ресурсов MX и маршрутизировать почту в Интернет.

Сетевой адаптер, подключенный к внутреннему (частному) сетевому сегменту, должен быть настроен с использованием DNS-сервера с возможностью разрешения имен серверов почтовых ящиков в вашей организации или иметь файл "Hosts". Пограничные транспортные серверы и серверы почтовых ящиков должны иметь возможность использовать механизм разрешения узлов DNS, чтобы обнаруживать друг друга.

Чтобы включить разрешение имен серверов почтовых ящиков пограничными транспортными серверами, используйте один из следующих методов:

  • Вручную создайте записи ресурсов для серверов почтовых ящиков в зоне прямого поиска на DNS-сервере, который настроен на внутреннем сетевом адаптере пограничного транспортного сервера.

  • Измените файл "Hosts" на пограничном транспортном сервере, чтобы включить записи узлов для серверов почтовых ящиков. Файл "Hosts" — это локальный текстовый файл, представленный в том же формате, что и файл /etc/hosts операционной системы UNIX 4.3 Berkeley Software Distribution (BSD). В этом файле имена узлов сопоставляются с IP-адресами, а сам файл хранится в папке \%Systemroot%\System32\Drivers\Etc.

Чтобы включить разрешение имен пограничных транспортных серверов с помощью серверов почтовых ящиков, используйте один из следующих методов:

  • Вручную создайте записи ресурсов для пограничных транспортных серверов в зоне прямого поиска на DNS-сервере, который настроен на сервере почтовых ящиков.
  • Измените файл "Hosts" на серверах почтовых ящиков, расположенных на подписанном сайте Active Directory, чтобы включить записи узлов для пограничных транспортных серверов.

Чтобы настроить параметры DNS для пограничного транспортного сервера, необходимо выполнить следующие шаги:

  1. Убедиться, что параметры сервера DNS для каждого сетевого адаптера являются правильными для сетевого сегмента.

  2. Настроить DNS-суффикс для имени пограничного транспортного сервера, используя следующие шаги:

    1. Откройте панель управления и выберите Свойства системы.

    2. Выберите вкладку Имя компьютера.

    3. Выберите Изменить.

    4. На странице Изменение имени компьютера нажмите кнопку Дополнительно.

    5. В поле Основной DNS-суффикс этого компьютера введите доменное имя и суффикс DNS для пограничного транспортного сервера.

    Это имя не может изменяться после установки роли пограничного транспортного сервера.

Переопределите параметры DNS

Чтобы почта правильно перенаправлялась и доставлялась, может понадобиться переопределение параметров DNS по умолчанию на сервере Exchange. Для этого измените параметры Внутренние DNS-запросы и Внешние DNS-запросы в свойствах транспортного сервера. Эти параметры переопределяют параметры сетевого адаптера для маршрутизации сообщений электронной почты.