在尚未升级到 Exchange 2010 的现有 Exchange 2003 组织中部署边缘传输服务器角色

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2012-07-23

使用边缘传输服务器可为 Exchange 组织提供反垃圾邮件、防病毒和传输规则处理。将现有 Exchange 2003 服务器升级到 Exchange Server 2010 之前,可以部署和配置边缘传输服务器,使其在现有 MicrosoftExchange Server 2003 组织的外围网络中充当智能主机。虽然将 Exchange 2010 引入 Exchange 2003 组织并使用边缘订阅是更好的做法,但您可能需要在开始升级前开始使用边缘服务器。以下情况可能需要使用这一部署选项:

  • 您希望在开始升级内部 Exchange 组织前,开始利用边缘保护的好处。

  • 您具有无法同时升级的多个站点,而且您希望这些站点中的服务器在升级前直接向外围网络发送邮件。

  • 您已部署 Exchange 2010,并且您的组织合并或收购了另一个已部署 Exchange 2003 的组织,您希望通过边缘服务器来集中邮件流。

注释注意:
在本主题所描述的方案中,Exchange 组织中尚未部署运行 MicrosoftExchange Server 2010 的计算机。这限制了边缘传输服务器上的可用功能,您无法使用依赖边缘订阅的任何功能。依赖边缘订阅的功能是收件人查找和安全列表聚合。如果要创建边缘订阅,必须在 Exchange 组织中部署最少一个 Exchange 2010 集线器传输服务器并将组织配置为共存。有关详细信息,请参阅从 Exchange 2003 传输升级

若要了解与边缘传输服务器相关的其他管理任务,请查看管理传输服务器

  • 边缘传输服务器已部署在外围网络中。有关详细步骤,请参阅执行 Exchange 2010 自定义安装

  • 已对边缘传输服务器进行了配置,以执行防病毒和反垃圾邮件的处理并应用传输规则。有关详细步骤,请参阅管理反垃圾邮件和防病毒功能管理传输规则

  • 已在边缘传输服务器上配置了接受域。对于每个通过 Exchange 组织接收电子邮件的 SMTP 域,您需要为其创建接受域条目。有关详细步骤,请参阅传输服务器部署后任务

  • 验证上述域的域名系统 (DNS) 邮件交换 (MX) 资源记录并对其做出所需修改,以便发送到接收域的电子邮件定向到边缘传输服务器。

  • 确定身份验证方法,该方法将用于帮助确保边缘传输服务器与 Exchange 组织间的连接的安全。我们建议使用基于传输层安全性 (TLS) 的基本身份验证。您也可以决定将外部安全用作自己的身份验证机制。此身份验证机制依赖于网络安全(如 Internet 协议安全性 (IPsec))来帮助确保连接安全。有关可用的身份验证方法的详细信息,请参阅保护传输服务器的安全

对于所有部署,必须首先创建从边缘传输服务器到 Internet 的发送连接器。然后,根据所选身份验证方法配置邮件流。

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“边缘传输服务器”条目。

使用 EMC 中的新建发送连接器向导,在边缘传输服务器上创建具有以下设置的发送连接器:

  • 简介页:在“选择此发送连接器的预期用法”中,选择“Internet”。

  • 地址空间页:单击“添加”,然后在“SMTP 地址空间”对话框中键入 *(星号)。

有关详细步骤,请参阅创建 SMTP 发送连接器

另外,可以使用 New-SendConnector cmdlet 在命令行管理程序中创建连接器。此示例将创建“到 Internet”的发送连接器,此发送连接器使用 DNS 来路由邮件。

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

如果使用智能主机将邮件路由到 Internet,则需要使用不同的参数。此示例将创建相同的发送连接器,但将其配置为使用智能主机 10.10.1.1,而不是使用 DNS 来路由邮件。

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $false -SmartHosts "10.10.1.1"

有关语法和参数的详细信息,请参阅 New-SendConnector

注释注意:
安装边缘传输服务器角色时,将创建配置为从 Internet 接收邮件的默认接收连接器。因此,不需要再创建与本节中创建的发送连接器相对应的接收连接器。

本节中的步骤将帮助您使用基于 TLS 的基本身份验证在边缘传输服务器和 Exchange 2003 组织之间配置安全邮件流。

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“边缘传输服务器”条目。

  1. 创建边缘传输服务器使用的凭据,以对 Exchange 2003 服务器进行身份验证。在为 Exchange 组织服务的 Active Directory 中创建用户帐户。将该用户帐户添加到 Exchange 域服务器安全组。

    重要重要说明:
    授予该帐户指定给 Exchange 服务器的权限和权利。确保保护帐户凭据以避免误用该帐户。可以将该帐户配置为仅允许登录特定的计算机。
  2. 在边缘传输服务器上,创建 Exchange 2003 服务器对边缘传输服务器进行身份验证所使用的凭据。在边缘传输服务器上的“本地用户和组”容器中的“用户”文件夹中创建用户帐户。

在 Exchange 2003 服务器或将接收来自于边缘传输服务器的邮件的服务器上,验证 SMTP 虚拟服务器是否配置为启用基于 TLS 的基本身份验证。

  1. 打开 Exchange 系统管理器。展开“服务器”节点。展开所需服务器。展开“协议”节点。展开“SMTP”。右键单击“默认 SMTP 虚拟服务器”,然后选择“属性”。

  2. 单击“访问”选项卡,然后单击“身份验证”。

  3. 在“身份验证”对话框中,选择“基本身份验证(密码以明文形式发送)”和“需要 TLS 加密”。单击“确定”。

  4. 单击“确定”关闭“默认 SMTP 虚拟服务器属性”。

使用 EMC 中的新建发送连接器向导,在边缘传输服务器上创建具有以下设置的发送连接器:

  • 简介页:在“选择此发送连接器的预期用法”中,选择“内部”。

  • 地址空间页:单击“添加”打开“SMTP 地址空间”对话框。在此对话框的“地址”字段中键入“–”。此字符是一个占位符,表示接受域配置中的所有权威内部中继域。另外,可以将每个域作为单独的条目列出。其他字段保留其默认设置,然后单击“确定”。

  • 网络设置页:在“通过以下智能主机路由邮件”中,输入将从边缘传输服务器接收邮件的 Exchange 2003 桥头服务器的 IP 地址或完全限定域名 (FQDN)。如果将多个桥头服务器配置为智能主机,来自边缘传输服务器的连接将在各智能主机间实现负载平衡。

  • 配置智能主机身份验证设置页:选择“基本身份验证”和“基于 TLS 的基本身份验证”。在“用户名”和“密码”字段中,输入在本主题前面的“为已通过身份验证的邮件流配置凭据”一节中创建的用户帐户凭据。

    有关详细步骤,请参阅创建 SMTP 发送连接器

另外,可以使用 New-SendConnector cmdlet 在命令行管理程序中创建连接器。此示例将创建具有所需设置的“到 Exchange 组织”的发送连接器,并将服务器 10.10.1.10 和 10.10.1.11 指定为将从边缘传输服务器接收邮件的 Exchange 2003 桥头服务器。

$mycred = get-credential

在显示的对话框中,输入“为已通过身份验证的邮件流配置凭据”一节中创建的用户帐户凭据。使用域\用户格式或用户主要名称 (UPN) 格式输入用户名,然后提供用户密码。单击“确定”。

New-SendConnector -Name "To Exchange Organization" -Usage Internal -AddressSpaces "--" -DNSRoutingEnabled $false -SmartHosts "10.10.1.10","10.10.1.11" -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred 

有关语法和参数的详细信息,请参阅 New-SendConnector

创建发送连接器之后,必须通过在命令行管理程序中运行此命令,授予能够将 XExch50 数据从边缘传输服务器传输到 Exchange 2003 服务器所需的权限。

Add-AdPermission -Identity "To Exchange Organization" -User "NT Authority\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Send-Exch50

使用 EMC 中的新建接收连接器向导,在边缘传输服务器上创建具有以下设置的接收连接器:

  • 简介页:在“选择此接收连接器的预期用法”中,选择“内部”。

  • 远程网络设置页:删除所有网络范围,并添加将邮件中继到边缘传输服务器的 Exchange 2003 桥头服务器的 IP 地址

创建连接器之后,通过在连接器属性的“身份验证”选项卡上选择“基本身份验证”和“仅在启动 TLS 之后提供基本身份验证”,修改身份验证方法。有关详细步骤,请参阅创建 SMTP 接收连接器配置接收连接器属性

另外,可以使用 New-ReceiveConnector cmdlet 在命令行管理程序中创建连接器。此示例将创建具有所需设置的“从 Exchange 组织”接收连接器,并指定接收连接器将仅接受来自服务器 10.10.1.10 和 10.10.1.11 的邮件。

New-ReceiveConnector -Name "From Exchange Organization" -Usage Internal -RemoteIPRanges 10.10.1.10,10.10.1.11 -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS -Bindings 0.0.0.0:25

在边缘传输服务器上,在命令行管理程序中运行此命令,对“为已通过身份验证的邮件流配置凭据”一节中创建的本地用户帐户授予新建接收连接器的权限。

Add-AdPermission -Identity "Receive Connector Name" -User Edge\Contoso -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-Accept-Headers-Routing,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
重要重要说明:
授予该帐户使其可以通过边缘传输服务器中继邮件的权限。确保保护帐户凭据以避免误用该帐户。

在 Exchange 2003 服务器上,创建 SMTP 连接器,将该连接器配置为通过边缘传输服务器中继所有 Internet 电子邮件并使用基于 TLS 的基本身份验证帮助确保连接安全,所需执行的步骤如下:

  1. 打开 Exchange 系统管理器。右键单击位于将驻留此连接器的服务器所在的路由组中的“连接器”容器,选择“新建”,再选择“SMTP 连接器”。

    注释注意:
    如果 Exchange 系统管理器中未显示路由组,请右键单击 Exchange 组织容器,选择“属性”,然后选中“显示路由组”复选框。
  2. 选择“常规”选项卡。在“名称”字段中,键入此连接器的唯一名称。

  3. 选择“将通过此连接器的所有邮件转发到下列智能主机”,然后键入边缘传输服务器的 IP 地址或 FQDN。如果输入 IP 地址,则必须将其括在方括号中,例如: [192.168.1.1].

  4. 单击“添加”以添加本地桥头服务器。在“添加桥头”对话框中,选择一个或多个 Exchange 2003 服务器。

  5. 选择“地址空间”选项卡,再单击“添加”创建地址空间。在“添加地址空间”对话框中,选择 SMTP,再单击“确定”。

  6. 在“Internet 地址空间属性”页中,输入 *,再单击“确定”。

  7. 选择“高级”选项卡,再单击“出站安全”。在“出站安全”对话框中,选择“基本身份验证”,再单击“修改”。

  8. 在“出站连接凭据”对话框中,输入在边缘传输服务器中创建的本地用户帐户的用户名,输入帐户密码,然后单击“确定”。

  9. 在“出站安全”对话框中,选择“TLS 加密”。单击“确定”关闭“出站安全”对话框。单击“确定”。

本节中的步骤将帮助您使用匿名访问在边缘传输服务器和 Exchange 2003 组织之间配置未经身份验证的邮件流。

您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“边缘传输服务器”条目。

  1. 在 Exchange 2003 服务器或将接收来自边缘传输服务器的邮件的服务器上,确认 SMTP 虚拟服务器已配置为启用匿名访问:

    1. 打开 Exchange 系统管理器。展开“服务器”节点。展开所需服务器。展开“协议”节点。展开“SMTP”。右键单击“默认 SMTP 虚拟服务器”,然后选择“属性”。

    2. 单击“访问”选项卡,然后单击“身份验证”。

    3. 在“身份验证”对话框中,选择“匿名访问”。单击“确定”。

  2. 为 Exchange 2003 服务器配置中继限制以使边缘传输服务器通过此虚拟服务器中继:

    1. 在“默认 SMTP 虚拟服务器属性”的“访问”选项卡上,单击“中继”。

    2. 在“中继限制”对话框中,选择“仅以下列表”,然后单击“添加”。

    3. 在“计算机”对话框中,选择“一台计算机”指定 IP 地址,或选择“计算机组”指定 IP 地址范围。单击“确定”。

    4. 在“中继限制”对话框中,确保选中了“不管上表中如何设置,所有通过身份验证的计算机都可以进行中继”复选框。单击“确定”。

    5. 单击“确定”关闭“默认 SMTP 虚拟服务器属性”。

  3. 执行以下步骤,修改 Exchange 2003 桥头服务器中的注册表设置,以允许 Exchange 2003 服务器匿名发送和接收 XExch50 属性:

    小心警告:
    不正确地编辑注册表时,可能导致出现严重问题,从而需要重新安装操作系统。因不正确地编辑注册表而导致出现的问题是能够解决的问题。在编辑注册表之前,请备份任何有用数据。
    1. 打开注册表编辑器。

    2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\XEXCH50

    3. 右键单击 XEXCH50,再选择“新建”|“DWORD 值”。键入值名称 SuppressExternal。默认情况下,值数据为 0。这表明 XEXCH50 属性被匿名传输到远程服务器上。

    4. 右键单击 XEXCH50,再选择“新建”|“项”。键入 SMTP 虚拟服务器实例的编号作为项值。例如,默认的虚拟服务器实例是 1,则在服务器上创建的第二个 SMTP 虚拟服务器是 2

    5. 右键单击刚才创建的项,指向“新建”,再单击“DWORD 值”。

    6. 在详细信息窗格中,键入值名称 Exch50AuthCheckEnabled。默认情况下,值数据为 0。这表明当匿名发送电子邮件时,将传输 XEXCH50 属性。

使用 EMC 中的“新建发送连接器”向导在边缘传输服务器上创建具有以下设置的发送连接器:

  • 简介页 在“选择此发送连接器的预期用法”中,选择“内部”。

  • 地址空间页:键入 -- 字符,该字符是一个占位符,它代表接受域配置中的所有权威域和内部中继域。此外,可以将每个域列为独立的条目。

  • 网络设置页:在“通过以下智能主机路由邮件”中,输入将从边缘传输服务器接收邮件的 Exchange 2003 桥头服务器的 IP 地址或 FQDN。如果将多个桥头服务器配置为智能主机,来自边缘传输服务器的连接将在各智能主机间实现负载平衡。

  • 配置智能主机身份验证设置页:选择“外部安全(例如使用 IPsec)”。

使用 EMC 中的新建接收连接器向导,在边缘传输服务器上创建具有以下设置的接收连接器:

  • 简介页:在“选择此接收连接器的预期用法”中,选择“内部”。

  • 远程网络设置页:删除所有网络范围,并添加将邮件中继到边缘传输服务器的 Exchange 2003 桥头服务器的 IP 地址。

创建连接器之后,通过在连接器属性的“身份验证”选项卡上选择“外部安全(例如使用 IPsec)”,修改身份验证方法。清除所有其他身份验证选项。有关详细步骤,请参阅创建 SMTP 接收连接器配置接收连接器属性

另外,可以使用 New-ReceiveConnector cmdlet 在命令行管理程序中创建连接器。此示例将创建具有所需设置的“从 Exchange 组织”接收连接器,并指定接收连接器将仅接受来自服务器 10.10.1.10 和 10.10.1.11 的邮件。

New-ReceiveConnector -Name "From Exchange Organization" -Usage Internal -RemoteIPRanges 10.10.1.10,10.10.1.11 -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25
重要重要说明:
如果为此接收连接器指定 IP 地址范围而不是特定的 IP 地址,则它将启用来自指定远程 IP 地址范围的所有连接,以通过边缘传输服务器中继邮件。在这种情况下,请确保在边缘传输服务器与 Exchange 组织之间存在受信任的网络连接。

在 Exchange 2003 服务器上,执行以下步骤,以创建配置为通过边缘传输服务器中继所有 Internet 电子邮件的 SMTP 连接器:

  1. 打开 Exchange 系统管理器。右键单击位于将驻留连接器的服务器所在的路由组中的“连接器”容器,选择“新建”,然后选择“SMTP 连接器”。

    注释注意:
    如果 Exchange 系统管理器中未显示路由组,请右键单击 Exchange 组织容器,选择“属性”,然后选中“显示路由组”复选框。
  2. 选择“常规”选项卡。在“名称”字段中,键入此连接器的唯一名称。

  3. 选择“将通过此连接器的所有邮件转发到下列智能主机”,然后键入边缘传输服务器的 IP 地址或 FQDN。如果输入 IP 地址,则必须将其括在方括号中,例如: [192.168.1.1].

  4. 单击“添加”以添加本地桥头服务器。在“添加桥头”对话框中,选择一个或多个 Exchange 2003 服务器。

  5. 选择“地址空间”选项卡,再单击“添加”以创建地址空间。在“添加地址空间”对话框中,选择 SMTP,再单击“确定”。

  6. 在“Internet 地址空间属性”页中,输入 *,再单击“确定”。

  7. 单击“确定”关闭 SMTP 连接器属性页。

 © 2010 Microsoft Corporation。保留所有权利。
显示: