在不使用 EdgeSync 的情况下配置通过边缘传输服务器的 Internet 邮件流
建议使用边缘订阅过程在 Exchange 组织和边缘传输服务器之间建立邮件流,如边缘订阅中所述。 但是,在某些情况下,可能会阻止你向 Exchange 组织订阅边缘传输服务器。 若要在 Exchange 组织和未订阅的边缘传输服务器之间手动建立邮件流,需要手动创建和/或修改以下发送连接器和接收连接器:
在边缘传输服务器上:
创建专用的发送连接器,以仅将消息发送到 Internet。
创建专用的发送连接器,以仅将邮件发送到 Exchange 组织中的邮箱服务器。1
创建专用接收连接器,以仅接收来自 Exchange 组织2 中的邮箱服务器的邮件
将默认接收连接器修改为仅接受来自 Internet 的消息。
在邮箱服务器上:
- 创建专用发送连接器以将传出消息中继到边缘传输服务器
1EdgeSync 订阅创建的用于将电子邮件传递到 Exchange 组织的发送连接器配置为使用 Exchange Server (GSSAPI) 身份验证。 EdgeSync 订阅将边缘传输服务器标识为内部 Active Directory 林的 Exchange 服务器,该服务器还允许Exchange Server身份验证。 根据定义,此方案中没有 EdgeSync 订阅,因此需要即兴表演:
可以通过 TLS 配置基本身份验证,为边缘传输服务器与内部 Exchange 组织之间的电子邮件流量提供身份验证和加密。 此方法存在以下问题:
需要配置属于 Exchange Server 通用安全组的 Active Directory 帐户,以便在将邮件从边缘传输服务器中继到内部 Exchange 组织的发送连接器上进行身份验证。 请务必保护帐户凭据,并且可以将帐户配置为仅允许登录到特定计算机。 还需要边缘传输服务器上的本地帐户,以便在发送连接器上进行身份验证,该连接器将邮件从内部 Exchange 组织中继到边缘传输服务器。
目标邮箱服务器会将来自这些发送连接器的邮件视为经过身份验证的 SMTP。 这意味着前端传输服务中名为 Client Frontend <ServerName> 的默认接收连接器将接受端口 587 上的消息,并且使用端口 465 上名为 Client Proxy <ServerName> 的默认接收连接器在后端传输服务中接受消息。
若要提供加密,需要使用证书。 内部 Exchange Organization 不会再次识别边缘传输服务器上的自签名证书 (,EdgeSync 订阅通常会处理此) 。 需要在每个邮箱上手动导入自签名证书,或使用来自受信任的第三方证书颁发机构的证书。
如果不希望来自边缘传输服务器的邮件被标识为经过身份验证的 SMTP,因此使用相应的客户端接收连接器,则可以使用 Externally Protected 作为身份验证方法,这意味着 Exchange 不会对边缘传输服务器与内部 Exchange 组织之间的电子邮件流量进行身份验证或加密。 如果使用此方法, 则必须 配置并使用外部加密方法 (例如 IPsec 或 VPN) 。
2可以在边缘传输服务器上为传入 Internet 邮件和来自内部邮箱服务器的传入邮件配置和使用默认接收连接器,而不是专用接收连接器, (EdgeSync 订阅将此接收连接器用于两个连接) 。
有关发送连接器的详细信息,请参阅 发送连接器。 有关接收连接器的详细信息,请参阅 接收连接器。
准备工作
估计完成该任务的时间:30 分钟。
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 邮件流权限 主题中的“发送连接器”条目、“发送连接器 - 边缘传输”条目和“接收连接器 - 边缘传输”条目。
在边缘传输服务器上,只能使用 Exchange 命令行管理程序创建发送连接器和接收连接器。 在邮箱服务器上,可以使用 Exchange 管理中心 (EAC) 或 Exchange 命令行管理程序创建发送连接器。
若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell。
有关打开和使用 EAC 的信息,请参阅 Exchange Server 中的 Exchange 管理中心。
外围网络中边缘传输服务器的基本配置必须允许解析 Internet 电子邮件的公共域和内部电子邮件的内部主机名。 可通过不同的方法执行此操作,但可以将连接到外部 (公共) 网段的网络适配器配置为使用公共 DNS 服务器,并将连接到内部 (专用) 网段的网络适配器配置为使用外围网络中 DNS 服务器。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange Server。
边缘传输服务器步骤
步骤 1:创建专用的发送连接器,以仅将消息发送到 Internet
此发送连接器要求进行以下配置:
名称:到 Internet (或任何描述性名称)
使用类型:Internet
地址空间:“*” (所有域)
网络设置:使用 DNS MX 记录自动路由邮件。 根据您的网络配置,还可以通过智能主机路由邮件。 然后,智能主机将邮件路由到 Internet。
若要创建配置为将消息发送到 Internet 的发送连接器,请运行以下命令:
New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true
有关语法和参数的详细信息,请参阅 New-SendConnector。
步骤 2:创建专用的发送连接器,以仅将邮件发送到 Exchange 组织
此发送连接器要求进行以下配置:
名称:内部组织 (或任何描述性名称)
使用类型:内部
地址空间:
--
(表示 Exchange 组织的所有接受域)DNS 路由已禁用(智能主机路由已启用)
智能主机:一个或多个邮箱服务器的 FQDN 作为智能主机。 例如,mbxserver01.contoso.com 和 mbxserver02.contoso.com。
智能主机身份验证方法:基于 TLS 的基本身份验证
智能主机身份验证凭据:作为 Exchange Server 通用安全组成员的内部域中用户帐户的凭据。 需要使用 Get-Credential cmdlet 来存储凭据。 使用格式<域>\ <用户名>或用户主体名称 (UPN;例如, chris@contoso.com) 输入用户名。
若要创建配置为将邮件发送到 Exchange 组织的发送连接器,请将智能主机值替换为组织中的邮箱服务器,然后运行以下命令:
New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces "--" -DNSRoutingEnabled $false -SmartHosts mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential (Get-Credential)
有关语法和参数的详细信息,请参阅 New-SendConnector。
步骤 3:修改默认接收连接器以仅接受来自 Internet 的消息
对默认接收连接器进行以下配置更改:
修改名称以指示连接器将仅用于从 Internet 接收电子邮件, (默认名称为默认内部接收连接器 <ServerName>) 。
将网络绑定更改为仅接受来自可从 Internet 访问的网络适配器的消息 (例如 10.1.1.1 和标准 SMTP TCP 端口值 25) 。
若要将默认接收连接器修改为仅接受来自 Internet 的邮件,请替换 <ServerName> 并绑定边缘传输服务器和外部网络适配器配置的名称,并运行以下命令:
Set-ReceiveConnector -Identity "Default internal Receive connector ServerName>" -Name "From Internet" -Bindings 10.1.1.1:25
有关语法和参数的详细信息,请参阅 Set-ReceiveConnector。
步骤 4:创建专用接收连接器以仅接受来自 Exchange 组织的邮件
此接收连接器要求进行以下配置:
名称:来自内部组织 (或任何描述性名称)
使用类型:内部
本地网络绑定:面向内部网络的网络适配器 (例如 10.1.1.2 和标准 SMTP TCP 端口值 25) 。
远程网络设置:Exchange 组织中一个或多个邮箱服务器的 IP 地址。 例如,192.168.5.10 和 192.168.5.20。
身份验证方法:TLS、基本身份验证、基于 TLS 的基本身份验证和Exchange Server身份验证。
若要创建配置为仅接受来自 Exchange 组织的邮件的接收连接器,请将绑定和远程 IP 范围替换为值,然后运行此命令。
New-ReceiveConnector -Name "From Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.2:25 -RemoteIPRanges 192.168.5.10,192.168.5.20
有关语法和参数的详细信息,请参阅 New-ReceiveConnector。
如何知道操作成功?
若要验证是否已在边缘传输服务器上成功配置所需的发送连接器和接收连接器,请在边缘传输服务器上运行以下命令并验证属性值:
Get-SendConnector | Format-List Name,Usage,AddressSpaces,SourceTransportServers,DSNRoutingEnabled,SmartHosts,SmartHostAuthMechanism; Get-ReceiveConnector | Format-List Name,Usage,AuthMechanism,Bindings,RemoteIPRanges
邮箱服务器步骤
无需修改邮箱服务器上的默认接收连接器。 有关邮箱服务器上默认接收连接器的详细信息,请参阅 在安装过程中创建的默认接收连接器。
步骤 5:创建专用的发送连接器以将传出邮件发送到边缘传输服务器
此发送连接器要求进行以下配置:
名称:到 Edge (或任何描述性名称)
使用类型:内部
地址空间:“*” (所有外部域)
DNS 路由已禁用(智能主机路由已启用)
智能主机:边缘传输服务器的 IP 地址或 FQDN。 例如,edge01.contoso.net。
源服务器:一个或多个邮箱服务器的 FQDN。 例如,mbxserver01.contoso.com 和 mbxserver02.contoso.com。
智能主机身份验证方法:基于 TLS 的基本身份验证。
智能主机身份验证凭据:边缘传输服务器上的用户帐户的凭据。
使用 EAC 创建发送连接器以将传出邮件发送到边缘传输服务器
在 EAC 中,转到“邮件流>发送连接器”,然后单击“添加 此时将启动" 新建发送连接器"向导。
在第一页上,配置以下设置:
名称:输入到 Edge。
类型:选择“ 内部”。
单击下一个。
在下一页上,选择“ 通过智能主机路由邮件”,然后单击“ 添加。 在出现的“ 添加智能主机 ”对话框中,使用以下值之一标识边缘传输服务器:
IP 地址:例如 10.1.1.2。
FQDN) (完全限定的域名 :例如,edge01.contoso.net。 请注意,发送连接器的源邮箱服务器必须能够使用此 FQDN 解析 DNS 中的边缘传输服务器。 如果不能,请改用 IP 地址。
单击“保存”。
在下一页上的 “智能主机身份验证 ”部分中,选择“ 基本身份验证”,然后配置以下附加设置:
选择“仅在启动 TLS 后提供基本身份验证”
在 “用户名 ”和 “密码” 字段中,输入边缘传输服务器上本地用户帐户的凭据。
单击下一个。
在下一页上的 “地址空间 ”部分中,单击“ 添加。 在出现的" 添加域"对话框中,输入以下信息:
类型:验证是否已选择 SMTP。
完全限定的域名 (FQDN) :输入星号 (*) 以指示发送连接器用于所有外部域。
成本:验证是否输入了 1。 较小的值表示更首选的路由。
单击“保存”。
如果组织在多个 Active Directory 站点中安装了 Exchange 服务器,则上一页中的" 作用域发送连接器"设置非常重要:
如果未选择 “作用域内发送连接器”,则连接器可由整个 Active Directory 林中的所有传输服务器 (Exchange 2019 邮箱服务器、Exchange 2016 邮箱服务器、Exchange 2013 邮箱服务器和 Exchange 2010 集线器传输服务器) 使用。 此值为默认值。
如果选择" 作用域发送连接器",只有同一个 Active Directory 站点中的其他传输服务器可以使用该连接器。
单击下一个。
在下一页上的“源服务器”部分中,单击“添加 在出现的 “选择服务器 ”对话框中,选择要用于通过边缘传输服务器发送传出邮件的一个或多个邮箱服务器。 选择邮箱服务器,然后单击“ 添加 -> (重复多次所需的) ,单击” 确定“,然后单击” 完成”。
使用 Exchange 命令行管理程序创建发送连接器以将传出邮件发送到边缘传输服务器
若要创建发送连接器以将传出邮件发送到边缘传输服务器,请将智能主机和源邮箱服务器替换为你的值,然后运行以下命令:
New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $false -SmartHosts edge01.contoso.com -SourceTransportServers mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential (Get-Credential)
有关语法和参数的详细信息,请参阅 New-SendConnector。
如何知道操作成功?
若要验证是否已成功创建发送连接器以将传出邮件发送到边缘传输服务器,请使用以下步骤之一:
在 EAC 中,转到 “邮件流>发送连接器”,选择名为“到 Edge > ”的“发送连接器”,单击“ 编辑,然后验证属性值。
在 Exchange 命令行管理程序中,在邮箱服务器上运行以下命令以验证属性值:
Get-SendConnector -Identity "To Edge" | Format-List Usage,AddressSpaces,DSNRoutingEnabled,SmartHosts,SourceTransportServers,SmartHostAuthMechanism