不使用 EdgeSync 在边缘传输服务器和集线器传输服务器之间配置邮件流

  • 项目

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2007-07-02

我们始终建议您使用边缘订阅过程在 Exchange 组织以及运行安装了边缘传输服务器角色的 Microsoft Exchange Server 2007 的计算机之间建立邮件流。但是,我们注意到,在某些情况下您无法使用边缘订阅过程将边缘传输服务器订阅到 Exchange 组织。要手动在 Exchange 组织和边缘传输服务器之间建立邮件流,必须在 Exchange 组织中的边缘传输服务器和集线器传输服务器上创建和配置发送连接器和接收连接器。

开始之前

要执行此步骤,必须为您使用的帐户委派以下角色:

  • Exchange 组织管理员角色

若要在安装了边缘传输服务器角色的计算机上执行以下步骤,必须使用作为该计算机上的本地管理员组成员的帐户进行登录。

有关权限、角色委派以及管理 Exchange 2007 所需的权限的详细信息,请参阅权限注意事项

此步骤使用基于传输层安全性 (TLS) 的基本身份验证提供加密和身份验证。使用基于 TLS 的基本身份验证时,接收服务器必须安装了 X.509 安全套接字层 (SSL) 服务器证书。在接收连接器上配置的完全限定的域名 (FQDN) 值必须与 SSL 服务器证书中的 FQDN 相匹配。默认情况下,接收连接器上的 FQDN 值就是包含该接收连接器的服务器的 FQDN。

配置外部安全身份验证方法要容易得多。但是,Microsoft Exchange 不对边缘传输服务器和集线器传输服务器之间的通信进行身份验证或加密。我们建议您仅当使用了其他加密方法时,才使用外部安全身份验证方法。该加密方法可以是 IPsec 关联或虚拟专用网 (VPN)。

边缘传输服务器通常为“多宿主服务器”。这意味着边缘传输服务器具有若干个连接到不同网段的网络适配器。其中的每个网络适配器都具有唯一的 IP 配置。连接到外部网络(或称公共网络)的网络适配器应该配置为使用公用域名系统 (DNS) 服务器进行名称解析。这样,服务器可以将简单邮件传输协议 (SMTP) 域名解析为 MX 资源记录并将邮件路由到 Internet。连接到内部网络(或称专用网络)的网络适配器应该配置为使用外围网络中的 DNS 服务器,或者具有可用的 Hosts 文件。

有关详细信息,请参阅如何为边缘传输服务器角色配置 DNS 后缀

边缘传输服务器步骤

边缘传输服务器需要以下连接器:

  • 已配置用于向 Internet 发送邮件的发送连接器

  • 已配置用于向 Exchange 组织中的集线器传输服务器发送邮件的发送连接器

  • 配置为仅从 Exchange 组织中的集线器传输服务器接收邮件的接收连接器

  • 配置为仅从 Internet 接收邮件的接收连接器

默认情况下,在安装边缘传输服务器角色的过程中会创建单个接收连接器。此连接器可用于传入的 Internet 邮件和从集线器传输服务器传入的邮件。通常,边缘订阅过程在默认的接收连接器上自动配置正确的权限和身份验证。如果您不使用边缘订阅过程,我们建议您将边缘传输服务器上的默认接收连接器修改为仅接受来自 Internet 的邮件。然后,您应在配置为仅接受来自内部集线器传输服务器的邮件的边缘传输服务器上创建一个新的接收连接器。

创建配置为向 Internet 发送邮件的发送连接器

此发送连接器要求进行以下配置:

  • 使用类型:Internet。

  • 地址空间:“*”(所有域)。

  • 网络设置:使用 DNS MX 记录自动路由邮件。根据您的网络配置,还可以通过智能主机路由邮件。智能主机将邮件路由到 Internet。

使用 Exchange 管理控制台在边缘传输服务器上创建配置为向 Internet 发送邮件的发送连接器

  1. 打开 Exchange 管理控制台。选择“边缘传输”,然后在工作窗格中单击“发送连接器”选项卡。

  2. 在操作窗格中,单击“新建发送连接器”。将启动新建 SMTP 发送连接器向导。

  3. 在“简介”页上,执行下列步骤:

    1. 在“名称”字段中,为此连接器键入有意义的名称,如“To Internet”。

      在“选择此连接器的预期用法:”字段中,选择“Internet”。

    2. 在“地址空间”页上,单击“添加”。在“添加地址空间”对话框中,输入 *,然后单击“确定”。

      note注意:
      在 Microsoft Exchange Server 2007 Service Pack 1 (SP1) 中,该对话框名为“SMTP 地址空间”。

    3. 完成后,单击“下一步”。

  4. 在“网络设置”页上,选择“使用域名系统(DNS)“MX”记录自动路由邮件”,然后单击“下一步”。

  5. 在“新建连接器”页上,检查连接器的配置摘要。如果要修改设置,请单击“上一步”。若要使用配置摘要中的设置来创建发送连接器,请单击“新建”。

  6. 在“完成”页上,单击“完成”。

使用 Exchange 命令行管理程序在边缘传输服务器上创建配置为向 Internet 发送邮件的发送连接器

  • 运行以下命令:

    New-SendConnector -Name <Name> -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

    例如,要使用所需的设置新建名为“To Internet”的发送连接器,请运行以下命令:

    New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

有关语法和参数的详细信息,请参阅 New-SendConnector

创建配置为向内部 Exchange 组织发送邮件的发送连接器

在开始此步骤之前,必须在 Active Directory 目录服务中创建一个用户帐户,并将该帐户添加到 Exchange Servers 通用安全组。边缘传输服务器上的发送连接器使用此帐户对 Exchange 组织中的目标集线器传输服务器进行身份验证。

important要点:
该帐户被授予与 Exchange 服务器关联的权限。确保保护帐户凭据以避免误用该帐户。可以将该帐户配置为仅允许登录特定的计算机。

此发送连接器要求进行以下配置:

  • 使用类型:内部

  • 地址空间:Exchange 组织的所有接受域

  • 网络设置:

    • 作为智能主机的一个或多个集线器传输服务器的完全限定的域名 (FQDN)

    • 智能主机身份验证设置:基于 TLS 的基本身份验证

使用 Exchange 管理控制台在边缘传输服务器上创建配置为向内部 Exchange 组织发送邮件的发送连接器

  1. 打开 Exchange 管理控制台。选择“边缘传输”,然后在工作窗格中单击“发送连接器”选项卡。

  2. 在操作窗格中,单击“新建发送连接器”。这时会启动新建 SMTP 发送连接器向导。

  3. 在“简介”页上,执行下列步骤:

    1. 在“名称”字段中,为此连接器键入有意义的名称,如“To Internal Org”。

    2. 在“选择此连接器的预期用法:”字段中,选择“内部”。

  4. 在“地址空间”页上,执行下列步骤:

    1. 单击“添加”。

    2. 在“添加地址空间”对话框中,输入 Exchange 组织的接受域。可以选中“包含所有子域”复选框以使用此连接器向该地址空间的所有子域发送电子邮件。完成后,单击“确定”。

      note注意:
      在 Exchange 2007 SP1 中,该对话框名为“SMTP 地址空间”。

      若要将更多地址空间添加到此连接器,请单击“添加”,重复此步骤,然后单击“确定”。

    3. 阅读后,单击“下一步”。

  5. 在“网络设置”页上,执行下列步骤:

    1. 选择“通过以下智能主机路由邮件”,然后单击“添加”。

    2. 在“添加智能主机”对话框中,选择“完全限定的域名(FQDN)”,并输入目标集线器传输服务器的 FQDN。边缘传输服务器必须可以解析目标集线器传输服务器的指定 FQDN。完成后,单击“确定”。

      要添加更多集线器传输服务器作为智能主机,请单击“添加”,然后重复此步骤。

    3. 完成后,单击“下一步”。

  6. 在“配置智能主机身份验证设置”页上,选择“基本身份验证”和“基于 TLS 的基本身份验证”。在“用户名”和“密码”字段中,输入内部域中用户帐户的凭据。使用域\用户格式或用户主要名称 (UPN) 格式输入用户名并提供用户密码。单击“下一步”。

  7. 在“新建连接器”页上,检查连接器的配置摘要。如果要修改设置,则单击“上一步”。若要使用配置摘要中的设置来创建发送连接器,请单击“新建”。

  8. 在“完成”页上,单击“完成”。

    important要点:
    边缘传输服务器必须能够解析集线器传输服务器的名称,以便与在 SmartHosts 参数中指定的 FQDN 完全匹配。这是在目标集线器传输服务器上安装的 X.509 证书中指定的 FQDN,也是在目标集线器传输服务器上配置的接收连接器中指定的 FQDN。

使用 Exchange 命令行管理程序在边缘传输服务器上创建配置为向内部 Exchange 组织发送邮件的发送连接器

  1. 在边缘传输服务器上运行以下命令:

    $hubcred = get-credential
    • 在出现的对话框中,输入内部域中用户帐户的凭据。使用域\用户格式或 UPN 格式输入用户名并提供用户密码。单击“确定”。

  2. 在边缘传输服务器上运行以下命令:

    New-SendConnector -Name <ConnectorName> -Usage Internal -AddressSpaces <AcceptedDomain1,AcceptedDomain2...> -DNSRoutingEnabled $False -SmartHosts <HubServer1,HubServer2...> -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $hubcred

    例如,若要为接受域“contoso.com”以及所有子域新建一个名为“To Internal Org”的发送连接器,连接到名为“hub01.contoso.com”和“hub02.contoso.com”的目标集线器传输服务器,请运行以下命令:

    New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces *.contoso.com -DNSRoutingEnabled $False -SmartHosts Hub01.contoso.com,Hub02.contoso.com -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $hubcred
    important要点:
    边缘传输服务器必须能够解析集线器传输服务器的名称,以便与在 SmartHosts 参数中指定的 FQDN 完全匹配。这是在目标集线器传输服务器上安装的 X.509 证书中指定的 FQDN,也是在目标集线器传输服务器上配置的接收连接器中指定的 FQDN。

有关语法和参数的详细信息,请参阅 New-SendConnector

将默认接收连接器修改为仅接受来自 Internet 的邮件

在服务器上安装边缘传输服务器角色时,将创建一个名为“默认内部接收连接器 ServerName”的默认接收连接器。该默认接收连接器配置为接受来自 Internet 和内部 Exchange 组织的邮件。如果不计划使用边缘订阅过程正确配置默认接收连接器上的身份验证方法,应将默认接收连接器修改为仅接受来自 Internet 的匿名邮件提交。然后,应创建仅接受来自内部 Exchange 组织的受信任邮件提交的单独接收连接器。

在默认接收连接器上只要求进行一次重新配置。必须将本地网络绑定设置为仅面向 Internet 的网络适配器的 IP 地址。您可能还要将默认接收连接器重命名为更具描述性的名称。

note注意:
如果在运行 Windows Server 2008 的计算机上部署 Exchange 2007 SP1,可以以 Internet 协议版本 4 (IPv4) 格式、Internet 协议版本 6 (IPv6) 格式或两种格式输入 IP 地址和 IP 地址范围。Windows Server 2008 的默认安装启用对 IPv4 和 IPv6 的支持。
我们强烈建议不要将接收连接器配置成可接受来自未知 IPv6 地址的匿名连接。如果将接收连接器配置为可接受来自未知 IPv6 地址的匿名连接,进入您的组织的垃圾邮件数量很可能增加。目前,还没有广为接受的用于查找 IPv6 地址的行业标准协议。大多数 IP 阻止列表提供程序不支持 IPv6 地址。所以,如果接收连接器允许来自未知 IPv6 地址的匿名连接,就增加了垃圾邮件制造者绕过 IP 阻止列表提供程序将垃圾邮件成功传送到您的组织的机会。
有关 Exchange 2007 SP1 支持 IPv6 地址的详细信息,请参阅 Exchange 2007 SP1 和 SP2 中的 IPv6 支持。有关连接筛选、如何将 IP 地址添加到 IP 允许列表和 IP 阻止列表,以及如何配置 IP 阻止列表提供程序服务和 IP 允许列表提供程序服务的详细信息,请参阅配置连接筛选

使用 Exchange 管理控制台将边缘传输服务器上的默认接收连接器修改为仅接受来自 Internet 的邮件

  1. 打开 Exchange 管理控制台。选择“边缘传输”,然后在工作窗格中单击“接收连接器”选项卡。

  2. 在工作窗格中,选择要修改的接收连接器。默认接收连接器名为“默认内部接收连接器 Servername”。

  3. 在操作窗格中该接收连接器的名称下,单击“属性”打开“属性”页。

  4. 单击“常规”选项卡修改连接器的名称。

  5. 单击“网络”选项卡。在“使用以下本地 IP 地址接收邮件”下单击“编辑”。

    • 在“编辑接收连接器绑定”对话框中,选择“指定 IP 地址”,然后输入面向 Internet 的网络适配器的 IP 地址。单击“确定”。

  6. 单击“确定”保存更改并退出“属性”页。

使用 Exchange 命令行管理程序将边缘传输服务器上的默认接收连接器修改为仅接受来自 Internet 的邮件

  • 运行以下命令:

    Set-ReceiveConnector "Default internal Receive connector <ServerName>" -Name <NewConnectorName> -Bindings <ExternalNetworkAdapterIP:25>

    例如,要修改名为“Edge01”的边缘传输服务器上的默认接收连接器,请使用 IP 地址为 10.1.1.1 的外部网络适配器重命名连接器“From Internet”,并运行以下命令:

    Set-ReceiveConnector "Default internal Receive connector Edge01" -Name "From Internet" -Bindings 10.1.1.1:25

有关语法和参数的详细信息,请参阅 New-ReceiveConnector

新建配置为仅接受来自内部 Exchange 组织的邮件的接收连接器

此接收连接器要求进行以下配置:

  • 使用类型:内部

  • 本地网络绑定:面向内部网络的网络适配器

  • 远程网络设置:Exchange 组织中一个或多个集线器传输服务器的 IP 地址

  • 身份验证方法:基于 TLS 的基本身份验证

使用 Exchange 管理控制台在边缘传输服务器上新建配置为仅接受来自内部 Exchange 组织的邮件的接收连接器

  1. 打开 Exchange 管理控制台。选择“边缘传输”,然后在工作窗格中单击“接收连接器”选项卡。

  2. 在操作窗格中,单击“新建接收连接器”。将启动“新建 SMTP 接收连接器”向导。

  3. 在“简介”页上,执行下列步骤:

    1. 在“名称”字段中为此连接器键入有意义的名称。

    2. 在“选择此连接器的预期用法:”字段中,选择“内部”。

  4. 在“远程网络设置”页上,执行下列步骤:

    1. 选择默认 IP 地址范围条目 0.0.0.0 - 255.255.255.255,然后单击 删除图标

    2. 单击“添加”或“添加”旁边的下拉箭头,然后键入内部集线器传输服务器的 IP 地址或 IP 地址范围。完成后,单击“确定”。

      要为此连接器添加多个目标集线器传输服务器,请单击“添加”并重复此步骤。在此步骤中定义的每个集线器传输服务器还必须在集线器服务器上配置的相应发送连接器中作为源服务器列出。

    3. 完成后,单击“下一步”。

  5. 在“新建连接器”页上,检查连接器的配置摘要。如果要修改设置,请单击“上一步”。要使用配置摘要中的设置创建接收连接器,请单击“新建”。

  6. 在“完成”页上,单击“完成”。

  7. 在工作窗格中,选择您创建的接收连接器。

  8. 在操作窗格中该接收连接器的名称下,单击“属性”打开“属性”页。

  9. 单击“网络”选项卡。在“使用以下本地 IP 地址接收邮件”下单击“编辑”。

    • 在“编辑接收连接器绑定”对话框中,选择“指定 IP 地址”,然后输入面向内部组织的网络适配器的 IP 地址。单击“确定”。

  10. 单击“身份验证”选项卡。选择“基本身份验证”和“仅在启动 TLS 之后提供基本身份验证”。

  11. 单击“确定”保存更改并退出“属性”页。

使用 Exchange 命令行管理程序在边缘传输服务器上新建配置为仅接受来自内部 Exchange 组织的邮件的接收连接器

  • 运行以下命令:

    New-ReceiveConnector -Name <ConnectorName> -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings <InternalNetworkAdapterIP:25> -RemoteIPRanges <HubTransportServerAddress1,HubTransportServerAddress2...>

    例如,某边缘传输服务器具有内部网络适配器 IP 地址 10.1.1.1 且接受来自使用 IP 地址 192.168.5.10 和 192.168.5.20 的内部集线器传输服务器的邮件,要在该边缘传输服务器上新建名为“To Internal Org”的接收连接器,请运行以下命令:

    New-ReceiveConnector -Name "To Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.1:25 -RemoteIPRanges 192.168.5.10,192.168.5.20

有关语法和参数的详细信息,请参阅 New-ReceiveConnector

集线器传输服务器步骤

集线器传输服务器上需要以下连接器:

  • 一个发送连接器,配置为将邮件发送到外围网络中的边缘传输服务器以中继到 Internet

默认情况下,在安装集线器传输服务器角色的过程中会创建两个接收连接器。一个是名为“客户端 ServerName”的连接器,配置为接受来自所有 POP3 和 IMAP 邮件客户端的邮件。另一个是名为“默认 ServerName”的连接器,配置为接受来自边缘传输服务器的邮件。不需要对这些连接器进行修改。

创建配置为向边缘传输服务器发送传出邮件的发送连接器

在开始此步骤之前,必须在作为本地管理员安全组成员的目标边缘传输服务器上创建用户帐户。集线器传输服务器上的发送连接器使用此帐户对目标边缘传输服务器进行身份验证。

此发送连接器要求进行以下配置:

  • 使用类型:内部

  • 地址空间: *

  • 网络设置:

    • 作为智能主机的边缘传输服务器的 IP 地址或 FQDN

    • 智能主机身份验证设置:基于 TLS 的基本身份验证

使用 Exchange 管理控制台在集线器传输服务器上创建配置为向边缘传输服务器发送传出邮件的发送连接器

  1. 打开 Exchange 管理控制台。在控制台树中,展开“组织配置”,选择“集线器传输”,然后在工作窗格中单击“发送连接器”选项卡。

  2. 在操作窗格中,单击“新建发送连接器”。此时将启动新建 SMTP 发送连接器向导。

  3. 在“简介”页上,执行下列步骤:

    1. 在“名称”字段中,为此连接器键入有意义的名称,如“To Edge”。

    2. 在“选择此连接器的预期用法:”字段中,选择“内部”。

  4. 在“地址空间”页上,单击“添加”。在“添加地址空间”对话框中,输入 *,然后单击“确定”。

    完成后,单击“下一步”。

note注意:
在 Exchange 2007 SP1 中,该对话框名为“SMTP 地址空间”。

  1. 在“网络设置”页上,执行下列步骤:

    1. 选择“通过以下智能主机路由邮件”,然后单击“添加”。

    2. 在“添加智能主机”对话框中,选择“完全限定的域名(FQDN)”,并输入目标边缘传输服务器的 FQDN。该集线器传输服务器必须能够解析目标边缘传输服务器的指定 FQDN。单击“确定”。

    3. 阅读后,单击“下一步”。

  2. 在“配置智能主机身份验证设置”页上,选择“基本身份验证和基于 TLS 的基本身份验证”。在“用户名”和“密码”字段中,输入目标边缘传输服务器上用户帐户的凭据。单击“下一步”。

  3. 默认情况下,“源服务器”页将列出在其上执行此步骤的集线器传输服务器。如果要添加更多集线器传输服务器以实现容错功能,必须将这些集线器传输服务器配置为该边缘传输服务器的相应接收连接器上的源服务器。要添加更多源服务器,请单击“添加”。在“选择集线器传输服务器和边缘订阅”对话框中,选择将用作源服务器向在步骤 6 中提供的边缘传输服务器发送邮件的集线器传输服务器。添加完其他源服务器后,单击“确定”。

    若要添加更多源服务器,请单击“添加”,然后重复此步骤。

    完成后,单击“下一步”。

  4. 在“新建连接器”页上,检查连接器的配置摘要。如果要修改设置,则单击“上一步”。若要使用配置摘要中的设置来创建发送连接器,请单击“新建”。

  5. 在“完成”页上,单击“完成”。

    important要点:
    指定的集线器传输服务器必须能够解析边缘传输服务器的名称,以便与在 SmartHosts 参数中指定的 FQDN 完全匹配。这是在目标边缘传输服务器上安装的 X.509 证书中指定的 FQDN,也是在目标边缘传输服务器上配置的接收连接器中指定的 FQDN。

使用 Exchange 命令行管理程序在集线器传输服务器上创建配置为向边缘传输服务器发送传出邮件的发送连接器

  1. 在集线器传输服务器上运行以下命令:

    $edgecred = get-credential
    • 在出现的对话框中,输入边缘传输服务器上用户帐户的凭据。单击“确定”。

  2. 在集线器传输服务器上运行以下命令:

    New-SendConnector -Name <ConnectorName> -Usage Internal -AddressSpaces * -DNSRoutingEnabled $False -SmartHosts <EdgeServer> -SourceTransportServers <HubServer1,HubServer2...> -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $edgecred

    例如,要对 edge01.contoso.net 目标边缘传输服务器新建源于“hub01.contoso.com”和“hub02.contoso.com”集线器传输服务器的名为“To Edge”的发送连接器,请运行以下命令:

    New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $False -SmartHosts edge01.contoso.net -SourceTransportServers hub01.contoso.com,hub02.contoso.com -SmartHostAuthMechanism BasicAuth,BasicAuthRequireTLS -AuthenticationCredential $edgecred
    important要点:
    该集线器传输服务器必须能够解析边缘传输服务器的名称,以便与在 SmartHosts 参数中指定的 FQDN 完全匹配。这是在目标边缘传输服务器上安装的 X.509 证书中指定的 FQDN,也是在目标边缘传输服务器上配置的接收连接器中指定的 FQDN。

有关语法和参数的详细信息,请参阅 New-SendConnector

详细信息

有关详细信息,请参阅下列主题: