EdgeSync 复制数据
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2015-03-09
安装了边缘传输服务器角色的计算机不能访问 Active Directory。若要执行收件人查找和安全列表聚合任务,以及使用相互传输层安全性 (TLS) 身份验证实现域安全性,边缘传输服务器需要 Active Directory 中驻留的数据。这些数据通过 EdgeSync 进程复制到了边缘传输服务器,边缘传输服务器将所有复制的信息存储在 Active Directory 轻型目录服务 (AD LDS) 中。
本主题集中讨论在为边缘传输服务器订阅 Active Directory 站点时,从 Active Directory 复制到 Microsoft Exchange Server 2010 边缘传输服务器上的 AD LDS 实例的数据。有关 EdgeSync 进程和边缘订阅的信息,请参阅了解边缘订阅。
以下数据从 Active Directory 复制到 AD LDS:
边缘订阅信息
配置信息
收件人信息
拓扑信息
下列各节介绍上述数据类型以及边缘传输服务器使用这些类型数据的方式。
若要了解与管理传输服务器相关的管理任务,请参阅管理传输服务器。
边缘订阅信息
Exchange 2010 扩展 Active Directory 和 AD LDS 架构,以提供 ms-Exch-ExchangeServer 对象的属性,从而提供控制 EdgeSync 同步进程所需的数据。这些属性提供下列三项功能,这三项功能对于 EdgeSync 同步进程非常重要:
提供自动设置和维护凭据的功能,这些凭据用于保护集线器传输服务器与订阅了站点的边缘传输服务器之间的 LDAP 连接。
仲裁同步的锁定进程和释放进程,以确保同时只有一个集线器传输服务器尝试与单个边缘传输服务器进行同步。有关锁定进程和租用进程的详细信息,请参阅了解边缘订阅。
优化 EdgeSync 同步进程,以维护当前同步状态的记录,并避免过多的手动同步。
下表列出了边缘订阅特有的架构扩展。为这些属性分配的值通过边缘订阅进程和 EdgeSync 同步进程来维护。不应使用编辑工具(例如 Ldp.exe 或 Active Directory 服务接口 (ADSI) 编辑)手动编辑这些属性。
边缘订阅的架构扩展
| 属性名 | 说明 |
|---|---|
ms-Exch-Server-EKPK-Public-Key |
此属性代表服务器所使用的证书的当前公钥。边缘传输服务器和集线器传输服务器均存储此值。在 LDAP 和 SMTP 通信期间,公钥用于对用来验证服务器身份的凭据进行加密。 |
ms-Exch-EdgeSync-Credential |
此属性代表 Microsoft Exchange EdgeSync 服务用于与 AD LDS 建立经过身份验证的 LDAP 会话的凭据列表。在集线器传输服务器上,此属性只包含集线器传输服务器在验证订阅了站点的边缘传输服务器时使用的凭据。在边缘传输服务器上,此属性包含订阅的 Active Directory 站点中参与 EdgeSync 同步进程的每个集线器传输服务器的凭据。只有运行 EdgeSync 同步进程的集线器传输服务器和订阅了站点的边缘传输服务器上存在此属性。 |
ms-Exch-Edge-Sync-Lease |
如果多个集线器传输服务器尝试向同一个边缘传输服务器复制数据,使用此属性在各个集线器传输服务器之间进行仲裁。 |
ms-Exch-Edge-Sync-Status |
只有边缘传输服务器对象的 AD LDS 中存在此属性。此属性跟踪向 AD LDS 实例复制数据的状态,并包含有关复制的信息。 |
配置信息
将边缘传输服务器订阅到组织时,可以从组织内部管理边缘传输服务器和 Exchange 组织中常见的配置对象。然后,通过使用 Microsoft Exchange EdgeSync 服务,将这些更改复制到边缘传输服务器。此进程有助于使参与邮件处理的所有服务器上的配置保持一致。
必须还要在边缘传输服务器上维护 Exchange 组织的配置数据的一个子集。在 EdgeSync 同步进程期间,边缘传输服务器所需的配置数据将写入 AD LDS 的配置分区。写入 AD LDS 的配置数据如下:
集线器传输服务器 订阅的 Active Directory 站点中每个集线器传输服务器的完全限定域名 (FQDN) 可供边缘传输服务器上的本地 AD LDS 存储使用。使用此信息派生入站发送连接器的智能主机服务器列表。
接受域 为 Exchange 组织配置的所有权威域、内部中继域和外部中继域均将写入 AD LDS。接受域可供边缘传输服务器使用后,Exchange 组织可以尽早地执行域筛选并拒绝无效的 SMTP 通信传入组织。有关接受域的详细信息,请参阅了解接受域。
邮件分类 如果可以在边缘传输服务器上进行邮件分类,那么传输代理和内容转换就可以作用于外围网络中的邮件分类。例如,附件筛选器代理可以在删除附件时应用“附件已删除”分类。因此,将向 Microsoft Outlook 用户或 Microsoft Office Outlook Web App 用户显示信息性文本,告诉收件人所发生的情况。为第三方应用程序开发的代理可以通过类似的方式使用邮件分类。此外,边缘传输服务器可能必须将邮件分类从 X-header 中的 GUID 转换为传输中性封装格式 (TNEF),作为本地化的收件人说明。
远程域 为 Exchange 组织配置的所有远程域策略均将写入 AD LDS。远程域策略控制远程域的“外出”邮件设置以及邮件格式设置。有关远程域的详细信息,请参阅了解远程域。
发送连接器 默认情况下,将自动创建所需的发送连接器,以实现 Exchange 组织与 Internet 之间的端到端邮件流。边缘传输服务器上所有现有的发送连接器均将被删除。如果希望配置其他发送连接器,则在 Exchange 组织内部配置发送连接器,并选择边缘订阅作为连接器的源服务器。有关详细信息,请参阅了解边缘订阅。
内部 SMTP 服务器** InternalSMTPServers** 属性的值存储在 Exchange 组织和本地边缘传输服务器的 TransportConfig 对象上。在 EdgeSync 同步进程期间,存储在本地边缘传输服务器对象上的值将被 Exchange 组织的此对象上存储的值覆盖。此属性指定发件人 ID 筛选和连接筛选应忽略的内部 SMTP 服务器 IP 地址或 IP 地址范围的列表。
域安全列表** TLSReceiveDomainSecureList** 和 TLSSendDomainSecureList 属性存储在 Exchange 组织和本地边缘传输服务器的 TransportConfig 对象上。在 EdgeSync 同步进程期间,存储在本地边缘传输服务器对象上的值将被 Exchange 组织的此对象上存储的值覆盖。这些属性指定为相互 TLS 身份验证配置的远程域列表。
收件人信息
复制到 AD LDS 的收件人信息仅包含收件人属性的一个子集。只复制边缘传输服务器必须执行特定反垃圾邮件任务的数据。复制到 AD LDS 的收件人信息如下:
收件人 Exchange 组织中的收件人列表将复制到 AD LDS。在 Active Directory 中,每个收件人通过为其分配的 GUID 来标识。如果将某个收件人的用户帐户配置为拒绝接收来自组织外部的邮件,则该收件人不会复制到 AD LDS。如果禁用或删除某个收件人的邮箱,则该收件人不会复制到 AD LDS。
代理地址 为每个收件人分配的所有代理地址均将以哈希数据的形式复制到 AD LDS。此哈希数据是使用安全哈希算法 (SHA)-256 的单向哈希数据。SHA-256 为原始邮件生成一个 256 位的邮件摘要。通过将代理地址存储为哈希数据的形式,可以在边缘传输服务器或 AD LDS 存在安全风险时帮助保护这些信息。边缘传输服务器执行收件人查找反垃圾邮件任务时引用代理地址。
安全发件人列表、阻止发件人列表和安全收件人列表 在每个收件人的 Outlook 实例中定义的安全发件人列表、阻止发件人列表和安全收件人列表聚合在一起并复制到 AD LDS。这些设置存储在收件人邮箱所在的邮箱存储上。Outlook 用户的安全列表集合是来自用户的安全发件人列表、安全收件人列表、阻止发件人列表和外部联系人的组合数据。通过使安全列表集合数据可以在 AD LDS 中使用,边缘传输服务器可以正确地屏蔽发件人,从而减少与筛选邮件有关的操作开销。这些信息以哈希数据的形式发送。
.gif "重要")
重要说明:尽管安全收件人数据存储在 Outlook 中,并且可以聚合到边缘传输服务器的 AD LDS 实例上的安全列表集合中,但内容筛选功能对安全收件人数据不起作用。 每个收件人的反垃圾邮件设置 使用 Set-Mailbox cmdlet 可以为每个收件人分配反垃圾邮件阈值设置(与组织范围的反垃圾邮件设置不同)。如果配置了每个收件人的反垃圾邮件设置,这些设置将覆盖组织范围的设置。通过将每个收件人的设置复制到 AD LDS,可以在将邮件中继到 Exchange 组织之前考虑每一收件人设置。这些信息以哈希数据的形式发送。
拓扑信息
拓扑信息包括新订阅了站点的边缘传输服务器或已删除的边缘订阅的通知。这些数据每隔五分钟刷新一次。
© 2010 Microsoft Corporation。保留所有权利。