了解 Edge 訂閱
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2009-09-18
本主題提供 Edge 訂閱及 EdgeSync 同步處理程序的詳細資訊。Edge 訂閱可用來以 Active Directory 目錄服務資料填入 Microsoft Exchange Server 2007 Edge Transport server role 上的 Active Directory 應用程式模式 (ADAM) 目錄服務執行個體。
.gif "note") 附註: |
|---|
| Microsoft Exchange Server 2007 Service Pack 1 (SP1) 支援在 Windows Server 2008 電腦上部署伺服器角色。如果 Edge Transport Server 已安裝於 Windows Server 2008 上,則 ADAM 會由 Active Directory 輕量型目錄服務 (AD LDS) 所取代。Windows Server 2008 包含數個已增強或重新命名的功能。如需 Windows Server 2003 和 Windows Server 2008 間之功能差異的相關資訊,請參閱術語變更。 |
在 Exchange 2007 中,Edge Transport server role 是部署在您組織的周邊網路中。Edge Transport Server 的設計是要將攻擊面減到最小,因此會處理所有與網際網路相關的郵件流程,並為 Exchange 組織提供了簡易郵件傳送通訊協定 (SMTP) 轉送和智慧主機服務。在 Edge Transport Server 上執行的一系列代理程式提供了額外的郵件保護與安全層,它們也會在郵件傳輸元件處理郵件時對郵件採取動作。這些代理程式支援的功能會對病毒和垃圾郵件提供防護,並且套用傳輸規則以控制郵件流程。
雖然可以選擇是否要建立 Edge 訂閱,但訂閱 Exchange 組織的 Edge Transport Server 可為系統管理員提供較簡單的管理經驗,並增強可用的反垃圾郵件功能。如果您計劃使用反垃圾郵件功能、收件者查閱或安全清單彙總,或是計劃要使用相互傳輸層安全性 (TLS) 以協助保護與協力網域間之 SMTP 通訊的安全,就必須建立 Edge 訂閱。
Edge 訂閱程序
已安裝 Edge Transport server role 的電腦沒有存取 Active Directory 的權限。Edge Transport Server 可用以處理郵件的所有設定與收件者資訊都儲存在 ADAM 中。不過,許多這類資訊也儲存在 Active Directory 中。
建立 Edge 訂閱,可以將來自 Active Directory 的資訊安全且自動複寫至 ADAM。Edge 訂閱程序提供認證,可用以在 Hub Transport Server 與訂閱的 Edge Transport Server 間建立安全的輕量型目錄存取通訊協定 (LDAP) 連線。然後在 Hub Transport Server 上執行的 Microsoft Exchange EdgeSync 服務就會定期執行單向同步處理,將資料傳輸到 ADAM 並使該資料保持最新狀態。此處理程序可減少您在周邊網路中必須執行的管理工作,讓您在 Hub Transport server role 上執行必要的設定,然後將這項資訊寫入 Edge Transport Server。
您可以讓 Active Directory 站台訂閱 Edge Transport Server。讓 Active Directory 站台訂閱 Edge Transport Server 可讓 Edge Transport Server 從 Active Directory 接收 ADAM 的更新,並在 Edge Transport Server 與該站台中所部署的 Hub Transport Server 間建立同步處理關係。Edge 訂閱程序也會建立 Edge Transport Server 的 Active Directory 站台成員資格聯盟。站台聯盟可讓 Exchange 組織中的 Hub Transport Server 將郵件轉送給 Edge Transport Server,以傳遞到網際網路,而不必設定明確的傳送連接器。
單一 Active Directory 站台可訂閱一或多部 Edge Transport Server。不過,一部 Edge Transport Server 無法讓一個以上的 Active Directory 站台訂閱。如果您已部署多部 Edge Transport Server,則每部伺服器都要讓不同的 Active Directory 站台訂閱。每一個 Edge Transport Server 都需要個別的 Edge 訂閱。訂閱的 Edge Transport Server 只能支援一個 Exchange 組織。
Microsoft Exchange EdgeSync 服務會將下列資料從 Active Directory 複寫至 ADAM:
- 傳送連接器組態
- 公認的網域
- 遠端網域
- 郵件分類
- 安全寄件者清單
- 收件者
- TLS 傳送與接收網域安全清單
- 內部 SMTP 伺服器清單
- 訂閱之 Active Directory 站台中的 Hub Transport Server 清單
如需複寫到 ADAM 之資料及資料用途的相關資訊,請參閱 EdgeSync 複寫資料。
若要部署 Edge Transport Server 並讓 Active Directory 站台訂閱,請遵循下列步驟:
| 附註: |
|---|
| 您必須先輸入產品金鑰,再訂閱 Edge Transport Server。 |
- 安裝 Edge Transport server role。
- 請確認 Hub Transport Server 與 Edge Transport Server 可以使用 DNS 名稱解析找到彼此。如需此步驟的相關資訊,請參閱設定 Exchange 2007 伺服器的 DNS 設定。
- 設定要複寫到 Edge Transport Server 的物件與設定。如需此步驟的相關資訊,請參閱準備執行 Microsoft Exchange EdgeSync 服務。
- 在 Edge Transport Server 上的 Exchange 管理命令介面中執行 New-EdgeSubscription 指令程式,以匯出 Edge 訂閱檔案。
- 將 Edge 訂閱檔案複製到 Hub Transport Server。
- 在 Exchange 管理命令介面中執行 New-EdgeSubscription 指令程式,或是在 Exchange 管理主控台中使用 [新增 Edge 訂閱] 精靈,來匯入 Edge 訂閱檔案。
下圖說明 Edge 訂閱程序。
.gif "Edge 訂閱檔案的匯入和匯出程序")
當您在 Edge Transport Server 上執行 New-EdgeSubscription 指令程式時,將發生下列動作:
- 建立 ADAM 帳戶。此帳戶稱為 EdgeSync 開機複寫帳戶 (ESBRA)。這些認證可用來驗證連至 Edge Transport Server 的第一個 EdgeSync 連線。該帳戶是設定在建立後的 1,440 分鐘 (24 小時) 過期。因此,您必須在時間過期之前完成訂閱程序。如果 ESBRA 在完成 Edge 訂閱程序前過期,則您必須在 Edge Transport Server 上再次執行 New-EdgeSubscription 指令程式,以建立新的 Edge 訂閱檔案。
- 從 ADAM 擷取 ESBRA 認證並寫入 Edge 訂閱檔案中。Edge Transport Server 自我簽署憑證的公開金鑰也會一併匯出到 Edge 訂閱檔案。寫入 Edge 訂閱檔案的認證是匯出檔案的伺服器所特有的。
- 在即將從 Active Directory 複寫到 ADAM 的類別中,從 ADAM 刪除先前在該類別中建立的任何組態物件,並將用以設定那些物件的 Exchange 管理命令介面工作停用。您仍然可以使用檢視那些物件的工作。當您執行 New-EdgeSubscription 指令程式時,已在 Edge Transport Server 上停用下列工作:
- Set-SendConnector
- New-SendConnector
- Remove-SendConnector
- New-AcceptedDomain
- Set-AcceptedDomain
- Remove-AcceptedDomain
- New-MessageClassification
- Set-MessageClassification
- Remove-MessageClassification
- New-RemoteDomain
- Set-RemoteDomain
- Remove-RemoteDomain
當您在 Exchange 管理命令介面中執行 New-EdgeSubscription 指令程式,或在 Exchange 管理主控台中使用 [新增 Edge 訂閱] 精靈,於 Hub Transport Server 上匯入 Edge 訂閱檔案時,將發生下列動作:
- 建立 Edge 訂閱、建立 Edge Transport Server 已加入 Exchange 組織以及 Microsoft Exchange EdgeSync 服務會將組態資料傳播至其上的記錄。本步驟會在 Active Directory 中建立 Edge 組態物件。
- Active Directory 站台中的每部 Hub Transport Server 都會從 Active Directory 收到已訂閱新 Edge Transport Server 的通知。Hub Transport Server 會擷取 Edge 訂閱檔案的 ESBRA。接著,Hub Transport Server 會使用 Edge Transport Server 自我簽署憑證的公開金鑰,來加密 ESBRA。然後,將加密的認證寫入 Edge 組態物件。
- 每部 Hub Transport Server 也會使用它自己的公開金鑰來加密 ESBRA,然後將認證儲存在本身的組態物件中。
- 每組 Edge Transport-Hub Transport Server 都會在 Active Directory 中建立 EdgeSync 複寫帳戶 (ESRA)。每部 Hub Transport Server 會將它的 ESRA 認證儲存為 Hub Transport Server 組態物件的屬性。
- 傳送連接器會自動建立,以便將從 Edge Transport Server 輸出的郵件轉送至網際網路,以及將 Edge Transport Server 的輸入轉送至 Exchange 組織。如需 Microsoft Exchange EdgeSync 服務如何提供傳送連接器的相關資訊,請參閱 EdgeSync 及傳送連接器。
- 在 Hub Transport Server 上執行的 Microsoft Exchange EdgeSync 服務會使用 ESBRA 認證,在 Hub Transport Server 與 Edge Transport Server 間建立安全的 LDAP 連線,然後執行資料的初始複寫。複寫到 ADAM 的資料如下:
- 拓撲資料
- 組態資料
- 複寫資料
- ESRA 認證
- 在 Edge Transport Server 上執行的 Microsoft Exchange 認證服務會安裝 ESRA 認證。這些認證是用來驗證同步處理連線,並保護稍後的連線安全。
- 建立 EdgeSync 同步處理排程。
在訂閱 Edge Transport Server 的 Active Directory 站台上,Hub Transport Server 中執行的 Microsoft Exchange EdgeSync 服務現在會定期執行從 Active Directory 至 ADAM 的單向資料複寫。您也可以使用 Exchange 管理命令介面中的 Start-EdgeSynchronization 指令程式,來覆寫 EdgeSync 同步處理排程,並立即開始同步處理。
如需 ESRA 帳戶以及如何用以協助保護 EdgeSync 同步處理程序安全的相關資訊,請參閱了解 Edge 訂閱認證。
Microsoft Exchange EdgeSync 服務
Microsoft Exchange EdgeSync 服務是位於 Hub Transport Server 上的資料同步處理服務,可定期將組態資料從 Active Directory 複寫到訂閱的 Edge Transport Server。
Microsoft Exchange EdgeSync 服務負責利用來自 Active Directory 的資訊來更新 ADAM。資料是由 Exchange 組織內的 Hub Transport Server,從 Active Directory 複寫到周邊網路中的 Edge Transport Server。Microsoft Exchange EdgeSync 服務會使用安全的 LDAP 通道來傳輸此資料。從 Hub Transport Server 到 Edge Transport Server 建立相互驗證及授權的安全 LDAP 通道。
為了將資料複寫到 ADAM,Hub Transport Server 會繫結到通用類別目錄伺服器,以擷取更新的資料。Microsoft Exchange EdgeSync 服務會透過非標準的 TCP 連接埠 50636,在 Hub Transport Server 與訂閱之 Edge Transport Server 間初始化安全的 LDAP 工作階段。EdgeSync 同步處理程序會提供從 Active Directory 到 ADAM 的單向資料複寫。已在 ADAM 中變更的資料永遠不會同步處理至 Active Directory。
下圖說明 Edge 同步處理程序。
.gif "EdgeSync 同步處理程序")
初始複寫會以來自 Active Directory 的資料填入 ADAM,並視目錄服務中的資料品質而定,可能需要花費一些時間。後續的同步處理會以新物件和變更的物件來更新 ADAM,並移除已從 Active Directory 刪除的任何物件。
可在同步處理間隔中用以同步處理到 ADAM 的目錄服務變更,會完全根據已複寫到 Hub Transport Server 所繫結之通用類別伺服器的資料而定。當 Exchange 2007 伺服器啟動時,Hub Transport Server 會繫結到由 Microsoft Exchange Active Directory 拓撲服務所找到的通用類別目錄伺服器。繫結到通用類別目錄伺服器,可以確保樹系內每個網域的收件者資料都能傳播至 ADAM。
不同類型的資料會以不同的排程來加以同步。EdgeSync 同步處理排程會指定 EdgeSync 同步處理間隔之間的時間長度上限。EdgeSync 同步處理的執行間隔如下:
- 排定組態資料每隔一小時同步處理一次。
- 排定收件者資料每隔四小時同步處理一次。
- 拓撲資料每五分鐘重新載入一次。
您無法設定 EdgeSync 同步處理排程間隔。
如果您在 Hub Transport Server 上使用 Exchange 管理命令介面中的 Start-EdgeSynchronization 指令程式,強制立即執行 Edge 訂閱同步處理,則會覆寫判斷下次執行 EdgeSync 同步處理之排定時間的計時器。
如需 Microsoft Exchange EdgeSync 服務與 EdgeSync 同步處理的相關資訊,請參閱了解 EdgeSync 同步處理程序。
重新訂閱 Edge Transport Server
有時候,您必須讓 Active Directory 站台重新訂閱 Edge Transport Server。當重新建立 Edge 訂閱時,會產生新的認證,並且需遵循完整的 Edge 訂閱處理程序。此程序可用於下列案例中:
- 新的 Hub Transport Server 已部署於訂閱的 Active Directory 站台內,而且您想讓新的伺服器加入 EdgeSync 同步處理。如需此案例的相關資訊,請參閱本主題稍後的<新增或移除 Hub Transport Server>。
- 建立 Edge 訂閱之後,才會套用 Edge Transport Server 的授權金鑰。建立 Edge 訂閱並顯示在 Exchange 組織的 Exchange 管理主控台後,就會擷取到 Edge Transport Server 的授權資訊。在 Edge Transport Server 上套用授權金鑰後,必須將 Edge Transport Server 訂閱到 Exchange 組織,訂閱的 Edge Transport Server 才會顯示為已授權。若在執行 Edge 訂閱程序後才在 Edge Transport Server 上套用授權金鑰,則不會在 Exchange 組織中更新授權資訊,而且您必須重新訂閱 Edge Transport Server。
- 您想要確定將 Exchange 伺服器升級成更新的建置之後,Exchange 伺服器版本資訊已經同步處理。在此情況下,不會將 Edge Transport Server 建置版本號碼複寫到其他伺服器角色。這是因為 EdgeSync 同步處理程序提供的是從 Active Directory 到 AD 輕量型目錄服務的單向資料複寫。如需相關資訊,請參閱了解 EdgeSync 同步處理程序主題的<Microsoft Exchange EdgeSync 服務>一節。
- ESRA 認證遭到洩漏。
.gif "important") 重要事項: |
|---|
| 若要重新訂閱 Edge Transport Server,請在 Edge Transport Server 上匯出新的 Edge 訂閱檔案,然後在 Hub Transport Server 上匯入 XML 檔案。您必須針對原始訂閱該 Edge Transport Server 的同一個 Active Directory 站台,重新訂閱 Edge Transport Server。您不需要先移除原始的 Edge 訂閱。重新訂閱程序會覆寫現有的 Edge 訂閱。 |
移除 Edge 訂閱
在某些案例中,您可能必須從 Exchange 組織,或是從 Exchange 組織及 Edge Transport Server,移除 Edge 訂閱。如果 Exchange 組織會重新訂閱 Edge Transport Server,請不要從 Edge Transport Server 移除 Edge 訂閱。當您從 Edge Transport Server 移除 Edge 訂閱時,會從 ADAM 刪除所有複寫的資料。如果您有大量收件者資料,這可能需要很長的時間。
下列清單提供需要移除 Edge 訂閱的情況範例。
- 您不會想要再將該部 Edge Transport Server 加入 EdgeSync 同步處理程序。在此情況下,您必須從 Edge Transport Server 及從 Exchange 組織移除 Edge 訂閱。
- 解除委任 Edge Transport Server。在此情況下,您必須僅從 Exchange 組織移除 Edge 訂閱。如果您解除安裝電腦的 Edge Transport server role,也會一併移除 ADAM 執行個體與儲存在 ADAM 中的所有 Active Directory 資料。
- 您想要變更 Edge 訂閱的 Active Directory 站台關聯。在此情況下,您必須僅從 Exchange 組織移除 Edge 訂閱。從 Exchange 組織移除 Edge 訂閱後,您便可讓不同的 Active Directory 站台重新訂閱該部 Edge Transport Server。
如果想要移除 Edge 訂閱,請遵循下列步驟:
- 停止 Edge Transport Server 上的郵件流程。停用 Edge Transport Server 上的任何接收連接器,以免接收到任何新郵件,然後等待佇列清空。
- 在 Exchange 組織內,執行 Hub Transport Server 上的 Remove-EdgeSubscription 指令程式,來移除 Edge 訂閱。如果您不會重新訂閱 Edge Transport Server,則在 Hub Transport Server 上執行此步驟之後,也要在 Edge Transport Server 上執行此指令程式。
從 Exchange 組織移除 Edge 訂閱時,影響如下:
- 停止 Active Directory 與 ADAM 的資訊同步處理。
- 同時從 Active Directory 與 ADAM 移除 ESRA 帳戶。
- 從任何傳送連接器的來源伺服器清單移除已安裝 Edge Transport server role 的電腦。
- 從 ADAM 移除從 Edge Transport Server 至 Exchange 組織的自動輸入傳送連接器。
從 Edge Transport Server 移除 Edge 訂閱時,影響如下:
- 您無法再使用依賴 Active Directory 資料的 Edge Transport Server 功能。
- 從 ADAM 移除複寫的資料。
- 重新啟用在建立 Edge 訂閱時停用的工作,以讓本機組態使用。
根據您移除 Edge 訂閱的理由,您可能想讓訂閱的原始 Active Directory 站台重新訂閱相同的 Edge Transport Server,或是讓不同的 Active Directory 站台重新訂閱。當重新建立 Edge 訂閱時,會產生新的認證,並且需遵循完整的 Edge 訂閱處理程序。
如果您要從服務移除 Edge Transport Server,請遵照如何從伺服器完全移除 Exchange 2007 中的程序。
新增 Edge Transport Server
您可以讓單一 Active Directory 站台訂閱一或多部 Edge Transport Server。如果您在周邊網路中部署其他 Edge Transport Server,並讓已有 Edge 訂閱存在的相同 Active Directory 站台訂閱這些伺服器,將發生下列動作:
- Active Directory 中會建立新的 Edge 訂閱物件。
- 為 Active Directory 站台中的每部 Hub Transport Server 建立不同的 ESRA 帳戶。這些帳戶會複寫到 ADAM,並在與新伺服器的同步處理期間,由 EdgeSync 同步處理程序使用。
- 連至網際網路的自動傳送連接器來源伺服器清單會加入新的 Edge 訂閱。訂閱的 Edge Transport Server 之間會對提交至連接器進行處理的郵件進行載入平衡。
- 自動建立從 Edge Transport Server 至 Exchange 組織的輸入傳送連接器。
- 啟動對 Edge Transport Server 的 EdgeSync 同步處理。
新增或移除 Hub Transport Server
如果將 Hub Transport Server 新增至已訂閱 Edge Transport Server 的 Active Directory 站台,則它不會自動加入 EdgeSync 同步處理程序。若要讓新部署的 Hub Transport Server 加入 EdgeSync 同步處理程序,您必須讓 Active Directory 站台重新訂閱每部 Edge Transport Server。
除非要移除的 Hub Transport Server 是已訂閱 Edge Transport Server 之 Active Directory 站台中的最後一部 Hub Transport Server,否則從該站台移除 Hub Transport Server 並不會影響 EdgeSync 同步處理。如果您從已訂閱 Edge Transport Server 的 Active Directory 站台移除所有 Hub Transport Server,則會孤立訂閱的 Edge Transport Server。
確認 EdgeSync 結果
EdgeSync 同步處理程序期間所發生的任何錯誤,都會回報給 Windows 事件檢視器的應用程式記錄檔。這些錯誤通常出現在 Hub Transport Server 上。不過,如果長時間未進行同步處理,則訂閱的 Edge Transport Server 會報告錯誤。
Test-EdgeSynchronization 是一個診斷指令程式,可提供所訂閱之 Edge Transport Server 的同步狀態報告。這個工作可以在手動執行時,為系統管理員提供有用的資訊,也可以由 Microsoft Operations Manager 呼叫。由 Microsoft Operations Manager 呼叫此工作時,如果 Edge Transport Server 尚未同步處理,就會產生警示。
當 Edge Transport Server 不再進行同步處理時,Test-EdgeSynchronization 指令程式就會提供預先警示。此指令程式的輸出可讓您檢視哪些物件尚未與 Edge Transport Server 進行同步處理。該工作會比較 Active Directory 中儲存的資料以及 ADAM 中儲存的資料。資料中任何不一致之處都會由此命令回報在結果輸出中。
您可以使用 Test-EdgeSynchronization 指令程式搭配 ExcludeRecipientTest 參數,來排除收件者資料同步處理的驗證。如果您加入此參數,便只會驗證組態物件的同步處理。如果驗證收件者資料是否已同步處理,將會比只驗證組態資料要花費更長的時間。
如果您想要驗證特定收件者的 EdgeSync 同步處理結果,則可使用 Ldp.exe 來檢視 ADAM 中儲存的收件者內容。您必須依據其 Active Directory GUID 來尋找收件者,而且因為資料是以雜湊方式傳送,所以當您檢視收件者詳細資料時,也必須解譯所傳回的資訊。此工具應該只用以檢閱收件者資訊,而且絕對不可用來修改 ADAM 中的資料。如需相關資訊,請參閱如何確認收件者的 EdgeSync 結果。
Exchange 2007 SP1 新增功能
如果您已經在 Hub Transport server role 上安裝 Exchange 2007 SP1,則可在使用 Test-EdgeSynchronization 指令程式時加上 VerifyRecipient 參數,以驗證單一收件者的 EdgeSync 同步處理狀態。您可以利用收件者的 Proxy 位址來指定收件者。您執行 Test-EdgeSynchronization 指令程式時所傳回的結果,會指出收件者是否已同步。
相關資訊
如需相關資訊,請參閱下列主題:
- 向 Exchange 組織訂閱 Edge Transport Server
- 使用 Edge 訂閱以 Active Directory 資料填入 ADAM
- EdgeSync 複寫資料
- 了解 EdgeSync 同步處理程序
- EdgeSync 及傳送連接器
- 了解 Edge 訂閱認證
- 管理 Edge 訂閱
- EdgeSync 指令程式
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.