Suscripciones perimetrales
Se aplica a: Exchange Server 2013
Los servidores de transporte perimetral minimizan la superficie expuesta a ataques controlando todo el flujo de correo accesible desde Internet y proporcionando retransmisión SMTP y servicios de host inteligentes para su organización de Exchange. Una serie de agentes que se ejecutan en el servidor de transporte perimetral de la red perimetral de la organización proporcionan capas adicionales de protección y seguridad de mensajes. Estos agentes admiten características que proporcionan protección contra virus y correo no deseado y aplican reglas de transporte para controlar el flujo de mensajes.
Las suscripciones perimetrales se usan para rellenar la instancia de Active Directory Lightweight Directory Services (AD LDS) en el servidor de transporte perimetral con datos de Active Directory. Aunque la creación de una suscripción perimetral sea opcional, la suscripción de un servidor de transporte perimetral a la organización de Exchange proporciona una experiencia administrativa más sencilla y mejora las características contra el correo electrónico no deseado. Es necesario crear una suscripción perimetral si se desea usar la búsqueda de destinatarios o agregación de listas seguras, o bien si se desea proteger las comunicaciones SMTP con dominios asociados a través de Seguridad de la capa transporte mutua (MTLS) .
Proceso de suscripción perimetral
Un servidor Transporte perimetral no tiene acceso directo a Active Directory. Toda la información de configuración y de destinatarios que usa el servidor Transporte perimetral para procesar mensajes está almacenada localmente en AD LDS. La creación de una suscripción perimetral establece una replicación automática y segura de la información de Active Directory en AD LDS. El proceso de suscripción perimetral aprovisiona las credenciales usadas para establecer una conexión LDAP segura entre los servidores de buzones de Exchange 2013 y un servidor de transporte perimetral suscrito. El servicio Microsoft Exchange EdgeSync (EdgeSync) que se ejecuta en servidores de buzones realiza una sincronización unidireccional periódica para transferir datos actualizados a AD LDS. Esto reduce las tareas de administración que se realizan en la red perimetral permitiendo que se configure el servidor de buzones de correo y después se sincronice dicha información con el servidor Transporte perimetral.
Puede suscribir un servidor Transporte perimetral al sitio de Active Directory que contiene los servidores de buzón de correo responsables de transferir mensajes hacia y desde los servidores Transporte perimetral. El proceso de suscripción perimetral crea una afiliación de pertenencia al sitio de Active Directory en el servidor de transporte perimetral. La afiliación al sitio permite a los servidores de buzones de correo de la organización de Exchange transmitir mensajes al servidor Transporte perimetral para su entrega en Internet sin necesidad de configurar conectores de envío.
Se pueden suscribir uno o más servidores de transporte perimetral a un único sitio de Active Directory. Sin embargo, un servidor de transporte perimetral no se puede suscribir a más de un sitio de Active Directory. Si tiene más de un servidor de transporte perimetral implementado, cada servidor se puede suscribir a un sitio de Active Directory diferente. Cada servidor de transporte perimetral requiere una suscripción perimetral independiente.
Para implementar un servidor de transporte perimetral y suscribirlo a un sitio de Active Directory, siga estos pasos:
- Instale la función del servidor Transporte perimetral.
- Compruebe que los servidores de transporte de buzones y el servidor de transporte perimetral se pueden comunicar entre sí mediante una resolución de nombres DNS.
- En el servidor de buzones de correo, configure los objetos y los valores que se van a replicar en el servidor de transporte perimetral.
- En el servidor de transporte perimetral, cree y exporte un archivo de suscripción perimetral.
- Copie el archivo de suscripción perimetral en el servidor de buzones de correo o en un recurso compartido de archivos al que se pueda tener acceso desde el sitio de Active Directory que tiene los servidores de buzones de correo.
- Importe el archivo de suscripción de Edge al sitio de Active Directory.
¿Qué ocurre al crear una nueva suscripción de Edge?
Al crear un archivo de suscripción perimetral (mediante la ejecución del cmdlet New-EdgeSubscription en el servidor de transporte perimetral), se producen las siguientes acciones:
Se crea una cuenta AD LDS llamada cuenta de replicación de inicio de EdgeSync (ESBRA). Estas credenciales de ESBRA se usan para autenticar la primera conexión de EdgeSync con el servidor de transporte perimetral. Esta cuenta se configura para que expire 24 horas después de su creación. Por lo tanto, debe completar el proceso de suscripción de seis pasos descrito en la sección anterior en un plazo de 24 horas. Si la cuenta ESBRA expira antes de que se haya completado el proceso de suscripción perimetral, tendrá que volver a ejecutar el cmdlet New-EdgeSubscription para crear un nuevo archivo de suscripción perimetral.
Las credenciales de la ESBRA se recuperan desde AD LDS y se escriben en el archivo de suscripción perimetral. La clave pública del certificado autofirmado del servidor de transporte perimetral también se exporta al archivo de suscripción perimetral. Las credenciales que se escriben en el archivo de suscripción perimetral son específicas del servidor desde el que se exporta el archivo.
Cualquier objeto de configuración creado anteriormente en un servidor Transporte perimetral que ahora se va a replicar en AD LDS desde Active Directory se eliminará de AD LDS y los cmdlets Shell de administración de Exchange que se usaron para configurar dichos objetos quedarán deshabilitados. Sin embargo, todavía puede usar los cmdlets Get-* para ver esos objetos. La ejecución del cmdlet New-EdgeSubscription deshabilita los siguientes cmdlets en el servidor Transporte perimetral:
- Set-SendConnector
- New-SendConnector
- Remove-SendConnector
- New-AcceptedDomain
- Set-AcceptedDomain
- Remove-AcceptedDomain
- New-MessageClassification
- Set-MessageClassification
- Remove-MessageClassification
- New-RemoteDomain
- Set-RemoteDomain
- Remove-RemoteDomain
Al importar el archivo de suscripción perimetral en el servidor de buzones de correo, ejecute el cmdlet New-EdgeSubscription en el servidor de buzones de correo:
Se crea la suscripción perimetral, uniendo un servidor de transporte perimetral a una organización de Exchange. EdgeSync propagará los datos de configuración a este servidor de transporte perimetral, creando un objeto de configuración perimetral en Active Directory.
Cada servidor de buzones de correo del sitio Active Directory recibe una notificación de Active Directory que informa que se ha suscrito un nuevo servidor Transporte perimetral. El servidor de buzones de correo recupera la ESBRA desde el archivo de suscripción perimetral. El servidor de buzones de correo cifra entonces la cuenta ESBRA mediante la clave pública del certificado autofirmado del servidor Transporte perimetral. A continuación, las credenciales cifradas se escriben en el objeto de configuración perimetral.
Cada servidor de buzones de correo cifra también la cuenta ESBRA mediante su propia clave pública y, a continuación, almacena las credenciales en su propio objeto de configuración.
Las cuentas de replicación de EdgeSync (ESRA) se crean en Active Directory para cada par de servidores Transport-Mailbox edge. Cada servidor de buzones de correo almacena sus credenciales de ESRA como un atributo del objeto de configuración del servidor de buzones de correo.
Se crean automáticamente conectores de envío para transmitir mensajes salientes desde el servidor de transporte perimetral a Internet y mensajes entrantes desde dicho servidor a la organización de Exchange.
El servicio Microsoft Exchange EdgeSync que se ejecuta en servidores de buzones usa las credenciales de ESBRA para establecer una conexión LDAP segura entre un servidor de buzones y el servidor de transporte perimetral y realiza la replicación inicial de datos. Los siguientes datos se replican en AD LDS:
- Datos de topología
- Datos de configuración
- Datos de destinatario
- Credenciales de ESRA
El servicio de credenciales de Microsoft Exchange que se ejecuta en el servidor Transporte perimetral instala las credenciales de ESRA. Dichas credenciales se usan para autenticar y proteger posteriores conexiones de sincronización.
Se establece la programación de sincronización de EdgeSync.
El servicio Microsoft Exchange EdgeSync que se ejecuta en los servidores de buzones del sitio de Active Directory suscrito realiza la replicación unidireccional de datos de Active Directory a AD LDS según una programación regular. También puede usar el cmdlet Start-EdgeSynchronization para invalidar la programación de sincronización de EdgeSync e iniciar inmediatamente la sincronización.
Para obtener más información sobre las cuentas de ESRA y cómo se usan para ayudar a proteger el proceso de sincronización de EdgeSync, consulte Credenciales de suscripción de Edge.
En este ejemplo se suscribe un servidor Transporte perimetral al sitio especificado y se crea el conector de envío de Internet y el conector de envío desde el servidor Transporte perimetral a los servidores de buzones de correo.
New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\EdgeSubscriptionInfo.xml')) -CreateInternetSendConnector $true -CreateInboundSendConnector $true -Site "Default-First-Site-Name"
Nota:
Los valores predeterminados de los parámetros CreateInternetSendConnector y CreateInboundSendConnector son $true
. Se muestran aquí solo para demostración.
En este ejemplo, se exporta un archivo de suscripción perimetral.
New-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml"
Nota:
Al ejecutar el cmdlet New-EdgeSubscription en el servidor de transporte perimetral, se recibe un mensaje para confirmar los comandos que se deshabilitarán y la configuración que se sobrescribirá en el servidor de transporte perimetral. Para omitir esta confirmación, debe utilizar el parámetro Force. Este parámetro resulta útil en scripts con el cmdlet New-EdgeSubscription. El parámetro Force también se utiliza para sobrescribir un archivo que tenga el mismo nombre que el archivo que se crea al volver a suscribirse en un servidor de transporte perimetral.
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte New-EdgeSubscription.
Envío de conectores creados durante el proceso de suscripción de Edge
De forma predeterminada, al completar el proceso de suscripción perimetral recomendado mediante la importación del archivo de suscripción perimetral a un servidor de buzones de correo, los conectores de envío necesarios para habilitar el flujo de correo de un extremo a otro entre Internet y la organización de Exchange se crean automáticamente y se eliminan los conectores de envío existentes en el servidor de transporte perimetral. En algunos escenarios, puede optar por suprimir la creación automática de conectores de envío y configurar conectores de envío manualmente. Para obtener más información sobre cómo configurar manualmente los conectores de envío, consulte Configuración manual del flujo de correo del servidor de transporte perimetral y Configuración del flujo de correo de Internet a través de un servidor de transporte perimetral sin usar EdgeSync.
El proceso de suscripción de Edge aprovisiona los siguientes conectores de envío:
- Un conector de envío configurado para retransmitir mensajes de correo electrónico de la organización de Exchange a Internet.
- Un conector de envío configurado para retransmitir mensajes de correo electrónico desde el servidor de transporte perimetral a la organización de Exchange.
Además, la suscripción de un servidor de transporte perimetral a la organización de Exchange permite que los servidores de buzones del sitio de Active Directory suscrito usen el conector de envío entre organizaciones para retransmitir mensajes a ese servidor de transporte perimetral.
Crear automáticamente un conector de envío entrante para recibir mensajes de Internet
De forma predeterminada, al ejecutar el cmdlet New-EdgeSubscription en el servidor de buzones de correo, el parámetro Del conector de envío entrante CreateInboundSendConnector se establece en el valor $true
. Esto crea el conector de envío necesario para enviar mensajes a la organización de Exchange. La siguiente tabla muestra la configuración de este conector de envío.
Propiedad | Valor |
---|---|
Nombre | EdgeSync: nombre de entrada al <sitio> |
AddressSpaces | SMTP:--;1 El -- valor del espacio de direcciones representa todos los dominios aceptados de retransmisión autoritativa e interna para la organización de Exchange. Cualquier mensaje que el servidor Transporte perimetral reciba de los dominios aceptados se enrutan a este conector de envío y se retransmiten a los hosts inteligentes. |
SourceTransportServers | <Nombre de la suscripción de Edge> |
Enabled | True |
DNSRoutingEnabled | False |
SmartHosts | -- El -- valor de la lista de hosts inteligentes representa todos los servidores de buzones del sitio de Active Directory suscrito. Los servidores de buzones de correo que agregue al sitio de Active Directory suscrito después de establecer la suscripción perimetral no participan en el proceso de sincronización de EdgeSync. Sin embargo, se agregan automáticamente a la lista de hosts inteligentes para el conector de envío entrante creado automáticamente. Si hay más de un servidor de buzones de correo ubicado en el sitio de Active Directory suscrito, las conexiones entrantes se cargarán equilibradas entre los hosts inteligentes. |
No se puede modificar el espacio de direcciones ni la lista de hosts inteligentes durante su creación para el conector de envío entrante creado automáticamente. Sin embargo, puede establecer el parámetro CreateInboundSendConnector en el valor $false
al crear una suscripción perimetral. Esto permite configurar de forma manual un conector de envío desde el servidor Transporte perimetral a la organización de Exchange.
Crear automáticamente un conector de envío saliente para enviar mensajes a Internet
De forma predeterminada, al ejecutar el cmdlet New-EdgeSubscription en el servidor de buzones de correo, el parámetro De conector de envío saliente CreateInternetSendConnector se establece en el valor $true
. Esto crea el conector de envío necesario para enviar mensajes a Internet. La siguiente tabla muestra la configuración predeterminada de este conector de envío.
Propiedad | Valor |
---|---|
Nombre | EdgeSync: <nombre> del sitio a Internet |
AddressSpaces | SMTP:*;100 |
SourceTransportServers |
<Nombre de la suscripción de Edge> Nota: El nombre de la suscripción perimetral es el mismo que el nombre del servidor de transporte perimetral suscrito. |
Enabled | True |
DNSRoutingEnabled | True |
DomainSecureEnabled | True |
Si se suscribe más de un servidor Transporte perimetral para el mismo sitio de Active Directory, no se crean conectores de envío adicionales para Internet. En su lugar, todas las suscripciones perimetrales se agregan al mismo conector de envío como servidor de origen. Esto equilibra la carga de las conexiones salientes a Internet en los servidores de transporte perimetral con suscripción.
El conector de envío saliente se configura para enviar mensajes de correo electrónico desde la organización de Exchange a todos los dominios remotos de SMTP, mediante enrutamiento de DNS para resolver nombres de dominio en registros de recursos MX. Para obtener más información sobre cómo configurar manualmente la configuración de un conector, consulte Configuración manual del flujo de correo del servidor de transporte perimetral.
Servicio EdgeSync de Microsoft Exchange
Después de suscribir un servidor de transporte perimetral a un sitio de Active Directory, EdgeSync replicará los datos de configuración y destinatarios en los servidores de transporte perimetral. El servicio replica los siguientes datos desde Active Directory en AD LDS:
- Configuración de conector de envío
- Dominios aceptados
- Dominios remotos
- Clasificaciones de mensajes
- Listas de remitentes seguros
- Listas de remitentes bloqueados
- Destinatarios
- Lista de dominios de envío y de recepción usada en las comunicaciones seguras de dominios con asociados
- Lista de servidores SMTP que aparecen como internos en la configuración de transporte de su organización
- Lista de servidores de buzones de correo en el sitio de Active Directory suscrito
Para obtener más información sobre los datos replicados en AD LDS y cómo se usan, consulte Datos de replicación de EdgeSync.
EdgeSync usa un canal LDAP seguro mutuamente autenticado y autorizado para transferir datos desde el servidor de buzones al servidor de transporte perimetral.
Para replicar datos en AD LDS, el servidor de buzones de correo se enlaza con un servidor de catálogo global para recuperar datos actualizados. EdgeSync inicia una sesión LDAP segura entre un servidor de buzones y el servidor de transporte perimetral suscrito a través del puerto TCP no estándar 50636.
Cuando se suscribe por primera vez un servidor Transporte perimetral en un sitio de Active Directory, la replicación inicial que completa AD LDS con los datos de Active Directory puede tardar 5 minutos o más, según la cantidad de datos del servicio de directorio. Después de la replicación inicial, EdgeSync solo sincroniza objetos nuevos y modificados, y quita los objetos eliminados.
Programación de sincronización
Los distintos tipos de datos se sincronizan en distintas programaciones. La programación de sincronización de EdgeSync especifica el intervalo máximo entre las sincronizaciones de EdgeSync. La sincronización de EdgeSync se produce a los intervalos siguientes:
- Datos de configuración: 3 minutos.
- Datos de destinatario: 5 minutos.
- Datos de topología: 5 minutos
Si quiere cambiar estos intervalos, use el cmdlet Set-EdgeSyncServiceConfig. El uso del cmdlet Start-EdgeSynchronization en el servidor de buzones para forzar la sincronización de la suscripción perimetral invalida el temporizador para la siguiente sincronización programada de EdgeSync e inicia EdgeSync inmediatamente.
Selección de servidores de buzones de correo
Cada servidor Transporte perimetral suscrito se asocia con un sitio Active Directory particular. Si existe más de un servidor de buzones de correo en el sitio, todos ellos pueden replicar datos a los servidores de transporte perimetral con suscripción. Para evitar la contención entre servidores de buzones de correo al sincronizar, el servidor de buzones de correo preferido se selecciona de la siguiente forma:
El primer servidor de buzones de correo del sitio de Active Directory en realizar una exploración topológica y detectar la nueva suscripción perimetral realiza la réplica inicial. Como esta detección se basa en el momento de la exploración topológica, cualquier servidor de buzones de correo del sitio puede realizar la réplica inicial.
El servidor de buzones de correo que realiza la replicación inicial establece una opción de concesión de EdgeSync y establece un bloqueo en la suscripción perimetral. La opción de concesión establece al servidor de buzones de correo como servidor preferido para proporcionar servicios de sincronización a dicho servidor Transporte perimetral. El bloqueo impide que EdgeSync que se ejecuta en otro servidor de buzones tome la opción de concesión.
La opción de concesión EdgeSync dura una hora. Durante esa hora, ningún otro servicio EdgeSync puede asumir la opción a menos que se inicie una sincronización manual antes del final de la hora. Si el servidor de buzones preferido no está disponible para proporcionar el servicio EdgeSync en el momento en que se inicia la sincronización manual, después de una espera de cinco minutos, se libera el bloqueo y otro servicio EdgeSync puede asumir la opción de concesión y realizar la sincronización.
A menos que se inicie la sincronización manual, la sincronización se produce en función de la programación de sincronización de EdgeSync. Si el servidor preferido no está disponible cuando se produce una sincronización programada, después de una espera de cinco minutos, se libera el bloqueo y otro servicio EdgeSync puede asumir la opción de concesión y realizar la sincronización.
Este método de bloqueo y arrendamiento impide que más de una instancia de EdgeSync inserte datos en el mismo servidor de transporte perimetral al mismo tiempo.
Nota:
Si también tiene servidores de buzones de Exchange 2010 o Exchange 2007 en el sitio de Active Directory suscrito, los servidores de buzones de Exchange 2013 siempre tendrán prioridad y realizarán la replicación.
Al suscribir un servidor de transporte perimetral a un sitio de Active Directory, todos los servidores de buzones instalados en ese sitio de Active Directory en ese momento pueden participar en el proceso de sincronización de EdgeSync. Si se quita uno de esos servidores, el servicio EdgeSync que se ejecuta en los servidores de buzones restantes continuará el proceso de sincronización de datos. Sin embargo, si instala nuevos servidores de buzones en el sitio de Active Directory, no participarán automáticamente en la sincronización de EdgeSync. Si desea permitir que esos nuevos servidores de buzones participen en la sincronización de EdgeSync, tendrá que suscribirse de nuevo al servidor de transporte perimetral.
En la tabla siguiente se enumeran las propiedades de EdgeSync relacionadas con el bloqueo y el arrendamiento. Se puede usar el cmdlet Set-EdgeSyncServiceConfig para configurar estas propiedades.
Propiedades de concesión de EdgeSync
Parámetro | Valor predeterminado | Descripción |
---|---|---|
LockDuration |
00:05:00 (5 minutos) |
Esta configuración determina cuánto tiempo adquirirá un bloqueo un servicio EdgeSync determinado. Si el servicio EdgeSync del servidor de buzón de correo que contiene este bloqueo no responde, después de cinco minutos, el servicio EdgeSync de otro servidor de buzones se hará cargo de la concesión. Forzar la sincronización inmediata de EdgeSync no invalida esta configuración. |
OptionDuration |
01:00:00 (1 hora) |
Esta configuración determina cuánto tiempo un servicio EdgeSync puede declarar una opción de concesión en un servidor de transporte perimetral. Si el servicio EdgeSync que contiene la concesión no está disponible y no se reinicia durante este período de opción, ningún otro servicio Exchange EdgeSync asumirá la opción de concesión a menos que fuerce la sincronización de EdgeSync. |
LockRenewalDuration |
00:01:00 (1 minuto) |
Esta configuración determina la frecuencia con la que se actualiza el campo de bloqueo cuando un servicio EdgeSync ha adquirido un bloqueo a un servidor de transporte perimetral. |
Preparación para ejecutar el servicio EdgeSync
Para poder suscribir el servidor de transporte perimetral a su organización de Exchange, debe asegurarse de que la infraestructura y los servidores de buzones están preparados para el servicio EdgeSync. Para prepararse para la sincronización de EdgeSync, debe:
Compruebe que el firewall de red perimetral que separa el servidor de transporte perimetral de la organización de Exchange está configurado para habilitar las comunicaciones a través de los puertos correctos. El servidor de transporte perimetral usa puertos LDAP no estándar. Si el entorno requiere puertos específicos, puede modificar los puertos usados por AD LDS mediante el script de ConfigureAdam.ps1 proporcionado con Exchange. Para obtener más información, vea Modificar la configuración de AD LDS. Modifique los puertos antes de crear la suscripción perimetral. Si modifica los puertos después de crear la suscripción de Edge, tendrá que quitar la suscripción perimetral y, a continuación, crear una nueva suscripción de Edge. De forma predeterminada, se usan los siguientes puertos LDAP para acceder a AD LDS:
LDAP: el puerto 50389/TCP se usa localmente para enlazar a la instancia de AD LDS. Este puerto no tiene que estar abierto en el firewall de red perimetral.
LDAP seguro: el puerto 50636/TCP se usa para la sincronización de directorios de servidores de buzones de correo a AD LDS. Este puerto debe estar abierto en el firewall para una sincronización correcta de EdgeSync.
Compruebe que la resolución de nombres de host DNS se realiza correctamente desde el servidor de transporte perimetral a los servidores de buzón de correo y desde los servidores de buzones al servidor de transporte perimetral.
Concesión de licencia al servidor de transporte perimetral. La información de licencia para el servidor Transporte perimetral se captura cuando se crea la suscripción perimetral. Los servidores de transporte perimetral con suscripción necesitan suscribirse a la organización de Exchange después de que la clave de licencia se ha aplicado en el servidor Transporte perimetral. Si se aplica la clave de licencia en el servidor Transporte perimetral después de realizar el proceso de suscripción perimetral, la información de concesión de licencia no se actualiza en la organización de Exchange y deberá volverse a suscribir al servidor Transporte perimetral.
Configure los siguientes valores de transporte para la propagación al servidor de transporte perimetral:
Servidores SMTP internos: use el parámetro InternalSMTPServers en el cmdlet Set-TransportConfig para especificar una lista de direcciones IP de servidor SMTP internas o intervalos de direcciones IP que los agentes de identificador de remitente y filtrado de conexiones del servidor de transporte perimetral omitirán.
Dominios aceptados: configure todos los dominios autoritativos, los dominios de retransmisión internos y los dominios de retransmisión externos.
Dominios remotos: configure los valores de dominio remoto.
Administración de suscripciones perimetrales
Para obtener instrucciones paso a paso sobre las tareas de administración de suscripciones perimetrales, consulte Administrar suscripciones perimetrales.