Descripción de las suscripciones perimetrales
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2015-03-09
En este tema se proporciona información detallada sobre las suscripciones perimetrales y sobre el proceso de sincronización de EdgeSync. Las suscripciones perimetrales se usan para rellenar la instancia de Active Directory Lightweight Directory Services (AD LDS) en el rol de servidor Transporte perimetral de Microsoft Exchange Server 2010 con datos de Active Directory.
En Exchange 2010, el rol del servidor Transporte perimetral se implementa en la red perimetral de la organización. Diseñado para minimizar la superficie de ataques, el servidor de transporte perimetral se encarga de todo el flujo de correo de Internet y proporciona la relevo SMTP y servicios de host inteligente a la organización de Exchange. Una serie de agentes que se ejecutan en el servidor de transporte perimetral ofrece niveles adicionales de protección de mensajes y seguridad, y actúa en los mensajes conforme éstos son procesados por los componentes de transporte de mensajes. Dichos agentes son compatibles con las características que ofrecen protección frente a virus y correo electrónico no deseado, y aplican reglas de transporte para controlar el flujo de correo.
Aunque la creación de una suscripción perimetral sea opcional, la suscripción de un servidor de transporte perimetral a la organización de Exchange proporciona una experiencia administrativa más sencilla para el administrador y mejora las características disponibles contra el correo electrónico no deseado. Es necesario crear una suscripción perimetral si se desea usar la búsqueda de destinatarios o agregación de listas seguras o bien si se desea proteger las comunicaciones SMTP con dominios asociados a través de Seguridad de la capa transporte (TLS) mutua.
¿Está buscando tareas de administración relacionadas con la administración de servidores de transporte? Consulte Administración de servidores de transporte.
Contenido
Proceso de suscripción perimetral
Servicio EdgeSync de Microsoft Exchange
Administración de suscripciones perimetrales
Proceso de suscripción perimetral
En un escenario de implementación típico, el equipo que tiene instalado rol de servidor Transporte perimetral no tiene acceso a Active Directory. Toda la información de configuración y de destinatarios de la que dispone el servidor de transporte perimetral para procesar mensajes está almacenada en AD LDS. La creación de una suscripción perimetral establece una replicación automática y segura de la información de Active Directory en AD LDS. Con el proceso de suscripción perimetral se especifican las credenciales que se usan para establecer una conexión segura de LDAP entre los servidores de transporte de concentradores y un servidor de transporte perimetral suscripto. A continuación, el servicio EdgeSync de Microsoft Exchange que se ejecuta en los servidores Transporte de concentradores efectúa una sincronización unidireccional periódica para transferir datos a AD LDS y mantener dichos datos actualizados. Este proceso reduce las tareas de administración sobre la red perimetral ya que permite llevar a cabo la configuración necesaria en la función del servidor Transporte de concentradores y después escribir dicha información en el servidor de transporte perimetral.
Se suscribe un servidor de transporte perimetral en el sitio Active Directory que contiene los servidores Transporte de concentradores que, directamente, intercambiará mensajes con sus servidores Transporte perimetral. El proceso de suscripción perimetral crea una afiliación de pertenencia al sitio de Active Directory en el servidor de transporte perimetral. La afiliación al sitio permite a los servidores de transporte de concentradores de la organización de Exchange transmitir mensajes al servidor de transporte perimetral para su entrega en Internet sin necesidad de configurar conectores de envío.
Se pueden suscribir uno o más servidores de transporte perimetral a un único sitio de Active Directory. Sin embargo, un servidor de transporte perimetral no se puede suscribir a más de un sitio de Active Directory. Si tiene más de un servidor de transporte perimetral implementado, cada servidor se puede suscribir a un sitio de Active Directory diferente. Cada servidor de transporte perimetral requiere una suscripción perimetral independiente.
Para implementar un servidor de transporte perimetral y suscribirlo a un sitio de Active Directory, siga estos pasos:
Instale la función del servidor Transporte perimetral.
Compruebe que los servidores de transporte de concentradores y el servidor de transporte perimetral se puedan comunicar entre sí mediante una resolución de nombres del Sistema de nombre de dominios (DNS).
Configure los objetos y opciones que se van a replicar en el servidor de transporte perimetral.
En el servidor de transporte perimetral, cree y exporte el archivo de suscripción perimetral. Para obtener más información acerca de este paso, consulte Crear un archivo de suscripción perimetral.
Copie el archivo de suscripción perimetral en el servidor de transporte de concentradores o en un recurso compartido de archivos al que se pueda tener acceso desde el sitio de Active Directory que tiene los servidores Transporte de concentradores.
Importe el archivo de suscripción perimetral al sitio de Active Directory donde desea suscribir su servidor de transporte perimetral. Para obtener más información acerca de este paso, consulte Crear una suscripción perimetral.
La figura siguiente ilustra el proceso de suscripción perimetral.
Proceso de suscripción perimetral
Cambios de configuración realizados cuando se crea una nueva suscripción perimetral
Cuando se ejecuta el cmdlet New-EdgeSubscription en el servidor de transporte perimetral para crear un archivo de suscripción perimetral, tienen lugar las siguientes acciones:
Se crea una cuenta de AD LDS. Esta cuenta recibe el nombre de cuenta de replicación de inicio de EdgeSync (ESBRA). Estas credenciales se usan para autenticar la primera conexión de EdgeSync a un servidor de transporte perimetral. La cuenta está configurada para expirar 1440 minutos (24 horas) después de su creación. Por lo tanto, debe completar el proceso de suscripción antes de que dicho plazo de tiempo termine. Si la ESBRA expira antes de que se haya completado el proceso de suscripción perimetral, vuelva a ejecutar el cmdlet New-EdgeSubscription en el servidor de transporte perimetral para crear un archivo de suscripción perimetral.
Las credenciales de la ESBRA se recuperan desde AD LDS y se escriben en el archivo de suscripción perimetral. La clave pública del certificado autofirmado del servidor de transporte perimetral también se exporta al archivo de suscripción perimetral. Las credenciales que se escriben en el archivo de suscripción perimetral son específicas del servidor desde el que se exporta el archivo.
Cualquier objeto de configuración creado anteriormente en una clase que ahora se va a replicar en AD LDS desde Active Directory se eliminará de AD LDS. Asimismo, los comandos del Shell de administración de Exchange que se usaron para configurar dichos objetos quedarán deshabilitadas. Aun así, podrá seguir usando los cmdlets que permiten ver dichos objetos. Los cmdlets que se indican a continuación quedan deshabilitados en el servidor de transporte perimetral cuando se ejecuta el cmdlet New-EdgeSubscription:
Set-SendConnector
New-SendConnector
Remove-SendConnector
New-AcceptedDomain
Set-AcceptedDomain
Remove-AcceptedDomain
New-MessageClassification
Set-MessageClassification
Remove-MessageClassification
New-RemoteDomain
Set-RemoteDomain
Remove-RemoteDomain
Cuando se importa el archivo de suscripción perimetral al servidor de transporte de concentradores mediante la ejecución del cmdlet New-EdgeSubscription en el Shell o mediante el uso del Asistente para nuevas suscripciones perimetrales de la Consola de administración de Exchange, tienen lugar las siguientes acciones:
Se crea la suscripción perimetral y se establece un registro de un servidor de transporte perimetral que se ha unido a una organización de Exchange y al que el servicio EdgeSync de Microsoft Exchange va a propagar datos de configuración. En este paso, se crea el objeto de configuración perimetral de Active Directory.
Cada servidor de transporte de concentradores del sitio de Active Directory recibe una notificación de Active Directory que informa de que se ha suscrito un nuevo servidor de transporte perimetral. El servidor de transporte de concentradores recupera la ESBRA desde el archivo de suscripción perimetral. El servidor de transporte de concentradores cifra entonces la cuenta ESBRA mediante la clave pública del certificado autofirmado del servidor de transporte perimetral. A continuación, las credenciales cifradas se escriben en el objeto de configuración perimetral.
Cada servidor de transporte de concentradores cifra también la cuenta ESBRA mediante su propia clave pública y, a continuación, almacena las credenciales en su propio objeto de configuración.
Las cuentas de replicación de EdgeSync (ESRA) se crean en Active Directory para cada par de servidores Transporte perimetral y de concentradores. Cada servidor de transporte de concentradores almacena sus credenciales de ESRA como un atributo del objeto de configuración del servidor de transporte de concentradores.
Se crean automáticamente conectores de envío para transmitir mensajes salientes desde el servidor de transporte perimetral a Internet y mensajes entrantes desde dicho servidor a la organización de Exchange.
El servicio EdgeSync de Microsoft Exchange que se ejecuta en los servidores de transporte de concentradores usa las credenciales de ESBRA para establecer una conexión LDAP segura entre un servidor de transporte de concentradores y el servidor de transporte perimetral, y realiza la replicación inicial de datos. Los siguientes datos se replican en AD LDS:
Datos de topología
Datos de configuración
Datos de destinatario
Credenciales de ESRA
El servicio de credenciales de Microsoft Exchange que se ejecuta en el servidor de transporte perimetral instala las credenciales de ESRA. Dichas credenciales se usan para autenticar y proteger posteriores conexiones de sincronización.
Se establece la programación de sincronización de EdgeSync.
El servicio EdgeSync de Microsoft Exchange que se ejecuta en los servidores de transporte de concentradores del sitio de Active Directory al que está suscrito el servidor de transporte perimetral realiza ahora una replicación unidireccional de datos de Active Directory a AD LDS de forma periódica. También puede usar el cmdlet Start-EdgeSynchronization del Shell para invalidar la programación de sincronización EdgeSync e iniciar inmediatamente la sincronización.
Para obtener más información acerca de las cuentas ESRA y cómo se usan para proteger el proceso de sincronización de EdgeSync, consulte Descripción de las credenciales de suscripciones perimetrales.
Enviar conectores creados durante el proceso de suscripción perimetral
De forma predeterminada, al completar el proceso de suscripción perimetral importando el archivo de suscripción perimetral a un servidor de transporte de concentradores, se crean automáticamente los conectores de envío necesarios para permitir el flujo de correo de extremo a extremo entre Internet y la organización de Exchange. Todos los conectores de envío existentes en el servidor de transporte perimetral se eliminarán. Aunque es el método recomendado, también puede seleccionar suprimir la creación automática de conectores de envío y configurar los conectores de envío manualmente. Para obtener más información acerca de la configuración manual de los conectores de envío, consulte Configurar el flujo de correo entre un servidor Transporte perimetral y servidores Transporte de concentradores sin usar EdgeSync.
El proceso de suscripción perimetral facilita los siguientes conectores de envío:
Un conector de envío configurado para retransmitir mensajes de correo electrónico desde la organización de Exchange a Internet.
Un conector de envío configurado para retransmitir mensajes de correo electrónico desde el servidor de transporte perimetral a la organización de Exchange.
Asimismo, al suscribir un servidor de transporte perimetral para la organización de Exchange, habilita los servidores de transporte de concentradores ubicados en el sitio de Active Directory en el que está suscrito el servidor de transporte perimetral para que use el conector de envío interno de la organización para retransmitir mensajes para ese servidor de transporte perimetral.
Crear automáticamente un conector de envío para enviar mensajes a Internet
De forma predeterminada, cuando ejecuta el cmdlet New-EdgeSubscription en el Shell del servidor de transporte de concentradores, el parámetro CreateInternetSendConnector está definido en $true
. Esto crea el conector de envío requerido para enviar mensajes a Internet. La siguiente tabla muestra la configuración predeterminada de este conector de envío.
Configuración del conector de envío automático a Internet
Parámetro | Valor |
---|---|
Nombre |
EdgeSync - <Nombre de sitio> para Internet |
Espacio de direcciones |
SMTP:*;100 |
Servidores de origen |
Nombre de suscripción perimetral Nota El nombre de la suscripción perimetral es el mismo que el del servidor de transporte perimetral con suscripción. |
Habilitado |
True |
Enrutamiento de DNS habilitado |
True |
Seguridad de dominio habilitada (Autenticación TLS mutua) |
True |
Si se suscribe más de un servidor de transporte perimetral para el mismo sitio de Active Directory, no se crean conectores de envío adicionales para Internet. En su lugar, todas las suscripciones perimetrales se agregan al mismo conector de envío como servidores de origen. Esta configuración provoca conexiones salientes a Internet que deben cargarse de forma equilibrada entre los servidores de transporte perimetral con suscripción.
Este conector de envío está configurado para enviar mensajes de correo electrónico desde la organización de Exchange a todos los dominios SMTP. Usará el enrutamiento de DNS para resolver los nombres de dominio en los registros de recursos MX. Puede modificar manualmente la configuración de este conector. Sin embargo, debe enrutar el correo saliente a través de un host inteligente, por ejemplo, puede suprimir la creación de este conector y configurar manualmente un conector de envío para Internet.
Nota
Un conector de envío que esté configurado para usar un host inteligente para enrutar el correo electrónico debe tener el parámetro DNSRoutingEnabled definido en $false
. Si el parámetro DNSRoutingEnabled está configurado como $false
, el parámetro DomainSecureEnabled también se debe definir en $false
.
Crear automáticamente un conector de envío entrante
De forma predeterminada, cuando ejecuta el cmdlet New-EdgeSubscription en el Shell del servidor de transporte de concentradores, el parámetro CreateInboundSendConnector está definido en $true
. Esto crea el conector de envío requerido para enviar mensajes a la organización Exchange. La siguiente tabla muestra la configuración de este conector de envío.
Configuración del conector de envío entrante automático
Parámetro | Valor |
---|---|
Nombre |
EdgeSync - Entrante para <Nombre de sitio> |
Espacio de direcciones |
SMTP:--;1 |
Servidores de origen |
Nombre de suscripción perimetral |
Habilitado |
True |
Enrutamiento de DNS habilitado |
False |
Hosts inteligentes |
-- |
El marcador -- del espacio de la dirección del conector de envío entrante representa los dominios aceptados de retransmisión interna y con autorización para la organización de Exchange y es el carácter literal mostrado. Cualquier mensaje que el servidor de transporte perimetral reciba de los dominios aceptados de retransmisión interna y con autorización se enrutan a este conector de envío y se retransmiten a los hosts inteligentes.
El marcador -- de la lista de hosts inteligentes representa todos los servidores Transporte de concentradores ubicados en el sitio de Active Directory con suscripción y es el carácter literal mostrado. Los servidores Transporte de concentradores se agregan al sitio de Active Directory después de que la suscripción perimetral establecida no participe en el proceso de sincronización EdgeSync. Sin embargo, se agregan automáticamente a la lista de hosts inteligentes para el conector de envío entrante. Si hay más de un servidor de transporte de concentradores ubicado en el sitio de Active Directory con suscripción, las conexiones entrantes se cargarán equilibradas entre los hosts inteligentes.
No se puede modificar el espacio de dirección ni la lista de hosts inteligentes para el conector de envío entrante creado automáticamente. Sin embargo, se puede establecer el valor del parámetro CreateInboundSendConnector en $false
al crear una suscripción perimetral y se puede configurar manualmente el conector de envío desde el servidor de transporte perimetral para la organización de Exchange.
Conector de envío interno de la organización
El conector de envío interno de la organización es un conector de envío implícito y oculto que Exchange 2010 calcula automáticamente y habilita los servidores Transporte de concentradores de la misma organización para que retransmitan mensajes entre ellos sin usar conectores de envío explícitos. Dado que existe un objeto de configuración que tiene una asociación de sitio de Active Directory en Active Directory para una suscripción perimetral, el conector de envío interno de la organización se usará también para retransmitir mensajes a ese servidor de transporte perimetral.
Solo los servidores de transporte perimetral ubicados en el mismo sitio de Active Directory en el que esté suscrito el servidor de transporte perimetral pueden enviar y recibir correos electrónicos directamente a o desde el servidor de transporte perimetral con suscripción. Si tiene un bosque de varios sitios y Exchange 2010 está implementado en más de un sitio, los servidores Transporte de concentradores de sitios sin suscripción enrutarán el correo electrónico saliente hacia los sitios con suscripción. Un servidor de transporte de concentradores en el sitio con suscripción enrutará el correo electrónico saliente hacia el servidor de transporte perimetral.
Crear conectores de envío adicionales después de que se haya completado la suscripción perimetral
Una vez que se ha suscrito un servidor de transporte perimetral para un sitio de Active Directory, se deshabilitan las tareas de creación y modificación de los conectores de envío en el servidor de transporte perimetral. Si desea crear un conector de envío para el que el servidor de transporte perimetral sea un servidor de origen, cree el conector de envío dentro de la organización de Exchange. Puede especificar una o más suscripciones como servidor de origen para el conector de envío. No puede especificar los servidores Transporte de concentradores y las suscripciones perimetrales como servidores de origen para el mismo conector de envío. El conector de envío se replicará en la instancia AD LDS del servidor de transporte perimetral que está configurado como el servidor de origen la próxima vez que el proceso de sincronización EdgeSync sincronice los datos de configuración. Si enumera más de una suscripción perimetral como servidor de origen, las conexiones a ese conector de envío se cargarán equilibradas entre los servidores de trasporte perimetral con suscripción. Sin embargo, los servidores de transporte perimetral tienen que suscribirse para el mismo sitio de Active Directory para que se produzca una carga equilibrada. Si se configuran suscripciones perimetrales de sitios de Active Directory diferentes como servidores de origen en el mismo conector de envío, los servidores de transporte perimetral solo enrutarán al servidor de origen más cercano.
Tiene que crear manualmente conectores de envío en los siguientes escenarios:
Se ha suprimido la creación automática de conectores de envío de Internet o entrantes.
Se han aceptado dominios que están configurados como dominios de retransmisión externa.
Supresión de creación automática de conectores de envío
Dependiendo de la topología de su organización de Exchange, puede decidir suprimir la creación automática de conectores de envío. Los siguientes escenarios muestran ejemplos de topologías que necesitan suprimir la creación automática de conectores de envío.
Partición del flujo de correo
Puede que decida crear particiones del procesamiento de mensajes entrantes y salientes entre dos servidores de transporte perimetral. En este caso, un servidor de transporte perimetral es responsable del procesamiento del flujo de correo saliente y un segundo servidor de transporte perimetral es responsable del procesamiento del flujo de correo entrante. Para lograr este escenario, configure las suscripciones perimetrales del siguiente modo:
En el servidor de transporte perimetral que procesa solamente el flujo de correo saliente, ejecute el siguiente comando en el Shell del servidor de transporte de concentradores:
New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeServerSubscription.xml" -Encoding Byte -ReadCount 0)) -Site "Site-A" -CreateInboundSendConnector $false -CreateInternetSendConnector $true
En el servidor de transporte perimetral que procesa solamente el flujo de correo entrante, ejecute el siguiente comando en el Shell del servidor de transporte de concentradores.
New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeServerSubscription.xml" -Encoding Byte -ReadCount 0)) -Site "Site-A" -CreateInboundSendConnector $true -CreateInternetSendConnector $false
Enrutamiento del correo electrónico saliente a un host inteligente
Si su organización de Exchange enruta todo el correo electrónico saliente a través de un host inteligente, el conector de envío que se crea automáticamente de forma predeterminada no tendrá la configuración correcta.
En este escenario, ejecute el siguiente comando en el Shell del servidor de transporte de concentradores para suprimir la creación automática del conector de envío para Internet.
New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeServerSubscription.xml" -Encoding Byte -ReadCount 0)) -Site "Site-A" -CreateInternetSendConnector $false
Una vez completado el proceso de suscripción perimetral, cree manualmente un conector de envío para Internet. Cree el conector de envío dentro de la organización de Exchange y seleccione la suscripción perimetral como el servidor de origen para el conector. Seleccione la opción de uso Personalizado y configure uno o más hosts inteligentes. El conector de envío se replicará en la instancia AD LDS del servidor de transporte perimetral la próxima vez que EdgeSync sincronice los datos de configuración. También puede forzar la sincronización de EdgeSync para que comience inmediatamente si ejecuta el cmdlet Start-EdgeSynchronization en el Shell de en un servidor de transporte de concentradores.
El siguiente código muestra un ejemplo de cómo usar el Shell en la configuración de un conector de envío para un servidor de transporte perimetral con suscripción para que enrute los mensajes para todos los espacios de direcciones de Internet a través de un host inteligente. Esta tarea se ejecuta dentro de la organización de Exchange, no en el servidor de transporte perimetral.
New-SendConnector -Name "EdgeSync - Site-A to Internet" -Usage Custom -AddressSpaces SMTP:*;100 -DNSRoutingEnabled $false -SmartHosts 192.168.10.1 -SmartHostAuthMechanism None -SourceTransportServers EdgeSubscriptionName
Importante
Este mecanismo no especifica ningún mecanismo de autenticación de host inteligente. Asegúrese de configurar el mecanismo de autentificación correcto y facilitar todas las credenciales necesarias al crear un conector de host inteligente en su propia organización de Exchange.
Configuración de conectores de envío para dominios de retransmisión externos
Si ha aceptado dominios en su organización de Exchange que estén configurados como dominios de retransmisión externos, tiene que crear manualmente un conector de envío para estos espacios de direcciones. Los mensajes que se envían a estos dominios de retransmisión externos se retransmiten mediante el servidor de transporte perimetral. El proceso de suscripción perimetral no crea automáticamente ni configura conectores de envío para dominios de retransmisión externos. Por lo tanto, tiene que configurar conectores de envío para estos dominios y especificar una o más suscripciones perimetrales como el servidor de origen para estos conectores de envío.
El registro de recurso DNS MX para un dominio de retransmisión externo se resuelve en su servidor de transporte perimetral. Configure un conector de envío que retransmita el correo electrónico a un dominio de retransmisión externo para usar un host inteligente para el enrutamiento. Si configura el conector de envío para un dominio de retransmisión externo para usar un enrutamiento DNS, se producirá un bucle de enrutamiento. Para obtener más información acerca de los dominios de retransmisión externos, consulte Descripción de los dominios aceptados.
Volver al principio
Servicio EdgeSync de Microsoft Exchange
Después de que haya suscrito un servidor de transporte perimetral en un sitio de Active Directory, el servicio de EdgeSync que ejecuta los servidores de transporte de concentradores replicarán los datos de configuración y de destinatario en los servidores de transporte perimetral mediante el servicio EdgeSync de Microsoft Exchange. El servicio replica los siguientes datos desde Active Directory en AD LDS:
Configuración de conector de envío
Dominios aceptados
Dominios remotos
Clasificaciones de mensajes
Listas de remitentes seguros
Listas de remitentes bloqueados
Destinatarios
Lista de dominios de envío y de recepción usada en las comunicaciones seguras de dominios con asociados
Lista de servidores SMTP que aparecen como internos en la configuración de transporte de su organización
Lista de servidores de transporte de concentradores del sitio de Active Directory al que se está suscrito
Para obtener más información sobre los datos que se replican en AD LDS y cómo se usan, consulte Datos de replicación de EdgeSync.
El servicio EdgeSync de Microsoft Exchange usa un canal LDAP seguro para transferir estos datos. Se establece un canal LDAP seguro mutuamente autenticado y autorizado desde el servidor de transporte de concentradores hacia el servidor de transporte perimetral.
Para replicar datos en AD LDS, el servidor de transporte de concentradores se enlaza con un servidor de catálogo global para recuperar datos actualizados. El servicio EdgeSync de Microsoft Exchange inicia una sesión LDAP segura entre un servidor de transporte de concentradores y un servidor de transporte perimetral con suscripción mediante el puerto TCP 50636 no estándar.
La figura siguiente ilustra el proceso de suscripción de EdgeSync.
Proceso de sincronización de EdgeSync
Cuando se suscribe por primera vez un servidor de transporte perimetral en un sitio de Active Directory, la replicación inicial que completa AD LDS con los datos de Active Directory puede tardar unos minutos, según la cantidad de datos del servicio de directorio. Después de que la replicación inicial haya finalizado, el servicio EdgeSync solamente sincroniza los objetos nuevos y modificados, y elimina todos los objetos que se borraron de Active Directory.
Programación de sincronización
Los distintos tipos de datos se sincronizan en distintas programaciones. El programa de sincronización de EdgeSync especifica el periodo de tiempo máximo entre intervalos de sincronización de EdgeSync. La sincronización de EdgeSync tiene lugar en los siguientes intervalos:
Los datos de configuración están programados para sincronizarse a intervalos de 3 minutos.
Los datos de destinatario están programados para sincronizarse a intervalos de 5 minutos.
Los datos de topología se vuelven a cargar cada cinco minutos.
Use el cmdlet de Set-EdgeSyncServiceConfig para configurar los intervalos de programación de sincronización de EdgeSync. Si usa el cmdlet Start-EdgeSynchronization en el Shell del servidor de transporte de concentradores para que la sincronización de la suscripción perimetral se produzca inmediatamente, anulará el temporizador que establece cuándo será la próxima vez que se produzca una sincronización EdgeSync programada.
Selección del servidor de transporte de concentradores
Un servidor de transporte perimetral suscrito se asocia con un sitio Active Directory particular. Si existe más de un servidor de transporte de concentradores en el sitio, cualquiera de ellos puede replicar los datos en los servidores de transporte perimetral con suscripción. Para evitar la contención entre los servidores de transporte de concentradores al sincronizar, la selección del servidor de transporte de concentradores preferido ocurre de la siguiente manera:
El primer servidor de transporte de concentradores del sitio de Active Directory en realizar una exploración topológica y detectar la nueva suscripción perimetral realiza la réplica inicial. Como esta detección se basa en el momento de la exploración topológica, cualquier servidor de transporte de concentradores en el sitio puede realizar la réplica inicial.
El servidor de transporte de concentradores que realiza la réplica inicial establece una opción de concesión de EdgeSync y establece un bloqueo en la suscripción perimetral. La opción de concesión establece al servidor de transporte de concentradores como servidor preferido para proporcionar servicios de sincronización a dicho servidor de transporte perimetral. El bloqueo evita que el servicio EdgeSync de Microsoft Exchange en otro servidor de transporte de concentradores asuma la opción de concesión.
La opción de concesión de EdgeSync dura una hora. Ningún otro servicio EdgeSync de Microsoft Exchange puede asumir la opción desde otro servidor de transporte de concentradores durante este período de una hora a no ser que se produzca una sincronización manual antes de que termine el período. Si el servidor de transporte de concentradores preferido no está disponible para proporcionar el servicio EdgeSync de Microsoft Exchange cuando se realiza la sincronización manual, pasada una espera de cinco minutos, el bloqueo se libera y otro servicio EdgeSync de Microsoft Exchange asume la opción de concesión y realiza la sincronización.
Si la sincronización manual no se realiza, se produce una sincronización basada en la programación de sincronización de EdgeSync. Si el servidor preferido no está disponible cuando se produce la programación de sincronización, pasada una espera de cinco minutos, el bloqueo se libera y otra tarea del servicio EdgeSync de Microsoft Exchange asume la opción de concesión y realiza la sincronización.
Este método de bloqueo y concesión evita que más de una instancia del servicio EdgeSync de Microsoft Exchange envíe datos al mismo servidor de transporte perimetral al mismo tiempo.
Nota
Si tiene los dos servidores de transporte de concentradores de Exchange 2010 y de Exchange Server 2007 en el sitio de Active Directory al cual está suscrito el servidor de transporte perimetral, los servidores Transporte de concentradores de Exchange 2010 siempre tendrán prioridad con respecto a los servidores de transporte de concentradores de Exchange 2007.
Nota
Cuando un servidor de transporte perimetral se suscribe a un sitio Active Directory, todos los servidores de transporte perimetral instalados en dicho sitio Active Directory pueden participar al mismo tiempo en el proceso de sincronización de EdgeSync. Si se elimina uno de estos servidores, el servicio EdgeSync de Microsoft Exchange que se ejecuta en los servidores Transporte de concentradores restantes continuará el proceso de sincronización de datos. Sin embargo, si se instalan nuevos servidores Transporte de concentradores en el sitio de Active Directory, no participarán en el proceso de sincronización de EdgeSync de manera automática. Para habilitar los servidores de transporte de concentradores que participan en el proceso de sincronización de EdgeSync, se debe volver a suscribir al servidor de transporte perimetral.
La siguiente tabla muestra las propiedades de EdgeSync relacionadas con los procesos de bloqueo y concesión. Se puede usar el cmdlet Set-EdgeSyncServiceConfig para configurar estas propiedades.
Propiedades de concesión de EdgeSync
Nombre de propiedad | Valor | Descripción |
---|---|---|
Duración del bloqueo |
5 minutos |
Esta opción determina cuanto tiempo adquirirá un bloqueo un servicio EdgeSync de Microsoft Exchange particular. Si el servicio EdgeSync de Microsoft Exchange en el servidor de transporte de concentradores que mantiene este bloqueo no responde, se tardará cinco minutos para que el servicio EdgeSync de Microsoft Exchange en otro servidor de transporte de concentradores asuma la concesión. Forzar la sincronización de EdgeSync no anula este valor. |
Duración de la opción |
1 hora |
Esta opción determina cuánto tiempo un servicio EdgeSync deMicrosoft Exchange puede declarar una opción de concesión en un servidor de transporte perimetral. Si el servicio EdgeSync de Microsoft Exchange que mantiene la concesión no está disponible y no se reinicia durante este período de opción, ningún otro servicio de EdgeSync de Microsoft Exchange asumirá la opción de concesión, a no ser que fuerce la sincronización de EdgeSync. |
Renovación de bloqueo |
1 minuto |
Esta opción determina con qué frecuencia se actualiza el campo de bloqueo cuando un servicio EdgeSync de Microsoft Exchange ha adquirido un bloqueo en un servidor de transporte perimetral. |
Preparación para la ejecución del servicio de EdgeSync
Antes de que pueda suscribir su servidor de transporte perimetral en la organización de Exchange, debe asegurarse de que su infraestructura y los servidores Transporte de concentradores estén preparados para el servicio de EdgeSync. La lista siguiente resume los aspectos necesarios para preparar la sincronización de EdgeSync:
Compruebe que el firewall perimetral de la red que separa el servidor de transporte perimetral de la organización de Exchange está configurado para habilitar las comunicaciones a través de los puertos correctos. El servidor de transporte perimetral usa puertos LDAP no estándar. Puede modificar los puertos que AD LDS usa si usa el script ConfigureAdam.ps1 que se proporciona con Exchange 2010 si el entorno requiere puertos específicos. Para obtener más información, consulte Modificar la configuración de AD LDS. Sin embargo, no modifique los puertos después de crear la suscripción perimetral. Si modifica los puertos después de haber creado la suscripción perimetral, deberá quitar la suscripción perimetral y crear una suscripción. De forma predeterminada, los siguientes puertos LDAP se usan para tener acceso a AD LDS:
LDAP El puerto 50389/TCP se usa localmente para enlazar con la instancia de AD LDS. No es necesario que este puerto esté abierto en el firewall perimetral de la red.
LDAP seguro El puerto 50636/TCP se usa para la sincronización de directorios de servidores Transporte de concentradores en AD LDS. Este puerto debe estar abierto para que la sincronización de EdgeSync se realice correctamente.
Compruebe que la resolución de nombres de host de DNS se realice correctamente desde el servidor de transporte perimetral a los servidores de transporte de concentradores y viceversa.
Concesión de licencia al servidor de transporte perimetral. La información de licencia del servidor de transporte perimetral se captura cuando se crea la suscripción perimetral y se muestra en la EMC de la organización de Exchange. Para que los servidores de transporte perimetral aparezcan con licencia deben estar suscritos a la organización de Exchange después de haber aplicado la clave de licencia al servidor de transporte perimetral. Si se aplica después de haber realizado el proceso de suscripción, la información de licencia no se actualiza en la organización de Exchange y es necesario volver a efectuar la suscripción del servidor de transporte perimetral.
Los siguientes valores se configuran para la propagación en el rol de servidor Transporte perimetral:
Servidores SMTP internos Use el cmdlet Set-TransportConfig para configurar el parámetro InternalSMTPServers. Este parámetro especifica una lista de direcciones IP del servidor SMTP interno o intervalos de direcciones IP que el Id. de remitente y el filtro de conexión deben omitir.
Dominios aceptados Configure todos los dominios con autorización, dominios de retransmisión internos y dominios de retransmisión externos.
Dominios remotos Configure los valores de dominios remotos.
Volver al principio
Administración de suscripciones perimetrales
Esta sección proporciona información general acerca de diversas tareas de administración de suscripción perimetral. Para tener acceso a las instrucciones paso a paso, consulteAdministración de suscripciones perimetrales.
Agregar un servidor de transporte perimetral
Puede suscribir uno o más servidores de transporte perimetral a un único sitio de Active Directory. Si implementa servidores de transporte perimetral adicionales en la red perimetral y los suscribe al mismo sitio de Active Directory en el que ya existe una suscripción perimetral, se producen las siguientes situaciones:
Se crea un objeto de suscripción perimetral nuevo en Active Directory.
Se crean cuentas ESRA adicionales para cada servidor de transporte de concentradores del sitio de Active Directory. Estas cuentas se replican en AD LDS y se usan en el proceso de sincronización de EdgeSync durante la sincronización con el nuevo servidor.
La nueva suscripción perimetral se agrega a la lista del servidor de origen del conector de envío automático a Internet. Se equilibra la carga de los mensajes que se envían a este conector para su procesamiento entre los servidores de transporte perimetral con suscripción.
Se crea automáticamente un conector de envío entrante entre el servidor de transporte perimetral y la organización de Exchange.
Se inicia la sincronización de EdgeSync en el servidor de transporte perimetral.
Para ver pasos detallados acerca de cómo crear una suscripción perimetral, consulte los siguientes temas:
Agregar o quitar un servidor de transporte de concentradores
Si se agrega un servidor de transporte de concentradores al sitio de Active Directory al que ya está suscrito un servidor de transporte perimetral, dicho servidor de transporte de concentradores no participa de manera automática en el proceso de sincronización de EdgeSync. Para permitir que un servidor de transporte de concentradores recientemente implementado participe en el proceso de sincronización de EdgeSync, es necesario volver a suscribir todos los servidores de transporte perimetral al sitio de Active Directory.
Si se quita un servidor de transporte de concentradores de un sitio de Active Directory al que está suscrito un servidor de transporte perimetral, la sincronización de EdgeSync no se verá afectada a menos que sea el último servidor de transporte de concentradores del sitio. Si se quitan todos los servidores de transporte de concentradores de un sitio de Active Directory al que está suscrito un servidor de transporte perimetral, los servidores de transporte perimetral quedan huérfanos.
Volver a suscribir un servidor de transporte perimetral
En algunas ocasiones, puede necesitar volver a suscribir un servidor de transporte perimetral a un sitio de Active Directory. Cuando se vuelve a crear la suscripción perimetral, se generan nuevas credenciales y es necesario llevar a cabo la totalidad del proceso de suscripción. Este proceso se usa en los siguientes escenarios:
Se han implementado nuevos servidores Transporte de concentradores en el sitio de Active Directory suscrito y desea que el nuevo servidor participe en la sincronización de EdgeSync.
La clave de licencia del servidor de transporte perimetral se aplicó después de haberse creado la suscripción perimetral. La información de licencia del servidor de transporte perimetral se captura cuando se crea la suscripción perimetral y se muestra en la EMC de la organización de Exchange. Para que los servidores de transporte perimetral aparezcan con licencia deben estar suscritos a la organización de Exchange después de haber aplicado la clave de licencia al servidor de transporte perimetral. Si la clave de licencia se aplica después de haber realizado el proceso de suscripción, la información de licencia no se actualiza en la organización de Exchange y hay que volver a efectuar la suscripción del servidor de trasporte perimetral.
Las credenciales ESRA están en peligro.
Importante
Para volver a suscribir un servidor de transporte perimetral, exporte un archivo de suscripción perimetral nuevo al servidor de transporte perimetral y después importe el archivo XML al servidor de transporte de concentradores. Debe volver a suscribir el servidor de transporte perimetral al mismo sitio de Active Directory al que se suscribió originalmente. No es necesario quitar primero la suscripción perimetral original. Este proceso de vuelta a suscribir anulará la suscripción perimetral original.
Quitar una suscripción perimetral
Existen varios escenarios en los que es posible que tenga que quitar una suscripción perimetral de la organización de Exchange o de la organización de Exchange y del servidor perimetral a la vez. Si el servidor de transporte perimetral se va a suscribir a una organización de Exchange, no quite la suscripción perimetral del servidor de transporte perimetral. Cuando se quita la suscripción perimetral de un servidor de transporte perimetral, todos los datos replicados se eliminan de AD LDS. Si tiene muchos datos de destinatario, este proceso puede durar mucho tiempo.
En la siguiente lista se proporcionan ejemplos de situaciones que requieren quitar la suscripción perimetral.
No desea que el servidor de transporte perimetral participe en el proceso de suscripción de EdgeSync. En este escenario, debe quitar la suscripción perimetral tanto de dicho servidor como de la organización de Exchange.
Se está retirando un servidor de transporte perimetral. En este escenario, quite únicamente la suscripción perimetral de la organización de Exchange. Si desinstala el rol de servidor Transporte perimetral del equipo, también se elimina la instancia de AD LDS y todos los datos de Active Directory almacenados en AD LDS.
Desea cambiar la asociación del sitio de Active Directory para la suscripción perimetral. En este escenario, quite únicamente la suscripción perimetral de la organización de Exchange. Después de haber quitado la suscripción perimetral de la organización de Exchange, puede volver a suscribir el servidor de transporte perimetral a otro sitio de Active Directory.
Cuando se quita la suscripción perimetral de la organización de Exchange, el efecto es el siguiente:
Se detiene la sincronización de información de Active Directory a AD LDS.
Las cuentas ESRA se quitan tanto de Active Directory como de AD LDS.
El equipo que tiene instalada la función del servidor Transporte perimetral se quita de la lista del servidor de origen de todos los conectores de envío.
El conector de envío entrante automático entre el servidor de transporte perimetral y la organización de Exchange se quita de AD LDS.
Cuando se quita la suscripción perimetral de un servidor de transporte perimetral, el efecto es el siguiente:
Ya no se pueden usar las características del servidor de transporte perimetral basadas en datos de Active Directory.
Los datos replicados se quitan de AD LDS.
Las tareas que se deshabilitaron cuando se creó la suscripción perimetral se habilitan nuevamente para permitir la configuración local.
Para obtener instrucciones paso a paso acerca de cómo quitar una suscripción perimetral, consulte Quitar una suscripción perimetral.
Comprobación de resultados de EdgeSync
Puede usar el cmdlet de diagnóstico Test-EdgeSynchronization para comprobar que la sincronización perimetral está funcionando. Este cmdlet proporciona un informe del estado de sincronización de los servidores de transporte perimetral. Se puede ejecutar de manera manual o pude ser llamada por Microsoft System Center Operations Manager 2007. Cuando System Center Operations Manager 2007 llama la tarea, se generan alertas si el servidor de transporte perimetral no está sincronizado.
El resultado de este cmdlet permite comprobar qué objetos no se ha sincronizado con el servidor de transporte perimetral. La tarea compara los datos almacenados en Active Directory y los datos almacenados en AD LDS. Este comando notifica cualquier incoherencia de los datos en el resultado.
Puede usar el parámetro ExcludeRecipientTest con el cmdlet Test-EdgeSynchronization para excluir la validación de sincronización de datos de destinatario. Si se incluye este parámetro, solo se valida la sincronización de objetos de configuración. La validación de dichos datos sincronizados llevará más tiempo que la validación solo de datos de configuración.
Para conocer los pasos detallados, consulte Compruebe los resultados de EdgeSync para un destinatario.
Volver al principio
© 2010 Microsoft Corporation. Reservados todos los derechos.