Configurando conectores entre florestas
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2006-12-21
Este tópico explica como usar o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange para configurar conectores de envio e de recebimento para habilitar a comunicação entre florestas.
Para estabelecer fluxo direto de mensagens entre servidores que executam o Microsoft Exchange Server em diferentes florestas do serviço de diretório do Active Directory, você deve configurar conectores de envio e de recebimento.
Este tópico explica como configurar conectores entre florestas para os seguintes cenários:
Exchange 2007 a Exchange 2007
Exchange 2007 para Exchange Server 2003
Antes de começar
Verifique se sua organização atende aos pré-requisitos de cada cenário. Os pré-requisitos são listados nos procedimentos de cada cenário.
Verifique se a conta que você usa para executar esses procedimentos tem as associações de grupo administrativo necessárias:
Para criar um conector de envio do Exchange 2007, você deve usar a conta à qual esteja delegada a função de Administrador da Organização do Exchange.
Para criar um conector de recebimento do Exchange 2007, você deve usar uma conta à qual esteja delegada a função de Administrador do Exchange Server e o grupo Administradores local no servidor em que pretende criar o conector de recebimento.
Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange Server 2007, consulte Considerações sobre permissão.
Exchange 2007 para Exchange 2007
Neste cenário, você cria os conectores entre florestas entre os servidores de Transporte de Hub em duas organizações do Exchange 2007 localizadas em florestas separadas do Active Directory. Os mecanismos de autenticação básica ou de autenticação externa fornecem autenticação e autorização entre os servidores em diferentes florestas. Se você usar a autenticação básica, poderá selecionar um dos dois métodos a seguir para também usar o TLS:
Defina o método de autenticação de host inteligente como autenticação básica que requer TLS. Esse método fornece confidencialidade e autenticação do servidor de recebimento. Se você selecionar esse método de autenticação de host inteligente, o servidor de envio validará o certificado do servidor de recebimento como um requisito para o fluxo de mensagens.
Defina o parâmetro RequireTLS como
$True
. Esse método fornece confidencialidade, mas não autentica o servidor de recebimento.
Para configurar um conector entre florestas entre os servidores de Transporte de Hub em duas organizações do Exchange 2007, você deve atender aos seguintes pré-requisitos:
Cada floresta deve ter uma organização do Exchange com servidores Exchange 2007.
Se você usar a autenticação básica, deverá existir uma conta de domínio em cada floresta a ser usada para autenticação básica. Por exemplo, forneça uma conta de usuário que tenha o nome UPN FourthCoffee@Contoso.com como as credenciais que devem ser usadas para autenticação pelos servidores Exchange no domínio Fourth Coffee quando mensagens são enviadas para os servidores Exchange no domínio Contoso.
Se você usar a autenticação básica por TLS, o servidor de destino deverá ser configurado para usar um certificado X.509 com um FQDN igual ao FQDN do conector de recebimento.
Se você usar a autenticação externa, deverá existir uma conexão confiável entre os servidores de Transporte de Hub. Essa conexão pode ser uma associação IPSec, uma rede virtual privada ou os servidores podem residir em uma rede confiável controlada fisicamente.
Para estabelecer o fluxo de mensagens entre as florestas, siga estas etapas:
Crie uma conta de usuário em cada floresta a ser usada para autenticação para o servidor de recebimento na segunda floresta.
Crie um conector de envio.
Defina permissões no conector de envio.
Para conectores protegidos externamente, crie um novo conector de recebimento.
Dica
Se você estiver usando autenticação básica por TLS, forneça o FQDN do servidor de Transporte de Hub remoto nas configurações de host inteligente. Não é possível usar um endereço IP.
O procedimento a seguir estabelece o fluxo de mensagens entre florestas entre os servidores de Transporte de Hub do Exchange 2007 nas florestas Contoso.com e FourthCoffee.com. Você deve executar o procedimento recíproco em cada floresta.
Procedimento
Para configurar conectores entre florestas entre servidores Exchange 2007 usando a Autenticação básica
Crie uma conta de usuário em cada floresta. Adicione a conta ao grupo de segurança universal de Exchange Servers. Essa conta é usada pelo conector de envio para autenticar para o servidor de recebimento na segunda floresta.
Importante
A essa conta são concedidas as permissões que estão associadas aos servidores Exchange. Lembre-se de proteger as credenciais da conta para evitar mau uso da conta. Você pode configurar a conta para permitir logon somente a computadores específicos.
Crie um conector de envio na floresta Contoso usando um dos seguintes métodos:
Para usar o Shell de Gerenciamento do Exchange para criar o conector de envio de Contoso.com até FourthCoffee.com e usar Autenticação básica por TLS para fornecer confidencialidade e autenticação para o servidor de recebimento, execute os comandos a seguir. O primeiro comando armazena as credenciais para uso na autenticação. O segundo comando cria o conector de envio.
Primeiro, execute o seguinte comando:
$mycred = get-credential
Em seguida, na caixa de diálogo exibida, insira as credenciais para a conta de usuário no domínio Fourth Coffee. Use o formato domínio\usuário ou o formato UPN para inserir o nome de usuário e fornecer a senha do usuário. Clique em OK e execute o seguinte comando:
New-SendConnector -Name "Cross-Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False
Para usar o Shell de Gerenciamento do Exchange para criar o conector de envio de Contoso.com até FourthCoffee.com e usar Autenticação básica com TLS para fornecer confidencialidade apenas, execute o seguinte comando:
New-SendConnector -Name "Cross-Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism BasicAuth -AuthenticationCredential $mycred -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -requireTLS $True -DNSRoutingEnabled $False
Para usar o Console de Gerenciamento do Exchange para criar o conector de envio de Contoso.com até FourthCoffee.com, siga estas etapas:
Abra o Console de Gerenciamento do Exchange. Na árvore do console, expanda Configuração da Organização, clique em Transporte de Hub e, no painel de ações, clique na guia Novo conector de envio.
Na página Introdução do assistente Novo Conector de Envio SMTP, no campo Nome, digite um nome exclusivo para o conector.
Na lista suspensa Selecione o uso pretendido para este conector, selecione Interno e clique em Avançar.
Na página Espaço de Endereçamento, clique em Adicionar. Na caixa de diálogo Adicionar Espaço de Endereçamento, digite o nome do domínio SMTP remoto e clique em Avançar.
Na página Configurações de Rede, somente a opção Rotear todos os emails por meio dos seguintes hosts inteligentes: pode ser selecionada. Clique em Adicionar.
Na caixa de diálogo Adicionar Host Inteligente, no campo Endereço IP ou Nome de domínio totalmente qualificado (FQDN), digite o FQDN de um servidor de Transporte de Hub na floresta remota e clique em OK. Para especificar mais de um servidor de Transporte de Hub como um host inteligente, clique em Adicionar, insira os FQDNs adicionais e clique em Avançar.
Na página Configurações de segurança de host inteligente, selecione Autenticação Básica ou Autenticação Básica por TLS, digite o nome e a senha do usuário que serão usados para autenticar a conexão e clique em Avançar.
Na página Servidor de Origem, clique em Adicionar. Na caixa de diálogo Selecionar servidores de Transporte de Hub e de Transporte de Borda inscritos, selecione um ou mais servidores de Transporte de Hub em sua organização, clique em OK e em Avançar.
Na página Novo Conector, clique em Novo e, na página Conclusão, clique em Concluir.
Para definir permissões no conector de envio, no Shell de Gerenciamento do Exchange, use o script Enable-CrossForestConnector.ps1 para executar o comando a seguir:
Enable-CrossForestConnector -Connector "Cross-Forest" -user "ANONYMOUS LOGON"
Para configurar conectores entre florestas entre servidores Exchange 2007 usando a autenticação externa
Crie um conector de envio usando um dos seguintes métodos:
Para usar o Shell de Gerenciamento do Exchange para criar o conector de envio de Contoso.com até FourthCoffee.com, execute o seguinte comando:
New-SendConnector -Name "Cross-Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False
Para usar o Console de Gerenciamento do Exchange para criar o conector de envio de Contoso.com até FourthCoffee.com, siga estas etapas:
Abra o Console de Gerenciamento do Exchange. Na árvore do console, expanda Configuração da Organização, clique em Transporte de Hub e, no painel de ações, clique na guia Novo conector de envio.
Na página Introdução do assistente Novo Conector de Envio SMTP, no campo Nome, digite um nome exclusivo para o conector. Na lista suspensa Selecione o uso pretendido para este conector, selecione Interno e clique em Avançar.
Na página Espaço de Endereçamento, clique em Adicionar. Na caixa de diálogo Adicionar Espaço de Endereçamento, digite o nome do domínio SMTP remoto e clique em Avançar.
Na página Configurações de Rede, somente a opção Rotear todos os emails por meio dos seguintes hosts inteligentes: pode ser selecionada. Clique em Adicionar.
Na caixa de diálogo Adicionar Host Inteligente, no campo Endereço IP ou Nome de domínio totalmente qualificado (FQDN), digite o endereço IP ou o FQDN de um servidor de Transporte de Hub na floresta remota e clique em OK. Para especificar mais de um servidor de Transporte de Hub como um host inteligente, clique em Adicionar e insira endereços IP ou FQDNs adicionais e clique em Avançar.
Na página Configurações de autenticação de host inteligente, selecione Protegido Externamente (por exemplo, com IPsec) e clique em Avançar.
Na página Servidor de Origem, clique em Adicionar. Na caixa de diálogo Selecionar servidores de Transporte de Hub e de Transporte de Borda inscritos, selecione um ou mais servidores de Transporte de Hub em sua organização, clique em OK e em Avançar.
Na página Novo Conector, clique em Novo e, na página Conclusão, clique em Concluir.
Crie um novo conector de recebimento usando um dos seguintes métodos:
Para usar o Shell de Gerenciamento do Exchange para criar o conector de recebimento para que Contoso.com receba emails de FourthCoffee.com, execute o seguinte comando:
New-ReceiveConnector -Name "Cross-Forest" -Server HubA -PermissionGroups ExchangeServers -RemoteIPRanges <IP address of Fourth Coffee Hub Transport server> -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25
Para usar o Console de Gerenciamento do Exchange para criar o conector de recebimento para que Contoso.com receba emails de FourthCoffee.com, siga estas etapas:
Abra o Console de Gerenciamento do Exchange. Na árvore do console, expanda Configuração do Servidor, clique em Transporte de Hub e, no painel de ações, clique na guia Novo Conector de Recebimento.
Na página Introdução do assistente Novo Conector de Recebimento SMTP, no campo Nome, digite um nome exclusivo para o conector.
Na lista suspensa Selecione o uso pretendido para este conector, selecione Interno e clique em Avançar.
Na página Configurações de Rede Remota, exclua a entrada de todos os intervalos de rede e clique em Adicionar.
Na caixa de diálogo Adicionar Endereços IP de Servidores Remotos, digite o endereço IP do servidor de Transporte de Hub remoto, clique em OK e em Avançar.
Na página Novo Conector, clique em Novo e, na página Conclusão, clique em Concluir.
Para modificar o método de autenticação que é usado para este conector, siga estas etapas:
No painel de tarefas, selecione o conector de recebimento que você deseja modificar e, no painel de ações, clique em Propriedades.
Clique na guia Autenticação. Desmarque as caixas de seleção de TLS e Autenticação do Exchange Server, selecione Protegido Externamente (por exemplo, com IPsec) e clique em OK.
Exchange 2007 para Exchange 2003
Neste cenário, crie conectores entre florestas entre uma floresta do Active Directory com uma organização do Exchange executando o Exchange 2007 e uma segunda floresta do Active Directory com uma organização do Exchange executando o Exchange 2003. Você pode criar os conectores de envio e de recebimento entre o servidor de Transporte de Borda do Exchange 2007 e o servidor bridgehead do Exchange 2003 ou entre o servidor de Transporte de Hub do Exchange 2007 e o servidor bridgehead do Exchange 2003.
Para estabelecer o fluxo de mensagens entre as florestas, siga estas etapas:
Crie uma conta de usuário na floresta do Exchange 2003 a ser usada para autenticação para o servidor de recebimento na floresta do Exchange 2007.
Crie um conector de envio e selecione Interno como o uso para esse conector no servidor de Transporte de Borda ou de Transporte de Hub do Exchange 2007.
Crie um conector SMTP no Exchange 2003.
Modifique o Registro no servidor Exchange 2003 para permitir que esse servidor envie e receba as propriedades XExch50 anonimamente.
O procedimento a seguir estabelece o fluxo de mensagens entre florestas entre os servidores de transporte do Exchange 2007 na floresta Contoso.com e os servidores bridgehead do Exchange 2003 na floresta FourthCoffee.com. Depois que você executar esse procedimento, recomendamos que teste o fluxo de mensagens enviando uma mensagem entre as duas organizações. Você também deve examinar os logs de protocolo para verificar se os dados EXCH50 são propagados para o Exchange 2003.
Procedimento
Para configurar conectores entre florestas entre os servidores Exchange 2007 e Exchange 2003 em florestas separadas e usar a autenticação Básica
Crie um conector de envio do Exchange 2007 para o Exchange 2003 seguindo estas etapas:
Na floresta do Exchange 2003, crie uma conta de usuário. Adicione a conta de usuário ao grupo de segurança de Servidores de Domínio do Exchange no domínio em que reside o servidor Exchange 2003 que atuará como host inteligente para esse conector.
Importante
A essa conta são concedidas as permissões que estão associadas aos servidores Exchange. Lembre-se de proteger as credenciais da conta para evitar mau uso da conta. Você pode configurar a conta para permitir logon somente a computadores específicos.
Na floresta do Exchange 2007, abra o Shell de Gerenciamento do Exchange no servidor de Transporte de Borda ou no servidor de Transporte de Hub e execute o seguinte comando:
$mycred = get-credential
Na caixa de diálogo exibida, insira as credenciais para a conta de usuário que você criou na floresta do Exchange 2003. Use o formato domínio\usuário ou o formato UPN para inserir o nome de usuário e fornecer a senha do usuário. Clique em OK.
No Shell de Gerenciamento do Exchange, use um dos seguintes comandos para criar o conector de envio.
Para criar um novo conector de envio e usar a autenticação básica por TLS para fornecer confidencialidade e autenticação para o servidor de recebimento, execute o seguinte comando:
New-SendConnector -Name "Legacy Forest" -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred -AddressSpaces FourthCoffee.com -SmartHosts Bridgehead1.FourthCoffee.Com, Bridgehead2.FourthCoffee.com -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False
Para criar um novo conector de envio e usar a autenticação básica com TLS para fornecer confidencialidade apenas, execute o seguinte comando:
New-SendConnector -Name "Legacy Forest" -SmartHostAuthMechanism BasicAuth -AuthenticationCredential $mycred -AddressSpaces FourthCoffee.com -SmartHosts Bridgehead1.FourthCoffee.Com, Bridgehead2.FourthCoffee.com -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -RequireTLS $True -DNSRoutingEnabled $False
Para definir permissões no conector de envio, no Shell de Gerenciamento do Exchange, use o script Enable-CrossForestConnector.ps1 para executar o comando a seguir:
Enable-CrossForestConnector -Connector "Legacy Forest" -user "ANONYMOUS LOGON" -genericMTA
Crie um conector SMTP em um servidor bridgehead do Exchange 2003 na floresta remota seguindo estas etapas:
Na floresta do Exchange 2007, crie uma conta de usuário. Adicione a conta de usuário ao grupo de segurança ExchangeLegacyInterop.
Importante
A essa conta são concedidas as permissões que estão associadas aos servidores Exchange. Lembre-se de proteger as credenciais da conta para evitar mau uso da conta. Você pode configurar a conta para permitir logon somente a computadores específicos.
Abra o Gerenciador do Sistema do Exchange. Clique com o botão direito no contêiner Conectores que está localizado no grupo de roteamento no qual reside o servidor que hospedará esse conector, selecione Novo e Conector SMTP.
Selecione a guia Geral. No campo Nome, digite um nome exclusivo para o conector.
Selecione Encaminhar todas as mensagens por meio deste conector para os seguintes hosts inteligentes e digite o endereço IP ou o FQDN do servidor de Transporte de Borda ou de Transporte de Hub do Exchange 2007. Se você inserir um endereço IP, ele deverá ser colocado entre colchetes, como a seguir: [192.168.1.1].
Clique em Adicionar para adicionar um servidor bridgehead local. Na caixa de diálogo Adicionar Bridgehead, selecione um ou mais servidores Exchange 2003.
Selecione a guia Espaço de Endereçamento e clique em Adicionar para criar um espaço de endereçamento. Na caixa de diálogo Adicionar Espaço de Endereçamento, selecione SMTP e clique em OK.
Na página Propriedades de Espaço de Endereçamento na Internet, digite o nome de domínio SMTP da floresta do Exchange 2007 e clique em OK.
Selecione a guia Avançado e clique em Segurança de Saída. Na caixa de diálogo Segurança de Saída, selecione Autenticação Básica e clique em Modificar.
Na caixa de diálogo Credenciais de Conexão de Saída, digite o nome do usuário para a conta que você criou na floresta do Exchange 2007, digite a senha da conta e clique em OK.
Clique em OK para fechar a caixa de diálogo Segurança de Saída. Clique em OK.
Dica
Se o conector de envio do Exchange 2007 estiver configurado para usar Autenticação básica sobre TLS ou para usar Autenticação básica com o parâmetro RequiredTLS definido como $True
, o servidor Exchange 2003 deverá anunciar o certificado correto para que a autenticação possa ocorrer. Você pode verificar se um certificado foi importado para o Servidor Virtual SMTP Exchange 2003, exibindo as propriedades do Servidor Virtual. Para exibir ou importar um certificado de servidor, selecione a guia Acesso e clique em Certificado.
Para configurar conectores entre florestas entre servidores Exchange 2007 e Exchange 2003 sem um relacionamento de confiança usando autenticação externa
Crie um conector de envio usando um dos seguintes métodos:
Para usar o Shell de Gerenciamento do Exchange para criar o conector de envio de Contoso.com até FourthCoffee.com, execute o seguinte comando:
New-SendConnector -Name "Legacy Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False
Para usar o Console de Gerenciamento do Exchange para criar o conector de envio de Contoso.com até FourthCoffee.com, siga estas etapas:
Abra o Console de Gerenciamento do Exchange. Na árvore do console, expanda Configuração da Organização, clique em Transporte de Hub e, no painel de ações, clique na guia Novo conector de envio.
Na página Introdução do assistente Novo Conector de Envio SMTP, no campo Nome, digite um nome exclusivo para o conector. Na lista suspensa Selecione o uso pretendido para este conector, selecione Interno e clique em Avançar.
Na página Espaço de Endereçamento, clique em Adicionar. Na caixa de diálogo Adicionar Espaço de Endereçamento, digite o nome do domínio SMTP remoto e clique em Avançar.
Na página Configurações de Rede, somente a opção Rotear todos os emails por meio dos seguintes hosts inteligentes: pode ser selecionada. Clique em Adicionar.
Na caixa de diálogo Adicionar Host Inteligente, no Endereço IP ou Nome de domínio totalmente qualificado (FQDN), digite o endereço IP ou o FQDN de servidor bridgehead na floresta do Exchange 2003. Em seguida, clique em OK. Para especificar mais de um servidor bridgehead como um host inteligente, clique em Adicionar e insira endereços IP ou FQDNs adicionais e clique em Avançar.
Na página Configurações de segurança de host inteligente, selecione Protegido Externamente (por exemplo, com IPsec) e clique em Avançar.
Na página Servidor de Origem, clique em Adicionar. Na caixa de diálogo Selecionar servidores de Transporte de Hub e de Transporte de Borda inscritos, selecione um ou mais servidores de Transporte de Hub em sua organização, clique em OK e em Avançar.
Na página Novo Conector, clique em Novo e, na página Conclusão, clique em Concluir.
Crie um novo conector de recebimento usando um dos seguintes métodos:
Para usar o Shell de Gerenciamento do Exchange para criar o conector de recebimento para que Contoso.com receba emails de FourthCoffee.com, execute o seguinte comando:
New-ReceiveConnector -Name "Legacy Forest" -Usage Internal -Server HubA -PermissionGroups ExchangeServers -RemoteIPRanges <IP address of Fourth Coffee Hub Transport server> -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25
Para usar o Console de Gerenciamento do Exchange para criar o conector de recebimento para que Contoso.com receba emails de FourthCoffee.com, siga estas etapas:
Abra o Console de Gerenciamento do Exchange. Na árvore do console, expanda Configuração do Servidor, clique em Transporte de Hub e, no painel de ações, clique na guia Novo Conector de Recebimento.
Na página Introdução do assistente Novo Conector de Recebimento SMTP, no campo Nome, digite um nome exclusivo para o conector.
Na lista suspensa Selecione o uso pretendido para este conector, selecione Interno e clique em Avançar.
Na página Configurações de Rede Remota, exclua a entrada de todos os intervalos de rede e clique em Adicionar.
Na caixa de diálogo Adicionar Endereços IP de Servidores Remotos, digite o endereço IP do servidor bridgehead na organização do Exchange 2003, clique em OK e em Avançar.
Na página Novo Conector, clique em Novo e, na página Conclusão, clique em Concluir.
Para modificar o método de autenticação que é usado para este conector, siga estas etapas:
No painel de tarefas, selecione o conector de recebimento que você deseja modificar e, no painel de ações, clique em Propriedades.
Clique na guia Autenticação. Desmarque as caixas de seleção de TLS e Autenticação do Exchange Server, selecione Protegido Externamente (por exemplo, com IPsec) e clique em OK.
Execute as seguintes etapas para modificar as configurações de Registro no servidor bridgehead Exchange 2003 e permitir que o servidor Exchange 2003 envie e receba as propriedades XExch50 anonimamente:
Aviso
UNRESOLVED_TOKEN_VAL(exRegistry)
Abra o editor de Registro.
Localize HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\XEXCH50
Clique com o botão direito em XEXCH50 e selecione Novo | Valor DWORD. Digite SuppressExternal para o nome do valor. Por padrão, os dados do valor são 0, o que indica que as propriedades XEXCH50 são transmitidas ao servidor remoto anonimamente.
Clique com o botão direito em XEXCH50 e selecione Novo | Chave. Digite o número da instância do servidor virtual SMTP como o valor de chave. Por exemplo, a instância do servidor virtual padrão é 1 e o segundo servidor virtual SMTP criado em um servidor é 2.
Clique com o botão direito na chave que você acabou de criar, aponte para Novo e clique em Valor DWORD.
No painel de detalhes, digite Exch50AuthCheckEnabled para o nome do valor. Por padrão, os dados do valor são 0, o que indica que as propriedades XEXCH50 são transmitidas quando o email é enviado anonimamente.
Para obter mais informações
Para obter mais informações, consulte os seguintes tópicos: