Compreendendo as Inscrições de Borda
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2009-09-18
Este tópico fornece informações detalhadas sobre Inscrições de Borda e o processo de sincronização EdgeSync. Inscrições de Borda são utilizadas para preencher a instância de serviço de diretório do Active Directory Application Mode (ADAM), na função de servidor Transporte de Borda do Microsoft Exchange Server 2007, com dados do serviço de diretório do Active Directory.
Dica
O Microsoft Exchange Server 2007 Service Pack 1 (SP1) aceita a implantação de funções de servidor em um computador com o Windows Server 2008. Se o servidor de Transporte de Borda estiver instalado no Windows Server 2008, o ADAM será substituído pelos serviços AD LDS. O Windows Server 2008 inclui diversos recursos que foram aprimorados ou renomeados. Para obter informações sobre as alterações de recursos entre o Windows Server 2003 e o Windows Server 2008, consulte Alterações na terminologia.
No Exchange 2007, a função de servidor Transporte de Borda é implantada na rede de perímetro da organização. Projetado para minimizar a superfície de ataque, o servidor de Transporte de Borda processa todo o fluxo de mensagens voltado para a Internet e fornece retransmissão de protocolo SMTP e serviços de host inteligente para a organização do Exchange. Camadas adicionais de proteção e segurança de mensagens são fornecidas por uma série de agentes executados no servidor de Transporte de Borda. Esses agentes agem nas mensagens à medida que elas são processadas pelos componentes de transporte de mensagem. Eles oferecem suporte aos recursos que fornecem proteção contra vírus e spam e aplicam regras de transporte ao controle de fluxo de mensagens.
Embora criar uma Inscrição de Borda seja opcional, inscrever um servidor de Transporte de Borda na organização do Exchange fornece uma experiência de gerenciamento mais simples para o administrador e melhora os recursos anti-spam disponíveis. Você deverá criar uma Inscrição de Borda se planejar usar os recursos anti-spam, de pesquisa de destinatário ou agregação de lista segura, ou se planejar ajudar a proteger as comunicações SMTP com domínios de parceiros usando TLS (Transport Layer Security) mútua.
Processo de Inscrição de Borda
O computador em que a função de servidor Transporte de Borda está instalada não tem acesso ao Active Directory. Todas as informações de configuração e do destinatário que o servidor de Transporte de Borda tem de processar estão armazenadas no ADAM. No entanto, grande parte dessas informações também está armazenada no Active Directory.
A criação de uma Inscrição de Borda estabelece uma replicação segura e automática de informações do Active Directory para o ADAM. O processo de Inscrição de Borda fornece as credenciais usadas para estabelecer uma conexão LDAP segura entre os servidores de Transporte de Hub e um servidor de Transporte de Borda inscrito. O serviço Microsoft Exchange EdgeSync que é executado em servidores de Transporte de Hub realiza uma sincronização unidirecional periódica para transferir dados ao ADAM e manter esses dados atualizados. Esse processo reduz a administração a ser realizada na rede de perímetro, permitindo fazer a configuração necessária na função de servidor Transporte de Hub e gravar essas informações no servidor de Transporte de Borda.
Você inscreve o servidor de Transporte de Borda em um site do Active Directory. Inscrever o servidor de Transporte de Borda em um site do Active Directory permite que o servidor de Transporte de Borda receba atualizações para o ADAM a partir do Active Directory e cria uma relação de sincronização entre o servidor de Transporte de Borda e os servidores de Transporte de Hub implantados nesse site. O processo de Inscrição de Borda também cria uma afiliação de associação do site do Active Directory para o servidor de Transporte de Borda. A afiliação de site permite que servidores de Transporte de Hub na organização do Exchange retransmitam mensagens ao servidor de Transporte de Borda para que sejam entregues na Internet sem necessidade de configurar Conectores de Envio explícitos.
Um ou mais servidores de Transporte de Borda podem ser inscritos em um único site do Active Directory. No entanto, um servidor de Transporte de Borda não pode ser inscrito em mais de um site do Active Directory. Se você tiver mais de um servidor de Transporte de Borda implantado, cada servidor poderá ser inscrito em um site diferente do Active Directory. Cada servidor de Transporte de Borda requer uma Inscrição de Borda individual. Um servidor de Transporte de Borda inscrito só pode oferecer suporte a uma organização do Exchange.
O serviço Microsoft Exchange EdgeSync replica os seguintes dados do Active Directory para o ADAM:
Configuração do conector de envio
Domínios aceitos
Domínios remotos
Classificações da mensagem
Listas de Remetentes Seguros
Destinatários
TLS Envia e Recebe listas Seguras do Domínio
Lista de servidores SMTP internos
Lista de servidores de Transporte de Hub no site do Active Directory inscrito
Para obter mais informações sobre os dados que são replicados no ADAM e como eles são utilizados, consulte Dados de replicação do EdgeSync.
Para implantar e inscrever um servidor de Transporte de Borda em um site do Active Directory, siga estas etapas:
Dica
Você deve inserir a chave do produto antes de inscrever o servidor de Transporte de Borda.
Instale a função de servidor Transporte de Borda.
Verifique se os servidores de Transporte de Hub e o servidor de Transporte de Borda podem localizar um ao outro utilizando a resolução de nomes DNS. Para obter mais informações sobre esse etapa, consulte Configurando definições de DNS para servidores Exchange 2007.
Configure os objetos e as definições a serem replicados para o servidor de Transporte de Borda. Para obter mais informações sobre esse etapa, consulte Preparando para executar o serviço Microsoft Exchange EdgeSync.
Execute o cmdlet New-EdgeSubscription no Shell de Gerenciamento do Exchange no servidor de Transporte de Borda para exportar o arquivo de Inscrição de Borda.
Copie o arquivo de Inscrição de Borda para um servidor de Transporte de Hub.
Execute o cmdlet New-EdgeSubscription no Shell de Gerenciamento do Exchange ou use o assistente de Nova Inscrição de Borda no Console de Gerenciamento do Exchange para importar o arquivo de Inscrição de Borda.
A figura a seguir ilustra o processo de Inscrição de Borda.
Processo de Inscrição de Borda
Quando você executa o cmdlet New-EdgeSubscription no servidor de Transporte de Borda, ocorrem as seguintes ações:
Uma conta do ADAM é criada. A conta é chamada de conta de replicação de inicialização do EdgeSync (ESBRA). Estas credenciais são usadas para autenticar a primeira conexão EdgeSync com o servidor de Transporte de Borda. A conta é configurada para expirar em 1.440 minutos (24 horas) após sua criação. Portanto, é necessário que você conclua o processo de inscrição antes que esse tempo expire. Se a ESBRA expirar antes da conclusão do processo de Inscrição de Borda, será necessário executar o cmdlet New-EdgeSubscription no servidor de Transporte de Borda novamente para criar um novo arquivo de Inscrição de Borda.
As credenciais da ESBRA são recuperadas do ADAM e gravadas no arquivo de Inscrição de Borda. A chave pública do certificado auto-assinado do servidor de Transporte de Borda também é exportada para o arquivo de Inscrição de Borda. As credenciais gravadas no servidor de Transporte de Borda são específicas para o servidor do qual o arquivo foi exportado.
Quaisquer objetos de configuração criados anteriormente em uma classe que agora será replicada para o ADAM a partir do Active Directory são excluídos do ADAM e as tarefas do Shell de Gerenciamento do Exchange usadas para configurar esses objetos são desabilitadas. Ainda é possível usar as tarefas que permitem a visualização desses objetos. As seguintes tarefas são desabilitadas no servidor de Transporte de Borda quando você executa o cmdlet New-EdgeSubscription:
Set-SendConnector
New-SendConnector
Remove-SendConnector
New-AcceptedDomain
Set-AcceptedDomain
Remove-AcceptedDomain
New-MessageClassification
Set-MessageClassification
Remove-MessageClassification
New-RemoteDomain
Set-RemoteDomain
Remove-RemoteDomain
Quando você importa o arquivo de Inscrição de Borda no servidor de Transporte de Hub executando o cmdlet New-EdgeSubscription no Shell de Gerenciamento do Exchange ou usando o assistente de Nova Inscrição de Borda no Console de Gerenciamento do Exchange, ocorrem as seguintes ações:
A Inscrição de Borda é criada, estabelecendo um registro de um servidor de Transporte de Borda que ingressou em uma organização do Exchange e para o qual o serviço Microsoft Exchange EdgeSync propagará os dados de configuração. Esta etapa cria o objeto de configuração de Borda no Active Directory.
Cada servidor de Transporte de Hub no site do Active Directory recebe notificação do Active Directory de que um novo servidor de Transporte de Borda foi inscrito. O servidor de Transporte de Hub recupera a ESBRA do arquivo de Inscrição de Borda. Em seguida, o servidor de Transporte de Hub criptografa a ESBRA usando a chave pública do certificado auto-assinado do servidor de Transporte de Borda. As credenciais criptografadas são gravadas no objeto de configuração de Borda.
Cada servidor de Transporte de Hub também criptografa a ESBRA usando sua própria chave pública e armazena as credenciais em seu próprio objeto de configuração.
As Contas de Replicação do EdgeSync (ESRA) são criadas no Active Directory de cada par de servidor de Transporte de Hub/Transporte de Borda. Cada servidor de Transporte de Hub armazena suas credenciais de ESRA como um atributo do objeto de configuração do servidor de Transporte de Hub.
Conectores de envio são criados automaticamente para retransmitir mensagens de saída do servidor de Transporte de Borda para a Internet, e de entrada do servidor de Transporte de Borda para a organização do Exchange. Para obter mais informações sobre como o serviço Microsoft Exchange EdgeSync configura Conectores de envio, consulte EdgeSync e Conectores de Envio.
O serviço Microsoft Exchange EdgeSync que é executado em servidores de Transporte de Hub usa as credenciais da ESBRA para estabelecer uma conexão LDAP segura entre um servidor de Transporte de Hub e o servidor de Transporte de Borda e realiza a replicação inicial de dados. Os seguintes dados são replicados para o ADAM:
Dados de topologia
Dados de configuração
Dados de destinatário
Credenciais de ESRA
O Serviço de Credencial do Microsoft Exchange que é executado no servidor de Transporte de Borda instala as credenciais de ESRA. Essas credenciais são usadas para autenticar e proteger conexões de sincronização posteriores.
O agendamento de sincronização EdgeSync é estabelecido.
O serviço Microsoft Exchange EdgeSync que está sendo executado nos servidores de Transporte de Hub no site do Active Directory em que o servidor de Transporte de Borda foi inscrito agora executará a replicação unidirecional de dados do Active Directory para o ADAM em um agendamento regular. Também é possível usar o cmdlet Start-EdgeSynchronization no Shell de Gerenciamento do Exchange para substituir o agendamento de sincronização do EdgeSync e iniciar imediatamente a sincronização.
Para obter mais informações sobre contas ESRA e como elas são usadas para ajudar a proteger o processo de sincronização EdgeSync, consulte Compreendendo as credenciais de Inscrição de Borda.
Serviço Microsoft Exchange EdgeSync
O serviço Microsoft Exchange EdgeSync é o serviço de sincronização de dados, localizado em um servidor de Transporte de Hub, que periodicamente replica os dados de configuração do Active Directory para um servidor de Transporte de Borda inscrito.
O serviço Microsoft Exchange EdgeSync é responsável pela atualização do ADAM com informações do Active Directory. Os dados são replicados do Active Directory pelos servidores de Transporte de Hub dentro da organização do Exchange para o servidor de Transporte de Borda na rede de perímetro. O serviço Microsoft Exchange EdgeSync utiliza um canal LDAP seguro para transferir esses dados. Um canal LDAP seguro autorizado e autenticado mutuamente é estabelecido do servidor de Transporte de Hub para o servidor de Transporte de Borda.
Para replicar dados para o ADAM, o servidor de Transporte de Hub liga-se a um servidor de catálogo global para recuperar dados atualizados. O serviço Microsoft Exchange EdgeSync inicia uma sessão LDAP segura entre um servidor de Transporte de Hub e o servidor de Transporte de Borda inscrito através da porta TCP 50636 não padrão. O processo de sincronização do EdgeSync fornece uma replicação de dados unidirecional do Active Directory para o ADAM. Dados alterados no ADAM nunca são sincronizados com o Active Directory.
A figura a seguir ilustra o processo de sincronização EdgeSync.
Processo de sincronização do EdgeSync
A replicação inicial preenche o ADAM com dados do Active Directory e pode levar algum tempo, dependendo da quantidade de dados no serviço de diretório. A sincronização sucessiva atualiza o ADAM com objetos novos e alterados e remove quaisquer objetos que tenham sido excluídos do Active Directory.
As alterações de serviço de diretório disponíveis para serem sincronizadas com o ADAM nos intervalos de sincronização são completamente dependentes dos dados que foram replicados para o servidor de catálogo global ao qual o servidor de Transporte de Hub está ligado. O servidor de Transporte de Hub se ligará ao servidor de catálogo global descoberto pelo serviço de Topologia do Microsoft Exchange Active Directory quando um servidor Exchange 2007 for iniciado. A ligação a um servidor de catálogo global verifica se os dados do destinatário de todos os domínios na floresta são propagados para o ADAM.
Tipos diferentes de sincronização de dados em agendas diferentes. O agendamento de sincronização EdgeSync especifica o tempo máximo entre os intervalos de sincronização EdgeSync. A sincronização EdgeSync ocorre nos seguintes intervalos:
Os Dados de Configuração são agendados para serem sincronizados em intervalos de uma hora.
Os Dados de Destinatário são agendados para serem sincronizados em intervalos de quatro horas.
Os Dados de Topologia são recarregados a cada 5 minutos.
Os intervalos do agendamento de sincronização EdgeSync não são configuráveis.
Se usar o cmdlet Start-EdgeSynchronization no Shell de Gerenciamento do Exchange, no servidor de Transporte de Hub, para forçar que a sincronização da Inscrição de Borda ocorra imediatamente, você substituirá o cronômetro que determina a próxima vez que a sincronização EdgeSync está agendada para ocorrer.
Para obter mais informações sobre o serviço Microsoft Exchange EdgeSync e a sincronização do EdgeSync, consulte Compreendendo o processo de sincronização EdgeSync.
Inscrevendo novamente um servidor de Transporte de Borda
Ocasionalmente, talvez seja necessário inscrever novamente um servidor de Transporte de Borda em um site do Active Directory. Quando a Inscrição de Borda é recriada, novas credenciais são geradas e o processo completo de Inscrição de Borda deve ser seguido. Esse processo é usado nos seguintes cenários:
Novos servidores de Transporte de Hub foram implantados no site do Active Directory inscrito e você deseja que o novo servidor participe da sincronização EdgeSync. Para obter mais informações sobre esse cenário, consulte "Adicionando ou removendo um servidor de Transporte de Hub" posteriormente neste tópico.
A chave de licença do servidor de Transporte de Borda foi aplicada após a criação da Inscrição de Borda. As informações de licença do servidor de Transporte de Borda são capturadas quando a Inscrição de Borda é criada e são mostradas no Console de Gerenciamento do Exchange para a organização do Exchange. Para que servidores de Transporte de Borda inscritos apareçam como licenciados, eles devem ser inscritos na organização do Exchange depois que a chave de licença é aplicada ao servidor de Transporte de Borda. Se a chave de licença for aplicada ao servidor de Transporte de Borda depois que você executar o processo de Inscrição de Borda, as informações de licença não serão atualizadas na organização do Exchange e você deverá inscrever novamente o servidor de Transporte de Borda.
Você deseja certificar-se de que as informações de versão do servidor Exchange são sincronizadas após a atualização de um servidor Exchange para uma compilação mais recente. Neste caso, o número de versão da compilação do servidor de Transporte de Borda não é replicado para outras funções de servidor. Isso se deve ao fato de que o processo de sincronização do EdgeSync fornece uma replicação de dados unidirecional do Active Directory para os serviços de diretórios do AD Lightweight. Para obter mais informações, consulte a seção "Serviço Microsoft Exchange EdgeSync" do tópico Compreendendo o processo de sincronização EdgeSync.
As credenciais de ESRA estão comprometidas.
Importante
Para inscrever novamente um servidor de Transporte de Borda, exporte um novo arquivo de Inscrição de Borda no servidor de Transporte de Borda e importe o arquivo XML em um servidor de Transporte de Hub. Você deve se inscrever novamente no servidor de Transporte de Borda no mesmo site Active Directory no qual foi inscrito originalmente. Você não tem que remover primeiramente a Inscrição de Borda original. O processo de nova inscrição substituirá a Inscrição de Borda existente.
Removendo uma Inscrição de Borda
Existem alguns cenários nos quais pode ser necessário remover uma Inscrição de Borda da organização do Exchange, ou tanto da organização do Exchange quanto do servidor de Transporte de Borda. Se o servidor de Transporte de Borda for ser inscrito novamente na organização do Exchange, não remova a Inscrição de Borda do servidor de Transporte de Borda. Quando você remove a Inscrição de Borda de um servidor de Transporte de Borda, todos os dados replicados são excluídos do ADAM. Isso poderá levar muito tempo se houver muitos dados de destinatários.
A lista a seguir fornece exemplos de situações que exigem a remoção da Inscrição de Borda.
Você não deseja mais que o servidor de Transporte de Borda participe do processo de sincronização EdgeSync. Neste cenário, é necessário remover a Inscrição de Borda tanto do servidor de Transporte de Borda como da organização do Exchange.
Um servidor de Transporte de Borda está sendo descomissionado. Neste cenário, é necessário remover a Inscrição de Borda somente da organização do Exchange. Se você desinstalar a função de servidor Transporte de Borda do computador, a instância do ADAM e todos os dados do Active Directory armazenados no ADAM também serão removidos.
Você deseja alterar a associação de site do Active Directory para a Inscrição de Borda. Neste cenário, é necessário remover a Inscrição de Borda somente da organização do Exchange. Após a remoção da Inscrição de Borda da organização do Exchange, será possível inscrever novamente o servidor de Transporte de Borda em um site diferente do Active Directory.
Se desejar remover uma Inscrição de Borda, siga estas etapas:
Interrompa o fluxo de mensagens no servidor de Transporte de Borda. Desabilite todos os conectores de recebimento do servidor de Transporte de Borda para evitar que ele aceite qualquer mensagem nova e aguarde até que as filas fiquem vazias.
Remova a Inscrição de Borda executando o cmdlet Remove-EdgeSubscription em um servidor de Transporte de Hub dentro da organização do Exchange. Se você não for inscrever novamente o servidor de Transporte de Borda, execute também esse cmdlet no servidor de Transporte de Borda depois que essa etapa tiver sido realizada em um servidor de Transporte de Hub.
Quando você remove a Inscrição de Borda da organização do Exchange, o efeito é o seguinte:
A sincronização de informações do Active Directory para o ADAM é interrompida.
As contas ESRA são removidas tanto do Active Directory quanto do ADAM.
O computador que possui a função de servidor Transporte de Borda instalada é removido da lista de servidores de origem de qualquer Conector de Envio.
O Conector de Envio de entrada automático do servidor de Transporte de Borda para a organização do Exchange é removido do ADAM.
Quando você remove a Inscrição de Borda de um servidor de Transporte de Borda, o efeito é o seguinte:
Você não poderá mais usar os recursos do servidor de Transporte de Borda que se baseiam nos dados do Active Directory.
Os dados replicados são removidos do ADAM.
As tarefas que foram desabilitadas quando a Inscrição de Borda foi criada são habilitadas novamente para permitir a configuração local.
Dependendo do motivo pelo qual você removeu uma Inscrição de Borda, talvez deseje inscrever novamente o mesmo servidor de Transporte de Borda no site original do Active Directory no qual ele foi inscrito ou em um site diferente do Active Directory. Quando a Inscrição de Borda é recriada, novas credenciais são geradas e o processo completo de Inscrição de Borda deve ser seguido.
Se você estiver removendo o servidor de Transporte de Borda do serviço, siga os procedimentos descritos em Como remover completamente o Exchange 2007 de um servidor.
Adicionando um servidor de Transporte de Borda
É possível inscrever um ou mais servidores de Transporte de Borda em um único site do Active Directory. Se você implantar servidores de Transporte de Borda adicionais em sua rede de perímetro e inscrevê-los no mesmo site do Active Directory em que uma Inscrição de Borda já exista, as seguintes ações ocorrerão:
Um novo objeto de Inscrição de Borda será criado no Active Directory.
Contas ESRA adicionais serão criadas para cada servidor de Transporte de Hub no site do Active Directory. Essas contas serão replicadas para o ADAM e usadas pelo processo de sincronização EdgeSync durante a sincronização com o novo servidor.
A nova Inscrição de Borda é adicionada à lista de servidores de origem do Conector de Envio automático para a Internet. As mensagens enviadas a esse conector para processamento sofrerão um balanceamento de carga entre os servidores de Transporte de Borda inscritos.
Um Conector de Envio de entrada do servidor de Transporte de Borda para a organização do Exchange será criado automaticamente.
A sincronização EdgeSync para o servidor de Transporte de Borda será iniciada.
Adicionando ou removendo um servidor de Transporte de Hub
Se um servidor de Transporte de Hub for adicionado ao site do Active Directory ao qual um servidor de Transporte de Borda já esteja inscrito, ele não participará automaticamente do processo de sincronização do EdgeSync. Para permitir que um servidor de Transporte de Hub implantado recentemente participe do processo de sincronização EdgeSync, será necessário inscrever novamente cada servidor de Transporte de Borda no site do Active Directory.
Remover um servidor de Transporte de Hub de um site do Active Directory em que um servidor de Transporte de Borda esteja inscrito não afetará a sincronização EdgeSync, a menos que o servidor de Transporte de Hub seja o último nesse site. Se você remover todos os servidores de Transporte de Hub do site do Active Directory em que um servidor de Transporte de Borda esteja inscrito, os servidores de Transporte de Borda inscritos ficarão órfãos.
Verificando os resultados do EdgeSync
Quaisquer erros que ocorram durante o processo de sincronização EdgeSync são relatados no log de Aplicativos de Visualizar Eventos do Windows. Geralmente, esses erros serão exibidos no servidor de Transporte de Hub. No entanto, os servidores de Transporte de Borda inscritos relatarão erros se a sincronização não tiver ocorrido por muito tempo.
Test-EdgeSynchronization é um cmdlet de diagnóstico que fornece um relatório do status de sincronização dos servidores de Transporte de Borda inscritos. Esta tarefa fornece informações úteis para o administrador, quando executada manualmente. Ela também pode ser chamada pelo Microsoft Operations Manager. Quando a tarefa for chamada pelo Microsoft Operations Manager, serão gerados alertas se um servidor de Transporte de Borda não estiver sincronizado.
O cmdlet Test-EdgeSynchronization fornece alertas proativos quando um servidor de Transporte de Borda não está mais sincronizado. A saída produzida por esse cmdlet permite que você visualize quais objetos não foram sincronizados no servidor de Transporte de Borda. A tarefa compara os dados armazenados no Active Directory e no ADAM. Qualquer inconsistência é reportada na saída dos resultados gerada por este comando.
É possível usar o parâmetro ExcludeRecipientTest com o cmdlet Test-EdgeSynchronization para excluir a validação da sincronização de dados de destinatário. Se você incluir esse parâmetro, somente a sincronização de objetos de configuração será validada. Validar se esses dados de destinatários estão sincronizados levará mais tempo do que validar somente dados de configuração.
Se desejar verificar os resultados da sincronização EdgeSync para um destinatário específico, você poderá usar a Ldp.exe para visualizar as propriedades do destinatário armazenadas no ADAM. Você deve localizar o destinatário por sua GUID do Active Directory e, pelo fato de os dados serem enviados como hash, você também deve ser capaz de interpretar as informações retornadas quando visualizar os detalhes do destinatário. Esta ferramenta só deve ser usada para visualizar informações do destinatário e nunca deve ser usada para modificar dados no ADAM. Para obter mais informações, consulte Como verificar resultados do EdgeSync para um destinatário.
Novidades no Exchange 2007 SP1
Se você tiver instalado o Exchange 2007 SP1 na função de servidor Transporte de Hub, poderá usar o cmdlet Test-EdgeSynchronization com o parâmetro VerifyRecipient para verificar o status de sincronização do EdgeSync para um único destinatário. Você especifica o destinatário pelo respectivo endereço de proxy. Os resultados retornados quando você executa o cmdlet Test-EdgeSynchronization indicam se o destinatário está sincronizado.
Para obter mais informações
Para obter mais informações, consulte os seguintes tópicos: