配置跨林连接器

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2006-12-21

本主题将介绍如何使用 Exchange 管理控制台或 Exchange 命令行管理程序配置发送连接器和接收连接器,以启用跨林通信。

若要在不同 Active Directory 目录服务林中的运行 Microsoft Exchange Server 的服务器之间建立直接邮件流,必须配置发送连接器和接收连接器。

本主题将介绍如何为以下方案配置跨林连接器:

  • Exchange 2007 到 Exchange 2007

  • Exchange 2007 到 Exchange Server 2003

开始之前

验证组织是否满足每个方案的先决条件。过程中列出了每个方案的先决条件。

验证用于执行这些过程的帐户是否具有所需的管理组成员身份:

  • 若要创建 Exchange 2007 发送连接器,必须为您使用的帐户委派 Exchange 组织管理员角色。

  • 若要创建 Exchange 2007 接收连接器,必须为您使用的帐户委派 Exchange Server 管理员角色和将在其上创建接收连接器服务器的本地 Administrators 组。

有关管理 Exchange Server 2007 所需的权限、角色委派以及权利的详细信息,请参阅权限注意事项

Exchange 2007 到 Exchange 2007

在此方案中,将在位于不同 Active Directory 林中的两个 Exchange 2007 组织内的集线器传输服务器之间创建跨林连接器。基本身份验证或外部身份验证机制提供不同林中服务器之间的身份验证和授权。如果使用基本身份验证,则可以从以下两种方法中选择以便也可以使用传输层安全性 (TLS):

  • 设置基本身份验证的智能主机身份验证方法要求 TLS。此方法可提供接收服务器的机密性和身份验证。如果您选择此智能主机身份验证方法,发送服务器将作为邮件流的要求验证接收服务器的证书。

  • RequireTLS 参数设置为 $True。此方法可提供机密性,但不对接收服务器进行身份验证。

若要在两个 Exchange 2007 组织中的集线器传输服务器之间配置跨林连接器,必须满足以下先决条件:

  • 每个林必须存在具有 Exchange 2007 服务器的 Exchange 组织。

  • 如果使用基本身份验证,则每个林中都必须有一个可用于基本身份验证的域帐户。例如,提供一个通用主体名称 (UPN) 为 FourthCoffee@Contoso.com 的用户帐户作为凭据,向 Contoso 域中的 Exchange 服务器发送消息时,Fourth Coffee 域中的 Exchange 服务器必须使用这些凭据进行身份验证。

  • 如果使用基于 TLS 的基本身份验证,则目标服务器必须配置为使用 X.509 证书,且证书中包含的 FQDN 必须与接收连接器的 FQDN 相同。

  • 如果使用外部身份验证,则集线器传输服务器之间必须存在受信任网络连接。这分为两种情况:一种是连接使用 IPSec 关联(虚拟专用网),另一种是服务器位于受信任的可物理控制的网络中。

若要在林之间建立邮件流,请按照以下步骤进行操作:

  1. 在每个林中创建一个用户帐户,用来对第二个林中的接收服务器进行身份验证。

  2. 创建发送连接器。

  3. 设置发送连接器的权限。

  4. 为外部安全连接器创建一个新的接收连接器。

    note注意:
    如果使用基于 TLS 的基本身份验证,则必须在智能主机设置中提供远程集线器传输服务器的 FQDN。无法使用 IP 地址。

以下过程将在 Contoso.com 和 FourthCoffee.com 林中的 Exchange 2007 集线器传输服务器之间建立跨林邮件流。必须在每个林中执行互逆过程。

步骤

使用基本身份验证配置 Exchange 2007 服务器之间的跨林连接器

  1. 在每个林中创建一个用户帐户。将该帐户添加到 Exchange Servers 通用安全组。发送连接器使用该帐户对第二个林中的接收服务器进行身份验证。

    important要点:
    该帐户被授予与 Exchange 服务器关联的权限。务必保护该帐户的凭据以避免误用。可以将该帐户配置为仅允许登录特定的计算机。
  2. 使用以下方法之一在 Contoso 林中创建发送连接器:

    • 若要使用 Exchange 命令行管理程序创建从 Contoso.com 到 FourthCoffee.com 的发送连接器,并使用基于 TLS 的基本身份验证为接收服务器提供机密性和身份验证,请运行以下命令。第一个命令存储用于身份验证的凭据。第二个命令创建发送连接器。

      首先,请运行以下命令:

      $mycred = get-credential
      

      然后,在出现的对话框中,输入 Fourth Coffee 域中用户帐户的凭据。使用“域\用户”格式或 UPN 格式输入用户名并提供用户密码。单击“确定”,再运行以下命令:

      New-SendConnector -Name "Cross-Forest" -Usage Internal  -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False
      
    • 若要使用 Exchange 命令行管理程序创建从 Contoso.com 到 FourthCoffee.com 的发送连接器,并使用基于 TLS 的基本身份验证仅提供机密性,请运行以下命令:

      New-SendConnector -Name "Cross-Forest" -Usage Internal  -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism BasicAuth -AuthenticationCredential $mycred -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -requireTLS $True -DNSRoutingEnabled $False
      
    • 若要使用 Exchange 管理控制台创建从 Contoso.com 到 FourthCoffee.com 的发送连接器,请按照以下步骤操作:

    1. 打开 Exchange 管理控制台。在控制台树中,展开“组织配置”,单击“集线器传输”,然后在操作窗格中,单击“新建发送连接器”。

    2. 在“新建 SMTP 发送连接器”向导的“简介”页中,在“名称”字段中键入连接器的唯一名称。

    3. 从“选择此连接器的预期用法”下拉列表中,选择“内部”,再单击“下一步”。

    4. 在“地址空间”页上,单击“添加”。在“添加地址空间”对话框中,键入远程 SMTP 域的名称,再单击“下一步”。

    5. 在“网络设置”页上,仅可以选择“通过下列智能主机路由所有邮件:”设置。单击“添加”。

    6. 在“添加智能主机”对话框中的“IP 地址”或“完全限定的域名(FQDN)”字段中,键入远程林中的集线器传输服务器的 FQDN,然后单击“确定”。若要将多个集线器传输服务器指定为智能主机,请单击“添加”,输入其他 FQDN,然后单击“下一步”。

    7. 在“智能主机安全设置”页上,选择“基本身份验证”或“基于 TLS 的基本身份验证”,键入将用于验证连接身份的用户名和密码,然后单击“下一步”。

    8. 在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。

    9. 在“新建连接器”页中,单击“新建”,然后在“完成”页中,单击“完成”。

  3. 若要设置发送连接器的权限,请在 Exchange 命令行管理程序中使用 Enable-CrossForestConnector.ps1 脚本运行以下命令:

    Enable-CrossForestConnector -Connector "Cross-Forest" -user "ANONYMOUS LOGON"
    

使用外部身份验证配置 Exchange 2007 服务器之间的跨林连接器

  1. 使用以下方法之一创建发送连接器:

    • 若要使用 Exchange 命令行管理程序创建从 Contoso.com 到 FourthCoffee.com 的发送连接器,请运行以下命令:

      New-SendConnector -Name "Cross-Forest" -Usage Internal  -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False
      
    • 若要使用 Exchange 管理控制台创建从 Contoso.com 到 FourthCoffee.com 的发送连接器,请按照以下步骤操作:

    1. 打开 Exchange 管理控制台。在控制台树中,展开“组织配置”,单击“集线器传输”,然后在操作窗格中,单击“新建发送连接器”。

    2. 在“新建 SMTP 发送连接器”向导的“简介”页中,在“名称”字段中键入连接器的唯一名称。从“选择此连接器的预期用法”下拉列表中,选择“内部”,再单击“下一步”。

    3. 在“地址空间”页上,单击“添加”。在“添加地址空间”对话框中,键入远程 SMTP 域的名称,再单击“下一步”。

    4. 在“网络设置”页上,仅可以选择“通过下列智能主机路由所有邮件:”设置。单击“添加”。

    5. 在“添加智能主机”对话框中的“IP 地址”或“完全限定的域名(FQDN)”中,键入远程林中的集线器传输服务器的 IP 地址或 FQDN,再单击“确定”。若要将多个集线器传输服务器指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,再单击“下一步”。

    6. 在“智能主机身份验证设置”页中,选择“外部安全(例如 IPsec)”,再单击“下一步”。

    7. 在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。

    8. 在“新建连接器”页中,单击“新建”,然后在“完成”页中,单击“完成”。

  2. 使用以下方法之一创建接收连接器:

    • 若要使用 Exchange 命令行管理程序为 Contoso.com 创建接收连接器,以便从 FourthCoffee.com 接收邮件,请运行以下命令:

      New-ReceiveConnector -Name "Cross-Forest" -Server HubA -PermissionGroups ExchangeServers -RemoteIPRanges <IP address of Fourth Coffee Hub Transport server> -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25
      
    • 若要使用 Exchange 管理控制台为 Contoso.com 创建接收连接器,以便从 FourthCoffee.com 接收邮件,请按照以下步骤操作:

    1. 打开 Exchange 管理控制台。在控制台树中,展开“服务器配置”,单击“集线器传输”,然后在操作窗格中,单击“新建接收连接器”。

    2. 在“新建 SMTP 接收连接器”向导的“简介”页中,在“名称”字段中键入连接器的唯一名称。

    3. 从“选择此连接器的预期用法”下拉列表中,选择“内部”,再单击“下一步”。

    4. 在“远程网络设置”页上,删除所有网络范围条目,再单击“添加”。

    5. 在“添加远程服务器的 IP 地址”对话框中,键入远程集线器传输服务器的 IP 地址,单击“确定”,再单击“下一步”。

    6. 在“新建连接器”页中,单击“新建”,然后在“完成”页中,单击“完成”。

  3. 若要修改用于此连接器的身份验证方法,请按照以下步骤操作:

    1. 在任务窗格中,选择要修改的接收连接器,然后在操作窗格中单击“属性”。

    2. 单击“身份验证”选项卡。清除“传输层安全性(TLS)”和“Exchange Server 身份验证”复选框,选择“外部安全(例如 IPsec)”,然后单击“确定”。

Exchange 2007 到 Exchange 2003

在此方案中,将在具有运行 Exchange 2007 的 Exchange 组织的 Active Directory 林和另一个具有运行 Exchange 2003 的 Exchange 组织的 Active Directory 林之间创建跨林连接器。可以在 Exchange 2007 边缘传输服务器和 Exchange 2003 桥头服务器之间以及 Exchange 2007 集线器传输服务器和 Exchange 2003 桥头服务器之间创建发送连接器和接收连接器。

若要在林之间建立邮件流,请按照以下步骤进行操作:

  1. 在 Exchange 2003 林中创建一个用户帐户,用来对 Exchange 2007 林中的接收服务器进行身份验证。

  2. 创建发送连接器,选择“内部”作为 Exchange 2007 边缘传输服务器或集线器传输服务器上此连接器的用法。

  3. 在 Exchange 2003 上创建 SMTP 连接器。

  4. 修改 Exchange 2003 服务器中的注册表,以允许 Exchange 2003 服务器匿名发送和接收 XExch50 属性。

以下过程将在 Contoso.com 林中的 Exchange 2007 传输服务器和 FourthCoffee.com 林中的 Exchange 2003 桥头服务器之间建立跨林邮件流。建议您执行完此过程后,通过在两个组织之间发送邮件以测试邮件流。还应检查协议日志以验证 EXCH50 数据是否已传播到 Exchange 2003。

步骤

在不同林中的 Exchange 2007 和 Exchange 2003 服务器之间配置跨林连接器并使用基本身份验证

  1. 按照以下步骤创建从 Exchange 2007 到 Exchange 2003 的发送连接器:

    1. 在 Exchange 2003 林中,创建一个用户帐户。将该用户帐户添加到 Exchange Domain Servers 安全组,该安全组位于将充当该连接器的智能主机的 Exchange 2003 服务器所驻留的域中。

      important要点:
      该帐户被授予与 Exchange 服务器关联的权限。务必保护该帐户的凭据以避免误用。可以将该帐户配置为仅允许登录特定的计算机。
    2. 在 Exchange 2007 林中,在边缘传输服务器或集线器传输服务器上打开 Exchange 命令行管理程序,再运行以下命令:

      $mycred = get-credential
      

      在出现的对话框中,输入在 Exchange 2003 林中创建的用户帐户的凭据。使用“域\用户”格式或 UPN 格式输入用户名并提供用户密码。单击“确定”。

    3. 在 Exchange 命令行管理程序中,使用以下命令之一创建发送连接器。

    • 若要新建发送连接器,并使用基于 TLS 的基本身份验证为接收服务器提供机密性和身份验证,请运行以下命令:

      New-SendConnector -Name "Legacy Forest" -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred -AddressSpaces FourthCoffee.com -SmartHosts Bridgehead1.FourthCoffee.Com, Bridgehead2.FourthCoffee.com -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False
      
    • 若要新建发送连接器,并使用基于 TLS 的基本身份验证仅提供机密性,请运行以下命令:

      New-SendConnector -Name "Legacy Forest" -SmartHostAuthMechanism BasicAuth -AuthenticationCredential $mycred -AddressSpaces FourthCoffee.com -SmartHosts Bridgehead1.FourthCoffee.Com, Bridgehead2.FourthCoffee.com -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -RequireTLS $True -DNSRoutingEnabled $False
      
  2. 若要设置发送连接器的权限,请在 Exchange 命令行管理程序中使用 Enable-CrossForestConnector.ps1 脚本运行以下命令:

    Enable-CrossForestConnector -Connector "Legacy Forest" -user "ANONYMOUS LOGON" -genericMTA
    
  3. 按照以下步骤在远程林中的 Exchange 2003 桥头服务器上创建 SMTP 连接器:

    1. 在 Exchange 2007 林中,创建一个用户帐户。将该用户帐户添加到 ExchangeLegacyInterop 安全组。

      important要点:
      该帐户被授予与 Exchange 服务器关联的权限。务必保护该帐户的凭据以避免误用。可以将该帐户配置为仅允许登录特定的计算机。
    2. 打开 Exchange 系统管理器。右键单击位于将驻留该连接器的服务器所在的路由组中的“连接器”容器,选择“新建”,再选择“SMTP 连接器”。

    3. 选择“常规”选项卡。在“名称”字段中,键入此连接器的唯一名称。

    4. 选择“将通过此连接器的所有邮件转发到下列智能主机”,然后键入 Exchange 2007 边缘传输服务器或集线器传输服务器的 IP 地址或 FQDN。如果输入 IP 地址,则必须将其括在方括号中,例如: [192.168.1.1]。

    5. 单击“添加”以添加本地桥头服务器。在“添加桥头”对话框中,选择一个或多个 Exchange 2003 服务器。

    6. 选择“地址空间”选项卡,再单击“添加”以创建地址空间。在“添加地址空间”对话框中,选择 SMTP,再单击“确定”。

    7. 在“Internet 地址空间属性”页上,输入 Exchange 2007 林的 SMTP 域名,再单击“确定”。

    8. 选择“高级”选项卡,再单击“出站安全”。在“出站安全”对话框中,选择“基本身份验证”,再单击“修改”。

    9. 在“出站连接凭据”对话框中,输入在 Exchange 2007 林中创建的帐户的用户名和密码,再单击“确定”。

    10. 单击“确定”关闭“出站安全”对话框。单击“确定”。

note注意:
如果将 Exchange 2007 发送连接器配置为使用基于 TLS 的基本身份验证,或通过将 RequiredTLS 参数设置为 $True 来使用基本身份验证,则 Exchange 2003 服务器必须先公布正确的证书,然后才能进行身份验证。可以通过查看虚拟服务器的属性来验证是否已将证书导入 Exchange 2003 SMTP 虚拟服务器。若要查看或导入服务器证书,请选择“访问”选项卡,再单击“证书”。

使用外部身份验证配置没有信任关系的 Exchange 2007 服务器和 Exchange 2003 服务器之间的跨林连接器

  1. 使用以下方法之一创建发送连接器:

    • 若要使用 Exchange 命令行管理程序创建从 Contoso.com 到 FourthCoffee.com 的发送连接器,请运行以下命令:

      New-SendConnector -Name "Legacy Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False
      
    • 若要使用 Exchange 管理控制台创建从 Contoso.com 到 FourthCoffee.com 的发送连接器,请按照以下步骤操作:

    1. 打开 Exchange 管理控制台。在控制台树中,展开“组织配置”,单击“集线器传输”,然后在操作窗格中,单击“新建发送连接器”。

    2. 在“新建 SMTP 发送连接器”向导的“简介”页中,在“名称”字段中键入连接器的唯一名称。从“选择此连接器的预期用法”下拉列表中,选择“内部”,再单击“下一步”。

    3. 在“地址空间”页上,单击“添加”。在“添加地址空间”对话框中,键入远程 SMTP 域的名称,再单击“下一步”。

    4. 在“网络设置”页上,仅可以选择“通过下列智能主机路由所有邮件:”设置。单击“添加”。

    5. 在“添加智能主机”对话框的“IP 地址”或“完全限定的域名(FQDN)”中,键入 Exchange 2003 林中的桥头服务器的 IP 地址或 FQDN,再单击“确定”。若要将多个桥头服务器指定为智能主机,请单击“添加”,输入其他 IP 地址或 FQDN,再单击“下一步”。

    6. 在“智能主机安全设置”页中,选择“外部安全(例如 IPsec)”,然后单击“下一步”。

    7. 在“源服务器”页上,单击“添加”。在“选择集线器传输服务器和订阅的边缘传输服务器”对话框中,选择组织中的一个或多个集线器传输服务器,单击“确定”,再单击“下一步”。

    8. 在“新建连接器”页中,单击“新建”,然后在“完成”页中,单击“完成”。

  2. 使用以下方法之一创建接收连接器:

    • 若要使用 Exchange 命令行管理程序为 Contoso.com 创建接收连接器,以便从 FourthCoffee.com 接收邮件,请运行以下命令:

      New-ReceiveConnector -Name "Legacy Forest" -Usage Internal -Server HubA -PermissionGroups ExchangeServers -RemoteIPRanges <IP address of Fourth Coffee Hub Transport server> -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25
      
    • 若要使用 Exchange 管理控制台为 Contoso.com 创建接收连接器,以便从 FourthCoffee.com 接收邮件,请按照以下步骤操作:

    1. 打开 Exchange 管理控制台。在控制台树中,展开“服务器配置”,单击“集线器传输”,然后在操作窗格中,单击“新建接收连接器”。

    2. 在“新建 SMTP 接收连接器”向导的“简介”页中,在“名称”字段中键入连接器的唯一名称。

    3. 从“选择此连接器的预期用法”下拉列表中,选择“内部”,再单击“下一步”。

    4. 在“远程网络设置”页上,删除所有网络范围条目,再单击“添加”。

    5. 在“添加远程服务器的 IP 地址”对话框中,键入 Exchange 2003 组织中的桥头服务器的 IP 地址,单击“确定”,再单击“下一步”。

    6. 在“新建连接器”页中,单击“新建”,然后在“完成”页中,单击“完成”。

  3. 若要修改用于此连接器的身份验证方法,请按照以下步骤操作:

    1. 在任务窗格中,选择要修改的接收连接器,然后在操作窗格中单击“属性”。

    2. 单击“身份验证”选项卡。清除“传输层安全性(TLS)”和“Exchange Server 身份验证”复选框,选择“外部安全(例如 IPsec)”,然后单击“确定”。

  4. 执行以下步骤,以修改 Exchange 2003 桥头服务器中的注册表设置,允许 Exchange 2003 服务器匿名发送和接收 XExch50 属性:

    Caution警告:
    UNRESOLVED_TOKEN_VAL(exRegistry) 
    1. 打开注册表编辑器。

    2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\XEXCH50

    3. 右键单击 XEXCH50,再选择“新建”|“DWORD 值”。键入 SuppressExternal 作为值名称。默认情况下,值数据为 0,表明已将 XEXCH50 属性匿名传输到远程服务器。

    4. 右键单击 XEXCH50,再选择“新建”|“项”。键入 SMTP 虚拟服务器实例的编号作为项值。例如,默认的虚拟服务器实例是 1,则在服务器上创建的第二个 SMTP 虚拟服务器是 2

    5. 右键单击刚才创建的项,指向“新建”,再单击“DWORD 值”。

    6. 在详细信息窗格中,键入值名称 Exch50AuthCheckEnabled。默认情况下,值数据为 0,表明匿名发送电子邮件后已传输 XEXCH50 属性。

详细信息

有关详细信息,请参阅下列主题: