向现有 Exchange 2003 组织添加边缘传输服务器
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-09-05
本主题概述了由边缘传输服务器角色执行的邮件处理服务,以及向现有 Microsoft Exchange Server 2003 添加边缘传输服务器角色所需的步骤。在 Microsoft Exchange Server 2007 中,边缘传输服务器是一个面向 Internet 的服务器,执行反垃圾邮件和防病毒处理任务以及对在 Internet 和 Exchange 组织之间传输的邮件应用传输规则。此服务器角色部署在外围网络中和 Active Directory 目录服务林之外。
边缘传输服务器与任何特定的消息或目录配置无关。可以将边缘传输服务器添加到现有的 Exchange 2003 组织中而不必升级内部 Exchange 服务器。在安装边缘传输服务器时,不必执行任何 Active Directory 准备步骤。边缘传输服务器对 Active Directory 没有访问权限,无法通过此渠道存储配置信息。边缘传输服务器使用 Active Directory 应用程序模式 (ADAM) 目录服务存储配置信息。ADAM 架构包含配置边缘传输服务器所需的所有对象类和属性。
.gif "important") 要点: |
|---|
| 反垃圾邮件功能、收件人查找和安全列表聚合以及域安全功能要求边缘传输服务器使用边缘订阅过程和 EdgeSync 同步来订阅到 Exchange 组织。如果您没有创建边缘订阅,则不能使用上述功能。若要创建边缘订阅,必须在 Exchange 组织中部署至少一台运行 Exchange 2007 集线器传输服务器的计算机,并且必须配置 Exchange 服务器共存。有关 Exchange 2007 如何与 Exchange Server 的早期版本共存的详细信息,请参阅规划共存。 |
边缘传输服务器邮件服务
边缘传输服务器可以为 Exchange 组织提供下列邮件服务:
边缘传输服务器可以用作组织的智能主机服务器。智能主机是电子邮件服务器用来路由所有传出邮件的指定服务器。智能主机执行域名系统 (DNS) 查找并代表电子邮件服务器建立连接。有关如何使用智能主机在 Microsoft Exchange Server 2003 组织中路由 Internet 电子邮件的详细信息,请参阅 Configuring an SMTP Connector。
边缘传输服务器可以用作组织的简单邮件传输协议 (SMTP) 中继服务器。SMTP 中继服务器代表组织接收传入邮件并将邮件中继到内部电子邮件服务器。有关如何将边缘传输服务器用作运行 Exchange 2003 服务器的 SMTP 中继服务器的详细信息,请参阅 Using a Windows SMTP Relay Server in a Perimeter Network。
在收到邮件后,边缘传输服务器可以执行反垃圾邮件和防病毒任务,然后将邮件发送到内部 Exchange 服务器。为了执行反垃圾邮件和防病毒任务,必须启用和配置相应的代理。有关详细信息,请参阅规划反垃圾邮件和防病毒功能。
边缘传输服务器能够执行地址重写,因此所有传出邮件好像来自单个 SMTP 域。边缘传输服务器使用 SMTP 地址的映射来重写传出邮件的地址。在收到传入邮件后,映射表用于发现邮件传递的相应邮箱。有关如何配置地址重写的详细信息,请参阅规划地址重写。
边缘传输服务器能够将传输规则应用到发往 Internet 或从 Internet 接收的邮件。可配置传输规则来评估邮件条件,例如邮件字段和邮件头中的特定单词或文本模式。接下来,您可以在满足条件时,执行重定向或隔离邮件等操作。有关传输规则的详细信息,请参阅管理传输规则。
规划部署边缘传输服务器
在部署边缘传输服务器之前,必须回答以下规划问题:
如何在外围网络中定位边缘传输服务器?
如何管理边缘传输服务器?
如何配置邮件流?
如何配置传输代理设置?
以下各部分介绍影响每个规划决策的因素。
下图概述了配置边缘传输服务器以支持现有 Exchange 2003 或 Exchange 2000 Server 组织所必须执行的任务。本主题的以下各部分分别介绍了其中的每个任务。
配置任务摘要
.gif "方案配置任务的摘要列表")
将边缘传输服务器添加到外围网络
通常,边缘传输服务器是作为没有任何域成员身份的独立服务器安装的。独立的服务器配置可以提供极佳的隔离等级,是最安全的实现方式。虽然边缘传输服务器可以安装在加入域的计算机上,但是边缘传输服务器将始终使用 ADAM 存储收件人和配置信息,永远不会直接访问 Active Directory。
在将边缘传输服务器添加到外围网络时,必须考虑边缘传输服务器如何与外围网络中的其他服务器进行交互。下面是一些拓扑注意事项:
您是否在外围网络中部署了 Microsoft Internet Acceleration and Security (ISA) Server 2006 来处理 Internet 网络通信?在这种情况下,ISA 不代理或修改 SMTP 协议。可将 ISA 配置为将 SMTP 协议重定向或以隧道封装方式打包传输到边缘传输服务器。有关详细信息,请参阅使用 ISA Server 2006 和 Exchange 2007。
外围网络中是否有现成的智能主机或 SMTP 中继?当部署边缘传输服务器之后,您可以在测试阶段实现边缘传输服务器与现有服务器之间的通信负载平衡;否则,只能够停用现有智能主机或 SMTP 中继。
外围网络中是否部署了现有反垃圾邮件网关产品?在部署边缘传输服务器之后,您可以停用现有网关产品。如果希望在一段时间内继续使用这两个系统,可以在边缘传输服务器上配置发送连接器,这样它会将电子邮件中继到现有系统,然后传递到 Exchange 组织。
若要提供智能主机和 SMTP 中继服务,必须允许与边缘传输服务器通过内部和外部防火墙上的 TCP 端口 25 相互访问。
管理边缘传输服务器
边缘传输服务器上未配置任何特定于 Exchange 的管理组。由于边缘传输服务器旨在作为独立服务器进行部署,本地管理员帐户被授予对边缘传输服务器角色的完全访问权限。若要创建特定于用户的管理帐户,可以在边缘传输服务器上创建本地用户帐户,然后将那些帐户添加到该计算机上的本地 Administrators 组。
如果要对边缘传输服务器执行远程管理,必须使用 Microsoft Windows 远程桌面对边缘传输服务器启用远程连接。还必须配置内部防火墙以允许访问 TCP 端口 3389。远程桌面协议 (RDP) 使用此端口。
配置邮件流
在部署边缘传输服务器之后,还须执行在边缘传输服务器与 Internet 之间以及在边缘传输服务器与 Exchange 2003 组织之间启用邮件流所需的配置步骤。必须执行以下任务:
验证边缘传输服务器将为其接受电子邮件的 SMTP 域的 DNS 邮件交换 (MX) 记录的配置。
在边缘传输服务器上配置接受域。接受域定义此服务器为其接受电子邮件的 SMTP 域。接受域可以配置为权威、内部中继或外部中继。有关详细信息,请参阅管理接受域。
在边缘传输服务器上配置连接器以接受来自 Internet 的邮件和将邮件发往 Internet。需要以下连接器:
Internet 发送连接器 您必须有配置为将电子邮件路由到 Internet 的发送连接器。将此连接器的发送目标地址空间配置为所有域。使用星号 (
*) 指定所有域。您可以选择使用 DNS 名称解析路由电子邮件或通过智能主机(如您的 ISP 托管的服务器)路由所有电子邮件。此连接器用于将电子邮件发送到所有 Internet SMTP 域,除非您配置了用于特定域的其他连接器。Internet 接收连接器 您必须具有绑定到边缘传输服务器的外部 IP 地址的接收连接器,并且将其设置为通过端口 25 接收通信。此连接器用于接收来自所有 Internet SMTP 域的邮件而且应接受匿名提交。边缘传输服务器上的默认接收连接器配置为接受来自 Internet 和 Exchange 组织的电子邮件提交。无需再另外配置一个接收连接器,除非您希望分隔传入 SMTP 通信或为 Internet 和 Exchange 组织电子邮件配置不同的身份验证方法。
在边缘传输服务器上配置连接器以接受来自组织的邮件中继到 Internet,以及将从 Internet 中继的邮件发送到组织。需要以下连接器:
- 配置为将电子邮件发送到 Exchange 组织的发送连接器 此连接器的地址空间指定此服务器为其接收邮件的权威域和内部中继域。可以将地址空间配置为“
--”。--占位符用于表示权威域和内部中继接受域的列表,您也可以配置 SMTP 域的列表。将此发送连接器配置为使用智能主机路由电子邮件。列出作为智能主机的一个或多个 Exchange 2003 或 Exchange 2000 桥头服务器。如果在发送连接器上配置多个智能主机,连接会在它们之间实现负载平衡。
.gif "note")
注意:Exchange 2003 和 Exchange 2000 会传输某些作为 Exch50 数据的信息,如邮件的垃圾邮件可信度 (SCL)。若要在邮件从边缘传输服务器中继到 Exchange 组织时保留此数据,必须修改此发送连接器上的自定义访问控制列表 (DACL) 以授予 NT Authority\ANONYMOUS LOGON 帐户 ms-Exch-SMTP-Send-Exch50 权限。 要点:建议您将此发送连接器配置为使用基本身份验证和 TLS 对旧版 Exchange 服务器进行身份验证。如果选择其他身份验证方法,如外部安全(例如使用 IPsec),则必须修改 Exchange 2003 服务器的注册表以使其能够接收 Exch50 数据的匿名提交。 - 接收连接器,绑定到边缘传输服务器的内部 IP 地址并被设置为通过端口 25 接收通信 此连接器从中接受邮件的远程 IP 范围被设置为多个 IP 地址或组织内部的 Exchange Server 2003 或 Exchange 2000 Server 桥头服务器的 IP 地址范围。边缘传输服务器上的默认接收连接器配置为接受来自 Internet 和 Exchange 组织的电子邮件提交。无需再另外配置一个接收连接器,除非您希望分隔传入 SMTP 通信或为 Internet 和 Exchange 组织电子邮件配置不同的身份验证方法。
- 配置为将电子邮件发送到 Exchange 组织的发送连接器 此连接器的地址空间指定此服务器为其接收邮件的权威域和内部中继域。可以将地址空间配置为“
将边缘传输服务器配置为接受到组织的所有或部分传入 SMTP 连接。若要将边缘传输服务器配置为接受组织的所有或部分传入 SMTP 通信,您可以修改 DNS MX 记录以将 SMTP 域的邮件定向到边缘传输服务器。如果 MX 记录引用防火墙 IP 地址,则将防火墙规则配置为将 SMTP 通信定向到边缘传输服务器。
若要通过边缘传输服务器处理正在从 Exchange 组织传出到 Internet 的邮件,请在 Exchange 2003 桥头服务器上创建 SMTP 连接器。将此 SMTP 连接器配置为通过智能主机路由所有邮件,并指定作为智能主机的边缘传输服务器的完全限定的域名 (FQDN) 或 IP 地址。如果您拥有配置为将电子邮件发送到 Internet 的现有 SMTP 连接器,则可以修改该 SMTP 连接器以修改智能主机信息。
有关如何配置邮件流的详细信息,请参阅How to Deploy an Edge Transport Server in an Existing Exchange Server 2003 Organization。
配置传输代理设置
在默认情况下,边缘传输服务器上安装和启用所有传输代理。由于收件人筛选代理在此情形下不可用,因此您可以禁用该代理。有关如何配置反垃圾邮件和防病毒设置的详细信息,请参阅管理反垃圾邮件和防病毒功能。
如果在 Exchange 2003 上配置了反垃圾邮件设置,您可以使用 Exchange 2007 反垃圾邮件迁移工具将反垃圾邮件设置从 Exchange 2003 迁移到边缘传输服务器。Exchange 2007 反垃圾邮件迁移工具从 Active Directory 中读取 Exchange 2003 反垃圾邮件设置,并将其转换为等效的由 Exchange 2007 任务组成的 Windows PowerShell 脚本。然后,您可以在边缘传输服务器角色上运行此脚本。要获得详细信息以及下载此工具,请参阅 Exchange 2007 Anti-Spam Migration Tool。
详细信息
有关详细信息,请参阅下列主题: