設定跨樹系連接器
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2006-12-21
本主題說明如何使用 Exchange 管理主控台或 Exchange 管理命令介面,將傳送連接器及接收連接器設定成啟用跨樹系通訊。
若要在不同 Active Directory 目錄服務樹系中執行 Microsoft Exchange Server 的伺服器之間建立直接郵件流程,必須設定傳送連接器及接收連接器。
本主題說明如何設定下列案例的跨樹系連接器:
Exchange 2007 至 Exchange 2007
Exchange 2007 至 Exchange Server 2003
開始之前
請驗證組織是否符合各案例的必要條件。必要條件會列在每個案例的程序中。
請驗證用來執行這些程序的帳戶具有必要的系統管理群組成員資格:
若要建立 Exchange 2007 傳送連接器,您使用的帳戶必須已委派 Exchange 組織系統管理員角色。
若要建立 Exchange 2007 接收連接器,您使用的帳戶必須已委派 Exchange Server 系統管理員角色,以及您將建立接收連接器之伺服器的本機 Administrators 群組。
如需管理 Exchange Server 2007 所需之權限、委派角色以及權利的相關資訊,請參閱權限考量。
Exchange 2007 至 Exchange 2007
在此案例中,您會在兩個位於不同 Active Directory 樹系之 Exchange 2007 組織中的 Hub Transport Server 之間建立跨樹系連接器。基本驗證或外部驗證機制提供不同樹系之伺服器間的驗證及授權。如果使用基本驗證,則可以選取下列兩種方法也可以使用傳輸層安全性 (TLS):
將智慧主機驗證方法設為需要 TLS 的基本驗證。此方法提供接收伺服器的機密性及驗證。如果選取此智慧主機驗證方法,則傳送伺服器會驗證接收伺服器的憑證,而這為郵件流程的需求。
將 RequireTLS 參數設為
$True。此方法提供機密性,但無法驗證接收伺服器。
若要在兩個 Exchange 2007 組織的 Hub Transport Server 之間設定跨樹系連接器時,您須符合下列必要條件:
每個樹系都必須要有含有 Exchange 2007 伺服器的 Exchange 組織。
如果使用基本驗證,則每個樹系中都必須要有網域帳戶,用來進行基本驗證。例如,將郵件傳送給 Contoso 網域中的 Exchange 伺服器時,提供具有通用主要名稱 (UPN) FourthCoffee@Contoso.com 的使用者帳戶,作為 Fourth Coffee 網域之 Exchange 伺服器必須用來進行驗證的認證。
如果使用透過 TLS 的基本驗證,則必須將目標伺服器設定成使用 X.509 憑證,而此憑證所含的 FQDN 與接收連接器的 FQDN 相同。
如果使用外部驗證,則 Hub Transport Server 之間必須要有信任網路連線。此連線可能是 IPsec 關聯 (虛擬私人網路),或伺服器可能是位在信任的實體控制網路中。
若要在樹系間建立郵件流程,請遵循這些步驟:
在每個樹系中建立使用者帳戶,以用於第二個樹系之接收伺服器的驗證。
建立傳送連接器。
設定傳送連接器的權限。
如果是外部安全連接器,則建立新的接收連接器。
.gif "note")
附註:如果使用透過 TLS 的基本驗證,則必須提供智慧主機設定中遠端 Hub Transport Server 的 FQDN。不可以使用 IP 位址。
下列程序會在 Contoso.com 及 FourthCoffee.com 樹系的 Exchange 2007 Hub Transport Server 之間建立跨樹系郵件流程。而每個樹系都必須互相執行此程序。
程序
使用基本驗證設定 Exchange 2007 伺服器間的跨樹系連接器
在每個樹系中建立使用者帳戶。將此帳戶新增至 Exchange Servers 萬用安全性群組。傳送連接器會使用此帳戶來驗證第二樹系中的接收伺服器。
.gif "important")
重要事項:會授與這個帳戶與 Exchange 伺服器相關的權限。請務必保護此帳戶的認證以預防不當使用此帳戶。您可以設定帳戶為僅允許登入特定的電腦。 使用下列方法之一在 Contoso 樹系中建立傳送連接器:
若要使用 Exchange 管理命令介面建立從 Contoso.com 到 FourthCoffee.com 的傳送連接器,以及使用透過 TLS 的基本驗證提供接收伺服器的機密性及驗證,請執行下列命令。第一個命令會儲存用於驗證的認證。第二個命令則會建立傳送連接器。
首先,執行下列命令:
$mycred = get-credential然後在出現的對話方塊中,輸入 Fourth Coffee 網域之使用者帳戶的認證。請使用「網域\使用者」格式或 UPN 格式輸入使用者名稱,並提供使用者的密碼。按一下 [確定],然後執行下列命令:
New-SendConnector -Name "Cross-Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False若要使用 Exchange 管理命令介面建立從 Contoso.com 到 FourthCoffee.com 的傳送連接器,以及使用具有 TLS 的基本驗證只提供機密性,請執行下列命令:
New-SendConnector -Name "Cross-Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism BasicAuth -AuthenticationCredential $mycred -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -requireTLS $True -DNSRoutingEnabled $False若要使用 Exchange 管理主控台來建立自 Contoso.com 到 FourthCoffee.com 的傳送連接器,請遵循這些步驟:
開啟 Exchange 管理主控台。在主控台樹狀目錄中,展開 [組織組態],按一下 [集線傳輸],然後在執行窗格中按一下 [新增傳送連接器]。
在 [新增 SMTP 傳送連接器] 精靈 [簡介] 頁面上,於 [名稱] 欄位輸入連接器的唯一名稱。
從 [選取此連接器的預定用法] 下拉式清單中,選取 [內部],然後按 [下一步]。
在 [位址空間] 頁面上,按一下 [新增]。在 [新增位址空間] 對話方塊中,輸入遠端網域的名稱,然後按 [下一步]。
在 [網路設定] 頁面上,只有 [透過下列智慧主機路由傳送所有郵件:]設定可被選取。按一下 [新增]。
在 [新增智慧主機] 對話方塊中 [IP 位址] 或 [網域全名 (FQDN)] 欄位中輸入遠端樹系中之 Hub Transport Server 的 FQDN,然後按一下 [確定]。若要指定一台以上的 Hub Transport Server 作為智慧主機,請按一下 [新增] 並輸入其他 FQDN,然後按 [下一步]。
在 [智慧主機安全性設定] 頁面上,選取 [基本驗證] 或 [透過 TLS 的基本驗證],輸入用於驗證連線的使用者名稱及密碼,然後按 [下一步]。
在 [來源伺服器] 頁面上,按一下 [新增]。在 [選取 Hub Transport 及訂閱的 Edge Transport Server] 對話方塊中,選取組織中的一或多個 Hub Transport Server,按一下 [確定],然後按 [下一步]。
在 [新增連接器] 頁面,按一下 [新增],然後在 [完成] 頁面按一下 [完成]。
若要設定傳送連接器上的權限,在 Exchange 管理命令介面中,請使用 Enable-CrossForestConnector.ps1 指令碼 來執行下列命令:
Enable-CrossForestConnector -Connector "Cross-Forest" -user "ANONYMOUS LOGON"
使用外部驗證設定 Exchange 2007 伺服器間的跨樹系連接器
使用下列方法之一來建立傳送連接器:
若要使用 Exchange 管理命令介面來建立自 Contoso.com 到 FourthCoffee.com 的傳送連接器,請執行下列步驟:
New-SendConnector -Name "Cross-Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False若要使用 Exchange 管理主控台來建立自 Contoso.com 到 FourthCoffee.com 的傳送連接器,請遵循這些步驟:
開啟 Exchange 管理主控台。在主控台樹狀目錄中,展開 [組織組態],按一下 [集線傳輸],然後在執行窗格中按一下 [新增連接器]。
在 [新增 SMTP 傳送連接器] 精靈 [簡介] 頁面上,於 [名稱] 欄位輸入連接器的唯一名稱。從 [選取此連接器的預定用法] 下拉式清單中,選取 [內部],然後按 [下一步]。
在 [位址空間] 頁面上,按一下 [新增]。在 [新增位址空間] 對話方塊中,輸入遠端網域的名稱,然後按 [下一步]。
在 [網路設定] 頁面上,只有 [透過下列智慧主機路由傳送所有郵件:]設定可被選取。按一下 [新增]。
在 [新增智慧主機] 對話方塊的 [IP 位址] 或 [網域全名 (FQDN)] 中,輸入遠端樹系中之 Hub Transport Server 的 IP 位址或 FQDN,然後按一下 [確定]。若要指定一台以上的 Hub Transport Server 作為智慧主機,請按一下 [新增] 並輸入其他的 IP 位址或 FQDN,然後按 [下一步]。
在 [智慧主機驗證設定] 頁面上,選取 [以外部方式保護安全 (例如,利用 IPsec)],然後按 [下一步]。
在 [來源伺服器] 頁面上,按一下 [新增]。在 [選取 Hub Transport 及訂閱的 Edge Transport Server] 對話方塊中,選取組織中的一或多個 Hub Transport Server,按一下 [確定],然後按 [下一步]。
在 [新增連接器] 頁面,按一下 [新增],然後在 [完成] 頁面按一下 [完成]。
使用下列方法之一來建立新的接收連接器:
若要使用 Exchange 管理命令介面建立讓 Contoso.com 接收來自 FourthCoffee.com 之郵件的接收連接器,請執行下列命令:
New-ReceiveConnector -Name "Cross-Forest" -Server HubA -PermissionGroups ExchangeServers -RemoteIPRanges <IP address of Fourth Coffee Hub Transport server> -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25若要使用 Exchange 管理主控台建立讓 Contoso.com 接收來自 FourthCoffee.com 之郵件的接收連接器,請遵循下列步驟:
開啟 Exchange 管理主控台。在主控台樹狀目錄中,展開 [伺服器組態],並按一下 [集線傳輸],然後在執行窗格中按一下 [新增接收連接器]。
在 [新增 SMTP 接收連接器] 精靈 [簡介] 頁面上,於 [名稱] 欄位中輸入連接器的唯一名稱。
從 [選取此連接器的預定用法] 下拉式清單中,選取 [內部],然後按 [下一步]。
在 [遠端網路設定] 頁面上,刪除所有的網路範圍項目,然後按一下 [新增]。
在 [新增遠端伺服器的 IP 位址] 對話方塊中,輸入遠端 Hub Transport Server 的 IP 位址,按一下 [確定],然後按 [下一步]。
在 [新增連接器] 頁面,按一下 [新增],然後在 [完成] 頁面按一下 [完成]。
若要修改用於此連接器的驗證方法,請遵循下列步驟:
在工作窗格中,選取您要修改的接收連接器,然後按一下執行窗格中的 [內容]。
按一下 [驗證] 索引標籤。清除 [傳輸層安全性] 及 [Exchange Server 驗證] 的核取方塊,並選取 [以外部方式保護安全 (例如,利用 IPsec)],然後按一下 [確定]。
Exchange 2007 至 Exchange 2003
在此案例中,會在下列兩個樹系間建立跨樹系連接器:含有執行 Exchange 2007 之 Exchange 組織的 Active Directory 樹系,以及含有執行 Exchange 2003 之 Exchange 組織的第二個 Active Directory 樹系。您可以在 Exchange 2007 Edge Transport Server 與 Exchange 2003 Bridgehead 伺服器之間,或 Exchange 2007 Hub Transport Server 與 Exchange 2003 Bridgehead 伺服器之間建立傳送連接器及接收連接器。
若要在樹系間建立郵件流程,請遵循這些步驟:
在 Exchange 2003 樹系中建立使用者帳戶,以用於 Exchange 2007 樹系之接收伺服器的驗證。
建立傳送連接器,並在 Exchange 2007 Edge Transport Server 或 Hub Transport Server 上選取 [內部] 用於此連接器。
在 Exchange 2003 上建立 SMTP 連接器。
將 Exchange 2003 伺服器上的登錄修改為允許 Exchange 2003 伺服器匿名傳送和接收 XExch50 內容。
下列程序會在 Contoso.com 樹系的 Exchange 2007 傳輸伺服器與 FourthCoffee.com 樹系的 Exchange 2003 Bridgehead 伺服器之間,建立跨樹系郵件流程。執行此程序後,建議您在這兩個組織之間傳送郵件,以測試郵件流程。您也應該檢查通訊協定記錄以驗證 EXCH50 資料已傳播至 Exchange 2003。
程序
設定位在不同樹系之 Exchange 2007 與 Exchange 2003 伺服器間的跨樹系連接器,並使用基本驗證
遵循下列步驟,建立從 Exchange 2007 到 Exchange 2003 的傳送連接器:
在 Exchange 2003 樹系中,建立使用者帳戶。將使用者帳戶加入至網域中的 Exchange Domain Servers 安全性群組中,這個網域就是會當做此連接器之智慧主機的 Exchange 2003 伺服器所在位置。
重要事項:會授與這個帳戶與 Exchange 伺服器相關的權限。請務必保護此帳戶的認證以預防不當使用此帳戶。您可以設定帳戶為僅允許登入特定的電腦。 在 Exchange 2007 樹系中,開啟 Edge Transport Server 或 Hub Transport Server 上的 Exchange 管理命令介面,並執行下列命令:
$mycred = get-credential在出現的對話方塊中,輸入在 Exchange 2003 樹系中建立之使用者帳戶的認證。請使用「網域\使用者」格式或 UPN 格式輸入使用者名稱,並提供使用者的密碼。按一下 [確定]。
在 Exchange 管理命令介面中,使用下列其中一個命令建立傳送連接器。
若要建立新的傳送連接器,並使用透過 TLS 的基本驗證提供接收伺服器的機密性及驗證,請執行下列命令:
New-SendConnector -Name "Legacy Forest" -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred -AddressSpaces FourthCoffee.com -SmartHosts Bridgehead1.FourthCoffee.Com, Bridgehead2.FourthCoffee.com -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False若要建立新的傳送連接器,並使用具有 TLS 的基本驗證只提供機密性,請執行下列命令:
New-SendConnector -Name "Legacy Forest" -SmartHostAuthMechanism BasicAuth -AuthenticationCredential $mycred -AddressSpaces FourthCoffee.com -SmartHosts Bridgehead1.FourthCoffee.Com, Bridgehead2.FourthCoffee.com -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -RequireTLS $True -DNSRoutingEnabled $False
若要設定傳送連接器上的權限,在 Exchange 管理命令介面中,請使用 Enable-CrossForestConnector.ps1 指令碼 來執行下列命令:
Enable-CrossForestConnector -Connector "Legacy Forest" -user "ANONYMOUS LOGON" -genericMTA遵循下列步驟,在遠端樹系的 Exchange 2003 Bridgehead 伺服器上建立 SMTP 連接器:
在 Exchange 2007 樹系中,建立使用者帳戶。將此使用者帳戶新增至 ExchangeLegacyInterop 安全性群組。
重要事項:會授與這個帳戶與 Exchange 伺服器相關的權限。請務必保護此帳戶的認證以預防不當使用此帳戶。您可以設定帳戶為僅允許登入特定的電腦。 開啟 Exchange 系統管理員。在位於其中伺服器主控連接器所在之路由群組的 [連接器] 容器上按一下滑鼠右鍵、選取 [新增],然後選取 [SMTP 連接器]。
選取 [一般] 索引標籤。在 [名稱] 欄位中,輸入連接器的唯一名稱。
選取 [經由此連接器,轉寄所有郵件至下列智慧主機],並輸入 Exchange 2007 Edge Transport Server 或 Hub Transport Server 的 IP 位址或 FQDN。如果您輸入的是 IP 位址,則必須位於如下所示的括號內,例如:[192.168.1.1]。 [192.168.1.1].
按一下 [新增] 新增本機 Bridgehead 伺服器。在 [新增 Bridgehead] 對話方塊中,選取一部或多部 Exchange 2003 伺服器。
選取 [位址空間] 索引標籤,然後按一下 [新增] 以建立位址空間。在 [新增位址空間] 對話方塊中,選取 [SMTP],然後按一下 [確定]。
在 [網際網路地址空間內容] 頁面上,輸入 Exchange 2007 樹系的 SMTP 網域名稱,然後按一下 [確定]。
選取 [進階] 索引標籤,然後按一下 [輸出安全性]。在 [輸出安全性] 對話方塊中,選取 [基本驗證],然後按一下 [修改]。
在 [輸出連線認證] 對話方塊中,輸入在 Exchange 2007 樹系中建立之帳戶的使用者名稱,並輸入此帳戶的密碼,然後按一下 [確定]。
按一下 [確定] 關閉 [輸出安全性] 對話方塊。按一下 [確定]。
| 附註: |
|---|
如果 Exchange 2007 傳送連接器設定為使用透過 TLS 的基本驗證,或使用將 RequiredTLS 參數設為 $True的基本驗證時,Exchange 2003 伺服器就必須在產生驗證時通告正確的憑證。您可以透過檢視虛擬伺服器的內容確認是否已經將憑證匯入 Exchange 2003 SMTP 虛擬伺服器。若要檢視或匯入伺服器憑證,請選取 [存取] 索引標籤,並且按一下 [憑證]。 |
使用外部驗證設定不含信任關係之 Exchange 2007 與 Exchange 2003 伺服器間的跨樹系連接器
使用下列方法之一來建立傳送連接器:
若要使用 Exchange 管理命令介面來建立自 Contoso.com 到 FourthCoffee.com 的傳送連接器,請執行下列步驟:
New-SendConnector -Name "Legacy Forest" -Usage Internal -AddressSpaces FourthCoffee.com -SmartHosts Hub1.FourthCoffee.Com, Hub2.FourthCoffee.com -SmartHostAuthMechanism ExternalAuthoritative -SourceTransportServers HubA.Contoso.com, HubB.Contoso.com -DNSRoutingEnabled $False若要使用 Exchange 管理主控台來建立自 Contoso.com 到 FourthCoffee.com 的傳送連接器,請遵循這些步驟:
開啟 Exchange 管理主控台。在主控台樹狀目錄中,展開 [組織組態],按一下 [集線傳輸],然後在執行窗格中按一下 [新增連接器]。
在 [新增 SMTP 傳送連接器] 精靈 [簡介] 頁面上,於 [名稱] 欄位輸入連接器的唯一名稱。從 [選取此連接器的預定用法] 下拉式清單中,選取 [內部],然後按 [下一步]。
在 [位址空間] 頁面上,按一下 [新增]。在 [新增位址空間] 對話方塊中,輸入遠端網域的名稱,然後按 [下一步]。
在 [網路設定] 頁面上,只有 [透過下列智慧主機路由傳送所有郵件:]設定可被選取。按一下 [新增]。
在 [新增智慧主機] 對話方塊中 [IP 位址] 或 [網域全名 (FQDN)] 中輸入 Exchange 2003 樹系中之 IP 位址或 Bridgehead 伺服器的 FQDN,然後按一下 [確定]。若要指定一台以上的 Bridgehead 伺服器作為智慧主機,請按一下 [新增] 並輸入其他的 IP 位址或 FQDN,然後按 [下一步]。
在 [智慧主機安全性設定] 頁面上,選取 [以外部方式保護安全 (例如,利用 IPsec)],然後按 [下一步]。
在 [來源伺服器] 頁面上,按一下 [新增]。在 [選取 Hub Transport 及訂閱的 Edge Transport Server] 對話方塊中,選取組織中的一或多個 Hub Transport Server,按一下 [確定],然後按 [下一步]。
在 [新增連接器] 頁面,按一下 [新增],然後在 [完成] 頁面按一下 [完成]。
使用下列方法之一來建立新的接收連接器:
若要使用 Exchange 管理命令介面建立讓 Contoso.com 接收來自 FourthCoffee.com 之郵件的接收連接器,請執行下列命令:
New-ReceiveConnector -Name "Legacy Forest" -Usage Internal -Server HubA -PermissionGroups ExchangeServers -RemoteIPRanges <IP address of Fourth Coffee Hub Transport server> -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25若要使用 Exchange 管理主控台建立讓 Contoso.com 接收來自 FourthCoffee.com 之郵件的接收連接器,請遵循下列步驟:
開啟 Exchange 管理主控台。在主控台樹狀目錄中,展開 [伺服器組態],並按一下 [集線傳輸],然後在執行窗格中按一下 [新增接收連接器]。
在 [新增 SMTP 接收連接器] 精靈 [簡介] 頁面上,於 [名稱] 欄位中輸入連接器的唯一名稱。
從 [選取此連接器的預定用法] 下拉式清單中,選取 [內部],然後按 [下一步]。
在 [遠端網路設定] 頁面上,刪除所有的網路範圍項目,然後按一下 [新增]。
在 [新增遠端伺服器的 IP 位址] 對話方塊中,輸入 Exchange 2003 組織中 Bridgehead 伺服器的 IP 位址,按一下 [確定],然後按 [下一步]。
在 [新增連接器] 頁面,按一下 [新增],然後在 [完成] 頁面按一下 [完成]。
若要修改用於此連接器的驗證方法,請遵循下列步驟:
在工作窗格中,選取您要修改的接收連接器,然後按一下執行窗格中的 [內容]。
按一下 [驗證] 索引標籤。清除 [傳輸層安全性] 及 [Exchange Server 驗證] 的核取方塊,並選取 [以外部方式保護安全 (例如,利用 IPsec)],然後按一下 [確定]。
執行下列步驟將 Exchange 2003 伺服器上的登錄設定修改為允許 Exchange 2003 伺服器匿名傳送和接收 XExch50 內容。
.gif "Caution")
請注意:UNRESOLVED_TOKEN_VAL(exRegistry) 開啟登錄編輯程式。
尋找 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\XEXCH50
在 [XEXCH50] 按一下滑鼠右鍵,再選取 [新增 | DWORD 值]。輸入 [SuppressExternal] 作為值的名稱。根據預設,值的資料是 0 時就表示以匿名方式將 XEXCH50 內容傳送至遠端伺服器。
在 [XEXCH50] 按一下滑鼠右鍵,再選擇 [新增] | [機碼]。輸入 SMTP 虛擬伺服器執行個體的數字以作為機碼值。例如預設虛擬伺服器執行個體為 [1],以及建立在伺服器的第二個 SMTP 虛擬伺服器為 [2]。
於您剛剛建立的機碼上按一下滑鼠右鍵,指向 [新增] 後,然後按一下 [DWORD 值]。
在詳細資訊窗格中,輸入 Exch50AuthCheckEnabled 作為數值名稱。依預設,數值資料是 0,表示匿名傳送郵件時會傳送 XEXCH50 內容。
相關資訊
如需相關資訊,請參閱下列主題: