Настройка подписки на Exchange Edge Server 2016

501

Подписка сервера Exchange 2016 Edge создается с помощью генерирования файла подписки на пограничном транспортном сервере с помощью командлета New-EdgeSubscription и последующего импорта этого файла на сервер почтовых ящиков.Тем самым мы подпишем пограничный транспортного сервер на сайт Active Directory.

Прежде чем перейти к этому шагу, убедитесь, что ваш DNS работает нормально и что вы можете разрешать пограничный сервер по имени, а также контроллер домена и сервер почтовых ящиков по имени.

Сетевые порты для Exchange Edge

Помимо выполненных выше настроек, также нужно добавить исключения в брандмауэр либо его выключить.

Список портов для связи

Сетевой интерфейс	Открытый порт	Протокол	Примечание
Входящий трафик из Интернета и исходящий трафик в Интернет	25/TCP	SMTP	Этот порт необходим для передачи почты в Интернет и получения почты из Интернета.
Входящий трафик из внутренней сети и исходящий трафик во внутреннюю сеть	25/TCP	SMTP	Этот порт необходим для потока обработки почты, поступающей и исходящей из организации Exchange.
Только локальный трафик	50389/TCP	LDAP	Этот порт используется для локального подключения к службам Active Directory облегченного доступа к каталогам.
Входящий трафик из внутренней сети	50636/TCP	Защищенный LDAP	Этот порт необходим для синхронизации EdgeSync.
Входящий трафик из внутренней сети	3389/TCP	RDP	Открывать этот порт не обязательно. Он обеспечивает более высокую гибкость управления пограничными транспортными серверами из внутренней сети, позволяя использовать для этого удаленное подключение к рабочему столу.

Создаем подписку Exchange Edge Server

Чтобы создать пограничную подписку, нам нужно запустить следующую команду на пограничном сервере.Данная процедура нужна для того чтобы наш сервер мог смотреть данные в AD нашего домена. (Убедитесь, что вы создали временный каталог в c:\ или выберите другой каталог и имя файла, это зависит от вас) — Запустите Powershell от имени администратора.

[PS] C:\Windows\system32>New-EdgeSubscription -Filename "c:\temp\edge1.xml"

Confirm
If you create an Edge Subscription, this Edge Transport server will be managed via EdgeSync replication. As a result,
any of the following objects that were created manually will be deleted: accepted domains, message classifications,
remote domains, and Send connectors. After creating the Edge Subscription, you must manage these objects from inside
the organization and allow EdgeSync to update the Edge Transport server. Also, the InternalSMTPServers list of the
TransportConfig object will be overwritten during the synchronization process.
 EdgeSync requires that this Edge Transport server is able to resolve the FQDN of the Mailbox servers in the Active
Directory site to which the Edge Transport server is being subscribed, and those Mailbox servers be able to resolve the
 FQDN of this Edge Transport server. You should complete the Edge Subscription inside the organization in the next
"1440" minutes before the bootstrap account expires.
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): Y

В каталоге, который вы определили в команде выше, должен появиться файл подписки

Сервер создаст файл XML, данные из которого потом нужно будет импортировать на почтовом сервере. Пример содержимого:

Напоминаю, что временная учетная запись репликации начальной загрузки EdgeSync (ESBRA) будет активной лишь первые 24 часа после генерации файла. Далее нужно будет снова запускать командлет New-EdgeSubscription. Отнеситесь внимательно к файлу пограничной подписки, поскольку учетные данные в нем передаются в открытом виде

Перемещение и активация файла конфигурации на Mailbox сервер

Скопируйте этот файл edge.xml с пограничного сервера на сервер почтовых ящиков .Я скопировал файл edge.xml также во временную папку c:\temp на сервере ролей почтовых ящиков, в моем случае это MBX1.

Хорошо, давайте проверим коннекторы через ECP. Как видно пока коннектор только один.

Далее копируем XML файл на почтовый сервер. Создаем подписку на наш EDGE, на почтовом сервере домена. Пишем вот такую команду в Exchange Shell:

[PS] C:\Windows\system32>New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\temp\Edge1.xml" -Encoding Byte -ReadCount 0)) -Site "Default-First-Site-Name"

Name            Site                 Domain
----            ----                 ------
EDGE1           pentagon.loc/Conf... pentagon.loc
WARNING: EdgeSync requires that the Mailbox servers in Active Directory site Default-First-Site-Name be able to resolve the
IP address for EDGE1.pentagon.loc and be able to connect to that host on port 50636.

Параметр “Default-First-Site-Name” можно посмотреть в оснастке «AD Site & Services» или командой: Get-ADsite. В моем случае этот параметр «Default-First-Site-Name»

[PS] C:\Windows\system32>Get-ADsite
Creating a new session for implicit remoting of "Get-ADSite" command...

Name                           HubSiteEnabled
----                           --------------
Default-First-Site-Name        False

Как видим коннекторы отправки создались

Синхронизация c Edge

Edge Synchronization (EdgeSync) – это процесс синхронизации Edge-сервера с сайтом Active Directory, через сервер Mailbox. Данный процесс устанавливается в ходе создание пограничной подписки (Edge Subscription). Полученную в ходе синхронизации информацию, сервер хранит в своей собственно базе данных, которой управляет служба облегченного доступа к каталогу AD LDS (Active Directory Lightwight Directory Service). База данных AD LDS работает на том же самом движке ESE (Extensible Storage Engine), что и «настоящая» база данных АД, и содержит в себе очень сильно урезанную её реплику.

Как только процесс прошел, необходимо выполнить процесс начальной синхронизации

[PS] C:\Windows\system32>Start-EdgeSynchronization -ForceUpdateCookie -ForceFullSync


RunspaceId     : 3207e944-9de9-493a-a86f-70f8700bf0af
Result         : CouldNotConnect
Type           : Recipients
Name           : EDGE1
FailureDetails : The LDAP server is unavailable.
StartUTC       : 9/13/2022 8:03:23 PM
EndUTC         : 9/13/2022 8:03:23 PM
Added          : 0
Deleted        : 0
Updated        : 0
Scanned        : 0
TargetScanned  : 0

RunspaceId     : 3207e944-9de9-493a-a86f-70f8700bf0af
Result         : CouldNotConnect
Type           : Configuration
Name           : EDGE1
FailureDetails : The LDAP server is unavailable.
StartUTC       : 9/13/2022 8:03:23 PM
EndUTC         : 9/13/2022 8:03:23 PM
Added          : 0
Deleted        : 0
Updated        : 0
Scanned        : 0
TargetScanned  : 0

Подождите пару тройку минут пока состояние не будет как ниже

PS] C:\Windows\system32>Test-EdgeSynchronization


RunspaceId                  : 3207e944-9de9-493a-a86f-70f8700bf0af
SyncStatus                  : Normal
UtcNow                      : 9/13/2022 8:07:46 PM
Name                        : EDGE1
LeaseHolder                 : CN=MBX1,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative
                              Groups,CN=Pentagon,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=pentagon,DC=loc
LeaseType                   : Option
FailureDetail               :
LeaseExpiryUtc              : 9/13/2022 8:36:25 PM
LastSynchronizedUtc         : 9/13/2022 8:06:25 PM
TransportServerStatus       : Skipped
TransportConfigStatus       : Skipped
AcceptedDomainStatus        : Skipped
RemoteDomainStatus          : Skipped
SendConnectorStatus         : Skipped
MessageClassificationStatus : Skipped
RecipientStatus             : Skipped
CredentialRecords           : Number of credentials 6
CookieRecords               : Number of cookies 1

На этом настройка завершена.

Если у вас не синхронизируется Edge Server и выдает ошибку , посмотрите эту статью. Не синхронизируется Edge сервер

Отлючите старый Send Connector

В ECP перейдите в mail flow > send connectors — Найдите свой коннектор отправки почты в интернет и отлючите его , теперь вся почта будет отправлятся через Edge сервер. Не забудьте на него опубликовать 25 порт чтобы письма теперь приходили на пограничный edge сервер.