Развертывание и миграция Exchange 2010. Часть 6 переход на Edge.

Иногда не хватает сил и терпения доделать то, что начал еще в прошлом году…

Один из последних этапов, которые остались в этом проекте это переключение SMTP трафика на новые серверы Edge.

Смысл серверов Edge — обеспечение безопасности почтового сервиса за счет фильтрации нежелательных сообщений, публикация сервиса SMTP в  периметре, т.е. по замыслу разработчиков в случае компрометации сервера Edge злоумышленник не получит доступа к внутренним ресурсам Службы Каталогов Active Directory.

Сетевая безопасность

В таблице ниже представлены сетевые протоколы которые необходимо задействовать для серверов Edge.

Исходящий трафик	Трафик назначения	Порт	Протокол	Описание
Edge Server	Интернет	25	SMTP (TCP)	Отправление SMTP c Edge в Интернет.
Edge Server	Внутр. сеть	25	SMTP (TCP)	Отправление SMTP с сервера Edge во внутреннюю сеть.
Интернет	Edge Server	25	SMTP (TCP)	Прием почтовых сообщений из сети Интернет.
Внутр. сеть	Edge Server	25	SMTP (TCP)	Прием почтовых сообщений от внутр. серверов
Hub-Server	Edge Server	50636	User Defined(TCP)	Синхронизация от Hub до Edge.

Серверы Edge размещены в сети DMZ, выделенном VLAN. Они не являются членами доменов Active Directory.

Развертывание серверов Edge описано в заметке Развертывание и миграция Exchange 2010. Часть 3 Инсталляция ролей, раздел «Инсталляция роли Edge«. 

После инсталляции необходимо настроить маршрутизацию трафика между Edge и серверами Hub и Интернет.

Вариант 1 — это ручное создание соединителей на серверах Edge и Hub. Скажу сразу, что мне приходит в голову только один случай когда это вариант необходим — TCP 50636 от Hub к Edge запрещен.  Отличную статью на тему создания соединителей Edge и Hub вручную написал Н. Хобсон Configuring Edge Transport Server Without Edge Synchronization

Вариант 2 — это настройка маршрутизации с помощью пограничной подписки Edge (Edge Subscription). Edge Subscription обеспечивает привязку Edge серверов к сайту Active Directory и маршрутизации между серверами Hub и Edge без создания соединителей. По сути в Active Directory создается объект для сервера Edge. При этом серверам Hub приходит обновление, что новый сервер Edge подписан к сайту Active Directory.

Для создания Edge Subscription на серверах Edge необходимо запустить следующий командлет

New-EdgeSubscription -FileName «C:\EdgeSubscriptionInfo.xml»

Далее скопировать файл на серверы Hub и выполнить импорт подписки

New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path «C:\EdgeSubscriptionInfo.xml» -Encoding Byte -ReadCount 0)) -Site «root» -CreateInternetSendConnector $true -CreateInboundSendConnector $true

root — название сайта Active Directory к которому привязываются серверы Edge.

Если все прошло успешно то на серверах Hub появятся дополнительные соединители

В настройках новых соединителей необходимо убедиться, в том что в закладке «Source Server» указаны два сервера Srv-mx04 и Srv-mx05, если это не так — добавить вручную.

После того, как я создал подписку, исходящий трафик как и прежде направлялся через старый соединитель «inet» см. картинку выше. Причина этому настройка стоимостей маршрутов, я не стал выключать соединитель «inet», а вместо этого повысил на нем стоимость маршрута, сделав её больше чем на соединителях подписки.

Соединитель приема на сервере Edge нет необходимости изменять, разрешения и авторизация на нем автоматически настроены в процессе создания подписки.

Маршрутизация SMTP сообщений выглядит следующим образом

1. Default Receive (Edge Server) — принимающий соединитель серверов Edge. Принимает почтовые сообщения из Интернет и от серверов Hub.

2. EdgeSync — Inbound To Root — соединитель отправки. Отправляет почтовые сообщения с серверов Edge на серверы Hub.

3. EdgeSync — root to Internet — соединитель отправки. Отправляет почтовые сообщения с серверов Edge в Интернет.

4. Default Receive (Hub Server) — принимающий соединитель серверов Hub. Принимает почтовые сообщения с серверов Edge.

5. implicit AD Connector — отправляющий неявный соединитель от серверов Hub к серверам Edge созданный на основе внутренней таблице маршрутизации на базе сайтов.

Кроме настроек соединителей Exchange во внешней зоне DNS необходимо добавить записи A для новых серверов Edge и настроить MX запись(см. ниже).

Отказоустойчивость и балансировка нагрузки серверов Edge

Отказоустойчивость и балансировка нагрузки входящего трафика Edge может быть обеспечена с помощью NLB, HLB и DNS MX. В моем проекте использовался способ DNS Round Robin.

Отказоустойчивость исходящего трафика с сервера Edge к Hub и Интернет обеспечивается избыточностью серверов Edge(2 шт.) и встроенными средствами(несколько исходящих серверов в отправляющих соединителях).

Отказоустойчивость трафика между Hub и Edge также обеспечивается встроенными средствами Exchange.