對象：適用於企業的 Exchange/Office 365 系統管理員

作者：Lou Mandich，Senior Premier Field Engineer 以及 Brian Drepaul，Senior Support Escalation Engineer

簡介

Exchange Server 2010 Service Pack 1 (SP1) 和 Service Pack 2 (SP2) 組織都可以在混合部署中設定 Edge Transport Server 郵件路由。這篇 wiki 文章描述在 Exchange Server 2010 SP1 組織的混合部署中，如何為內部部署和 Exchange Online 組織設定內部部署 Edge Transport Server 的郵件路由。這篇 wiki 文章專門介紹如何保護郵件路由，以及確定郵件會顯示為內部郵件。

以下步驟結合手動設定步驟以及 Exchange Server 部署助理中描述的設定步驟。目前版本的部署助理支援 Exchange Server 2010 SP1 組織的混合部署案例，同時我們正在更新的過程中，將來將納入 Exchange Server 2010 SP2 以及混合設定精靈支援。雖然目前版本的部署協助版本並不包含 Edge Transport Server 案例，不過更新後的部署助理將包含 Edge Transport Server 案例。

必要條件：

• Edge Transport Server 必須是 Exchange 2010 SP1 或更新版本。

使用 EdgeSync 時，在混合部署中設定 Edge Transport Server

1. 在內部部署組織中安裝一或多個 Edge Transport Server。

利用您為混合伺服器購買的同一個憑證。執行以下命令，將安全郵件憑證匯入混合部署，並啟用 SMTP 服務。這個範例會從名稱為 “certificate.pfx” 的檔案匯入 Exchange 憑證。

此動作要在每部 Edge Server 的 Exchange 管理命令介面中完成。

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path "c:\certificate.pfx" -Encoding byte -ReadCount 0)) -Password:(Get-Credential).password -PrivateKeyExportable $true| Enable-ExchangeCertificate -Services SMTP

彈出的提示會要求您輸入使用者名稱和密碼，使用者名稱會空白，請在這個地方輸入任何資料。密碼必須與您從混合伺服器匯出混合路由憑證時所輸入的密碼相同。

在 [要覆寫現有的預設 SMTP 憑證嗎] 對話方塊的命令介面中提示時，您必須選擇 [否]。如果選擇 [是]，就會看到錯誤訊息，指出不允許在 Edge Transport Server 和組織的混合 Hub Transport Server 之間共用混合路由憑證。

2. 根據 TechNet 的指導方針，在 Exchange 2010 SP1 安裝以及設定 Edge Transport Server。

• 透過訂閱的邊際傳輸伺服器設定網際網路郵件流程

• 將 Edge 訂閱檔案匯入 Active Directory 站台

注意：選取 [自動為這個 Edge 訂閱建立傳送連接器] 核取方塊，可以自動建立傳送連接器，它會將郵件從內部部署 Exchange 組織路由至網際網路。Edge 訂閱會設定成傳送連接器的來源伺服器，而傳送連接器會設定成利用網域名稱系統 (DNS) MX 資源記錄，將郵件路由至所有網域。如果您希望 Edge 修改郵件傳送至網際網路的現有路由路徑，則必須選取此核取方塊。如果不希望 Edge 修改現有路由路徑，當您匯入 Edge 訂閱 XML 檔案時，請確定未選取此方塊。

3. 按照此處的 Exchange 部署助理指示，開始進行混合部署程序。請注意，您應該規劃網際網路郵件路由拓撲，並選取正確的路由路徑，這樣就不會在設定過程中，意外變更您的郵件路由。請利用 Exchange 部署助理的指示，替換以下各項變更：

• 在「設定傳送和接收連接器」檢查清單和「如何變更預設的接收連接器？」區段中，在 Edge Transport Server 上完成以下步驟，而不是 Hub Transport Server。

• 到內部部署組織的混合 Hub Transport Server 開啟 Exchange 管理主控台 (EMC)。在 EMC 樹狀結構的內部部署組織節點，選取 [組織組態]> [集線傳輸]節點，然後選取 [傳送連接器] 索引標籤。在 [傳送連接器]索引標籤中，選取路由至您的服務網域 (service.contoso.com) 的傳送連接器，然後按一下 [動作]窗格中的 [內容]。在 [內容]對話方塊頁面中，選取 [來源伺服器]索引標籤，然後選取每一部伺服服器後，再按一下紅色的 “X” 按鈕，即可刪除所有混合 Hub Transport Server。

• 按一下 [新增]。在 [選取集線傳輸或已訂閱的邊際傳輸伺服器]對話方塊中，為您的內部部署組織選取 Edge Transport Server，然後按一下 [確定]。

• 在混合 Hub Transport Server 中，開啟 Exchange 管理命令介面，然後執行 Start-EdgeSynchronization。

• 在集線傳輸節點中，檢查代表您上層網域和服務網域的網域是否都設定成「授權」。例如，如果您的上層網域是 contoso.com，而服務網域為 service.contoso.com，則網域類型必須設定成「授權」。請注意：這個規則的唯一例外是，如果內部部署環境中有 Exchange 2003。如果 Exchange 2003 存在，則必須將服務網域設定成「內部轉送」。要這樣做，請展開 Exchange 管理主控台中的 [組織組態] 區段。選取左窗格中的 [集線傳輸]。選擇在中間窗格的 [公認的網域] 索引標籤，然後檢查這兩個網域及其類型。

您需要在每一部 Edge Server 上設定接收連接器。在 Exchange 管理命令介面中使用以下命令。

請將 "<預設的內部接收連接器名稱>" 換成預設的連接器。例如 "Edge Default"

 

$SendConnector = Get-SendConnector "Outbound to Office 365"; $ReceiveConnector = Get-ReceiveConnector "<預設的內部接收連接器名稱>"; Set-ReceiveConnector -Identity $ReceiveConnector.Identity -TlsDomainCapabilities outlook.com:AcceptOorgProtocol –Fqdn $SendConnector.Fqdn

其他資訊

混合式路由 - 將 MX 記錄指向雲端 - 參考本文章，進行郵件流程的確認和設定。

未使用 EdgeSync 時，在混合部署中設定 Edge Transport Server

雖然在混合部署中設定 Edge Transport Server 時，我們建議您使用 EdgeSync，不過 EdgeSync 並非必要項目。您還是可以設定混合部署，讓 Edge Transport Server 可以在 Exchange Server 2010 SP1 組織的混合部署中，為內部部署和 Exchange Online 組織安排郵件傳送路由。

Edge Transport Server 的組態幾乎與設定 Hub Transport Server 相同。不過，在 Edge Transport Server 上執行 Set-RemoteDomain 指令程式時，不支援在 Hub Transport Server 上執行 Set-RemoteDomain 指令程式一般可以使用的所有參數，所以還是有一些差別。此外，因為 EdgeSync 目前尚未使用，所以我們仍然需要在 Edge 和 Hub 上設定遠端網域、接收連接器以及傳送連接器。兩部伺服器都需要執行這個遠端網域程序，才能確定從雲端收發的所有電子郵件都予以信任。接收連接器會建立在 Hub 和 Edge 上，設定成「外部安全」，而且只接聽個別伺服器的 IP 位址。傳送連接器的設定方式和接收連接器相同，我們也使用「外部安全」，這一點十分重要。因為如果未使用此設定，則電子郵件標頭就不會加上戳記 X-MS-Exchange-Organization-AuthAs:Internal。

請按照以下步驟，設定 Edge Transport 和混合 Hub Transport Server。指令介面 Cmdlet 範例會使用部署助理的混合部署案例中，當作範例的 "contoso.com" 和 "service.contoso.com" 網域。

設定 Edge Server

請使用管理指令介面，在 Edge Server 變更以下設定：

1. 設定公認的網域

• New-AcceptedDomain -Name service.contoso.com -DomainName service.contoso.com -DomainType ExternalRelay

• New-AcceptedDomain -Name contoso.com -DomainName contoso.com -DomainType Authoritative

2. 設定遠端網域

• New-RemoteDomain "Inbound Remote Domain" -DomainName contoso.com

• New-RemoteDomain "Outbound Remote Domain" -DomainName service.contoso.com

• Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True

• Set-RemoteDomain "Outbound Remote Domain" -TrustedMailOutboundEnabled $True -TargetDeliveryDomain $True

3. 設定接收連接器

• New-ReceiveConnector -Name "From Hub" -AuthMechanism ExternalAuthoritative -Fqdn mail.contoso.com -PermissionGroups AnonymousUsers,ExchangeServers,Partners -TlsDomainCapabilities mail.contoso.com:AcceptOorgProtocol -RemoteIPRanges <混合 Hub Transport Server 的 IP 位址> -Bindings 0.0.0.0:25

• New-ReceiveConnector -Name "From Cloud" -Usage Internet -RemoteIPRanges <FOPE 外送 IP 位址> -Bindings 0.0.0.0:25 -FQDN mail.contoso.com -TlsDomainCapabilities mail.messaging.microsoft.com:AcceptOorgProtocol

11/08/2011 的 FOPE IP 位址

        12.129.20.0/24,12.129.199.61,12.129.219.155,63.241.222.0/24,65.55.88.0/24,94.245.120.64/26,206.16.57.70,

        207.46.51.64/26,207.46.163.0/24,213.199.154.0/24,213.199.180.128/26,216.32.180.0/24,216.32.181.0/24

* 如果想取得最新的 FOPE 位址，請瀏覽設定 Exchange 2010 混合部署的郵件流程
然後按照「如何在內部部署組織中設定傳輸設定？」的指示執行步驟 6 到 11

4. 設定傳送連接器

• New-SendConnector "To Cloud" -RequireTLS $True -TlsAuthLevel DomainValidation -TlsDomain mail.messaging.microsoft.com -Fqdn mail.contoso.com -ErrorPolicies DowngradeAuthFailures  -AddressSpaces SMTP:service.contoso.com

• New-SendConnector -Name "To Hub" -AddressSpaces SMTP:contoso.com -Fqdn mail.contoso.com -SmartHosts <混合 Hub Transport Server 的 IP 位址> -UseExternalDNSServersEnabled $false -SmartHostAuthMechanism ExternalAuthoritative

設定混合 Hub Transport Server

請使用管理指令介面，在混合 Hub Transport Server 變更以下設定：

1. 設定遠端網域

• New-RemoteDomain "Inbound Remote Domain" -DomainName contoso.com

• New-RemoteDomain "Outbound Remote Domain" -DomainName service.contoso.com

• Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True

• Set-RemoteDomain "Outbound Remote Domain" -TrustedMailOutboundEnabled $True -TargetDeliveryDomain $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True

2. 設定接收連接器

• New-ReceiveConnector -Name "From Edge" -AuthMechanism ExternalAuthoritative -Fqdn mail.contoso.com -PermissionGroups ExchangeServers -RemoteIPRanges <Edge Transport Server 的外部 IP 位址> -Bindings 0.0.0.0:25

3. 設定傳送連接器

• New-SendConnector -Name "To Edge" -AddressSpaces SMTP:service.contoso.com -Fqdn mail.contoso.com -SmartHosts <IEdge Transport Server 的IP 位址> -UseExternalDNSServersEnabled $false -SmartHostAuthMechanism ExternalAuthoritative