Grundlegendes zu Transportoptionen in Exchange 2007-Hybridbereitstellungen

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2013-01-25

In Hybridbereitstellungen können Sie Postfächer verwenden, die sich in der lokalen Organisation und auch in einer Exchange Online-Organisation befinden. Damit diese beiden separaten Organisationen als eine kombinierte Organisation für Benutzer und zwischen ihnen ausgetauschte Nachrichten angezeigt werden, ist der Hybridtransport unabdingbar. Der Hybridtransport ermöglicht es, dass zwischen Empfängern in den Organisationen gesendete Nachrichten mithilfe von TLS (Transport Layer Security) authentifiziert und übertragen sowie gegenüber Exchange-Komponenten wie Transportregeln, Journaling und Antispamrichtlinien als "intern" angezeigt werden. Der Hybridtransport wird automatisch vom Assistenten zum Verwalten von Hybridkonfigurationen in Service Pack 3 (SP3) für Exchange 2010 konfiguriert.

Damit die Hybridtransportkonfiguration und der Assistent zum Verwalten von Hybridkonfigurationen zusammen funktionieren, muss der lokale SMTP-Endpunkt, der Verbindungen vom Exchange Online Protection-Dienst (EOP) akzeptiert, der den Transport für die Exchange Online-Organisation verarbeitet, ein Exchange 2010 SP3-Hub-Transport- oder -Edge-Transport-Server sein. Der Hybridtransport nutzt neue Funktionen aus Exchange 2010 SP3, um Nachrichten zu sichern und diese als "intern" anzuzeigen. Für den Hybridtransport zwischen der lokalen und der Exchange Online-Organisation ist zwar ein lokaler Exchange 2010 SP3-Server erforderlich, aber es ist nicht erforderlich, die Nachrichten an lokale Postfächer und Empfänger im Internet bzw. von lokalen Postfächern und Empfängern im Internet über einen Exchange 2010-Server weiterzuleiten.

Wichtig

Es dürfen keine weiteren SMTP-Hosts, Dienste oder Geräte zwischen dem lokalen Exchange 2010 SP3-Hub-Transport- oder -Edge-Transport-Server und FOPE vorhanden sein. Nachrichten hinzugefügte Informationen, die Hybridtransportfunktionen aktivieren, werden entfernt, wenn die Nachrichten einen Nicht-Exchange 2010 SP3-Server oder SMTP-Host durchlaufen. Dazu gehören frühere Versionen von Exchange. Wenn Sie in Ihrer Organisation Exchange 2007-Edge-Transport-Server bereitgestellt haben und diese für den Hybridtransport verwendet werden sollen, müssen sie auf Exchange 2010 SP3 aktualisiert werden.
Auf den Hub-Transport- und Edge-Transport-Servern muss Exchange 2010 SP3 ausgeführt werden, damit der Assistent zum Verwalten von Hybridkonfigurationen für die Konfiguration der Hybridbereitstellung verwendet werden kann.

Eingehende Nachrichten, die von externen Absendern im Internet an Empfänger in beiden Organisationen gesendet werden, verwenden eine allgemeine eingehende Route. Ausgehende Nachrichten, die von den Organisationen an externe Empfänger im Internet gesendet werden, können entweder eine allgemeine ausgehende Route verwenden oder über unabhängige Routen gesendet werden.

Wenn Sie die Hybridbereitstellung konfigurieren, müssen Sie festlegen, wie eingehende und ausgehende Nachrichten weitergeleitet werden sollen. Die Route von eingehenden und ausgehenden Nachrichten, die an Empfänger und von Empfängern in der lokalen und der Exchange Online-Organisation gesendet werden, hängt von folgenden Bedingungen ab:

  • Möchten Sie, dass eingehende Internet-E-Mails sowohl für lokale als auch für Exchange Online-Postfächer über Microsoft Office 365 und EOP oder Ihre lokale Organisation weitergeleitet werden?

    Sie können auswählen, ob eingehende Internet-E-Mails für beide Organisationen über die lokale Organisation oder über EOP und die Exchange Online-Organisation weitergeleitet werden. Eingehende Nachrichten für beide Organisationen werden abhängig davon, ob der zentrale E-Mail-Transport in der Hybridbereitstellung aktiviert ist, weitergeleitet.

  • Sollen ausgehende Nachrichten von Ihrer Exchange Online-Organisation an externe Empfänger über Ihre lokale Organisation (zentraler E-Mail-Transport) weitergeleitet werden, oder sollen sie direkt an das Internet weitergeleitet werden?

    Beim zentralen E-Mail-Transport können Sie alle E-Mails von Postfächern in der Exchange Online-Organisation über die lokale Organisation weiterleiten, bevor sie an das Internet zugestellt werden. Diese Methode ist hilfreich in Richtlinientreueszenarien, in denen alle Nachrichten an das und vom Internet von lokalen Servern verarbeitet werden müssen. Alternativ können Sie Exchange Online so konfigurieren, dass Nachrichten von externen Empfängern direkt an das Internet zugestellt werden.

    Hinweis

    Der zentrale E-Mail-Transport wird nur für Organisationen empfohlen, die aufgrund der Richtlinientreue spezielle Transportanforderungen haben. Für typische Exchange-Organisationen empfiehlt es sich, den zentralen E-Mail-Transport nicht zu aktivieren.

  • Möchten Sie in Ihrer lokalen Organisation einen Edge-Transport-Server bereitstellen?   

    Wenn die der Domäne beigetretenen internen hybriden Hub-Transport-Server nicht direkt für das Internet zugänglich sein sollen, können Sie im Umkreisnetzwerk Edge-Transport-Server bereitstellen. Weitere Informationen zum Hinzufügen eines Edge-Transport-Servers zu Ihrer Hybridbereitstellung finden Sie unter: Grundlegendes zu Edge-Transport-Servern in Exchange 2007-Hybridbereitstellungen

Unabhängig davon, wie Sie Nachrichten an das und vom Internet weiterleiten möchten, wird für alle Nachrichten, die zwischen der lokalen und der Exchange Online-Organisation gesendet werden, der sichere Transport verwendet. Weitere Informationen finden weiter unten in diesem Thema unter "Vertrauenswürdige Kommunikation".

Weitere Informationen dazu, wie diese Optionen das Nachrichtenrouting in Ihrer Organisation beeinflussen, finden Sie unter Grundlegendes zu Transportrouting in Exchange 2007-Hybridbereitstellungen.

Exchange Online Protection in Hybridbereitstellungen

EOP ist ein von Microsoft bereitgestellter Onlinedienst, der von vielen Unternehmen zum Schutz ihrer lokalen Organisationen vor Viren, Spam, betrügerischen Phishing-Versuchen und Richtlinienverletzungen verwendet wird. In Office 365 wird EOP zum Schutz von Exchange Online-Organisationen vor eben diesen Bedrohungen verwendet. Wenn Sie sich für Office 365 registrieren, wird automatisch ein EOP-Unternehmen erstellt, das an Ihre Exchange Online-Organisation gebunden ist.

Ein EOP-Unternehmen enthält viele der E-Mail-Transporteinstellungen, die für Ihre Exchange Online-Organisation konfiguriert werden können. Sie können u. a. angeben, welche SMTP-Domänen von bestimmten IP-Adressen stammen müssen, ein TLS- und ein SSL-Zertifikat (Secure Sockets Layer) benötigen und Antispamfilterung oder Kompatibilitätsrichtlinien umgehen können. FOPE fungiert quasi als Eingangstür zu Ihrer Exchange Online-Organisation. Alle Nachrichten, egal, woher sie stammen, müssen EOP durchlaufen, bevor sie die Postfächer in Ihrer Exchange Online-Organisation erreichen. Ebenso müssen alle Nachrichten, die von Ihrer Exchange Online-Organisation gesendet werden, EOP durchlaufen, bevor sie das Internet erreichen.

Wenn Sie eine Hybridbereitstellung mithilfe des Assistenten zum Verwalten von Hybridkonfigurationen konfigurieren, werden alle Transporteinstellungen automatisch in Ihrer lokalen Organisation und im EOP-Unternehmen konfiguriert, das für Ihre Exchange Online-Organisation eingerichtet ist. Der Assistent für die Verwaltung von Hybridkonfigurationen konfiguriert alle eingehenden und ausgehenden Connectors sowie andere Einstellungen in diesem EOP-Unternehmen, um zwischen der lokalen und der Exchange Online-Organisation gesendete Nachrichten zu sichern und Nachrichten an das richtige Ziel weiterzuleiten. Wenn Sie benutzerdefinierte Transporteinstellungen für Ihre Exchange Online-Organisation konfigurieren möchten, konfigurieren Sie diese auch in diesem EOP-Unternehmen.

Vertrauenswürdige Kommunikation

Zum Schutz der Empfänger in der lokalen und der Exchange Online-Organisation und um sicherzustellen, dass zwischen diesen Organisationen gesendete Nachrichten nicht abgefangen und gelesen werden, wird TLS für den Transport zwischen der lokalen Organisation und EOP erzwungen. Der TLS-Transport verwendet SSL-Zertifikate (Secure Sockets Layer), die von einer vertrauenswürdigen externen Zertifizierungsstelle stammen. Für Nachrichten zwischen EOP und der Exchange Online-Organisation wird auch TLS verwendet.

Wenn der erzwungene TLS-Transport verwendet wird, prüfen der sendende und der empfangende Server das Zertifikat, das auf dem jeweils anderen Server konfiguriert ist. Der Antragstellername oder einer der alternativen Antragstellernamen, die für die Zertifikate konfiguriert sind, muss mit dem FQDN übereinstimmen, den ein Administrator explizit auf dem jeweils anderen Server angegeben hat. Wenn EOP beispielsweise so konfiguriert ist, dass Nachrichten akzeptiert und geschützt werden, die über den FQDN "hybrid.contoso.com" gesendet wurden, muss der sendende lokale Hybridserver über ein SSL-Zertifikat mit "hybrid.contoso.com" im Feld für den Antragstellernamen oder den alternativen Antragstellernamen verfügen. Ist diese Voraussetzung nicht erfüllt, wird die Verbindung abgelehnt.

Hinweis

Der verwendete FQDN muss nicht mit dem E-Mail-Domänennamen der Empfänger übereinstimmen. Die einzige Bedingung ist, dass der FQDN im Antragstellernamen oder in einem alternativen Antragstellernamen mit dem FQDN übereinstimmt, den der empfangende oder sendende Server entsprechend der Konfiguration akzeptiert.

Zusätzlich zur Verwendung von TLS werden Nachrichten zwischen den Organisationen als "intern" behandelt. Durch diese Vorgehensweise können Nachrichten Antispameinstellungen und andere Dienste umgehen.

Weitere Informationen zu SSL-Zertifikaten und Domänensicherheit finden Sie unter Grundlegendes zu Zertifikatanforderungen für Hybridbereitstellungen, Grundlegendes zu TLS-Zertifikaten

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.