Noções Básicas de Transporte em uma Implantação Híbrida

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2016-04-20

O Service Pack 2 (SP2) para Microsoft Exchange Server 2010 permite a você hospedar alguns usuários do Exchange em uma organização do Exchange Online hospedada no Microsoft Office 365 para empresas, ao mesmo tempo mantendo uma experiência perfeita de uso de mensagens para todos os usuários. Este tópico fornece uma visão geral de como os servidores de Transporte são usados nesse cenário.

Uma implantação híbrida exige pelo menos um servidor executando o Exchange Server 2010 SP2 em sua organização. Se você estiver atualmente executando uma versão anterior do Exchange, é necessário adicionar um ou mais servidores do Exchange 2010 SP2 para atuarem como gateways para a organização do Exchange Online. Fazendo isso, você pode viabilizar uma implantação híbrida sem a necessidade de atualizar toda a implantação existente. Esses servidores do Exchange 2010 são conhecidos como servidores híbridos.

Sua organização deve conter um ou mais servidores híbridos com as funções de servidor de Transporte de Hub e Acesso para Cliente instaladas. A função de servidor Caixa de Correio também é necessária para organizações do Exchange Server 2003 que precisem dar suporte à troca de informações de disponibilidade entre suas caixas de correio locais do Exchange 2003 e as caixas de correio do Exchange Online. Adicionar esse servidor híbrido à sua organização é equivalente a introduzir seu primeiro servidor do Exchange 2010 à sua implantação. Para saber mais sobre implantações híbridas, confira Compreender Implantações Híbridas com o Exchange 2010 SP3.

Sumário

Fluxo de emails

Recursos de Transporte

Implantação híbrida em um transporte de borda

Fluxo de emails

O fluxo de emails entre sua implantação local e sua organização do Exchange Online é mantido seguro e protegido pelo protocolo TLS (Transport Layer Security). O ponto de extremidade do protocolo TLS em sua organização local precisa ser um servidor de Transporte de Hub ou Transporte de Borda do Exchange 2010 SP2 executando o Exchange 2010 SP1 ou SP2.

Sua organização local e a organização do Exchange Online enviam mensagens diretamente uma para a outra por meio de um canal seguro. Para permitir esse fluxo de emails, um conector de envio híbrido dedicado é automaticamente criado pelo assistente Gerenciar Configuração Híbrida. Somente um servidor de Transporte de Hub sendo executado no Exchange 2010 SP2 ou servidor(es) de origem de Transporte de Borda sendo executado(s) no Exchange 2010 SP1 ou Exchange 2010 SP2 podem ser selecionados para esse conector de envio. Se estiver executando o Exchange 2010 SP2 em sua organização, qualquer servidor de Transporte de Hub ou de Transporte de Borda poderá agir como gateway para sua organização do Exchange Online. Se estiver executando versões mais antigas do Exchange, você terá que implantar um servidor híbrido de Transporte de Hub ou Transporte de Borda para encaminhar mensagens entre suas duas organizações.

Em uma implantação híbrida, cada organização trata a outra como uma organização interna. Não há praticamente nenhuma diferença entre um usuário hospedado em seus servidores locais e um usuário do Exchange Online quando o Exchange está processando mensagens. Os filtros de antispam também são ignorados em mensagens entre as duas organizações.

Fluxo de emails autenticado e protegido

Embora as mensagens entre organizações locais e organizações do Exchange Online passem por um túnel lógico, elas ainda são transferidas pela Internet e, portanto, precisam de proteção contra usuários mal intencionados. O Exchange 2010 oferece as seguintes medidas de proteção:

• Privacidade de canal   As partes não autorizadas não podem acessar nenhum pacote capturado.

• Autenticação de receptor   Os remetentes são protegidos de pessoas sem autorização que se façam passar por destinatários válidos.

• Autenticação de remetente   Os receptores são protegidos de pessoas sem autorização que se façam passar por remetentes válidos.

Privacidade de canal

Para proteger a organização local e a organização baseada na nuvem, o Exchange 2010 força o TLS usando certificados de protocolo SSL fornecidos por uma CA (autoridade de certificação) terceirizada e confiável. Não há suporte para certificados autoassinados para privacidade de canal em uma implantação híbrida. Todas as mensagens enviadas pelo canal protegido por TLS são criptografadas.

Os servidores de envio e recebimento examinam o certificado configurado no outro servidor. O nome do assunto, ou um dos SANs (nomes de assunto alternativos), configurado nos certificados, deve corresponder ao FQDN (nome de domínio totalmente qualificado) que um administrador especificou explicitamente no outro servidor. Por exemplo, se a organização do Exchange Online estiver configurada para aceitar e proteger mensagens enviadas do FQDN mail.contoso.com, os servidores híbridos locais de envio devem ter um certificado SSL com mail.contoso.com no nome do assunto ou no SAN. Se essa exigência não for atendida, a conexão será recusada.

Autenticação do receptor

Além das habituais verificações de certificados realizadas durante o TLS, os conectores de envio que participam do fluxo de emails de implantação híbrida também realizam validação de domínio. A validação de domínio é um recurso de segurança adicional que reduz o risco de usuários mal-intencionados se fazerem passar por um servidor de recebimento. Ao habilitar a validação de domínio em um conector de Envio, o servidor de Transporte realiza as seguintes verificações de segurança na conexão de saída:

• O canal de comunicação é criptografado usando TLS.

• O certificado do servidor de recebimento é validado e são realizadas verificações na lista de revogação.

• O servidor de Transporte verifica se o FQDN no certificado do servidor de recebimento corresponde ao domínio configurado nas propriedades do conector de Envio.

Autenticação do remetente

Para impedir que um usuário mal-intencionado se faça passar por um remetente válido, cada mensagem é autenticada para verificar se foi enviada pelo remetente especificado. Dentro de uma organização do Exchange, a autenticação de remetente é verificada com o uso de cabeçalhos de mensagem personalizados adicionados pelos servidores do Exchange. Para mensagens enviadas entre a organização local e organizações do Exchange Online, esses valores de cabeçalho são criptografados na origem e depois descriptografados e verificados no destino. Durante o trânsito, esses cabeçalhos não podem ser descriptografados por terceiros que possam capturar a mensagem.

Mensagens de e para a Internet

Os destinatários em organizações locais e do Exchange Online, geralmente, têm o mesmo endereço de resposta, como @contoso.com. Como eles têm o mesmo endereço de resposta, todas as mensagens para destinatários em ambas as organizações devem seguir a mesma rota de entrada. Todas as mensagens de entrada podem ser entregues para a organização local ou para a organização do Exchange Online. Sua decisão sobre a rota das mensagens de entrada depende de onde suas caixas de correio estão localizadas, se você dispõe de um Microsoft Forefront Online for Protection (FOPE) e outros fatores.

Mensagens enviadas de destinatários nas organizações locais e nas organizações do Exchange Online podem seguir rotas iguais ou diferentes para a Internet. Mensagens enviadas de destinatários locais são sempre enviadas diretamente para a Internet. Mensagens enviadas de destinatários do Exchange Online podem ser enviadas diretamente para a Internet ou encaminhadas primeiro através de sua organização local. Você pode encaminhar as mensagens do Exchange Online através de sua organização local se quiser aplicar políticas de conformidade a essas mensagem primeiro.

Existem muitas considerações que você deve fazer quando estiver planejando o transporte de sua implantação híbrida, por exemplo, usar o FOPE para proteger a organização local, configurar um servidor de Transporte de Borda e como encaminhar mensagens de entrada e saída da Internet. Para obter informações detalhadas sobre essas considerações e ajuda a decidir quais são as melhores opções para sua organização, confira Noções Básicas sobre Opções de Transporte em Implantações Híbridas do Exchange 2003.

Recursos de Transporte

Esta seção trata do uso de diversos recursos de transporte em uma implantação híbrida. Estas informações presumem que você esteja executando o Exchange 2010 em sua implantação local, já que alguns dos recursos descritos aqui não se aplicam a versões anteriores do Exchange. Para saber mais, confira os seguintes tópicos:

• Atualização de transporte do Exchange 2007

• Atualização de transporte do Exchange 2003

Regras de Transporte e registro em diário

As regras de transporte e de registro em diário não são sincronizadas entre sua implantação local e sua organização do Exchange Online. Portanto, você deve se certificar de manter a consistência das regras que implementar em ambas as organizações.

Notificações de Entrega

Os usuários podem acompanhar as mensagens que enviaram e receberam em um implantação híbrida, desde que os relatórios de entrega estejam habilitados para os relacionamentos organizacionais correspondentes para a organização local e a organização do Exchange Online. Por padrão, esse recurso é habilitado em uma implantação híbrida. Porém, tenha em mente que se houver versões mais antigas do Exchange em sua organização local, os relatórios de entrega não exibirão a entrega final aos destinatários hospedados em servidores herdados, mas sim que a mensagem foi transferida para o sistema Exchange herdado. Isso não ocorre por causa de uma limitação da implantação híbrida, mas por causa de mudanças na implementação do acompanhamento de mensagens no Exchange 2010. Para obter mais informações, confira a seção “Acompanhamento de mensagens em cada versão” em Atualização de transporte do Exchange 2007.

MailTips

As Dicas de Email foram projetadas para funcionar perfeitamente em uma implantação híbrida. Se um usuário local endereçar uma mensagem a um destinatário em sua organização do Exchange Online, seus servidores locais de Acesso para Cliente contatam os servidores de Acesso para Cliente na organização do Exchange Online e solicitam dados de Dicas de Email para a mensagem. Diante dessa solicitação, os servidores de Acesso para Cliente na organização do Exchange Online processam a solicitação de Dicas de Email, avaliam a mensagem para verificar se há dicas e retornam todas as dicas aplicáveis aos seus servidores de Acesso para Cliente. O processo é o mesmo quando um usuário em sua organização do Exchange Online endereça uma mensagem a um destinatário local.

Em uma implantação híbrida, tenha em mente as seguintes diferenças relacionadas a Dicas de Email:

• A Dica de Email de Destinatários Externos só é avaliada na organização local. Isso acontece porque a organização do Exchange Online não pode determinar quais destinatários seriam considerados externos para um usuário local.

• A quantidade de destinatários externos em um grupo de Dica de Email só é avaliada para os grupos locais usando os dados de Métricas de Grupo pelo mesmo motivo.

• A Dica de Email de Mensagem com Tamanho Excessivo é avaliada tanto localmente quanto na organização remota. Sendo assim, é importante certificar-se de que as restrições de tamanho de mensagens em sua organização local correspondam às configuradas para sua organização do Exchange Online, evitando uma experiência inconsistente para seus usuários.

• Todos os objetos na organização remota são representados como objetos habilitados para email na organização local. Por exemplo, uma caixa de correio em sua organização do Exchange Online é representada como um usuário de email em sua organização local. Como todos os objetos podem ter Dicas de Email Personalizadas, você pode configurar duas Dicas de Email Personalizadas para o mesmo destinatário. Nesse caso, apenas a Dica de Email Personalizada será exibida. Os usuários locais verão a Dica de Email Personalizada configurada para o objeto local, e os usuários baseados na nuvem verão a Dica de Email Personalizada configurada para o objeto do Exchange Online.

• Também é possível ter uma configuração incompatível para destinatários moderados e restritos. Por exemplo, uma caixa de correio local pode ser restrita, mas o usuário de email correspondente em sua organização do Exchange Online pode não ser. Nesse cenário, a Dica de Email de Destinatário Restrito será exibida até mesmo para um usuário do Exchange Online. A Dica de Email de Destinatário Moderado funciona de maneira semelhante.

Dicas de Email são configuradas para trabalhar em uma implantação híbrida por padrão. No entanto, é possível personalizar a forma como as Dicas de Email são tratadas caso você queira experiências diferentes para seus usuários do Exchange Online. Para obter mais informações, confira a seção “Arquitetura de Dicas de Email” em Noções Básicas Sobre Dicas de Email e a seção “Usar o Shell para configurar as Dicas de Email para relações organizacionais” em Definir Configurações Organizacionais para MailTips.

Moderação de Mensagem

A funcionalidade de moderação de mensagens de implantação híbrida depende dos seguintes requisitos:

• Sincronização de atributos de moderação de objetos habilitados para email.

• Pelo menos uma caixa de correio de arbitragem criada em sua organização local.

• Pelo menos uma caixa de correio de arbitragem criada em sua organização do Exchange Online. Você precisará criar manualmente um contato de email com um endereço SMTP na nuvem e definir o DomainType como InternalRelay.

• Preservação dos cabeçalhos e do formato TNEF entre as duas organizações.

Quando você configura uma implantação híbrida com Office 365, todos os requisitos descritos acima são atendidos. Você não precisa fazer nada adicional para que a moderação de mensagens funcione.

Para saber mais sobre os tipos de domínio, confira Noções Básicas Sobre Domínios Aceitos.

Implantação híbrida em um transporte de borda

O fluxo de emails em uma implantação híbrida requer um servidor do Exchange 2010 SP2 como ponto de extremidade TLS para sua implantação local. Esse é normalmente um servidor de Transporte de Hub do Exchange 2010 SP2 em sua organização local. Entretanto, se você não deseja expor seu servidor de Transporte de Hub interno diretamente para a Internet, é possível usar um servidor de Transporte de Borda do Exchange 2010 SP2 como ponto de extremidade TLS. Se você usar um servidor de Transporte de Borda, ele lidará com todas as mensagens entre sua organização local e a organização do Exchange Online em nome do servidor de Transporte de Hub. Você também pode optar por usar um servidor de Transporte de Borda para lidar com as mensagens enviadas e recebidas da Internet para sua organização local.

Para saber mais sobre os servidores de Transporte de Borda em sua implantação híbrida, confira:

• Noções Básicas sobre Servidores de Transporte de Borda em Implantações Híbridas do Exchange 2003

Se você usa servidores de Transporte de Borda do Exchange 2007 em sua organização, eles devem ser atualizados para o Exchange 2010 SP2 se você planejar utilizá-los em uma implantação híbrida.

 © 2010 Microsoft Corporation. Todos os direitos reservados.