Descripción del transporte en una implementación híbrida

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2016-04-20

Service Pack 2 (SP2) para Microsoft Exchange Server 2010 proporciona la capacidad de alojar algunos de los usuarios de Exchange en una organización de Exchange Online hospedada en Microsoft Office 365 para empresas y, al mismo tiempo, ofrece una experiencia de mensajería eficaz para todos los usuarios. En este tema, se proporciona información general acerca de cómo se usan los servidores de transporte en este escenario.

Una implementación híbrida requiere, al menos, que un servidor ejecute Exchange Server 2010 SP2 en su organización. Si actualmente está ejecutando una versión anterior de Exchange, deberá agregar uno o más servidores de Exchange 2010 SP2 para que actúen como puerta de enlace a la organización de Exchange Online. De esta manera, puede habilitar una implementación híbrida sin tener que actualizar su implementación existente completa. Estos servidores de Exchange 2010 son conocidos como servidores híbridos.

La organización debe contener uno o más servidores híbridos con los roles de servidor Transporte de concentradores y Acceso de clientes instalados. También se necesita el rol de servidor Buzón de correo para organizaciones de Exchange Server 2003 que deban admitir el intercambio de información disponible entre los buzones locales de Exchange 2003 y los buzones basados en Exchange Online. Agregar este servidor híbrido a su organización equivale a incluir un primer servidor Exchange 2010 en la implementación. Para obtener más información acerca de las implementaciones híbridas, consulte Descripción de las implementaciones híbridas con Exchange 2010 SP3.

Contenido

Flujo del correo

Características de transporte

Transporte perimetral en una implementación híbrida

Flujo del correo

El flujo del correo entre su implementación local y la organización de Exchange Online está asegurado y protegido por la Seguridad de la capa de transporte (TLS). El punto de conexión de TLS en una organización local debe ser un servidor de transporte perimetral o de transporte de concentradores de Exchange 2010 SP2 que ejecute Exchange 2010 SP1 o SP2.

La organización local y la organización basada de Exchange Online se envían mensajes directamente mediante un canal seguro. Para habilitar este flujo de correo, el Asistente para administración de configuración híbrida crea automáticamente un conector de envío. Para este conector de envío se pueden seleccionar solamente servidores de transporte de concentradores que se ejecuten en Exchange 2010 SP2 o servidores de transporte perimetral que se ejecuten en Exchange 2010 SP1 o Exchange 2010 SP2. Si se ejecuta Exchange 2010 SP2 en la organización, cualquier servidor de transporte de concentradores puede actuar como puerta de enlace a la organización de Exchange Online. Si se ejecutan versiones anteriores de Exchange, se debe implementar un servidor híbrido de transporte de concentradores o de transporte perimetral para enrutar los mensajes entre las dos organizaciones.

En una implementación híbrida, cada organización trata a la otra como una organización interna. Prácticamente no existe diferencia entre un usuario hospedado en los servidores locales y un usuario de Exchange Online cuando Exchange procesa los mensajes. Además, los filtros contra correo no deseado se omiten para los mensajes entre las dos organizaciones.

Flujo del correo seguro y autenticado

Si bien los mensajes entre las organizaciones locales y las de Exchange Online atraviesan un túnel lógico, también se transfieren por Internet y, por lo tanto, deben protegerse contra usuarios maliciosos. Exchange 2010 proporciona las siguientes medidas de protección:

• Privacidad de canal   Las partes no autorizadas no pueden obtener acceso a los paquetes capturados.

• Autenticación del destinatario   Se protege a los remitentes contra los usuarios no autorizados que suplantan a destinatarios válidos.

• Autenticación del remitente   Se protege a los destinatarios contra los usuarios no autorizados que suplantan a remitentes válidos.

Privacidad de canales

Para proteger organizaciones locales y basadas en la nube, Exchange 2010 obliga a TLS a usar certificados de Capa de sockets seguros (SSL) suministrados por una entidad emisora de certificados (CA) de terceros de confianza. No se admiten certificados autofirmados para privacidad de canal en una implementación híbrida. Todos los mensajes enviados mediante el canal protegido por TLS se cifran.

Los servidores de envío y recepción examinan el certificado configurado en el otro servidor. El nombre de sujeto o uno de los nombres alternativos de sujeto (SAN) configurados en los certificados deben coincidir con el nombre de domino completo (FQDN) que un administrador haya especificado de manera explícita en el otro servidor. Por ejemplo, si se configura la organización de Exchange Online para aceptar y proteger los mensajes enviados desde el FQDN de mail.contoso.com, los servidores híbridos locales de envío deben tener un certificado SSL con mail.contoso.com en cualquier nombre de sujeto o SAN. Si no se cumple este requisito, se rechaza la conexión.

Autenticación del destinatario

Además de las comprobaciones de certificado regulares realizadas durante el proceso de TLS, los conectores de envío que participan en el flujo de correo de la implementación híbrida también realizan una validación de dominio. La validación del dominio es una función de seguridad adicional que reduce el riesgo de que usuarios maliciosos suplanten el servidor de recepción. Cuando la validación de dominio está habilitada en un conector de envío, el servidor de transporte realiza las siguientes comprobaciones de seguridad en la conexión saliente:

• El canal de comunicación se cifra mediante TLS.

• Se valida el certificado del servidor de recepción y se realizan las comprobaciones de la lista de revocación.

• El servidor de transporte comprueba que el FQDN en el certificado del servidor de recepción coincida con el dominio configurado en las propiedades del conecto de envío.

Autenticación del remitente

A fin de evitar que un usuario malicioso suplante un remitente válido, todos los mensajes se autentican para comprobar que hayan sido enviados por un remitente especificado. En una organización de Exchange, la autenticación del remitente se comprueba mediante encabezados de mensaje personalizados que agregan los servidores Exchange. Para los mensajes enviados entre las organizaciones locales y de Exchange Online, estos valores de los encabezados se cifran en el origen y, luego, se descifran y se comprueban en el destino. Mientras se encuentran en tránsito, estos encabezados no pueden descifrarse por terceros que podrían capturar el mensaje.

Correo hacia y desde Internet

Los destinatarios en organizaciones de Exchange Online y locales normalmente tienen la misma dirección de respuesta, como @contoso.com Debido a que tienen la misma dirección de respuesta, todos los mensajes a destinatarios en ambas organizaciones deben seguir la misma ruta de entrada. Todos los mensajes entrantes se pueden entregar tanto a la organización local como a la organización de Exchange Online. El lugar al que decidirá enrutar los mensajes entrantes dependerá de dónde se ubiquen la mayoría de los buzones de correo, de dónde tenga Microsoft Forefront Online for Protection (FOPE) y de otros factores.

Los mensajes enviados desde destinatarios en las organizaciones local y de Exchange Online pueden seguir rutas iguales o diferentes a Internet. Los mensajes enviados desde destinatarios locales siempre se envían directamente a Internet. Los mensajes enviados desde los destinatarios de Exchange Online se pueden enviar directamente a Internet o se pueden enrutar primero mediante la organización local. Es posible que desee enrutar los mensajes de Exchange Online mediante la organización local si desea aplicarles primero directivas de cumplimiento.

Deberá tener en cuenta diversas consideraciones cuando planee el transporte de la implementación híbrida, como si usará FOPE para proteger la organización local o si tendrá un servidor de transporte perimetral configurado, y cómo deseará enrutar el correo entrante y saliente de Internet. Para obtener información detallada acerca de estas consideraciones y ayuda para decidir cuáles son las mejores opciones para su organización, consulte Información acerca de las opciones de transporte en implementaciones híbridas de Exchange 2003.

Características de transporte

En esta sección, se analiza cómo se usan las diferentes características de transporte en una implementación híbrida. En este caso, la información supone que se está ejecutando Exchange 2010 para la implementación local, puesto que algunas de las características descritas aquí no son aplicables a las versiones anteriores de Exchange. Para obtener más información, consulte los siguientes temas:

• Actualizar el transporte de Exchange 2007

• Actualización desde el servicio de transporte de Exchange 2003

Reglas de transporte y registro en diario

Las reglas de transporte y las reglas del diario no están sincronizadas entre la implementación local y la organización de Exchange Online. Por lo tanto, debe asegurarse de que las reglas implementadas sean coherentes en ambas organizaciones.

Informes de entrega

Los usuarios pueden realizar un seguimiento de los mensajes enviados y recibidos en una implementación híbrida siempre que los informes de entrega estén habilitados para las relaciones de organización correspondientes para organizaciones locales y de Exchange Online. De forma predeterminada, esta función se habilita en una implementación híbrida. No obstante, tenga en cuenta que, si tiene versiones anteriores de Exchange en la implementación local, los informes de entrega no mostrarán la entrega final a los destinatarios hospedados en los servidores heredados. En cambio, el mensaje se transferirá al sistema Exchange heredado. Esta no es una limitación de la implementación híbrida, sino que son cambios en la implementación del seguimiento de mensajes en Exchange 2010. Para obtener más información, consulte la sección "Seguimiento de mensajes entre distintas versiones" en Actualizar el transporte de Exchange 2007.

Información sobre correo

La información sobre correo funciona perfectamente en implementaciones híbridas. Si un usuario local envía un mensaje a un destinatario de su organización de Exchange Online, los servidores de acceso de clientes locales entran en contacto con los servidores de acceso de clientes en la organización de Exchange Online y solicitan información sobre correo para el mensaje. Según esta solicitud, los servidores de acceso de clientes en la organización de Exchange Online procesan la solicitud de información sobre correo, evalúan la del mensaje y devuelven las que corresponden a los servidores de acceso de clientes locales. El proceso es el mismo cuando un usuario en la organización de Exchange Online envía un mensaje a un destinatario local.

En una implementación híbrida, tenga en cuenta las diferencias siguientes con respecto a la información sobre correo:

• La información sobre correo de destinatarios externos se evalúa únicamente en la organización local. Esto se debe a que la organización de Exchange Online no puede determinar cuáles son los destinatarios que se considerarían externos para un usuario local.

• Por la misma razón, la cantidad de destinatarios externos en la información sobre correo de grupo únicamente se evalúa para los grupos locales mediante los datos de métrica de grupo.

• La información sobre correo electrónico Mensaje sobredimensionado se evalúa localmente y en la organización remota. Por lo tanto, es importante asegurarse de que las restricciones de tamaño de los mensajes para la organización local coincida con las configuradas para la organización de Exchange Online, a fin de evitar una experiencia inestable para los usuarios.

• Todos los objetos en la organización remota están representados como objetos habilitados para correo electrónico en la organización local. Por ejemplo, un buzón en una organización de Exchange Online se representa como un usuario de correo en la organización local. Debido a que todos los objetos pueden tener información sobre correo personalizada, potencialmente puede configurar dos tipos de información sobre correo diferentes para el mismo destinatario. En este caso, únicamente aparecerá la información sobre correo personalizada local. Los usuarios locales verán la información sobre correo personalizada configurada para el objeto local; los usuarios de Exchange Online verán la información sobre correo configurada para el objeto basado en la nube.

• Además, es posible tener una configuración que no coincida para destinatarios moderados o restringidos. Por ejemplo, se puede restringir un buzón de correo local pero no se puede restringir el usuario de correo correspondiente en la organización de Exchange Online. En este escenario, la información sobre correo de destinatario restringido se mostrará aun para un usuario de Exchange Online. La información sobre correo de destinatario moderado funciona del mismo modo.

La información sobre correo está configuradas para funcionar en una implementación híbrida de forma predeterminada. No obstante, es posible personalizar la forma de administrar la información sobre correo del destinatario si prefiere experiencias diferentes para los usuarios locales y de Exchange Online. Para obtener más información, consulte la sección "Arquitectura de las sugerencias de correo electrónico" en Descripción de MailTips y la sección "Utilice el comando Shell para configurar la información sobre correo para las relaciones organizativas" en Establecer valores de configuración organizativos para sugerencias de correo electrónico.

Moderación de mensajes

La funcionalidad de moderación de mensajes de implementación híbrida depende de los requisitos siguientes:

• Sincronización de los atributos de moderación de los objetos habilitados para correo electrónico.

• Al menos un buzón de arbitraje creado en la organización local.

• Al menos un buzón de arbitraje creado en la organización de Exchange Online. Necesitará crear manualmente un contacto de correo con una dirección SMTP en la nube y establecer el elemento DomainType como InternalRelay.

• Preservación de encabezados y formato TNEF entre las dos organizaciones.

Cuando configura una implementación híbrida con Office 365, se cumplen todos los requisitos de arriba. No necesita hacer nada adicional para que funcione la moderación de mensajes.

Para obtener más información acerca de los tipos de dominios, consulte Descripción de los dominios aceptados.

Transporte perimetral en una implementación híbrida

El flujo del correo en una implementación híbrida requiere un servidor de Exchange 2010 SP2 como el punto de conexión de TLS para la implementación local. Esto es generalmente un servidor de transporte de concentradores de Exchange 2010 SP2 en la organización local. Sin embargo, si no desea exponer el servidor interno de transporte de concentradores directamente a Internet, puede usar un servidor de transporte perimetral de Exchange 2010 SP2 como punto de conexión de TLS. Si usa un servidor de transporte perimetral, ese servidor administrará el correo entre la organización local y la organización de Exchange Online en nombre del servidor de transporte de concentradores. También puede elegir usar un servidor de transporte perimetral para administrar el correo enviado desde y hacia los destinatarios de Internet para la organización local.

Para obtener más información acerca de los servidores de transporte perimetral en la implementación híbrida, consulte:

• Información acerca de los servidores Transporte perimetral en implementaciones híbridas de Exchange 2003

Si está usando los servidores de transporte perimetral de Exchange 2007 en la organización, se deberán actualizar a Exchange 2010 SP2 si planea usarlos en una implementación híbrida.

 © 2010 Microsoft Corporation. Reservados todos los derechos.