Comprendre le transport dans un déploiement hybride
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-04-20
Le Service Pack 2 (SP2) pour Microsoft Exchange Server 2010 vous permet d’héberger certains utilisateurs d’Exchange dans une organisation Exchange Online hébergée dans Microsoft Office 365 pour entreprises tout en offrant une expérience de messagerie transparente à l’ensemble des utilisateurs. Cette rubrique offre une vue d’ensemble de la manière dont les serveurs de transport sont utilisés dans ce scénario.
Un déploiement hybride requiert au minimum un serveur exécutant Exchange Server 2010 SP2 dans votre organisation. Si vous utilisez actuellement une précédente version d’Exchange, vous devez ajouter un ou plusieurs serveurs Exchange 2010 SP2. Ces derniers feront office de passerelles vers l’organisation Exchange Online. Vous pouvez ainsi activer un déploiement hybride sans avoir à mettre à niveau tout votre déploiement existant. Ces serveurs Exchange 2010 s’appellent des serveurs hybrides.
Votre organisation doit comporter un ou plusieurs serveurs hybrides sur lesquels sont installés des rôles serveur de transport Hub et d’accès au client. Le rôle serveur de boîtes aux lettres est également requis pour des organisations Exchange Server 2003 chargées d’assurer l’échange des informations de disponibilité entre les boîtes aux lettres Exchange 2003 locales et les boîtes aux lettres Exchange Online. L’ajout de ce serveur hybride à votre organisation équivaut à l’introduction de votre premier serveur Exchange 2010 dans votre déploiement. Pour en savoir plus sur les déploiements hybrides, voir Présentation des déploiements hybrides avec Exchange 2010 SP3.
Contenu de cette rubrique
Flux de messagerie
Fonctionnalités de transport
Transport Edge dans un déploiement hybride
Flux de messagerie
Le flux de messagerie entre votre déploiement local et votre organisation Exchange Online est sécurisé et protégé par le protocole TLS (Transport Layer Security). Le point de terminaison TLS de votre organisation locale doit être un serveur de transport Hub ou Edge Exchange 2010 SP2 exécutant Exchange 2010 SP1 ou SP2.
Votre organisation locale et votre organisation Exchange Online communiquent directement via un canal sécurisé. Pour activer ce flux de messagerie, un connecteur d’envoi hybride dédié est automatiquement créé par l’Assistant Gestion de la configuration hybride. Vous ne pouvez sélectionner qu’un seul serveur de transport Hub fonctionnant sur un ou plusieurs serveurs source Exchange 2010 SP2 ou de transport Edge exécutés sur Exchange 2010 SP1 ou Exchange 2010 SP2 pour ce connecteur d’envoi. Si votre organisation utilise Exchange 2010 SP2, n’importe quel serveur de transport Hub ou Edge peut faire office de passerelle vers votre organisation Exchange Online. Si vous utilisez des versions antérieures d’Exchange, vous devez déployer des serveurs de transport Hub ou Edge hybrides pour acheminer les messages entre les deux organisations.
Dans un déploiement hybride, chaque organisation considère l’autre comme étant une organisation interne. Il n’y a pratiquement aucune différence entre un utilisateur hébergé sur vos serveurs locaux et un utilisateur d’Exchange Online quand Exchange traite les messages. Les filtres de courrier indésirable sont également ignorés pour les messages échangés entre les deux organisations.
Flux de messagerie sécurisé et authentifié
Bien que les messages entre les organisations locales et Exchange Online passent par un tunnel logique, ils sont toujours transférés via Internet et doivent donc être protégés contre des utilisateurs malveillants. Exchange 2010 fournit les mesures de protection suivantes :
Confidentialité du canal Les personnes non autorisées ne peuvent accéder à aucun paquet capturé.
Authentification du destinataire Les expéditeurs sont protégés contre des personnes non autorisées usurpant l’identité des destinataires valides.
Authentification de l’expéditeur Les destinataires sont protégés contre des personnes non autorisées usurpant l’identité des expéditeurs valides.
Confidentialité du canal
Pour protéger les organisations locales et sur le cloud, Exchange 2010 impose le protocole TLS en utilisant des certificats SSL (Secure Sockets Layer) fournis par une autorité de certification commerciale tierce approuvée (CA). Les certificats auto-signés ne sont pas pris en charge pour la confidentialité du canal dans un déploiement hybride. Tous les messages envoyés via le canal TLS protégé sont chiffrés.
Les serveurs d’envoi et de réception analysent le certificat configuré sur l’autre serveur. Le nom d’objet, ou l’un des autres noms d’objet (SAN), configuré sur les certificats doit correspondre au nom de domaine complet (FQDN) qu’un administrateur a spécifié de manière explicite sur l’autre serveur. Par exemple, si l’organisation Exchange Online est configurée pour accepter et sécuriser les messages envoyés à partir du nom de domaine complet mail.contoso.com, les serveurs hybrides locaux d’envoi doivent posséder un certificat SSL avec mail.contoso.com comme nom d’objet ou SAN. Si cette condition n’est pas remplie, la connexion est refusée.
Authentification du destinataire
Outre les vérifications régulières des certificats exécutées lors d’une authentification TLS, les connecteurs d’envoi participant au flux de messagerie d’un déploiement hybride exécutent également une validation du domaine. La validation de domaine est une fonctionnalité de sécurité supplémentaire qui réduit les risques provenant d’utilisateurs malveillants usurpant l’identité d’un serveur de réception. Lorsque la validation de domaine est activée sur un connecteur d’envoi, le serveur de transport procède aux vérifications de sécurité suivantes sur la connexion sortante :
Le canal de communication est chiffré à l’aide de TLS.
Le certificat du serveur de réception est validé et les vérifications de la liste de révocation sont effectuées.
Le serveur de transport vérifie que le nom de domaine complet sur le certificat du serveur de réception correspond au domaine configuré dans les propriétés du connecteur d’envoi.
Authentification de l’expéditeur
Pour empêcher un utilisateur malveillant d’usurper l’identité d’un expéditeur valide, chaque message est authentifié pour vérifier qu’il a été envoyé par l’expéditeur indiqué. Dans une organisation Exchange, l’authentification de l’expéditeur est vérifiée à l’aide des en-têtes de message personnalisés ajoutés par les serveurs Exchange. Pour les messages échangés entre les organisations locales et Exchange Online, la valeur de ces en-têtes est chiffrée à la source, puis déchiffrée et vérifiée à la destination. Lors du transit, ces en-têtes ne peuvent être déchiffrés par aucun tiers susceptible de capturer le message.
Courrier à destination et en provenance d’Internet
Les destinataires des organisations locales et Exchange Online ont généralement la même adresse de réponse, comme @contoso.com. Étant donné qu’ils ont la même adresse de réponse, l’ensemble des messages envoyés à des destinataires dans les deux organisations doivent suivre le même itinéraire entrant. Tous les messages entrants peuvent être remis soit à l’organisation locale, soit à l’organisation Exchange Online. Le canal choisi pour acheminer les messages entrants dépend de l’emplacement de la majorité de vos boîtes aux lettres, de l’utilisation ou non de Microsoft Forefront Online for Protection (FOPE) et d’autres facteurs.
Les messages envoyés par des destinataires des organisations locales et Exchange Online peuvent suivre des itinéraires identiques ou différents vers Internet. Les messages des destinataires locaux sont toujours envoyés directement sur Internet. Les messages des destinataires d’Exchange Online peuvent être envoyés directement sur Internet ou acheminés au préalable par le biais de votre organisation locale. Vous souhaiterez peut-être acheminer les messages Exchange Online par l’intermédiaire de votre organisation locale si vous souhaitez leur appliquer préalablement des stratégies de conformité.
De nombreux facteurs devront être pris en compte lors de la planification du transport pour votre déploiement hybride. Par exemple, vous devrez réfléchir à l’utilisation éventuelle de FOPE pour protéger votre organisation locale, la configuration d’un serveur de transport Edge et le mode d’acheminement souhaité pour le courrier Internet entrant et sortant. Pour de plus amples informations sur ces aspects et vous aider à choisir les options les mieux adaptées à votre entreprise, consultez la rubrique Présentation des options de transport dans des déploiements hybrides Exchange 2003.
Fonctionnalités de transport
Cette rubrique décrit la manière dont les différentes fonctionnalités de transport sont utilisées dans un déploiement hybride. Les informations indiquées dans cette section sont basées sur l’hypothèse que vous utilisez Exchange 2010 pour votre déploiement local car certaines fonctionnalités décrites ici ne s’appliquent pas aux versions précédentes d’Exchange. Pour plus d’informations, consultez les rubriques suivantes :
.gif "Remarque") Remarque : |
|---|
| Les fonctionnalités décrites dans cette section sont uniquement disponibles dans le cadre d’un déploiement hybride. |
Règles de transport et journalisation
Les règles de transport et de journalisation ne sont pas synchronisées entre votre déploiement local et votre organisation Exchange Online. Vous devez, par conséquent, veiller à ce que les règles implémentées soient cohérentes au sein des deux organisations.
Rapports de remise
Les utilisateurs peuvent suivre les messages qu’ils ont envoyés et reçus dans un déploiement hybride dès lors que les rapports de remise sont activés pour les relations organisationnelles correspondantes dans les organisations locales et Exchange Online. Par défaut, cette fonctionnalité est activée dans un déploiement hybride. Vous devez, toutefois, ne pas oublier que si vous disposez des versions précédentes d’Exchange dans votre déploiement local, les rapports de remise n’afficheront pas la livraison finale aux destinataires hébergés sur les serveurs hérités mais plutôt le message transféré vers le système Exchange hérité. Il ne s’agit pas d’une limitation liée au déploiement hybride, mais plutôt de la conséquence des modifications dans l’implémentation du suivi des messages dans Exchange 2010. Pour en savoir plus, consultez la section « Suivi des messages sur les différentes versions » dans la rubrique Mettre à niveau à partir d'un transport Exchange 2007.
MailTips
Les infos-courrier permettent de travailler de manière transparente dans un déploiement hybride. Si un utilisateur local adresse un message à un destinataire de votre organisation Exchange Online, vos serveurs d’accès au client locaux contactent les serveurs d’accès au client de l’organisation Exchange Online et demandent les données infos-courrier correspondant au message. À partir de cette demande, les serveurs d’accès au client de l’organisation Exchange Online traitent la demande d’infos-courrier, analysent le message et renvoient toutes les infos-courrier applicables à vos serveurs d’accès au client locaux. Le processus est identique lorsqu’un utilisateur de votre organisation Exchange Online adresse un message à un destinataire local.
Dans un déploiement hybride, gardez à l’esprit les différences suivantes concernant les infos-courrier :
L’info-courrier des destinataires externes est analysée dans l’organisation locale uniquement. En effet, l’organisation Exchange Online ne peut pas déterminer quels sont les destinataires externes d’un utilisateur local.
Le nombre des destinataires externes dans une info-courrier de groupe est uniquement analysé pour les groupes locaux à l’aide des données de mesure de groupe locales pour la même raison.
L’info-courrier de message trop volumineux est analysée localement et dans l’organisation distante. Il est, par conséquent, important de veiller à ce que les limites de taille du message dans votre organisation locale correspondent à celles configurées dans votre organisation Exchange Online afin d’éviter toute incohérence d’utilisation.
Tous les objets de l’organisation distante sont représentés en tant qu’objets à extension messagerie dans l’organisation locale. Une boîte aux lettres dans votre organisation Exchange Online, par exemple, est représentée par un utilisateur de messagerie dans votre organisation locale. Comme tous les objets peuvent avoir des infos-courrier personnalisées, vous pouvez configurer deux infos-courrier différentes pour le même destinataire. Dans ce cas, seule l’info-courrier locale personnalisée sera affichée. Les utilisateurs locaux verront l’info-courrier personnalisée configurée pour l’objet local et les utilisateurs sur le cloud verront l’info-courrier personnalisée configurée pour l’objet Exchange Online.
Il est également possible d’avoir des différences de configuration pour des destinataires modérés ou des destinataires restreints. Une boîte aux lettres locale, par exemple, peut être restreinte mais l’utilisateur de messagerie correspondant dans votre organisation Exchange Online peut ne pas être restreint. Dans ce scénario, l’info-courrier du destinataire restreint sera affichée, même pour un utilisateur Exchange Online. L’info-courrier du destinataire modéré fonctionne de manière similaire.
Par défaut, les infos-courrier sont configurées pour fonctionner dans un déploiement hybride. Toutefois, il est possible de personnaliser la manière dont les infos-courrier sont gérées pour vos utilisateurs locaux et Exchange Online. Pour en savoir plus, consultez la section « Architecture des infos-courrier » dans la rubrique Présentation des Infos-courrier, ainsi que la section « Utiliser l’environnement Shell pour configurer des infos-courrier pour les relations organisationnelles » dans la rubrique Configurer les paramètres d’organisation pour les infos-courrier.
Modération de message
La fonctionnalité de modération de message dans un déploiement hybride repose sur les exigences suivantes :
Synchronisation des attributs de modération des objets à extension messagerie.
Une boîte aux lettres d’arbitrage, au minimum, créée dans votre organisation locale.
Une boîte aux lettres d’arbitrage, au minimum, créée dans votre organisation Exchange Online. Vous devez créer un contact de messagerie avec une adresse SMTP sur le cloud et définir manuellement le paramètre DomainType sur InternalRelay.
Préservation des en-têtes et du format TNEF entre les deux organisations.
Lorsque vous configurez un déploiement hybride avec Office 365, toutes les conditions requises ci-dessus sont satisfaites. Aucune action supplémentaire n’est requise pour que la modération des messages fonctionne.
Pour plus d’informations sur les types de domaine, voir Présentation des domaines acceptés.
Transport Edge dans un déploiement hybride
Dans un déploiement hybride, le flux de messagerie requiert un serveur Exchange 2010 SP2 comme point de terminaison TLS pour votre déploiement local. Il s’agit généralement d’un serveur de transport Hub Exchange 2010 SP2 de votre organisation locale. Cependant, si vous ne souhaitez pas exposer votre serveur de transport Hub interne directement sur Internet, vous pouvez utiliser un serveur de transport Edge Exchange 2010 SP2 comme point de terminaison TLS. Si vous utilisez un serveur de transport Edge, il traitera le courrier entre votre organisation locale et l’organisation Exchange Online pour le compte du serveur de transport Hub. Vous pouvez également utiliser un serveur de transport Edge pour traiter le courrier à destination et en provenance des destinataires Internet de votre organisation locale.
Pour en savoir plus sur les serveurs de transport Edge dans votre déploiement hybride, voir :
Si votre organisation compte des serveurs de transport Edge Exchange 2007, vous devez les mettre à niveau vers Exchange 2010 SP2 si vous envisagez de les utiliser dans un déploiement hybride.
© 2010 Microsoft Corporation. Tous droits réservés.