Présentation des options de transport dans des déploiements hybrides Exchange 2003
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2013-01-25
Les déploiements hybrides peuvent comporter des boîtes aux lettres qui résident dans votre organisation locale, mais également dans une organisation Exchange Online. Un composant essentiel conférant à ces deux organisations distinctes l’apparence d’une seule et même organisation pour les utilisateurs et les messages qu’ils s’échangent est le transport hybride. Dans un transport hybride, les messages envoyés entre des destinataires d’une organisation sont authentifiés, transférés via TLS (Transport Layer Security) et apparaissent comme « internes » à des composants d’Exchange, tels que les règles de transport, la journalisation, et les stratégies antispam. Le transport hybride est automatiquement configuré par l’Assistant Gérer la configuration hybride du Service Pack 3 (SP3) pour Exchange 2010.
Pour que la configuration du transport hybride fonctionne avec l’Assistant Gérer la configuration hybride, le point de terminaison SMTP local qui accepte des connexions d'Exchange Online Protection (EOP), chargé de gérer le transport pour l’organisation Exchange Online, doit être un serveur de transport Hub ou de transport Edge Exchange 2010 SP3. Le transport hybride utilise les nouvelles fonctionnalités d’Exchange 2010 SP3 pour sécuriser les messages et les faire apparaître comme « internes ». Si un serveur Exchange 2010 SP3 local est nécessaire pour le transport hybride entre les organisations locale et Exchange Online, il n’est pas nécessaire d’acheminer le courrier en provenance et à destination des boîtes aux lettres locales et les destinataires Internet via un serveur Exchange 2010.
.gif "Important") Important : |
|---|
| Il ne peut y avoir aucun autre hôte SMTP, service ou équipement entre le serveur de transport Hub ou Edge Exchange 2010 SP3 local et EOP. Les informations ajoutées aux messages et qui activent les fonctionnalités de transport hybride sont supprimées lorsqu'elles passent par un serveur non Exchange 2010 SP3 ou un hôte SMTP. Cela inclut les versions antérieures d’Exchange. Les serveurs de transport Hub et Edge doivent exécuter Exchange 2010 SP3 pour utiliser l’Assistant Gestion du déploiement hybride pour une configuration de déploiement hybride. |
Les messages entrants envoyés aux destinataires des deux organisations par des expéditeurs Internet externes suivent un itinéraire entrant commun. Les messages sortants envoyés depuis les organisations à des destinataires Internet externes peuvent suivre un itinéraire sortant commun ou bien emprunter des itinéraires indépendants.
Vous devrez choisir le mode d’acheminement du courrier entrant et sortant lors de la configuration de votre déploiement hybride. L’itinéraire emprunté par les messages entrants et sortants envoyés à et par des destinataires des organisations locale et Exchange Online varie en fonction des facteurs suivants :
Souhaitez-vous acheminer les messages Internet entrants des boîtes aux lettres locales et Exchange Online via Microsoft Office 365 et EOP ou via votre organisation locale ?
Vous pouvez décider d’acheminer le courrier Internet entrant pour les deux organisations via votre organisation locale ou via EOP et l’organisation Exchange Online. L’itinéraire emprunté par les messages entrants des deux organisations dépend du fait que vous activiez ou non le transport de courrier centralisé dans votre déploiement hybride.
Souhaitez-vous acheminer le courrier sortant à des destinataires externes provenant de votre organisation Exchange Online par le biais de votre organisation locale (transport de courrier centralisé), ou l’acheminer directement vers Internet ?
Grâce au transport de courrier centralisé, vous pouvez acheminer l’ensemble du courrier des boîtes aux lettres de l’organisation Exchange Online via l’organisation locale avant qu’il ne soit remis sur Internet. Cette approche est utile dans les scénarios de mise en conformité, dans lesquels l'ensemble du courrier en provenance et à destination d'Internet doit être traité par des serveurs locaux. Vous pouvez également configurer Exchange Online pour remettre les messages destinés à des destinataires externes directement sur Internet.
.gif "Remarque")
Remarque :Le transport de courrier centralisé est recommandé uniquement pour les organisations qui présentent des besoins de transport spécifiques liés à la conformité. Nous recommandons aux organisations Exchange types de ne pas activer le transport de courrier centralisé. Souhaitez-vous déployer un serveur de transport Edge dans votre organisation locale ?
Si vous ne souhaitez pas exposer vos serveurs de transport Hub hybrides internes liés à un domaine directement sur Internet, vous pouvez déployer des serveurs de transport Edge dans votre réseau de périmètre. Pour de plus amples informations sur l’ajout d’un serveur de transport Edge à votre déploiement hybride : Consultez la rubrique suivante : Présentation des serveurs de transport Edge dans des déploiements hybrides Exchange 2003
Indépendamment du mode d’acheminement des messages vers et depuis Internet, tous les messages envoyés entre l’organisation locale et l’organisation Exchange Online utilisent le transport sécurisé. Pour plus d’informations, consultez la section « Communication approuvée » plus loin dans cette rubrique.
Pour plus d’informations sur la façon dont ces options affectent le routage des messages dans votre organisation, consultez la rubrique Présentation du routage de transport dans les déploiements hybrides Exchange 2003.
Exchange Online Protection dans les déploiements hybrides
EOP est un service en ligne fourni par Microsoft et employé par de nombreuses entreprises pour protéger leurs organisations locales des virus, du courrier indésirable, des tentatives de hameçonnage et des violations de stratégie. Dans Office 365, EOP est utilisé pour protéger les organisations Exchange Online des mêmes menaces. Lorsque vous vous inscrivez à Office 365, une société EOP liée à votre organisation Exchange Online est automatiquement créée.
Une société EOP contient plusieurs paramètres de transport de messagerie pouvant être configurés pour votre organisation Exchange Online. Vous pouvez indiquer quels domaines SMTP doivent provenir d’adresses IP spécifiques, requièrent un certificat SSL (Secure Sockets Layer), peuvent contourner les stratégies de filtrage ou de mise en conformité du courrier indésirable, et bien plus. EOP est la porte d’entrée de votre organisation Exchange Online. Tous les messages, quelle que soit leur origine, doivent passer par EOP avant d’atteindre les boîtes aux lettres de votre organisation Exchange Online. De plus, tous les messages envoyés depuis votre organisation Exchange Online doivent transiter par EOP avant d’atteindre Internet.
Lorsque vous configurez un déploiement hybride à l’aide de l’Assistant Gérer la configuration hybride, tous les paramètres de transport sont automatiquement configurés dans votre organisation locale et dans la société EOP définie pour votre organisation Exchange Online. L’Assistant Gérer la configuration hybride configure tous les connecteurs entrants et sortants et d’autres paramètres de cette société EOP pour sécuriser les messages envoyés entre l’organisation locale et l’organisation Exchange Online et acheminer les messages vers la bonne destination. Si vous souhaitez configurer des paramètres de transport personnalisés pour votre organisation Exchange Online, vous devrez également les configurer dans cette société EOP.
Communication sécurisée
Afin d’optimiser la protection des destinataires de l’organisation locale et de l’organisation Exchange Online et faire en sorte que les messages envoyés entre ces organisations ne soient pas interceptés et lus, le transport entre l’organisation locale et EOP est configuré pour utiliser TLS forcé. Le transport TLS utilise les certificats SSL (Secure Sockets Layer) fournis par une autorité de certification tierce approuvée (CA). Les messages entre FOPE et l’organisation Exchange Online utilisent également TLS.
Lorsque le transport TLS forcé est utilisé, les serveurs d’envoi et de réception examinent le certificat configuré sur l’autre serveur. Le nom de l’objet, ou l’un des autres noms d’objets (SAN) configurés sur les certificats doit correspondre au nom de domaine complet qu’un administrateur a explicitement spécifié sur l’autre serveur. Par exemple, si EOP est configuré pour accepter et sécuriser les messages envoyés depuis le nom de domaine complet hybrid.contoso.com, le nom de l’objet ou l’autre nom d’objet du serveur hybride local d’envoi doit avoir un certificat SSL avec hybrid.contoso.com. Si cette condition n’est pas remplie, la connexion est refusée.
| Remarque : |
|---|
| Il n’est pas nécessaire que le FQDN utilisé corresponde au nom de domaine de messagerie des destinataires. La seule exigence est que le FQDN du nom d’objet du certificat ou du SAN corresponde au FQDN que les serveurs de réception ou d’envoi doivent accepter. |
Outre l’utilisation de TLS, les messages échangés entre les organisations sont traités en « interne ». Cette approche permet aux messages de contourner les paramètres antispam et d’autres services.
En savoir plus sur les certificats SSL et la sécurité de domaine dans : Comprendre les exigences de certificat des déploiements hybrides, Présentation des certificats TLS
© 2010 Microsoft Corporation. Tous droits réservés.