Condividi tramite


Concetti relativi alle opzioni di trasporto nelle distribuzioni ibride di Exchange 2010

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2013-01-25

Nelle distribuzioni ibride le cassette postali possono risiedere sia nell'organizzazione locale sia in un'organizzazione di Exchange Online. Un componente fondamentale che permette di visualizzare queste due organizzazioni distinte come un'unica organizzazione combinata per gli utenti e i messaggi scambiati tra loro è il trasporto ibrido. Con il trasporto ibrido, i messaggi inviati tra i destinatari in entrambe le organizzazioni vengono autenticati, trasferiti utilizzando TLS (Transport Layer Security) e visualizzati come "interni" ai componenti di Exchange quali le regole di trasporto, il journaling e i criteri di protezione dalla posta indesiderata. Il trasporto ibrido viene configurato automaticamente dalla procedura guidata di gestione della configurazione ibrida nel Service Pack 3 (SP3) per Exchange 2010.

Per consentire al trasporto ibrido di funzionare con la procedura guidata di gestione della configurazione ibrida, l'endpoint SMTP locale che accetta le connessioni da Exchange Online Protection (EOP), che gestisce il trasporto per l'organizzazione Exchange Online, deve essere un server Trasporto Hub Exchange 2010 SP3 o un server Trasporto Edge. Il trasporto ibrido fa uso di funzionalità fornite da Exchange 2010 SP3 per proteggere i messaggi e farli apparire come "interni".

Importante

Non possono esserci altri host SMTP, servizi o applicazioni tra il Trasporto Hub Exchange 2010 SP3 locale o server Trasporto Edge e EOP. L'informazione che abilita le funzionalità di trasporto ibrido aggiunta ai messaggi viene rimossa quando questi passano attraverso un server non Exchange 2010 SP3 o host SMTP. Sono incluse le versioni precedenti di Exchange.
I server Trasporto Hub e Trasporto Edge devono avere in esecuzione Exchange 2010 SP3 per utilizzare la procedura guidata di gestione della configurazione ibrida per la configurazione di una distribuzione ibrida.

I messaggi in ingresso inviati ai destinatari di entrambe le organizzazioni da mittenti Internet esterni seguono un instradamento di ingresso comune. I messaggi in uscita inviati dalle organizzazioni a destinatari Internet esterni possono essere inviati tramite un instradamento comune di uscita o possono essere inviati tramite instradamenti diversi.

Sarà necessario decidere come instradare la posta elettronica in ingresso ed in uscita quando si configura una distribuzione ibrida. L'instradamento dei messaggi in ingresso e in uscita dei messaggi inviati e ricevuti da utenti nelle organizzazioni locale e Exchange Online, dipende da quanto segue:

  • Si desidera che la posta in entrata per le cassette postali locali e di Exchange Online venga instradata attraverso Microsoft Office 365 ed EOP o tramite l'organizzazione locale?

    È possibile scegliere di instradare la posta Internet in arrivo per entrambe le organizzazioni attraverso l'organizzazione locale o attraverso EOP e l'organizzazione di Exchange Online. Il percorso seguito dai messaggi in entrata per entrambe le organizzazioni varia a seconda che si abiliti o meno il trasporto centralizzato della posta nella distribuzione ibrida.

  • Si desidera instradare la posta elettronica in uscita dall'organizzazione Exchange Online, e indirizzata a destinatari esterni, attraverso l'organizzazione locale o si vuole inviarla direttamente su Internet?

    Con il trasporto centralizzato della posta è possibile instradare tutta la posta elettronica proveniente dalle cassette postali dell'organizzazione di Exchange Online attraverso l'organizzazione locale prima che venga inviata su Internet. Questo approccio è utile negli scenari di conformità in cui la posta elettronica da e verso Internet deve essere elaborata da server locali. In alternativa, è possibile configurare Exchange Online per inviare messaggi diretti a destinatari esterni direttamente a Internet.

    Nota

    Il trasporto centralizzato della posta è consigliato solamente per le organizzazioni con specifiche esigenze di trasporto legate alla conformità. Nelle organizzazioni Exchange standard, è consigliabile non abilitare il trasporto centralizzato della posta.

  • Si desidera distribuire un server Trasporto Edge nell'organizzazione locale?   

    Se non si vuole esporre il server Trasporto Hub interno collegato al dominio direttamente a Internet, è possibile distribuire un server Trasporto Edge nella rete perimetrale. Per ulteriori informazioni sull'aggiunta di un server Trasporto Edge alla distribuzione ibrida, vedere: Concetti relativi ai server Trasporto Edge nelle distribuzioni ibride di Exchange 2010

Indipendentemente da come si instradano i messaggi da e verso Internet, tutti i messaggi scambiati tra l'organizzazione locale e l'organizzazione di Exchange Online vengono inviati utilizzando il trasporto sicuro. Per ulteriori informazioni, vedere "Comunicazione attendibile" più avanti in questo argomento.

Per ulteriori informazioni sull'effetto di queste opzioni sul routing dei messaggi nell'organizzazione, vedere Routing del trasporto nelle distribuzioni ibride di Exchange 2010.

Exchange Online Protection nelle distribuzioni ibride

EOP è un servizio online fornito da Microsoft che viene utilizzato da molte società per proteggere le organizzazioni locali da virus, spam, tentativi di phishing e violazioni dei criteri. In Office 365 EOP viene utilizzato per proteggere le organizzazioni di Exchange Online dalle stesse minacce. Quando ci si iscrive a Office 365 viene automaticamente creata un'azienda EOP, che viene associata all'organizzazione di Exchange Online.

Un'azienda EOP contiene varie impostazioni di trasporto della posta elettronica che possono essere configurate per l'organizzazione di Exchange Online. È possibile specificare quali domini SMTP devono provenire da indirizzi IP specifici, richiedere un certificato TLS e SSL (Secure Sockets Layer), bypassare il filtro di protezione dalla posta indesiderata o i criteri di conformità e altro ancora. EOP costituisce il punto di accesso principale all'organizzazione di Exchange Online. Tutti i messaggi, indipendentemente dall'origine, devono passare attraverso EOP prima di raggiungere le cassette postali nell'organizzazione di Exchange Online, e tutti i messaggi inviati dall'organizzazione di Exchange Online devono passare attraverso EOP prima di raggiungere Internet.

Quando si configura una distribuzione ibrida con la procedura guidata di gestione della configurazione ibrida, tutte le impostazioni di trasporto vengono automaticamente configurate nell'organizzazione locale e nella società EOP impostata per l'organizzazione Exchange Online. La procedura guidata di gestione della configurazione ibrida configura tutti i connettori in ingresso ed in uscita e altre impostazioni in tale azienda EOP, in modo da proteggere i messaggi scambiati fra l'organizzazione locale e l'organizzazione Exchange Online e da instradarli verso la destinazione corretta. Anche le impostazioni di trasporto personalizzate per l'organizzazione di Exchange Online possono essere configurate nell'azienda EOP, se necessario.

Comunicazione attendibile

Per proteggere i destinatari sia nell'organizzazione locale che nell'organizzazione di Exchange Online, e per assicurare che i messaggi scambiati fra le organizzazioni non vengano intercettati e letti, il trasporto tra l'organizzazione locale ed EOP viene configurato per l'uso forzato di TLS. Il trasporto TLS utilizza i certificati SSL (Secure Sockets Layer) forniti da un'autorità di certificazione (CA) attendibile di terze parti. Anche i messaggi scambiati fra EOP e l'organizzazione Exchange Online utilizzano TLS.

Quando si utilizza il trasporto TLS, i server di invio e ricezione esaminano il certificato configurato sull'altro server. Il nome soggetto o uno dei nomi alternativi soggetto (SAN) configurati sui certificati devono essere uguali al nome di dominio completo che un amministratore ha specificato esplicitamente sull'altro server. Ad esempio, se EOP è configurato per accettare e proteggere i messaggi inviati dal dominio con nome completo hybrid.contoso.com FQDN, il server ibrido locale di invio deve avere un certificato SSL con hybrid.contoso.com nel nome del soggetto o come SAN. Se questa condizione non è soddisfatta, la connessione viene rifiutata.

Nota

Non è necessario che il nome di dominio completo sia uguale al nome del dominio di posta elettronica dei destinatari. L'unico requisito è che il nome di dominio completo nel nome soggetto o nome alternativo soggetto del certificato sia uguale al nome di dominio completo accettato dai server di invio e ricezione.

In aggiunta all'uso di TLS, i messaggi tra le organizzazioni vengono trattati come "interni". In questo modo i messaggi possono ignorare le impostazioni di antispam e altri servizi.

Per ulteriori informazioni sui certificati SSL e sulla protezione del dominio, vedere Requisiti dei certificati per le distribuzioni ibride, Informazioni sui certificati TLS

 ©2010 Microsoft Corporation. Tutti i diritti riservati.