Grundlegendes zum Transport in einer Hybridbereitstellung

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-04-20

Service Pack 2 (SP2) für Microsoft Exchange Server 2010 bietet Ihnen die Möglichkeit, einige Ihrer Exchange-Benutzer in einer in Microsoft Office 365 für Unternehmen gehosteten Exchange Online-Organisation zu hosten und gleichzeitig für alle Benutzer eine vertraute Messagingumgebung beizubehalten. In diesem Thema ist eine Übersicht zur Verwendung von Transportservern in diesem Szenario enthalten.

Eine Hybridbereitstellung erfordert mindestens einen Server in Ihrer Organisation, auf dem Exchange Server 2010 SP2 ausgeführt wird. Wenn Sie derzeit eine frühere Version von Exchange ausführen, müssen Sie mindestens einen Exchange 2010 SP2-Server hinzufügen, der als Gateway zur Exchange Online-Organisation fungiert. Auf diese Weise können Sie eine Hybridbereitstellung implementieren, ohne die gesamte vorhandene Bereitstellung aktualisieren zu müssen. Diese Exchange 2010-Server werden als Hybridserver bezeichnet.

Ihre Organisation muss mindestens einen Hybridserver enthalten, auf dem die Hub-Transport- und die Clientzugriffsserver-Rolle installiert ist. Für Exchange Server 2003-Organisationen, die den Austausch von Frei/Gebucht-Informationen zwischen Ihren lokalen Exchange 2003-Postfächern und den Exchange Online-Postfächern unterstützen, ist auch die Postfachserverrolle erforderlich. Das Hinzufügen dieses Hybridservers zu Ihrer Organisation ist vergleichbar mit der Einführung des ersten Exchange 2010-Servers in die Bereitstellung. Weitere Informationen zu Hybridbereitstellungen finden Sie unter Grundlegendes zu Hybridbereitstellungen mit Exchange 2010 SP3.

Inhalt

Nachrichtenübermittlung

Transportfunktionen

Edge-Transport-Server in einer Hybridbereitstellung

Nachrichtenübermittlung

Die Nachrichtenübermittlung zwischen Ihrer lokalen Bereitstellung und der Exchange Online-Organisation wird mithilfe von TLS (Transport Layer Security) gesichert und geschützt. Der TLS-Endpunkt in Ihrer lokalen Organisation muss ein Exchange 2010-SP2-Hub-Transport- oder -Edge-Transport-Server sein, auf dem Exchange 2010 SP1 oder SP2 ausgeführt wird.

Ihre lokale und die Exchange Online-Organisation senden sich über einen sicheren Kanal gegenseitig Nachrichten. Damit diese Nachrichtenübermittlung möglich ist, wird vom Assistenten zum Verwalten von Hybridbereitstellungen automatisch ein dedizierter hybrider Sendeconnector erstellt. Für diesen Sendeconnector kann nur ein Hub-Transport-Server, der auf einem Exchange 2010 SP2- oder Edge-Transport-Quellserver unter Exchange 2010 SP1 oder Exchange 2010 SP2 ausgeführt wird, ausgewählt werden. Wenn Sie Exchange 2010 SP2 in Ihrer Organisation ausführen, kann jeder Hub-Transport- oder Edge-Transport-Server als Gateway zur Exchange Online-Organisation dienen. Wenn Sie ältere Versionen von Exchange ausführen, müssen Sie hybride Hub-Transport- oder Edge-Transport-Server bereitstellen, um Nachrichten zwischen den beiden Organisationen weiterzuleiten.

In einer Hybridbereitstellung behandelt jede Organisation die andere als interne Organisation. Es gibt praktisch keinen Unterschied zwischen einem Benutzer, der auf Ihren lokalen Servern gehostet wird, und einem Exchange Online-Benutzer, wenn die Nachrichten von Exchange verarbeitet werden. Antispamfilter werden für Nachrichten zwischen den beiden Organisationen ebenfalls umgangen.

Gesicherte und authentifizierte Nachrichtenübermittlung

Obwohl die Nachrichten zwischen der lokalen und der Exchange Online-Organisation einen logischen Tunnel durchlaufen, werden sie dennoch über das Internet übertragen und müssen daher vor böswilligen Benutzern geschützt werden. Exchange 2010 stellt die folgenden Schutzmaßnahmen bereit:

  • Kanaldatenschutz   Unbefugte Dritte können nicht auf abgefangene Pakete zugreifen.

  • Empfängerauthentifizierung   Absender werden vor unbefugten Dritten geschützt, die die Identität gültiger Empfänger annehmen.

  • Absenderauthentifizierung   Empfänger werden vor unbefugten Dritten geschützt, die die Identität gültiger Absender annehmen.

Kanaldatenschutz

Damit sowohl die lokalen als auch die Cloud-basierten Organisationen geschützt sind, wird TLS mit SSL-Zertifikaten (Secure Sockets Layer) von Exchange 2010 erzwungen, die von einer vertrauenswürdigen externen Zertifizierungsstelle stammen. Selbstsignierte Zertifikate werden für den Kanaldatenschutz in einer Hybridbereitstellung nicht unterstützt. Alle über den TLS-geschützten Kanal gesendeten Nachrichten werden verschlüsselt.

Der sendende und der empfangende Server prüfen das Zertifikat, das auf dem jeweils anderen Server konfiguriert ist. Der Antragstellername oder einer der alternativen Antragstellernamen, die für die Zertifikate konfiguriert sind, muss mit dem vollqualifizierten Domänennamen (FQDN) übereinstimmen, den ein Administrator explizit auf dem jeweils anderen Server angegeben hat. Wenn die Exchange Online-Organisation beispielsweise so konfiguriert ist, dass sie Nachrichten akzeptieren und schützen soll, die über den FQDN "mail.contoso.com" gesendet wurden, müssen die lokalen Hybridserver ein SSL-Zertifikat mit "mail.contoso.com" im Antragstellernamen oder in einem alternativen Antragstellernamen aufweisen. Ist diese Voraussetzung nicht erfüllt, wird die Verbindung abgelehnt.

Empfängerauthentifizierung

Zusätzlich zu den regelmäßigen Zertifikatüberprüfungen während der TLS-Übermittlung führen die Sendeconnectors, die an der Nachrichtenübermittlung in einer Hybridbereitstellung beteiligt sind, eine Domänenüberprüfung durch. Die Domänenüberprüfung ist eine zusätzliche Sicherheitsfunktion, mit der das Risiko vermindert wird, dass ein böswilliger Benutzer die Identität eines empfangenden Servers annimmt. Wenn die Domänenüberprüfung für einen Sendeconnector aktiviert ist, führt der Transportserver die folgenden Sicherheitsüberprüfungen für die ausgehende Verbindung durch:

  • Der Kommunikationskanal ist mit TLS verschlüsselt.

  • Das Zertifikat des empfangenden Servers wird überprüft, und Sperrlistenüberprüfungen werden ausgeführt.

  • Der Transportserver überprüft, ob der FQDN im Zertifikat des empfangenden Servers mit der Domäne übereinstimmt, die in den Eigenschaften des Sendeconnectors konfiguriert ist.

Absenderauthentifizierung

Damit verhindert wird, dass ein böswilliger Benutzer die Identität eines gültigen Absenders annimmt, wird jede Nachricht authentifiziert, um zu überprüfen, ob sie von dem angegebenen Absender übermittelt wurde. Innerhalb einer Exchange-Organisation wird die Absenderauthentifizierung mithilfe von benutzerdefinierten Nachrichtenkopfzeilen überprüft, die von Exchange-Servern hinzugefügt werden. Für die zwischen der lokalen und der Exchange Online-Organisation gesendeten Nachrichten werden diese Kopfzeilenwerte am Ausgangspunkt verschlüsselt und am Endpunkt entschlüsselt und überprüft. Während der Übermittlung können diese Kopfzeilen nicht von Dritten entschlüsselt werden, die die Nachricht möglicherweise abfangen.

Nachrichten an das und aus dem Internet

Empfänger in lokalen und in der Exchange Online-Organisation haben normalerweise dieselbe Antwortadresse, z. B. @contoso.com. Da sie dieselbe Antwortadresse haben, müssen alle Nachrichten an Empfänger in beiden Organisationen derselben eingehenden Route folgen. Alle eingehenden Nachrichten können entweder an die lokale Organisation oder an die Exchange Online-Organisation zugestellt werden. Wohin eingehende Nachrichten weitergeleitet werden sollen, hängt u. a. davon ab, wo sich die Mehrheit Ihrer Postfächer befindet und ob Microsoft Forefront Online for Protection (FOPE) vorhanden ist.

Nachrichten, die von Empfängern in der lokalen und der Exchange Online-Organisation gesendet werden, können dieselben oder andere Routen zum Internet verwenden. Von lokalen Empfängern gesendete Nachrichten werden immer direkt an das Internet gesendet. Von Exchange Online-Empfängern gesendete Nachrichten können direkt an das Internet gesendet oder zunächst über die lokale Organisation weitergeleitet werden. Wenn Sie auf Ihre Exchange Online-Nachrichten zuerst Richtlinien zur Kompatibilität anwenden möchten, können Sie sie über die lokale Organisation weiterleiten.

Bei der Planung des Transports für die Hybridbereitstellung sind zahlreiche Punkte zu berücksichtigen, z. B. ob die lokale Organisation mit FOPE geschützt wird, ob ein Edge-Transport-Server konfiguriert wird und wie eingehende und ausgehende Internet-E-Mails weitergeleitet werden. Ausführliche Informationen zu diesen Überlegungen sowie Hilfe beim Festlegen der geeigneten Optionen für Ihre Organisation finden Sie unter Grundlegendes zu Transportoptionen in Exchange 2003-Hybridbereitstellungen.

Transportfunktionen

In diesem Abschnitt wird die Verwendung verschiedener Transportfunktionen in einer Hybridbereitstellung beschrieben. Bei den hier enthaltenen Informationen wird davon ausgegangen an, dass Sie Exchange 2010 für die lokale Bereitstellung ausführen, da einige der hier beschriebenen Funktionen nicht für frühere Versionen von Exchange gelten. Weitere Informationen finden Sie unter den folgenden Themen:

Hinweis

Die in diesem Abschnitt beschriebenen Funktionen sind nur in einer Hybridbereitstellung verfügbar.

Transportregeln und Journale

Transportregeln und Journalregeln werden zwischen Ihrer lokalen Bereitstellung und der Exchange Online-Organisation nicht synchronisiert. Daher müssen Sie sicherstellen, dass Sie sämtliche Regeln beibehalten, die Sie in beiden Organisationen konsistent implementiert haben.

Zustellungsberichte

Benutzer können Nachrichten verfolgen, die sie in einer Hybridbereitstellung gesendet und empfangen haben, sofern Zustellungsberichte für die entsprechenden Organisationsbeziehungen sowohl für die lokale als auch für die Exchange Online-Organisation aktiviert sind. Diese Funktion ist in einer Hybridbereitstellung standardmäßig aktiviert. Bedenken Sie jedoch, dass bei Verwendung älterer Versionen von Exchange in der lokalen Bereitstellung die Zustellungsberichte nicht die abschließende Zustellung an Empfänger anzeigen, die auf den Legacyservern gehostet werden. Stattdessen wird gezeigt, dass die Nachricht in das Exchange-Legacysystem übertragen wurde. Dies ist keine Beschränkung der Hybridbereitstellung, sondern tritt aufgrund von Änderungen an der Implementierung der Nachrichtenverfolgung in Exchange 2010 auf. Weitere Informationen finden Sie im Abschnitt "Versionsübergreifende Nachrichtenverfolgung" in Upgrade des Exchange 2007-Transports.

MailTips

E-Mail-Infos sind für die nahtlose Integration in einer Hybridbereitstellung konzipiert. Wenn ein lokaler Benutzer eine Nachricht an einen Empfänger in der Exchange Online-Organisation adressiert, kontaktieren die lokalen Clientzugriffsserver die Clientzugriffsserver in der Exchange Online-Organisation und fordern E-Mail-Infodaten für die Nachricht an. Auf diese Anforderung hin verarbeiten die Clientzugriffsserver in der Exchange Online-Organisation die Anforderung der E-Mail-Infos, werten die Nachricht auf E-Mail-Infos hin aus und geben alle zutreffenden E-Mail-Infos an die lokalen Clientzugriffsserver zurück. Der Prozess ist derselbe, wenn ein Benutzer in Ihrer Exchange Online-Organisation eine Nachricht an einen lokalen Empfänger adressiert.

Bedenken Sie bei einer Hybridbereitstellung die folgenden Unterschiede hinsichtlich E-Mail-Infos:

  • Die E-Mail-Infos für externe Empfänger werden nur in der lokalen Organisation ausgewertet. Der Grund dafür besteht darin, dass die Exchange Online-Organisation nicht ermitteln kann, welche Empfänger für einen lokalen Benutzer als extern betrachtet werden können.

  • Die Anzahl externer Empfänger in einer Gruppen-E-Mail-Info wird aus demselben Grund nur für lokale Gruppen mithilfe lokaler Gruppenmetrikdaten ausgewertet.

  • Die E-Mail-Info für übergroße Nachrichten wird sowohl lokal als auch in der Remoteorganisation ausgewertet. Daher ist es wichtig sicherzustellen, dass die Einschränkungen für die Nachrichtengröße in der lokalen Organisation mit den Einschränkungen übereinstimmen, die für die Exchange Online-Organisation konfiguriert wurden, damit für die Benutzer ein inkonsistenter Eindruck vermieden wird.

  • Alle Objekte in der Remoteorganisation werden in der lokalen Organisation als E-Mail-aktivierte Objekte dargestellt. Ein Postfach in der Exchange Online-Organisation wird z. B. in der lokalen Organisation als E-Mail-Benutzer dargestellt. Da alle Objekte benutzerdefinierte E-Mail-Infos besitzen können, ist es möglich, zwei unterschiedliche benutzerdefinierte E-Mail-Infos für denselben Empfänger zu konfigurieren. In diesem Fall wird nur die lokale benutzerdefinierte E-Mail-Info angezeigt. Den lokalen Benutzern werden die für das lokale Objekt konfigurierten benutzerdefinierten E-Mail-Infos angezeigt, während für die cloudbasierten Benutzer die für das Exchange Online-Objekt konfigurierten benutzerdefinierten E-Mail-Infos angezeigt werden.

  • Es ist außerdem möglich, eine abweichende Konfiguration für moderierte oder eingeschränkte Empfänger zu verwenden. Ein lokales Postfach kann z. B. eingeschränkt sein, während der entsprechende E-Mail-Benutzer in Ihrer Exchange Online-Organisation möglicherweise nicht eingeschränkt ist. In diesem Szenario wird die E-Mail-Info für eingeschränkte Empfänger auch für einen Exchange Online-Benutzer angezeigt. Die E-Mail-Info für moderierte Empfänger funktioniert ähnlich.

E-Mail-Infos sind standardmäßig so konfiguriert, dass sie in einer Hybridbereitstellung funktionieren. Es ist jedoch möglich, die Art und Weise anzupassen, in der E-Mail-Infos verarbeitet werden, wenn Sie für lokale und Exchange Online-Benutzer unterschiedliche Funktionen verwenden möchten. Weitere Informationen finden Sie im Abschnitt "Architektur der E-Mail-Infos" unter Grundlegendes zu E-Mail-Infos und im Abschnitt "Verwenden der Shell zum Konfigurieren von E-Mail-Infos für Organisationsbeziehungen" unter Konfigurieren der Organisationseinstellungen für E-Mail-Infos.

Nachrichtenmoderation

Die Funktionalität der Nachrichtenmoderation hängt in einer Hybridbereitstellung von den folgenden Anforderungen ab:

  • Synchronisierung von Moderationsattributen von E-Mail-aktivierten Objekten.

  • Mindestens ein Vermittlungspostfach, das in der lokalen Organisation erstellt wird.

  • Mindestens ein Vermittlungspostfach, das in der Exchange Online-Organisation erstellt wird. Sie müssen manuell einen E-Mail-Kontakt mit einer SMTP-Adresse in der Cloud erstellen und DomainType auf InternalRelay festlegen.

  • Erhalt der Kopfzeilen und des TNEF-Formats zwischen den beiden Organisationen.

Wenn Sie eine Hybridbereitstellung mit Office 365 konfigurieren, sind alle oben genannten Anforderungen erfüllt. Es müssen keine weiteren Anforderungen erfüllt werden, damit die Nachrichtenmoderation funktioniert.

Weitere Informationen zu Domänentypen finden Sie unter Verstehen akzeptierter Domänen.

Edge-Transport-Server in einer Hybridbereitstellung

Für die Nachrichtenübermittlung in einer Hybridbereitstellung wird ein Exchange 2010 SP2-Server als TLS-Endpunkt für die lokale Bereitstellung benötigt. Dabei handelt es sich in der Regel um einem Exchange 2010 SP2-Hub-Transport-Server in der lokalen Organisation. Wenn der interne Hub-Transport-Server jedoch nicht direkt für das Internet zugänglich sein soll, können Sie einen Exchange 2010 SP2-Edge-Transport-Server als TLS-Endpunkt verwenden. Wenn Sie einen Edge-Transport-Server verwenden, verarbeitet dieser Server die Nachrichten zwischen der lokalen Organisation und der Exchange Online-Organisation im Namen des Hub-Transport-Servers. Sie können für die lokale Organisation einen Edge-Transport-Server auch für die Verarbeitung von Nachrichten verwenden, die an Empfänger im Internet und von Empfängern im Internet gesendet werden.

Weitere Informationen über die Edge-Transport-Server in Ihrer Hybridbereitstellung finden Sie unter:

Wenn Sie in Ihrer Organisation Exchange 2007-Edge-Transport-Server verwenden, müssen diese auf Exchange 2010 SP2 aktualisiert werden, wenn sie in einer Hybridbereitstellung verwendet werden sollen.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.