Параметры транспорта в гибридных развертываниях Exchange 2013 и Exchange 2007

Раздел находится в разработке.  

Применимо к:Exchange Online, Exchange Server, Exchange Server 2013

Последнее изменение раздела:2016-12-09

В гибридных развертываниях почтовые ящики могут размещаться в локальной организации Exchange и в организации Exchange Online. Чтобы эти две разные организации выглядели для пользователей единой структурой и между ними происходил обмен сообщениями, очень важно обеспечить гибридную транспортировку. В гибридной транспортировке сообщения, отправляемые пользователями в обеих организациях, проходят проверку подлинности, перемещаются с использованием протокола TLS и выглядят как внутренние сообщения для таких компонентов Exchange, как правила транспортировки, ведение журналов и политики блокировки нежелательной почты. Гибридная транспортировка настраивается автоматически с помощью мастера гибридной конфигурации вExchange 2013

Для того чтобы конфигурация гибридного транспорта была совместима с мастером гибридной конфигурации, конечная точка локального SMTP, которая принимает подключения от службы защиты Microsoft Exchange Online Protection (EOP), обрабатывающей транспорт организации Exchange Online, должна быть сервером клиентского доступа Exchange 2013 или пограничным транспортным сервером Exchange 2013 или пограничным транспортным сервером Exchange Server 2010 с пакетом обновления 3 (SP3).

ВажноВажно!
Между локальными серверами клиентского доступа Exchange 2013 или пограничным транспортным сервером Exchange 2013/пограничным транспортным сервером Exchange 2010 с пакетом обновления 3 (SP3) и EOP может не быть других узлов SMTP или служб. Информация, добавляемая в сообщения для обеспечения функций гибридной транспортировки, удаляется при прохождении сообщений через сервер, отличный Exchange 2013, более ранний, чем Exchange 2010 SP3, или через узел SMTP. При наличии пограничных транспортных серверов Exchange 2010 с пакетом обновления 2 (SP2) в организации и необходимости использовать их для гибридного транспорта необходимо обновить их до Exchange 2010 с пакетом обновления 3 (SP3).

Входящие сообщения, отправляемые получателям в обеих организациях от внешних отправителей в Интернете, следуют по единому входному маршруту. Исходящие сообщения от организаций для внешних получателей в Интернете могут проходить по общему выходному маршруту или отправляться независимыми маршрутами.

Во время настройки гибридного развертывания необходимо выбрать способ маршрутизации входящей и исходящей почты. Маршрут входящих и исходящих сообщений пользователей в локальной организации и в организации Exchange Online зависит от следующего.

  • Желаете ли вы использовать маршрутизацию входящей почты для локальных почтовых ящиков и ящиков Exchange Online через локальную организацию или через Microsoft Office 365 и EOP?

    Входящую почту в обе организации можно маршрутизировать через локальную организацию или через EOP и организацию Exchange Online. Маршрут входящих сообщений для обеих организаций зависит от того, включен ли централизованный транспорт почты в гибридном развертывании.

  • Следует ли маршрутизировать исходящую почту организации Exchange Online для внешних получателей через локальную организацию (централизованный транспорт почты) или напрямую в Интернет?

    Централизованный транспорт почты позволяет маршрутизировать всю почту от почтовых ящиков в организации Exchange Online через локальную организацию, прежде чем она будет доставлена в Интернет. Такой подход удобен в основном в сценариях обеспечения соблюдения требований, где вся почта, адресованная в Интернет и поступающая из него, должна обрабатываться локальными серверами. Другой вариант – настроить Exchange Online на доставку сообщений внешним пользователям напрямую в Интернет.

    ПримечаниеПримечание.
    Централизованный почтовый транспорт рекомендуется только для организаций с определенными требованиями к транспорту. Стандартным организациям Exchange централизованный почтовый транспорт не рекомендуется.
  • Будет ли разворачиваться в локальной организации пограничный транспортный сервер?

    Если вы не хотите открывать подключенные к домену внутренние серверы Exchange 2013 непосредственно в Интернете, можно развернуть в сети периметра пограничные транспортные серверы Exchange 2013 или Exchange 2010 с пакетом обновления 3 (SP3). Дополнительные сведения о добавлении пограничного транспортного сервера в гибридное развертывание см. в разделе Пограничные транспортные серверы в гибридных развертываниях Exchange 2013 и Exchange 2007.

Независимо от способа маршрутизации сообщений в Интернет и из Интернета, все сообщения между локальной организацией и организацией Exchange Online передаются с использованием безопасной транспортировки. Дополнительные сведения см. в подразделе Trusted communication далее в этом разделе.

Дополнительные сведения о том, как эти параметры влияют на маршрутизацию сообщений в организации, см. раздел Маршрутизация транспорта в гибридных развертываниях Exchange 2013 и Exchange 2007.

EOP – это веб-служба Майкрософт, используемая многими компаниями для защиты локальных организаций от вирусов, нежелательной почты, фишинга и нарушений политик. В Office 365 служба EOP используется для защиты организаций Exchange Online от этих же угроз. При регистрации в Office 365 автоматически создается компания EOP, сопоставленная организации Exchange Online.

Компания EOP содержит несколько параметров транспортировки почты, которые можно настраивать для организации Exchange Online. Можно указать, какие домены SMTP должны поступать от определенных IP-адресов, а также могут требовать сертификат TLS и SSL, обходить политики соответствия требованиям и т. д. EOP – это вход в организацию Exchange Online. Все сообщения, независимо от их происхождения, должны проходить через EOP, прежде чем попасть в почтовые ящики в организации Exchange Online. А все сообщения, отправленные из организации Exchange Online, должны проходить через EOP, прежде чем попасть в Интернет.

При настройке гибридного развертывания с помощью мастера гибридной конфигурации все параметры транспортировки создаются автоматически в локальной организации и в компании EOP, созданной для организации Exchange Online. Мастер гибридной конфигурации настраивает все входящие и исходящие соединители и другие параметры в этой компании EOP, чтобы обеспечить защиту сообщений, передаваемых между локальной организацией и организацией Exchange Online, и направлять сообщения по правильным адресам. Если необходимо настроить пользовательские параметры транспортировки для организации Exchange Online, они также должны быть настроены в этой компании EOP.

Чтобы обеспечить защиту получателей в локальных организациях и организациях Exchange Online, а также предотвратить перехват и чтение сообщений, передаваемых между организациями, транспортировка между локальной организацией и EOP настроена на принудительное использование TLS. Транспортировка TLS использует сертификаты SSL, выдаваемые доверенным сторонним центром сертификации (CA). Сообщения между EOP и организацией Exchange Online также используют TLS.

При принудительном использовании транспорта TLS отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать FQDN, которое администратор явно задал на другом сервере. Например, если в EOP настроены прием и защита сообщений, отправляемых с полного доменного имени mail.contoso.com, то отправляющий локальный сервер клиентского доступа или пограничный транспортный сервер должны иметь сертификат SSL, в котором в качестве имени субъекта или имени SAN указано имя mail.contoso.com. Если данное требование не удовлетворяется, в соединении будет отказано службой EOP.

ПримечаниеПримечание.
Используемое имя FQDN не обязано совпадать с именем домена электронной почты получателей. Единственное требование заключается в том, что имя FQDN в поле имени субъекта сертификата или имени SAN должно совпадать с именем FQDN, на прием которого настроены принимающий или отправляющий серверы.

Помимо использования TLS, сообщения между организациями рассматриваются как внутренние. Такой подход позволяет сообщениям обходить параметры защиты от нежелательной почты и другие службы.

Дополнительные сведения о сертификатах SSL и безопасности доменов см. в Требования к сертификатам для гибридных развертываний и в разделе Общие сведения о сертификатах TLS.

 
Показ: