Общие сведения о параметрах транспорта

  • Статья

 

Применимо к: Exchange Server 2010 SP1, Exchange Server 2010 SP2

Последнее изменение раздела: 2012-07-23

При настройке гибридного развертывания между локальной организацией Exchange и облачной организацией необходимо определить способ маршрутизации почты. Маршрут, по которому следуют входящие сообщения, отправляемые получателям в локальной или облачной организации, зависит от выбора между общим или разделенным пространством имен. Маршрут, по которому следуют исходящие сообщения, отправляемые от пользователей в локальной или облачной организации, зависит от выбора между централизованным или децентрализованным управлением почтой.

Независимо от выбранных способов, сообщения, пересылаемые между локальной и облачной организациями, настраиваются на использование протокола TLS (Transport Layer Security) для обеспечения безопасности таких соединений.

В следующих разделах приводятся сведения об общих и разделенных пространствах имен, централизованном и децентрализованном управлении почтой, а также о доверенном соединении между локальной и облачной организациями.

Общие и разделенные пространства имен

При выборе общего пространства имен все получатели в локальной и облачной организациях имеют общий доступ к одному домену SMTP в своих адресах электронной почты. Запись ресурса почтового обменника (MX) для этого домена SMTP отправляет почту в локальную организацию Exchange.

Когда в локальную организацию Exchange поступает сообщение для получателя, находящегося в облаке, локальный гибридный сервер Exchange 2010 автоматически перенаправляет это сообщение облачному получателю. Гибридный сервер определяет, располагается ли почтовый ящик на локальном сервере Exchange или в облачной организации, путем проверки типа получателя. Если типом получателя является почтовый ящик, гибридный сервер маршрутизирует сообщение на локальный сервер Exchange, который содержит этот почтовый ящик. Если в качестве типа получателя выступает удаленный почтовый ящик как специальный тип почтового пользователя, то гибридный сервер получает удаленный адрес маршрутизации для этого ящика. Удаленный адрес маршрутизации для почтового пользователя — это SMTP-адрес его сопоставленного почтового ящика в облачной организации. Гибридный сервер переадресует сообщение с SMTP-адресом облачного почтового ящика и отправляет его в облачную организацию. В примерах в контрольном списке в качестве SMTP-адреса облачной организации используется домен service.contoso.com.

Важно!

Не следует использовать имя FQDN клиента службы, например contoso.onmicrosoft.com, в качестве SMTP-адреса облачной организации.

ПримечаниеПримечание.
Для лучшей организации гибридного развертывания настоятельно рекомендуется использовать общее пространство имен.

При выборе разделенного пространства имен адреса электронной почты получателей в облачной организации настраиваются с доменом SMTP, который отличается от адресов получателей в локальной организации. Сообщения, отправляемые получателям в одной организации, доставляются непосредственно в эту организацию.

Дополнительные сведения об общих и разделенных пространствах имен см. в разделе: Общие сведения об общих и разделенных пространствах имен SMTP

Централизованное и децентрализованное управление почтой

Помимо выбора способа маршрутизации входящих сообщений, адресованных получателям в имеющихся организациях, можно также определить, как будут маршрутизироваться исходящие сообщения от облачных пользователей. Ниже описываются доступные параметры.

  • Централизованное управление почтой   В соответствии с этим параметром исходящие сообщения, отправляемые из облачной организации, маршрутизируются через локальную организацию. За исключением сообщений, отправляемых другим получателям в той же облачной организации, все сообщения от пользователей в облачной организации отправляются через локальную организацию. Это позволяет применить правила соответствия требованиям к этим сообщениям и любым другим процессам или требованиям, которые должны применяться ко всем получателям независимо от того, расположены ли они в облачной или локальной организации.

    Важно!

    Локальный гибридный сервер должен быть доступен из Интернета для пользователей в облачной организации для отправки сообщений в Интернет. Если этот сервер недоступен, то сообщения, отправляемые из облачной организации, будут оставаться в очереди, пока не появится доступ.

  • Децентрализованное управление почтой   В соответствии с этим параметром исходящие сообщения, отправляемые из облачной организации, маршрутизируются непосредственно в Интернет. Этот параметр следует использовать, если не требуется применять локальные политики или другие процедуры обработки к сообщениям, которые отправляются от пользователей в облачной организации.

Доверенное соединение

Независимо от того, были ли выбраны общие либо разделенные пространства имен или централизованное либо децентрализованное управление почтой, все сообщения, пересылаемые между получателями в локальной и облачной организациях, отправляются непосредственно из каждой организации и прямо в нее. Одним из этапов настройки, описанной в процедурах данного контрольного списка, является настройка каждой организации на то, чтобы сообщения, отправляемые из другой организации, рассматривались как внутренние. Это позволяет сообщениям обходить параметры защиты от нежелательной почты и другие службы.

В целях защиты получателей в обеих организациях и предупреждения перехвата и незаконного чтения пересылаемых сообщений между данными организациями настраивается транспорт с принудительным использованием протокола TLS и SSL-сертификатов, предоставляемых доверенным сторонним уполномоченным центром сертификации (CA).

При принудительном использовании транспорта TLS отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать полному доменному имени (FQDN), которое администратор явно задал на другом сервере. Например, если в облачной организации настроен прием и защита сообщений, отправляемых с полного доменного имени mail2.contoso.com, то отправляющий локальный гибридный сервер должен иметь сертификат SSL, в котором в качестве имени субъекта или имени SAN указано имя mail2.contoso.com. Если данное требование не удовлетворяется, в соединении будет отказано.

ПримечаниеПримечание.
Используемое имя FQDN не обязано совпадать с именем домена электронной почты получателей. Единственное требование заключается в том, что имя FQDN в поле имени субъекта сертификата или имени SAN должно совпадать с именем FQDN, на прием которого настроены принимающий или отправляющий сервер.

Дополнительные сведения о SSL-сертификатах и безопасности домена см. в разделе: Общие сведения о требованиях к сертификатам, Общие сведения о сертификатах TLS

В каждом из следующих разделов показано, как движется поток почты в зависимости от выбранных вариантов настроек. Выберите раздел, чтобы увидеть, как перемещается почта для выбранного варианта.

Общее пространство имен с централизованным управлением почтой

При настройке локальной и облачной организаций на использование общего пространства имен и централизованного управления почтой все сообщения, отправляемые получателям и принимаемые от пользователей как в локальной, так и в облачной организациях, отсылаются через локальную организацию.

На следующем рисунке показан процесс отправки входящих сообщений получателям в данной организации.

  1. Входящее сообщение от отправителя в Интернете пересылается получателям chris@contoso.com и david@contoso.com. Почтовый ящик пользователя Chris расположен на сервере Exchange 2003 в локальной организации. Почтовый ящик пользователя David находится в облачной организации.

  2. Так как оба получателя имеют адреса с почтовым доменом contoso.com, а запись MX для contoso.com указывает на локальный гибридный сервер, то сообщение доставляется на этот же сервер.

  3. Гибридный сервер выполняет поиск каждого получателя, используя локальный сервер глобального каталога. Через поиск в глобальном каталоге устанавливается, что почтовый ящик пользователя Chris расположен на сервере Exchange 2003, в то время как почтовый ящик пользователя David находится в облаке и имеет адрес маршрутизации david@service.contoso.com.

  4. Гибридный сервер разбивает сообщение на две копии. Одна копия сообщения отправляется через соединитель группы маршрутизации, настроенный между гибридным сервером и сервером Exchange 2003, и доставляется в почтовый ящик пользователя Chris.

  5. Вторая копия отсылается через соединитель отправки, настроенный между гибридным сервером и службой Forefront Online Protection для Exchange (FOPE), которая принимает сообщение, отправляемое в облачную организацию.

  6. Служба FOPE сканирует сообщение на наличие вирусов и отправляет его в облачную организацию, где оно доставляется в почтовый ящик пользователя David.

Входящая почта, отправляемая в общее пространство имен через локальный гибридный сервер

Поток обработки входящей почты; общее пространство имен

На следующем рисунке показан процесс отправки исходящих сообщений в Интернет.

  1. Пользователь Chris, у которого есть почтовый ящик на локальном сервере Exchange 2003, отправляет сообщение внешнему получателю в Интернете — erin@cpandl.com. Пользователь David, имеющий почтовый ящик в облачной организации, отправляет сообщение внешнему получателю brian@cpandl.com. Оба пользователя имеют обратный адрес contoso.com.

  2. Сервер Exchange 2003 отправляет сообщение пользователя Chris через соединитель группы маршрутизации на гибридный сервер.

  3. Облачная организация отправляет сообщение пользователя David службе FOPE.

  4. В службе FOPE настроена отправка всех адресованных в Интернет сообщений на локальный гибридный сервер, поэтому сообщение маршрутизируется на него.

  5. Гибридный сервер осуществляет проверку на соответствие требованиям, наличие вирусов и выполняет другие процессы, настроенные администратором, для сообщений пользователей Chris и David.

  6. Гибридный сервер ищет запись MX для домена cpandl.com и отправляет сообщение на почтовые серверы cpandl.com, расположенные в Интернете.

Исходящая почта, отправляемая из общего пространства имен через локальный гибридный сервер

Централизованный поток обработки исходящей почты, общее пространство имен

Разделенное пространство имен с децентрализованным управлением почтой

При настройке локальной и облачной организаций на использование общего пространства имен и выборе децентрализованного управления почтой все входящие сообщения, отправляемые получателям в каждой организации, пересылаются через локальную организацию. Тем не менее, исходящие сообщения от пользователей в каждой организации отправляются непосредственно в Интернет. Облачная организация не отправляет сообщения в Интернет через локальную организацию.

На следующем рисунке показан процесс отправки входящих сообщений получателям в данной организации.

  1. Входящее сообщение от отправителя в Интернете пересылается получателям chris@contoso.com и david@contoso.com. Почтовый ящик пользователя Chris расположен на сервере Exchange 2003 в локальной организации. Почтовый ящик пользователя David находится в облачной организации.

  2. Так как оба получателя имеют адреса с почтовым доменом contoso.com, а запись MX для contoso.com указывает на локальный гибридный сервер, то сообщение доставляется на этот же сервер.

  3. Гибридный сервер выполняет поиск каждого получателя, используя локальный сервер глобального каталога. Через поиск в глобальном каталоге устанавливается, что почтовый ящик пользователя Chris расположен на сервере Exchange 2003, в то время как почтовый ящик пользователя David находится в облаке и имеет адрес маршрутизации david@service.contoso.com.

  4. Гибридный сервер разбивает сообщение на две копии. Одна копия сообщения отправляется через соединитель группы маршрутизации, настроенный между гибридным сервером и сервером Exchange 2003, и доставляется в почтовый ящик пользователя Chris.

  5. Вторая копия отсылается через соединитель отправки, настроенный между гибридным сервером и службой FOPE, которая принимает сообщение, отправляемое в облачную организацию.

  6. Служба FOPE сканирует сообщение на наличие вирусов и отправляет его в облачную организацию, где оно доставляется в почтовый ящик пользователя David.

Входящая почта, отправляемая в общее пространство имен через локальный гибридный сервер

Поток обработки входящей почты; общее пространство имен

На следующем рисунке показан процесс отправки исходящих сообщений в Интернет.

  1. Пользователь Chris, у которого есть почтовый ящик на локальном сервере Exchange 2003, отправляет сообщение внешнему получателю в Интернете — erin@cpandl.com. Пользователь David, имеющий почтовый ящик в облачной организации, отправляет сообщение внешнему получателю brian@cpandl.com. Оба пользователя имеют обратный адрес contoso.com.

  2. Сервер Exchange 2003 отправляет сообщение пользователя Chris через соединитель группы маршрутизации на гибридный сервер.

  3. На гибридном сервере осуществляется проверка на соответствие требованиям, наличие вирусов и выполняются другие процессы, настроенные администратором, для сообщений пользователя Chris.

  4. Гибридный сервер ищет запись MX для домена cpandl.com и отправляет сообщение на почтовые серверы cpandl.com, расположенные в Интернете.

  5. Облачная организация отправляет сообщение пользователя David службе FOPE.

  6. Служба FOPE настраивается на отправку всех связанных с Интернетом сообщений непосредственно в Интернет. Служба FOPE ищет MX-запись для домена cpandl.com.

  7. Служба FOPE доставляет сообщение непосредственно на почтовые серверы cpandl.com, расположенные в Интернете. Так как сообщение никогда не проходит через гибридный сервер, локальные процессы к нему не применяются.

Исходящая почта, отправляемая из общего пространства имен через независимые пути

Децентрализованный поток обработки исходящей почты, общее пространство имен

Разделенное пространство имен с централизованным управлением почтой

На следующем рисунке показан процесс отправки входящих сообщений получателям в данной организации.

  1. Входящее сообщение от отправителя в Интернете пересылается получателю chris@contoso.com, а другое сообщение — david@service.contoso.com. Почтовый ящик пользователя Chris расположен на сервере Exchange 2003 в локальной организации. Почтовый ящик пользователя David находится в облачной организации.

  2. Поскольку получатели имеют различные домены адресов электронной почты, то отправляющий сервер отсылает каждое сообщение в ту организацию, которая принимает сообщения для каждого домена. Запись MX для домена contoso.com указывает на локальный гибридный сервер, в то время как запись MX для домена service.contoso.com указывает на службу FOPE.

  3. Сообщение для пользователя Chris отправляется на гибридный сервер. В результате поиска в глобальном каталоге устанавливается, что почтовый ящик пользователя Chris расположен на сервере Exchange 2003.

  4. Гибридный сервер отправляет сообщение через соединитель группы маршрутизации, настроенный между гибридным сервером и сервером Exchange 2003, и сообщение доставляется в почтовый ящик пользователя Chris.

  5. Сообщение для пользователя David отправляется в службу FOPE, которая принимает сообщения, отправляемые в облачную организацию.

  6. Служба FOPE сканирует сообщение на наличие вирусов и отправляет его в облачную организацию, где оно доставляется в почтовый ящик пользователя David.

Входящая почта, отправляемая в разделенные пространства имен через независимые пути

Поток обработки входящей почты; разделенное пространство имен

На следующем рисунке показан процесс отправки исходящих сообщений в Интернет.

  1. Пользователь Chris, у которого есть почтовый ящик на локальном сервере Exchange 2003, отправляет сообщение внешнему получателю в Интернете — erin@cpandl.com. Пользователь David, имеющий почтовый ящик в облачной организации, отправляет сообщение внешнему получателю brian@cpandl.com. Пользователь Chris имеет обратный адрес chris@contoso.com, а David — david@service.contoso.com.

  2. Сервер Exchange 2003 отправляет сообщение пользователя Chris через соединитель группы маршрутизации на гибридный сервер.

  3. Облачная организация отправляет сообщение пользователя David службе FOPE.

  4. В службе FOPE настроена отправка всех адресованных в Интернет сообщений на локальный гибридный сервер, поэтому сообщение маршрутизируется на него.

  5. Гибридный сервер осуществляет проверку на соответствие требованиям, наличие вирусов и выполняет другие процессы, настроенные администратором, для сообщений пользователей Chris и David.

  6. Гибридный сервер ищет запись MX для домена cpandl.com и отправляет сообщение на почтовые серверы cpandl.com, расположенные в Интернете.

Исходящая почта, отправляемая из разделенных пространств имен через локальный гибридный сервер

Централизованный поток обработки исходящей почты, разделенное пространство имен

Разделенное пространство имен с децентрализованным управлением почтой

На следующем рисунке показан процесс отправки входящих сообщений получателям в данной организации.

  1. Сообщение от отправителя в Интернете пересылается получателю chris@contoso.com, а другое сообщение — david@service.contoso.com. Почтовый ящик пользователя Chris расположен на сервере Exchange 2003 в локальной организации. Почтовый ящик пользователя David находится в облачной организации.

  2. Поскольку получатели имеют различные домены адресов электронной почты, то отправляющий сервер отсылает каждое сообщение в ту организацию, которая принимает сообщения для каждого домена. Запись MX для домена contoso.com указывает на локальный гибридный сервер, в то время как запись MX для домена service.contoso.com указывает на службу FOPE.

  3. Сообщение для пользователя Chris отправляется на гибридный сервер. В результате поиска в глобальном каталоге устанавливается, что почтовый ящик пользователя Chris расположен на сервере Exchange 2003.

  4. Гибридный сервер отправляет сообщение через соединитель группы маршрутизации, настроенный между гибридным сервером и сервером Exchange 2003, и сообщение доставляется в почтовый ящик пользователя Chris.

  5. Сообщение для пользователя David отправляется в службу FOPE, которая принимает сообщения, отправляемые в облачную организацию.

  6. Служба FOPE сканирует сообщение на наличие вирусов и отправляет его в облачную организацию, где оно доставляется в почтовый ящик пользователя David.

Входящая почта, отправляемая в разделенные пространства имен через независимые пути

Поток обработки входящей почты; разделенное пространство имен

На следующем рисунке показан процесс отправки исходящих сообщений в Интернет.

  1. Пользователь Chris, у которого есть почтовый ящик на локальном сервере Exchange 2003, отправляет сообщение внешнему получателю в Интернете — erin@cpandl.com. Пользователь David, имеющий почтовый ящик в облачной организации, отправляет сообщение внешнему получателю brian@cpandl.com. Пользователь Chris имеет обратный адрес chris@contoso.com, а David — david@service.contoso.com.

  2. Сервер Exchange 2003 отправляет сообщение пользователя Chris через соединитель группы маршрутизации на гибридный сервер.

  3. Гибридный сервер осуществляет проверку на соответствие требованиям, наличие вирусов и выполняет другие процессы, настроенные администратором, для сообщения пользователя Chris.

  4. Гибридный сервер ищет запись MX для домена cpandl.com и отправляет сообщение на почтовые серверы cpandl.com, расположенные в Интернете.

  5. Облачная организация отправляет сообщение пользователя David службе FOPE.

  6. Служба FOPE настроена на отправку всех связанных с Интернетом сообщений непосредственно в Интернет. Служба FOPE ищет запись MX для домена cpandl.com.

  7. Служба FOPE доставляет сообщение непосредственно на почтовые серверы cpandl.com, расположенные в Интернете. Так как сообщение никогда не проходит через гибридный сервер, локальные процессы к нему не применяются.

Исходящая почта, отправляемая из разделенных пространств имен через независимые пути

Децентрализованный поток обработки исходящей почты, разделенное пространство имен

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.