Общие сведения о параметрах транспорта для гибридного развертывания Exchange 2010

Применимо к: Exchange Server 2010 SP2

Последнее изменение раздела: 2012-07-23

При настройке гибридного развертывания между локальной организацией Exchange и облачной организацией необходимо определить способ маршрутизации почты и понять, как это повлияет на существующую организацию.

Маршрут, по которому следуют входящие сообщения, отправляемые получателям в локальной или облачной организации, зависит от выбора между общим или разделенным пространством имен. Маршрут, по которому следуют исходящие сообщения, отправляемые от пользователей в локальной или облачной организации, зависит от выбора между централизованным или децентрализованным управлением почтой.

Независимо от выбранных способов, сообщения, пересылаемые между локальной и облачной организациями, настраиваются на использование протокола TLS (Transport Layer Security) для обеспечения безопасности таких соединений.

В следующем разделе описываются аспекты, которые необходимо учесть при настройке гибридного сервера в организации.

Гибридное развертывание Exchange 2010 и транспортные серверы-концентраторы

Необходимо учесть последствия добавления транспортного сервера-концентратора Exchange 2010 к существующей организации Exchange при установке гибридного сервера. Далее указаны факторы, которые следует принять во внимание.

• Пакет обновления Exchange 2010   Все серверы Exchange 2010 на сайте, где устанавливается гибридный сервер, должны работать под управлением версии Exchange 2010 с пакетом обновления 1 (SP1) или более поздней.

• Маршрутизация сообщений   Все сообщения, отправляемые на почтовые ящики Exchange 2010 и с них, обрабатываются транспортными серверами-концентраторами Exchange 2010 в организации. Сообщения, отправляемые в облачную организацию и из нее, обрабатываются гибридным сервером. Можно настроить маршрутизацию сообщений непосредственно между гибридным сервером и пограничным транспортным сервером Exchange 2010.

Дополнительные сведения см. в разделе Общие сведения о транспорте в гибридном развертывании

В следующих разделах приводятся сведения об общих и разделенных пространствах имен, централизованном и децентрализованном управлении почтой, а также о доверенном соединении между локальной и облачной организациями.

Общие и разделенные пространства имен

При выборе общего пространства имен все получатели в локальной и облачной организациях имеют общий доступ к одному домену SMTP в своих адресах электронной почты. Запись ресурса почтового обменника (MX) для этого домена SMTP отправляет почту в локальную организацию Exchange.

Если в локальную организацию Exchange приходит сообщение для получателя, который находится в облаке, пограничный транспортный сервер устанавливает, является ли сообщение нежелательным или вредоносным; если нет, то пограничный транспортный сервер направляет его на транспортный сервер-концентратор организации. Сообщение можно переадресовать на любой транспортный сервер-концентратор на сайте Служба каталогов Active Directory, включая гибридный сервер.

Сервер для совместной работы определяет, располагается ли почтовый ящик на локальном сервере Exchange или в облачной организации, путем проверки типа получателя. Если типом получателя является почтовый ящик, транспортный сервер-концентратор маршрутизирует сообщение на локальный сервер Exchange, который содержит этот почтовый ящик.

Если в качестве типа получателя выступает удаленный почтовый ящик как специальный тип почтового пользователя, то транспортный сервер-концентратор получает удаленный адрес маршрутизации для этого удаленного ящика. Удаленный адрес маршрутизации для почтового пользователя — это SMTP-адрес его сопоставленного почтового ящика в облачной организации. Транспортный сервер-концентратор переадресует сообщение с SMTP-адресом облачного почтового ящика. Если транспортный сервер-концентратор, выполнявший поиск, не является гибридным сервером, он отправляет сообщение на гибридный сервер. Гибридный сервер затем отправляет сообщение в облачную организацию. В примерах в контрольном списке в качестве SMTP-адреса облачной организации используется домен service.contoso.com.

Примечание.
Для лучшей организации гибридного развертывания настоятельно рекомендуется использовать общее пространство имен.

При выборе разделенного пространства имен адреса электронной почты получателей в облачной организации настраиваются с доменом SMTP, который отличается от адресов получателей в локальной организации. Сообщения, отправляемые получателям в одной организации, доставляются непосредственно в эту организацию.

Дополнительные сведения об общих и разделенных пространствах имен см. в разделе: Общие сведения об общих и разделенных пространствах имен SMTP

Централизованное и децентрализованное управление почтой

Помимо выбора способа маршрутизации входящих сообщений, адресованных получателям в имеющихся организациях, можно также определить, как будут маршрутизироваться исходящие сообщения от облачных пользователей. Ниже описываются доступные параметры.

• Централизованное управление почтой   В соответствии с этим параметром исходящие сообщения, отправляемые из облачной организации, маршрутизируются через локальную организацию. За исключением сообщений, отправляемых другим получателям в той же облачной организации, все сообщения от пользователей в облачной организации отправляются через локальную организацию. Это позволяет применить правила соответствия требованиям к этим сообщениям и любым другим процессам или требованиям, которые должны применяться ко всем получателям независимо от того, расположены ли они в облачной или локальной организации.

  Важно!

  Локальный гибридный сервер должен быть доступен из Интернета для пользователей в облачной организации для отправки сообщений в Интернет. Если этот сервер недоступен, то сообщения, отправляемые из облачной организации, будут оставаться в очереди, пока не появится доступ.

• Децентрализованное управление почтой   В соответствии с этим параметром исходящие сообщения, отправляемые из облачной организации, маршрутизируются непосредственно в Интернет. Этот параметр следует использовать, если не требуется применять локальные политики или другие процедуры обработки к сообщениям, которые отправляются от пользователей в облачной организации.

Доверенное соединение

Независимо от того, были ли выбраны общие либо разделенные пространства имен или централизованное либо децентрализованное управление почтой, все сообщения, пересылаемые между получателями в локальной и облачной организациях, отправляются непосредственно из каждой организации и прямо в нее. Одним из этапов настройки, описанной в процедурах данного контрольного списка, является настройка каждой организации на то, чтобы сообщения, отправляемые из другой организации, рассматривались как внутренние. Это позволяет сообщениям обходить параметры защиты от нежелательной почты и другие службы.

В целях защиты получателей в обеих организациях и предупреждения перехвата и незаконного чтения пересылаемых сообщений между данными организациями настраивается транспорт с принудительным использованием протокола TLS и SSL-сертификатов, предоставляемых доверенным сторонним центром сертификации (ЦС).

При принудительном использовании транспорта TLS отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать полному доменному имени (FQDN), которое администратор явно задал на другом сервере. Например, если в облачной организации настроен прием и защита сообщений, отправляемых с полного доменного имени mail.contoso.com, то отправляющий локальный гибридный сервер должен иметь сертификат SSL, в котором в качестве имени субъекта или имени SAN указано имя mail.contoso.com. Если данное требование не выполняется, в соединении будет отказано.

Примечание.
Используемое имя FQDN не обязано совпадать с именем домена электронной почты получателей. Единственное требование заключается в том, что имя FQDN в поле имени субъекта сертификата или имени SAN должно совпадать с именем FQDN, на прием которого настроены принимающий или отправляющий сервер.

Доверенное соединение между локальной и облачной организациями требует, чтобы локальный сервер, принимающий соединение, обозначаемый как конечная точка TLS, был сервером Exchange 2010. В локальной организации это может быть гибридный сервер или любой другой транспортный сервер-концентратор или пограничный транспортный сервер Exchange 2010. Если конечная точка TLS не является сервером Exchange 2010, соединение установить не удастся. Указания в этом контрольном списке подразумевают настройку гибридного сервера в качестве конечной точки TLS. Для этого требуется предоставить внешний IP-адрес гибридному серверу и открыть порт 25 на брандмауэре для этого сервера.

Дополнительные сведения о SSL-сертификатах и безопасности домена см. в разделе: Общие сведения о требованиях к сертификатам, Общие сведения о сертификатах TLS

В каждом из следующих разделов показано, как движется поток почты в зависимости от выбранных вариантов настроек. Выберите раздел, чтобы увидеть, как перемещается почта для выбранного варианта.

Общее пространство имен с централизованным управлением почтой

При настройке локальной и облачной организаций на использование общего пространства имен и централизованного управления почтой все сообщения, отправляемые получателям и принимаемые от пользователей как в локальной, так и в облачной организациях, отсылаются через локальную организацию.

На следующем рисунке показан процесс отправки входящих сообщений получателям в данной организации.

1. Входящее сообщение от отправителя в Интернете пересылается получателям chris@contoso.com и david@contoso.com. Почтовый ящик пользователя Chris расположен на сервере Exchange 2010 в локальной организации. Почтовый ящик пользователя David находится в облачной организации.

2. Так как оба получателя имеют адреса с почтовым доменом contoso.com, а запись MX для contoso.com указывает на локальный пограничный транспортный сервер, то сообщение доставляется на этот же сервер.

3. Пограничный транспортный сервер выбирает транспортный сервер-концентратор в локальной организации, чтобы передать ему сообщение. Так как на гибридном сервере есть роль транспортного сервера-концентратора, сообщение отправляется на гибридный сервер.

4. Сообщение доставляется на гибридный сервер, который выполняет поиск каждого получателя с помощью локального сервера глобального каталога. Через поиск в глобальном каталоге устанавливается, что почтовый ящик пользователя Chris расположен на сервере Exchange 2010, в то время как почтовый ящик пользователя David находится в облаке и имеет адрес маршрутизации david@service.contoso.com.

5. Гибридный сервер разбивает сообщение на две копии. Одна копия сообщения отправляется на ящик Exchange 2010.

6. Вторая копия сообщения отсылается по Интернету через соединитель отправки, настроенный между гибридным сервером и службой Forefront Online Protection для Exchange (FOPE), которая принимает сообщение, отправляемое в облачную организацию.

7. Служба FOPE сканирует сообщение на наличие вирусов и отправляет его в облачную организацию, где оно доставляется в почтовый ящик пользователя David.

Входящая почта, отправляемая в общее пространство имен через локальный гибридный сервер

На следующем рисунке показан процесс отправки исходящих сообщений в Интернет.

1. Пользователь Chris, у которого есть почтовый ящик на локальном сервере Exchange 2010, отправляет сообщение внешнему получателю в Интернете — erin@cpandl.com. Пользователь David, имеющий почтовый ящик в облачной организации, отправляет сообщение внешнему получателю brian@cpandl.com. Оба пользователя имеют обратный адрес contoso.com.

2. Сервер почтовых ящиков Exchange 2010 отправляет сообщение пользователя Chris на гибридный сервер, так как он является транспортным сервером-концентратором. Гибридный сервер доставляет сообщение на пограничный транспортный сервер Exchange 2010.

3. Облачная организация отправляет сообщение пользователя David службе FOPE.

4. В службе FOPE настроена отправка всех адресованных в Интернет сообщений на локальный гибридный сервер, поэтому сообщение маршрутизируется на него. Служба FOPE настроена на обход локального пограничного транспортного сервера Exchange 2010.

5. Гибридный сервер доставляет сообщение на пограничный транспортный сервер Exchange 2010.

6. Пограничный транспортный сервер осуществляет проверку на соответствие требованиям, наличие вирусов и выполняет другие процессы, настроенные администратором, для сообщений пользователей Chris и David.

7. Пограничный транспортный сервер ищет запись MX для домена cpandl.com и отправляет сообщения на почтовые серверы cpandl.com, расположенные в Интернете.

Исходящая почта, отправляемая из общего пространства имен через локальный гибридный сервер

Разделенное пространство имен с децентрализованным управлением почтой

При настройке локальной и облачной организаций на использование общего пространства имен и выборе децентрализованного управления почтой все входящие сообщения, отправляемые получателям в каждой организации, пересылаются через локальную организацию. Тем не менее, исходящие сообщения от пользователей в каждой организации отправляются непосредственно в Интернет. Облачная организация не отправляет сообщения в Интернет через локальную организацию.

На следующем рисунке показан процесс отправки входящих сообщений получателям в данной организации.

1. Входящее сообщение от отправителя в Интернете пересылается получателям chris@contoso.com и david@contoso.com. Почтовый ящик пользователя Chris расположен на сервере Exchange 2010 в локальной организации. Почтовый ящик пользователя David находится в облачной организации.

2. Так как оба получателя имеют адреса с почтовым доменом contoso.com, а запись MX для contoso.com указывает на локальный пограничный транспортный сервер, то сообщение доставляется на этот же сервер.

3. Пограничный транспортный сервер выбирает транспортный сервер-концентратор в локальной организации, чтобы передать ему сообщение. Так как на гибридном сервере есть роль транспортного сервера-концентратора, сообщение отправляется на гибридный сервер.

4. Сообщение доставляется на гибридный сервер, который выполняет поиск каждого получателя с помощью локального сервера глобального каталога. Через поиск в глобальном каталоге устанавливается, что почтовый ящик пользователя Chris расположен на сервере Exchange 2010, в то время как почтовый ящик пользователя David находится в облаке и имеет адрес маршрутизации david@service.contoso.com.

5. Гибридный сервер разбивает сообщение на две копии. Одна копия сообщения отправляется на ящик Exchange 2010.

6. Вторая копия сообщения отсылается по Интернету через соединитель отправки, настроенный между гибридным сервером и службой Forefront Online Protection для Exchange (FOPE), которая принимает сообщение, отправляемое в облачную организацию.

7. Служба FOPE сканирует сообщение на наличие вирусов и отправляет его в облачную организацию, где оно доставляется в почтовый ящик пользователя David.

Входящая почта, отправляемая в общее пространство имен через локальный гибридный сервер

На следующем рисунке показан процесс отправки исходящих сообщений в Интернет.

1. Пользователь Chris, у которого есть почтовый ящик на локальном сервере Exchange 2010, отправляет сообщение внешнему получателю в Интернете — erin@cpandl.com. Пользователь David, имеющий почтовый ящик в облачной организации, отправляет сообщение внешнему получателю brian@cpandl.com. Оба пользователя имеют обратный адрес в домене contoso.com.

2. Сервер почтовых ящиков Exchange 2010 отправляет сообщение пользователя Chris на гибридный сервер, так как он является транспортным сервером-концентратором. Гибридный сервер доставляет сообщение на пограничный транспортный сервер Exchange 2010.

3. Пограничный транспортный сервер осуществляет проверку на соответствие требованиям, наличие вирусов и выполняет другие процессы, настроенные администратором, для сообщения пользователя Chris.

4. Пограничный транспортный сервер ищет запись MX для домена cpandl.com и отправляет сообщение на почтовые серверы cpandl.com, расположенные в Интернете.

5. Облачная организация отправляет сообщение пользователя David службе FOPE.

6. Служба FOPE настроена на отправку всех связанных с Интернетом сообщений непосредственно в Интернет. Служба FOPE ищет запись MX для домена cpandl.com.

7. Служба FOPE доставляет сообщение непосредственно на почтовые серверы cpandl.com, расположенные в Интернете. Так как сообщение никогда не проходит через гибридный сервер, локальные процессы к нему не применяются.

Исходящая почта, отправляемая из общего пространства имен через независимые пути

Разделенное пространство имен с централизованным управлением почтой

На следующем рисунке показан процесс отправки входящих сообщений получателям в данной организации.

1. Входящее сообщение от отправителя в Интернете пересылается получателю chris@contoso.com, а другое сообщение — david@service.contoso.com. Почтовый ящик пользователя Chris расположен на сервере Exchange 2010 в локальной организации. Почтовый ящик пользователя David находится в облачной организации.

2. Поскольку получатели имеют различные домены адресов электронной почты, то отправляющий сервер отсылает каждое сообщение в ту организацию, которая принимает сообщения для каждого домена. Запись MX для домена contoso.com указывает на локальный пограничный транспортный сервер, в то время как запись MX для домена service.contoso.com указывает на службу FOPE.

3. Пограничный транспортный сервер отправляет сообщение на гибридный сервер, так как он является транспортным сервером-концентратором.

4. Гибридный сервер выполняет поиск каждого получателя, используя локальный сервер глобального каталога. В результате поиска в глобальном каталоге устанавливается, что почтовый ящик пользователя Chris расположен на сервере Exchange 2010.

5. Гибридный сервер доставляет сообщение на почтовый ящик пользователя Chris на сервере Exchange 2010.

6. Сообщение для пользователя David отправляется в службу FOPE, которая принимает сообщения, отправляемые в облачную организацию.

7. Служба FOPE сканирует сообщение на наличие вирусов и отправляет его в облачную организацию, где оно доставляется в почтовый ящик пользователя David.

Входящая почта, отправляемая в разделенные пространства имен через независимые пути

На следующем рисунке показан процесс отправки исходящих сообщений в Интернет.

1. Пользователь Chris, у которого есть почтовый ящик на локальном сервере Exchange 2010, отправляет сообщение внешнему получателю в Интернете — erin@cpandl.com. Пользователь David, имеющий почтовый ящик в облачной организации, отправляет сообщение внешнему получателю brian@cpandl.com. Пользователь Chris имеет обратный адрес chris@contoso.com, а David — david@service.contoso.com.

2. Сервер почтовых ящиков Exchange 2010 отправляет сообщение пользователя Chris на гибридный сервер, так как он является транспортным сервером-концентратором. Гибридный сервер доставляет сообщение на пограничный транспортный сервер Exchange 2010.

3. Облачная организация отправляет сообщение пользователя David службе FOPE.

4. В службе FOPE настроена отправка всех адресованных в Интернет сообщений на локальный гибридный сервер, поэтому сообщение маршрутизируется на него. Служба FOPE настроена на обход локального пограничного транспортного сервера Exchange 2010.

5. Гибридный сервер доставляет сообщение на пограничный транспортный сервер Exchange 2010.

6. Пограничный транспортный сервер осуществляет проверку на соответствие требованиям, наличие вирусов и выполняет другие процессы, настроенные администратором, для сообщений пользователей Chris и David.

7. Пограничный транспортный сервер ищет запись MX для домена cpandl.com и отправляет сообщения на почтовые серверы cpandl.com, расположенные в Интернете.

Исходящая почта, отправляемая из разделенных пространств имен через локальный гибридный сервер

Разделенное пространство имен с децентрализованным управлением почтой

На следующем рисунке показан процесс отправки входящих сообщений получателям в данной организации.

1. Входящее сообщение от отправителя в Интернете пересылается получателю chris@contoso.com, а другое сообщение — david@service.contoso.com. Почтовый ящик пользователя Chris расположен на сервере Exchange 2010 в локальной организации. Почтовый ящик пользователя David находится в облачной организации.

2. Поскольку получатели имеют различные домены адресов электронной почты, то отправляющий сервер отсылает каждое сообщение в ту организацию, которая принимает сообщения для каждого домена. Запись MX для домена contoso.com указывает на локальный пограничный транспортный сервер, в то время как запись MX для домена service.contoso.com указывает на службу FOPE.

3. Пограничный транспортный сервер отправляет сообщение на гибридный сервер, так как он является транспортным сервером-концентратором.

4. Гибридный сервер выполняет поиск каждого получателя, используя локальный сервер глобального каталога. В результате поиска в глобальном каталоге устанавливается, что почтовый ящик пользователя Chris расположен на сервере Exchange 2010.

5. Гибридный сервер доставляет сообщение на почтовый ящик пользователя Chris на сервере Exchange 2010.

6. Сообщение для пользователя David отправляется в службу FOPE, которая принимает сообщения, отправляемые в облачную организацию.

7. Служба FOPE сканирует сообщение на наличие вирусов и отправляет его в облачную организацию, где оно доставляется в почтовый ящик пользователя David.

Входящая почта, отправляемая в разделенные пространства имен через независимые пути

На следующем рисунке показан процесс отправки исходящих сообщений в Интернет.

1. Пользователь Chris, у которого есть почтовый ящик на локальном сервере Exchange 2010, отправляет сообщение внешнему получателю в Интернете — erin@cpandl.com. Пользователь David, имеющий почтовый ящик в облачной организации, отправляет сообщение внешнему получателю brian@cpandl.com. Пользователь Chris имеет обратный адрес chris@contoso.com, а David — david@service.contoso.com.

2. Сервер почтовых ящиков Exchange 2010 отправляет сообщение пользователя Chris на гибридный сервер, так как он является транспортным сервером-концентратором. Гибридный сервер доставляет сообщение на пограничный транспортный сервер Exchange 2010.

3. Пограничный транспортный сервер осуществляет проверку на соответствие требованиям, наличие вирусов и выполняет другие процессы, настроенные администратором, для сообщения пользователя Chris.

4. Пограничный транспортный сервер ищет запись MX для домена cpandl.com и отправляет сообщение на почтовые серверы cpandl.com, расположенные в Интернете.

5. Облачная организация отправляет сообщение пользователя David службе FOPE.

6. Служба FOPE настроена на отправку всех связанных с Интернетом сообщений непосредственно в Интернет. Служба FOPE ищет запись MX для домена cpandl.com.

7. Служба FOPE доставляет сообщение непосредственно на почтовые серверы cpandl.com, расположенные в Интернете. Так как сообщение никогда не проходит через гибридный сервер, локальные процессы к нему не применяются.

Исходящая почта, отправляемая из разделенных пространств имен через независимые пути

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.