Share via

Понимание параметров транспорта в гибридных развертываниях Exchange 2007

  • Статья

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2013-01-25

В гибридных развертываниях почтовые ящики могут размещаться в локальной организации и в организации Exchange Online. Чтобы эти две разные организации выглядели для пользователей единой структурой и между ними происходил обмен сообщениями, очень важно обеспечить гибридную транспортировку. В гибридной транспортировке сообщения, отправляемые пользователями в обеих организациях, проходят проверку подлинности, перемещаются с использованием протокола TLS и выглядят как внутренние сообщения для таких компонентов Exchange, как правила транспортировки, ведение журналов и политики блокировки нежелательной почты. В пакете обновления 3 (SP3) для Exchange 2010 гибридная транспортировка настраивается автоматически мастером управления гибридной конфигурацией.

Чтобы обеспечить взаимодействие гибридной транспортной конфигурации с мастером управления гибридной конфигурацией, локальная конечная точка SMTP, принимающая подключения от Exchange Online Protection (EOP), которая обрабатывает транспортировку в организации Exchange Online, должна находиться на транспортном сервере-концентраторе или пограничном транспортном сервере Exchange 2010 SP3. Гибридная транспортировка использует новые функции Exchange 2010 SP3 для обеспечения безопасности сообщений и представления их как внутренних сообщений. Локальный сервер Exchange 2010 SP3 требуется для гибридной транспортировки между локальной организацией и организацией Exchange Online, однако нет необходимости маршрутизировать входящую и исходящую почту локальных почтовых ящиков и получателей в Интернете через сервер Exchange 2010.

ВажноВажно!
Между локальным транспортным сервером-концентратором или пограничным транспортным сервером Exchange 2010 SP3 и EOP может не быть других узлов SMTP, служб или устройств. Информация, добавляемая в сообщения для обеспечения функций гибридной транспортировки, удаляется при прохождении сообщений через сервер, отличный от Exchange 2010 SP3, или через узел SMTP. Это относится также к более ранним версиям Exchange. Если в организации развернуты пограничные транспортные серверы Exchange 2007 и планируется использовать их для гибридной транспортировки, то их следует обновить до Exchange 2010 SP3.
Чтобы использовать мастер управления гибридным развертыванием для настройки гибридного развертывания, на транспортных серверах-концентраторах и пограничных транспортных серверах должна работать версия Exchange 2010 SP3.

Входящие сообщения, отправляемые получателям в обеих организациях от внешних отправителей в Интернете, следуют по единому входному маршруту. Исходящие сообщения от организаций для внешних получателей в Интернете могут проходить по общему выходному маршруту или отправляться независимыми маршрутами.

Во время настройки гибридного развертывания необходимо выбрать способ маршрутизации входящей и исходящей почты. Маршрут входящих и исходящих сообщений пользователей в локальной организации и в организации Exchange Online зависит от следующего.

  • Желаете ли вы использовать маршрутизацию входящей почты для локальных почтовых ящиков и ящиков Exchange Online через локальную организацию или через Microsoft Office 365 и EOP?

    Входящую почту в обе организации можно маршрутизировать через локальную организацию или через EOP и организацию Exchange Online. Маршрут входящих сообщений для обеих организаций зависит от того, включен ли централизованный транспорт почты в гибридном развертывании.

  • Следует ли маршрутизировать исходящую почту организации Exchange Online для внешних получателей через локальную организацию (централизованный транспорт почты) или напрямую в Интернет?

    Централизованный транспорт почты позволяет маршрутизировать всю почту от почтовых ящиков в организации Exchange Online через локальную организацию, прежде чем она будет доставлена в Интернет. Такой подход удобен в основном в сценариях обеспечения соблюдения требований, где вся почта, адресованная в Интернет и поступающая из него, должна обрабатываться локальными серверами. Другой вариант – настроить Exchange Online на доставку сообщений внешним пользователям напрямую в Интернет.

    ПримечаниеПримечание.
    Централизованный почтовый транспорт рекомендуется только для организаций с определенными требованиями к транспорту. Стандартным организациям Exchange централизованный почтовый транспорт не рекомендуется.

  • Будет ли разворачиваться в локальной организации пограничный транспортный сервер?

    Если вы не хотите открывать подключенные к домену внутренние гибридные транспортные серверы-концентраторы непосредственно в Интернет, можно развернуть в пограничной сети пограничные транспортные серверы. Дополнительные сведения о добавлении пограничного транспортного сервера в гибридное развертывание см. в разделе : Общие сведения о пограничных транспортных серверах в гибридных развертываниях Exchange 2007

Независимо от способа маршрутизации сообщений в Интернет и из Интернета, все сообщения между локальной организацией и организацией Exchange Online передаются с использованием безопасной транспортировки. Дополнительные сведения см. в разделе "Доверенное соединение" далее в этой главе.

Дополнительные сведения о том, как эти параметры влияют на маршрутизацию сообщений в организации, см. раздел Общие сведения о маршрутизации транспорта в гибридных развертываниях Exchange 2007.

Служба защиты Exchange Online Protection в гибридных развертываниях

EOP – это веб-служба Майкрософт, используемая многими компаниями для защиты локальных организаций от вирусов, нежелательной почты, фишинга и нарушений политик. В Office 365 служба EOP используется для защиты организаций Exchange Online от этих же угроз. При регистрации в Office 365 автоматически создается компания EOP, сопоставленная организации Exchange Online.

Компания EOP содержит несколько параметров транспортировки почты, которые можно настраивать для организации Exchange Online. Можно указать, какие домены SMTP должны поступать от определенных IP-адресов, требовать сертификат TLS и SSL, могут обходить фильтры нежелательной почты или политики соответствия требованиям и т. д. FOPE – это вход в организацию Exchange Online. Все сообщения, независимо от их происхождения, должны проходить через EOP, прежде чем попасть в почтовые ящики в организации Exchange Online. А все сообщения, отправленные из организации Exchange Online, должны проходить через EOP, прежде чем попасть в Интернет.

При настройке гибридного развертывания с помощью мастера управления гибридной конфигурацией в локальной организации и в компании EOP, созданной для организации Exchange Online, все параметры транспортировки создаются автоматически. Мастер управления гибридной конфигурацией настраивает все входящие и исходящие соединители и другие параметры в этой компании EOP, чтобы обеспечить защиту сообщений, передаваемых между локальной организацией и организацией Exchange Online, и направлять сообщения по правильным адресам. Если необходимо настроить пользовательские параметры транспортировки для организации Exchange Online, они также должны быть настроены в этой компании EOP.

Доверенное соединение

Чтобы обеспечить защиту получателей в локальных организациях и организациях Exchange Online, а также предотвратить перехват и чтение сообщений, передаваемых между организациями, транспортировка между локальной организацией и EOP настроена на принудительное использование TLS. Транспортировка TLS использует сертификаты SSL, выдаваемые доверенным сторонним центром сертификации (CA). Сообщения между EOP и организацией Exchange Online также используют TLS.

При принудительном использовании транспорта TLS отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать FQDN, которое администратор явно задал на другом сервере. Например, если в EOP настроен прием и защита сообщений, отправляемых с полного доменного имени hybrid.contoso.com, то отправляющий локальный гибридный сервер должен иметь сертификат SSL, в котором в качестве имени субъекта или имени SAN указано имя hybrid.contoso.com. Если данное требование не удовлетворяется, в соединении будет отказано.

ПримечаниеПримечание.
Используемое имя FQDN не обязано совпадать с именем домена электронной почты получателей. Единственное требование заключается в том, что имя FQDN в поле имени субъекта сертификата или имени SAN должно совпадать с именем FQDN, на прием которого настроены принимающий или отправляющий серверы.

Помимо использования TLS, сообщения между организациями рассматриваются как внутренние. Такой подход позволяет сообщениям обходить параметры защиты от нежелательной почты и другие службы.

Дополнительные сведения о SSL-сертификатах и безопасности домена см. в разделе: Общие сведения о требованиях к сертификатам для гибридных развертываний, Общие сведения о сертификатах TLS

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.