了解混合部署中的传输

Exchange 2010
 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2016-04-20

通过 Microsoft Exchange Server 2010 Service Pack 2 (SP2),您可以在 Microsoft Office 365 企业版中托管的 Exchange Online 组织中托管部分 Exchange 用户,同时又能为所有用户提供无缝邮件体验。本主题概述了如何在这种方案中使用传输服务器。

混合部署需要组织至少有一台运行 Exchange Server 2010 SP2 的服务器。如果您当前正在运行上一版本的 Exchange,则必须添加一台或多台 Exchange 2010 SP2 服务器充当 Exchange Online 组织的网关。这样做便可以实现混合部署,而无需升级整个现有部署。这些 Exchange 2010 服务器称为“混合服务器”。

组织必须包含一台或多台安装了集线器传输和客户端访问服务器角色的混合服务器。对于需要支持本地 Exchange 2003 邮箱和 Exchange Online 邮箱之间忙/闲信息交换的 Exchange Server 2003 组织,邮箱服务器角色也是必需的。将此服务器添加到组织中等同于在部署中引入第一台 Exchange 2010 服务器。有关混合部署的详细信息,请参阅了解具有 Exchange 2010 SP3 的混合部署

目录

邮件流

传输功能

混合部署中的边缘传输

本地部署和 Exchange Online 组织之间的邮件流都由传输层安全性 (TLS) 提供安全保护。本地组织中的 TLS 终结点必须是运行 Exchange 2010 SP1 或 SP2 的 Exchange 2010 SP2 集线器传输或边缘传输服务器。

本地组织和 Exchange Online 组织直接通过安全通道互通邮件。为了实现此邮件流,“管理混合配置”向导会自动创建一个专用混合发送连接器。只能为此发送连接器选择在 Exchange 2010 SP2 上运行的集线器传输服务器或在 Exchange 2010 SP1 或 Exchange 2010 SP2 上运行的边缘传输源服务器。如果您正在组织内运行 Exchange 2010 SP2,则任何集线器传输或边缘传输服务器都可以充当 Exchange Online 组织的网关。如果正在运行较早版本的 Exchange,则必须部署混合集线器传输或边缘传输服务器以在两个组织之间路由邮件。

在混合部署中,每个组织都将另一个组织视为内部组织。Exchange 在处理邮件时,本地服务器上托管的用户和 Exchange Online 用户之间实际上没有差别。两个组织之间的邮件还将绕过反垃圾邮件筛选器。

即使本地组织和 Exchange Online 组织之间的邮件经过逻辑隧道,仍会通过 Internet 传输,因此必须加以保护以防恶意用户侵害。Exchange 2010 提供下列保护措施:

  • 通道隐私性   未经授权的参与方无法访问任何捕获的数据包。

  • 收件人身份验证   保护发件人以防未经授权的参与方模拟有效收件人。

  • 发件人身份验证   保护收件人以防未经授权的参与方模拟有效发件人。

为了保护本地组织和基于云的组织,Exchange 2010 强制 TLS 使用受信任第三方证书颁发机构 (CA) 提供的安全套接字层 (SSL) 证书。混合部署中的通道隐私性不支持自签名证书。经由受 TLS 保护的通道发送的所有邮件都经过加密。

发送和接收服务器会检查对方服务器上配置的证书。对证书配置的主题名称或主题备用名称 (SAN) 之一,必须与管理员在其他服务器上显式指定的完全限定域名 (FQDN) 匹配。例如,如果 Exchange Online 组织配置为接受并保护从 mail.contoso.com FQDN 发送的邮件,则发送本地混合服务器必须具有在主题名称或 SAN 中包含 mail.contoso.com 的 SSL 证书。如果不满足此要求,则会拒绝连接。

除了 TLS 期间执行的常规证书检查,参与混合部署邮件流的发送连接器还执行域验证。域验证是一项附加的安全功能,用于减少恶意用户模拟接收服务器的风险。在发送连接器上启用域验证时,传输服务器会对出站连接执行下列安全检查:

  • 使用 TLS 加密通信通道。

  • 验证接收服务器的证书,执行吊销列表检查。

  • 传输服务器验证接收服务器证书上的 FQDN 是否与发送连接器属性中配置的域相匹配。

为了防止恶意用户模拟有效发件人,每封邮件都经过身份验证,以验证邮件是否是指定发件人提交的。在 Exchange 组织内,通过使用 Exchange 服务器添加的自定义邮件头来验证发件人身份。对于在本地组织和 Exchange Online 组织之间发送的邮件,这些邮件头值在源服务器中加密,然后在目标服务器中进行解密和验证。在传输过程中,任何可能捕获此邮件的第三方都不能解密这些邮件头。

本地组织和 Exchange Online 组织中的收件人通常具有相同的回复地址,例如 @contoso.com。由于它们具有相同的回复地址,因此发送给这两个组织中的收件人的所有邮件都必须都遵循相同的入站路由。所有入站邮件可以传递给本地组织或 Exchange Online 组织。决定将入站邮件路由到何处取决于大多数邮箱所处的位置、您是否拥有 Microsoft Forefront Online for Protection (FOPE) 以及其他因素。

从本地组织和 Exchange Online 组织中的收件人发送的邮件可以按照相同或不同路由传递到 Internet。从本地收件人发送的邮件始终直接发送给 Internet。从 Exchange Online 收件人发送的邮件可以直接发送给 Internet,也可以先通过本地组织进行路由。如果要先将合规性策略应用于 Exchange Online 邮件,则可能需要通过本地组织路由这些邮件。

在规划混合部署的传输时需要考虑许多注意事项,例如,是否使用 FOPE 保护本地组织、是否配置了边缘传输服务器以及要如何路由入站和出站 Internet 邮件。有关这些注意事项的详细信息以及有关决定最适用于组织的选项的帮助,请参阅了解 Exchange 2003 混合部署中的传输选项

此部分将讨论如何在混合部署中使用各种传输功能。此处的信息假定您在本地部署中使用的是 Exchange 2010,因为此处介绍的部分功能不适用于较早版本的 Exchange。有关详细信息,请参阅下列主题:

注释注意:
此部分中讨论的功能仅在混合部署中可用。

传输规则和日记规则在本地部署和 Exchange Online 组织之间并不同步。因此,必须确保您在两个组织中执行的任何规则都是一致的。

只要针对本地组织和 Exchange Online 组织的相应组织关系启用了送达报告,用户便可以跟踪在混合部署中发送和接收的邮件。默认情况下,在混合部署中会启用此功能。但是,请记住,如果在本地部署中使用较早版本的 Exchange,则送达报告不显示到旧版服务器上托管的收件人的最终传递,而显示传递到旧版 Exchange 系统的邮件。这不是混合部署的局限性;这是因 Exchange 2010 中邮件跟踪实现发生更改所导致的。有关详细信息,请参阅 从 Exchange 2007 传输升级 中的“不同版本的邮件跟踪”一节。

邮件提示设计为在混合部署中无缝运行。如果本地用户向 Exchange Online 组织中的收件人发送邮件,则本地客户端访问服务器会联系 Exchange Online 组织中的客户端访问服务器,并请求邮件的邮件提示数据。收到此请求后,Exchange Online 组织中的客户端访问服务器会处理邮件提示请求,针对任何邮件提示评估邮件,并向本地客户端访问服务器返回所有适用的邮件提示。Exchange Online 组织中的用户向本地收件人发送邮件时也会发生相同的处理。

请记住,在混合部署中,邮件提示有如下差异:

  • 外部收件人邮件提示仅在本地组织中进行评估。这是因为 Exchange Online 组织无法确定对于本地用户应将哪个收件人视为外部收件人。

  • 出于同一原因,组邮件提示中的外部收件人数量仅对于本地组使用本地组指标数据进行评估。

  • 超大邮件邮件提示在本地和远程组织中均进行评估。因此,一定要确保本地组织的邮件大小限制与为 Exchange Online 组织配置的邮件大小限制相匹配,以避免用户遇到不一致情况。

  • 远程组织中的所有对象都表示为本地组织中启用邮件的对象。例如,Exchange Online 组织中的邮箱表示为本地组织中的一个邮件用户。因为所有对象都可以有自定义的邮件提示,所以您可能会为同一收件人配置两个不同的自定义邮件提示。在这种情况下,将仅显示本地自定义邮件提示。本地用户将看到为本地对象配置的自定义邮件提示,而基于云的用户将看到为 Exchange Online 对象配置的自定义邮件提示。

  • 仲裁收件人或受限收件人也可能具有不匹配的配置。例如,本地邮箱可能受到限制,但 Exchange Online 组织中的相应邮件用户可能没有受到限制。在这种情况下,甚至会为 Exchange Online 用户显示受限制的收件人邮件提示。仲裁收件人邮件提示的工作方式与此类似。

默认情况下,邮件提示配置为在混合部署中运行。但是,如果您希望为本地用户和 Exchange Online 用户提供不同的体验,则可以自定义处理邮件提示的方式。有关详细信息,请参阅了解邮件提示中的“邮件提示体系结构”一节和配置邮件提示的组织设置中的“使用 Shell 为组织关系配置邮件提示”一节。

混合部署邮件仲裁功能依赖于下列要求:

  • 启用邮件的对象的冲裁属性是同步的。

  • 在本地组织中至少创建了一个仲裁邮箱。

  • 在 Exchange Online 组织中至少创建了一个仲裁邮箱。您需要在云上手动创建具有 SMTP 地址的邮件联系人,并将 DomainType 设置到 InternalRelay。

  • 在两个组织之间保留邮件头和 TNEF 格式。

在使用 Office 365 配置混合部署时,需满足以上所有要求。您无需执行任何其他操作即可使邮件仲裁工作。

有关域类型的详细信息,请参阅了解接受的域

混合部署中的邮件流需要一台 Exchange 2010 SP2 服务器作为本地部署的 TLS 终结点。这通常是本地组织中的 Exchange 2010 SP2 集线器传输服务器。但是,如果不想将内部集线器传输服务器直接公开给 Internet,则可以使用 Exchange 2010 SP2 边缘传输服务器作为 TLS 终结点。如果使用边缘传输服务器,则该服务器会代表集线器传输服务器处理本地组织与 Exchange Online 组织之间的邮件。还可以选择使用边缘传输服务器为本地组织处理发送到和发送自 Internet 收件人的邮件。

要了解有关混合部署中的边缘传输服务器的详细信息,请参阅:

在组织中使用 Exchange 2007 边缘传输服务器时,如果计划在混合部署中使用这些服务器,则它们必须升级到 Exchange 2010 SP2。

 © 2010 Microsoft Corporation。保留所有权利。
显示: