Параметры транспорта при гибридном развертывании Exchange 2013 и Exchange 2007Transport options in Exchange 2013/Exchange 2007 hybrid deployments

В гибридных развертываниях почтовые ящики могут размещаться в локальной организации Exchange и в организации Exchange Online. Чтобы эти две разные организации выглядели для пользователей единой структурой и между ними происходил обмен сообщениями, очень важно обеспечить гибридную транспортировку. В гибридной транспортировке сообщения, отправляемые пользователями в обеих организациях, проходят проверку подлинности, перемещаются с использованием протокола TLS и выглядят как внутренние сообщения для таких компонентов Exchange, как правила транспортировки, ведение журналов и политики блокировки нежелательной почты. Гибридная транспортировка настраивается автоматически с помощью мастера гибридной конфигурации вExchange 2013In hybrid deployments, you can have mailboxes that reside in your on-premises Exchange organization and also in an Exchange Online organization. A critical component of making these two separate organizations appear as one combined organization to users and messages exchanged between them is hybrid transport. With hybrid transport, messages sent between recipients in either organization are authenticated, encrypted, and transferred using Transport Layer Security (TLS), and appear as "internal�? to Exchange components such as transport rules, journaling, and anti-spam policies. Hybrid transport is automatically configured by the Hybrid Configuration wizard in Exchange 2013

Для того чтобы конфигурация гибридного транспорта была совместима с мастером гибридной конфигурации, конечная точка локального SMTP, которая принимает подключения от службы защиты Microsoft Exchange Online Protection (EOP), обрабатывающей транспорт организации Exchange Online, должна быть сервером клиентского доступа Exchange 2013 или пограничным транспортным сервером Exchange 2013 или пограничным транспортным сервером Exchange Server 2010 с пакетом обновления 3 (SP3).For hybrid transport configuration to work with the Hybrid Configuration wizard, the on-premises SMTP endpoint that accepts connections from Microsoft Exchange Online Protection (EOP), which handles transport for the Exchange Online organization, must be an Exchange 2013 Client Access server, an Exchange 2013 Edge Transport server, or an Exchange Server 2010 Service Pack 3 (SP3) Edge Transport server.

Важно!

Между локальными серверами клиентского доступа Exchange 2013 или пограничным транспортным сервером Exchange 2013/пограничным транспортным сервером Exchange 2010 с пакетом обновления 3 (SP3) и EOP может не быть других узлов SMTP или служб. Информация, добавляемая в сообщения для обеспечения функций гибридной транспортировки, удаляется при прохождении сообщений через сервер, отличный Exchange 2013, более ранний, чем Exchange 2010 SP3, или через узел SMTP. При наличии пограничных транспортных серверов Exchange 2010 с пакетом обновления 2 (SP2) в организации и необходимости использовать их для гибридного транспорта необходимо обновить их до Exchange 2010 с пакетом обновления 3 (SP3).There can be no other SMTP hosts or services between the on-premises Exchange 2013 Client Access servers or Exchange 2013/Exchange 2010 SP3 Edge Transport servers and EOP. Information added to messages that enables hybrid transport features is removed when they pass through a non-Exchange 2013 server, pre-Exchange 2010 SP3 servers, or an SMTP host. If you have any Exchange 2010 SP2 Edge Transport servers deployed in your organization, and you want to use them for hybrid transport, they must be upgraded to Exchange 2010 SP3.

Входящие сообщения, отправляемые получателям в обеих организациях от внешних отправителей в Интернете, следуют по единому входному маршруту. Исходящие сообщения от организаций для внешних получателей в Интернете могут проходить по общему выходному маршруту или отправляться независимыми маршрутами.Inbound messages sent to recipients in both organizations from external Internet senders follow a common inbound route. Outbound messages sent from the organizations to external Internet recipients can either follow a common outbound route or can be sent via independent routes.

Во время настройки гибридного развертывания необходимо выбрать способ маршрутизации входящей и исходящей почты. Маршрут входящих и исходящих сообщений пользователей в локальной организации и в организации Exchange Online зависит от следующего.You'll need to choose how to route inbound and outbound mail when you plan and configure your hybrid deployment. The route taken by inbound and outbound messages sent to and from recipients in the on-premises and Exchange Online organizations depends on the following:

  • Желаете ли вы использовать маршрутизацию входящей почты для локальных почтовых ящиков и ящиков Exchange Online через локальную организацию или через Microsoft Office 365 и EOP?Do you want to route inbound Internet mail for both your on-premises and Exchange Online mailboxes through Microsoft Office 365 and EOP or through your on-premises organization?

    Входящую почту в обе организации можно маршрутизировать через локальную организацию или через EOP и организацию Exchange Online. Маршрут входящих сообщений для обеих организаций зависит от того, включен ли централизованный транспорт почты в гибридном развертывании.You can choose to route inbound Internet mail for both organizations through your on-premises organization or through EOP and the Exchange Online organization. The route that inbound messages for both organizations take depends on whether you enable centralized mail transport in your hybrid deployment.

  • Следует ли маршрутизировать исходящую почту организации Exchange Online для внешних получателей через локальную организацию (централизованный транспорт почты) или напрямую в Интернет?Do you want to route outbound mail to external recipients from your Exchange Online organization through your on-premises organization (centralized mail transport), or do you want to route it directly to the Internet?

    Централизованный транспорт почты позволяет маршрутизировать всю почту от почтовых ящиков в организации Exchange Online через локальную организацию, прежде чем она будет доставлена в Интернет. Такой подход удобен в основном в сценариях обеспечения соблюдения требований, где вся почта, адресованная в Интернет и поступающая из него, должна обрабатываться локальными серверами. Другой вариант - настроить Exchange Online на доставку сообщений внешним пользователям напрямую в Интернет.Known as centralized mail transport, you can route all mail from mailboxes in the Exchange Online organization through the on-premises organization before they're delivered to the Internet. This approach is helpful in compliance scenarios where all mail to and from the Internet must be processed by on-premises servers. Alternately, you can configure Exchange Online to deliver messages for external recipients directly to the Internet.

    Примечание

    Централизованный почтовый транспорт рекомендуется только для организаций с определенными требованиями соблюдения транспорта. Стандартным организациям Exchange централизованный почтовый транспорт не рекомендуется.Centralized mail transport is only recommended for organizations with specific compliance-related transport needs. Our recommendation for typical Exchange organizations is not to enable centralized mail transport.

  • Будет ли разворачиваться в локальной организации пограничный транспортный сервер?Do you want to deploy an Edge Transport server in your on-premises organization?

    Если вы не хотите открывать подключенные к домену внутренние серверы Exchange 2013 непосредственно в Интернете, можно развернуть в сети периметра пограничные транспортные серверы Exchange 2013 или Exchange 2010 с пакетом обновления 3 (SP3). Дополнительные сведения о добавлении пограничного транспортного сервера в гибридное развертывание см. в разделе Пограничные транспортные серверы при гибридном развертывании Exchange 2013 и Exchange 2007.If you don't want to expose your domain-joined internal Exchange 2013 servers directly to the Internet, you can deploy Exchange 2013 Edge Transport servers or Exchange 2010 SP3 Edge Transport servers in your perimeter network. For more information about adding an Edge Transport server to your hybrid deployment, see Edge Transport servers in Exchange 2013/Exchange 2007 hybrid deployments.

Независимо от способа маршрутизации сообщений в Интернет и из Интернета, все сообщения между локальной организацией и организацией Exchange Online передаются с использованием безопасной транспортировки. Дополнительные сведения см. в подразделе Доверенное соединение далее в этом разделе.Regardless of how you route messages to and from the Internet, all messages sent between the on-premises and Exchange Online organizations are sent using secure transport. For more information, see Trusted communication later in this topic.

Дополнительные сведения о том, как эти параметры влияют на маршрутизацию сообщений в организации, см. раздел Маршрутизация транспорта в гибридных развертываниях Exchange 2013 и Exchange 2007.To learn more about how these options affect message routing in your organization, see Transport routing in Exchange 2013/Exchange 2007 hybrid deployments.

Служба защиты Exchange Online Protection в гибридных развертыванияхExchange Online Protection in hybrid deployments

EOP - это веб-служба Майкрософт, используемая многими компаниями для защиты локальных организаций от вирусов, нежелательной почты, фишинга и нарушений политик. В Office 365 служба EOP используется для защиты организаций Exchange Online от этих же угроз. При регистрации в Office 365 автоматически создается компания EOP, сопоставленная организации Exchange Online.EOP is an online service provided by Microsoft that's used by many companies to protect their on-premises organizations from viruses, spam, phishing scams, and policy violations. In Office 365, EOP is used to protect Exchange Online organizations from the same threats. When you sign up for Office 365, an EOP company is automatically created that's tied to your Exchange Online organization.

Компания EOP содержит несколько параметров транспортировки почты, которые можно настраивать для организации Exchange Online. Можно указать, какие домены SMTP должны поступать от определенных IP-адресов, а также могут требовать сертификат TLS и SSL, обходить политики соответствия требованиям и т. д. EOP - это вход в организацию Exchange Online. Все сообщения, независимо от их происхождения, должны проходить через EOP, прежде чем попасть в почтовые ящики в организации Exchange Online. А все сообщения, отправленные из организации Exchange Online, должны проходить через EOP, прежде чем попасть в Интернет.An EOP company contains several of the mail transport settings that can be configured for your Exchange Online organization. You can specify which SMTP domains must come from specific IP addresses, require a TLS and a Secure Sockets Layer (SSL) certificate, can bypass compliance policies, and more. EOP is the front door to your Exchange Online organization. All messages, regardless of their origin, must pass through EOP before they reach mailboxes in your Exchange Online organization. And, all messages sent from your Exchange Online organization must go through EOP before they reach the Internet.

При настройке гибридного развертывания с помощью мастера гибридной конфигурации все параметры транспортировки создаются автоматически в локальной организации и в компании EOP, созданной для организации Exchange Online. Мастер гибридной конфигурации настраивает все входящие и исходящие соединители и другие параметры в этой компании EOP, чтобы обеспечить защиту сообщений, передаваемых между локальной организацией и организацией Exchange Online, и направлять сообщения по правильным адресам. Если необходимо настроить пользовательские параметры транспортировки для организации Exchange Online, они также должны быть настроены в этой компании EOP.When you configure a hybrid deployment with the Hybrid Configuration wizard, all transport settings are automatically configured in your on-premises organization and in the EOP company included in your Exchange Online organization. The Hybrid Configuration wizard configures all inbound and outbound connectors and other settings in this EOP company to secure messages sent between the on-premises and Exchange Online organizations and route messages to the right destination. If you want to configure custom transport settings for your Exchange Online organization, you'll configure them in this EOP company also.

Доверенное соединениеTrusted communication

Чтобы обеспечить защиту получателей в локальных организациях и организациях Exchange Online, а также предотвратить перехват и чтение сообщений, передаваемых между организациями, транспортировка между локальной организацией и EOP настроена на принудительное использование TLS. Транспортировка TLS использует сертификаты SSL, выдаваемые доверенным сторонним центром сертификации (CA). Сообщения между EOP и организацией Exchange Online также используют TLS.To help protect recipients in both the on-premises and Exchange Online organizations, and to help ensure that messages sent between the organizations aren't intercepted and read, transport between the on-premises organization and EOP is configured to use forced TLS. TLS transport uses Secure Sockets Layer (SSL) certificates provided by a trusted third-party certificate authority (CA). Messages between EOP and the Exchange Online organization also use TLS.

При принудительном использовании транспорта TLS отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать FQDN, которое администратор явно задал на другом сервере. Например, если в EOP настроены прием и защита сообщений, отправляемых с полного доменного имени mail.contoso.com, то отправляющий локальный сервер клиентского доступа или пограничный транспортный сервер должны иметь сертификат SSL, в котором в качестве имени субъекта или имени SAN указано имя mail.contoso.com. Если данное требование не удовлетворяется, в соединении будет отказано службой EOP.When using forced TLS transport, the sending and receiving servers examine the certificate configured on the other server. The subject name, or one of the subject alternative names (SANs), configured on the certificates must match the FQDN that an administrator has explicitly specified on the other server. For example, if EOP is configured to accept and secure messages sent from the mail.contoso.com FQDN, the sending on-premises Client Access or Edge Transport server must have an SSL certificate with mail.contoso.com in either the subject name or SAN. If this requirement isn't met, the connection is refused by EOP.

Примечание

Используемое имя FQDN не обязано совпадать с именем домена электронной почты получателей. Единственное требование заключается в том, что имя FQDN в поле имени субъекта сертификата или имени SAN должно совпадать с именем FQDN, на прием которого настроены принимающий или отправляющий серверы.The FQDN used doesn't need to match the email domain name of the recipients. The only requirement is that the FQDN in the certificate subject name or SAN must match the FQDN that the receiving or sending servers are configured to accept.

Помимо использования TLS, сообщения между организациями рассматриваются как внутренние. Такой подход позволяет сообщениям обходить параметры защиты от нежелательной почты и другие службы.In addition to using TLS, messages between the organizations are treated as "internal.�? This approach allows messages to bypass anti-spam settings and other services.

Дополнительные сведения о сертификатах SSL и безопасности доменов см. в Требования к сертификатам для гибридных развертываний и в разделе Общие сведения о сертификатах TLS.Learn more about SSL certificates and domain security at Certificate requirements for hybrid deployments and Understanding TLS Certificates.