Параметры транспорта при гибридных развертываниях ExchangeTransport options in Exchange hybrid deployments

В гибридных развертываниях может иметь почтовые ящики, которые находятся в вашей локальной организации Exchange, а также в организации Exchange Online. Важная составляющая внесения этих двух разных организациях отображаются в виде одного объединенный организации для пользователей и сообщений, отправленных в между ними — гибридного транспорта. С гибридного транспорта сообщений между получателями в любой из организаций проходят проверку подлинности, шифруются и передаются с помощью безопасности TLS (Transport Layer). Эти сообщения отображается как «внутренние» компонентов Exchange, такие как правила транспорта, ведения журнала и политик защиты от нежелательной почты. Гибридный транспортный автоматически настраивается с помощью мастера гибридной конфигурации.In hybrid deployments, you can have mailboxes that reside in your on-premises Exchange organization and also in an Exchange Online organization. A critical component of making these two separate organizations appear as one combined organization to users and messages exchanged between them is hybrid transport. With hybrid transport, messages sent between recipients in either organization are authenticated, encrypted, and transferred using Transport Layer Security (TLS). These messages appear as "internal" to Exchange components such as transport rules, journaling, and anti-spam policies. Hybrid transport is automatically configured by the Hybrid Configuration wizard.

Для гибридной конфигурации транспорта для работы с помощью мастера гибридной конфигурации локальной конечной точке SMTP, который принимает подключения от Exchange Online должен быть сервер почтовых ящиков (Exchange 2016 и более поздней версии), сервер клиентского доступа (Exchange 2013), транспортного сервера-концентратора сервер (Exchange 2010 и старые), или на пограничном транспортном сервере (Exchange 2010 и более поздней версии).For hybrid transport configuration to work with the Hybrid Configuration wizard, the on-premises SMTP endpoint that accepts connections from Exchange Online must be a Mailbox server (Exchange 2016 and newer), Client Access server (Exchange 2013), Hub Transport server (Exchange 2010 and older), or an Edge Transport server (Exchange 2010 and newer).

Важно!

Не помещайте серверы, службы или устройств между локальными серверами Exchange и Office 365, которые обрабатывают или изменение SMTP-трафика. Secure поток почты между своей локальной организации Exchange и Office 365, зависит от сведения, содержащиеся в сообщения, отправленные между организации. Поддерживаемые брандмауэры, разрешающие трафик SMTP через TCP-порт 25 через без изменений. Если сервер, службы или устройство обрабатывает сообщение, отправленное между локальной организации Exchange и Office 365, удаляется эти сведения. В этом случае сообщение больше не рассматривается как внутри организации и будут применяться правила фильтрации нежелательной почты, транспорта и правила журнала и другие политики, которые могут не относиться к нему.Don't place any servers, services, or devices between your on-premises Exchange servers and Office 365 that process or modify SMTP traffic. Secure mail flow between your on-premises Exchange organization and Office 365 depends on information contained in messages sent between the organization. Firewalls that allow SMTP traffic on TCP port 25 through without modification are supported. If a server, service, or device processes a message sent between your on-premises Exchange organization and Office 365, this information is removed. If this happens, the message will no longer be considered internal to your organization and will be subject to anti-spam filtering, transport and journal rules, and other policies that may not apply to it.

Входящие сообщения, отправляемые получателям в обеих организациях от внешних отправителей в Интернете, следуют по единому входному маршруту. Исходящие сообщения от организаций для внешних получателей в Интернете могут проходить по общему выходному маршруту или отправляться независимыми маршрутами.Inbound messages sent to recipients in both organizations from external Internet senders follow a common inbound route. Outbound messages sent from the organizations to external Internet recipients can either follow a common outbound route or can be sent via independent routes.

Необходимо установить режим для маршрутизации входящей и исходящей почты, при планировании и настройке гибридного развертывания. Маршрут входящих и исходящих сообщений, отправленных в и из нее получателей в локальных и организацию Exchange Online зависит от следующих:You'll need to choose how to route inbound and outbound mail when you plan and configure your hybrid deployment. The route taken by inbound and outbound messages sent to and from recipients in the on-premises and Exchange Online organizations depends on the following:

  • Хотите ли вы маршрутизацию входящей почты для локальных и почтовых ящиков Exchange Online через Exchange Online или с помощью локальной организации?Do you want to route inbound Internet mail for both your on-premises and Exchange Online mailboxes through Exchange Online or through your on-premises organization?

    Маршрут входящих сообщений для обеих организаций зависит от различных факторов, например, от того, где расположено большинство почтовых ящиков, хотите ли вы защитить локальную организацию с помощью средств поиска вредоносных программ и спама в Office 365, где выполняется настройка инфраструктуры соответствия требованиям и т. д.The route that inbound messages for both organizations take depends on various factors, such as where the majority of your mailboxes are located, whether you want to protect your on-premises organization using Office 365's anti-malware and anti-spam scanning, where your compliance infrastructure is configured, and so on.

  • Хотите ли вы маршрутизации исходящей почты внешним получателям из организации Exchange Online через в локальной организации (централизованного транспорта почты), или вы хотите передать его непосредственно в Интернете?Do you want to route outbound mail to external recipients from your Exchange Online organization through your on-premises organization (centralized mail transport), or do you want to route it directly to the Internet?

    Централизованный почтовый транспорт могут перенаправлять все почтовые сообщения из почтовых ящиков в организации Exchange Online через локальную организацию, прежде чем они будет доставлено в Интернет. Такой подход будет полезно в сценариях соответствия требованиям, где на локальные серверы должны обрабатываться все почтовые сообщения, чтобы и из Интернета. Кроме того можно настроить Exchange Online для доставки сообщений для внешних получателей напрямую к Интернету.With centralized mail transport, you can route all mail from mailboxes in the Exchange Online organization through the on-premises organization before they're delivered to the Internet. This approach is helpful in compliance scenarios where all mail to and from the Internet must be processed by on-premises servers. Alternately, you can configure Exchange Online to deliver messages for external recipients directly to the Internet.

    Примечание

    Централизованный почтовый транспорт рекомендуется только для организаций с определенным транспорта, связанные с соответствием требованиям. Мы рекомендуем для типичного организациями Exchange — не для включения централизованного транспорта почты, как его существенно увеличить объем сообщения, обрабатываемые локальных серверов, увеличить пропускную способность, используемую и создание ненужные зависимости на локальные серверы.Centralized mail transport is only recommended for organizations with specific compliance-related transport needs. Our recommendation for typical Exchange organizations is not to enable centralized mail transport as it can significantly increase the amount of messages processed by your on-premises servers, increase the bandwidth used, and create an unnecessary dependency on your on-premises servers.

  • Будет ли разворачиваться в локальной организации пограничный транспортный сервер?Do you want to deploy an Edge Transport server in your on-premises organization?

    Если не хотите предоставлять на присоединенный к домену внутренние серверы Exchange напрямую к Интернету, вы можете развернуть пограничных транспортных серверов в сети периметра. Дополнительные сведения о добавлении на пограничном транспортном сервере в гибридном развертывании можно пограничных транспортных серверах возможности гибридного развертывания.If you don't want to expose your domain-joined internal Exchange servers directly to the Internet, you can deploy Edge Transport servers in your perimeter network. For more information about adding an Edge Transport server to your hybrid deployment, see Edge Transport servers with hybrid deployments.

Независимо от того, как вы направляете сообщения в и из Интернета все сообщения, отправленные между организациями Exchange Online и локальной отправляются безопасной передачи. Для получения дополнительных сведений см Надежные связи данного раздела.Regardless of how you route messages to and from the Internet, all messages sent between the on-premises and Exchange Online organizations are sent using secure transport. For more information, see Trusted communication later in this topic.

Дополнительные сведения о влиянии маршрутизации сообщений в организации эти параметры видеть транспорта Маршрутизация гибридные развертывания Exchange.To learn more about how these options affect message routing in your organization, see Transport routing in Exchange hybrid deployments.

Служба защиты Exchange Online Protection в гибридных развертыванияхExchange Online Protection in hybrid deployments

EOP — это сетевая служба, предоставляемым корпорацией Майкрософт, используемый для защиты от вирусов, нежелательной почты, фишинг-атак и нарушений политики своей локальной организации, многие компании. В Office 365 EOP используется для защиты от угрозы организацией Exchange Online. Когда регистрация в Office 365 компании EOP создается автоматически, который привязан к организации Exchange Online.EOP is an online service provided by Microsoft that's used by many companies to protect their on-premises organizations from viruses, spam, phishing scams, and policy violations. In Office 365, EOP is used to protect Exchange Online organizations from the same threats. When you sign up for Office 365, an EOP company is automatically created that's tied to your Exchange Online organization.

Компания EOP содержит несколько параметров транспорта почты, которые могут быть настроены для организации Exchange Online. Можно указать, какие доменов SMTP берется из конкретного IP-адреса требуется TLS и сертификат Secure Sockets Layer (SSL), обход фильтрации нежелательной почты или политики соответствия и многое другое. EOP является местом входа в организацию Exchange Online. Все сообщения вне зависимости от их происхождения должен проходить через EOP, прежде чем они достигнут почтовых ящиков в организации Exchange Online. И всех сообщений, отправляемых из организации Exchange Online должен проходить через службу EOP перед их подключения к сети Интернет.An EOP company contains several of the mail transport settings that can be configured for your Exchange Online organization. You can specify which SMTP domains must come from specific IP addresses, require a TLS and a Secure Sockets Layer (SSL) certificate, bypass anti-spam filtering or compliance policies, and more. EOP is the front door to your Exchange Online organization. All messages, regardless of their origin, must pass through EOP before they reach mailboxes in your Exchange Online organization. And, all messages sent from your Exchange Online organization must go through EOP before they reach the Internet.

При настройке гибридного развертывания с помощью мастера гибридной конфигурации, все параметры транспорта автоматически настраиваются в вашей локальной организации и в компании EOP, включенные в организации Exchange Online. Мастер гибридной конфигурации в этой компании EOP для защиты сообщений между локальной и организацией Exchange Online и маршрутизации сообщений в правом назначения настраивает все входящие и исходящие соединители и другие параметры. Если вы хотите настроить параметры настраиваемого транспорта для организации Exchange Online, вы настроите их в этой компании EOP также.When you configure a hybrid deployment with the Hybrid Configuration wizard, all transport settings are automatically configured in your on-premises organization and in the EOP company included in your Exchange Online organization. The Hybrid Configuration wizard configures all inbound and outbound connectors and other settings in this EOP company to secure messages sent between the on-premises and Exchange Online organizations and route messages to the right destination. If you want to configure custom transport settings for your Exchange Online organization, you'll configure them in this EOP company also.

Доверенное соединениеTrusted communication

Для защиты получателей в организации Exchange Online и локальной и получения убедитесь, что сообщения, отправленные между организациями, не перехвачены и чтения, между локальной организацией и EOP настроен на использование принудительно ПРОТОКОЛ TLS. Использование транспорта безопасной почты TLS/SSL-сертификаты предоставлено доверенный сертификат стороннего центра сертификации (ЦС). Сообщения между EOP и организации Exchange Online также использовать TLS.To help protect recipients in both the on-premises and Exchange Online organizations, and to help ensure that messages sent between the organizations aren't intercepted and read, transport between the on-premises organization and EOP is configured to use forced TLS. Secure mail transport uses TLS/SSL certificates provided by a trusted third-party certificate authority (CA). Messages between EOP and the Exchange Online organization also use TLS.

При принудительном использовании транспорта TLS отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать FQDN, которое администратор явно задал на другом сервере. Например, если в EOP настроены прием и защита сообщений, отправляемых с полного доменного имени mail.contoso.com, то отправляющий локальный сервер клиентского доступа или пограничный транспортный сервер должны иметь сертификат SSL, в котором в качестве имени субъекта или имени SAN указано имя mail.contoso.com. Если данное требование не удовлетворяется, в соединении будет отказано службой EOP.When using forced TLS transport, the sending and receiving servers examine the certificate configured on the other server. The subject name, or one of the subject alternative names (SANs), configured on the certificates must match the FQDN that an administrator has explicitly specified on the other server. For example, if EOP is configured to accept and secure messages sent from the mail.contoso.com FQDN, the sending on-premises Client Access or Edge Transport server must have an SSL certificate with mail.contoso.com in either the subject name or SAN. If this requirement isn't met, the connection is refused by EOP.

Примечание

Используемое имя FQDN не обязано совпадать с именем домена электронной почты получателей. Единственное требование заключается в том, что имя FQDN в поле имени субъекта сертификата или имени SAN должно совпадать с именем FQDN, на прием которого настроены принимающий или отправляющий серверы.The FQDN used doesn't need to match the email domain name of the recipients. The only requirement is that the FQDN in the certificate subject name or SAN must match the FQDN that the receiving or sending servers are configured to accept.

Помимо использования TLS, сообщений между организациями, обрабатывается как «внутренними». Такой подход позволяет сообщения, чтобы обойти параметры защиты от нежелательной почты и других служб.In addition to using TLS, messages between the organizations are treated as "internal." This approach allows messages to bypass anti-spam settings and other services.

Дополнительные сведения о SSL-сертификаты и поддержку безопасности домена в Общее представление о TLS сертификатови сертификатов требования для гибридных развертываний .Learn more about SSL certificates and domain security at Certificate requirements for hybrid deployments and Understanding TLS Certificates.