混合部署中的边缘传输服务器
边缘传输服务器角色是通常部署在位于 Exchange 组织外围网络中的计算机上的可选角色,旨在使组织的受攻击面降到最小。 边缘传输服务器角色处理所有面向 Internet 的邮件流,该流为组织中的内部本地 Exchange 服务器提供 SMTP 中继和智能主机服务。
基于 Exchange 的混合部署组织中的边缘传输服务器
想要使用边缘传输服务器的 Exchange 2016 组织可以选择部署运行最新版本 Exchange 2010 或更高版本的边缘传输服务器。 如果不想直接向 Internet 公开内部 Exchange 服务器,请使用边缘传输服务器。 在混合部署中部署边缘传输服务器时,Exchange Online 将通过 Exchange Online Protection 服务连接到边缘传输服务器传送邮件。 然后,边缘传输服务器将把邮件传递到收件人邮箱所在的内部部署 Exchange 邮箱服务器。
重要
不要在本地 Exchange 服务器与 Microsoft 365 或Office 365之间放置任何处理或修改 SMTP 流量的服务器、服务或设备。 本地 Exchange 组织和 Microsoft 365 或 Office 365 之间的安全邮件流取决于组织之间发送的邮件中包含的信息。 支持允许 TCP 端口 25 上的 SMTP 通信通过而无需修改的防火墙。 如果服务器、服务或设备处理本地 Exchange 组织与 Microsoft 365 或 Office 365 之间发送的消息,则会删除此信息。 如果发生这种情况,该邮件将不再被视为组织内部邮件,并且将会对其应用反垃圾邮件筛选、 传输和日记规则以及可能不适用于它的其他策略。
Exchange 混合版需要 Edge 订阅。 如果您在其他位置具有其他 Exchange 边缘传输服务器,但是这些服务器不处理混合传输,那么这些服务器进行升级以支持混合部署。 但是,如果将来希望 EOP 连接到其他边缘传输服务器进行混合传输,它们必须运行最新版本的 Exchange 2010 或更高版本。
向混合部署添加边缘传输服务器
配置混合部署时,您可以视需要选择在内部部署组织中部署边缘传输服务器。 配置混合部署时,您可以使用混合配置向导,选择一个或多个内部部署 Exchange 服务器,或选择一个或多个内部部署边缘传输服务器处理 Exchange Online 组织的混合邮件传输。
在将边缘传输服务器添加到混合部署时,混合配置向导将代表内部 Exchange 服务器与 EOP 进行通信。 边缘传输服务器作为内部 Exchange 服务器和 EOP 之间的中继,用于从内部部署组织到 Exchange Online 组织的出站邮件。 边缘传输服务器还作为内部 Exchange 服务器之间的中继,用于从 Exchange Online 组织到内部部署组织的入站邮件。 所有以前由内部 Exchange 服务器处理的连接安全性由边缘传输服务器处理。 收件人查询、遵从性策略和其他邮件检查继续由内部 Exchange 服务器处理。
如果将边缘传输服务器添加到混合部署,则无需通过它路由在本地用户和 Internet 收件人之间发送的邮件。 只有在内部部署与 Exchange Online 组织之间发送的邮件才会通过边缘传输服务进行路由。
运行 HCW 后,更新边缘传输服务器上的接收连接器,以确保它将安全地接受来自 EOP 的邮件:
对于商业Office 365,请运行以下命令:
Set-ReceiveConnector -Identity "<Edge server name>\Default internal receive connector <Edge server name>" -TlsDomainCapabilities mail.protection.outlook.com:AcceptCloudServicesMail -Fqdn "subject name on the public cert on Edge"对于美国政府Office 365,请运行以下命令:
Set-ReceiveConnector -Identity "<Edge server name>\Default internal receive connector <Edge server name>" -TlsDomainCapabilities mail.protection.office365.us:AcceptCloudServicesMail -Fqdn "subject name on the public cert on Edge"
有关语法和参数的详细信息,请参阅 Set-ReceiveConnector。
重要
如果需要删除并重新创建用于在本地组织和Exchange Online之间进行通信的 Edge 订阅,请确保再次运行混合配置向导。 重新创建 Edge 订阅会删除本地组织与Exchange Online通信所需的配置更改。 重新运行混合配置向导会再次应用这些更改。
不使用边缘传输服务器的邮件流
下面的流程和图表展示了在没有部署边缘传输服务器时,本地组织与 Exchange Online 之间的邮件路径:
从内部部署组织到 Exchange Online 组织中的收件人的出站邮件从内部 Exchange 服务器上的邮箱进行发送。
Exchange 服务器将消息直接发送到 EOP。
EOP 将邮件传递到 Exchange Online 组织。
从 Exchange Online 组织发送到本地组织中收件人的邮件遵循相反的路由。
混合部署中未部署边缘传输服务器的邮件流:
使用边缘传输服务器的邮件流
以下流程介绍了在部署边缘传输服务器后,邮件在内部部署组织与 Exchange Online 之间采用的路径。 从内部部署组织到 Exchange Online 组织中收件人的邮件是从内部 Exchange 服务器发送的:
从内部部署组织到 Exchange Online 组织中的收件人的邮件从内部 Exchange 服务器上的邮箱进行发送。
Exchange 服务器将邮件发送到运行版本受支持的 Exchange 发行版边缘传输服务器。
边缘传输服务器将邮件发送至 EOP。
EOP 将邮件传递到 Exchange Online 组织。
从 Exchange Online 组织发送到本地组织中收件人的邮件遵循相反的路由。
注意
安装边缘服务器并建立 Edge 订阅会影响邮件流。 此过程自动为 Internet 邮件流创建两个发送连接器:一个用于向所有 Internet 域发送电子邮件,另一个用于将电子邮件从边缘传输服务器发送到内部 Exchange 组织。 如果这不是预期的邮件流方案,请查看连接器和邮件流。
