Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-04-20
Пакет обновления 1 (SP1) для Microsoft Exchange Server 2010 позволяет разместить некоторых пользователей Exchange в облачной организации, например Microsoft Office 365 для предприятий, обеспечивая при этом бесперебойную работу для всех пользователей. Этот раздел содержит общие сведения об использовании транспортных серверов в данном сценарии.
Безопасная передача почты является частью любого сценария совместной работы. Однако расширенные функции транспорта, например подсказки или управление сообщениями, доступны только в сценариях полнофункциональной совместной работы. Дополнительные сведения о различных параметрах совместной работы см. в разделе Общее представление о сосуществовании.
Для развертывания совместной работы требуется, чтобы в организации был по крайней мере один сервер Exchange Server 2010. Если в данный момент используется предыдущая версия Exchange, в облачную организацию необходимо добавить сервер Exchange 2010 с пакетом обновления 1 (SP1 ) для выполнения им функции шлюза. Таким образом можно развернуть сценарий совместной работы без обновления текущего развертывания. Такой сервер Exchange 2010 называется сервером совместной работы. На сервере совместной работы должны быть установлены роли транспортного сервера-концентратора и сервера клиентского доступа. Также необходима роль сервера почтовых ящиков для организаций Exchange Server 2003, которым требуется поддержка обмена сведениями о доступности между локальными почтовыми ящиками Exchange 2003 и облачными почтовыми ящиками. Добавление данного сервера в организацию равносильно внедрению основного сервера Exchange 2010 в развертывание. Дополнительные сведения о сервере совместной работы см. в следующих разделах:
- Общие
сведения о сервере совместной работы в системе Exchange
2007
- Общие
сведения о сервере сосуществования
Поток почты
Поток почты между локальным развертыванием и облачной организацией защищается протоколом TLS независимо от типа используемой среды совместной работы. Конечной точкой TLS в локальной организации должен быть транспортный сервер-концентратор Exchange 2010 под управлением Exchange 2010 с пакетом обновления 1 (SP1) или более поздней версии. Локальная и облачная организации отправляют сообщения друг другу напрямую через безопасный канал. Для обеспечения данного потока почты необходимо создать выделенный соединитель отправки, а все исходные серверы для данного соединителя должны быть транспортными серверами-концентраторами Exchange 2010. Если в организации используется Exchange 2010, каждый транспортный сервер-концентратор может выполнять роль шлюза для облачной организации. Если используются более ранние версии Exchange, то для пересылки сообщений между двумя организациями необходимо развернуть сервер совместной работы.
В сценарии совместной работы каждая организация является внутренней по отношению к другой организации. Когда сообщения обрабатываются сервером Exchange, разница между пользователем, размещенным на локальных серверах, и пользователем облачной службы практически отсутствует. Сообщения, передаваемые между двумя организациями, также обходят фильтры нежелательной почты.
Защищенный поток почты с проверкой подлинности
Даже несмотря на то что сообщения между локальной и облачной организациями проходят через логический туннель, они передаются через Интернет и поэтому их необходимо защитить от злоумышленников. Exchange 2010 предоставляет следующие меры защиты.
- Конфиденциальность
канала Неавторизованные стороны не могут
получить доступ к полученным пакетам.
- Проверка подлинности
получателя Отправители защищены от
олицетворения действительных получателей неавторизованными
сторонами.
- Проверка подлинности
отправителя Получатели защищены от
олицетворения действительных отправителей неавторизованными
сторонами.
Конфиденциальность канала
Для защиты локальной и облачной организаций на сервере Exchange 2010 TLS принудительно использует SSL-сертификаты, предоставленные сторонним доверенным Центром сертификации. Все сообщения, отправляемые по каналу с защитой TLS, проходят шифрование.
Отправляющий и принимающий серверы проверяют сертификат, настроенный на другом сервере. Имя субъекта или одно из дополнительных имен субъекта (SAN), настроенное в сертификате, должно соответствовать полному доменному имени (FQDN), которое администратор явно задал на другом сервере. Например, если облачная организация настроена на прием и защиту сообщений, отправляемых с сервера с именем FQDN mail2.contoso.com, то отправляющий локальный сервер совместной работы должен иметь SSL-сертификат, в котором в качестве имени субъекта или имени SAN указано mail2.contoso.com. Если данное требование не выполняется, в соединении будет отказано.
Проверка подлинности получателя
Помимо регулярных проверок сертификатов, выполняемых во время TLS, соединители отправки, участвующие в потоке почты в среде совместной работы, также выполняют проверку домена. Проверка домена является дополнительной функцией обеспечения безопасности и позволяет снизить риск олицетворения принимающего сервера злоумышленниками. При включении проверки домена на соединителе отправки транспортный сервер выполняет следующие проверки безопасности для исходящего подключения.
- Шифрование канала передачи данных с помощью TLS.
- Проверка сертификата принимающего сервера и его наличие в
списке отзыва.
- Проверка совпадения имени FQDN в сертификате принимающего
сервера с доменом, указанным в свойствах соединителя отправки.
Проверка подлинности отправителя
Чтобы предотвратить олицетворение действительного отправителя злоумышленниками, каждое сообщение проходит проверку подлинности для подтверждения, что оно было отправлено указанным отправителем. В организации Exchange проверка подлинности отправителя выполняется с помощью настраиваемых заголовков сообщений, добавляемых серверами Exchange. Для сообщений, отправляемых между локальной и облачной организациями, значения этих заголовков зашифровываются в исходном местоположении, а затем расшифровываются и проверяются в месте назначения. Во время пересылки данные заголовки не могут быть расшифрованы третьей стороной, которая сможет перехватить сообщение.
Пространства имен и централизованное управление почтой
Во время настройки потока почты между локальной и облачной организациями необходимо принять два ключевых решения.
- Необходимо использовать общее или разделенное пространство
имен?
- Требуется ли централизованное управление почтой?
При использовании общего пространства имен все пользователи в организации имеют один домен SMTP в качестве адреса электронной почты. При таком подходе для всех сообщений, адресованных этому домену, на основе записей MX требуется одно место назначения; таким образом, все входящие сообщения обрабатываются локальными серверами или облачной организацией. На следующем рисунке приведен способ настройки общего пространства имен со всеми входящими сообщениями, обрабатываемыми локальными серверами. Все сообщения, отправляемые пользователям облачной службы, перенаправляются в облачную организацию по выделенному безопасному каналу.
Поток входящих сообщений с общим пространством имен
 Примечание. |
|---|
| В развертываниях Exchange 2007 или Exchange 2003 необходимо использовать сервер совместной работы в качестве шлюза между локальной и облачной организаций. |
С другой стороны, при использовании разделенного пространства имен SMTP-адреса локальных пользователей будут отличаться от облачных пользователей. Для каждого домена могут использоваться разные записи MX, благодаря чему каждая организация сможет обрабатывать входящую почту независимо, как показано на следующем рисунке.
Поток входящих сообщений с разделенным пространством имен
| Примечание. |
|---|
| В развертываниях Exchange 2007 или Exchange 2003 необходимо использовать сервер совместной работы в качестве шлюза между локальной и облачной организаций. |
Централизованное управление почтой прежде всего сосредоточено на обработке исходящих сообщений. Обычно облачная организация может направлять внешние сообщения непосредственно в Интернет. Однако при наличии в организации определенных политик и нормативных требований можно управлять всей исходящей почтой, направляя ее через локальные серверы. Такая конфигурация называется централизованным управлением почтой и показана на следующем рисунке.
Централизованное управление почтой
| Примечание. |
|---|
| В развертываниях Exchange 2007 или Exchange 2003 необходимо использовать сервер совместной работы в качестве шлюза между локальной и облачной организаций. |
При использовании для локальной организации предыдущей версии Exchange потребуется сервер совместной работы, а конфигурация потока почты в конкретной организации будет незначительно отличаться от описанных выше конфигураций. Дополнительные сведения о параметрах конфигурации потока почты, доступных для определенной версии Exchange, см. в следующих разделах.
- При использовании Exchange 2007 см. раздел Общие сведения о
параметрах транспорта в системе Exchange 2007.
- При использовании Exchange 2003 см. раздел Общие сведения о
параметрах транспорта.
Функции транспорта
В этом разделе рассматривается использование различных функций транспорта в сценарии совместной работы. Приведенные здесь сведения предполагают использование для локального развертывания Exchange 2010, так как некоторые описанные здесь функции не могут быть применены к более ранним версиям Exchange. Дополнительные сведения см. в следующих разделах.
| Примечание. |
|---|
| Функции, описанные в данном разделе, доступны только в сценариях полнофункциональной совместной работы. |
Правила транспорта и ведение журнала
Правила транспорта и ведения журнала не синхронизированы между локальным развертыванием и облачной организацией. Поэтому необходимо обеспечить согласование правил, используемых в обеих организациях.
Отчеты о доставке
Если для соответствующих связей как локальной, так и облачной организации включена функция отчетов о доставке, пользователи могут отслеживать отправленные и полученные сообщения в сценарии совместной работы. По умолчанию данная функция включена в полнофункциональном развертывании совместной работы. Тем не менее следует помнить, что при использовании в локальном развертывании более ранних версий Exchange в отчетах о доставке будут отображаться не сведения об окончательной доставке получателям, размещенным на серверах прежних версий, а скорее, что данное сообщение было отправлено в систему Exchange прежней версии. Это не является ограничением развертывания совместной работы, а происходит в результате изменений в реализации отслеживания сообщений в Exchange 2010. Дополнительные сведения см. в подразделе «Отслеживание сообщений в различных версиях» в разделе Обновление от транспортного сервера Exchange 2007.
Подсказки
Подсказки предназначены для бесперебойной работы в сценарии совместной работы. Если локальный пользователь адресует сообщение получателю в облачной организации, локальные серверы клиентского доступа обращаются к серверам клиентского доступа в облачной организации и запрашивают данные подсказок для сообщения. При получении данного запроса серверы клиентского доступа в облачной организации обрабатывают запрос на подсказки, оценивают сообщение на наличие подсказок и возвращают все применимые подсказки локальным серверам клиентского доступа. При отправке сообщения пользователем в облачной организации локальному получателю этот процесс будет аналогичным.
При использовании сценария совместной работы необходимо учитывать следующие различия, относящиеся к подсказкам.
- Подсказка о внешних получателях определяется только в локальной
организации. Это связано с тем, что облачная организация не может
определить, какие получатели будут считаться внешними для
локального пользователя.
- По этой же причине количество внешних получателей в подсказке
группы определяется только для локальных групп с помощью данных
групповых показателей.
- Подсказка о превышении размера сообщения определяется как в
локальной, так и в удаленной организациях. Поэтому, чтобы
предотвратить несогласованную работу пользователей, необходимо
убедиться, что ограничения на размер сообщений для локальной
организации соответствуют ограничениям, настроенным для облачной
организации.
- Все объекты в удаленной организации представлены в качестве
объектов с включенной поддержкой почты в локальной организации.
Например, почтовый ящик в облачной организации представлен в
качестве пользователя почты в локальной организации. Так как все
объекты могут иметь пользовательские подсказки, теоретически можно
настроить две различные пользовательские подсказки для одного
получателя. В данном случае отображаться будет только локальная
пользовательская подсказка. Локальные пользователи будут видеть
пользовательскую подсказку, настроенную для локального объекта, а
облачные пользователи будут видеть пользовательскую подсказку,
настроенную для облачного объекта.
- Также можно настроить несогласованную конфигурацию для
модерируемых или ограниченных получателей. Например, локальный
почтовый ящик может быть ограничен, но соответствующий пользователь
почты в облачной организации может не быть ограничен. В данном
сценарии подсказка о получателе с ограниченным доступом будет
отображаться даже для облачного пользователя. Подсказки о
модерируемом получателе функционируют аналогичным образом.
Как упоминалось ранее, подсказки по умолчанию настроены для бесперебойной работы в локальном сценарии совместной работы. Однако чтобы подсказки функционировали для локальных и облачных пользователей по-разному, можно настроить способ их обработки. Дополнительные сведения см. в подразделе «Архитектура подсказок» в разделеОбщие сведения о подсказках и в подразделе «Использование командной консоли для настройки подсказок для связей организации» в разделе Настройка параметров организации для подсказок.
Управление сообщениями
Функциональные возможности управления сообщениями в среде совместной работы основываются на следующих требованиях.
- Синхронизация атрибутов управления объектов с включенной
поддержкой электронной почты.
- Наличие в локальной организации по меньшей мере одного
арбитражного почтового ящика.
- Наличие в облачной организации по меньшей мере одного
арбитражного почтового ящика.
- Сохранение заголовков и формата TNEF между двумя
организациями.
При включении полнофункциональной совместной работы с Office 365, все вышеуказанные требования соблюдены и дополнительные действия для управления сообщениями в среде совместной работы не требуются.
Пограничный транспортный сервер
в среде совместной работы
Для обеспечения потока почты в среде совместной работы в локальном развертывании необходимо наличие транспортного сервера-концентратора Exchange 2010 с пакетом обновления 1 (SP1) в качестве конечной точки TLS. Транспортный сервер-концентратор или сервер совместной работы при использовании Exchange 2007 или Exchange 2003 непосредственно взаимодействует с облачной организацией. Использовать пограничный транспортный сервер для управления потоком почты между локальной и облачной организациями невозможно.
Защита от нежелательной почты и службы ретрансляции SMTP, которые пограничный транспортный сервер предоставляет для локального развертывания, выполняются оперативной защитой Microsoft Forefront для Exchange (FOPE) в облачной организации. Все подключения в среде совместной работы обходят пограничные транспортные серверы. Если используется разделенное пространство имен без централизованного управления почтой, обработка всего интернет-трафика пользователей облачной службой не выполняется развертыванием пограничного транспортного сервера. Вместо него трафик обрабатывается FOPE. Чтобы интернет-трафик обрабатывался пограничными транспортными серверами, необходимо использовать единое пространство имен с централизованным управлением почтой. См. подраздел «Поток почты» выше в этом разделе.
При использовании в организации пограничных транспортных серверов Exchange 2007 для получения дополнительных сведений см. раздел Общие сведения о пограничных транспортных серверах с принципом совместной работы.