Servidores de transporte perimetral con implementaciones híbridas
El rol de servidor transporte perimetral es un rol opcional que normalmente se implementa en un equipo ubicado en la red perimetral de una organización de Exchange y está diseñado para minimizar la superficie expuesta a ataques de la organización. El rol de servidor transporte perimetral controla todo el flujo de correo accesible desde Internet, que proporciona servicios de retransmisión SMTP y host inteligente para los servidores de Exchange locales internos de su organización.
Las organizaciones de Exchange 2016 que desean usar servidores de transporte perimetral tienen la opción de implementar servidores de transporte perimetral que ejecuten la versión más reciente de Exchange 2010 o posterior. Use servidores de transporte perimetral si no desea exponer servidores internos de Exchange directamente a Internet. Al implementar un servidor de transporte perimetral en una implementación híbrida, Exchange Online se conectará a su servidor de transporte perimetral mediante el servicio Exchange Online Protection para entregar los mensajes. El servidor de transporte perimetral entregará los mensajes al servidor de buzones de correo local de Exchange donde se encuentra el buzón del destinatario.
Importante
No coloque ningún servidor, servicio o dispositivo que procese o modifique el tráfico SMTP entre los servidores exchange locales y Microsoft 365 o Office 365. El flujo de correo seguro entre la organización local de Exchange y Microsoft 365 o Office 365 depende de la información contenida en los mensajes enviados entre la organización. Se admiten los firewalls que permiten el tráfico SMTP en el puerto TCP 25 sin ninguna modificación. Si un servidor, servicio o dispositivo procesa un mensaje enviado entre la organización local de Exchange y Microsoft 365 o Office 365, esta información se quita. Si esto ocurre, el mensaje ya no se considerará interno de la organización y estará sujeto al filtrado de correo no deseado, a las reglas de transporte y del diario y a otras directivas que podrían no aplicársele.
Se requiere una suscripción perimetral para Exchange híbrido. Si dispone de otros servidores de transporte perimetral de Exchange en otras ubicaciones que no van a administrar transporte híbrido, no es necesario actualizarlos para que admitan una implementación híbrida. Sin embargo, si en el futuro quiere que EOP se conecte a servidores de transporte perimetral adicionales para el transporte híbrido, deben ejecutar la versión más reciente de Exchange 2010 o posterior.
La implementación de un servidor de transporte perimetral en su organización local cuando configure una implementación híbrida es opcional. Cuando configure su implementación híbrida, el Asistente para configuración híbrida le permite seleccionar uno o más servidores internos de Exchange locales o seleccionar que uno o más servidores locales de transporte perimetral administren el transporte de correo híbrido en la organización de Exchange Online.
Al agregar un servidor de transporte perimetral a una implementación híbrida, este se comunica con EOP en nombre de los servidores internos de Exchange. El servidor de transporte perimetral actúa como retransmisión entre los servidores internos de Exchange y EOP para mensajes salientes de la organización local a la organización de Exchange Online. El servidor de transporte perimetral también actúa como retransmisión entre los servidores internos de Exchange para mensajes entrantes desde la organización de Exchange Online a la organización local. El servidor transporte perimetral controla toda la seguridad de conexiones que anteriormente controlaban los servidores internos de Exchange. La búsqueda de destinatarios, las directivas de cumplimiento y otras inspecciones de mensajes siguen realizándose en los servidores internos de Exchange.
Si agrega un servidor de transporte perimetral a la implementación híbrida, no es necesario enrutar el correo enviado entre usuarios locales y destinatarios de Internet a través de él. Solo los mensajes enviados entre las organizaciones locales y las organizaciones de Exchange Online se enrutarán a través del servidor Transporte perimetral.
Después de ejecutar hcw, actualice el conector de recepción en el servidor de transporte perimetral para asegurarse de que aceptará correo de EOP de forma segura:
Para Office 365 comerciales, ejecute el siguiente comando:
Set-ReceiveConnector -Identity "<Edge server name>\Default internal receive connector <Edge server name>" -TlsDomainCapabilities mail.protection.outlook.com:AcceptCloudServicesMail -Fqdn "subject name on the public cert on Edge"
Para el Office 365 de administración pública de EE. UU., ejecute el siguiente comando:
Set-ReceiveConnector -Identity "<Edge server name>\Default internal receive connector <Edge server name>" -TlsDomainCapabilities mail.protection.office365.us:AcceptCloudServicesMail -Fqdn "subject name on the public cert on Edge"
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte Set-ReceiveConnector.
Importante
Si necesita eliminar y volver a crear una suscripción de Edge que se usa para comunicarse entre la organización local y Exchange Online, asegúrese de volver a ejecutar el Asistente para configuración híbrida. Al volver a crear una suscripción de Edge, se quitan los cambios de configuración necesarios para que la organización local se comunique con Exchange Online. Volver a ejecutar el Asistente para configuración híbrida vuelve a aplicar esos cambios.
El diagrama y el proceso a continuación describen la ruta que recorren los mensajes entre una organización local y Exchange Online cuando no se ha implementado un servidor de transporte perimetral:
Los mensajes salientes desde la organización local a los destinatarios de la organización de Exchange Online se envían desde un buzón de correo en un servidor interno de Exchange.
El servidor exchange envía el mensaje directamente a EOP.
EOP entrega el mensaje a la organización de Exchange Online.
Los mensajes enviados desde la organización de Exchange Online a los destinatarios de la organización local siguen la ruta inversa.
Flujo de correo en una implementación híbrida sin un servidor de transporte perimetral implementado:
El siguiente proceso describe la ruta que siguen los mensajes entre la organización local y Exchange Online cuando hay un servidor de transporte perimetral implementado. Los mensajes de la organización local a los destinatarios de la organización de Exchange Online se envían desde el servidor interno de Exchange:
Los mensajes desde la organización local a los destinatarios de la organización de Exchange Online se envían desde un buzón de correo en un servidor interno de Exchange.
El servidor de Exchange envía el mensaje a un servidor de transporte perimetral que ejecuta una versión compatible de Exchange.
El servidor de transporte perimetral envía el mensaje a EOP.
EOP entrega el mensaje a la organización de Exchange Online.
Los mensajes enviados desde la organización de Exchange Online a los destinatarios de la organización local siguen la ruta inversa.
Nota
La instalación de un servidor perimetral y el establecimiento de una suscripción de Edge afectarán al flujo de correo. Este proceso crea automáticamente dos conectores de envío para el flujo de correo de Internet: uno para enviar correo electrónico a todos los dominios de Internet y otro para enviar correo electrónico desde el servidor de transporte perimetral a la organización interna de Exchange. Revise los conectores y el flujo de correo si este no es el escenario de flujo de correo previsto.