Información acerca de las opciones de transporte en implementaciones híbridas de Exchange 2010
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2013-01-25
En las implementaciones híbridas puede haber buzones de correo que residan en una organización local o también en una organización de Exchange Online. Un componente crítico que hace que estas dos organizaciones separadas aparezcan como una organización combinada para los usuarios y los mensajes intercambiados entre ellos es el transporte híbrido. Con el transporte híbrido, los mensajes enviados entre destinatarios en cualquiera de las organizaciones se autentican, se transfieren mediante la Seguridad de la capa de transporte (TLS) y aparecen como “internos” para los componentes de Exchange, como las reglas de transporte, los registros en diario y las directivas contra correo no deseado. El asistente para administración de configuración híbrida configura automáticamente el transporte híbrido en Service Pack 3 (SP3) para Exchange 2010.
Para que la configuración de transporte híbrido funcione con el asistente de administración de configuración híbrida, el extremo SMTP local que acepta conexiones de la Protección en línea de Exchange (EOP), que administra el transporte de la organización de Exchange Online, debe ser un servidor de transporte perimetral o de transporte de concentradores de Exchange 2010 SP3. El transporte híbrido usa las nuevas funciones proporcionadas en Exchange 2010 SP3 para proteger mensajes y hacerlos aparecer como “internos”.
Importante
No puede haber otros hosts, servicios o dispositivos SMTP entre el servidor de transporte de concentradores o el servidor de transporte perimetral de Exchange 2010 SP3 y EOP. La información agregada a los mensajes que habilita las funciones de transporte híbrido se quita cuando pasan mediante un servidor que no es de Exchange 2010 SP3 o un host SMTP. Esto incluye las versiones anteriores de Exchange.
Los servidores de transporte de concentradores y de transporte perimetral se deben ejecutar en Exchange 2010 SP3 para usar el asistente de administración de implementación híbrida para la configuración de implementaciones híbridas.
Los mensajes entrantes enviados a destinatarios en ambas organizaciones desde remitentes de Internet siguen una ruta entrante común. Los mensajes salientes que se envían desde las organizaciones a destinatarios externos de Internet, pueden seguir una ruta saliente común o se pueden enviar mediante rutas independientes.
Deberá elegir cómo enrutar correo entrante y saliente cuando configure la implementación híbrida. La ruta que toman los mensajes entrantes y salientes cuando se envían a destinatarios y desde los destinatarios de las organizaciones local y de Exchange Online depende de lo siguiente:
¿Desea enrutar el correo entrante tanto de los buzones locales como de los buzones de Exchange Online mediante Microsoft Office 365 y EOP a través de la organización local?
Puede elegir enrutar el correo de Internet entrante para ambas organizaciones mediante la organización local o mediante EOP y la organización Exchange Online. La ruta que los mensajes entrantes toman hacia ambas organizaciones depende de que habilite el transporte de correo centralizado en su implementación híbrida.
¿Desea enrutar correo saliente a destinatarios externos de su organización Exchange Online mediante la organización local, (transporte de correo centralizado), o desea enrutarlo directamente a Internet?
Conocido como transporte de correo centralizado, permite enrutar todo el correo de los buzones de correo en la organización de Exchange Online mediante la organización local antes de entregarlos a Internet. Este enfoque resulta útil en escenarios de compatibilidad donde los servidores locales deben procesar todo el correo entrante y saliente de Internet. De forma alternativa, puede configurar Exchange Online para entregar mensajes para destinatarios externos directamente a Internet.
Nota
El transporte de correo centralizado solo se recomienda para las organizaciones con necesidades de transporte específicas relacionadas con el cumplimiento. Nuestra recomendación para las organizaciones Exchange típicas es que no se habilite el transporte de correo centralizado.
¿Desea implementar un servidor de transporte perimetral en su organización local?
Si no desea exponer los servidores híbridos de transporte de concentradores internos unidos a un dominio directamente a Internet, puede implementar los servidores de transporte perimetral en la red perimetral. Para obtener más información acerca de cómo agregar un servidor de transporte perimetral a la implementación híbrida, consulte: Descripción de los servidores de transporte perimetral en implementaciones híbridas de Exchange 2010
Independientemente de cómo enrute mensajes desde y hacia Internet, todos los mensajes enviados entre las organizaciones local y de Exchange Online se envían usando el transporte seguro. Para obtener más información, consulte "Comunicación de confianza" más adelante en este tema.
Para obtener más información sobre cómo estas opciones afectan el enrutamiento de mensajes en su organización, consulte Información acerca del enrutamiento de transporte en las implementaciones híbridas de Exchange 2010.
Protección en línea de Exchange en implementaciones híbridas
EOP es un servicio en línea proporcionado por Microsoft usado por muchas empresas para proteger las organizaciones locales contra virus, correo no deseado, correos de suplantación de identidad (phishing) e infracciones de directivas. En Office 365, EOP se usa para proteger organizaciones de Exchange Online contra las mismas amenazas. Cuando se registra para Office 365, se crea automáticamente una empresa de EOP qué está vinculada con su organización de Exchange Online.
Una empresa EOP contiene varios de los ajustes del transporte de correo que se pueden configurar para la organización de Exchange Online. Puede especificar los dominios SMTP que deben provenir de direcciones IP específicas, requieren un certificado de Capa de sockets seguros (SSL), pueden omitir filtros contra correo no deseado o directivas de cumplimiento y mucho más. EOP es la puerta a su organización de Exchange Online. Todos los mensajes, independientemente de su origen, deben pasar mediante EOP antes de llegar a los buzones de correo de la organización de Exchange Online. Además, todos los mensajes enviados a la organización de Exchange Online deben pasar por EOP antes de llegar a Internet.
Cuando configura una implementación híbrida con el Asistente para administración de configuración híbrida, todos los ajustes de configuración de transporte se configuran automáticamente en la organización local y en la empresa EOP para su organización de Exchange Online. El asistente para configuración híbrida configura todos los conectores entrantes y salientes, y otras configuraciones en esta empresa EOP para proteger los mensajes enviados entre las organizaciones local y de Exchange Online, y enruta los mensajes al destino correcto. Si desea configurar los ajustes de transporte personalizados para su organización de Exchange Online, los deberá configurar también en esta empresa EOP.
Comunicación de confianza
Para ayudar a proteger a los destinatarios de ambas organizaciones local y de Exchange Online, y para ayudar a garantizar que los mensajes enviados entre las organizaciones no sean interceptados y leídos, el transporte entre la organización local y EOP se configura para usar TLS forzoso. El transporte TLS usa los certificados de Capa de sockets seguros (SSL) proporcionados por una entidad de certificación (CA) de terceros. Los mensajes entre EOP y la organización de ExchangeOnline también usan TLS.
Al usar el transporte TLS forzado, los servidores de envío y recepción analizan el certificado configurado en el otro servidor. El nombre de firmante o uno de los nombres alternativos del firmante (SAN) configurados en los certificados deben coincidir con el FQDN que un administrador haya especificado de manera explícita en el otro servidor. Por ejemplo, si EOP se configura para aceptar y proteger los mensajes enviados desde el FQDN de hybrid.contoso.com, el servidor híbrido local de envío debe tener un certificado SSL con hybrid.contoso.com en el nombre de firmante o SAN. Si no se cumple este requisito, se rechaza la conexión.
Nota
No es necesario que el FQDN usado coincida con el nombre de dominio de la dirección de correo electrónico de los destinatarios. El único requisito es que el FQDN del nombre de sujeto del certificado o SAN debe coincidir con el FQDN que los servidores de recepción o envío están configurados para aceptar.
Además de usar TLS, los mensajes enviados entre las organizaciones se tratan como "internos". Este enfoque permite que los mensajes omitan la configuración de correo no deseado y otros servicios.
Puede obtener más información acerca de los certificados SSL y la seguridad de dominio en: Descripción de los requisitos de certificados para implementaciones híbridas, Descripción de los certificados TLS
© 2010 Microsoft Corporation. Reservados todos los derechos.