Пограничные транспортные серверы в гибридных развертываниях
Роль пограничного транспортного сервера — это необязательная роль, которая обычно развертывается на компьютере, расположенном в сети периметра организации Exchange, и предназначена для минимизации направлений атак в организации. Роль пограничного транспортного сервера обрабатывает весь поток обработки почты с выходом в Интернет, который предоставляет службы ретранслятора SMTP и интеллектуального узла для внутренних локальных серверов Exchange в организации.
Организации Exchange 2016, которые хотят использовать пограничные транспортные серверы, могут развернуть пограничные транспортные серверы под управлением последней версии Exchange 2010 или более поздней версии. Используйте пограничные транспортные серверы, если вы не хотите предоставлять внутренние серверы Exchange напрямую в Интернет. Когда вы выполните развертывание пограничного транспортного сервера в гибридной среде, Exchange Online через службу Exchange Online Protection будет подключаться к пограничному транспортному серверу для доставки сообщений. Затем пограничный транспортный сервер будет доставлять эти сообщения на локальный сервер почтовых ящиков Exchange, на котором расположен почтовый ящик получателя.
Важно!
Не размещайте серверы, службы или устройства, обрабатывающие или изменяющие SMTP-трафик между локальными серверами Exchange Server и Microsoft 365 или Office 365. Безопасный поток обработки почты между локальной организацией Exchange и Microsoft 365 или Office 365 зависит от информации, содержащейся в сообщениях, отправляемых между организацией. Поддерживаются брандмауэры, пропускающие SMTP-трафик через TCP-порт 25 без изменений. Если сервер, служба или устройство обрабатывает сообщение, отправленное между локальной организацией Exchange и Microsoft 365 или Office 365, эти сведения удаляются. В этом случае сообщение больше не считается внутренним, и на него распространяются правила фильтрации нежелательной почты, транспорта и журнала, а также другие политики.
Для гибридной среды Exchange требуется подписка Edge. Если есть другие пограничные транспортные серверы Exchange в расположениях, где они не будут обрабатывать гибридный транспорт, им не требуется обновление для поддержки гибридного развертывания. Однако если в будущем EOP будет подключаться к дополнительным пограничным транспортным серверам для гибридного транспорта, на них должен быть запущен последний выпуск Exchange 2010 или более поздней версии.
Развертывание пограничного транспортного сервера в локальной организации при настройке гибридной среды — это необязательный шаг. При настройке гибридного развертывания мастер гибридной конфигурации позволяет выбрать один или несколько внутренних локальных серверов Exchange, а также один или несколько локальных пограничных транспортных серверов для обработки передачи гибридной почты в организации Exchange Online.
При добавлении пограничного транспортного сервера в гибридное развертывание он взаимодействует со службой EOP от имени внутренних серверов Exchange. Пограничный транспортный сервер действует в качестве ретранслятора между внутренними серверами Exchange и службой EOP для исходящих сообщений из локальной организации в организацию Exchange Online. Пограничный транспортный сервер также действует в качестве ретранслятора между внутренними серверами Exchange для входящих сообщений из организации Exchange Online в локальную организацию. Все функции безопасности подключений, которые ранее выполнялись внутренними серверами Exchange, теперь выполняются пограничным транспортным сервером. Поиск получателей, политики соответствия требованиям и другие виды проверки сообщений продолжают обрабатываться на внутренних серверах Exchange.
Если добавить пограничный транспортный сервер в гибридное развертывание, вам не нужно маршрутизировать почту, отправляемую между локальными пользователями и получателями в Интернете через него. Через пограничный транспортный сервер направляются только сообщения, которыми обмениваются локальные организации и организации Exchange Online.
После запуска HCW обновите соединитель получения на пограничном транспортном сервере, чтобы убедиться, что он будет безопасно принимать почту от EOP:
Для коммерческих Office 365 выполните следующую команду:
Set-ReceiveConnector -Identity "<Edge server name>\Default internal receive connector <Edge server name>" -TlsDomainCapabilities mail.protection.outlook.com:AcceptCloudServicesMail -Fqdn "subject name on the public cert on Edge"
Для Office 365 для государственных организаций США выполните следующую команду:
Set-ReceiveConnector -Identity "<Edge server name>\Default internal receive connector <Edge server name>" -TlsDomainCapabilities mail.protection.office365.us:AcceptCloudServicesMail -Fqdn "subject name on the public cert on Edge"
Подробные сведения о синтаксисе и параметрах см. в статье Set-ReceiveConnector.
Важно!
Если вам нужно удалить и повторно создать подписку Edge, которая используется для обмена данными между локальной организацией и Exchange Online, снова запустите мастер гибридной конфигурации. При повторном создании подписки Edge удаляются изменения конфигурации, необходимые для взаимодействия локальной организации с Exchange Online. При повторном запуске мастера гибридной конфигурации эти изменения будут применены снова.
Приведенный ниже процесс и схема описывают путь, который проходят сообщения между локальной организацией и Exchange Online в случае отсутствия пограничного транспортного сервера.
Исходящие сообщения из локальной организации для получателей в организации Exchange Online передаются из почтового ящика на внутреннем сервере Exchange.
Сервер Exchange отправляет сообщение непосредственно в EOP.
EOP доставляет сообщение в организацию Exchange Online.
Сообщения, отправленные из организации Exchange Online получателям в локальной организации, следуют по обратному маршруту.
Поток обработки почты в гибридном развертывании без развернутого пограничного транспортного сервера:
Следующий процесс показывает путь, который сообщения проходят между локальной организацией и организацией Exchange Online, если развернут пограничный транспортный сервер. Сообщения из локальной организации для получателей в организации Exchange Online отправляются с внутреннего сервера Exchange:
Сообщения из локальной организации для получателей в организации Exchange Online передаются из почтового ящика на внутреннем сервере Exchange.
Сервер Exchange отправляет сообщение на пограничный транспортный сервер с Exchange поддерживаемой версии и выпуска.
Пограничный транспортный сервер отправляет сообщение в службу EOP.
EOP доставляет сообщение в организацию Exchange Online.
Сообщения, отправленные из организации Exchange Online получателям в локальной организации, следуют по обратному маршруту.
Примечание
Установка пограничного сервера и создание подписки Edge повлияет на поток обработки почты. Этот процесс автоматически создает два соединителя отправки для потока обработки почты в Интернете: один для отправки электронной почты во все домены Интернета, а другой для отправки электронной почты с пограничного транспортного сервера во внутреннюю организацию Exchange. Просмотрите соединители и поток обработки почты, если это не ваш сценарий потока обработки почты.