配置 Exchange 2010 混合部署的邮件流
适用于: Exchange Server 2010 SP1
上一次修改主题: 2016-11-28
估计完成时间: 20 分钟
您已选择通过内部部署 Exchange 2010 混合服务器路由在 Internet 与基于云的组织中的邮箱之间发送的所有电子邮件。 通过内部部署混合服务器路由邮件时,可以针对邮件应用传输规则、防病毒策略和反垃圾邮件规则。
检查表的此步骤中的过程将在组织中配置以下邮件流:
在基于云的组织中的邮箱与 Internet 之间发送的邮件将流经内部部署混合服务器。
在基于云的组织中的邮箱之间发送的邮件仍将保留在基于云的组织中。 这些邮件不会通过内部部署混合服务器发送。
在内部部署 Exchange 邮箱与基于云的组织中的邮箱之间发送的邮件将流经内部部署混合服务器。
除了需要在内部部署组织和基于云的组织中配置的设置,还需要配置 Forefront Online Protection for Exchange (FOPE) 中的设置。 FOPE 位于基于云的组织与 Internet 之间,为基于云的邮箱提供防病毒和反垃圾邮件保护。 FOPE 还控制将基于云的组织中的出站邮件路由至何处,以及哪些发件人可以向基于云的组织发送邮件。
可在以下位置了解详细信息: 了解 Exchange 2010 混合部署的传输选项
警告
本主题应作为 Microsoft Exchange Server 2010 与 Office 365 混合部署检查列表的一部分进行阅读。本主题中的信息或过程可能依赖于检查列表中先前的主题中所配置的先决条件。若要查看检查列表,请参阅检查表 - Exchange 2010 和 Office 365 混合部署。
如何在我的内部部署组织中配置传输设置?
您必须先获得权限,然后才能执行此过程。 要查看需要什么权限,请参阅传输权限中的“远程域”、“发送连接器”和“接收连接器”条目。
对于此过程,将使用 Exchange 命令行管理程序配置以下各项:
针对内部部署组织与基于云的组织之间发送的所有邮件的传输层安全性 (TLS)。
信任在内部部署组织与基于云的组织之间发送的入站和出站邮件。 反垃圾邮件规则不会应用于这些邮件。
发送到基于云的组织的所有邮件通过 FOPE 智能主机路由。
在内部部署混合服务器上,为从基于云的组织接收的入站邮件创建一个远程域。
New-RemoteDomain "Inbound Remote Domain" -DomainName contoso.com
在内部部署混合服务器上,为发送到基于云的组织的出站邮件创建一个远程域。
New-RemoteDomain "Outbound Remote Domain" -DomainName service.contoso.com
在内部部署混合服务器上,配置入站远程域以信任从基于云的组织发送的邮件。
Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True
在内部部署混合服务器上,配置出站远程域以实现到基于云的组织的邮件可信传递。
Set-RemoteDomain "Outbound Remote Domain" -TrustedMailOutboundEnabled $True -TargetDeliveryDomain $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True
在内部部署混合服务器上,修改“To cloud”发送连接器以启用 TLS 传输,并通过 FOPE 智能主机路由发送到基于云的组织的所有邮件。
Set-SendConnector "To cloud" -RequireTLS $True -TlsAuthLevel DomainValidation -TlsDomain mail.messaging.microsoft.com -Fqdn mail.contoso.com -ErrorPolicies DowngradeAuthFailures
浏览到: FOPE 管理中心
如果这是您首次访问 FOPE,请执行以下操作:
单击“需要您的密码”。
在“用户名”字段中输入基于云的服务中帐户的电子邮件地址。 该地址是您在基于云的服务中创建帐户时指定的电子邮件地址。 例如,admin@contoso.onmicrosoft.com。
在 https://www.outlook.com/contoso.com 上使用基于云的服务管理电子邮件帐户登录。打开 FOPE 发送到该帐户的电子邮件并获取所提供的密码。
重新浏览到: FOPE 管理中心
在“用户名”字段中输入基于云的服务中帐户的电子邮件地址。
在“密码”字段中输入 FOPE 密码。
单击“信息”选项卡,然后单击“配置”。
记下“要在您的防火墙上配置的 IP 地址”下的 IP 地址。
在内部部署混合服务器上,创建一个新的接收连接器,用于接受来自 FOPE 的邮件。 该接收连接器已配置为仅接受来自在上一步中获取的 FOPE IP 地址的连接,以及处理基于云的组织作为内部邮件发送的邮件。 在该连接器上配置的 FQDN 必须与要用于安全邮件的 SSL 证书的公用名匹配。
New-ReceiveConnector -Name "From Cloud" -Usage Internet -RemoteIPRanges <FOPE Outbound IP Addresses> -Bindings 0.0.0.0:25 -FQDN mail2.contoso.com -TlsDomainCapabilities mail.messaging.microsoft.com:AcceptOorgProtocol
备注
FOPE 使用无类别域际路由选择 (CIDR) IP 表示法和单个 IP 地址的组合。 在配置 RemoteIPRanges 参数时,使用逗号分隔每个 IP 地址。 例如,-RemoteIPRanges 172.0.0.0/24, 192.168.1.1, 10.23.21.64/26。
如何在基于云的组织中配置传输设置?
您必须先获得权限,然后才能执行此过程。 要查看需要什么权限,请参阅传输权限中的“远程域”和“接受域”条目。
对于此过程,将使用命令行管理程序配置以下各项:
将共享 SMTP 域配置为内部中继域并将该域设置为仅出站。
信任在内部部署组织与基于云的组织之间发送的入站和出站邮件。 反垃圾邮件规则不会应用于这些邮件。
在基于云的组织中,为从内部部署组织接收的入站邮件创建一个远程域。 域名必须包含在混合服务器上发布的证书的名称。
备注
此域必须与之后创建入站 FOPE 连接器时在 TLS 证书(与域相匹配的证书)中指定的 FQDN 相匹配。
New-RemoteDomain "Inbound Remote Domain" -DomainName mail.contoso.com
在基于云的组织中,为发送到内部部署组织中的收件人的出站邮件创建一个远程域。 该域必须是内部部署收件人的收件人地址的域部分。
New-RemoteDomain "Outbound Remote Domain to On-Premises Recipients" -DomainName contoso.com
在基于云的组织中,配置入站远程域以信任从内部部署组织发送的邮件。
Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True
在基于云的组织中,配置内部部署收件人的出站远程域以实现到内部部署组织的邮件可信传递并启用丰富的电子邮件客户端功能:
Set-RemoteDomain "Outbound Remote Domain to On-Premises Recipients" -TrustedMailOutboundEnabled $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True
在基于云的组织中,配置 Internet 收件人的出站远程域以实现到内部部署组织的邮件可信传递。
Set-RemoteDomain Default -TrustedMailOutboundEnabled $True
在基于云的组织中,将共享 SMTP 域的接受域设置为内部中继域,并使用以下命令将该域设置为仅出站。
Set-AcceptedDomain "contoso.com" -DomainType InternalRelay -OutboundOnly $True
如何配置 FOPE 以路由发往和来自内部部署组织的邮件?
首次登录 FOPE 时,将自动向基于云的服务管理员帐户授予执行此过程所需的权限。
通过此过程可配置以下项:
FOPE 中的入站连接器,该连接器仅接受从内部部署混合服务器发送到基于云的组织的邮件。 该连接器还配置为仅接受使用 TLS 发送的邮件。
FOPE 中的出站连接器,该连接器通过内部部署混合服务器将从基于云的组织发送的所有邮件发送到 Internet。 该连接器还配置为使用 TLS 发送邮件。
备注
在登录到 FOPE 管理员中心时,您可能会注意到“域”选项卡上的一个条目,该条目以 DuplicateDomain-GUID 开头,并以您的共享域结尾。例如,DuplicateDomain-GUIDcontoso.com。如果您将基于云的组织中的共享域的接受域配置为仅出站域,则应会出现此条目。如果您未将接受域配置为仅出站域,但是仍可在 FOPE 管理员中心域列表中看到 DuplicateDomain 条目,请与 FOPE 支持联系。
浏览到: FOPE 管理中心
如果这是您首次访问 FOPE,请执行以下操作:
单击“需要您的密码”。
在“用户名”字段中输入基于云的服务中帐户的电子邮件地址。 该地址是您在基于云的服务中创建帐户时指定的电子邮件地址。 例如,admin@contoso.onmicrosoft.com。
在 https://www.outlook.com/contoso.com 上使用基于云的服务管理电子邮件帐户登录。打开 FOPE 发送到该帐户的电子邮件并获取所提供的密码。
重新浏览到: FOPE 管理中心
在“用户名”字段中输入基于云的服务中帐户的电子邮件地址。
在“密码”字段中输入 FOPE 密码。
单击“管理”选项卡,然后单击“公司”选项卡。
单击“连接器”下“入站连接器”旁边的“添加”。
在“添加入站连接器”对话框中,配置以下项:
名称 输入入站连接器的名称。
说明 输入入站连接器的说明。
在“连接器作用域”下,在“发件人域”文本框中指定 *.*。
在“连接器作用域”下,在“发件人 IP 地址”文本框中指定防火墙提供给 Internet 上的主机的源 IP 地址。 根据防火墙的配置,该地址可能是混合服务器的外部 IP 地址或者防火墙的 WAN IP 地址。 如果要指定一个 IP 地址范围,请使用 CIDR 表示法。 此外,还可以指定多个 IP 地址,每个 IP 地址用逗号分隔。
选中“将这些 IP 地址添加到安全列表,并仅接受来自上面指定的域的这些 IP 地址的邮件”。
在“连接器设置”下,选择“传输层安全性(TLS)设置”中的“强制 TLS”。
选中“发件人证书匹配”复选框,然后在关联的文本字段中,指定您在内部部署混合服务器中配置的证书主题名称。 例如,mail.contoso.com。
备注
此处指定的 FQDN 必须与前面在基于云的组织中创建“入站远程域”时指定的域相匹配。
确保“连接器设置”下“筛选”中的所有复选框都未选中。
单击“保存”。
单击刚才创建的入站连接器旁边的“强制”。 单击“强制入站连接器”对话框上的“确定”。
单击“连接器”设置下“出站连接器”旁边的“添加”。
在“添加出站连接器”对话框中,配置以下项:
名称 输入出站连接器的名称。
说明 输入出站连接器的说明。
在“连接器作用域”下,在“收件人域”文本框中指定 *.*。
在“邮件传递设置”下,选中“将所有邮件传递到以下目标”复选框。
选中“完全限定的域名”选项,并指定内部部署混合服务器的外部 FQDN。 例如,mail.contoso.com。
在“传输层安全性(TLS)设置”下,选中“发件人证书匹配”,然后在关联的文本字段中,指定您在内部部署混合服务器中配置的证书主题名称。 例如,mail.contoso.com。
单击“保存”。
单击刚才创建的出站连接器旁边的“强制”。 单击“强制出站连接器”对话框上的“确定”。
如何配置 MX 记录?
您必须先获得权限,然后才能执行此过程。 要查看需要什么权限,请参阅 Assigning administrator roles(分配管理员角色)中的“Manage domains”(管理域)条目。
在将电子邮件发送到基于云的服务中具有 service.contoso.com SMTP 地址的收件人之前,必须为 service.contoso.com 域添加邮件交换器 (MX) 记录。 MX 记录必须引用为基于云的组织创建的 FQDN。
若要查找用于创建 MX 记录的 FQDN,请执行以下操作:
登录到: 基于云的服务管理门户(英文)
单击“管理”,然后单击“域”。
单击基于云的组织的 SMTP 命名空间。 例如,service.contoso.com。
在“域属性”页上,确认为Exchange Online 服务列出了“是”。 如果列出了“否”,则必须选择“编辑域意向”将 Exchange 服务分配给服务路由域。 在“编辑域意向”对话框中,为“选择将用于此域的服务”选中“Exchange Online”复选框,然后单击“保存”。
单击“DNS 设置”。
在 Exchange Online DNS 记录表中,查找“类型”为 MX 的行。 使用“指向的地址”字段中的值。 例如,<value>.mail.eo.outlook.com。
在找到要与 MX 记录一起使用的 FQDN 之后,在 DNS 区域中创建 MX 记录。
例如,service.contoso.com 的 MX 记录如下:
传递域 | DNS 记录类型 | MX 优先级 | 基于云的组织域 |
---|---|---|---|
service.contoso.com |
MX |
0 |
<value>.mail.eo.outlook.com |
有关如何将 MX 记录添加到 DNS 区域的详细信息,请参阅 DNS 主机的帮助。
我如何知道这有效?
若要验证是否已正确配置了传输设置,请在 Internet 与基于云的组织之间以及内部部署 Exchange 邮箱与基于云的组织中的邮箱之间发送测试邮件。 然后,执行以下操作以验证您的设置是否正确:
若要执行以下测试,您在基于云的组织中必须有测试邮箱。
验证收件人是否收到了每一封测试邮件。
在从 Internet 发送到基于云的邮箱的邮件的 SMTP 头中,验证内部部署混合服务器与 FOPE 智能主机之间的跃点上是否存在 (TLS)。
在从基于云的邮箱发送到 Internet 收件人的邮件的 SMTP 头中,验证是否通过内部部署混合服务器正确路由了邮件。 此外,验证内部部署混合服务器与 FOPE 服务器之间的跃点上是否存在 (TLS)。
在内部部署邮箱与基于云的邮箱之间发送的邮件的 SMTP 头中,验证 X-MS-Exchange-Organization-AuthAs 头是否设置为 Internal。
如果配置传输时出现问题,可以启用协议日志记录以提供附加信息。 通过协议日志记录,可以记录混合服务器与其他邮件主机之间发生的对话。 您可以利用这些信息确定是否连接到了正确的邮件主机、是否正在交换 SSL 证书等等。
可在以下位置了解详细信息: 了解协议日志记录, 配置协议日志记录
是否有任何疑问?在 Office 365 论坛中寻求帮助。若要访问论坛,您需要使用已授予对基于云的服务的管理员访问权的帐户进行登录。请访问该论坛:Office 365 论坛
© 2010 Microsoft Corporation。保留所有权利。