Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine Hybridbereitstellung enthält Postfächer in einem lokalen Exchange-organization sowie in einem Exchange Online organization. Weitere Informationen zu Hybridbereitstellungen finden Sie unter Exchange Server Hybridbereitstellungen.
Eine wichtige Komponente, um diese beiden separaten Organisationen als eine zu erscheinen, ist der hybride Transport. Nachrichten, die zwischen Empfängern in beiden organization gesendet werden, werden mit Transport Layer Security (TLS) authentifiziert, verschlüsselt und übertragen. Diese Nachrichten werden für Exchange-Komponenten als "intern" angezeigt (z. B. als Transportregeln, Journaling und Antispamrichtlinien). Der Hybridkonfigurations-Assistent konfiguriert automatisch den Hybridtransport in Exchange 2013.
Damit der Hybridtransport mit dem Hybridkonfigurations-Assistenten funktioniert, muss der lokale SMTP-Endpunkt, der Verbindungen von Exchange Online akzeptiert, einer der folgenden Exchange-Server sein:
- Exchange 2016 Cumulative Update 8 (CU8) oder höher:
- Postfachserver
- Edge-Transport-Server.
- Exchange 2013 Cumulative Update 15 (CU15) oder höher:
- Clientzugriffsserver.
- Edge-Transport-Server.
- Exchange 2010 Service Pack 3 (SP3) mit Updaterollup 11 (RU11) oder höher:
- Hub-Transport-Server.
- Edge-Transport-Server.
Wichtig
Platzieren Sie KEINE SMTP-Hosts oder -Dienste zwischen Microsoft 365 und dem lokalen Exchange-organization-Endpunkt. Informationen, die für den Hybridtransport wichtig sind, werden aus Nachrichten entfernt, die einen Endpunkt durchlaufen, auf dem eine nicht unterstützte Version von Exchange oder ein generischer SMTP-Host ausgeführt wird.
Hybridroutingoptionen
Sie müssen auswählen, wie eingehende und ausgehende E-Mails weitergeleitet werden sollen, wenn Sie Ihre Hybridbereitstellung planen und konfigurieren:
Möchten Sie eingehende E-Mails von externen Internetsendern über Microsoft 365 oder über Ihre lokale Exchange-organization an lokale Empfänger und Cloudempfänger weiterleiten? Die Konfiguration hängt von verschiedenen Faktoren ab:
- Befinden sich die meisten Ihrer Postfächer in der Cloud oder in lokalem Exchange?
- Möchten Sie das integrierte Sicherheits-Add-On für lokale Postfächer verwenden, um Ihre lokalen Exchange-organization zu schützen?
- Wo ist Ihre Complianceinfrastruktur konfiguriert?
Die Route für eingehende Nachrichten an beide Organisationen hängt davon ab, ob Sie den zentralisierten E-Mail-Transport in Ihrer Hybridbereitstellung aktivieren.
Möchten Sie ausgehende E-Mails von Exchange Online Absendern über Ihre lokale organization (zentralisierte e-Mail-Übertragung) oder direkt in das Internet an externe Empfänger weiterleiten?
Der zentralisierte E-Mail-Transport leitet alle E-Mails von Exchange Online Absendern über die lokale organization weiter, bevor sie ins Internet gesendet werden. Dieser Ansatz ist in Complianceszenarien wichtig, in denen lokale Server alle E-Mails verarbeiten müssen, die an das Und aus dem Internet gesendet werden. Alternativ können Sie Nachrichten von Exchange Online Absendern an externe Empfänger direkt an das Internet senden.
Hinweis
Wir empfehlen den zentralisierten E-Mail-Transport nur für Organisationen mit bestimmten Compliance-bezogenen Transportanforderungen. Unsere typische Empfehlung besteht darin, den zentralisierten E-Mail-Transport nicht zu verwenden, da die Bandbreite und der Mehraufwand für die E-Mail-Verarbeitung in Ihren lokalen organization erhöht wird.
Möchten Sie in Ihrer lokalen Organisation einen Edge-Transport-Server bereitstellen?
Wenn Sie Ihre in die Domäne eingebundenen internen Exchange-Server nicht direkt für das Internet verfügbar machen möchten, können Sie unterstützte Edge-Transport-Server in Ihrem Umkreisnetzwerk bereitstellen. Weitere Informationen finden Sie unter Edge-Transport-Server mit Hybridbereitstellungen.
Unabhängig von Ihrer Auswahl verwenden alle Nachrichten, die zwischen dem lokalen Exchange-organization und dem Exchange Online organization sicheren Transport gesendet werden. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Vertrauenswürdige Kommunikation .
Weitere Informationen dazu, wie diese Optionen das Nachrichtenrouting in Ihrer Organisation beeinflussen, finden Sie unter Transportweiterleitung in Exchange-Hybrid-Bereitstellungen.
Integrierte Cloudsicherheitsfeatures in Hybridbereitstellungen
Alle Microsoft-Cloudorganisationen mit Cloudpostfächern verfügen über integrierte Sicherheitsfeatures, um Empfänger vor Viren, Spam, Phishing-Betrug und Richtlinienverstößen zu schützen. Diese integrierten Sicherheitsfeatures sind auch verfügbar, um lokale E-Mail-Umgebungen (nicht nur Exchange) im integrierten Sicherheits-Add-On für lokale Postfächer zu schützen.
Die integrierten Sicherheitsfeatures für alle Cloudpostfächer sind die erste Tür zu Ihrem Exchange Online organization. Alle eingehenden Nachrichten (unabhängig von ihrem Ursprung) durchlaufen diese integrierten Sicherheitsfeatures, bevor sie Empfänger in Ihrer Cloud organization erreichen. Alle nachrichten, die von Ihrem Exchange Online organization diese integrierten Sicherheitsfeatures durchlaufen, bevor sie das Internet erreichen.
Vertrauenswürdige Kommunikation
Der Nachrichtenfluss zwischen dem lokalen organization und dem Exchange Online organization ist für die Verwendung von erzwungenem TLS konfiguriert. Diese Konfiguration trägt dazu bei, dass zwischen den Organisationen gesendete Nachrichten nicht abgefangen werden. Der sichere E-Mail-Transport verwendet TLS-Zertifikate, die von einer vertrauenswürdigen kommerziellen Zertifizierungsstelle (ZS) bereitgestellt werden.
Beim erzwungenen TLS-Transport untersuchen die sendenden und empfangenden Server die Zertifikate des jeweils anderen. Das Feld Subject oder Subject Alternative Name (SAN) des Zertifikats muss den FQDN enthalten, der den anderen Server identifiziert.
Die Exchange Online organization ist beispielsweise so konfiguriert, dass nachrichten akzeptiert und geschützt werden, die vom FQDN-mail.contoso.com gesendet werden. Das TLS-Zertifikat auf dem lokalen Clientzugriffsserver oder Edge-Transport-Server muss mail.contoso.com im Feld Antragsteller oder Alternativer Antragstellername (SAN) enthalten. Andernfalls lehnt Microsoft 365 die Verbindung ab.
Tipp
Der FQDN muss nicht mit dem E-Mail-Domänennamen der Empfänger übereinstimmen. Das Feld Subject oder Subject Alternative Name (SAN) des Zertifikats muss den FQDN enthalten, für den die empfangenden oder sendenden Server so konfiguriert sind, dass er akzeptiert.
Zusätzlich zur Verwendung von TLS werden Nachrichten zwischen lokalen und Cloudorganisationen als "intern" behandelt. Dieser Ansatz ermöglicht es Nachrichten, einige Bedrohungsschutzfilter und andere Dienste zu umgehen.
Weitere Informationen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen und Grundlegendes zu TLS-Zertifikaten.