Freigeben über

Konfigurieren der Nachrichtenübermittlung für eine Exchange 2007-Hybridbereitstellung

  • Artikel

 

Gilt für: Exchange Server 2010 SP1

Letztes Änderungsdatum des Themas: 2016-11-28

Geschätzte Zeit bis zum Abschließen des Vorgangs: 20 Minuten

Sie möchten alle E-Mail-Nachrichten, die zwischen dem Internet und Postfächern in Ihrer cloudbasierten Organisation gesendet werden, über den lokalen Exchange 2010-Hybridserver weiterleiten. Durch das Weiterleiten von Nachrichten über den lokalen Hybridserver können Sie Transportregeln, Antivirusrichtlinien und Antispamregeln auf die Nachrichten anwenden.

Die Verfahren in diesem Schritt Ihrer Prüfliste dienen zum Konfigurieren der folgenden Nachrichtenübermittlung in Ihrer Organisation:

  • Zwischen einem Postfach in Ihrer cloudbasierten Organisation und dem Internet gesendete Nachrichten werden über den lokalen Hybridserver geleitet.

  • Nachrichten, die zwischen Postfächern in der Cloud-basierten Organisation gesendet werden, verbleiben innerhalb der Cloud-basierten Organisation. Sie werden nicht über den lokalen Hybridserver gesendet.

  • Nachrichten, die zwischen einem lokalen Exchange-Postfach und einem Postfach in Ihrer cloudbasierten Organisation gesendet werden, werden über den lokalen Hybridserver geleitet.

Neben den Einstellungen, die Sie in Ihrer lokalen Organisation und in Ihrer Cloud-basierten Organisation konfigurieren müssen, müssen Sie auch Einstellungen in FOPE (Forefront Online Protection for Exchange) konfigurieren. FOPE befindet sich zwischen Ihrer Cloud-basierten Organisation und dem Internet und bietet Ihren Cloud-basierten Postfächern Schutz vor Viren und Spam. FOPE steuert außerdem, wie aus der Cloud-basierten Organisation ausgehende Nachrichten weitergeleitet werden und welche Absender Nachrichten an die Cloud-basierte Organisation senden dürfen.

Weitere Informationen finden Sie unter Grundlegendes zu den Transportoptionen für eine Exchange 2007-Hybridbereitstellung

Warnung

Dieses Thema sollte als Teil der Prüfliste zur Hybridbereitstellung von Microsoft Exchange Server 2007 und Office 365 gelesen werden. Informationen oder Verfahren in diesem Thema können von Voraussetzungen abhängen, die in früheren Themen der Prüfliste konfiguriert wurden. Sie können die Prüfliste unter Prüfliste – Exchange 2007- und Office 365-Hybridbereitstellung

Wie Konfiguriere ich Transporteinstellungen in der lokalen Organisation?

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter Transportberechtigungen in den Einträgen "Remotedomänen", "Sendeconnectors" und "Empfangsconnectors".

In diesem Verfahren verwenden Sie die Exchange-Verwaltungsshell, um Folgendes zu konfigurieren:

  • TLS (Transport Layer Security) für alle Nachrichten, die zwischen der lokalen und der Cloud-basierten Organisation gesendet werden.

  • Eingehende und ausgehende Nachrichten, die zwischen der lokalen und der Cloud-Organisation gesendet werden, sind vertrauenswürdig. Antispamregeln werden auf diese Nachrichten nicht angewendet.

  • Alle Nachrichten, die an Ihre Cloud-basierte Organisation gesendet werden, werden über einen FOPE-Smarthost weitergeleitet.

  1. Erstellen Sie auf dem lokalen Hybridserver eine Remotedomäne für eingehende Nachrichten, die von der cloudbasierten Organisation empfangen werden.

    New-RemoteDomain "Inbound Remote Domain" -DomainName contoso.com

  2. Erstellen Sie auf dem lokalen Hybridserver eine Remotedomäne für ausgehende Nachrichten, die an die cloudbasierte Organisation gesendet werden.

    New-RemoteDomain "Outbound Remote Domain" -DomainName service.contoso.com

  3. Konfigurieren Sie auf Ihrem lokalen Hybridserver die Remotedomäne für eingehende Nachrichten so, dass Nachrichten von der cloudbasierten Organisation als vertrauenswürdig eingestuft werden.

    Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True

  4. Konfigurieren Sie auf Ihrem lokalen Hybridserver die Remotedomäne für ausgehende Nachrichten so, dass eine vertrauenswürdige Zustellung von Nachrichten an die cloudbasierte Organisation ermöglicht wird.

    Set-RemoteDomain "Outbound Remote Domain" -TrustedMailOutboundEnabled $True -TargetDeliveryDomain $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True

  5. Ändern Sie auf dem lokalen Hybridserver den Sendeconnector "Zur Cloud", um den TLS-Transport zu ermöglichen und alle Nachrichten, die an die cloudbasierte Organisation gesendet werden, über einen FOPE-Smarthost zu leiten. Verwenden Sie hierzu den folgenden Befehl.

    Set-SendConnector "To cloud" -RequireTLS $True -TlsAuthLevel DomainValidation -TlsDomain mail.messaging.microsoft.com -Fqdn mail2.contoso.com -ErrorPolicies DowngradeAuthFailures

  6. Navigieren Sie zu folgender Website: FOPE-Verwaltungskonsole

  7. Wenn dies Ihr erster Zugriff auf FOPE ist, gehen Sie folgendermaßen vor:

    1. Klicken Sie auf Kennwort erforderlich.

    2. Geben Sie die E-Mail-Adresse des Kontos im Cloud-basierten Dienst im Feld Benutzername ein. Hierbei handelt es sich um die E-Mail-Adresse, die Sie beim Erstellen des Kontos im Cloud-basierten Dienst angegeben haben. Beispiel: admin@contoso.onmicrosoft.com.

    3. Melden Sie sich bei Ihrem Administrator-E-Mail-Konto des Cloud-basierten Diensts unter "https://www.outlook.com/contoso.com" an. Öffnen Sie die von FOPE an das Konto gesendete E-Mail-Nachricht mit dem bereitgestellten Kennwort.

    4. Navigieren Sie zurück zu folgender Website: FOPE-Verwaltungskonsole

  8. Geben Sie die E-Mail-Adresse des Kontos im Cloud-basierten Dienst im Feld Benutzername ein.

  9. Geben Sie Ihr FOPE-Kennwort im Feld Kennwort ein.

  10. Klicken Sie auf die Registerkarte Informationen und dann auf Konfiguration.

  11. Notieren Sie die unter In der Firewall zu konfigurierende IP-Adressen aufgeführten IP-Adressen.

  12. Erstellen Sie auf dem lokalen Hybridserver einen neuen Empfangsconnector, um Nachrichten von FOPE zu akzeptieren. Dieser Empfangsconnector wird so konfiguriert, dass ausschließlich Verbindungen von den FOPE-IP-Adressen akzeptiert werden, die im vorherigen Schritt abgerufen wurden. Außerdem werden Nachrichten, die von der cloudbasierten Organisation gesendet werden, als interne Nachrichten behandelt. Der für den Connector konfigurierte FQDN muss mit dem allgemeinen Namen des SSL-Zertifikats übereinstimmen, das für sichere E-Mail verwendet werden soll.

    New-ReceiveConnector -Name "From Cloud" -Usage Internet -RemoteIPRanges <FOPE Outbound IP Addresses> -Bindings 0.0.0.0:25 -FQDN mail2.contoso.com -TlsDomainCapabilities mail.messaging.microsoft.com:AcceptOorgProtocol

    Hinweis

    FOPE verwendet eine Kombination aus CIDR-IP-Notation (Classless Inter-Domain Routing) und einzelnen IP-Adressen. Trennen Sie die einzelnen IP-Adressen durch ein Komma, wenn Sie den Parameter RemoteIPRanges konfigurieren. Beispiel: -RemoteIPRanges 172.0.0.0/24, 192.168.1.1, 10.23.21.64/26.

Wie konfiguriere ich Transporteinstellungen in meiner Cloud-basierten Organisation?

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Remotedomänen" und "Akzeptierte Domänen" im Thema Transportberechtigungen.

In diesem Verfahren verwenden Sie die Shell, um Folgendes zu konfigurieren:

  • Konfigurieren Sie die freigegebene SMTP-Domäne als interne Relaydomäne, und legen Sie die Domäne nur für ausgehende Nachrichten fest.

  • Eingehende und ausgehende Nachrichten, die zwischen der lokalen und der Cloud-Organisation gesendet werden, sind vertrauenswürdig. Antispamregeln werden auf diese Nachrichten nicht angewendet.

  1. Erstellen Sie in der Cloud-basierten Organisation eine Remotedomäne für eingehende Nachrichten, die von der lokalen Organisation empfangen werden. Der Domänenname muss den Namen des auf dem Hybridserver veröffentlichten Zertifikats enthalten.

    Hinweis

    Diese Domäne muss dem FQDN entsprechen, den Sie in der zum TLS-Zertifikat gehörigen Domäne angeben, wenn Sie später den eingehenden FOPE-Connector erstellen.

    New-RemoteDomain "Inbound Remote Domain" -DomainName mail2.contoso.com

  2. Erstellen Sie in der Cloud-basierten Organisation eine Remotedomäne für ausgehende Nachrichten, die an Empfänger in der lokalen Organisation gesendet werden. Die Domäne muss dem Domänenteil der Empfängeradresse lokaler Empfänger entsprechen.

    New-RemoteDomain "Outbound Remote Domain to On-Premises Recipients" -DomainName contoso.com

  3. Konfigurieren Sie in der Cloud-basierten Organisation die Remotedomäne für eingehende Nachrichten so, dass die von der lokalen Organisation gesendeten Nachrichten als vertrauenswürdig eingestuft werden.

    Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True

  4. Konfigurieren Sie in der Cloud-basierten Organisation die Remotedomäne für ausgehende Nachrichten an lokale Empfänger so, dass eine vertrauenswürdige Zustellung von Nachrichten an die lokale Organisation ermöglicht wird und umfassende E-Mail-Clientfunktionen aktiviert werden.

    Set-RemoteDomain "Outbound Remote Domain to On-Premises Recipients" -TrustedMailOutboundEnabled $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True

  5. Konfigurieren Sie in der Cloud-basierten Organisation die Remotedomäne für ausgehende Nachrichten an Internetempfänger so, dass eine vertrauenswürdige Zustellung von Nachrichten an die lokale Organisation ermöglicht wird.

    Set-RemoteDomain Default -TrustedMailOutboundEnabled $True

  6. Legen Sie in der Cloud-basierten Organisation die akzeptierte Domäne für die freigegebene SMTP-Domäne als interne Relaydomäne fest. Legen Sie ferner die Domäne mithilfe des folgenden Befehls als nur ausgehend fest.

    Set-AcceptedDomain "contoso.com" -DomainType InternalRelay -OutboundOnly $True

Wie wird FOPE so konfiguriert, dass Nachrichten an die lokale und von der lokalen Organisation weitergeleitet werden?

Die Berechtigungen, die zum Ausführen dieses Verfahrens erforderlich sind, werden dem Administratorkonto des Cloud-basierten Diensts automatisch erteilt, wenn Sie sich das erste Mal bei FOPE anmelden.

Mit diesem Verfahren können Sie Folgendes konfigurieren:

  • Den eingehenden Connector in FOPE, der an die cloudbasierte Organisation gesendete Nachrichten nur vom lokalen Hybridserver akzeptiert. Der Connector wird außerdem so konfiguriert, dass er nur Nachrichten annimmt, die über TLS gesendet wurden.

  • Der ausgehende Connector in FOPE, der alle von der cloudbasierten Organisation gesendeten Nachrichten an das Internet über den lokalen Hybridserver sendet. Der Connector wird auch zum Senden von Nachrichten mithilfe von TLS konfiguriert.

Hinweis

Wenn Sie sich an der FOPE-Verwaltungskonsole anmelden, bemerken Sie möglicherweise einen Eintrag auf der Registerkarte "Domänen" der mit "DuplicateDomain-GUID" beginnt und mit Ihrer freigegebenen Domäne endet. Beispiel: "DuplicateDomain-GUIDcontoso.com". Dieser Eintrag wird angezeigt, wenn Sie die akzeptierte Domäne für Ihre freigegebene Domäne in der Cloud-basierten Organisation als eine Domäne nur für ausgehende Nachrichten konfiguriert haben. Wenn Sie die akzeptierte Domäne nicht als Domäne nur für ausgehende Nachrichten konfiguriert haben, aber dennoch ein DuplicateDomain-Eintrag in der Domänenliste der FOPE-Verwaltungskonsole angezeigt wird, wenden Sie sich an den FOPE-Support.

  1. Navigieren Sie zu folgender Website: FOPE-Verwaltungskonsole

  2. Wenn dies Ihr erster Zugriff auf FOPE ist, gehen Sie folgendermaßen vor:

    1. Klicken Sie auf Kennwort erforderlich.

    2. Geben Sie die E-Mail-Adresse des Kontos im Cloud-basierten Dienst im Feld Benutzername ein. Hierbei handelt es sich um die E-Mail-Adresse, die Sie beim Erstellen des Kontos im Cloud-basierten Dienst angegeben haben. Beispiel: "admin@contoso.onmicrosoft.com".

    3. Melden Sie sich bei Ihrem Administrator-E-Mail-Konto des Cloud-basierten Diensts unter "https://www.outlook.com/contoso.com" an. Öffnen Sie die von FOPE an das Konto gesendete E-Mail-Nachricht, und rufen Sie das bereitgestellte Kennwort ab.

    4. Navigieren Sie zurück zu folgender Website: FOPE-Verwaltungskonsole

  3. Geben Sie die E-Mail-Adresse des Kontos im Cloud-basierten Dienst im Feld Benutzername ein.

  4. Geben Sie Ihr FOPE-Kennwort im Feld Kennwort ein.

  5. Klicken Sie auf die Registerkarte Verwaltung, und klicken Sie dann auf die Registerkarte Firma.

  6. Klicken Sie unter Connectors neben Eingehende Connectors auf Hinzufügen.

  7. Nehmen Sie im Dialogfeld Eingehenden Connector hinzufügen folgende Konfiguration vor:

    • Name   Geben Sie einen Namen für den eingehenden Connector ein.

    • Beschreibung   Geben Sie eine Beschreibung für den eingehenden Connector ein.

    • Geben Sie unter Connectorbereich im Textfeld Absenderdomänen die Zeichenfolge "*.*" ein.

    • Geben Sie unter Connectorbereich die Quell-IP-Adresse an, die Ihre Firewall für Hosts im Internet im Textfeld Absender-IP-Adresse anzeigt. Abhängig von der Konfiguration Ihrer Firewall kann es sich hierbei um die externe IP-Adresse des Hybridservers oder um die WAN-IP-Adresse der Firewall handeln. Verwenden Sie die CIDR-Notation, um einen Bereich von IP-Adressen anzugeben. Sie können auch mehrere IP-Adressen angeben. Trennen Sie diese gegebenenfalls durch ein Komma.

    • Wählen Sie Diese IP-Adressen zur Liste sicherer Absender hinzufügen und für die oben angegebenen Domänen nur E-Mail-Nachrichten von diesen IP-Adressen akzeptieren.

    • Wählen Sie unter Connectoreinstellungen in TLS-Einstellungen (Transport Layer Security) die Option TLS erzwingen.

    • Aktivieren Sie das Kontrollkästchen Zertifikat des Absenders entspricht, und geben Sie im zugehörigen Textfeld den Antragstellernamen des Zertifikats an, den Sie auf dem lokalen Hybridserver konfiguriert haben. Beispiel: "mail2.contoso.com".

      Hinweis

      Der hier angegebene FQDN muss der Domäne entsprechen, die Sie angegeben haben, als Sie früher die eingehende Remotedomäne ("Inbound remote domain") in der Cloud-basierten Organisation erstellt haben.

    • Stellen Sie sicher, dass unter Connectoreinstellungen sämtliche Kontrollkästchen für Filterung deaktiviert sind.

    • Klicken Sie auf Speichern.

  8. Klicken Sie neben dem soeben erstellten eingehenden Connector auf Erzwingen. Klicken Sie im Dialogfeld Eingehenden Connector erzwingen auf OK.

  9. Klicken Sie unter Connectors neben Ausgehende Connectors auf Hinzufügen.

  10. Nehmen Sie im Dialogfeld Ausgehenden Connector hinzufügen folgende Konfiguration vor:

    • Name   Geben Sie einen Namen für den ausgehenden Connector ein.

    • Beschreibung   Geben Sie eine Beschreibung für den ausgehenden Connector ein.

    • Geben Sie unter Connectorbereich im Textfeld Empfängerdomänen *.* ein.

    • Aktivieren Sie unter Einstellungen für Nachrichtenübermittlung das Kontrollkästchen Alle Nachrichten an folgendes Ziel zustellen.

    • Wählen Sie die Option Vollqualifizierter Domänenname, und geben Sie den externen FQDN des lokalen Hybridservers an. Beispiel: "mail2.contoso.com".

    • Wählen Sie unter TLS-Einstellungen (Transport Layer Security) die Option Empfängerzertifikat stimmt überein aus, und geben Sie im zugehörigen Textfeld den auf dem lokalen Hybridserver konfigurierten Antragstellernamen des Zertifikats ein. Beispiel: "mail2.contoso.com".

    • Klicken Sie auf Speichern.

  11. Klicken Sie neben dem soeben erstellten ausgehenden Connector auf Erzwingen. Klicken Sie im Dialogfeld Ausgehenden Connector erzwingen auf OK.

Wie konfiguriere ich einen MX-Eintrag?

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den benötigten Berechtigungen finden Sie unter "Verwalten von Domänen" im Thema Zuweisen von Administratorrollen.

Bevor Sie E-Mail-Nachrichten an Empfänger im Cloud-basierten Dienst senden können, die eine "service.contoso.com"-SMTP-Adresse besitzen, müssen Sie einen MX-Eintrag (Mail Exchanger) für die Domäne "service.contoso.com" hinzufügen. Der MX-Eintrag muss auf den FQDN verweisen, der für Ihre Cloud-basierte Organisation erstellt wurde.

Gehen Sie folgendermaßen vor, um nach dem FQDN zum Erstellen des MX-Eintrags zu suchen:

  1. Melden Sie sich bei folgendem Portal an: Verwaltungsportal des Cloud-basierten Diensts

  2. Klicken Sie auf Administrator und anschließend auf Domänen.

  3. Klicken Sie auf den SMTP-Namespace für Ihre Cloud-basierte Organisation. Beispiel: "service.contoso.com".

  4. Überprüfen Sie auf der Seite Domäneneigenschaften, ob für den Dienst Exchange Online der Eintrag Ja aufgeführt wird. Wenn Nein aufgeführt wird, müssen Sie Domänenpriorität bearbeiten auswählen, um der Dienstroutingdomäne Exchange-Dienste zuzuweisen. Aktivieren Sie im Dialogfeld Domänenpriorität bearbeiten das Kontrollkästchen Exchange Online für Wählen Sie die Dienste aus, die Sie mit dieser Domäne verwenden möchten, und klicken Sie auf Speichern.

  5. Klicken Sie auf DNS-Einstellungen.

  6. Suchen Sie in der Exchange Online-Tabelle mit DNS-Einträgen die Zeile, in der Typ den Wert MX aufweist. Verwenden Sie den Wert im Feld Verweist auf die Adresse. Beispiel: "<Wert>.mail.eo.outlook.com".

Wenn Sie den FQDN zur Verwendung mit Ihrem MX-Eintrag gefunden haben, erstellen Sie den MX-Eintrag in Ihrer DNS-Zone.

Der MX-Eintrag für "service.contoso.com" lautet beispielsweise folgendermaßen:

Zustellungsdomäne DNS-Eintragstyp MX-Priorität Domäne der Cloud-basierten Organisation

service.contoso.com

MX

0

<Wert>.mail.eo.outlook.com

Weitere Informationen zum Hinzufügen eines MX-Eintrags zur DNS-Zone finden Sie in der Hilfe zu Ihrem DNS-Host.

Woher weiß ich, dass der Vorgang erfolgreich war?

Versenden Sie Testnachrichten zwischen dem Internet und Ihrer Cloud-basierten Organisation und zwischen lokalen Exchange-Postfächern und Postfächern in Ihrer Cloud-basierten Organisation, um sicherzustellen, dass die Transporteinstellungen korrekt konfiguriert sind. Gehen Sie anschließend folgendermaßen vor, um die Richtigkeit der Einstellungen zu überprüfen:

Zum Durchführen der folgenden Tests müssen Sie in der Cloud-basierten Organisation ein Testpostfach eingerichtet haben.

  • Vergewissern Sie sich, dass die Empfänger alle Testnachrichten empfangen.

  • Überprüfen Sie in den SMTP-Kopfzeilen einer Nachricht, die aus dem Internet an ein cloudbasiertes Postfach gesendet wurde, ob (TLS) auf dem Hop zwischen dem lokalen Hybridserver und dem FOPE-Smarthost vorhanden ist.

  • Überprüfen Sie in den SMTP-Kopfzeilen einer Nachricht, die von einem cloudbasierten Postfach an einen Internetempfänger gesendet wird, ob die Nachricht ordnungsgemäß über den lokalen Hybridserver weitergeleitet wird. Stellen Sie außerdem sicher, dass (TLS) auf dem Hop zwischen Ihrem lokalen Hybridserver und dem FOPE-Server vorhanden ist.

  • Überprüfen Sie in den SMTP-Kopfzeilen von Nachrichten, die zwischen lokalen und Cloud-basierten Postfächern versendet werden, dass der die Kopfzeile X-MS-Exchange-Organization-AuthAs auf Internal festgelegt ist.

Wenn beim Konfigurieren des Transports Probleme auftreten, können Sie die Protokollprotokollierung aktivieren, um weitere Informationen zu erhalten. Die Protokollprotokollierung ermöglicht Ihnen das Aufzeichnen der Kommunikation zwischen dem Hybridserver und anderen Mailhosts. Anhand dieser Informationen können Sie zum Beispiel ermitteln, ob Sie eine Verbindung mit den richtigen Mailhosts herstellen, ob SSL-Zertifikate ausgetauscht werden usw.

Weitere Informationen finden Sie unter Grundlegendes zur Protokollierung, Konfigurieren der Protokollprotokollierung

Liegt ein Problem vor? Bitten Sie in den Office 365-Foren um Hilfe. Für den Zugriff auf die Foren müssen Sie sich mit einem Konto anmelden, das über Administratorzugriff auf Ihren Cloud-basierten Dienst verfügt. Besuchen Sie die Foren unter: Office 365-Foren

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.