Comprendre les options de transport d’un déploiement hybride Exchange 2010

S’applique à : Exchange Server 2010 SP2

Dernière rubrique modifiée : 2012-07-23

Lorsque vous configurez un déploiement hybride entre une organisation Exchange locale et une organisation en nuage, vous devez décider comment acheminer les messages et anticiper également l’impact sur les organisations existantes.

La route prise par les messages entrants envoyés aux destinataires de l’organisation locale ou en nuage dépend de l’espace de noms choisi : partagé ou fractionné. La route prise par les messages sortants envoyés par les expéditeurs de l’organisation locale ou en nuage dépend du contrôle de messagerie que vous avez configuré : centralisé ou décentralisé.

Que vous choisissiez des espaces de noms partagés ou fractionnés, un contrôle de messagerie centralisé ou décentralisé, les messages échangés entre l’organisation locale et l’organisation en nuage sont configurés pour utiliser le protocole de transport TLS (Transport Layer Security) qui contribue à sécuriser cette communication.

Important :
Le service en nuage doit communiquer directement avec un serveur de transport Hub local Exchange 2010, tel que le serveur hybride, pour que les communications sécurisées fonctionnent correctement.

La section suivante traite des éléments à prendre en compte lors de la configuration d’un serveur hybride dans votre organisation.

Transport Hub Exchange 2010 et déploiements hybrides

Vous devez prendre en compte l’impact de la configuration d’un serveur de transport Hub Exchange 2010 dans votre organisation Exchange en tant que serveur hybride. Voici quelques aspects dont il faut tenir compte :

• Exchange 2010 Service Pack   Tous les serveurs Exchange 2010 du site où vous configurez le serveur hybride doivent exécuter, au minimum, Exchange 2010 Service Pack 1 (SP1)

• Routage des messages   Tous les messages échangés avec les boîtes aux lettres Exchange 2010 sont traités par les serveurs de transport Hub Exchange 2010 dans l’organisation. Toutefois, les messages envoyés à et par l’organisation en nuage sont traités par le serveur hybride. Les messages envoyés à des destinataires Internet peuvent être acheminés directement entre le serveur hybride et le serveur de transport Edge Exchange 2010, s’il est configuré.

Pour plus d’informations, voir : Comprendre le transport dans un déploiement hybride

Les rubriques suivantes traitent des espaces de noms partagés et fractionnés, des contrôles de messagerie centralisés ou décentralisés et de la communication sécurisée entre les organisations locale et en nuage.

Espaces de noms partagés et fractionnés

Si vous choisissez d’utiliser un espace de noms partagé, tous les destinataires des organisations locale et en nuage partagent le même domaine SMTP dans leurs adresses de messagerie. L’enregistrement du serveur de messagerie (MX) pour ce domaine SMTP envoie les messages à l’organisation Exchange locale.

Lorsqu’un message arrive dans l’organisation Exchange locale pour un destinataire qui réside dans le nuage, le serveur de transport Edge détermine si le message est indésirable ou malveillant et, s’il n’y a pas de problème, le transmet à un serveur de transport Hub de votre organisation. Le message peut être transmis à tout serveur de transport Hub d’un site Active Directory, y compris le serveur hybride.

Le serveur de transport Hub détermine si une boîte aux lettres est située sur un serveur Exchange local ou dans l’organisation en nuage en vérifiant le type de destinataire. Si le type de destinataire est une boîte aux lettres, le serveur de transport Hub achemine le message au serveur Exchange local qui contient cette boîte aux lettres.

Si le type de destinataire est une boîte aux lettres distante, qui correspond à un type spécifique d’utilisateur de messagerie, le serveur de transport Hub récupère l’adresse de routage distante de cette boîte aux lettres distante. L’adresse de routage distante de l’utilisateur de messagerie est l’adresse SMTP de sa boîte associée dans l’organisation en nuage. Le serveur de transport Hub réachemine le message avec l’adresse SMTP de la boîte aux lettres en nuage. Si le serveur de transport Hub ayant effectué la recherche n’est pas le serveur hybride, le serveur envoie le message à ce dernier. Le serveur hybride envoie ensuite le message à l’organisation en nuage. Les exemples fournis dans cette liste de contrôle utilisent l’adresse SMTP service.contoso.com de l’organisation en nuage.

Important :
Vous ne devez pas utiliser le nom de domaine complet (FQDN) du client du service, contoso.onmicrosoft.com par exemple, comme adresse SMTP de l’organisation en nuage.

Remarque :
Pour garantir une expérience optimale en matière de déploiement hybride, nous vous conseillons vivement d’utiliser un espace de noms partagé.

Si vous choisissez d’utiliser un espace de noms fractionné, les adresses de messagerie des destinataires dans l’organisation en nuage sont configurées avec un domaine SMTP différent de celui des adresses de messagerie des destinataires dans l’organisation locale. Les messages envoyés aux destinataires d’une organisation sont remis directement à cette organisation.

Pour en savoir plus concernant les espaces de noms partagés et fractionnés, reportez-vous à la rubrique : Présentation des espaces de noms SMTP partagés et fractionnés

Contrôle de messagerie centralisé et décentralisé

Outre le choix du mode d’acheminement des messages entrants adressés aux destinataires de vos organisations, vous pouvez choisir également comment acheminer les messages envoyés par les expéditeurs dans le nuage. Les options disponibles sont les suivantes :

• Contrôle de messagerie centralisé   Cette option route les messages sortants envoyés par l’organisation en nuage via votre organisation locale. À l’exception des messages envoyés à d’autres destinataires dans la même organisation en nuage, tous les messages envoyés par les expéditeurs de l’organisation en nuage sont envoyés via l’organisation locale. Cela vous permet d’appliquer les règles de conformité à ces messages et à tout autre processus ou exigence applicables à tous vos destinataires, qu’ils concernent l’organisation en nuage ou l’organisation locale.

  Important :
  Votre serveur hybride local doit être accessible à partir d’Internet pour que les destinataires de l’organisation en nuage puissent envoyer des messages sur Internet. Si votre serveur hybride local n’est pas disponible, les messages envoyés depuis l’organisation en nuage seront placés en file d’attente jusqu’à ce que le serveur soit de nouveau disponible.

• Contrôle de messagerie décentralisé   Cette option achemine les messages sortants envoyés depuis l’organisation en nuage directement sur Internet. Utilisez-la si vous n’avez pas besoin d’appliquer des règles locales ou tout autre traitement aux messages qui sont envoyés par les expéditeurs de l’organisation en nuage.

Communication sécurisée

Que vous ayez sélectionné des espaces de noms partagés ou fractionnés, le contrôle de messagerie centralisé ou décentralisé, tous les messages échangés par les destinataires de votre organisation locale et l’organisation en nuage sont envoyés directement à et depuis l’une ou l’autre organisation. En tant qu’élément de la configuration décrite dans les procédures de cette liste de contrôle, chaque organisation est configurée pour traiter les messages envoyés par l’autre organisation en interne. Cela permet aux messages d’ignorer les paramètres anti-spam et les autres services.

Pour protéger les destinataires des deux organisations, et pour garantir que les messages échangés entre les organisations ne seront pas interceptés et lus, le transport entre les deux organisations est configuré pour utiliser le protocole TLS forcé au moyen des certificats SSL (Secure Sockets Layer) fournis par une autorité de certification (CA) tierce sécurisée.

Lorsque le transport TLS forcé est utilisé, les serveurs d’envoi et de réception examinent le certificat configuré sur l’autre serveur. Le nom d’objet, ou l’un des autres noms d’objet (SAN), configuré sur les certificats doit correspondre au nom de domaine complet (FQDN) qu’un administrateur a spécifié de manière explicite sur l’autre serveur. Par exemple, si l’organisation en nuage est configurée pour accepter et sécuriser les messages envoyés à partir du nom de domaine complet (FQDN) mail.contoso.com, le serveur hybride local d’envoi doit posséder un certificat SSL avec mail.contoso.com comme nom d’objet ou SAN. Si cette condition n’est pas remplie, la connexion est refusée.

Remarque :
Il n’est pas nécessaire que le FQDN utilisé corresponde au nom de domaine de messagerie des destinataires. La seule exigence est que le FQDN du nom d’objet du certificat ou du SAN corresponde au FQDN que les serveurs de réception ou d’envoi doivent accepter.

La communication sécurisée entre votre organisation locale et votre organisation en nuage exige que le serveur local qui accepte la connexion, appelée le point de terminaison, soit un serveur Exchange 2010. Dans votre organisation locale, il peut s’agir du serveur hybride ou de tout autre serveur de transport Edge ou Hub Exchange 2010. Si le système d’extrémité TLS n’est pas un serveur Exchange 2010, la connexion échoue. Les instructions de cette liste de contrôle permettent de configurer le serveur hybride comme système d’extrémité TLS. Ainsi, vous devez fournir une adresse IP externe au serveur hybride et ouvrir le port 25 sur votre pare-feu au serveur hybride.

En savoir plus sur les certificats SSL et la sécurité de domaine dans : Présentation de la configuration requise pour les certificats, Présentation des certificats TLS

Chacune des rubriques suivantes indique comment fonctionne les flux de messages, selon les choix que vous avez effectués. Sélectionnez la rubrique permettant de visualiser le flux de messages correspondant à votre choix.

Espace de noms partagé avec contrôle de messagerie centralisé

Lorsque vous configurez votre organisation locale et en nuage pour utiliser un espace de noms partagé ainsi que le contrôle de messagerie centralisé, tous les messages à l’attention et en provenance des destinataires dans l’organisation locale et l’organisation en nuage sont envoyés par l’intermédiaire de l’organisation locale.

Le diagramme ci-dessous, qui montre les messages entrants envoyés aux destinataires de votre organisation, illustre la situation suivante :

1. Un message entrant est envoyé par un expéditeur Internet aux destinataires chris@contoso.com et david@contoso.com. La boîte aux lettres de Chris se trouve sur un serveur Exchange 2010 dans l’organisation locale. La boîte aux lettres de David est située dans l’organisation en nuage.

2. Comme les deux destinataires ont contoso.com dans leur adresse de messagerie, et que l’enregistrement MX de contoso.com pointe vers le serveur de transport Edge local, le message est remis au serveur de transport Edge local.

3. Le serveur de transport Edge sélectionne un serveur de transport Hub auquel transférer le message dans l’organisation locale. Comme le rôle serveur de transport Hub est installé sur le serveur hybride, le message est envoyé à ce dernier.

4. Le message est remis au serveur hybride qui effectue une recherche pour chaque destinataire utilisant un serveur de catalogue global local. Par une recherche dans le catalogue global, il détermine que la boîte aux lettres de Chris est située sur le serveur Exchange 2010 alors que la boîte aux lettres de David se trouve dans le nuage et dispose d’une adresse de routage david@service.contoso.com

5. Le serveur hybride divise le message en deux exemplaires. Une copie du message est envoyée à la boîte aux lettres Exchange 2010 de Chris.

6. La deuxième copie du message est envoyée sur Internet via le connecteur d’envoi qui est configuré entre le serveur hybride et le service Forefront Online Protection for Exchange (FOPE), qui reçoit le message envoyé à l’organisation en nuage.

7. FOPE analyse le message à la recherche de virus, puis envoie le message à l’organisation en nuage où le message est remis à la boîte aux lettres de David.

Courrier entrant destiné à un espace de noms partagé via le serveur hybride local

Le diagramme ci-dessous, qui montre les messages sortants envoyés sur Internet, illustre la situation suivante :

1. Chris, qui possède une boîte aux lettres sur le serveur Exchange 2010 local, envoie un message à un destinataire Internet externe, erin@cpandl.com. David, qui est doté d’une boîte aux lettres dans l’organisation en nuage, envoie un message au destinataire externe brian@cpandl.com. Chris et David possèdent tous deux une adresse de réponse contoso.com.

2. Le serveur de boîte aux lettres Exchange 2010 envoie le message de Chris au serveur hybride où est installé le rôle serveur de transport Hub. Le serveur hybride envoie le message au serveur de transport Edge Exchange 2010.

3. L’organisation en nuage envoie le message de David à FOPE.

4. FOPE est configuré pour envoyer tous les messages Internet au serveur hybride local, si bien que le message est acheminé vers le serveur hybride. FOPE est configuré pour ignorer le serveur de transport Edge Exchange 2010 local.

5. Le serveur hybride envoie le message au serveur de transport Edge Exchange 2010.

6. Le serveur de transport Edge effectue une analyse de conformité, une recherche de virus et tout autre processus configuré par l’administrateur, sur les messages de Chris et de David.

7. Le serveur de transport Edge consulte l’enregistrement MX de cpandl.com et envoie les messages aux serveurs de messagerie cpandl.com situés sur Internet.

Message sortant issu d’un espace de noms partagé via le serveur hybride local

Espace de noms partagé avec contrôle de messagerie décentralisé

Lorsque vous configurez vos organisations locale et en nuage pour utilisation d’un espace de noms partagé, mais que vous choisissez d’utiliser le contrôle de messagerie décentralisé, tous les messages entrants envoyés aux destinataires de l’une ou l’autre organisation le sont via l’organisation locale. Toutefois, les messages sortants envoyés par les expéditeurs de l’une ou l’autre organisation le sont directement sur Internet. L’organisation en nuage n’envoie pas de messages sur Internet via l’organisation locale.

Le diagramme ci-dessous, qui montre les messages entrants envoyés aux destinataires de votre organisation, illustre la situation suivante :

1. Un message entrant est envoyé par un expéditeur Internet aux destinataires chris@contoso.com et david@contoso.com. La boîte aux lettres de Chris se trouve sur un serveur Exchange 2010 dans l’organisation locale. La boîte aux lettres de David est située dans l’organisation en nuage.

2. Comme les deux destinataires ont contoso.com dans leur adresse de messagerie, et que l’enregistrement MX de contoso.com pointe vers le serveur de transport Edge local, le message est remis au serveur de transport Edge local.

3. Le serveur de transport Edge sélectionne un serveur de transport Hub auquel transférer le message dans l’organisation locale. Comme le rôle serveur de transport Hub est installé sur le serveur hybride, le message est envoyé à ce dernier.

4. Le message est remis au serveur hybride qui effectue une recherche pour chaque destinataire utilisant un serveur de catalogue global local. En effectuant une recherche dans le catalogue global, le serveur hybride détermine que la boîte aux lettres de Chris est située sur le serveur Exchange 2010, alors que la boîte aux lettres de David se trouve dans le nuage et dispose d’une adresse de routage david@service.contoso.com

5. Le serveur hybride divise le message en deux exemplaires. Une copie du message est envoyée à la boîte aux lettres Exchange 2010 de Chris.

6. La deuxième copie du message est envoyée sur Internet via le connecteur d’envoi qui est configuré entre le serveur hybride et le service Forefront Online Protection for Exchange (FOPE), qui reçoit le message envoyé à l’organisation en nuage.

7. FOPE analyse le message à la recherche de virus, puis envoie le message à l’organisation en nuage où le message est remis à la boîte aux lettres de David.

Courrier entrant destiné à un espace de noms partagé via le serveur hybride local

Le diagramme ci-dessous, qui montre les messages sortants envoyés sur Internet, illustre la situation suivante :

1. Chris, qui possède une boîte aux lettres sur le serveur Exchange 2010 local, envoie un message à un destinataire Internet externe, erin@cpandl.com. David, qui est doté d’une boîte aux lettres dans l’organisation en nuage, envoie un message au destinataire externe brian@cpandl.com. Chris et David possèdent tous deux une adresse de réponse contoso.com.

2. Le serveur de boîte aux lettres Exchange 2010 envoie le message de Chris au serveur hybride où est installé le rôle serveur de transport Hub. Le serveur hybride envoie le message au serveur de transport Edge Exchange 2010.

3. Le serveur de transport Edge effectue une analyse de conformité, une recherche de virus et tout autre processus configuré par l’administrateur, sur le message de Chris.

4. Le serveur de transport Edge consulte l’enregistrement MX de cpandl.com et envoie le message aux serveurs de messagerie cpandl.com situés sur Internet.

5. L’organisation en nuage envoie le message de David à FOPE.

6. FOPE est configuré pour envoyer tous les messages Internet directement sur Internet. FOPE recherche l’enregistrement MX pour cpandl.com.

7. FOPE remet directement le message aux serveurs de messagerie cpandl.com situés sur Internet. Comme le message ne passe jamais par le serveur hybride, aucun processus local ne lui est appliqué.

Message sortant issu d’un espace de noms partagé via des chemins d’accès indépendants

Espace de noms fractionné avec contrôle de messagerie centralisé

Le diagramme ci-dessous, qui montre les messages entrants envoyés aux destinataires de votre organisation, illustre la situation suivante :

1. Un message entrant est envoyé par un expéditeur Internet à chris@contoso.com et un autre message est envoyé à david@contoso.com. La boîte aux lettres de Chris se trouve sur un serveur Exchange 2010 dans l’organisation locale. La boîte aux lettres de David est située dans l’organisation en nuage.

2. Comme les destinataires ont des domaines d’adresse de messagerie différents, le serveur d’envoi transmet chaque message à l’organisation qui reçoit les messages pour chaque domaine. L’enregistrement MX de contoso.com pointe vers le serveur de transport Edge local alors que l’enregistrement MX du service.contoso.com pointe vers FOPE.

3. Le serveur de transport Edge envoie le message au serveur hybride où est installé le rôle serveur de transport Hub.

4. Le serveur hybride effectue une recherche pour chaque destinataire utilisant un serveur de catalogue global local. Par la consultation du catalogue global, il détermine que la boîte aux lettres de Chris est située sur le serveur Exchange 2010.

5. Le serveur hybride remet le message à la boîte aux lettres de Chris sur le serveur Exchange 2010.

6. Le message destiné à David est envoyé à FOPE, qui reçoit le message envoyé à l’organisation en nuage.

7. FOPE analyse le message à la recherche de virus, puis envoie le message à l’organisation en nuage où le message est remis à la boîte aux lettres de David.

Courrier entrant pour espaces de noms fractionnés via les chemins d’accès indépendants

Le diagramme ci-dessous, qui montre les messages sortants envoyés sur Internet, illustre la situation suivante :

1. Chris, qui possède une boîte aux lettres sur le serveur Exchange 2010 local, envoie un message à un destinataire Internet externe, erin@cpandl.com. David, qui est doté d’une boîte aux lettres dans l’organisation en nuage, envoie un message au destinataire externe brian@cpandl.com. Chris possède une adresse de réponse chris@contoso.com et David dispose d’une adresse de réponse david@service.contoso.com.

2. Le serveur de boîte aux lettres Exchange 2010 envoie le message de Chris au serveur hybride où est installé le rôle serveur de transport Hub. Le serveur hybride envoie le message au serveur de transport Edge Exchange 2010.

3. L’organisation en nuage envoie le message de David à FOPE.

4. FOPE est configuré pour envoyer tous les messages Internet au serveur hybride local, si bien que le message est acheminé vers le serveur hybride. FOPE est configuré pour ignorer le serveur de transport Edge Exchange 2010 local.

5. Le serveur hybride envoie le message au serveur de transport Edge Exchange 2010.

6. Le serveur de transport Edge effectue une analyse de conformité, une recherche de virus et tout autre processus configuré par l’administrateur, sur les messages de Chris et de David.

7. Le serveur de transport Edge consulte l’enregistrement MX de cpandl.com et envoie les messages aux serveurs de messagerie cpandl.com situés sur Internet.

Message sortant issu d’espaces de noms fractionnés via le serveur hybride local

Espace de noms fractionné avec contrôle de messagerie décentralisé

Le diagramme ci-dessous, qui montre les messages entrants envoyés aux destinataires de votre organisation, illustre la situation suivante :

1. Un message entrant est envoyé par un expéditeur Internet à chris@contoso.com et un autre message est envoyé à david@service.contoso.com. La boîte aux lettres de Chris se trouve sur un serveur Exchange 2010 dans l’organisation locale. La boîte aux lettres de David est située dans l’organisation en nuage.

2. Comme les destinataires ont des domaines d’adresse de messagerie différents, le serveur d’envoi transmet chaque message à l’organisation qui reçoit les messages pour chaque domaine. L’enregistrement MX de contoso.com pointe vers le serveur de transport Edge local alors que l’enregistrement MX du service.contoso.com pointe vers FOPE.

3. Le serveur de transport Edge envoie le message au serveur hybride où est installé le rôle serveur de transport Hub.

4. Le serveur hybride effectue une recherche pour chaque destinataire utilisant un serveur de catalogue global local. En effectuant une recherche dans le catalogue global, le serveur hybride détermine que la boîte aux lettres de Chris est située sur le serveur Exchange 2010.

5. Le serveur hybride remet le message à la boîte aux lettres de Chris sur le serveur Exchange 2010.

6. Le message destiné à David est envoyé à FOPE, qui reçoit le message envoyé à l’organisation en nuage.

7. FOPE analyse le message à la recherche de virus, puis envoie le message à l’organisation en nuage où le message est remis à la boîte aux lettres de David.

Courrier entrant pour espaces de noms fractionnés via les chemins d’accès indépendants

Le diagramme ci-dessous, qui montre les messages sortants envoyés sur Internet, illustre la situation suivante :

1. Chris, qui possède une boîte aux lettres sur le serveur Exchange 2010 local, envoie un message à un destinataire Internet externe, erin@cpandl.com. David, qui est doté d’une boîte aux lettres dans l’organisation en nuage, envoie un message au destinataire externe brian@cpandl.com. Chris possède une adresse de réponse chris@contoso.com et David dispose d’une adresse de réponse david@service.contoso.com.

2. Le serveur de boîte aux lettres Exchange 2010 envoie le message de Chris au serveur hybride où est installé le rôle serveur de transport Hub. Le serveur hybride envoie le message au serveur de transport Edge Exchange 2010.

3. Le serveur de transport Edge effectue une analyse de conformité, une recherche de virus et tout autre processus configuré par l’administrateur, sur le message de Chris.

4. Le serveur de transport Edge consulte l’enregistrement MX de cpandl.com et envoie le message aux serveurs de messagerie cpandl.com situés sur Internet.

5. L’organisation en nuage envoie le message de David à FOPE.

6. FOPE est configuré pour envoyer tous les messages Internet directement sur Internet. FOPE recherche l’enregistrement MX pour cpandl.com.

7. FOPE remet directement le message aux serveurs de messagerie cpandl.com situés sur Internet. Comme le message ne passe jamais par le serveur hybride, aucun processus local ne lui est appliqué.

Courrier sortant issu d’espaces de noms fractionnés via les chemins d’accès indépendants

 © 2010 Microsoft Corporation. Tous droits réservés.