Supprimer des connexions TLS anonymes
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2012-07-23
Dans Microsoft Exchange Server 2007, le chiffrement TLS est obligatoire pour toutes les communications SMTP entre les serveurs de transport Hub. Cela augmente la sécurité globale des communications de hub à hub. Cependant, dans certaines topologies utilisant des périphériques WOC (WAN Optimization Controller), le chiffrement TLS du trafic SMTP peut s’avérer indésirable. Exchange Server 2010 prend en charge la désactivation du chiffrement TLS pour les communications entre hubs appartenant à ces scénarios.
Cette rubrique explique pas-à-pas comment configurer vos serveurs de transport de manière à désactiver le chiffrement TLS. Pour plus d’informations sur cette fonctionnalité, consultez la rubrique Désactivation du protocole TLS entre des sites Active Directory pour la prise en charge de l'optimisation de réseau étendu.
Souhaitez-vous rechercher les autres tâches relatives à la gestion du routage de messages ? Consultez la rubrique Gestion du routage des messages.
.gif "Attention") Attention : |
|---|
| Vérifiez que vous désactivez TLS uniquement pour les connexions transitant par des périphériques WOC. |
Conditions préalables
Exchange est déployé sur plusieurs Active Directory, avec au moins un site connecté aux autres sites via une liaison réseau étendu.
Les périphériques WOC sont déployés pour compresser le trafic SMTP sur la liaison réseau étendu.
Un chemin d’accès logique au flux de messages permet à Exchange de traverser la liaison réseau étendu sur laquelle les périphériques WOC sont déployés.
Étape 1 : Utiliser l’environnement de ligne de commande Exchange Management Shell pour configurer le serveur de transport Hub à utiliser l’authentification déclassée d’Exchange Server
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir entrée « Serveur de transport Hub » dans la rubrique Autorisations de transport.
.gif "Remarque") Remarque : |
|---|
| Vous ne pouvez pas utiliser la console de gestion Exchange pour cette procédure. |
La cmdlet Set-TransportServer vous permet de configurer un serveur de transport Hub de manière qu’il utilise l’authentification déclassée d’Exchange Server. Cet exemple montre comment modifier cette configuration sur le serveur Hub01.
Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-TransportServer.
Étape 2 : Utiliser l’environnement de ligne de commande Exchange Management Shell pour créer un connecteur de réception du serveur de transport Hub, destiné à la plage d’adresses IP distantes du site Active Directory cible
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Connecteurs de réception » dans la rubrique Autorisations de transport.
La cmdlet New-ReceiveConnector vous permet de créer un connecteur de réception sur votre serveur de transport Hub qui servira au trafic non chiffré. Cet exemple montre comment créer un connecteur de réception WAN sur le serveur Hub01 avec les options de configuration suivantes :
Le paramètre RemoteIPRanges est défini sur 10.0.2.0/24. Cette plage d’adresses IP doit correspondre au site distant Active Directory où ce connecteur de réception recevra les connexions non chiffrées. Si le site distant comporte plus d’un sous-réseau IP, vous pouvez les entrer en les séparant par des virgules.
Le type d’utilisation est défini sur Interne.
New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-ReceiveConnector.
Vous pouvez également utiliser la console de gestion Exchange pour créer le connecteur de réception. Si vous optez pour la console de gestion, assurez-vous de créer le connecteur en utilisant les paramètres suivants :
Sélectionnez Interne comme utilisation prévue du connecteur.
Spécifiez la plage d’adresses IP distantes (par exemple, 10.0.2.0/24, dans l’exemple précédent).
Pour plus d’informations, voir Créer un connecteur de réception SMTP.
Étape 3 : Utiliser l’environnement de ligne de commande Exchange Management Shell pour désactiver X-ANONYMOUSTLS sur le nouveau connecteur de réception
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Connecteurs de réception » dans la rubrique Autorisations de transport.
| Remarque : |
|---|
| Vous ne pouvez pas utiliser la console de gestion Exchange pour cette procédure. |
La cmdlet Set-ReceiveConnector vous permet de désactiver TLS sur le connecteur de réception qui vient d’être créé. Cet exemple montre comment désactiver TLS sur le connecteur de réception WAN du serveur Hub01.
Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-ReceiveConnector.
Étape 4 : Utiliser l’environnement de ligne de commande Exchange Management Shell pour désigner les sites Active Directory de part et d’autre de la connexion WAN comme sites hub
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « site Active Directory et gestion des liens de ce site » dans la rubrique Autorisations de transport.
| Remarque : |
|---|
| Vous ne pouvez pas utiliser la console de gestion Exchange pour cette procédure. |
La cmdlet Set-AdSite vous permet de spécifier un site Active Directory comme site hub. Vous devez effectuer cette opération pour chacun des sites dont les serveurs de transport Hub participent au trafic non chiffré.
Cet exemple configure le site Active Directory «Site de succursale 1 » comme site hub.
Set-AdSite "Central Office Site 1" -HubSiteEnabled $true
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique set-AdSite.
Étape 5 : Utiliser l’environnement de ligne de commande Exchange Management Shell pour vérifier que l’itinéraire de routage le moins onéreux a été choisi pour la connexion WAN
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « site Active Directory et gestion des liens de ce site » dans la rubrique Autorisations de transport.
| Remarque : |
|---|
| Vous ne pouvez pas utiliser la console de gestion Exchange pour cette procédure. |
En fonction de la configuration des coûts du lien de sites IP dans Active Directory, cette étape n’est peut-être pas nécessaire. Vous devez vous assurer que le lien réseau avec les périphériques WOC déployées emprunte le chemin d’accès aux messages le moins onéreux. Si ce n’est pas le cas, vous devrez affecter un coût spécifique à Exchange à ce lien de sites IP particulier pour garantir un routage correct des messages. Pour plus d’informations sur ce sujet, consultez la rubrique « Configuration des coûts des liens de sites » dans Désactivation du protocole TLS entre des sites Active Directory pour la prise en charge de l'optimisation de réseau étendu.
Cet exemple configure un coût de 15 spécifique à Exchange pour le lien de sites IP Filiale 2-Filiale 1.
Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-AdSiteLink.
© 2010 Microsoft Corporation. Tous droits réservés.