Unterdrücken von anonymen TLS-Verbindungen

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2012-07-23

Unter Microsoft Exchange Server 2007 ist die TLS-Verschlüsselung (Transport Layer Security) für die gesamte SMTP-Kommunikation (Simple Mail Transfer Protocol) zwischen Hub-Transport-Servern zwingend erforderlich. Dies führt zu einer erhöhten Sicherheit insgesamt in der Hub-zu-Hub-Kommunikation. In bestimmten Topologien, in denen WOC-Geräte (WAN Optimization Controller) verwendet werden, ist die TLS-Verschlüsselung des SMTP-Datenverkehrs möglicherweise jedoch nicht von Vorteil. Exchange Server 2010 unterstützt die Deaktivierung von TLS für die Hub-zu-Hub-Kommunikation in diesen speziellen Szenarien.

In diesem Thema finden Sie schrittweise Anweisungen dazu, wie die Hub-Transport-Server konfiguriert werden, damit TLS deaktiviert ist. Weitere Informationen zu dieser Funktion finden Sie unter Deaktivieren von TLS zwischen Active Directory-Standorten zur Unterstützung der WAN-Optimierung.

Möchten Sie wissen, welche anderen Aufgaben es im Zusammenhang mit dem Verwalten des Nachrichtenroutings gibt? Weitere Informationen finden Sie hier: Verwalten von Nachrichtenrouting.

VorsichtAchtung:
Stellen Sie sicher, dass Sie TLS nur für Verbindungen deaktivieren, die WOC-Geräte durchlaufen.

Voraussetzungen

  • Exchange ist an mehreren Active Directory-Standorten bereitgestellt, und mindestens ein Standort ist mit anderen Standorten über eine WAN-Verbindung verbunden.

  • WOC-Geräte sind bereitgestellt, um den SMTP-Datenverkehr über die WAN-Verbindung zu komprimieren.

  • Ein Pfad für den logischen Meldungsfluss ist für Exchange vorhanden. Er durchläuft die WAN-Verbindung, für die die WOC-Geräte bereitgestellt wurden.

Schritt 1: Verwenden der Shell zum Konfigurieren des Hub-Transport-Servers, sodass die heruntergestufte Exchange Server-Authentifizierung verwendet wird

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Hub-Transport-Server" im Thema Transportberechtigungen.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht für dieses Verfahren verwendet werden.

Verwenden Sie das Cmdlet Set-TransportServer, um einen Hub-Transport-Server zu konfigurieren, sodass die heruntergestufte Exchange Server-Authentifizierung verwendet werden kann. In diesem Beispiel wird diese Konfigurationsänderung auf dem Server "Hub01" ausgeführt.

Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-TransportServer.

Schritt 2: Verwenden der Shell zum Erstellen eines Empfangsconnectors auf dem Hub-Transport-Server für den angegebenen IP-Remoteadressbereich des Active Directory-Zielstandorts

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Empfangsconnectors" im Thema Transportberechtigungen.

Verwenden Sie das Cmdlet New-ReceiveConnector, um einen Empfangsconnector auf dem Hub-Transport-Server zu erstellen, der für den nicht verschlüsselten Nachrichtenverkehr verwendet werden soll. In diesem Beispiel wird der Empfangsconnector "WAN" auf dem Server "Hub01" mit den folgenden Konfigurationsoptionen erstellt:

  • Der Parameter RemoteIPRanges wird auf "10.0.2.0/24" festgelegt. Dieser IP-Adressbereich sollte dem Active Directory-Remotestandort entsprechen, von dem der Empfangsconnector unverschlüsselte Verbindungen empfängt. Wenn der Remotestandort mehrere IP-Subnetze aufweist, können Sie diese sämtlich durch Komma getrennt eingeben.

  • Der Verwendungstyp wird auf "Internal" festgelegt.

New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ReceiveConnector.

Sie können den Empfangsconnector auch mithilfe der Exchange-Verwaltungskonsole erstellen. Wenn Sie die Exchange-Verwaltungskonsole verwenden, stellen Sie sicher, dass Sie den Connector mit den folgenden Einstellungen erstellen:

  • Wählen Sie Internal für die beabsichtigte Verwendung des Connectors aus.

  • Geben Sie den IP-Remoteadressbereich an (z. B. den aus dem vorherigen Beispiel: "10.0.2.0/24").

Weitere Informationen finden Sie unter Erstellen eines SMTP-Empfangsconnectors.

Schritt 3: Verwenden der Shell zum Deaktivieren von X-ANONYMOUSTLS auf dem neuen Empfangsconnector

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Empfangsconnectors" im Thema Transportberechtigungen.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht für dieses Verfahren verwendet werden.

Verwenden Sie das Cmdlet Set-ReceiveConnector, um TLS für den neu erstellten Empfangsconnector zu deaktivieren. In diesem Beispiel wird TLS für den Empfangsconnector "WAN" auf dem Server "Hub01" deaktiviert.

Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ReceiveConnector.

Schritt 4: Verwenden der Shell zum Bestimmen der Active Directory-Standorte auf beiden Seiten der WAN-Verbindung als Hubstandorte

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Active Directory-Standort und Standortlinkverwaltung" im Thema Transportberechtigungen.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht für dieses Verfahren verwendet werden.

Verwenden Sie das Cmdlet Set-AdSite, um einen bestimmten Active Directory-Standort als Hubstandort zu konfigurieren. Diesen Vorgang müssen Sie einmal für jeden Standort ausführen, der über Hub-Transport-Server verfügt, die für unverschlüsselten Datenverkehr verwendet werden.

In diesem Beispiel wird der Active Directory-Standort "Central Office Site 1" als Hubstandort festgelegt.

Set-AdSite "Central Office Site 1" -HubSiteEnabled $true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter set-AdSite.

Schritt 5: Verwenden der Shell zum Überprüfen, ob der kostengünstigste Routingpfad die WAN-Verbindung durchläuft

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Active Directory-Standort und Standortlinkverwaltung" im Thema Transportberechtigungen.

Hinweis

Die Exchange-Verwaltungskonsole kann nicht für dieses Verfahren verwendet werden.

Je nach Konfiguration der IP-Standortlinkkosten in Active Directory kann dieser Schritt ggf. ausgelassen werden. Sie müssen sicherstellen, dass die Netzwerkverbindung mit den bereitgestellten WOC-Geräten den kostengünstigsten Routingpfad durchläuft. Wenn dies nicht der Fall ist, müssen Sie dem angegebenen IP-Standortlink Exchange-spezifische Kosten zuweisen, um sicherzustellen, dass Nachrichten korrekt weitergeleitet werden. Weitere Informationen speziell zu diesem Thema finden Sie im Abschnitt "Konfigurieren der Standortlinkkosten" unter Deaktivieren von TLS zwischen Active Directory-Standorten zur Unterstützung der WAN-Optimierung.

In diesem Beispiel werden Exchange-spezifische Kosten von 15 für den IP-Standortlink "Branch Office 2-Branch Office 1" konfiguriert.

Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AdSiteLink.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.