Deaktivieren von TLS zwischen Active Directory-Standorten zur Unterstützung der WAN-Optimierung

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2009-12-01

Unter Microsoft Exchange Server 2007 ist die TLS-Verschlüsselung (Transport Layer Security) für die gesamte SMTP-Kommunikation (Simple Mail Transfer Protocol) zwischen Hub-Transport-Servern zwingend erforderlich. Dies führt zu einer erhöhten Sicherheit insgesamt in der Hub-zu-Hub-Kommunikation. In bestimmten Topologien, in denen WOC-Geräte (WAN Optimization Controller) verwendet werden, ist die TLS-Verschlüsselung des SMTP-Datenverkehrs möglicherweise jedoch nicht von Vorteil. Exchange Server 2010 unterstützt die Deaktivierung von TLS für die Hub-zu-Hub-Kommunikation in diesen speziellen Szenarien.

Schauen Sie sich einmal die Topologie in der folgenden Abbildung an. Bei dieser aus vier Standorten bestehenden Topologie wird davon ausgegangen, dass die beiden Hauptbüros und Zweigstelle 2 über stabile Verbindungen verfügen, wohingegen die Verbindung zwischen Hauptbüro 1 und Zweigstelle 1 über eine WAN-Verbindung (Wide Area Network, Fernnetz) hergestellt wird. Das Unternehmen hat für diese Verbindung WOC-Geräte installiert, um den Datenverkehr über das WAN zu komprimieren und zu optimieren.

Beispiel für eine Netzwerktopologie mit WOC-Geräten

Beispieltopologie mit WAN-Optimierungen

In dieser Topologie kann der SMTP-Datenverkehr über die WAN-Verbindung nicht komprimiert werden, da Exchange 2010 für die Kommunikation zwischen Hub-Transport-Servern die TLS-Verschlüsselung verwendet. Idealerweise sollte der SMTP-Datenverkehr über die WAN-Verbindung unverschlüsselt sein, die TLS-Sicherheit bei Standorten mit stabilen Verbindungen jedoch beibehalten werden. Unter Exchange 2010 können Sie die TLS-Verschlüsselung für den Datenverkehr zwischen Standorten deaktivieren, indem Sie Empfangsconnectors konfigurieren. Wenn Sie diese Funktion unter Exchange 2010 verwenden, können Sie eine Ausnahme für den SMTP-Datenverkehr zwischen Hauptbüro 1 und Zweigstelle 1 konfigurieren, wie in der folgenden Abbildung veranschaulicht.

Bevorzugter logischer Meldungsfluss

Bevorzugter logischer Nachrichtenfluss

In der empfohlenen Konfiguration wird der nicht verschlüsselte SMTP-Datenverkehr nur auf die Nachrichten beschränkt, die über die WAN-Verbindung gesendet werden. Die gesamte Hub-zu-Hub-Kommunikation innerhalb des Standorts an allen Standorten und die gesamte standortübergreifende Hub-zu-Hub-Kommunikation, an der die Zweigstelle 1 nicht beteiligt ist, sollten daher TLS-verschlüsselt werden.

Zu diesem Zweck müssen Sie die folgenden Schritte in der angegebenen Reihenfolge auf allen Hub-Transport-Servern an den Standorten ausführen, an denen die WOC-Geräte (Hauptbüro 1 und Zweigstelle 1 in der bekannten Topologie) verwendet werden:

  1. Aktivieren Sie die heruntergestufte Exchange Server-Authentifizierung.

  2. Erstellen Sie einen Empfangsconnector zur Verarbeitung des Datenverkehrs über die Verbindung, die WOC-Geräte aufweist.

  3. Legen Sie die Eigenschaft für den IP-Remoteadressbereich des neuen Empfangsconnectors auf die IP-Adressbereiche der Hub-Transport-Server am Remotestandort fest.

  4. Deaktivieren Sie TLS für den neuen Empfangsconnector.

Außerdem müssen Sie die folgenden Schritte ausführen, um sicherzustellen, dass der gesamte SMTP-Datenverkehr über die WAN-Verbindung von dem neu erstellten Empfangsconnector verarbeitet wird:

  • Konfigurieren Sie die Standorte, die die nicht TLS-gesicherte Kommunikation verwenden, als Hubstandorte, um den gesamten Meldungsfluss über die neuen Empfangsconnectors zu erzwingen (Hauptbüro 1 und Zweigstelle 1 in der bekannten Topologie).

  • Überprüfen Sie, ob die IP-Standortlinkkosten auf eine Weise konfiguriert sind, mit der sichergestellt ist, dass der kostengünstigste Routingpfad zum Remotestandort (Zweigstelle 1 in der bekannten Topologie) über die Netzwerkverbindung mit den WOC-Geräten verläuft.

Die folgenden Abschnitte bieten eine Übersicht über die einzelnen Schritte. Schrittweise Anweisungen für die Konfiguration der Hub-Transport-Server zum Deaktivieren von TLS finden Sie unter Unterdrücken von anonymen TLS-Verbindungen.

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit Transportservern gibt? Weitere Informationen finden Sie unter: Verwalten von Transportservern.

Inhalt

Herunterstufen der Authentifizierung über TLS-deaktivierte Verbindungen

Erstellen und Konfigurieren von Empfangsconnectors

Erstellen von Hubstandorten

Konfigurieren der Standortlinkkosten

Herunterstufen der Authentifizierung über TLS-deaktivierte Verbindungen

Mit der TLS-Verschlüsselung unter Exchange wird die Kerberos-Authentifizierung verwendet. Wenn Sie TLS für die Hub-zu-Hub-Kommunikation deaktivieren, müssen Sie eine andere Form der Authentifizierung ausführen. Wenn Exchange 2010 mit anderen Servern mit Exchange kommuniziert, die X-ANONYMOUSTLS nicht unterstützen, z. B. die Server mit Exchange Server 2003, wird wieder die GSSAPI-Authentifizierung (Generic Security Services Application Programming Interface) verwendet. Für die gesamte Kommunikation zwischen Exchange 2010 Hub-Transport-Servern wird X-ANONYMOUSTLS verwendet. Indem Sie den Hub-Transport-Server für die Verwendung der herabgestuften Exchange Server-Authentifizierung konfigurieren, aktivieren Sie in Wirklichkeit die Verwendung von GSSAPI für die Kommunikation mit anderen Exchange 2010-Hub-Transport-Servern.

Zurück zum Seitenanfang

Erstellen und Konfigurieren von Empfangsconnectors

Sie müssen Empfangsconnectors erstellen, die nur für die Verarbeitung des nicht TLS-verschlüsselten Datenverkehrs zuständig sind. Durch die Verwendung separater Empfangsconnectors zu diesem Zweck wird sichergestellt, dass der gesamte Datenverkehr, der nicht über die WAN-Verbindung erfolgt, durch die TLS-Verschlüsselung gesichert bleibt.

Damit die neuen Empfangsconnectors nur auf den WAN-Datenverkehr beschränkt sind, müssen Sie die Eigenschaft für den IP-Remoteadressbereich konfigurieren. Exchange verwendet immer den Connector mit dem spezifischsten IP-Remoteadressbereich. Daher werden die neuen Connectors dem Standardempfangsconnector vorgezogen, der für den Empfang von Nachrichten von beliebigen Standorten konfiguriert ist.

Angenommen, in der bereits bekannten Topologie wird das Subnetz der Klasse C "10.0.1.0/24" für das Hauptbüro 1 und "10.0.2.0/24" für die Zweigstelle 1 verwendet. Sie müssen die folgenden Schritte ausführen, um die Deaktivierung von TLS für diese beiden Standorte vorzubereiten:

  1. Erstellen Sie auf jedem Hub-Transport-Server im Hauptbüro 1 und in der Zweigstelle 1 einen Empfangsconnector (mit der Bezeichnung "WAN").

  2. Konfigurieren Sie den IP-Remoteadressbereich von 10.0.2.0/24 für jeden neuen Empfangsconnector im Hauptbüro 1.

  3. Konfigurieren Sie den IP-Remoteadressbereich von 10.0.1.0/24 für jeden neuen Empfangsconnector in der Zweigstelle 1.

  4. Deaktivieren Sie TLS für alle neuen Empfangsconnectors.

Das Ergebnis wird in der folgenden Abbildung veranschaulicht (mit der Eigenschaft für den IP-Remoteadressbereich der WAN-Empfangsconnectors in Klammern). Aus Gründen der Übersichtlichkeit wird im Hauptbüro 1 nur ein einziger Hub-Transport-Server angezeigt, und Zweigstelle 2 wird weggelassen.

Konfiguration des Empfangsconnectors

Konfiguration des Empfangsconnectors

Zurück zum Seitenanfang

Erstellen von Hubstandorten

Standardmäßig versucht ein Exchange 2010-Hub-Transport-Server, eine direkte Verbindung mit dem Hub-Transport-Server herzustellen, der dem Endziel einer bestimmten Nachricht am nächsten ist. Wenn in der bekannten Topologie ein Benutzer in Zweigstelle 2 eine Nachricht an einen Benutzer in Zweigstelle 1 sendet, stellt der Hub-Transport-Server in Zweigstelle 2 eine direkte Verbindung mit dem Hub-Transport-Server in Zweigstelle 1 her, um diese Nachricht zu übermitteln. Da diese Verbindung verschlüsselt wird, ist sie in dieser Topologie nicht von Vorteil. Damit solche Nachrichten über die Hub-Transport-Server im Hauptbüro 1 übermittelt werden und somit sichergestellt wird, dass sie während der Übertragung über die WAN-Verbindung nicht verschlüsselt werden, müssen Hauptbüro 1 und Zweigstelle 1 als Hubstandorte konfiguriert werden. Kurzum: Jeder Standort, der einen Hub-Transport-Server mit einem Empfangsconnector aufweist, bei dem TLS deaktiviert ist, muss als Hubstandort konfiguriert werden. Auf diese Weise können Sie erzwingen, dass Server an anderen Standorten den Datenverkehr über diesen Standort weiterleiten. Weitere Informationen zu Hubstandorten finden Sie im Abschnitt "Implementieren von Hubstandorten" unter Grundlegendes zum Nachrichtenrouting.

Zurück zum Seitenanfang

Konfigurieren der Standortlinkkosten

Das Konfigurieren von Hubstandorten allein reicht nicht aus, um sicherzustellen, dass der gesamte Datenverkehr unverschlüsselt über die WAN-Verbindung gesendet wird. Der Grund hierfür liegt darin, dass von Exchange Nachrichten nur über Hubstandorte weitergeleitet werden, wenn sich der Hubstandort im kostengünstigsten Routingpfad befindet. Angenommen, die IP-Standortlinkkosten für die Beispieltopologie sind in Active Directory konfiguriert, wie in der folgenden Abbildung dargestellt (aus Gründen der Übersichtlichkeit wird Hauptbüro 2 weggelassen).

IP-Standortlinkkosten für die Beispieltopologie

IP-Standortverknüpfung – Kosten für Beispieltopologie

In diesem Fall weist der Pfad von Zweigstelle 2 zu Zweigstelle 1, der durch den Hubstandort verläuft, Gesamtkosten in Höhe von 12 (6+6) auf, die Kosten für den direkten Pfad hingegen belaufen sich auf 10. Dies ist der Grund dafür, dass keine Nachricht von Zweigstelle 2 an Zweigstelle 1 über das Hauptbüro 1 gesendet und der gesamte Datenverkehr nach wie vor TLS-verschlüsselt wird.

Zur Vermeidung dieses Problems müssen Sie Exchange-spezifische Kosten angeben, die für den IP-Standortlink zwischen Zweigstelle 2 und Zweigstelle 1 höher als 12 sind, wie in der folgenden Abbildung veranschaulicht. So wird sichergestellt, dass alle Nachrichten über den unverschlüsselten Kanal zwischen Hauptbüro 1 und Zweigstelle 1 gesendet werden.

Mit Exchange-spezifischen IP-Standortlinkkosten konfigurierte Beispieltopologie

Beispieltopologie mit Exchange-Kosten

Weitere Informationen zum Konfigurieren Exchange-spezifischer IP-Standortlinkkosten finden Sie im Abschnitt "Steuern der IP-Standortlinkkosten" unter Grundlegendes zum Nachrichtenrouting.

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.