Deshabilitar TLS entre sitios de Active Directory para permitir la optimización de WAN

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2009-12-01

En Microsoft Exchange Server 2007, el cifrado de Seguridad de la capa de transporte (TLS) es obligatorio para todas las comunicaciones SMTP entre los servidores de transporte de concentradores. Esto aumenta la seguridad general de las comunicaciones de concentrador a concentrador. Sin embargo, en determinadas tipologías donde se usan dispositivos Controladores de optimización WAN (WOC), es posible que el cifrado TLS no sea deseable. Exchange Server 2010 permite deshabilitar TLS para comunicaciones de concentrador a concentrador para estas situaciones específicas.

Tenga en cuenta la topología en la siguiente ilustración. El supuesto para esta topología de cuatro sitios es que los sitios de las dos oficinas centrales y la sucursal 2 están bien conectadas, mientras que la conexión entre el sitio de la oficina central 1 y la sucursal 1 es a través de un vínculo WAN. La compañía ha instalado dispositivos WOC en este vínculo para comprimir y optimizar el tráfico a través de WAN.

Topología de red de muestra con dispositivos WOC

En esta topología, debido a que Exchange 2010 usa cifrado TLS para la comunicación entre los servidores de transporte de concentradores, el tráfico SMTP que va a través del vínculo WAN no se puede comprimir. Idealmente, el tráfico SMTP que va a través del vínculo WAN no debe ser SMTP sin cifrar y, al mismo tiempo, debe conservar la seguridad TLS en sitios bien conectados. Exchange 2010 le da la opción de deshabilitar el cifrado TLS para el tráfico entre sitios configurando conectores de recepción. Al utilizar esta opción en Exchange 2010, puede configurar una excepción para el tráfico SMTP entre el sitio de la oficina central 1 y la sucursal 1, según se indica en la siguiente ilustración.

Flujo de mensaje lógico preferido

La configuración recomendada es limitar el tráfico SMTP no cifrado solamente a los mensajes que pasan a través del vínculo WAN. Por lo tanto, el tráfico de concentrador a concentrador entre sitios en todos los sitios y las comunicaciones de concentrador a concentrador a través de los sitios que no involucra a la sucursal 1 debe ser cifrada para TLS.

Para lograr este resultado final, debe hacer lo siguiente, en el orden especificado, en cada servidor de transporte de concentradores en los sitios que contienen los dispositivos WOC (sitio de la oficina central 1 y sucursal 1 en la topología de muestra):

1. Habilite la autenticación de servidor degradado de Exchange.

2. Cree un conector de recepción para manejar el tráfico a través de la conexión que tiene dispositivos WOC.

3. Configure la propiedad de intervalo de la dirección IP remota del nuevo conector de recepción con los intervalos de la dirección IP de los servidores de transporte de concentradores en el sitio remoto.

4. Deshabilite TLS en el nuevo conector de recepción.

Además, debe hacer lo siguiente para asegurarse de que el tráfico SMTP a través de la WAN sea controlado por los nuevos conectores de recepción que creó:

• Configure los sitios que participarán en la comunicación que no sea TLS como sitios de concentradores para que todos los mensajes fluyan a través de los nuevos conectores de recepción (sitio de la oficina central 1 y sucursal 1 en la topología de muestra).

• Compruebe que los costos de los vínculos a sitios IP estén configurados de manera tal que la ruta de enrutamiento menos costosa a su sitio remoto (sucursal 1 en la topología de muestra) fluya a través del vínculo de red que tiene los dispositivos WOC.

Las siguientes secciones proporcionan información general de cada uno de estos pasos. Para obtener instrucciones paso a paso sobre cómo configurar sus servidores de transporte de concentradores para deshabilitar TLS, consulte Suprimir conexiones TLS anónimas.

¿Está buscando otras tareas de administración relacionadas con la administración de servidores de transporte? Consulte Administración de servidores de transporte.

Contenido

Degradación de autenticación a través de conexiones con TLS deshabilitada

Creación y configuración de conectores de recepción

Creación de sitios de concentradores

Configuración de los costos de vínculos a sitios

Degradación de autenticación a través de conexiones con TLS deshabilitada

La autenticación Kerberos se usa con cifrado TLS en Exchange. Al deshabilitar TLS en comunicaciones de concentrador a concentrador, debe realizar otro tipo de autenticación. Cuando Exchange 2010 se comunica con otros servidores que ejecutan Exchange que no admiten X-ANONYMOUSTLS, como los servidores Exchange Server 2003, vuelve a utilizar la autenticación GSSAPI (Interfaz de programación de aplicaciones de servicios de seguridad genéricos). Todas las comunicaciones entre servidores de transporte de concentradores de Exchange 2010 usan X-ANONYMOUSTLS. Al configurar su servidor de transporte de concentradores para que use la autenticación degradada del servidor de Exchange lo está habilitando para que use GSSAPI al comunicarse con otros servidores de transporte de concentradores de Exchange 2010.

Volver al principio

Creación y configuración de conectores de recepción

Debe crear conectores de recepción que solamente sean responsables de manejar el tráfico cifrado que no sea TLS. Al usar conectores de recepción diferentes para este propósito se asegura de que todo el tráfico que no pase a través del vínculo WAN continúe protegido por el cifrado TLS.

Para restringir los nuevos conectores de recepción solamente al tráfico a través de la WAN, debe configurar la propiedad de intervalo de la dirección IP remota. Exchange siempre usa el conector con el intervalo de direcciones IP remotas más específico. Por lo tanto, son preferibles estos conectores nuevos en lugar del conector de recepción predeterminado configurado para recibir mensajes desde cualquier parte.

Volviendo a la topología de muestra, suponga que la subred de clase C, 10.0.1.0/24, se usa para el sitio de la oficina central 1 y que 10.0.2.0/24 se usa para la sucursal 1. Para preparar la deshabilitación de TLS entre estos dos sitios, debe:

1. Crear un conector de recepción (denominado WAN) en cada servidor de transporte de concentradores en el sitio de la oficina central 1 y la sucursal 1.

2. Configurar el intervalo de la dirección IP remota de 10.0.2.0/24 en cada conector de recepción nuevo en el sitio de la oficina central 1.

3. Configurar el intervalo de la dirección IP remota de 10.0.1.0/24 en cada conector de recepción nuevo en el sitio de la sucursal 1.

4. Deshabilitar TLS en todos los conectores de recepción nuevos.

El resultado final se muestra en la siguiente ilustración (con la propiedad de intervalo de la dirección IP remota de los conectores de recepción WAN entre paréntesis). Se muestra solamente un servidor de transporte de concentradores en la sucursal 1; la sucursal 2 se omitió para mayor claridad.

Configuración del conector de recepción

Volver al principio

Creación de sitios de concentradores

De forma predeterminada, un servidor de transporte de concentradores de Exchange 2010 intentará conectarse directamente con el servidor de transporte de concentradores más cercano al destino final de un mensaje específico. En la topología de muestra, si un usuario en la sucursal 2 envía un mensaje a un usuario en la sucursal 1, el servidor de transporte de concentradores en la sucursal 2 se conectará directamente con el servidor de transporte de concentradores de la sucursal 1 para entregar el mensaje. Dicha conexión se cifrará y por lo tanto no será deseada en la topología específica. Para que dichos mensajes pasen a través de los servidores de transporte de concentradores en el sitio de la oficina central 1, y asegurar que no estén cifrados mientras están en tránsito a través del vínculo WAN, el sitio de la oficina central 1 y la sucursal 1 deben estar configurados como sitios de concentradores. En resumen, cualquier sitio donde haya un servidor de transporte de concentradores con un conector de recepción con TLS deshabilitada debe configurarse como sitio de concentradores, para que los servidores de otros sitios enruten el tráfico a través de ese sitio. Para obtener más información acerca de sitios de concentradores, consulte "Implementación de sitios de concentradores" en Descripción del enrutamiento de mensajes

Volver al principio

Configuración de los costos de vínculos a sitios

Configurar los sitios de concentradores solamente no es suficiente para garantizar que el tráfico no sea cifrado en el vínculo WAN. Esto se debe a que Exchange enrutará los mensajes a través de sitios de concentradores si los sitios se basan en la ruta de enrutamiento menos costosa. Por ejemplo, suponga que los costos de los vínculos a sitios IP de nuestra topología de muestra están configurados en Active Directory como se indica en la siguiente ilustración (el sitio de la oficina central 2 se omitió para mayor claridad).

Costos de los vínculos a sitios IP de la topología de muestra

En este caso, la ruta de la sucursal 2 a la sucursal 1 que pasa por el sitio de concentradores tiene un costo total de 12 (6+6), mientras que el costo de la ruta directa es 10. Por lo tanto, ninguno de los mensajes de la sucursal 2 a la sucursal 1 pasará por el sitio de la oficina central 1 y todo el tráfico será cifrado para TLS.

Para evitar este problema, debe designar un costo específico de Exchange que sea superior a 12 para el vínculo de sitio IP entre la sucursal 2 y la sucursal 1, como se indica en la siguiente ilustración. Esto asegurará que todos los mensajes pasen a través del canal no cifrado entre el sitio de la oficina central 1 y la sucursal 1.

Topología de muestra configurada con los costos de los vínculos a sitios IP específicos de Exchange

Para obtener más información acerca de la configuración de costos de los vínculos a sitios IP específicos de Exchange, consulte "Control de costos de los vínculos a sitios IP" en Descripción del enrutamiento de mensajes.

Volver al principio

 © 2010 Microsoft Corporation. Reservados todos los derechos.