Disabilitazione TLS tra i siti Active Directory per supportare l'ottimizzazione WAN

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2009-12-01

In Microsoft Exchange Server 2007, la crittografia TLS (Transport Layer Security) è obbligatoria per tutte le comunicazioni SMTP tra i server Trasporto Hub. Ciò aumenta la sicurezza complessiva delle comunicazioni tra Hub. Tuttavia, in alcune topologie in cui vengono utilizzati i dispositivi WOC (WAN Optimization Controller), la crittografia TLS del traffico SMTP potrebbe essere indesiderata. Exchange Server 2010 supporta la disabilitazione di TLS per le comunicazioni tra Hub per questi scenari specifici.

Considerare la topologia illustrata nella figura seguente. Questa topologia a quattro siti parte dal presupposto che i due siti centrali e Branch Office 2 siano ben collegati e che la connessione tra Central Office Site 1 e Branch Office 1 si trovi su un collegamento WAN. L'azienda ha installato due dispositivi WOC su questo collegamento per comprimere e ottimizzare il traffico sul collegamento WAN.

Topologia di rete di esempio con dispositivi WOC

Topologia di esempio con ottimizzatori WAN

In questa topologia, dal momento che Exchange 2010 utilizza la crittografia TLS per la comunicazione tra i server Trasporto Hub, il traffico SMTP che passa sul collegamento WAN non può essere compresso. In teoria, tutto il traffico SMTP che passa sul collegamento WAN deve essere traffico SMTP non crittografato, mentre viene mantenuta la sicurezza TLS all'interno dei siti ben collegati. Exchange 2010 offre l'opportunità di disabilitare la crittografia TLS per il traffico tra i siti configurando i connettori di ricezione. Utilizzando questa funzionalità in Exchange 2010, è possibile configurare un'eccezione per il traffico SMTP tra Central Office Site 1 e Branch Office 1, come illustrato nella figura seguente.

Flusso di un messaggio logico preferito

Flusso di un messaggio logico preferito

La configurazione consigliata è quella di limitare il traffico SMTP non crittografato solo a quei messaggi che passano sul collegamento WAN. Quindi, il traffico tra Hub per i siti e le comunicazioni tra Hub da sito a sito che non coinvolgono Branch Office 1 devono utilizzare la crittografia TLS.

Per raggiungere questo risultato finale, è necessario eseguire quanto segue, nell'ordine specificato, su ogni server Trasporto Hub nei siti che contengono dispositivi WOC (Central Office Site 1 e Branch Office 1 nella topologia di esempio):

  1. Abilitare l'autenticazione di Exchange Server di cui è stato effettuato il downgrade.

  2. Creare un connettore di ricezione per gestire il traffico sulla connessione che dispone dei dispositivi WOC.

  3. Configurare la proprietà dell'intervallo di indirizzi IP remoto del nuovo connettore di ricezione sugli intervalli di indirizzi IP dei server Trasporto Hub nel sito remoto.

  4. Disabilitare TLS sul nuovo connettore di ricezione.

Inoltre, è necessario eseguire quanto segue per garantire che tutto il traffico SMTP sul collegamento WAN sia gestito dai nuovi connettori di ricezione creati:

  • Configurare i siti che parteciperanno alla comunicazione non TLS come siti hub per fare in modo che tutto il flusso dei messaggi passi attraverso i connettori di ricezione (Central Office Site 1 e Branch Office Site 1 nella topologia di esempio).

  • Verificare che i costi del collegamento al sito IP siano configurati in modo tale da garantire che il percorso di routing più economico al sito remoto (Branch Office 1 nella topologia di esempio) passi attraverso il collegamento di rete con i dispositivi WOC.

Nelle sezioni seguenti viene fornita una panoramica di ognuno di questi passi. Per istruzioni dettagliate su come configurare i server Trasporto Hub per disabilitare TLS, vedere Eliminazione delle connessioni TLS anonime.

Per informazioni sulle attività relative alla gestione dei server di trasporto, vedere Gestione dei server di trasporto.

Sommario

Downgrade dell'autenticazione su connessioni con TLS disabilitato

Creazione e configurazione dei connettori di ricezione

Creazione di siti hub

Configurazione dei costi del collegamento di sito

Downgrade dell'autenticazione su connessioni con TLS disabilitato

L'autenticazione Kerberos viene utilizzata con la crittografia TLS in Exchange. Quando si disabilita TLS sulle comunicazioni tra Hub, è necessario eseguire un'altra forma di autenticazione. Quando Exchange 2010 comunica con altri server su cui è in esecuzione Exchange che non supporta X-ANONYMOUSTLS, ad esempio i server Exchange Server 2003, torna a utilizzare l'autenticazione GSSAPI (Generic Security Services Application Programming Interface). Tutte le comunicazioni tra i server Trasporto Hub di Exchange 2010 utilizzano X-ANONYMOUSTLS. Configurando il server Trasporto Hub in modo da utilizzare l'autenticazione di Exchange Server di cui è stato effettuato il downgrade, lo si abilita ad utilizzare GSSAPI durante la comunicazione con altri server Trasporto Hub di Exchange 2010.

Inizio pagina

Creazione e configurazione dei connettori di ricezione

È necessario creare i connettori di ricezione che saranno gli unici responsabili della gestione del traffico crittografato non da TLS. L'utilizzo di connettori di ricezione separati per questo scopo garantisce che tutto il traffico che non passa attraverso il collegamento WAN resti protetto dalla crittografia TLS.

Per fare in modo che i connettori di ricezione ricevano solo il traffico sul collegamento WAN, è necessario configurare la proprietà dell'intervallo di indirizzi IP remoto. Exchange utilizza sempre il connettore con l'intervallo di indirizzi IP remoto più specifico. Quindi, questi nuovi connettori saranno scelti come connettori preferiti rispetto al connettore di ricezione predefinito configurato per ricevere i messaggi.

Tornando alla topologia di esempio, partire dal presupposto che la subnet di classe C 10.0.1.0/24 viene utilizzata per Central Office Site 1 e che 10.0.2.0/24 viene utilizzata per Branch Office 1. Per prepararsi alla disabilitazione di TLS tra questi due siti, è necessario fare quanto segue:

  1. Creare un connettore di ricezione (denominato WAN) su ogni server Trasporto Hub in Central Office Site 1 e Branch Office 1.

  2. Configurare l'intervallo di indirizzi IP remoto 10.0.2.0/24 su ogni nuovo connettore di ricezione in Central Office Site 1.

  3. Configurare l'intervallo di indirizzi IP remoto 10.0.1.0/24 su ogni nuovo connettore di ricezione in Branch Office 1.

  4. Disabilitare TLS su tutti i nuovi connettori di ricezione.

Il risultato finale viene illustrato nella figura seguente (con la proprietà dell'intervallo di indirizzi IP remoto dei connettori di ricezione WAN visualizzata tra parentesi). Solo un unico server Trasporto Hub viene visualizzato in Branch Office 1 e Branch Office 2 viene omesso per maggiore chiarezza.

Configurazione del connettore di ricezione

Configurazione del connettore di ricezione

Inizio pagina

Creazione di siti hub

Per impostazione predefinita, un server Trasporto Hub di Exchange 2010 tenterà di connettersi direttamente al server Trasporto Hub più vicino alla destinazione finale di un messaggio specifico. Nella stessa topologia, se un utente in Branch Office 2 invia un messaggio a un utente in Branch Office 1, il server Trasporto Hub in Branch Office 2 si collegherà direttamente al server Trasporto Hub in Branch Office 1 per recapitare il messaggio. La connessione verrà crittografata, quindi non è consigliabile nella topologia specifica. Per fare in modo che tali messaggi passino attraverso i server Trasporto Hub su Central Office Site 1, garantendo di conseguenza che non vengano crittografati durante il trasferimento al collegamento WAN, Central Office Site 1 e Branch Office 1 devono essere configurati come siti hub. In poche parole, qualsiasi sito in cui compare un server Trasporto Hub con un connettore di ricezione con TLS disabilitato deve essere configurato come sito hub. In questo modo, è possibile imporre ai server in altri siti di instradare il traffico attraverso tale sito. Per ulteriori informazioni sui siti hub, vedere "Implementazione di siti hub" in Informazioni sul routing dei messaggi.

Inizio pagina

Configurazione dei costi del collegamento di sito

Configurare i siti hub non è sufficiente a garantire che tutto il traffico venga decrittografato sul collegamento WAN. Ciò perché Exchange instraderà i messaggi attraverso i siti hub solo se questi si trovano nel percorso di routing più economico. Ad esempio, partire dal presupposto che i costi del collegamento al sito IP per la topologia di esempio vengano configurati in Active Directory come mostrato nella figura seguente (Central Office Site 2 viene omesso per maggiore chiarezza).

Costi del collegamento al sito IP per la topologia di esempio

Costi di collegamento al sito IP per topologia di esempio

In questo caso, il percorso da Branch Office 2 a Branch Office 1 che passa attraverso i siti hub ha un costo totale pari a 12 (6+6), mentre il costo del percorso diretto è 10. Quindi, nessun messaggio da Branch Office 2 a Branch Office 1 passerà tramite Central Office Site 1 e perciò tutto il traffico utilizzerà ancora la crittografia TLS.

Per evitare il problema, è necessario designare un costo specifico di Exchange superiore a 12 per il collegamento al sito IP tra Branch Office 2 e Branch Office 1, come mostrato nella figura seguente. Ciò garantirà che tutti i messaggi passino attraverso il canale non crittografato tra Central Office Site 1 e Branch Office 1.

Topologia di esempio configurata con i costi del collegamento al sito IP specifici di Exchange

Topologia di esempio con costi di Exchange

Per ulteriori informazioni sulla configurazione dei costi del collegamento al sito IP specifici di Exchange, vedere "Controllo dei costi del collegamento di sito IP" in Informazioni sul routing dei messaggi.

Inizio pagina

 ©2010 Microsoft Corporation. Tutti i diritti riservati.