匿名 TLS 接続を抑制する

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2012-07-23

Microsoft Exchange Server 2007 では、ハブ トランスポート サーバー間のすべての SMTP 通信に対するトランスポート層セキュリティ (TLS) の暗号化は必要不可欠です。この暗号化によって、ハブ間の通信の全体的なセキュリティが強化されます。ただし、WAN 最適化コントローラー (WOC) デバイスを使用する特定のトポロジでは、SMTP トラフィックの TLS 暗号化が望ましくない状況になる場合があります。Exchange Server 2010 では、これらの特定のシナリオでのハブ間通信に対する TLS の無効化をサポートします。

ここでは、TLS を無効にするためのハブ トランスポート サーバーの構成についての手順を説明します。この機能の詳細については、「WAN 組織の最適化のサポートのために、Active Directory サイト間の TLS を無効にする」を参照してください。

メッセージ ルーティングの管理に関連する他のタスクについては、「メッセージ ルーティングの管理」を参照してください。

前提条件

• Exchange が複数 Active Directory サイトで 展開されており、少なくとも 1 つのサイトが WAN リンクを介して他のサイトに接続されている。

• WAN リンク上の SMTP トラフィックを圧縮するために WOC デバイスが展開されている。

• WOC デバイスを展開している WAN リンク上の Exchange に対して論理メッセージ フロー パスが存在する。

手順 1:シェルを使用して、ダウングレードされた Exchange Server 認証を使用するようにハブ トランスポート サーバーを構成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「トランスポートのアクセス許可」の「ハブ トランスポート サーバー」。

Set-TransportServer コマンドレットを使用して、ダウングレードされた Exchange Server 認証を使用するようにハブ トランスポート サーバーを構成します。この例では、サーバー Hub01 でこの構成変更を行います。

Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true

構文およびパラメーターの詳細については、「Set-TransportServer」を参照してください。

手順 2:シェルを使用して、ターゲット Active Directory サイトの特定のリモート IP アドレスの範囲のハブ トランスポート サーバー上に受信コネクタを作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「トランスポートのアクセス許可」の「受信コネクタ」。

New-ReceiveConnector コマンドレットを使用して、暗号化されていないトラフィックに使用するためにハブ トランスポート サーバー上に受信コネクタを作成します。この例では、次の構成オプションを使用してサーバー Hub01 上に受信コネクタ WAN を作成します。

• RemoteIPRanges パラメーターは 10.0.2.0/24 に設定されています。この IP アドレスの範囲は、この受信コネクタが暗号化されていない接続を受信するリモート Active Directory サイトに対応しています。リモート サイトに複数の IP サブネットが存在する場合は、各 IP サブネットをコンマで区切って入力してください。

• 使用法の種類は [内部] に設定されます。

New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal

構文およびパラメーターの詳細については、「New-ReceiveConnector」を参照してください。

EMC を使用しても受信コネクタを作成できます。EMC を使用する場合は、次の設定を使用してコネクタを作成するようにしてください。

• コネクタの使用目的には [内部] を選択します。

• リモート IP アドレスの範囲 (前述の例で使用した 10.0.2.0/24 など) を指定します。

詳細については、「SMTP 受信コネクタの作成」を参照してください。

手順 3:シェルを使用して新しい受信コネクタで X-ANONYMOUSTLS を無効にする

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「トランスポートのアクセス許可」の「受信コネクタ」。

新しく作成した受信コネクタで TLS を無効にするには、Set-ReceiveConnector コマンドレットを使用します。この例では、サーバー Hub01 の受信コネクタ WAN で TLS を無効にします。

Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true

構文およびパラメーターの詳細については、「Set-ReceiveConnector」を参照してください。

手順 4:シェルを使用して、WAN 接続のいずれか一方の Active Directory サイトをハブ サイトとして指定する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。 「トランスポートのアクセス許可」の「Active Directory サイトおよびサイト リンク管理」。

特定の Active Directory サイトをハブ サイトとして構成するには、Set-AdSite コマンドレットを使用します。暗号化されていないトラフィックに参加するハブ トランスポート サーバーがあるサイトごとにこの操作を 1 度実行する必要があります。

この例では、Active Directory サイトである Central Office Site 1 をハブ サイトとして構成します。

Set-AdSite "Central Office Site 1" -HubSiteEnabled $true

構文およびパラメーターの詳細については、「set-AdSite」を参照してください。

手順 5:シェルを使用して WAN 接続を通過する最小コスト ルーティング パスを確認する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。 "「トランスポートのアクセス許可」の「Active Directory サイトおよびサイト リンク管理」。

Active Directory での IP サイト リンク コストの構成方法によっては、この手順を実行する必要がない場合もあります。展開されている WOC デバイスを持つネットワーク リンクが最小コスト メッセージング パス上にあることを確認してください。これに該当しない場合は、Exchange 固有のコストを特定の IP サイト リンクに割り当て、メッセージを正しくルーティングする必要があります。この問題の詳細については、「WAN 組織の最適化のサポートのために、Active Directory サイト間の TLS を無効にする」の「サイト リンク コストの構成」を参照してください。

この例では、支社 2 と支社 1 間 IP サイト リンク上 Exchange 固有のコストを 15 に構成します。

Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15

構文およびパラメーターの詳細については、「Set-AdSiteLink」を参照してください。

 © 2010 Microsoft Corporation.All rights reserved.