Подавление анонимных TLS-соединений
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2012-07-23
В системе Microsoft Exchange Server 2007 шифрование по протоколу TLS (Transport Layer Security) является обязательным при установке подключения по протоколу SMTP между транспортными серверами-концентраторами. Такое шифрование повышает общую безопасность подключения между концентраторами. Тем не менее, в определенных топологиях, в которых используются устройства WOC (WAN Optimization Controller), шифрование трафика SMTP по протоколу TLS может быть нежелательно. Сервер Exchange Server 2010 поддерживает отключение протокола TLS при установке подключения между концентраторами для определенных сценариев.
В этом разделе содержатся пошаговые инструкции по настройке транспортных серверов-концентраторов для отключения протокола TLS. Дополнительные сведения об этой функции см. в разделе Отключение TLS между сайтами Active Directory для поддержки оптимизации глобальной сети.
Необходимы сведения о других задачах, связанных с управлением маршрутизацией сообщений? См. раздел Управление маршрутизацией сообщений.
.gif "Внимание") Внимание! |
|---|
| Убедитесь, что протокол TLS отключен только для подключений, которые проходят через устройства WOC. |
Предварительные условия
Сервер Exchange развернут на нескольких сайтах Служба каталогов Active Directory, причем по крайней мере один сайт подключен к другим сайтам через глобальную сеть.
Устройства WOC развернуты для сжатия трафика SMTP через канал глобальной сети.
Для Exchange существует логический путь потока сообщений, проходящий через канал глобальной сети, в котором развернуты устройства WOC.
Шаг 1. Использование командной консоли Exchange для настройки транспортного сервера-концентратора для использования пониженной проверки подлинности сервера Exchange Server
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Транспортный сервер-концентратор» в разделе Разрешения транспорта.
.gif "Примечание") Примечание. |
|---|
| Невозможно использовать консоль управления Exchange для выполнения этой процедуры. |
Чтобы настроить транспортный сервер-концентратор для использования пониженной проверки подлинности сервера Exchange Server, можно запустить командлет Set-TransportServer. В этом примере показано, как выполнить такое изменение конфигурации на сервере Hub01.
Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-TransportServer.
Шаг 2. Использование командной консоли Exchange для создания соединителя получения на транспортном сервере-концентраторе для определенного диапазона удаленных IP-адресов целевого сайта Active Directory
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Соединители получения» в разделе Разрешения транспорта.
С помощью командлета New-ReceiveConnector можно создать на транспортном сервере-концентраторе соединитель получения, используемый для незашифрованного трафика. В этом примере показано, как создать соединитель получения WAN на сервере Hub01 со следующими параметрами конфигурации.
Для параметра RemoteIPRanges установлено значение 10.0.2.0/24. Этот диапазон IP-адресов должен соответствовать удаленному сайту Служба каталогов Active Directory, с которого этот соединитель получения будет принимать незашифрованные подключения. Если на удаленном сайте существует несколько IP-подсетей, можно ввести их все, разделяя адреса запятыми.
Для типа использования установлено значение Internal.
New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ReceiveConnector.
Соединитель получения можно также создать с помощью консоли управления Exchange. При создании соединителя с помощью консоли управления Exchange необходимо установить следующие параметры.
Выберите значение Внутренний для предполагаемого типа использования соединителя.
Укажите диапазон удаленных IP-адресов (например, в предыдущем примере — 10.0.2.0/24).
Дополнительные сведения см. в разделе Создание соединителя получения SMTP.
Шаг 3. Использование командной консоли Exchange для отключения расширения X-ANONYMOUSTLS на новом соединителе получения
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Соединители получения» в разделе Разрешения транспорта.
| Примечание. |
|---|
| Невозможно использовать консоль управления Exchange для выполнения этой процедуры. |
Для отключения протокола TLS на вновь созданном соединителе получения используется командлет Set-ReceiveConnector. В этом примере показано, как отключить протокол TLS на соединителе получения WAN на сервере Hub01.
Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ReceiveConnector.
Шаг 4. Использование командной консоли Exchange для назначения сайтов Active Directory на каждой стороне подключения глобальной сети как сайтов концентратора
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Сайт Служба каталогов Active Directory и управление связями между сайтами» в разделе Разрешения транспорта.
| Примечание. |
|---|
| Невозможно использовать консоль управления Exchange для выполнения этой процедуры. |
Для настройки определенного сайта Служба каталогов Active Directory в качестве сайта концентратора используется командлет Set-AdSite. Необходимо запустить этот командлет на каждом сайте, на котором расположены транспортные серверы-концентраторы, участвующие в передаче незашифрованного трафика.
В этом примере показано, как настроить сайт Служба каталогов Active Directory «Сайт центрального офиса 1» как сайт концентратора.
Set-AdSite "Central Office Site 1" -HubSiteEnabled $true
Дополнительные сведения о синтаксисе и параметрах см. в разделе set-AdSite.
Шаг 5. Использование командной консоли Exchange для проверки прохождения пути маршрутизации с наименьшей стоимостью через подключение глобальной сети
Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Сайт Служба каталогов Active Directory и управление связями между сайтами» в разделе Разрешения транспорта.
| Примечание. |
|---|
| Невозможно использовать консоль управления Exchange для выполнения этой процедуры. |
В зависимости от того, как настроены стоимости связей между IP-сайтами в службах Служба каталогов Active Directory, этот шаг может не потребоваться. Необходимо убедиться, что сетевое соединение с развернутыми устройствами WOC основано на пути прохождения сообщения с наименьшей стоимостью. В противном случае необходимо назначить определенную для Exchange стоимость для отдельной связи между IP-сайтами, чтобы обеспечить правильную маршрутизацию сообщений. Дополнительные сведения по этому вопросу см. в подразделе «Настройка стоимостей связей между сайтами» в разделе Отключение TLS между сайтами Active Directory для поддержки оптимизации глобальной сети.
В этом примере показано, как настроить определенное для Exchange значение стоимости, равное 15, для связи между IP-сайтами «Филиал 2 — Филиал 1».
Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-AdSiteLink.
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.