Отключение протокола TLS между сайтами Active Directory

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2013-02-19

В Microsoft Exchange Server 2013 имеется возможность отключить протокол TLS для передачи данных по протоколу SMTP между серверами почтовых ящиков в определенных топологиях, где используются устройства контроллеров оптимизации доступа в глобальную сеть (WOC) для сжатия трафика SMTP.

В этом разделе приведены пошаговые инструкции по настройке транспортной службы в зависящих от нее серверах почтовых ящиков для отключения протокола TSL и по настройке топологии маршрутизации Active Directory для правильной маршрутизации сообщений. Дополнительные сведения об этом сценарии см. в разделе Сценарий. Настройка Exchange для поддержки контроллеров оптимизации глобальной сети.

  • Предполагаемое время выполнения задачи: 60 минут.

  • Отдельные шаги настройки в этом сценарии можно выполнить с меньшими правами, но чтобы выполнить весь сценарий от начала и до конца, ваша учетная запись должна быть участником группы ролей "Управление организацией".

  • Убедитесь, что протокол TLS отключен только для подключений, которые проходят через устройства WOC.

  • Для выполнения этой процедуры необходимо, чтобы Exchange 2013 была развернута в нескольких сайтах Active Directory, и, по крайней мере, один сайт должен быть подключен к остальным сайтам через канал глобальной сети.

  • Для выполнения этой процедуры необходимо, чтобы были развернуты устройства WOC, сжимающие трафик SMTP в канале глобальной сети.

  • Для выполнения этой процедуры необходимо, чтобы для Exchange существовал логический путь потока сообщений, проходящий через канал глобальной сети с развернутыми устройствами WOC.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

Чтобы настроить транспортную службу на сервере почтовых ящиков для использования упрощенной проверки подлинности на сервере Exchange, выполните следующую команду.

Set-TransportService <ServerIdentity> -UseDowngradedExchangeServerAuth $true

В этом примере показано, как изменить параметры для сервера с именем Mailbox01.

Set-TransportService Mailbox01 -UseDowngradedExchangeServerAuth $true

  1. В Центре администрирования Exchange перейдите в раздел Поток почты > Соединители получения и щелкните ДобавитьЗначок добавления.

  2. На первой странице мастера Создание соединителя подключения введите следующие значения.

    • Имя   Введите описательное значение.

    • Тип   Внутренний

    Завершив настройку, нажмите кнопку Далее.

  3. На второй странице мастера Создание соединителя подключения в разделе Настройки удаленной системы, введите IP-адреса или диапазоны IP-адресов для целевого сайта Active Directory. Завершив настройку, щелкните Готово.

Чтобы создать соединитель получения на сервере почтовых ящиков, выполните следующую команду.

New-ReceiveConnector -Name <Name> -Server <ServerIdentity> -RemoteIPRanges <IPAddressRange> -Internal

В этом примере показано, как создать соединитель получения с именем WAN на сервере с именем Mailbox01 со следующими параметрами.

  • Параметр RemoteIPRanges имеет значение 10.0.2.0/24. Этот диапазон IP-адресов должен соответствовать удаленному сайту Active Directory, с которого создаваемый соединитель получения будет получать незашифрованные подключения. Если на удаленном сайте имеется несколько IP-подсетей, можно ввести их все, разделяя запятыми.

  • Для типа использования установлено значение "Внутренний".

New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal

Чтобы отключить протокол TLS на соединителе получения, выполните следующую команду.

Set-ReceiveConnector <ReceiveConnectorIdentity> -SuppressXAnonymousTLS $true

В этом примере показано, как отключить протокол TLS на соединителе получения с именем WAN на сервере почтовых ящиков с именем Mailbox01.

Set-ReceiveConnector Mailbox01\WAN -SuppressXAnonymousTLS $true

Чтобы настроить сайт Active Directory в качестве узлового сайта, выполните следующую команду.

Set-AdSite <ADSiteIdentity> -HubSiteEnabled $true

Необходимо выполнить эту процедуру один раз для каждого сайта Active Directory, имеющего серверы почтовых ящиков, обрабатывающие незашифрованный трафик.

В этом примере показано, как настроить сайт Active Directory с именем Сайт центрального офиса 1 в качестве узлового сайта.

Set-AdSite "Central Office Site 1" -HubSiteEnabled $true

В зависимости от того, как в Active Directory настроены затраты связей IP-сайтов, этот шаг может и не понадобиться. Необходимо проверить, что сетевое соединение с развернутыми устройствами WOC находится в пути маршрутизации с наименьшими затратами. Чтобы просмотреть затраты связей сайта Active Directory и затраты связей сайта, относящегося к Exchange, выполните следующую команду.

Get-AdSiteLink

Если сетевое соединение с развернутыми устройствами WOC не находится в пути маршрутизации с наименьшими затратами, необходимо определенной связи IP-сайта назначить затраты, относящиеся к Exchange, чтобы маршрутизация сообщений выполнялась правильно. Дополнительные сведения об этой проблеме см. в статье "Настройка затрат связей сайта Active Directory, относящегося к Exchange" в разделе Сценарий. Настройка Exchange для поддержки контроллеров оптимизации глобальной сети.

В этом примере показано, как задать значение затрат, относящихся к Exchange, равное 15 для связи IP-сайта с именем Филиал 2 — Филиал 1.

Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15
 
Показ: