Сценарий: настройка Exchange для поддержки контроллеров оптимизации глобальной сети
Область применения: Exchange Server 2013 г.
В Microsoft Exchange Server 2013 году шифрование TLS является обязательным для всех подключений SMTP в транспортной службе между серверами почтовых ящиков. Это повышает общую безопасность передачи данных в транспортной службе между серверами почтовых ящиков. Однако в определенных топологиях, где используются контроллеры оптимизации глобальной сети (WOC), может быть нежелательно использовать шифрование TLS для трафика SMTP. В этих особых сценариях можно отключить TLS для передачи данных транспортной службой между серверами почтовых ящиков.
Рекомендуется использовать топологию, показанную на следующем рисунке. В этой топологии для четырех сайтов предполагается, что два сайта центральных офисов и Филиал 2 имеют хорошее соединение, в то время как между Сайтом центрального офиса 1 и Филиалом 1 подключение осуществляется через канал глобальной сети. На предприятии для этого канала установлены устройства WOC для сжатия трафика через глобальную сеть.
Примерная топология сети с устройствами WOC
.gif "Пример топологии с оптимизаторами глобальной сети")
В этой топологии, так как Exchange 2013 использует шифрование TLS для обмена данными между серверами почтовых ящиков, трафик SMTP, проходящий по каналу глобальной сети, невозможно сжать. В идеальном случае весь трафик SMTP, идущий через канал глобальной сети, должен передаваться с помощью незашифрованного протокола SMTP, а между сайтами, имеющими хорошее соединение, должен использоваться безопасный протокол TLS. Exchange 2013 позволяет отключить шифрование TLS для трафика между сайтами, настроив соединители получения. Используя эту возможность в Exchange 2013, можно настроить исключение для трафика SMTP между сайтом Центрального офиса 1 и филиалом 1, как показано на следующем рисунке.
Предпочитаемый поток логических сообщений
.gif "Предпочтительный логический поток сообщений")
Рекомендуется выполнить настройку так, чтобы ограничить использование незашифрованного трафика SMTP и применять его только для передачи сообщений, проходящих по каналу глобальной сети. Поэтому для внутрисайтовой передачи данных транспортной службой между серверами почтовых ящиков во всех сайтах, а также для межсайтовой передачи данных транспортной службой между серверами почтовых ящиков, не включающих Филиал 1, должно использоваться шифрование TLS.
Чтобы достичь такого конечного результата, необходимо выполнить следующие действия в указанном порядке на каждом сервере почтовых ящиков на сайтах, содержащих устройства WOC (Сайт центрального офиса 1 и Филиал 1 в топологии примера).
Включите упрощенную проверку подлинности на сервере Exchange.
Создайте выделенный соединитель получения для обработки трафика, проходящего через подключение, имеющее устройство WOC.
Задайте в свойстве диапазона удаленных IP-адресов выделенного соединителя получения диапазон IP-адресов серверов почтовых ящиков в удаленном сайте Active Directory.
Выключите поддержку протокола TLS на выделенном соединителе получения.
Кроме того, необходимо выполнить следующие действия, чтобы весь трафик SMTP, проходящий через глобальную сеть, обрабатывался созданным выделенным соединителем получения.
Настройте сайты Active Directory, которые будут участвовать в передаче данных без использования протокола TLS, в качестве узловых сайтов, чтобы направить все сообщения через выделенный соединитель получения (в топологии примера это Сайт центрального офиса 1 и Сайт филиала 1).
Проверьте, что затраты связей IP-сайта Active Directory настроены так, что путь маршрутизации с наименьшими затратами к удаленному сайту (в топологии примера это Филиал 1) проходит через сетевое соединение, в котором имеются устройства WOC. При необходимости назначьте связям сайта Active Directory затраты, относящиеся к Exchange.
Следующий раздел представляет собой обзор этих шагов. Пошаговые инструкции по настройке организации для этого сценария см. в разделе Отключение TLS между сайтами Active Directory.
Упрощение проверки подлинности в подключениях с отключенным протоколом TLS
В Exchange совместно с шифрованием TLS используется проверка подлинности Kerberos. При отключении протокола TLS при передаче данных транспортной службой между серверами почтовых ящиков необходимо использовать другой способ проверки подлинности. Когда Exchange 2013 взаимодействует с другими серверами Exchange, которые не поддерживают X-ANONYMOUSTLS, он возвращается к использованию проверки подлинности GSSAPI. Все соединения транспортной службы между серверами почтовых ящиков Exchange 2013 используют X-ANONYMOUSTLS. При настройке службы транспорта на сервере почтовых ящиков для использования более ранней версии Exchange Server проверки подлинности вы фактически включаете проверку подлинности GSSAPI для связи службы транспорта с другими серверами почтовых ящиков Exchange 2013.
Создание и настройка выделенных соединителей получения
Необходимо создать соединители получения, которые будут ответственны исключительно за обработку трафика, не зашифрованного по протоколу TLS. Использование в этих целях отдельных соединителей получения гарантирует, что весь трафик, который не проходит по каналу глобальной сети, остается защищенным с помощью шифрования TLS.
Чтобы через выделенные соединители получения проходил только трафик, передаваемый через глобальную сеть, необходимо настроить свойство диапазона удаленных IP-адресов. Exchange всегда использует соединитель с наиболее конкретным диапазоном удаленных IP-адресов. Таким образом, эти новые соединители будут использоваться вместо соединителей получения по умолчанию, настроенных на получение сообщений из любого места.
Возвращаясь к топологии примера, предположим, что подсеть 10.0.1.0/24 класса C используется для Сайта центрального офиса 1, а 10.0.2.0/24 — для Филиала 1. Чтобы подготовиться к отключению TLS между этими двумя сайтами, сделайте следующее.
Создайте соединитель получения с именем WAN на каждом сервере почтовых ящиков в центральном офисе сайта 1 и филиала 1.
Настройте диапазон удаленных IP-адресов 10.0.2.0/24 на каждом выделенном соединителе получения на Сайте центрального офиса 1.
Настройте диапазон удаленных IP-адресов 10.0.1.0/24 на каждом выделенном соединителе получения в Филиале 1.
Выключите поддержку протокола TLS на всех выделенных соединителях получения.
Конечный результат показан на следующем рисунке (в круглых скобках отображается свойство диапазона удаленных IP-адресов соединителей получения с именем WAN). В филиале 1 отображается только один сервер почтовых ящиков, а для ясности опущен филиал 2.
Конфигурация соединителя приема
.gif "Конфигурация соединителя получения")
Настройка узловых сайтов
По умолчанию сервер почтовых ящиков Exchange 2013 пытается установить прямое соединение с сервером почтовых ящиков, ближайшим к конечному месту назначения определенного сообщения. Если в той же самой топологии пользователь в Филиале 2 отправляет сообщение пользователю в Филиале 1, сервер почтовых ящиков в Филиале 2 подключится непосредственно к серверу почтовых ящиков в Филиале 1, чтобы доставить это сообщение. Это соединение будет зашифровано, поэтому оно нежелательно в этой конкретной топологии. Чтобы такие сообщения проходили через серверы почтовых ящиков на Сайте центрального офиса 1 и гарантированно не были зашифрованы при передаче через канал глобальной сети, необходимо настроить Сайт центрального офиса 1 и Филиал 1 в качестве узловых сайтов. Короче говоря, любой сайт, на котором имеется сервер почтовых ящиков с соединителем получения с отключенной поддержкой протокола TLS, необходимо настроить в качестве узлового сайта, чтобы серверы на других сайтах выполняли маршрутизацию трафика через этот сайт. Дополнительные сведения см . в статье Настройка параметров маршрутизации почты Exchange в Active Directory.
Настройка затрат связей сайта Active Directory, относящегося к Exchange
Сама по себе настройка узловых сайтов не гарантирует, что весь трафик не будет зашифрован при передаче по каналу глобальной сети. Это связано с тем, что Exchange будет выполнять маршрутизацию сообщений через узловые сайты только при условии, что узловой сайт находится в пути маршрутизации с наименьшими затратами. Предположим, что затраты связей IP-сайта для топологии нашего примера настроены в Active Directory так, как это показано на следующем рисунке (Сайт центрального офиса 2 не показан, чтобы не усложнять рисунок).
Затраты связей IP-сайта для топологии примера
.gif "Затраты на связь с IP-сайтом для примера топологии")
В этом случае путь от Филиала 2 в Филиал 1, который проходит через узловой сайт, имеет общие затраты, равные 12 (6+6), в то время как затраты прямого пути равны 10. Таким образом, ни одно сообщение из Филиала 2 в Филиал 1 не пройдет через Сайт центрального офиса 1, и весь трафик останется зашифрованным TLS.
Чтобы избежать этой проблемы, необходимо для связи IP-сайта между Филиалом 2 и Филиалом 1 назначить затраты, относящиеся к Exchange, которые будут больше 12, как показано на следующем рисунке. Это гарантирует, что все сообщения будут проходить через незашифрованный канал между Сайтом центрального офиса 1 и Филиалом 1.
Топология примера, для которой настроены затраты связи IP-сайтов, относящихся к Exchange
.gif "Пример топологии с затратами на Exchange")
Дополнительные сведения см . в статье Настройка параметров маршрутизации почты Exchange в Active Directory.