Сценарий. Настройка Exchange для поддержки контроллеров оптимизации глобальной сети

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2012-09-28

В Microsoft Exchange Server 2013 при передаче всех данных в транспортной службе с использованием протокола SMTP между серверами почтовых ящиков в обязательном порядке используется шифрование TLS. Это повышает общую безопасность передачи данных в транспортной службе между серверами почтовых ящиков. Однако в определенных топологиях, где используются контроллеры оптимизации глобальной сети (WOC), может быть нежелательно использовать шифрование TLS для трафика SMTP. В этих особых сценариях можно отключить TLS для передачи данных транспортной службой между серверами почтовых ящиков.

Рекомендуется использовать топологию, показанную на следующем рисунке. В этой топологии для четырех сайтов предполагается, что два сайта центральных офисов и Филиал 2 имеют хорошее соединение, в то время как между Сайтом центрального офиса 1 и Филиалом 1 подключение осуществляется через канал глобальной сети. На предприятии для этого канала установлены устройства WOC для сжатия трафика через глобальную сеть.

Примерная топология сети с устройствами WOC

Пример топологии со средствами оптимизации глобальной сети

Поскольку в этой топологии Exchange 2013 использует шифрование TLS для передачи данных между серверами почтовых ящиков, трафик SMTP, идущий через канал глобальной сети WAN, невозможно сжать. В идеальном случае весь трафик SMTP, идущий через канал глобальной сети, должен передаваться с помощью незашифрованного протокола SMTP, а между сайтами, имеющими хорошее соединение, должен использоваться безопасный протокол TLS. Exchange 2013 дает возможность отключить шифрование TLS для трафика, передаваемого между сайтами, путем настройки соединителей получения. Используя эту возможность Exchange 2013, можно настроить исключение для трафика SMTP, передаваемого между Сайтом центрального офиса 1 и Филиалом 1, как показано на следующем рисунке.

Предпочитаемый поток логических сообщений

Предпочитаемый поток логических сообщений

Рекомендуется выполнить настройку так, чтобы ограничить использование незашифрованного трафика SMTP и применять его только для передачи сообщений, проходящих по каналу глобальной сети. Поэтому для внутрисайтовой передачи данных транспортной службой между серверами почтовых ящиков во всех сайтах, а также для межсайтовой передачи данных транспортной службой между серверами почтовых ящиков, не включающих Филиал 1, должно использоваться шифрование TLS.

Чтобы достичь такого конечного результата, необходимо выполнить следующие действия в указанном порядке на каждом сервере почтовых ящиков на сайтах, содержащих устройства WOC (Сайт центрального офиса 1 и Филиал 1 в топологии примера).

  1. Включите упрощенную проверку подлинности на сервере Exchange.

  2. Создайте выделенный соединитель получения для обработки трафика, проходящего через подключение, имеющее устройство WOC.

    1. Задайте в свойстве диапазона удаленных IP-адресов выделенного соединителя получения диапазон IP-адресов серверов почтовых ящиков в удаленном сайте Active Directory.

    2. Выключите поддержку протокола TLS на выделенном соединителе получения.

Кроме того, необходимо выполнить следующие действия, чтобы весь трафик SMTP, проходящий через глобальную сеть, обрабатывался созданным выделенным соединителем получения.

  • Настройте сайты Active Directory, которые будут участвовать в передаче данных без использования протокола TLS, в качестве узловых сайтов, чтобы направить все сообщения через выделенный соединитель получения (в топологии примера это Сайт центрального офиса 1 и Сайт филиала 1).

  • Проверьте, что затраты связей IP-сайта Active Directory настроены так, что путь маршрутизации с наименьшими затратами к удаленному сайту (в топологии примера это Филиал 1) проходит через сетевое соединение, в котором имеются устройства WOC. При необходимости назначьте связям сайта Active Directory затраты, относящиеся к Exchange.

Следующий раздел представляет собой обзор этих шагов. Пошаговые инструкции о том, как настроить организацию для этого сценария, см. в разделе Отключение протокола TLS между сайтами Active Directory.

Содержание

Упрощение проверки подлинности в подключениях с отключенным протоколом TLS

Создание и настройка выделенных соединителей получения

Настройка узловых сайтов

Настройка затрат связей сайта Active Directory, относящегося к Exchange

В Exchange совместно с шифрованием TLS используется проверка подлинности Kerberos. При отключении протокола TLS при передаче данных транспортной службой между серверами почтовых ящиков необходимо использовать другой способ проверки подлинности. Когда Exchange 2013 обменивается данными с другими серверами, на которых работает Exchange и которые не поддерживают X-ANONYMOUSTLS, то выполняется возврат к проверке подлинности GSSAPI. Для передачи всех данных транспортной службой между серверами почтовых ящиков Exchange 2013 используется X-ANONYMOUSTLS. При настройке транспортной службы на сервере почтовых ящиков с целью использования упрощенной проверки подлинности сервера Exchange на самом деле включается функция проверки подлинности GSSAPI для данных, передаваемых между транспортной службой и серверами почтовых ящиков Exchange 2013.

В начало

Необходимо создать соединители получения, которые будут ответственны исключительно за обработку трафика, не зашифрованного по протоколу TLS. Использование в этих целях отдельных соединителей получения гарантирует, что весь трафик, который не проходит по каналу глобальной сети, остается защищенным с помощью шифрования TLS.

Чтобы через выделенные соединители получения проходил только трафик, передаваемый через глобальную сеть, необходимо настроить свойство диапазона удаленных IP-адресов. Exchange всегда использует соединитель с наиболее конкретным диапазоном удаленных IP-адресов. Таким образом, эти новые соединители будут использоваться вместо соединителей получения по умолчанию, настроенных на получение сообщений из любого места.

Возвращаясь к топологии примера, предположим, что подсеть 10.0.1.0/24 класса C используется для Сайта центрального офиса 1, а 10.0.2.0/24 — для Филиала 1. Чтобы подготовиться к отключению TLS между этими двумя сайтами, сделайте следующее.

  1. Создайте соединитель получения с именем WAN на каждом сервере почтовых ящиков Сайта центрального офиса 1 и Филиала 1.

  2. Настройте диапазон удаленных IP-адресов 10.0.2.0/24 на каждом выделенном соединителе получения на Сайте центрального офиса 1.

  3. Настройте диапазон удаленных IP-адресов 10.0.1.0/24 на каждом выделенном соединителе получения в Филиале 1.

  4. Выключите поддержку протокола TLS на всех выделенных соединителях получения.

На следующем рисунке показан конечный результат (в скобках показано свойство диапазона удаленных IP-адресов соединителя получения с именем WAN). На рисунке показан только один сервер почтовых ящиков Филиала 1. Филиал 2 не показан, чтобы не усложнять рисунок.

Конфигурация соединителя приема

Конфигурация соединителя приема

В начало

По умолчанию сервер почтовых ящиков Exchange 2013 будет пытаться подключиться напрямую к серверу почтовых ящиков, ближайшему к месту назначения для конкретного сообщения. Если в той же самой топологии пользователь в Филиале 2 отправляет сообщение пользователю в Филиале 1, сервер почтовых ящиков в Филиале 2 подключится непосредственно к серверу почтовых ящиков в Филиале 1, чтобы доставить это сообщение. Это соединение будет зашифровано, поэтому оно нежелательно в этой конкретной топологии. Чтобы такие сообщения проходили через серверы почтовых ящиков на Сайте центрального офиса 1 и гарантированно не были зашифрованы при передаче через канал глобальной сети, необходимо настроить Сайт центрального офиса 1 и Филиал 1 в качестве узловых сайтов. Короче говоря, любой сайт, на котором имеется сервер почтовых ящиков с соединителем получения с отключенной поддержкой протокола TLS, необходимо настроить в качестве узлового сайта, чтобы серверы на других сайтах выполняли маршрутизацию трафика через этот сайт. Подробнее см. в разделе Настройка параметров маршрутизации почты Exchange в Active Directory.

В начало

Сама по себе настройка узловых сайтов не гарантирует, что весь трафик не будет зашифрован при передаче по каналу глобальной сети. Это связано с тем, что Exchange будет выполнять маршрутизацию сообщений через узловые сайты только при условии, что узловой сайт находится в пути маршрутизации с наименьшими затратами. Предположим, что затраты связей IP-сайта для топологии нашего примера настроены в Active Directory так, как это показано на следующем рисунке (Сайт центрального офиса 2 не показан, чтобы не усложнять рисунок).

Затраты связей IP-сайта для топологии примера

Стоимости IP-связей сайтов для примера топологии

В этом случае путь от Филиала 2 в Филиал 1, который проходит через узловой сайт, имеет общие затраты, равные 12 (6+6), в то время как затраты прямого пути равны 10. Таким образом, ни одно сообщение из Филиала 2 в Филиал 1 не пройдет через Сайт центрального офиса 1, и весь трафик останется зашифрованным TLS.

Чтобы избежать этой проблемы, необходимо для связи IP-сайта между Филиалом 2 и Филиалом 1 назначить затраты, относящиеся к Exchange, которые будут больше 12, как показано на следующем рисунке. Это гарантирует, что все сообщения будут проходить через незашифрованный канал между Сайтом центрального офиса 1 и Филиалом 1.

Топология примера, для которой настроены затраты связи IP-сайтов, относящихся к Exchange

Пример топологии со стоимостью Exchange

Подробнее см. в разделе Настройка параметров маршрутизации почты Exchange в Active Directory.

В начало

 
Показ: