禁止匿名 TLS 连接
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2012-07-23
在 Microsoft Exchange Server 2007 中,传输层安全性 (TLS) 加密对于集线器传输服务器之间的所有 SMTP 通信都是强制性的。这将强化集线器到集线器通信的总体安全性。但在某些使用 WAN 优化控制器 (WOC) 设备的拓扑中,可能不需要 SMTP 通信的 TLS 加密。Exchange Server 2010 支持为这些特定方案禁用集线器到集线器通信的 TLS。
本主题提供有关如何将集线器传输服务器配置为禁用 TLS 的分步说明。若要了解有关此功能的详细信息,请参阅禁用 Active Directory 站点间的 TLS 以支持 WAN 优化。
若要了解与管理邮件路由相关的其他任务,请查看管理邮件路由。
.gif "小心") 警告: |
|---|
| 确保仅在通过 WOC 设备的连接上禁用 TLS。 |
先决条件
Exchange 部署在多个 Active Directory 站点中,其中至少有一个站点通过 WAN 链接与其他站点连接。
将 WOC 设备部署为压缩通过 WAN 链接的 SMTP 通信。
通过已部署 WOC 设备的 WAN 链接的 Exchange 存在逻辑邮件流路径。
步骤 1:使用命令行配置集线器传输服务器以使用降级的 Exchange Server 身份验证
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“集线器传输服务器”条目。
.gif "注释") 注意: |
|---|
| 无法使用 EMC 执行此过程。 |
使用 Set-TransportServer cmdlet 配置集线器传输服务器以使用降级的 Exchange 服务器身份验证。本示例将在服务器 Hub01 上更改此配置。
Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true
有关语法和参数的详细信息,请参阅 Set-TransportServer。
步骤 2:使用命令行为目标 Active Directory 站点的特定远程 IP 地址范围在集线器传输服务器上创建接收连接器
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“接收连接器”条目。
使用 New-ReceiveConnector cmdlet 在集线器传输服务器上创建接收连接器以用于非加密通信。本示例在具有以下配置选项的服务器 Hub01 上创建接收连接器 WAN:
RemoteIPRanges 参数设置为 10.0.2.0/24。此 IP 地址范围应对应于此接收连接器将从其接收未加密连接的远程 Active Directory 站点。如果远程站点中有多个 IP 子网,则可以输入这些子网,并用逗号隔开。
使用类型设置为“内部”。
New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal
有关语法和参数的详细信息,请参阅 New-ReceiveConnector。
还可以使用 EMC 创建接收连接器。如果选择使用 EMC,请确保创建具有以下设置的连接器:
选择“内部”作为连接器的预期用途。
指定远程 IP 地址范围(例如,前面示例中的 10.0.2.0/24)。
有关详细信息,请参阅创建 SMTP 接收连接器。
步骤 3:使用命令行禁用新接收连接器上的 X-ANONYMOUSTLS
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“接收连接器”条目。
| 注意: |
|---|
| 无法使用 EMC 执行此过程。 |
使用 Set-ReceiveConnector cmdlet 在最近创建的接收连接器上禁用 TLS。本示例在服务器 Hub01 上的接收连接器上禁用 TLS。
Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true
有关语法和参数的详细信息,请参阅 Set-ReceiveConnector。
步骤 4:使用命令行指定 WAN 连接的任一端上的 Active Directory 站点作为集线器站点
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“Active Directory 站点和站点链接管理”条目。
| 注意: |
|---|
| 无法使用 EMC 执行此过程。 |
使用 Set-AdSite cmdlet 将特定的 Active Directory 站点配置为集线器站点。需要在每个设有集线器传输服务器(参与非加密通信)的站点中执行此操作。
本示例将 Active Directory 站点“中心办公室站点 1” 配置为集线器站点。
Set-AdSite "Central Office Site 1" -HubSiteEnabled $true
有关语法和参数的详细信息,请参阅 set-AdSite。
步骤 5:使用命令行验证开销最低的路由路径是否将通过 WAN 连接
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅传输权限主题中的“Active Directory 站点和站点链接管理”条目。
| 注意: |
|---|
| 无法使用 EMC 执行此过程。 |
根据在 Active Directory 中配置 IP 站点链接开销的方式,此步骤可能不需要。需要确保部署 WOC 设备的网络链接存在于开销最低的邮件路径上。如果不是这种情况,则需要将特定于 Exchange 的开销分配给特定的 IP 站点链接以确保正确地路由邮件。若要了解有关此特定问题的详细信息,请参阅禁用 Active Directory 站点间的 TLS 以支持 WAN 优化中的“配置站点链接开销”。
本示例在 IP 站点链接“分支机构 2-分支机构 1”上配置金额为 15 的特定于 Exchange 的开销。
Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15
有关语法和参数的详细信息,请参阅 Set-AdSiteLink。
© 2010 Microsoft Corporation。保留所有权利。