应用场景:将 Exchange 配置为支持 WAN 优化控制器

  • 项目

适用于:Exchange Server 2013

在 Microsoft Exchange Server 2013 中,对于邮箱服务器之间的传输服务中的所有 SMTP 通信,传输层安全性 (TLS) 加密是必需的。 这将提高邮箱服务器之间传输服务通信的整体安全性。 但是,在使用 WAN 优化控制器 (WOC) 设备的某些拓扑中,SMTP 流量的 TLS 加密可能不可取。 对于这些特定方案,可以在邮箱服务器之间禁用 TLS 传输服务通信。

请考虑下图所示的拓扑。 此四站点拓扑的假设是,两个中央办公室站点和分支机构 2 连接良好,而中央 Office 站点 1 和分支机构 1 之间的连接通过 WAN 链接。 该公司已在此链接上安装 WOC 设备,以压缩和优化 WAN 上的流量。

WOC 设备的示例网络拓扑

使用 WAN 优化器的示例拓扑。

在此拓扑中,由于 Exchange 2013 使用 TLS 加密进行邮箱服务器之间的通信,因此无法压缩通过 WAN 链接的 SMTP 流量。 理想情况下,通过 WAN 链接的所有 SMTP 流量都应是未加密的 SMTP,同时在连接良好的站点中保留 TLS 安全性。 Exchange 2013 提供通过配置接收连接器来为站点之间的流量禁用 TLS 加密的选项。 在 Exchange 2013 中使用此功能,可以在中央 Office 站点 1 和分支机构 1 之间配置 SMTP 流量的异常,如下图所示。

首选逻辑邮件流

首选逻辑消息流。

建议的配置是将非加密 SMTP 流量限制为仅那些通过 WAN 链接传递的消息。 因此,所有站点中的邮箱服务器之间的站点内传输服务通信,以及不涉及分支机构 1 的邮箱服务器之间的跨站点传输服务通信都应全部使用 TLS 加密。

若要实现此最终结果,需要在包含 WOC 设备(示例拓扑中的中心办公室站点 1 和分支机构 1)的站点中的每个邮箱服务器上按指定的顺序执行以下操作:

  1. 启用已降级的 Exchange Server 身份验证。

  2. 创建一个专用接收连接器,以处理通过带有 WOC 设备的连接的通信。

    1. 将专用接收连接器的远程 IP 地址范围属性配置为远程 Active Directory 站点中的邮箱服务器的 IP 地址范围。

    2. 禁用专用接收连接器上的 TLS。

此外,还需要执行以下操作,以确保所有通过 WAN 的 SMTP 通信都是由您所创建的专用接收服务器来处理:

  • 将参与非 TLS 通信的 Active Directory 站点配置为中心站点,以强制所有邮件流都通过专用接收连接器(示例拓扑中的中心办公室站点 1 和分支机构站点 1)。

  • 验证 Active Directory IP 站点链接成本的配置方式是否确保在示例拓扑 (分支 Office 1 中通过具有 WOC 设备的网络链接) 远程站点的成本最低路由路径。 根据需要向 Active Directory 站点链接分配特定于 Exchange 的成本。

以下部分概述了这些步骤。 有关如何为此方案配置组织的分步说明,请参阅 禁用 Active Directory 站点之间的 TLS

降级通过禁用 TLS 的连接的身份验证

Kerberos 身份验证与 Exchange 中的 TLS 加密一起使用。 在邮箱服务器之间的传输服务通信上禁用 TLS 时,需要执行另一种形式的身份验证。 当 Exchange 2013 与运行不支持 X-ANONYMOUSTLS 的 Exchange 的其他服务器通信时,它会回退到使用通用安全服务应用程序编程接口 (GSSAPI) 身份验证。 Exchange 2013 邮箱服务器之间的所有传输服务通信都使用 X-ANONYMOUSTLS。 在邮箱服务器上配置传输服务以使用降级Exchange Server身份验证时,实际上是为与其他 Exchange 2013 邮箱服务器的传输服务通信启用 GSSAPI 身份验证。

创建并配置专用接收连接器

需要创建仅负责处理非 TLS 加密流量的接收连接器。 为此,使用单独的接收连接器可确保所有未通过 WAN 链接的流量仍受 TLS 加密的保护。

若要将专用接收连接器限制为仅通过 WAN 的流量,需要配置远程 IP 地址范围属性。 Exchange 始终使用具有最特定远程 IP 地址范围的连接器。 因此,这些新连接器将优先于配置为从任意位置接收消息的默认接收连接器。

返回到示例拓扑,假设类 C 子网 10.0.1.0/24 用于中心办公室站点 1,10.0.2.0/24 用于分支机构 1。 若打算在这两个站点之间禁用 TLS,需要执行以下操作:

  1. 在中心办公室站点 1 和分支机构 1 中的每个邮箱服务器上均创建一个名为 WAN 的接收连接器。

  2. 在中心办公室站点 1 中的每个专用接收连接器上配置 10.0.2.0/24 的远程 IP 地址范围。

  3. 在分支机构 1 中的每个专用接收连接器上配置 10.0.1.0/24 的远程 IP 地址范围。

  4. 禁用所有专用接收连接器上的 TLS。

最终结果如下图所示, (名为 WAN 的接收连接器的远程 IP 地址范围属性显示在括号) 中。 分支 Office 1 中仅显示一个邮箱服务器,为了清楚起见,将省略分支机构 2。

接收连接器配置

接收连接器配置。

配置中心站点

默认情况下,Exchange 2013 邮箱服务器将尝试直接连接到最靠近特定邮件的最终目标的邮箱服务器。 在示例拓扑中,如果分支机构 2 中的用户向分支机构 1 中的用户发送邮件,则分支机构 2 中的邮箱服务器将直接连接到分支机构 1 中的邮箱服务器以传递该邮件。 该连接将加密,因此在特定拓扑中不需要。 若要让此类邮件通过中央 Office 站点 1 上的邮箱服务器传递,从而确保在通过 WAN 链接传输时不会加密这些邮件,需要将中央 Office 站点 1 和分支机构 1 配置为中心站点。 简言之,在邮箱服务器中包含禁用 TLS 的接收连接器的任何站点都需要配置为中心站点,以便可以强制其他站点中的服务器通过该站点路由流量。 有关详细信息,请参阅配置 Active Directory 中的 Exchange 邮件路由设置

仅配置中心站点并不足以确保所有流量都通过 WAN 链接未加密。 这是因为仅当中心站点位于成本最低的路由路径中时,Exchange 才会通过中心站点路由邮件。 例如,假设示例拓扑的 IP 站点链接成本在 Active Directory 中配置,如下图所示 (为明确) 省略中央 Office 站点 2。

示例拓扑的 IP 站点链接开销

示例拓扑的 IP 站点链接成本。

在这种情况下,从分支机构 2 到通过中心站点的分支机构 1 的路径的总开销为 12 (6+6),而直接路径的开销为 10。 因此,分支机构 2 与分支机构 1 之间没有任何邮件将通过中心办公室站点 1,它们之间的所有通信仍是 TLS 加密的。

若要避免此问题,需要为分支机构 2 与分支机构 1 之间的 IP 站点链接指定一个特定于 Exchange 的成本,该成本高于 12,如下图所示。 这将确保所有邮件通过中心 Office 站点 1 和分支机构 1 之间的未加密通道。

配置了特定于 Exchange 的 IP 站点链接开销的示例拓扑

包含 Exchange 成本的示例拓扑。

有关详细信息,请参阅配置 Active Directory 中的 Exchange 邮件路由设置