方案:将 Exchange 配置为支持 WAN 优化控制器

 

适用于:Exchange Server 2013

上一次修改主题:2012-09-28

在 Microsoft Exchange Server 2013 中,传输层安全性 (TLS) 加密对于邮箱服务器之间的传输服务中的所有 SMTP 通信都是强制性的。这将强化邮箱服务器之间的传输服务通信的整体安全性。但是,在某些使用 WAN 优化控制器 (WOC) 设备的拓扑中,可能不需要 SMTP 通信的 TLS 加密。可以针对这些特定情况,禁用邮箱服务器之间的传输服务通信的 TLS。

请考虑下图中所示的拓扑。此四站点拓扑的前提假设是两个中心办公室站点和分支机构 2 的连接状态良好,而中心办公室站点 1 和分支机构 1 之间的连接是通过 WAN 链接的。公司已经在此链接上安装 WOC 设备以压缩并优化通过 WAN 的通信。

WOC 设备的示例网络拓扑

带有 WAN 优化程序的示例拓扑

在此拓扑中,由于 Exchange 2013 对邮箱服务器之间的通信使用 TLS 加密,因此无法压缩通过 WAN 链接的 SMTP 通信。理想情况下,所有通过 WAN 链接的 SMTP 通信都应当是不加密的 SMTP,并在连接良好的站点中保留 TLS 安全。通过配置接收连接器,Exchange 2013 允许对站点之间的通信禁用 TLS 加密。在 Exchange 2013 中使用此功能,可以在中心办公室站点 1 和分支机构 1 之间配置 SMTP 通信的例外情况,如下图中所示。

首选逻辑邮件流

首选逻辑邮件流

建议的配置是将不加密的 SMTP 通信仅限于那些通过 WAN 链接的邮件。因此,所有站点中的邮箱服务器之间的站点内传输服务通信,以及不涉及分支机构 1 的邮箱服务器之间的跨站点传输服务通信,都应当是 TLS 加密的。

若要实现此最终结果,需要在包含 WOC 设备(示例拓扑中的中心办公室站点 1 和分支机构 1)的站点中的每个邮箱服务器上按指定的顺序执行以下操作:

  1. 启用已降级的 Exchange Server 身份验证。

  2. 创建一个专用接收连接器,以处理通过带有 WOC 设备的连接的通信。

    1. 将专用接收连接器的远程 IP 地址范围属性配置为远程 Active Directory 站点中的邮箱服务器的 IP 地址范围。

    2. 禁用专用接收连接器上的 TLS。

此外,还需要执行以下操作,以确保所有通过 WAN 的 SMTP 通信都是由您所创建的专用接收服务器来处理:

  • 将参与非 TLS 通信的 Active Directory 站点配置为中心站点,以强制所有邮件流都通过专用接收连接器(示例拓扑中的中心办公室站点 1 和分支机构站点 1)。

  • 验证 Active Directory IP 站点链接开销的配置方式是否能确保是开销最低的远程站点(示例拓扑中的分支机构 1)路由路径通过带有 WOC 设备的网络链接。根据需要为 Active Directory 站点链接分配特定于 Exchange 的开销。

下面的部分概述了这些步骤。有关如何根据此方案对组织进行配置的分布说明,请参阅在 Active Directory 站点之间禁用 TLS

目录

降级通过禁用 TLS 的连接的身份验证

创建并配置专用接收连接器

配置中心站点

配置特定于 Exchange 的 Active Directory 站点链接开销

在 Exchange 中,Kerberos 身份验证可与 TLS 加密一起使用。在邮箱服务器之间的传输服务通信上禁用 TLS 时,您需要进行另一种形式的身份验证。在 Exchange 2013 与运行不支持 X-ANONYMOUSTLS 的 Exchange 的其他服务器通信时,它将退回到使用通用安全服务应用程序编程接口 (GSSAPI) 身份验证。Exchange 2013 邮箱服务器之间的所有传输服务通信都使用 X-ANONYMOUSTLS。在将邮箱服务器上的传输服务配置为使用降级的 Exchange Server 身份验证时,实际上可以确保传输服务在与其他 Exchange 2013 邮箱服务器通信时使用 GSSAPI 身份验证。

返回顶部

需要创建将单独负责处理非 TLS 加密的通信的接收连接器。将单独接收连接器用于此目的是为了确保未通过 WAN 链接的所有通信能受到 TLS 加密的保护。

若要将专用接收连接器仅限于通过 WAN 的通信,则需要配置远程 IP 地址范围属性。Exchange 始终使用具有最特定的远程 IP 地址范围的连接器。因此,在将连接器配置为接收任何地方的消息时,这些新连接器将会优先于默认的接收连接器。

返回到示例拓扑,假设类 C 子网 10.0.1.0/24 用于中心办公室站点 1,10.0.2.0/24 用于分支机构 1。若打算在这两个站点之间禁用 TLS,需要执行以下操作:

  1. 在中心办公室站点 1 和分支机构 1 中的每个邮箱服务器上均创建一个名为 WAN 的接收连接器。

  2. 在中心办公室站点 1 中的每个专用接收连接器上配置 10.0.2.0/24 的远程 IP 地址范围。

  3. 在分支机构 1 中的每个专用接收连接器上配置 10.0.1.0/24 的远程 IP 地址范围。

  4. 禁用所有专用接收连接器上的 TLS。

下图中显示了最终结果(名为 WAN 的接收连接器的远程 IP 地址范围属性在圆括号中显示)。分支机构 1 中仅显示单个邮箱服务器,并且为清晰起见,省略了分支机构 2。

接收连接器配置

接收连接器配置

返回顶部

默认情况下,Exchange 2013 邮箱服务器将会尝试直接连接到离特定邮件的最终目标最近的邮箱服务器。在示例拓扑中,如果分支机构 2 中的用户向分支机构 1 中的用户发送邮件,则分支机构 2 中的邮箱服务器将会直接连接到分支机构 1 中的邮箱服务器,以传递该邮件。系统将对该连接进行加密,因此在特定拓扑中不需要该连接。若要使此类邮件通过中心办公室站点 1 上的邮箱服务器,从而确保邮件不会在通过 WAN 链接传送时进行加密,则中心办公室站点 1 和分支机构 1 都需要配置为中心站点。简而言之,拥有带有禁用了 TLS 的接收连接器的邮箱服务器的任何站点,都需要配置为中心站点,以便强制其他站点中的服务器路由通过该站点的通信。有关详细信息,请参阅配置 Active Directory 中的 Exchange 邮件路由设置

返回顶部

单独配置中心站点不足以确保所有通过 WAN 链接的通信都未加密。这是因为,只有开销最低的路由路径中设有中心站点,Exchange 才会通过中心站点路由邮件。例如,假设按下图所示在 Active Directory 中配置我们示例拓扑的 IP 站点链接开销(为清晰起见,忽略中心办公室站点 2)。

示例拓扑的 IP 站点链接开销

示例拓扑的 IP 站点链接成本

在这种情况下,从分支机构 2 到通过中心站点的分支机构 1 的路径的总开销为 12 (6+6),而直接路径的开销为 10。因此,分支机构 2 与分支机构 1 之间没有任何邮件将通过中心办公室站点 1,它们之间的所有通信仍是 TLS 加密的。

若要避免此问题,需要为分支机构 2 和分支机构 1 之间的 IP 站点链接分配一个高于 12 且特定于 Exchange 的开销,如下图中所示。这将确保中心办公室站点 1 和分支机构 1 之间的所有邮件都通过未加密通道。

配置了特定于 Exchange 的 IP 站点链接开销的示例拓扑

带有 Exchange 成本的示例拓扑

有关详细信息,请参阅配置 Active Directory 中的 Exchange 邮件路由设置

返回顶部

 
显示: