抑制匿名 TLS 連線
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2012-07-23
在 Microsoft Exchange Server 2007 中,必須針對 Hub Transport Server 之間的所有 SMTP 通訊進行傳輸層安全 (TLS) 加密。這會提高集線對集線通訊的整體安全性。但是,在使用 WAN 最佳化控制站 (WOC) 裝置的某些拓撲中,可能不想要執行 SMTP 流量的 TLS 加密。Exchange Server 2010 支援針對這些特定案例停用集線對集線通訊的 TLS。
本主題提供如何設定 Hub Transport Server 以停用 TLS 的逐步指示。若要深入了解此功能,請參閱停用 Active Directory 站台之間的 TLS 以支援 WAN 最佳化。
要尋找與管理郵件路由相關的其他工作嗎?請參閱管理郵件路由。
.gif "注意") 注意: |
|---|
| 確認您只對通過 WOC 裝置的連線停用 TLS。 |
必要條件
Exchange 在多個 Active Directory 站台中部署,且至少有一個站台透過 WAN 連結連接到其他站台。
部署 WOC 裝置以透過 WAN 連結壓縮 SMTP 流量。
通過已部署 WOC 裝置之 WAN 連結的 Exchange,存在邏輯郵件流程路徑。
步驟 1:使用命令介面設定 Hub Transport Server 以使用降級的 Exchange Server 驗證
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱傳輸權限主題中的「Hub Transport Server」項目。
.gif "注意事項") 附註: |
|---|
| 您無法使用 EMC 來執行此程序。 |
您可以使用 Set-TransportServer 指令程式,將 Hub Transport Server 設定為使用降級的 Exchange Server 驗證。此範例會在伺服器 Hub01 上進行此組態變更。
Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true
如需詳細的語法及參數資訊,請參閱 Set-TransportServer。
步驟 2:針對目標 Active Directory 站台的特定遠端 IP 位址範圍,使用命令介面在 Hub Transport Server 上建立接收連接器
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱傳輸權限主題中的「接收連接器」項目。
您可以使用 New-ReceiveConnector 指令程式,在 Hub Transport Server 上建立接收連接器以用於未加密的流量。此範例會使用下列組態選項,在伺服器 Hub01 上建立接收連接器 WAN:
RemoteIPRanges 參數設為 10.0.2.0/24。此 IP 位址範圍應該對應至此接收連接器將從該處接收未加密連線的遠端 Active Directory 站台。如果遠端站台中有多個 IP 子網路,可以使用逗號分隔來輸入所有子網路。
用法類型設為 [內部]。
New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal
如需詳細的語法及參數資訊,請參閱 New-ReceiveConnector。
您也可以使用 EMC 來建立接收連接器。如果您選擇使用 EMC,請確認以下列設定來建立連接器:
選取 [內部] 做為連接器的預定用法。
指定遠端 IP 位址範圍 (例如,先前範例中的 10.0.2.0/24)。
如需詳細資訊,請參閱建立 SMTP 接收連接器。
步驟 3:使用命令介面在新的接收連接器上停用 X ANONYMOUSTLS
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱傳輸權限主題中的「接收連接器」項目。
| 附註: |
|---|
| 您無法使用 EMC 來執行此程序。 |
您可以使用 Set-ReceiveConnector 指令程式,在新建立的接收連接器上停用 TLS。此範例會在伺服器 Hub01 上停用接收連接器 WAN 上的 TLS。
Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true
如需詳細的語法及參數資訊,請參閱 Set-ReceiveConnector。
步驟 4:使用命令介面在 WAN 連線的任一端將 Active Directory 站台指定為中樞站台
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱傳輸權限主題中的「Active Directory 站台及站台連結管理」項目。
| 附註: |
|---|
| 您無法使用 EMC 來執行此程序。 |
您可以使用 Set-AdSite 指令程式,將特定 Active Directory 站台指定為中樞站台。在每個具有參與未加密流量之 Hub Transport Server 的站台上,都需要執行此動作一次。
此範例會將 Active Directory 站台 Central Office Site 1 設定為中樞站台。
Set-AdSite "Central Office Site 1" -HubSiteEnabled $true
如需詳細的語法及參數資訊,請參閱 set-AdSite。
步驟 5:使用命令介面來驗證最低成本的路由路徑通過 WAN 連線
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱傳輸權限主題中的「Active Directory 站台及站台連結管理」項目。
| 附註: |
|---|
| 您無法使用 EMC 來執行此程序。 |
根據 IP 站台連結成本在 Active Directory 中的設定方式而定,可能並不需要此步驟。您需要確認部署了 WOC 裝置的網路連結位於最低成本郵件路徑上。若不是如此,則需要將 Exchange 特定成本指派到特定 IP 站台連結,以確保正確地路由傳送郵件。若要深入了解此特定問題,請參閱停用 Active Directory 站台之間的 TLS 以支援 WAN 最佳化中的「設定站台連結成本」。
此範例會在 IP 站台連結 Branch Office 2-Branch Office 1 上設定 15 的 Exchange 特定成本。
Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15
如需詳細的語法及參數資訊,請參閱 Set-AdSiteLink。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。