案例：設定 Exchange 以支援 WAN 最佳化控制器

適用於：Exchange Server 2013

在 2013 Microsoft Exchange Server，信箱伺服器之間傳輸服務中的所有 SMTP 通訊都必須有傳輸層安全性 (TLS) 加密。 這會提高信箱伺服器之間傳輸服務通訊的整體安全性。 不過，在使用 WAN 優化控制器 (WOC) 裝置的特定拓撲中，可能不想要對 SMTP 流量進行 TLS 加密。 您可以針對這些特定案例，停用信箱伺服器之間的 TLS for Transport Service 通訊。

請考慮下圖所示的拓撲。 此四月臺拓撲的假設是兩個中央辦公室網站和分公司 2 連線良好，而中央 Office 網站 1 與分公司 1 之間的連線則是透過 WAN 連結。 該公司已在此連結上安裝 WOC 裝置，以壓縮和優化透過 WAN 的流量。

範例網路拓撲與 WOC 裝置

在此拓撲中，由於 Exchange 2013 使用 TLS 加密進行信箱伺服器之間的通訊，因此無法壓縮透過 WAN 連結的 SMTP 流量。 在理想情況下，透過 WAN 連結的所有 SMTP 流量都應該是未加密的 SMTP，同時在連線良好的網站中保留 TLS 安全性。 Exchange 2013 可讓您藉由設定接收連接器，來停用月臺間流量的 TLS 加密。 在 Exchange 2013 中使用這項功能，您可以設定中央 Office 網站 1 與分公司 1 之間的 SMTP 流量例外狀況，如下圖所示。

慣用的邏輯訊息流程

建議的設定是將未加密的 SMTP 流量限制為僅限通過 WAN 連結的訊息。 因此，所有月臺中信箱伺服器之間的異地傳輸服務通訊，以及不涉及分公司 1 之信箱伺服器之間的跨網站傳輸服務通訊，都應該全部加密 TLS。

為了達到這項最終結果，您需要在包含 WOC 裝置的站台中每台 Mailbox Server 上 (Central Office Site 1 和 Branch Office 1 在相同拓撲中)，以指定的順序完成下列動作：

1. 啟用降級的 Exchange Server 驗證。

2. 建立專屬的接收連接器，以處理具有 WOC 裝置之連線上的流量。

   1. 將專屬接收連接器的遠端 IP 位址範圍內容，設定成遠端 Active Directory 站台中的 Mailbox Server IP 位址範圍。

   2. 在專屬接收連接器上停用 TLS。

此外，您需要完成下列動作，以確保 WAN 上的所有 SMTP 流量由您建立的專屬接收連接器來處理：

• 設定將參與非 TLS 通訊中當作中樞站台的 Active Directory 站台，強制所有郵件流過專屬接收連接器 (Central Office Site 1 和 Branch Office Site 1 在相同拓撲中)。

• 確認 Active Directory IP 月臺連結成本的設定方式，可確保範例拓撲中遠端月臺 (分公司 1 的最小成本路由路徑) 會通過具有 WOC 裝置的網路連結。 視需要將 Exchange 特定成本指派給 Active Directory 網站連結。

下列各節提供這些步驟的概觀。 如需如何為此案例設定組織的逐步指示，請參閱 停用 Active Directory 網站之間的 TLS。

停用 TLS 之連線上的降級驗證

Kerberos 驗證會與 Exchange 中的 TLS 加密搭配使用。 當您在信箱伺服器之間的傳輸服務通訊上停用 TLS 時，您需要執行另一種形式的驗證。 當 Exchange 2013 與其他執行 Exchange 且不支援 X-ANONYMOUSTLS的伺服器通訊時，會回復為使用一般安全性服務應用程式開發介面 (GSSAPI) 驗證。 Exchange 2013 信箱伺服器之間的所有傳輸服務通訊都會使用 X-ANONYMOUSTLS。 當您在信箱伺服器上設定傳輸服務以使用降級Exchange Server驗證時，您實際上會啟用 GSSAPI 驗證，以便與其他 Exchange 2013 信箱伺服器進行傳輸服務通訊。

建立及設定專屬接收連接器

您必須建立只負責處理非 TLS 加密流量的接收連接器。 針對此目的使用個別的接收連接器，可確保所有未通過 WAN 連結的流量都會受到 TLS 加密的保護。

若要將專用的接收連接器限制為僅限透過 WAN 的流量，您必須設定遠端 IP 位址範圍屬性。 Exchange 一律會使用具有最特定遠端 IP 位址範圍的連接器。 因此，這些新的連接器會優先于設定為從任何地方接收訊息的預設接收連接器。

回到範例拓撲，該範例假設類別 C 子網路 10.0.1.0/24 用於 Central Office Site 1 且 10.0.2.0/24 用於 Branch Office 1。 若要準備在這兩個站台之間停用 TLS，您需要：

1. 在 Central Office Site 1 和 Branch Office 1 中每台 Mailbox Server 上建立名為 WAN 的接收連接器。

2. 在 Central Office Site 1 中每個專屬接收連接器上設定遠端 IP 位址範圍 10.0.2.0/24。

3. 在 Branch Office 1 中每個專屬接收連接器上設定遠端 IP 位址範圍 10.0.1.0/24。

4. 在所有專屬接收連接器上停用 TLS。

最終結果會顯示在下圖中， (在括弧) 中顯示名為 WAN 之接收連接器的遠端 IP 位址範圍屬性。 分公司 1 中只會顯示單一信箱伺服器，而為了清楚起見，會省略分公司 2。

接收連接器組態

設定中樞站台

根據預設，Exchange 2013 信箱伺服器會嘗試直接連線到最接近特定郵件最終目的地的信箱伺服器。 在範例拓撲中，如果分公司 2 中的使用者將訊息傳送給分公司 1 中的使用者，則分公司 2 中的信箱伺服器會直接連線到 Branch Office 1 中的信箱伺服器來傳遞該郵件。 該連線將會加密，因此在特定拓撲中並不需要。 若要讓這類訊息通過中央 Office 網站 1 的信箱伺服器，藉此確保這些郵件在透過 WAN 連結傳輸時不會加密，中央 Office 網站 1 和分公司 1 必須設定為中樞網站。 簡言之，您有信箱伺服器且已停用 TLS 之接收連接器的任何網站都必須設定為中樞網站，因此您可以強制其他網站中的伺服器透過該網站路由傳送流量。 如需詳細資訊，請參閱在 Active Directory 中設定 Exchange 郵件路由設定。

設定 Exchange 特定的 Active Directory 站台連結成本

單獨設定中樞網站並不足以確保所有流量都未透過 WAN 連結加密。 這是因為只有在中樞網站位於成本最低的路由路徑內時，Exchange 才會透過中樞網站路由傳送訊息。 例如，假設範例拓撲的 IP 網站連結成本是在 Active Directory 中設定，如下圖所示 (為了清楚起見，省略中央 Office 網站 2) 。

範例拓樸的 IP 站台連結成本

在此情况下，通過中樞站台之 Branch Office 2 到 Branch Office 1 的路徑總成本為 12 (6+6)，而直接路徑的成本為 10。 因此，沒有任何從 Branch Office 2 送到 Branch Office 1 的郵件會通過 Central Office Site 1，該流量也就仍然都會以 TLS 加密。

若要避免這個問題，您必須針對分公司 2 與分公司 1 之間的 IP 網站連結指定高於 12 的 Exchange 特定成本，如下圖所示。 這可確保所有訊息都會通過 Central Office 網站 1 與分公司 1 之間的未加密通道。

設定 Exchange 特定 IP 站台連結成本的範例拓撲

如需詳細資訊，請參閱在 Active Directory 中設定 Exchange 郵件路由設定。