禁用 Active Directory 站点间的 TLS 以支持 WAN 优化
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2009-12-01
在 Microsoft Exchange Server 2007 中,传输层安全性 (TLS) 加密对于集线器传输服务器之间的所有 SMTP 通信都是强制性的。这将强化集线器到集线器通信的总体安全性。但在某些使用 WAN 优化控制器 (WOC) 设备的拓扑中,可能不需要 SMTP 通信的 TLS 加密。Exchange Server 2010 支持为这些特定方案禁用集线器到集线器通信的 TLS。
考虑下图显示的拓扑。此四站点拓扑的前提是两个中心办公室站点和分支机构 2 的连接状态良好,而中心办公室站点 1 和分支机构 1 之间的连接是通过 WAN 链接的。公司已经在此链接上安装 WOC 设备以压缩并优化通过 WAN 的通信。
带 WOC 设备的示例网络拓扑
在此拓扑中,因为 Exchange 2010 对集线器传输服务器之间的通信使用 TLS 加密,所以无法压缩通过 WAN 链接的 SMTP 通信。理想情况下,所有通过 WAN 链接的 SMTP 通信都应当是不加密的 SMTP,并在连接良好的站点中保留 TLS 安全。通过配置接收连接器,Exchange 2010 允许对站点间的通信禁用 TLS 加密。在 Exchange 2010 中使用此功能,可以在中心办公室站点 1 和分支机构 1 之间配置 SMTP 通信的异常情况,如下图所示。
首选逻辑邮件流
建议的配置是将不加密的 SMTP 通信仅限于那些通过 WAN 链接的邮件。因此,所有站点中的站点内集线器到集线器通信以及不涉及分支机构 1 的跨站点集线器到集线器通信都应当是 TLS 加密的。
若要实现此最终结果,需要在包含 WOC 设备(示例拓扑中的中心办公室站点 1 和分支机构 1)的站点中的每个集线器传输服务器上按一定的顺序执行以下操作:
启用降级的 Exchange 服务器身份验证。
创建接收连接器以处理通过带 WOC 设备的连接的通信。
将新接收连接器的远程 IP 地址范围属性配置为远程站点中集线器传输服务器的 IP 地址范围。
禁用新接收连接器上的 TLS。
此外,还需要执行以下操作来确保所有通过 WAN 的 SMTP 通信都是由所创建的新接收连接器处理的:
将参与非 TLS 通信的站点配置为集线器站点,以强制所有邮件流都通过新接收连接器(示例拓扑中的中心办公室站点 1 和分支机构 1)。
验证 IP 站点链接开销的配置方式是否能确保是开销最低的远程站点(示例拓扑中的分支机构 1)路由路径通过带 WOC 设备的网络链接。
下面的部分将概述每个步骤。有关如何将集线器传输服务器配置为禁用 TLS 的分步说明,请参阅禁止匿名 TLS 连接。
若要了解与管理传输服务器相关的管理任务,请参阅管理传输服务器。
目录
降级通过禁用 TLS 的连接的身份验证
创建和配置接收连接器
创建集线器站点
配置站点链接开销
降级通过禁用 TLS 的连接的身份验证
Kerberos 身份验证可用于 Exchange 中的 TLS 加密。在集线器到集线器通信上禁用 TLS 时,需要执行另一种形式的身份验证。Exchange 2010 与运行不支持 X-ANONYMOUSTLS 的 Exchange 的其他服务器通信时(如 Exchange Server 2003 服务器),它将退回到使用 GSSAPI(通用安全服务应用程序编程接口)身份验证。Exchange 2010 集线器传输服务器之间的所有通信都使用 X-ANONYMOUSTLS。通过将集线器传输服务器配置为使用降级的 Exchange 服务器身份验证,配置集线器传输服务器,实际上能确保它在与其他 Exchange 2010 集线器传输服务器通信时使用 GSSAPI。
返回顶部
创建和配置接收连接器
需要创建将单独负责处理非 TLS 加密的通信的接收连接器。将单独接收连接器用于此目的是为了确保未通过 WAN 链接的所有通信能受到 TLS 加密的保护。
若要将新接收连接器仅限于通过 WAN 的通信,则需要配置远程 IP 地址范围属性。Exchange 总是使用具有最特定的远程 IP 地址范围的连接器。因此,在将连接器配置为接收任何地方的消息时,这些新连接器将比默认的接收连接器优先。
返回到示例拓扑,假设类 C 子网 10.0.1.0/24 用于中心办公室站点 1,10.0.2.0/24 用于分支机构 1。若打算在这两个站点之间禁用 TLS,需要执行以下操作:
在中心办公室站点 1 和分支机构 1 中的每个集线器传输服务器上创建接收连接器(称为 WAN)。
在中心办公室站点 1 中的每个新接收连接器上配置 10.0.2.0/24 的远程 IP 地址范围。
在分支机构 1 中的每个新接收连接器上配置 10.0.1.0/24 的远程 IP 地址范围。
禁用所有新接收连接器上的 TLS。
最终结果如下图所示(WAN 接收连接器的远程 IP 地址范围属性在圆括号中显示)。仅在分支机构 1 中显示单个集线器传输服务器,并且为清晰起见,忽略分支机构 2。
接收连接器配置
返回顶部
创建集线器站点
默认情况下,Exchange 2010 集线器传输服务器将尝试直接连接到离特定邮件最终目标最近的集线器传输服务器。在示例拓扑中,如果分支机构 2 中的用户向分支机构 1 中的用户发送邮件,则分支机构 2 中的集线器传输服务器将直接连接到发送该邮件的分支机构 1 中的集线器传输服务器。系统将对该连接进行加密,因此在特定拓扑中不需要该连接。若要使这样的邮件通过中心办公室 1 中的集线器传输服务器,从而确保它们在通过 WAN 链接传送时不进行加密,则中心办公室 1 和分支机构 1 都需要配置为集线器站点。总之,如果任何站点都在带接收连接器的集线器传输服务器上禁用 TLS,则需要将这些站点配置为集线器站点,这样才可以强制其他站点中的服务器路由通过该站点的通信。有关集线器站点的详细信息,请参阅了解邮件路由中的“实现集线器站点”。
返回顶部
配置站点链接开销
单独配置集线器站点不足以确保所有通过 WAN 链接的通信都未加密。这是因为只有开销最低的路由路径中设有集线器站点,Exchange 才通过集线器站点路由邮件。例如,假设按下图所示在 Active Directory 中配置我们示例拓扑的 IP 站点链接开销(为清晰起见,忽略中心办公室站点 2)。
示例拓扑的 IP 站点链接开销
在这种情况下,从分支机构 2 到通过集线器站点的分支机构 1 的路径的总开销为 12 (6+6),而直接路径的开销为 10。因此,分支机构 2 与分支机构 1 之间没有任何邮件将通过中心办公室站点 1,它们之间的所有通信仍是 TLS 加密的。
若要避免此问题,需要为分支机构 2 和分支机构 1 之间的 IP 站点链接指定一个高于 12 且特定于 Exchange 的开销,如下图所示。这将确保中心办公室站点 1 和分支机构 1 之间的所有邮件都通过未加密通道。
以特定于 Exchange IP 站点链接开销配置的示例拓扑
有关配置特定于 Exchange IP 站点链接开销的详细信息,请参阅了解邮件路由中的“控制 IP 站点链接开销”。
返回顶部
© 2010 Microsoft Corporation。保留所有权利。