Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-03-19
В системе Microsoft Exchange Server 2007 шифрование по протоколу
TLS (Transport Layer Security) является обязательным при установке
подключения по протоколу SMTP между транспортными
серверами-концентраторами. Такое шифрование повышает общую
безопасность подключения между концентраторами. Тем не менее, в
определенных топологиях, в которых используются устройства WOC (WAN
Optimization Controller), шифрование трафика SMTP по протоколу TLS
может быть нежелательно. Сервер Exchange Server 2010 поддерживает
отключение протокола TLS при установке подключения между
концентраторами для определенных сценариев.
В этом разделе содержатся пошаговые инструкции по настройке
транспортных серверов-концентраторов для отключения протокола TLS.
Дополнительные сведения об этой функции см. в разделе Отключение TLS между
сайтами Active Directory для поддержки оптимизации глобальной
сети.
Необходимы сведения о других задачах, связанных с управлением
маршрутизацией сообщений? См. раздел Управление
маршрутизацией сообщений.
 Внимание! |
| Убедитесь, что протокол TLS отключен только для подключений,
которые проходят через устройства WOC. |
Предварительные условия
- Сервер Exchange развернут на нескольких сайтах Служба каталогов
Active Directory, причем по крайней мере один сайт подключен к
другим сайтам через глобальную сеть.
- Устройства WOC развернуты для сжатия трафика SMTP через канал
глобальной сети.
- Для Exchange существует логический путь потока сообщений,
проходящий через канал глобальной сети, в котором развернуты
устройства WOC.
Шаг 1. Использование командной
консоли Exchange для настройки транспортного сервера-концентратора
для использования пониженной проверки подлинности сервера Exchange
Server
Запись «Транспортный сервер-концентратор» в
разделе Разрешения
транспорта.
 Примечание. |
| Невозможно использовать консоль управления Exchange для
выполнения этой процедуры. |
Чтобы настроить транспортный сервер-концентратор для
использования пониженной проверки подлинности сервера
Exchange Server, можно запустить командлет
Set-TransportServer. В этом примере показано, как выполнить
такое изменение конфигурации на сервере Hub01.
|
|
 Скопировать код |
Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе Set-TransportServer.
Шаг 2. Использование командной
консоли Exchange для создания соединителя получения на транспортном
сервере-концентраторе для определенного диапазона удаленных
IP-адресов целевого сайта Active Directory
Запись «Соединители получения» в разделе Разрешения
транспорта.
С помощью командлета New-ReceiveConnector можно
создать на транспортном сервере-концентраторе соединитель
получения, используемый для незашифрованного трафика. В этом
примере показано, как создать соединитель получения WAN на сервере
Hub01 со следующими параметрами конфигурации.
- Для параметра RemoteIPRanges установлено значение
10.0.2.0/24. Этот диапазон IP-адресов должен соответствовать
удаленному сайту Служба каталогов Active Directory, с которого
этот соединитель получения будет принимать незашифрованные
подключения. Если на удаленном сайте существует несколько
IP-подсетей, можно ввести их все, разделяя адреса запятыми.
- Для типа использования установлено значение Internal.
|
|
Скопировать код |
New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе New-ReceiveConnector.
Соединитель получения можно также создать с помощью
консоли управления Exchange. При создании соединителя с помощью
консоли управления Exchange необходимо установить следующие
параметры.
- Выберите значение Внутренний для предполагаемого типа
использования соединителя.
- Укажите диапазон удаленных IP-адресов (например, в предыдущем
примере — 10.0.2.0/24).
Дополнительные сведения см. в разделе Создание соединителя
получения SMTP.
Шаг 3. Использование командной
консоли Exchange для отключения расширения X-ANONYMOUSTLS на новом
соединителе получения
Запись «Соединители получения» в разделе Разрешения
транспорта.
| Примечание. |
| Невозможно использовать консоль управления Exchange для
выполнения этой процедуры. |
Для отключения протокола TLS на вновь созданном
соединителе получения используется командлет
Set-ReceiveConnector. В этом примере показано, как отключить
протокол TLS на соединителе получения WAN на сервере Hub01.
|
|
Скопировать код |
Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе Set-ReceiveConnector.
Шаг 4. Использование командной
консоли Exchange для назначения сайтов Active Directory на каждой
стороне подключения глобальной сети как сайтов концентратора
Запись «Сайт Служба каталогов Active Directory и
управление связями между сайтами» в разделе Разрешения
транспорта.
| Примечание. |
| Невозможно использовать консоль управления Exchange для
выполнения этой процедуры. |
Для настройки определенного сайта Служба каталогов
Active Directory в качестве сайта концентратора используется
командлет Set-AdSite. Необходимо запустить этот командлет на
каждом сайте, на котором расположены транспортные
серверы-концентраторы, участвующие в передаче незашифрованного
трафика.
В этом примере показано, как настроить сайт Служба
каталогов Active Directory «Сайт центрального офиса 1» как сайт
концентратора.
|
|
Скопировать код |
Set-AdSite "Central Office Site 1" -HubSiteEnabled $true
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе Set-AdSite.
Шаг 5. Использование командной
консоли Exchange для проверки прохождения пути маршрутизации с
наименьшей стоимостью через подключение глобальной сети
Запись «Сайт Служба каталогов Active Directory и
управление связями между сайтами» в разделе Разрешения
транспорта.
| Примечание. |
| Невозможно использовать консоль управления Exchange для
выполнения этой процедуры. |
В зависимости от того, как настроены стоимости связей
между IP-сайтами в службах Служба каталогов Active Directory, этот
шаг может не потребоваться. Необходимо убедиться, что сетевое
соединение с развернутыми устройствами WOC основано на пути
прохождения сообщения с наименьшей стоимостью. В противном случае
необходимо назначить определенную для Exchange стоимость для
отдельной связи между IP-сайтами, чтобы обеспечить правильную
маршрутизацию сообщений. Дополнительные сведения по этому вопросу
см. в подразделе «Настройка стоимостей связей между сайтами» в
разделе Отключение TLS между
сайтами Active Directory для поддержки оптимизации глобальной
сети.
В этом примере показано, как настроить определенное для
Exchange значение стоимости, равное 15, для связи между IP-сайтами
«Филиал 2 — Филиал 1».
|
|
Скопировать код |
Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15
|
Дополнительные сведения о синтаксисе и параметрах см. в
разделе Set-AdSiteLink.
