Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2009-12-01
В системе Microsoft Exchange Server 2007 шифрование по протоколу TLS (Transport Layer Security) является обязательным при установке подключения по протоколу SMTP между транспортными серверами-концентраторами. Такое шифрование повышает общую безопасность подключения между концентраторами. Тем не менее, в определенных топологиях, в которых используются устройства WOC (WAN Optimization Controller), шифрование трафика SMTP по протоколу TLS может быть нежелательно. Сервер Exchange Server 2010 поддерживает отключение протокола TLS при установке подключения между концентраторами для определенных сценариев.
Рекомендуется использовать топологию, показанную на следующем рисунке. В этой топологии четырех сайтов предполагается, что два сайта центральных офисов и филиал 2 имеют хорошее соединение, в то время как между сайтом центрального офиса 1 и филиалом 1 подключение осуществляется через канал глобальной сети. На предприятии для этого канала установлены устройства WOC для сжатия трафика через глобальную сеть.
В этой топологии, так как на сервере Exchange 2010 для связи с транспортными серверами-концентраторами используется шифрование TLS, трафик SMTP, проходящий по каналу глобальной сети, не может быть сжат. В идеальном случае весь трафик SMTP, проходящий по каналу глобальной сети, не должен быть зашифрован по протоколу SMTP, при этом должна сохраняться безопасность TLS на узлах с надежным соединением. Сервер Exchange 2010 предоставляет возможность отключения шифрования TLS для трафика между узлами путем настройки соединителей получения. Используя эту возможность в Exchange 2010 можно настроить исключение для трафика SMTP между сайтом центрального офиса 1 и филиалом 1, как показано на следующем рисунке.
Рекомендуемой настройкой является ограничение незашифрованного трафика SMTP только для сообщений, проходящих по каналу глобальной сети. Поэтому внутренний трафик от узла к узлу на всех сайтах и подключения от узла к узлу между сайтами, не включая филиал 1, должны быть зашифрованы по протоколу TLS.
Для достижения этого результата необходимо выполнить следующие действия в указанном порядке на каждом транспортном сервере-концентраторе на сайтах, которые содержат устройства WOC (сайт центрального офиса 1 и филиал 1 в примерной топологии).
- Включить пониженную проверку подлинности сервера
Exchange Server.
- Создать соединитель получения для обработки трафика через
подключение с устройствами WOC.
- Настроить свойство диапазона удаленных IP-адресов нового
соединителя получения на диапазоны IP-адресов транспортных
серверов-концентраторов на удаленном сайте.
- Отключить TLS на новом соединителе получения.
Кроме того, необходимо выполнить следующие действия для обработки всего трафика SMTP, проходящего через глобальную сеть, созданными соединителями получения.
- Настройте сайты, которые будут участвовать в передаче данных
без протокола TLS, в качестве концентраторов, чтобы сообщения
проходили через новые соединители получения (сайт центрального
офиса 1 и сайт филиала 1 в примерной топологии).
- Проверьте, чтобы стоимости связи IP-сайтов были настроены таким
образом, чтобы путь маршрутизации наименьшей стоимости к удаленному
сайту (филиал 1 в примерной топологии) проходил через сетевое
соединение с устройствами WOC.
В следующих разделах содержится описание каждого из этих действий. Пошаговые инструкции по настройке транспортных серверов-концентраторов для отключения протокола TLS см. в разделе Подавление анонимных TLS-соединений.
Необходимы сведения о задачах управления, связанных с управлением транспортными серверами? См. раздел Управление транспортными серверами.
Содержание
Пониженная проверка подлинности через соединения с отключенным TLS
Создание и настройка соединителей получения
Настройка стоимостей связи сайтов
Пониженная проверка подлинности через соединения с отключенным TLS
Проверка подлинности Kerberos используется в Exchange с шифрованием по протоколу TLS. При отключении TLS при связи транспортных серверов-концентраторов необходимо выполнить другую форму проверки подлинности. Если Exchange 2010 взаимодействует с другими серверами, работающими под управлением Exchange, не поддерживающих X-ANONYMOUSTLS, например серверы Exchange Server 2003, он переходит к использованию проверки подлинности GSSAPI (Generic Security Services Application Programming Interface). Для всех взаимодействий между транспортными серверами-концентраторами Exchange 2010 используется X-ANONYMOUSTLS. Настроив транспортный сервер-концентратор на использование пониженной проверки подлинности сервера Exchange Server, можно использовать GSSAPI при соединении с другими транспортными серверами-концентраторами Exchange 2010.
Создание и настройка соединителей получения
Необходимо создать соединители получения, которые будут ответственны исключительно за обработку трафика, не зашифрованного по протоколу TLS. Использование в этих целях отдельных соединителей получения гарантирует, что весь трафик, который не проходит по каналу глобальной сети, остается защищенным с помощью шифрования TLS.
Чтобы поставить для новых соединителей получения ограничение на обработку только трафика, проходящего через глобальную сеть, необходимо правильно настроить диапазон удаленных IP-адресов. В Exchange всегда используется соединитель с наиболее подходящим диапазоном удаленных IP-адресов. Таким образом, эти новые соединители будут использоваться вместо соединителей получения по умолчанию, настроенных на получение сообщений из любого места.
Возвращаясь к примерной топологии, предположим, что подсеть 10.0.1.0/24 класса C используется для сайта центрального офиса 1, а 10.0.2.0/24 используется для филиала 1. Чтобы подготовиться к отключению TLS между этими двумя сайтами, необходимо:
- создать соединитель получения (с именем WAN) на каждом
транспортном сервере-концентраторе сайта центрального офиса 1
и филиала 1;
- настроить диапазон удаленных IP-адресов 10.0.2.0/24 для каждого
нового соединителя получения на сайте центрального
офиса 1;
- настроить диапазон удаленных IP-адресов 10.0.1.0/24 для каждого
нового соединителя получения в филиале 1;
- отключить TLS на всех новых соединителях получения.
Конечный результат показан на следующем рисунке (в скобках показано свойство диапазона удаленных IP-адресов соединителей получения глобальной сети). В филиале 1 изображен один транспортный сервер-концентратор, а филиал 2 для ясности не указан.
Создание узлов концентратора
По умолчанию транспортный сервер-концентратор Exchange 2010 попытается установить прямое подключение к транспортному серверу-концентратору, ближайшему к конечному назначению определенного сообщения. В примерной топологии если пользователь в филиале 2 отправляет сообщение пользователю в филиале 1, транспортный сервер-концентратор в филиале 2 напрямую соединиться с транспортным сервером-концентратором в филиале 1 для доставки этого сообщения. Это соединение будет зашифровано, и поэтому оно не желательно в этой конкретной топологии. Чтобы такие сообщения проходили через транспортные серверы-концентраторы на сайте центрального офиса 1 и при этом не были зашифрованы при пересылке по каналу глобальной сети, необходимо настроить сайт центрального офиса 1 и филиал 1 в качестве концентраторов. Иными словами, любой сайт, на котором есть транспортный сервер-концентратор с соединителем получения с отключенным TLS, необходимо настроить в качестве концентратора, чтобы серверы других сайтов передавали трафик через этот сайт. Дополнительные сведения о концентраторах см. в подразделе «Внедрение концентраторов» раздела Общие сведения о маршрутизации сообщений.
Настройка стоимостей связи сайтов
Сама по себе настройка концентраторов не гарантирует, что весь трафик не будет зашифрован при передаче по каналу глобальной сети. Это потому, что Exchange будет направлять сообщения через концентраторы, только если концентратор находится в пределах пути маршрутизации наименьшей стоимости. Например, предположим, что стоимости связи IP-сайтов для примерной топологии настроены в Служба каталогов Active Directory, как показано на следующем рисунке (сайт центрального офиса 2 не указан для ясности).
В этом случае путь от филиала 2 до филиала 1, который проходит через концентратор, имеет общую стоимость 12 (6+6), в то время как стоимость прямого пути — 10. Таким образом, ни одно сообщение из филиала 2 в филиал 1 не пройдет через сайт центрального офиса 1 и весь трафик останется зашифрованным TLS.
Чтобы избежать подобных проблем, необходимо обозначить определенное для Exchange значение стоимости выше 12 для связи IP-сайтов «Филиал 2 — Филиал 1», как показано на следующем рисунке. Это гарантирует, что все сообщения будут проходить через незашифрованный канал между сайтом центрального офиса 1 и филиалом 1.
Дополнительные сведения о настройке стоимостей связи IP-сайтов, характерных для Exchange см. в подразделе «Управление стоимостями связи IP-сайтов» раздела Общие сведения о маршрутизации сообщений.