Deshabilitar TLS entre los sitios de Active DirectoryDisable TLS between Active Directory sites

Se aplica a: Exchange Server 2013Applies to: Exchange Server 2013

Microsoft Exchange Server 2013 permite deshabilitar TLS para la comunicación SMTP entre los servidores de buzones de ciertas topologías en las se usan dispositivos WAN Optimization Controller (WOC) que comprimen el tráfico SMTP.Microsoft Exchange Server 2013 supports disabling TLS for SMTP communication between Mailbox servers in certain topologies where WAN Optimization Controller (WOC) devices that compress SMTP traffic are used.

En este tema se dan instrucciones paso a paso sobre cómo configurar el servicio de transporte en los servidores de buzones afectados para deshabilitar TLS y garantizar que la topología de enrutamiento de Active Directory esté configurada para enrutar los mensajes correctamente. Para más información sobre este escenario, vea Caso: Configurar Exchange para que sea compatible con los controladores de optimización de la WAN.This topic provides step-by-step instructions on how to configure the Transport service in your affected Mailbox servers to disable TLS, and to ensure your Active Directory routing topology is configured to correctly route messages. To learn more about this scenario, see Scenario: Configure Exchange to support WAN Optimization Controllers.

¿Qué necesita saber antes de comenzar?What do you need to know before you begin?

  • Tiempo estimado para finalizar esta tarea:  60 minutos.Estimated time to complete this task: 60 minutes.

  • Aunque los pasos de configuración de este escenario se pueden completar con menos derechos, para completar todas las tareas del escenario de principio a fin, la cuenta debe ser miembro del grupo de funciones de administración de la organización.Even though individual configuration steps within this scenario can be accomplished with lesser rights, to complete the entire end-to-end scenario tasks, your account needs to be a member of the Organization Management role group.

  • Asegúrese de deshabilitar TLS solamente en conexiones que pasan a través de dispositivos WOC.Make sure you disable TLS only on connections that pass through WOC devices.

  • Este proceso requiere que se haya implementado Exchange 2013 en varios sitios de Active Directory y que al menos un sitio esté conectado a los otros a través de un vínculo WAN.This procedure requires that Exchange 2013 is deployed in multiple Active Directory sites, with at least one site connected to the other sites over a WAN link.

  • Este proceso requiere que los dispositivos WOC estén implementados para comprimir el tráfico SMPT a través del vínculo WAN.This procedure requires that WOC devices are deployed to compress SMTP traffic over the WAN link.

  • Este proceso requiere que exista una ruta de flujo de mensajes lógicos para que Exchange analice el vínculo WAN que tiene los dispositivos WOC implementados.This procedure requires that a logical message flow path exists for Exchange going over the WAN link that has the WOC devices deployed.

  • Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Sugerencia

¿Problemas?Having problems? Solicite ayuda en los foros de Exchange.Ask for help in the Exchange forums. Visite los foros en Exchange Server.Visit the forums at Exchange Server.

Paso 1: Usar el Shell para configurar el servicio de transporte en el servidor de buzones para usar la autenticación degradada de Exchange ServerStep 1: Use the Shell to configure the Transport service on the Mailbox server to use downgraded Exchange Server authentication

Para configurar el servicio de transporte en un servidor de buzones para usar la autenticación degradada de Exchange server, ejecute el comando siguiente:To configure the Transport service on a Mailbox server to use downgraded Exchange server authentication, run the following command:

Set-TransportService <ServerIdentity> -UseDowngradedExchangeServerAuth $true

Este ejemplo hace que esta configuración cambie en el servidor denominado Mailbox01.This example makes this configuration change on the server named Mailbox01.

Set-TransportService Mailbox01 -UseDowngradedExchangeServerAuth $true

Paso 2: Crear un conector de recepción dedicado en el servidor de buzones para el sitio de Active Directory de destinoStep 2: Create a dedicated Receive connector on the Mailbox server for the target Active Directory site

Usar la EMC para crear el conector de recepciónUse the EAC to create the Receive connector

  1. En el Centro de administración de Exchange (EAC), haga clic en Flujo de correo > Conectores de recepción y en Agregar Agregar icono.In the Exchange admin center (EAC), click Mail flow > Receive connectors, and then click Add Add Icon.

  2. En la primera página del asistente Nuevo conector de recepción, escriba los siguientes valores:On the first page of the New Receive connector wizard, enter the following values

    • Name: escriba un valor descriptivo.Name: Enter a descriptive value.

    • Tipo: InternalType: Internal

    Cuando haya terminado, haga clic en Siguiente.When you are finished, click Next.

  3. En la segunda página del asistente Nuevo conector de recepción, en la sección Configuración remota, escriba las direcciones IP o intervalos de direcciones IP del sitio de Active Directory de destino. Cuando termine, haga clic en Finalizar.On the second page of the New Receive connector wizard, in the Remote settings section, enter the IP addresses or IP address ranges for the target Active Directory site. When you are finished, click Finish.

Uso del Shell para crear el conector de recepciónUse the Shell to create the Receive connector

Para crear un conector de recepción en el servidor de buzones, ejecute el comando siguiente:To create a Receive connector on the Mailbox server, run the following command:

New-ReceiveConnector -Name <Name> -Server <ServerIdentity> -RemoteIPRanges <IPAddressRange> -Internal

En este ejemplo se crea el conector de recepción llamado WAN en el servidor Mailbox01 con la configuración siguiente:This example creates the Receive connector named WAN on server named Mailbox01 with the following settings:

  • El parámetro RemoteIPRanges se establece en 10.0.2.0/24.The RemoteIPRanges parameter is set to 10.0.2.0/24. Este intervalo de direcciones IP deberá corresponderse con el sitio de Active Directory remoto desde el que este conector de recepción recibirá conexiones no cifradas.This IP address range should correspond to the remote Active Directory site from where this Receive connector will receive unencrypted connections. Si hay más de una subred IP en el sitio remoto, puede introducirlas separadas por coma.If there's more than one IP subnet in the remote site, you can enter them all separated by commas.

  • El tipo de uso está establecido como interno.The usage type is set to Internal.

New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal

Paso 3: Usar el Shell para deshabilitar TLS en el conector de recepción dedicadoStep 3: Use the Shell to disable TLS on the dedicated Receive connector

Para deshabilitar TLS en el conector de recepción, ejecute el siguiente comando:To disable TLS on the Receive connector, run the following command:

Set-ReceiveConnector <ReceiveConnectorIdentity> -SuppressXAnonymousTLS $true

En este ejemplo se deshabilita TLS en el conector de recepción llamado WAN del servidor de buzones Mailbox01.This example disables TLS on the Receive connector named WAN on Mailbox server named Mailbox01.

Set-ReceiveConnector Mailbox01\WAN -SuppressXAnonymousTLS $true

Paso 4: Usar el Shell para designar los sitios de Active Directory como sitios de concentradoresStep 4: Use the Shell to designate the Active Directory sites as hub sites

Para designar un sitio de Active Directory como sitio de concentradores, ejecute el siguiente comando:To designate an Active Directory site as a hub site, run the following command:

Set-AdSite <ADSiteIdentity> -HubSiteEnabled $true

Debe hacer este proceso una vez en cada sitio de Active Directory que tenga servidores de buzones que participen en el tráfico no cifrado.You need to perform this procedure once in each Active Directory site that has Mailbox servers that participate in non-encrypted traffic.

En este ejemplo se configura el sitio de Active Directory denominado Central Office Site 1 como sitio de concentradores.This example configures the Active Directory site named Central Office Site 1 as a hub site.

Set-AdSite "Central Office Site 1" -HubSiteEnabled $true

Paso 5: Usar el Shell para configurar como mínimo la ruta de enrutamiento de coste a través de la conexión WANStep 5: Use the Shell to configure the least cost routing path through the WAN connection

En función de cómo estén configurados los costes de vínculos de sitios IP en Active Directory, es posible que este paso no sea necesario. Debe comprobar que el vínculo de red con los dispositivos WOC implementados está en la ruta de enrutamiento de menor coste. Para ver los costes de vínculos de sitio de Active Directory y los costes de vínculo de sitio específicos de Exchange, ejecute el comando siguiente:Depending on how the IP site link costs are configured in Active Directory, this step may not be necessary. You need to verify that the network link with the WOC devices deployed is in the leastcost routing path. To view the Active Directory site link costs, and the Exchange-specific site link costs, run the following command:

Get-AdSiteLink

Si el vínculo de red con los dispositivos WOC implementados no está en la ruta de enrutamiento de menor coste, deberá asignar un coste específico de Exchange al vínculo de sitio IP concreto para garantizar que los mensajes se enrutan correctamente. Para más información sobre este tema concreto, vea la sección "Configurar costes de vínculos de sitio de Active Directory específicos de Exchange" en Caso: Configurar Exchange para que sea compatible con los controladores de optimización de la WAN.If the network link with the WOC devices deployed isn't on the least cost routing path, you'll need to assign an Exchange-specific cost to the particular IP site link to ensure messages are routed correctly. To learn more about this particular issue, see the "Configure Exchange-specific Active Directory site link costs" section in Scenario: Configure Exchange to support WAN Optimization Controllers.

En este ejemplo se configura un coste específico de Exchange de 15 en el vínculo de sitio IP llamado Branch Office 2-Branch Office 1.This example configures an Exchange-specific cost of 15 on the IP site link named Branch Office 2-Branch Office 1.

Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15