Escenario: Configurar Exchange para que sea compatible con los controladores de optimización de la WANScenario: Configure Exchange to support WAN Optimization Controllers

Se aplica a: Exchange Server 2013Applies to: Exchange Server 2013

En Microsoft Exchange Server 2013, el cifrado Seguridad de la capa de transporte (TLS) es obligatorio para todas las comunicaciones SMTP del servicio de transporte entre servidores de buzones. Esto aumenta la seguridad general de la comunicación del servicio de transporte entre los servidores de buzones. No obstante, en ciertas topologías en las que se usan controladores de optimización de WAN (WOC), el cifrado TLS del tráfico SMTP puede ser indeseable. Puede deshabilitar TLS para la comunicación del servicio de transporte entre los servidores de buzones para estos escenarios concretos.In Microsoft Exchange Server 2013, Transport Layer Security (TLS) encryption is mandatory for all SMTP communication in the Transport service between Mailbox servers. This increases overall security of Transport service communication between Mailbox servers. However, in certain topologies where WAN Optimization Controller (WOC) devices are used, the TLS encryption of SMTP traffic may be undesirable. You can disable TLS for Transport service communication between Mailbox servers for these specific scenarios.

Tenga en cuenta la topología en la siguiente ilustración. El supuesto para esta topología de cuatro sitios es que los sitios de las dos oficinas centrales y la sucursal 2 están bien conectadas, mientras que la conexión entre el sitio de la oficina central 1 y la sucursal 1 es a través de un vínculo WAN. La compañía ha instalado dispositivos WOC en este vínculo para comprimir y optimizar el tráfico a través de WAN.Consider the topology shown in the following figure. The assumption for this four-site topology is that the two central office sites and Branch Office 2 are well-connected, whereas the connection between Central Office Site 1 and Branch Office 1 is over a WAN link. The company has installed WOC devices on this link to compress and optimize traffic over the WAN.

Topología de red de muestra con dispositivos WOCSample network topology with WOC devices

Topología de muestras con optimizadores WANSample topology with WAN optimizers

En esta topología, como Exchange 2013 usa el cifrado TLS para la comunicación entre servidores de buzones, el tráfico SMTP que analiza el vínculo WAN no puede comprimirse.In this topology, because Exchange 2013 uses TLS encryption for communication between Mailbox servers, the SMTP traffic that goes over the WAN link can't be compressed. Lo ideal es que todo el tráfico SMTP que analizan el vínculo WAN sean SMTP no cifrado y que se mantenga la seguridad TLS dentro de sitios bien conectados.Ideally, all SMTP traffic that goes over the WAN link should be unencrypted SMTP, while retaining TLS security within well-connected sites. Exchange 2013 le da opción de deshabilitar el cifrado TLS para el tráfico transmitido entre sitios configurando los conectores de recepción.Exchange 2013 gives you the option to disable TLS encryption for traffic between sites by configuring Receive connectors. Al usar esta función en Exchange 2013, puede configurar una excepción para el tráfico SMTP entre el sitio de la oficina central 1 y la sucursal 1, tal como aparece en la imagen siguiente.Using this ability in Exchange 2013, you can configure an exception to the SMTP traffic between Central Office Site 1 and Branch Office 1, as shown in the following figure.

Flujo de mensaje lógico preferidoPreferred logical message flow

Flujo de mensaje lógico preferidoPreferred logical message flow

La configuración recomendada es limitar el tráfico SMTP no cifrado solamente a los mensajes que pasan a través del vínculo WAN. Por tanto, la comunicación del servicio de transporte entre sitios entre los servidores de buzones de todos los sitios, así como toda la comunicación del servicio de transporte de sitio cruzado entre los servidores de buzones que no incluyan la sucursal 1 debe estar cifradas por TSL.The recommended configuration is to limit the non-encrypted SMTP traffic to only those messages that pass over the WAN link. Therefore, the intrasite Transport service communication between Mailbox servers in all sites, and the cross-site Transport service communication between Mailbox servers that don't involve Branch Office 1 should all be TLS encrypted.

Para conseguir este resultado, debe hacer las acciones siguientes, en el orden especificado, en cada servidor de buzones de los sitios que contienen los dispositivos WOC (el sitio de la oficina central 1 y la sucursal 1 en la topología de muestra):To achieve this end result, you need to do the following actions, in the specified order, on every Mailbox server in the sites that contain the WOC devices (Central Office Site 1 and Branch Office 1 in the sample topology):

  1. Habilite la autenticación degradada de Exchange Server.Enable downgraded Exchange Server authentication.

  2. Cree un conector de recepción dedicado para administrar el tráfico a través de la conexión que contiene dispositivos WOC.Create a dedicated Receive connector to handle the traffic over the connection that has WOC devices.

    1. Configure la propiedad del intervalo de direcciones IP remotas del conector de recepción dedicado a los intervalos de direcciones IP de los servidores de buzones del sitio de Active Directory remoto.Configure the remote IP address range property of the dedicated Receive connector to the IP address ranges of the Mailbox servers in the remote Active Directory site.

    2. Deshabilite TLS en el conector de recepción dedicado.Disable TLS on the dedicated Receive connector.

Además, deberá realizar las siguientes acciones para garantizar que todo el tráfico SMTP transmitido a través de WAN lo administren los conectores de recepción dedicados que ha creado:In addition, you need to do the following actions to ensure all SMTP traffic over the WAN is handled by the dedicated Receive connectors you created:

  • Configure los sitios de Active Directory que participarán en la comunicación que no es TLS como sitios de concentradores para forzar que todos los mensajes fluyan a través de los conectores de recepción dedicados (el sitio de la oficina central 1 y la sucursal 1 de la topología de muestra).Configure the Active Directory sites that will participate in the non-TLS communication as hub sites to force all message flow through the dedicated Receive connectors (Central Office Site 1 and Branch Office Site 1 in the sample topology).

  • Compruebe que los costes de vínculo de sitio IP de Active Directory estén configurados de tal forma que garanticen que la ruta de enrutamiento de menor coste para su sitio remoto (la sucursal 1 en la topología de muestra) vaya a través del vínculo de red que tiene los dispositivos WOC. Asigne un coste específico de Exchange a los vínculos de sitio de Active Directory como convenga.Verify that the Active Directory IP site link costs are configured in a way that ensures the least cost routing path to your remote site (Branch Office 1 in the sample topology) goes through the network link that has the WOC devices. Assign an Exchange-specific cost to the Active Directory site links as necessary.

En la siguiente sección se da información general sobre estos pasos. Para leer instrucciones paso a paso sobre cómo configurar la organización para este escenario, vea Deshabilitar TLS entre sitios de Active Directory.The following sections provide an overview of these steps. For step-by-step instructions on how to configure your organization for this scenario, see Disable TLS between Active Directory sites.

Degradar la autenticación a través de conexiones con TLS deshabilitadaDowngrade authentication over TLS-disabled connections

La autenticación Kerberos se usa con el cifrado TLS en Exchange. Al deshabilitar TLS en la comunicación del servicio de transporte entre los servidores de buzones, deberá usar otra forma de autenticación. Cuando Exchange 2013 se comunica con otros servidores que ejecutan Exchange y que no son compatibles con X-ANONYMOUSTLS, se degrada para usar la autenticación Generic Security Services Application Programming Interface (GSSAPI). Todas las comunicaciones del servicio de transporte entre los servidores de buzones de Exchange 2013 usan X-ANONYMOUSTLS. Al configurar el servicio de transporte en su servidor de buzones para usar la autenticación degradada de Exchange Server, en realidad está habilitando la autenticación GSSAPI para la comunicación del servicio de transporte con otros servidores de buzones de Exchange 2013.Kerberos authentication is used with TLS encryption in Exchange. When you disable TLS on the Transport service communication between Mailbox servers, you need to perform another form of authentication. When Exchange 2013 communicates with other servers running Exchange that don't support X-ANONYMOUSTLS, it falls back to using Generic Security Services Application Programming Interface (GSSAPI) authentication. All Transport service communications between Exchange 2013 Mailbox servers use X-ANONYMOUSTLS. When you configure the Transport service on your Mailbox server to use downgraded Exchange Server authentication, you are in effect enabling GSSAPI authentication for Transport service communication with other Exchange 2013 Mailbox servers.

Crear y configurar conectores de recepción dedicadosCreate and configure dedicated Receive connectors

Debe crear conectores de recepción que solamente sean responsables de manejar el tráfico cifrado que no sea TLS. Al usar conectores de recepción diferentes para este propósito se asegura de que todo el tráfico que no pase a través del vínculo WAN continúe protegido por el cifrado TLS.You need to create Receive connectors that will solely be responsible for handling the non-TLS encrypted traffic. Using separate Receive connectors for this purpose ensures that all traffic that doesn't pass through the WAN link remains protected by TLS encryption.

Para restringir los conectores de recepción dedicados a únicamente el tráfico a través de la WAN, hay que configurar la propiedad de intervalo de direcciones IP remotas. Exchange siempre usa el conector con el intervalo de direcciones IP remotas más específico. Por lo tanto, son preferibles estos conectores nuevos en lugar del conector de recepción predeterminado configurado para recibir mensajes desde cualquier parte.To restrict the dedicated Receive connectors to only the traffic over the WAN, you need to configure the remote IP address range property. Exchange always uses the connector with the most specific remote IP address range. Therefore, these new connectors will be preferred over the default Receive connector configured to receive messages from anywhere.

Volviendo a la topología de muestra, suponga que la subred de clase C, 10.0.1.0/24, se usa para el sitio de la oficina central 1 y que 10.0.2.0/24 se usa para la sucursal 1. Para preparar la deshabilitación de TLS entre estos dos sitios, debe:Going back to the sample topology, assume that the class C subnet 10.0.1.0/24 is used for the Central Office Site 1 and 10.0.2.0/24 is used for the Branch Office 1. To prepare for disabling TLS between these two sites, you need to:

  1. Cree un conector de recepción denominado WAN en cada servidor de buzones de correo en el sitio de la oficina central 1 y en la sucursal 1.Create a Receive connector named WAN on each Mailbox server in Central Office Site 1 and Branch Office 1.

  2. Configure el intervalo de direcciones IP remotas de 10.0.2.0/24 en cada conector de recepción dedicado del sitio de la oficina central 1.Configure the remote IP address range of 10.0.2.0/24 on each dedicated Receive connector in Central Office Site 1.

  3. Configure el intervalo de direcciones IP remotas de 10.0.2.0/24 en cada conector de recepción dedicado de la sucursal 1.Configure the remote IP address range of 10.0.1.0/24 on each dedicated Receive connector in Branch Office 1.

  4. Deshabilite TLS en todos los conectores de recepción dedicados.Disable TLS on all of the dedicated Receive connectors.

El resultado aparece en la imagen siguiente (con la propiedad de intervalo de direcciones IP remotas de los conectores de recepción denominados WAN en paréntesis). Solo aparece un servidor de buzones en la sucursal 1; la sucursal 2 se omite para que se vea más claramente.The end result is shown in the following figure (with the remote IP address range property of the Receive connectors named WAN shown in parentheses). Only a single Mailbox server is shown in Branch Office 1, and Branch Office 2 is omitted for clarity purposes.

Configuración del conector de recepciónReceive connector configuration

Configuración del conector de recepciónReceive connector configuration

Configurar sitios de concentradoresConfigure Hub sites

De forma predeterminada, el servidor de buzones de Exchange 2013 intentará una conexión directa con el servidor de buzones más próximo al destino final de un mensaje concreto.By default, an Exchange 2013 Mailbox server will attempt a direct connection to the Mailbox server closest to the final destination of a specific message. En la topología de muestra, si un usuario de la sucursal 2 envía un mensaje a un usuario de la oficina central 1, el servidor de buzones de la sucursal 2 se conectará con el servidor de buzones de la sucursal 1 directamente para entregar ese mensaje.In the sample topology, if a user in Branch Office 2 sends a message to a user in Branch Office 1, the Mailbox server in Branch Office 2 will connect to the Mailbox server in Branch Office 1 directly to deliver that message. Dicha conexión se cifrará y por lo tanto no será deseada en la topología específica.That connection will be encrypted and therefore not desirable in the specific topology. Para que estos mensajes pasen a través de los servidores de buzones del sitio de la oficina central 1, de modo que garanticen que no están cifrados mientras están en tránsito hacia el vínculo WAN, el sitio de la oficina central 1 y la sucursal 1 deben estar configurados como sitios de concentradores.To have such messages pass through the Mailbox servers on Central Office Site 1, thereby ensuring they aren't encrypted while in transit over the WAN link, Central Office Site 1 and Branch Office 1 need to be configured as hub sites. En resumen, cualquier sitio donde tenga un servidor de buzones con un conector de recepción con TLS deshabilitado debe estar configurado como sitio de concentradores, de modo que pueda forzar que los servidores de otros sitios redirijan el tráfico a través de ese sitio.In short, any site where you have a Mailbox server with a Receive connector with TLS disabled needs to be configured as a hub site, so you can force servers in other sites to route traffic through that site. Para obtener más información, consulte Configuración de enrutamiento de correo de Exchange en Active Directory.For more information, see Configure Exchange mail routing settings in Active Directory.

Configurar los sitios de concentradores solamente no es suficiente para garantizar que el tráfico no sea cifrado en el vínculo WAN. Esto sucede porque Exchange enrutará los mensajes a través de los sitios de concentradores únicamente si los sitios están en la ruta de enrutamiento de menor coste. Por ejemplo, supongamos que los costes de vínculo de sitio IP de nuestra topología de muestra están configurados en Active Directory tal como aparece en la imagen siguiente (el sitio de la oficina central 2 se omite para mayor claridad).Configuring hub sites alone isn't sufficient to ensure that all traffic is unencrypted over the WAN link. This is because Exchange will route messages through hub sites only if the hub site lies within the least cost routing path. For example, assume that the IP site link costs for our sample topology are configured in Active Directory as shown in the following figure (Central Office Site 2 is omitted for clarity).

Costos de los vínculos a sitios IP de la topología de muestraIP site link costs for the sample topology

Costos de vínculos del sitio IP para topología de muestrasIP site link costs for sample topology

En este caso, la ruta de la sucursal 2 a la sucursal 1 que pasa por el sitio de concentradores tiene un costo total de 12 (6+6), mientras que el costo de la ruta directa es 10. Por lo tanto, ninguno de los mensajes de la sucursal 2 a la sucursal 1 pasará por el sitio de la oficina central 1 y todo el tráfico será cifrado para TLS.In this case, the path from Branch Office 2 to Branch Office 1 that goes through the hub site has a total cost of 12 (6+6), whereas the cost of the direct path is 10. Therefore, none of the messages from Branch Office 2 to Branch Office 1 will go through Central Office Site 1 and therefore all of that traffic will still be TLS encrypted.

Para evitar este problema, debe designar un coste específico de Exchange superior a 12 para el vínculo de sitio IP entre la sucursal 2 y la sucursal 1, tal como aparece en la imagen siguiente. Esto asegurará que todos los mensajes pasen a través del canal no cifrado entre el sitio de la oficina central 1 y la sucursal 1.To avoid this issue, you need to designate an Exchange-specific cost that is higher than 12 for the IP site link between Branch Office 2 and Branch Office 1, as shown in the following figure. This will ensure that all messages go through the unencrypted channel between Central Office Site 1 and Branch Office 1.

Topología de muestra configurada con los costos de los vínculos a sitios IP específicos de ExchangeSample topology configured with Exchange-specific IP site link costs

Topología de muestras con costos de ExchangeSample topology with Exchange costs

Para obtener más información, consulte Configuración de enrutamiento de correo de Exchange en Active Directory.For more information, see Configure Exchange mail routing settings in Active Directory.