Отключение протокола TLS между сайтами Active DirectoryDisable TLS between Active Directory sites

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В Microsoft Exchange Server 2013 имеется возможность отключить протокол TLS для передачи данных по протоколу SMTP между серверами почтовых ящиков в определенных топологиях, где используются устройства контроллеров оптимизации доступа в глобальную сеть (WOC) для сжатия трафика SMTP.Microsoft Exchange Server 2013 supports disabling TLS for SMTP communication between Mailbox servers in certain topologies where WAN Optimization Controller (WOC) devices that compress SMTP traffic are used.

В этом разделе приведены пошаговые инструкции по настройке транспортной службы в зависящих от нее серверах почтовых ящиков для отключения протокола TSL и по настройке топологии маршрутизации Active Directory для правильной маршрутизации сообщений. Дополнительные сведения об этом сценарии см. в разделе Сценарий. Настройка Exchange для поддержки контроллеров оптимизации глобальной сети.This topic provides step-by-step instructions on how to configure the Transport service in your affected Mailbox servers to disable TLS, and to ensure your Active Directory routing topology is configured to correctly route messages. To learn more about this scenario, see Scenario: Configure Exchange to support WAN Optimization Controllers.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время выполнения задачи: 60 минут.Estimated time to complete this task: 60 minutes.

  • Отдельные шаги настройки в этом сценарии можно выполнить с меньшими правами, но чтобы выполнить весь сценарий от начала и до конца, ваша учетная запись должна быть участником группы ролей "Управление организацией".Even though individual configuration steps within this scenario can be accomplished with lesser rights, to complete the entire end-to-end scenario tasks, your account needs to be a member of the Organization Management role group.

  • Убедитесь, что протокол TLS отключен только для подключений, которые проходят через устройства WOC.Make sure you disable TLS only on connections that pass through WOC devices.

  • Для выполнения этой процедуры необходимо, чтобы Exchange 2013 была развернута в нескольких сайтах Active Directory, и, по крайней мере, один сайт должен быть подключен к остальным сайтам через канал глобальной сети.This procedure requires that Exchange 2013 is deployed in multiple Active Directory sites, with at least one site connected to the other sites over a WAN link.

  • Для выполнения этой процедуры необходимо, чтобы были развернуты устройства WOC, сжимающие трафик SMTP в канале глобальной сети.This procedure requires that WOC devices are deployed to compress SMTP traffic over the WAN link.

  • Для выполнения этой процедуры необходимо, чтобы для Exchange существовал логический путь потока сообщений, проходящий через канал глобальной сети с развернутыми устройствами WOC.This procedure requires that a logical message flow path exists for Exchange going over the WAN link that has the WOC devices deployed.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Что необходимо сделать?What do you want to do?

Действие 1. Использование командной консоли для настройки транспортной службы на сервере почтовых ящиков, чтобы можно было выполнять упрощенную проверку подлинности на сервере ExchangeStep 1: Use the Shell to configure the Transport service on the Mailbox server to use downgraded Exchange Server authentication

Чтобы настроить транспортную службу на сервере почтовых ящиков для использования упрощенной проверки подлинности на сервере Exchange, выполните следующую команду.To configure the Transport service on a Mailbox server to use downgraded Exchange server authentication, run the following command:

Set-TransportService <ServerIdentity> -UseDowngradedExchangeServerAuth $true

В этом примере показано, как изменить параметры для сервера с именем Mailbox01.This example makes this configuration change on the server named Mailbox01.

Set-TransportService Mailbox01 -UseDowngradedExchangeServerAuth $true

Действие 2. Создание выделенного соединителя получения на сервере почтовых ящиков для целевого сайта Active DirectoryStep 2: Create a dedicated Receive connector on the Mailbox server for the target Active Directory site

Использование Центра администрирования Exchange для создания соединителя полученияUse the EAC to create the Receive connector

  1. В центре администрирования Exchange (EAC) выберите поток почты > соединители приемаи нажмите кнопку ![Добавить значок] Добавить (images/JJ218640.c1e75329-d6d7-4073-a27d-498590bbb558(EXCHG.150).gif "Значок "Добавить"").In the Exchange admin center (EAC), click Mail flow > Receive connectors, and then click Add Add Icon.

  2. На первой странице мастера Создание соединителя подключения введите следующие значения.On the first page of the New Receive connector wizard, enter the following values

    • Имя Введите описательное значение.Name Enter a descriptive value.

    • Тип ВнутреннийType Internal

    Завершив настройку, нажмите кнопку Далее.When you are finished, click Next.

  3. На второй странице мастера Создание соединителя подключения в разделе Настройки удаленной системы, введите IP-адреса или диапазоны IP-адресов для целевого сайта Active Directory. Завершив настройку, щелкните Готово.On the second page of the New Receive connector wizard, in the Remote settings section, enter the IP addresses or IP address ranges for the target Active Directory site. When you are finished, click Finish.

Использование командной консоли для создания соединителя полученияUse the Shell to create the Receive connector

Чтобы создать соединитель получения на сервере почтовых ящиков, выполните следующую команду.To create a Receive connector on the Mailbox server, run the following command:

    New-ReceiveConnector -Name <Name> -Server <ServerIdentity> -RemoteIPRanges <IPAddressRange> -Internal

В этом примере показано, как создать соединитель получения с именем WAN на сервере с именем Mailbox01 со следующими параметрами.This example creates the Receive connector named WAN on server named Mailbox01 with the following settings:

  • Параметр RemoteIPRanges имеет значение 10.0.2.0/24. Этот диапазон IP-адресов должен соответствовать удаленному сайту Active Directory, с которого создаваемый соединитель получения будет получать незашифрованные подключения. Если на удаленном сайте имеется несколько IP-подсетей, можно ввести их все, разделяя запятыми.The RemoteIPRanges parameter is set to 10.0.2.0/24. This IP address range should correspond to the remote Active Directory site from where this Receive connector will receive unencrypted connections. If there's more than one IP subnet in the remote site, you can enter them all separated by commas.

  • Для типа использования установлено значение "Внутренний".The usage type is set to Internal.

New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal

Действие 3. Отключение протокола TLS на выделенном соединителе получения с помощью командной консолиStep 3: Use the Shell to disable TLS on the dedicated Receive connector

Чтобы отключить протокол TLS на соединителе получения, выполните следующую команду.To disable TLS on the Receive connector, run the following command:

Set-ReceiveConnector <ReceiveConnectorIdentity> -SuppressXAnonymousTLS $true

В этом примере показано, как отключить протокол TLS на соединителе получения с именем WAN на сервере почтовых ящиков с именем Mailbox01.This example disables TLS on the Receive connector named WAN on Mailbox server named Mailbox01.

Set-ReceiveConnector Mailbox01\WAN -SuppressXAnonymousTLS $true

Действие 4. Настройка сайтов Active Directory в качестве узловых сайтов с помощью командной консолиStep 4: Use the Shell to designate the Active Directory sites as hub sites

Чтобы настроить сайт Active Directory в качестве узлового сайта, выполните следующую команду.To designate an Active Directory site as a hub site, run the following command:

Set-AdSite <ADSiteIdentity> -HubSiteEnabled $true

Необходимо выполнить эту процедуру один раз для каждого сайта Active Directory, имеющего серверы почтовых ящиков, обрабатывающие незашифрованный трафик.You need to perform this procedure once in each Active Directory site that has Mailbox servers that participate in non-encrypted traffic.

В этом примере показано, как настроить сайт Active Directory с именем Сайт центрального офиса 1 в качестве узлового сайта.This example configures the Active Directory site named Central Office Site 1 as a hub site.

Set-AdSite "Central Office Site 1" -HubSiteEnabled $true

Действие 5. Использование командной консоли для настройки пути маршрутизации по принципу наименьших затрат через подключение к глобальной сетиStep 5: Use the Shell to configure the least cost routing path through the WAN connection

В зависимости от того, как в Active Directory настроены затраты связей IP-сайтов, этот шаг может и не понадобиться. Необходимо проверить, что сетевое соединение с развернутыми устройствами WOC находится в пути маршрутизации с наименьшими затратами. Чтобы просмотреть затраты связей сайта Active Directory и затраты связей сайта, относящегося к Exchange, выполните следующую команду.Depending on how the IP site link costs are configured in Active Directory, this step may not be necessary. You need to verify that the network link with the WOC devices deployed is in the leastcost routing path. To view the Active Directory site link costs, and the Exchange-specific site link costs, run the following command:

Get-AdSiteLink

Если сетевое соединение с развернутыми устройствами WOC не находится в пути маршрутизации с наименьшими затратами, необходимо определенной связи IP-сайта назначить затраты, относящиеся к Exchange, чтобы маршрутизация сообщений выполнялась правильно. Дополнительные сведения об этой проблеме см. в статье "Настройка затрат связей сайта Active Directory, относящегося к Exchange" в разделе Сценарий. Настройка Exchange для поддержки контроллеров оптимизации глобальной сети.If the network link with the WOC devices deployed isn't on the least cost routing path, you'll need to assign an Exchange-specific cost to the particular IP site link to ensure messages are routed correctly. To learn more about this particular issue, see the "Configure Exchange-specific Active Directory site link costs" section in Scenario: Configure Exchange to support WAN Optimization Controllers.

В этом примере показано, как задать значение затрат, относящихся к Exchange, равное 15 для связи IP-сайта с именем Филиал 2 — Филиал 1.This example configures an Exchange-specific cost of 15 on the IP site link named Branch Office 2-Branch Office 1.

Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15