Отключение протокола TLS между сайтами Active Directory

  • Статья

Область применения: Exchange Server 2013 г.

В Microsoft Exchange Server 2013 имеется возможность отключить протокол TLS для передачи данных по протоколу SMTP между серверами почтовых ящиков в определенных топологиях, где используются устройства контроллеров оптимизации доступа в глобальную сеть (WOC) для сжатия трафика SMTP.

В этом разделе приведены пошаговые инструкции по настройке транспортной службы в зависящих от нее серверах почтовых ящиков для отключения протокола TSL и по настройке топологии маршрутизации Active Directory для правильной маршрутизации сообщений. Дополнительные сведения об этом сценарии см. в статье Сценарий: настройка Exchange для поддержки контроллеров оптимизации глобальной сети.

Что нужно знать перед началом работы

  • Предполагаемое время выполнения задачи: 60 минут.

  • Отдельные шаги настройки в этом сценарии можно выполнить с меньшими правами, но чтобы выполнить весь сценарий от начала и до конца, ваша учетная запись должна быть участником группы ролей "Управление организацией".

  • Убедитесь, что протокол TLS отключен только для подключений, которые проходят через устройства WOC.

  • Для выполнения этой процедуры необходимо, чтобы Exchange 2013 была развернута в нескольких сайтах Active Directory, и, по крайней мере, один сайт должен быть подключен к остальным сайтам через канал глобальной сети.

  • Для выполнения этой процедуры необходимо, чтобы были развернуты устройства WOC, сжимающие трафик SMTP в канале глобальной сети.

  • Для выполнения этой процедуры необходимо, чтобы для Exchange существовал логический путь потока сообщений, проходящий через канал глобальной сети с развернутыми устройствами WOC.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.

Действие 1. Использование командной консоли для настройки транспортной службы на сервере почтовых ящиков, чтобы можно было выполнять упрощенную проверку подлинности на сервере Exchange

Чтобы настроить транспортную службу на сервере почтовых ящиков для использования упрощенной проверки подлинности на сервере Exchange, выполните следующую команду.

Set-TransportService <ServerIdentity> -UseDowngradedExchangeServerAuth $true

В этом примере показано, как изменить параметры для сервера с именем Mailbox01.

Set-TransportService Mailbox01 -UseDowngradedExchangeServerAuth $true

Действие 2. Создание выделенного соединителя получения на сервере почтовых ящиков для целевого сайта Active Directory

Использование Центра администрирования Exchange для создания соединителя получения

  1. В Центре администрирования Exchange щелкнитеСоединители полученияпотока обработки почты>, а затем щелкните Добавитьзначок добавления..

  2. На первой странице мастера Создание соединителя подключения введите следующие значения.

    • Имя: введите описательное значение.

    • Тип: Internal

    Завершив настройку, нажмите кнопку Далее.

  3. На второй странице мастера Создание соединителя подключения в разделе Настройки удаленной системы, введите IP-адреса или диапазоны IP-адресов для целевого сайта Active Directory. Завершив настройку, щелкните Готово.

Использование командной консоли для создания соединителя получения

Чтобы создать соединитель получения на сервере почтовых ящиков, выполните следующую команду.

New-ReceiveConnector -Name <Name> -Server <ServerIdentity> -RemoteIPRanges <IPAddressRange> -Internal

В этом примере показано, как создать соединитель получения с именем WAN на сервере с именем Mailbox01 со следующими параметрами.

  • Параметр RemoteIPRanges имеет значение 10.0.2.0/24. Этот диапазон IP-адресов должен соответствовать удаленному сайту Active Directory, с которого создаваемый соединитель получения будет получать незашифрованные подключения. Если на удаленном сайте имеется несколько IP-подсетей, можно ввести их все, разделяя запятыми.

  • Для типа использования установлено значение "Внутренний".

New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal

Действие 3. Отключение протокола TLS на выделенном соединителе получения с помощью командной консоли

Чтобы отключить протокол TLS на соединителе получения, выполните следующую команду.

Set-ReceiveConnector <ReceiveConnectorIdentity> -SuppressXAnonymousTLS $true

В этом примере показано, как отключить протокол TLS на соединителе получения с именем WAN на сервере почтовых ящиков с именем Mailbox01.

Set-ReceiveConnector Mailbox01\WAN -SuppressXAnonymousTLS $true

Действие 4. Настройка сайтов Active Directory в качестве узловых сайтов с помощью командной консоли

Чтобы настроить сайт Active Directory в качестве узлового сайта, выполните следующую команду.

Set-AdSite <ADSiteIdentity> -HubSiteEnabled $true

Необходимо выполнить эту процедуру один раз для каждого сайта Active Directory, имеющего серверы почтовых ящиков, обрабатывающие незашифрованный трафик.

В этом примере показано, как настроить сайт Active Directory с именем Сайт центрального офиса 1 в качестве узлового сайта.

Set-AdSite "Central Office Site 1" -HubSiteEnabled $true

Действие 5. Использование командной консоли для настройки пути маршрутизации по принципу наименьших затрат через подключение к глобальной сети

В зависимости от того, как в Active Directory настроены затраты связей IP-сайтов, этот шаг может и не понадобиться. Необходимо проверить, что сетевое соединение с развернутыми устройствами WOC находится в пути маршрутизации с наименьшими затратами. Чтобы просмотреть затраты связей сайта Active Directory и затраты связей сайта, относящегося к Exchange, выполните следующую команду.

Get-AdSiteLink

Если сетевое соединение с развернутыми устройствами WOC не находится в пути маршрутизации с наименьшими затратами, необходимо определенной связи IP-сайта назначить затраты, относящиеся к Exchange, чтобы маршрутизация сообщений выполнялась правильно. Дополнительные сведения об этой конкретной проблеме см. в разделе "Настройка затрат на подключение сайта Active Directory для Exchange" статьи Сценарий: настройка Exchange для поддержки контроллеров оптимизации глобальной сети.

В этом примере показано, как задать значение затрат, относящихся к Exchange, равное 15 для связи IP-сайта с именем Филиал 2 — Филиал 1.

Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15