Suprimir conexões TLS anônimas
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2009-12-01
No Microsoft Exchange Server 2007, a criptografia TLS é obrigatória para todas as comunicações SMTP entre servidores de Transporte de Hub. Isso aumenta a segurança geral das comunicações entre hubs. No entanto, em certas topologias nas quais dispositivos WOC (Controladores de Otimização de WAN) são usados, a criptografia TLS do tráfego SMTP pode não ser desejada. O Exchange Server 2010 permite desabilitar o TLS para comunicações entre hubs nesses cenários específicos.
Este tópico fornece instruções passo a passo sobre como configurar seus servidores de Transporte de Hub para desabilitar o TLS. Para saber mais sobre esse recurso, consulte Desabilitando TLS entre sites do Active Directory para otimização de WAN de suporte.
Procurando outras tarefas relacionadas ao gerenciamento de roteamento de mensagens? Consulte Gerenciando Roteamento de Mensagens.
Aviso
Certifique-se de desabilitar o TLS apenas em conexões que passem por dispositivos WOC.
Pré-requisitos
- O Exchange é implementado em vários sites do Active Directory, com pelo menos um site conectado a outros sites por um link de WAN.
- Dispositivos WOC são implementados para compactar o tráfego SMTP sobre o link de WAN.
- Um caminho de fluxo de mensagens lógicas existe para o Exchange seguindo pelo link WAN que tem os dispositivos WOC implementados.
Etapa 1: Usar o Shell para configurar o servidor de Transporte de Hub para que use autenticação com downgrade do Exchange Server
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Servidor de Transporte de Hub" no tópico Permissões de transporte.
Dica
O EMC não pode ser usado para realizar esse procedimento.
Utilize o cmdlet Set-TransportServer para configurar um servidor de Transporte de Hub para que use autenticação com downgrade do Exchange Server. Este exemplo faz essa mudança na configuração no servidor Hub01.
Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true
Para informações detalhadas de sintaxes e de parâmetros, consulte Set-TransportServer.
Etapa 2: Usar o Shell para criar um conector de recebimento no servidor de Transporte de Hub para o intervalo de endereço IP remoto específico do site de destino do Active Directory.
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Conectores de recebimento" no tópico Permissões de transporte.
O cmdlet New-ReceiveConnector pode ser usado para criar um conector de recebimento em seu servidor de Transporte de Hub para uso em tráfego sem criptografia. Este exemplo cria o conector de recebimento WAN no servidor Hub01 com as seguintes opções de configuração:
- O parâmetro RemoteIPRanges está definido como 10.0.2.0/24. Esse intervalo de endereço IP deve corresponder ao site remoto do Active Directory de onde esse conector de recebimento irá receber conexões não criptografadas. Se houver mais de uma sub-rede IP no site remoto, você poderá digitar todas elas separadas por vírgulas.
- O tipo de uso é definido como Interno.
New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ReceiveConnector.
Você também pode criar o conector de recebimento usando o EMC. Se optar por usar o EMC, certifique-se de criar o conector com as seguintes configurações:
- Selecione Interno para o uso pretendido para o conector.
- Especifique o intervalo de endereço IP remoto (por exemplo, no exemplo anterior, 10.0.2.0/24).
Para mais informações, consulte Criar um Conector de Recebimento SMTP.
Etapa 3: Usar o Shell para desabilitar X-ANONYMOUSTLS no novo conector de recebimento
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Conectores de recebimento" no tópico Permissões de transporte.
Dica
O EMC não pode ser usado para realizar esse procedimento.
O cmdlet Set-ReceiveConnector pode ser usado para desabilitar o TLS no conector de recebimento recém-criado. Este exemplo desabilita o TLS no conector de recebimento WAN no servidor Hub01.
Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true
Para informações detalhadas de sintaxes e de parâmetros, consulte Set-ReceiveConnector.
Etapa 4: Usar o Shell para designar os sites do Active Directory em um dos lados da conexão WAN como sites de hub.
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Site do Active Directory e gerenciamento de link de site" no tópico Permissões de transporte.
Dica
O EMC não pode ser usado para realizar esse procedimento.
Você pode usar o cmdlet Set-AdSite para configurar um site específico do Active Directory como um site de hub. É preciso fazer isso uma vez em cada site que tenha servidores de Transporte de Hub que participem de tráfego não criptografado.
Este exemplo configura o site do Active Directory Site do Escritório Central 1 como um site de hub.
Set-AdSite "Central Office Site 1" -HubSiteEnabled $true
Para informações detalhadas de sintaxes e de parâmetros, consulte Set-AdSite.
Etapa 5: Usar o Shell para verificar se o caminho de roteamento de menor custo passa pela conexão WAN
Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o Entrada "Site do Active Directory e gerenciamento de link de site" no tópico Permissões de transporte.
Dica
O EMC não pode ser usado para realizar esse procedimento.
Dependendo da forma como os custos do link de site de IP são configurados no Active Directory, essa etapa pode não ser necessária. Certifique-se de que o link de rede com os dispositivos WOC implementados esteja no caminho de mensagens de menor custo. Se não for o caso, é preciso atribuir um custo específico do Exchange ao link do site de IP específico para garantir que as mensagens sejam encaminhadas corretamente. Para saber mais sobre essa questão específica, consulte "Configurando Custos de Link do Site" em Desabilitando TLS entre sites do Active Directory para otimização de WAN de suporte.
Este exemplo configura um custo específico do Exchange de 15 no link do site de IP Escritório de Filial 2-Escritório de Filial 1.
Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15
Para informações detalhadas de sintaxes e de parâmetros, consulte Set-AdSiteLink.