停用 Active Directory 站台之間的 TLS 以支援 WAN 最佳化
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2009-12-01
在 Microsoft Exchange Server 2007 中,必須針對 Hub Transport Server 之間的所有 SMTP 通訊進行傳輸層安全 (TLS) 加密。這會提高集線對集線通訊的整體安全性。但是,在使用 WAN 最佳化控制站 (WOC) 裝置的某些拓撲中,可能不想要執行 SMTP 流量的 TLS 加密。Exchange Server 2010 支援針對這些特定案例停用集線對集線通訊的 TLS。
請參見下圖所示的拓撲。此四個站台的拓撲是假設兩個總公司站台和 Branch Office 2 已適當連接,而 Central Office Site 1 和 Branch Office 1 之間的連線是透過 WAN 連結進行。公司已在此連結上安裝 WOC 裝置,以壓縮並最佳化通過 WAN 的流量。
範例網路拓撲與 WOC 裝置
在此拓撲中,由於 Exchange 2010 針對 Hub Transport Server 之間的通訊使用 TLS 加密,因此無法壓縮通過 WAN 連結的 SMTP 流量。理想狀況下,通過 WAN 連結的所有 SMTP 流量應該是未加密的 SMTP,而在適當連接的站台之間保留 TLS 安全性。Exchange 2010 可讓您透過設定接收連接器,針對站台之間的流量停用 TLS 加密。利用 Exchange 2010 中的這項能力,您可以設定 Central Office Site 1 和 Branch Office 1 之間 SMTP 流量的例外狀況,如下圖中所示。
慣用的邏輯訊息流程
建議的組態是使未加密的 SMTP 流量僅限於通過 WAN 連結的郵件。因此,所有站台中的站台內集線對集線流量,以及未涉及 Branch Office 1 的跨站台集線對集線通訊,都應該以 TLS 加密。
若要達到此結果,您需要依照指定順序,在包含 WOC 裝置 (範例拓撲中的 Central Office Site 1 和 Branch Office 1) 之站台中的每個 Hub Transport Server 上,執行下列作業:
啟用降級的 Exchange 伺服器驗證。
建立接收連接器以處理通過具有 WOC 裝置之連線的流量。
將新接收連接器的遠端 IP 位址範圍內容,設定為遠端站台中 Hub Transport Server 的 IP 位址範圍。
在新的接收連接器上停用 TLS。
此外,您需要執行下列作業,以確保所有通過 WAN 的 SMTP 流量都由您所建立的新接收連接器來處理:
設定將參與非 TLS 通訊的站台作為中樞站台,以強制所有訊息流程通過新的接收連接器 (範例拓撲中的 Central Office Site 1 和 Branch Office Site 1)。
確認 IP 站台連結成本的設定方式,可確保遠端站台 (範例拓撲中的 Branch Office Site 1) 的最低成本路由路徑通過具有 WOC 裝置的網路連結。
下列各節提供每個步驟的概觀。如需如何設定 Hub Transport Server 以停用 TLS 的逐步指示,請參閱抑制匿名 TLS 連線。
要尋找與管理傳輸伺服器相關的管理工作嗎?請參閱管理傳輸伺服器。
目錄
透過已停用 TLS 之連線的降級驗證
建立及設定接收連接器
建立中樞站台
設定站台連結成本
透過已停用 TLS 之連線的降級驗證
Kerberos 驗證會在 Exchange 中與 TLS 加密搭配使用。當您針對集線對集線通訊停用 TLS 時,需要執行其他形式的驗證。當 Exchange 2010 與執行 Exchange 且不支援 X-ANONYMOUSTLS 的其他伺服器通訊時,例如 Exchange Server 2003 伺服器,它會退回至使用 GSSAPI (一般安全性服務應用軟體程式設計介面) 驗證。Exchange 2010 Hub Transport Server 之間的所有通訊都使用 X-ANONYMOUSTLS。藉由設定 Hub Transport Server 使用降級的 Exchange 伺服器驗證,實際上是讓該伺服器在與其他 Exchange 2010 Hub Transport Server 通訊時使用 GSSAPI。
回到頁首
建立及設定接收連接器
您需要建立專門負責處理非 TLS 加密流量的接收連接器。針對此目的使用不同的接收連接器,可確保未通過 WAN 連結的所有流量仍受 TLS 加密所保護。
若要限制新接收連接器只處理通過 WAN 的流量,需要設定遠端 IP 位址範圍內容。Exchange 一律使用具有最特定之遠端 IP 位址範圍的連接器。因此,這些新連接器會優先於設定為接收來自任何地方之郵件的預設接收連接器。
回到範例拓撲,該範例假設類別 C 子網路 10.0.1.0/24 用於 Central Office Site 1 且 10.0.2.0/24 用於 Branch Office 1。若要準備在這兩個站台之間停用 TLS,您需要:
在 Central Office Site 1 和 Branch Office 1 中的每個 Hub Transport Server 上,建立接收連接器 (稱為 WAN)。
在 Central Office Site 1 中的每個新接收連接器上,設定 10.0.2.0/24 的遠端 IP 位址範圍。
在 Branch Office 1 中的每個新接收連接器上,設定 10.0.1.0/24 的遠端 IP 位址範圍。
在所有新的接收連接器上停用 TLS。
結果顯示在下圖中 (WAN 接收連接器的遠端 IP 位址範圍內容顯示於括弧內)。為了清楚起見,只在 Branch Office 1 中顯示單一 Hub Transport Server,並省略 Branch Office 2。
接收連接器組態
回到頁首
建立中樞站台
根據預設,Exchange 2010 Hub Transport Server 會嘗試直接連線到最接近特定郵件之最終目的地的 Hub Transport Server。在範例拓撲中,如果 Branch Office 2 中的使用者傳送郵件給 Branch Office 1 中的使用者,則 Branch Office 2 中的 Hub Transport Server 會直接連接到 Branch Office 1 中的 Hub Transport Server,以傳遞該郵件。該連線會受到加密,因而在特定拓撲中並不理想。若要使這類郵件通過 Central Office Site 1 上的 Hub Transport Server,從而確保郵件在透過 WAN 連結轉送時不會受到加密,需要將 Central Office Site 1 和 Branch Office 1 設定為中樞站台。簡言之,任何具有 Hub Transport Server 以及停用 TLS 之接收連接器的站台,都需要設定為中樞站台,以便能強制其他站台中的伺服器透過該站台路由流量。如需中樞站台的詳細資訊,請參閱瞭解訊息路由中的「實作中樞站台」。
回到頁首
設定站台連結成本
僅僅設定中樞站台不足以確保通過 WAN 連結的所有流量都未加密。這是因為只有在中樞站台位於最低成本路由路徑中時,Exchange 才會透過中樞站台路由傳送郵件。例如,假設範例拓撲的 IP 站台連結成本,如下圖 (為清楚起見省略 Central Office Site 2) 所示在 Active Directory 中設定。
範例拓樸的 IP 站台連結成本
在此情况下,通過中樞站台之 Branch Office 2 到 Branch Office 1 的路徑具有 12 (6+6) 的總成本,而直接路徑的成本為 10。因此,沒有任何從 Branch Office 2 送到 Branch Office 1 的郵件會通過 Central Office Site 1,因此該流量仍然都會以 TLS 加密。
為避免此問題,需要為 Branch Office 2 與 Branch Office 1 之間的 IP 站台連結,指定高於 12 的 Exchange 特定成本,如下圖所示。這可確保所有郵件都透過 Central Office Site 1 與 Branch Office 1 之間的未加密通道來傳遞。
設定 Exchange 特定 IP 站台連結成本的範例拓撲
如需設定 Exchange 特定 IP 站台連結成本的詳細資訊,請參閱瞭解訊息路由中的「控制 IP 站台連結成本」。
回到頁首
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。