Suprimir conexiones TLS anónimas
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2012-07-23
En Microsoft Exchange Server 2007, el cifrado de Seguridad de la capa de transporte (TLS) es obligatorio para todas las comunicaciones SMTP entre los servidores de transporte de concentradores. Esto aumenta la seguridad general de las comunicaciones de concentrador a concentrador. Sin embargo, en determinadas tipologías donde se usan dispositivos Controladores de optimización WAN (WOC), es posible que el cifrado TLS no sea deseable. Exchange Server 2010 permite deshabilitar TLS para comunicaciones de concentrador a concentrador para estas situaciones específicas.
En este tema, se proporcionan instrucciones paso a paso sobre cómo configurar sus servidores de transporte de concentradores para deshabilitar TLS. Para obtener más información acerca de esta característica, consulte Deshabilitar TLS entre sitios de Active Directory para permitir la optimización de WAN.
¿Está buscando otras tareas relacionadas con la administración de enrutamiento de mensajes? Consulte Administración de enrutamiento de mensajes.
Advertencia
Asegúrese de deshabilitar TLS solamente en conexiones que pasan a través de dispositivos WOC.
Requisitos previos
Exchange se implementa en varios sitios de Active Directory, con al menos un sitio conectado a otros a través de un vínculo WAN.
Los dispositivos WOC se implementan para comprimir el tráfico SMTP a través del vínculo WAN.
Existe una ruta de flujo de mensaje lógico para Exchange que va a través del vínculo WAN que tiene los dispositivos WOC implementados.
Paso 1: Usar el Shell para configurar el servidor de transporte de concentradores para usar la autenticación del servidor de Exchange degradada.
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el contenido "Servidor de transporte de concentradores" en el tema Permisos de transporte.
Nota
No puede usar la EMC para realizar este procedimiento.
Use el cmdlet Set-TransportServer para configurar un servidor de transporte de concentradores para usar la autenticación del servidor de Exchange degradada. En este ejemplo, se realiza el cambio de configuración en el servidor Hub01.
Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-TransportServer.
Paso 2: Utilice el Shell para crear un conector de recepción en el servidor de transporte de concentradores para el intervalo de dirección IP remota específica del sitio de Active Directory de destino
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el contenido "Conectores de recepción" en el tema Permisos de transporte.
Use el cmdlet New-ReceiveConnector para crear un conector de recepción en el servidor de transporte de concentradores para usar en tráfico no cifrado. En este ejemplo, se crea la WAN para el conector de recepción en el servidor Hub01 con las siguientes opciones de configuración:
El parámetro RemoteIPRanges está establecido en 10.0.2.0/24. Este intervalo de dirección IP debe corresponder al sitio Active Directory remoto donde el conector de recepción recibirá conexiones no cifradas. Si hay más de una subred IP en el sitio remoto, puede introducirlas separadas por coma.
El tipo de uso está establecido como interno.
New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ReceiveConnector.
También puede crear el conector de recepción mediante la EMC. Si elige usar la EMC, asegúrese de crear el conector con la siguiente configuración:
Seleccione Interno para el uso previsto para el conector.
Especifique el intervalo de la dirección IP remota (en el ejemplo anterior 10.0.2.0/24).
Para obtener más información, consulte Crear un conector de recepción SMTP.
Paso 3: Utilice el Shell para deshabilitar X-ANONYMOUSTLS en el nuevo conector de recepción
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el contenido "Conectores de recepción" en el tema Permisos de transporte.
Nota
No puede usar la EMC para realizar este procedimiento.
Utilice el cmdlet Set-ReceiveConnector para deshabilitar TLS en el nuevo conector de recepción. En este ejemplo, se deshabilita TLS en el conector de recepción WAN en el servidor Hub01.
Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-ReceiveConnector.
Paso 4: Utilice el Shell para designar los sitios de Active Directory en ambos lados de la conexión WAN como sitios de concentradores
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el contenido "Sitio y administración del vínculo del sitio de Active Directory" en el tema Permisos de transporte.
Nota
No puede usar la EMC para realizar este procedimiento.
Utilice el cmdlet Set-AdSite para configurar un sitio de Active Directory específico como sitio de concentradores. Debe hacer esto una vez en cada sitio que tenga servidores de transporte de concentradores que participen en el tráfico no cifrado.
En este ejemplo, se configura el sitio de Active Directory Sitio de la oficina central 1 como sitio de concentradores.
Set-AdSite "Central Office Site 1" -HubSiteEnabled $true
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte set-AdSite.
Paso 5: Utilice el Shell para comprobar que la ruta de enrutamiento menos costosa pase a través de la conexión WAN
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el contenido "Sitio y administración del vínculo del sitio de Active Directory" en el tema Permisos de transporte.
Nota
No puede usar la EMC para realizar este procedimiento.
Según cómo se hayan configurado los costos del vínculo del sitio IP en Active Directory, es posible que este paso no sea necesario. Debe asegurarse de que el vínculo de red con los dispositivos WOC implementados se base en la ruta de mensajería menos costosa. Si este no es el caso, deberá asignar un costo específico de Exchange al vínculo del sitio IP particular para asegurarse de que los mensajes se enruten correctamente. Para obtener más información acerca de este asunto concreto, consulte "Configuración de los costos de vínculos a sitios" en Deshabilitar TLS entre sitios de Active Directory para permitir la optimización de WAN.
En este ejemplo, se configura un costo específico de Exchange de 15 en el vínculo del sitio IP Sucursal 2-Sucursal 1.
Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte Set-AdSiteLink.
© 2010 Microsoft Corporation. Reservados todos los derechos.