Eliminazione delle connessioni TLS anonime
Si applica a: Exchange Server 2010
Ultima modifica dell'argomento: 2009-12-01
In Microsoft Exchange Server 2007, la crittografia TLS (Transport Layer Security) è obbligatoria per tutte le comunicazioni SMTP tra i server Trasporto Hub. Ciò aumenta la sicurezza complessiva delle comunicazioni tra Hub. Tuttavia, in alcune topologie in cui vengono utilizzati i dispositivi WOC (WAN Optimization Controller), la crittografia TLS del traffico SMTP potrebbe essere indesiderata. Exchange Server 2010 supporta la disabilitazione di TLS per le comunicazioni tra Hub per questi scenari specifici.
In questo argomento vengono fornite istruzioni dettagliate su come configurare i server Trasporto Hub per disabilitare TLS. Per ulteriori informazioni su questa funzionalità, vedere Disabilitazione TLS tra i siti Active Directory per supportare l'ottimizzazione WAN.
Per informazioni sulle altre attività relative alla gestione del routing dei messaggi, vedere Gestione del routing dei messaggi.
Avviso
Verificare di disabilitare TLS solo sulle connessioni che passano attraverso i dispositivi WOC.
Prerequisiti
- Exchange viene distribuito in più siti di Active Directory, con almeno un sito connesso agli altri siti su un collegamento WAN.
- I dispositivi WOC vengono distribuiti per comprimere il traffico SMTP sul collegamento WAN.
- Esiste un percorso del flusso dei messaggi logico per fare in modo che Exchange passi sul collegamento WAN in cui sono distribuiti i dispositivi WOC.
Passo 1: Utilizzare Shell per configurare il server Trasporto Hub in modo da utilizzare l'autenticazione di Exchange Server di cui è stato effettuato il downgrade
È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Server Trasporto Hub" nell'argomento Autorizzazioni di trasporto.
Nota
Non è possibile utilizzare EMC per eseguire questa procedura.
Utilizzare il cmdlet Set-TransportServer per configurare un server Trasporto Hub in modo da utilizzare l'autenticazione di Exchange Server di cui è stato eseguito il downgrade. In questo esempio viene modificata la configurazione sul server Hub01.
Set-TransportServer Hub01 -UseDowngradedExchangeServerAuth $true
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-TransportServer.
Passo 2: Utilizzare Shell per creare un connettore di ricezione sul server Trasporto Hub per l'intervallo dell'indirizzo IP remoto specifico del sito di Active Directory di destinazione
È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Connettori di ricezione" nell'argomento Autorizzazioni di trasporto.
Utilizzare il cmdlet New-ReceiveConnector per creare un connettore di ricezione sul server Trasporto Hub da utilizzare per il traffico non crittografato. In questo esempio viene creato il connettore di ricezione WAN sul server Hub01 con le seguenti opzioni di configurazione:
- Il parametro RemoteIPRanges è impostato su 10.0.2.0/24. Questo intervallo di indirizzo IP deve corrispondere al sito di Active Directory remoto da cui il connettore di ricezione accetterà le connessioni non crittografate. Se esiste più di una subnet IP nel sito remoto, è possibile immetterle tutte separandole con la virgola.
- Il tipo di utilizzo è impostato su Interno.
New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ReceiveConnector.
È possibile anche creare il connettore di ricezione utilizzando EMC. Se si sceglie di utilizzare EMC, verificare di creare il connettore con le impostazioni seguenti:
- Selezionare Interno per il tipo di utilizzo desiderato per il connettore.
- Specificare l'intervallo dell'indirizzo IP remoto (ad esempio, 10.0.2.0/24, come indicato in precedenza).
Per ulteriori informazioni, vedere Creazione di un connettore di ricezione SMTP.
Passo 3: Utilizzare Shell per disabilitare X-ANONYMOUSTLS sul nuovo connettore di ricezione
È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Connettori di ricezione" nell'argomento Autorizzazioni di trasporto.
Nota
Non è possibile utilizzare EMC per eseguire questa procedura.
Utilizzare il cmdlet Set-ReceiveConnector per disabilitare TLS sul connettore di ricezione appena creato. In questo esempio viene disabilitato TLS sul connettore di ricezione WAN sul server Hub01.
Set-ReceiveConnector Hub01\WAN -SuppressXAnonymousTLS $true
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-ReceiveConnector.
Passo 4: Utilizzare Shell per designare i siti di Active Directory su entrambi i lati della connessione WAN come siti hub
È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Gestione del collegamento al sito e del sito di Active Directory" nell'argomento Autorizzazioni di trasporto.
Nota
Non è possibile utilizzare EMC per eseguire questa procedura.
Utilizzare il cmdlet Set-AdSite per configurare un sito di Active Directory specifico come sito hub. È necessario eseguire questa operazione una volta in ogni sito che dispone di server Trasporto Hub che partecipano al traffico non crittografato.
In questo esempio viene configurato il sito di Active Directory Central Office Site 1 come sito hub.
Set-AdSite "Central Office Site 1" -HubSiteEnabled $true
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-AdSite.
Passo 5: Utilizzare Shell per verificare che il percorso di routing più economico passi attraverso la connessione WAN
È necessario assegnare le autorizzazioni prima di poter eseguire questo cmdlet. Per visualizzare quali autorizzazioni sono necessarie, vedere "Gestione del collegamento al sito e del sito di Active Directory" nell'argomento Autorizzazioni di trasporto.
Nota
Non è possibile utilizzare EMC per eseguire questa procedura.
In base a come vengono configurati i costi del collegamento al sito IP in Active Directory, questo passo potrebbe non essere necessario. È necessario verificare che il collegamento alla rete con i dispositivi WOC si trovi sul percorso del messaggio più economico. In caso contrario, sarà necessario assegnare un costo specifico di Exchange al collegamento al sito IP particolare per garantire che il routing dei messaggi venga eseguito correttamente. Per ulteriori informazioni a questo proposito, vedere "Configurazione dei costi del collegamento di sito" in Disabilitazione TLS tra i siti Active Directory per supportare l'ottimizzazione WAN.
In questo esempio viene configurato un costo specifico di Exchange pari a 15 sul collegamento al sito IP Branch Office 2-Branch Office 1.
Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-AdSiteLink.