Desabilitando TLS entre sites do Active Directory para otimização de WAN de suporte
Tópico modificado em: 2009-12-01
No Microsoft Exchange Server 2007, a criptografia TLS é obrigatória para todas as comunicações SMTP entre servidores de Transporte de Hub. Isso aumenta a segurança geral das comunicações entre hubs. No entanto, em certas topologias nas quais dispositivos WOC (Controladores de Otimização de WAN) são usados, a criptografia TLS do tráfego SMTP pode não ser desejada. O Exchange Server 2010 permite desabilitar o TLS para comunicações entre hubs nesses cenários específicos.
Considere a topologia mostrada na figura a seguir. Presume-se nesta topologia de quatro sites que os dois sites do escritório central e do Escritório de Filial 2 estejam bem conectados, enquanto a conexão entre o Site do Escritório Central 1 e o Escritório de Filial 1 se dá por um link WAN. A empresa instalou dispositivos WOC nesse link para compactar e otimizar o tráfego pela WAN.
Topologia de rede de exemplo com dispositivos WOC
Nessa topologia, como o Exchange 2010 usa criptografia TLS para comunicação entre servidores de Transporte de Hub, o tráfego SMTP que passa pelo link WAN não pode ser compactado. O ideal seria que todo o tráfego SMTP que passasse pelo link WAN fosse SMTP sem criptografia, mas que a segurança TLS fosse mantida entre sites bem conectados. O Exchange 2010 oferece essa opção de desabilitar a criptografia TLS para o tráfego entre sites configurando conectores de recebimento. Usando essa capacidade no Exchange 2010, você pode configurar uma exceção para o tráfego SMTP entre o Site do Escritório Central 1 e o Escritório de Filial 1, como na figura a seguir.
Fluxo de mensagens lógicas preferenciais
A configuração recomendada é limitar o tráfego SMTP sem criptografia apenas às mensagens que passam pelo link WAN. Sendo assim, o tráfego de hub a hub que se dá dentro de todos os sites e as comunicações de hub a hub entre sites que não envolvam o Escritório de Filial 1 devem ser criptografados com TLS.
Para alcançar esse resultado final, você precisa fazer o seguinte, na ordem especificada, em todos os servidores de Transporte de Hub em sites que contenham dispositivos WOC (Site do Escritório Central 1 e Escritório de Filial 1 na topologia de exemplo):
- Habilite a autenticação cujo downgrade foi feito do Exchange Server.
- Crie um conector de recebimento para lidar com o tráfego pela conexão que possui o dispositivo WOC.
- Configure a propriedade de intervalo de endereço IP remoto do novo conector de recebimento para os intervalos de endereço IP dos servidores de Transporte de Hub no site remoto.
- Desabilite o TLS no novo conector de recebimento.
Além disso, você precisa fazer o seguinte para garantir que todo o tráfego de SMTP pela WAN seja manipulado pelos novos conectores de recebimento criados:
- Configure os sites que irão participar da comunicação sem TLS como sites de hub para forçar o fluxo de todas as mensagens pelos novos conectores de recebimento (Site do Escritório Central 1 e Site do Escritório de Filial 1 na topologia de exemplo).
- Verifique se os custos do link do site de IP estão configurados de forma a garantir que o caminho de roteamento de menor custo para seu site remoto (Escritório de Filial 1 na topologia de exemplo) passe pelo link de rede que possui os dispositivos WOC.
As seções a seguir fornecem uma visão geral de cada uma dessas etapas. Para instruções passo a passo sobre como configurar seus servidores de Transporte de Hub para desabilitar o TLS, consulte Suprimir conexões TLS anônimas.
Procurando tarefas de gerenciamento relacionadas ao gerenciamento de servidores de transporte? Consulte Gerenciando Servidores de Transporte.
Sumário
Autenticação com downgrade em conexões com TLS desativado
Criando e configurando conectores de recebimento
Criando sites de hub
Configurando os custos de link de site
Autenticação com downgrade em conexões com TLS desativado
A autenticação Kerberos é usada com criptografia TLS no Exchange. Ao desabilitar o TLS em comunicações de hub a hub, você terá que realizar outra forma de autenticação. Quando o Exchange 2010 se comunica com outros servidores que executam o Exchange e não oferecem suporte a X-ANONYMOUSTLS, como os servidores do Exchange Server 2003, ele passa a usar autenticação GSSAPI. Todas as comunicações entre servidores de Transporte de Hub do Exchange 2010 usam X-ANONYMOUSTLS. Ao configurar seu servidor de Transporte de Hub para usar autenticação do Exchange Server cujo downgrade foi feito, você estará habilitando-o para usar GSSAPI ao se comunicar com outros servidores de Transporte de Hub do Exchange 2010.
Retornar ao início
Criando e configurando conectores de recebimento
É preciso criar conectores de recebimento que sejam responsáveis única e exclusivamente por lidar com o tráfego sem criptografia TLS. O uso de conectores de recebimento separados para esse propósito garante que todo o tráfego que não passe pelo link de WAN continue protegido pela criptografia TLS.
Para restringir os novos conectores de recebimento apenas ao tráfego pela WAN, é preciso configurar a propriedade de intervalo de endereço IP remoto. O Exchange sempre usa o conector com o intervalo de endereço IP remoto mais específico. Sendo assim, esses novos conectores têm a preferência sobre o conector de recebimento padrão configurado para receber mensagens de qualquer lugar.
Voltando à topologia de exemplo, suponha que a sub-rede de classe C 10.0.1.0/24 seja usada para o Site do Escritório Central 1 e que 10.0.2.0/24 seja usada para o Escritório de Filial 1. Para se preparar para desabilitar o TLS entre esses dois sites, é preciso:
- Criar um conector de recebimento (chamado WAN) em cada servidor de Transporte de Hub do Site do Escritório Central 1 e no Escritório de Filial 1.
- Configurar o intervalo de endereço IP remoto de 10.0.2.0/24 em cada conector de recebimento novo no Site do Escritório Central 1.
- Configurar o intervalo de endereço IP remoto de 10.0.1.0/24 em cada conector de recebimento novo do Escritório de Filial 1.
- Desabilitar o TLS em todos os novos conectores de recebimento.
O resultado final é mostrado na figura a seguir (com a propriedade de intervalo de endereço IP remoto dos Conectores de recebimento da WAN entre parênteses). Para tornar o exemplo mais claro, apenas um servidor de Transporte de Hub é mostrado no Escritório de Filial 1, e o Escritório de Filial 2 é omitido.
Configuração do conector de recebimento
Retornar ao início
Criando sites de hub
Por padrão, um servidor de Transporte de Hub do Exchange 2010 tentará uma conexão direta com o servidor de Transporte de Hub mais próximo ao destino final de uma mensagem específica. Na topologia de exemplo, se um usuário no Escritório de Filial 2 enviar uma mensagem para um usuário no Escritório de Filial 1, o servidor de Transporte de Hub no Escritório de Filial 2 irá se conectar ao servidor de Transporte de Hub no Escritório de Filial 1 diretamente para entregar a mensagem. Essa conexão será criptografada e, por consequência, indesejável na topologia específica. Para que essas mensagens passem pelos servidores de Transporte de Hub no Site do Escritório Central 1, garantindo que não sejam criptografadas enquanto transitam pelo link da WAN, o Site do Escritório Central 1 e o Escritório de Filial 1 devem ser configurados como sites de hub. Resumindo, qualquer site que tenha um servidor de Transporte de Hub com um conector de recebimento com TLS desabilitado precisa ser configurado como um site de hub, para que você possa forçar servidores em outros sites a rotear tráfego por esse site. Para obter mais informações sobre sites de hub, consulte "Implementando sites de hub" em Noções Básicas Sobre Roteamento de Mensagens.
Retornar ao início
Configurando os custos de link de site
Apenas configurar sites de hub não basta para garantir que todo o tráfego pelo link de WAN não seja criptografado. Isso ocorre porque o Exchange roteará as mensagens por sites de hub apenas se o site de hub estiver no caminho de roteamento de menor custo. Por exemplo, suponha que os custos de link de site de IP em nossa topologia de exemplo estejam configurados no Active Directory, como mostrado na figura a seguir (o Site do Escritório Central 2 foi omitido para tornar o exemplo mais claro).
Custos do link do site de IP para a topologia de exemplo
Nesse caso, o caminho do Escritório de Filial 2 para o Escritório de Filial 1 que passa pelo site de hub tem custo total de 12 (6+6), enquanto o custo do caminho direto é 10. Sendo assim, nenhuma das mensagens do Escritório de Filial 2 para o Escritório de Filial 1 passará pelo Site do Escritório Central 1, e todo o tráfego continuará sendo criptografado com TLS.
Para evitar esse problema, você precisa designar um custo específico do Exchange que seja maior do que 12 para o link de site de IP entre o Escritório de Filial 2 e o Escritório de Filial 1, como mostrado na figura a seguir. Isso irá garantir que todas as mensagens passem pelo canal não criptografado entre o Site do Escritório Central 1 e o Escritório de Filial 1.
Topologia de exemplo configurada com custos de link de site IP específicos do Exchange
Para obter mais informações sobre como configurar os custos de link do site de IP específicos do Exchange, consulte "Controlando custos de link do site de IP" em Noções Básicas Sobre Roteamento de Mensagens.
Retornar ao início