在 Active Directory 网站之间禁用 TLS
适用于:Exchange Server 2013
Microsoft Exchange Server 2013 支持禁用邮箱服务器之间的 SMTP 通信的 TLS,这些服务器位于特定的拓扑中,其中使用了可压缩 SMTP 通信的 WAN 优化控制器 (WOC) 设备。
本主题提供有关如何在受影响的邮箱服务器中配置传输服务以禁用 TLS 并确保 Active Directory 路由拓扑配置为正确路由邮件的分步说明。 若要了解有关此方案的详细信息,请参阅 方案:将 Exchange 配置为支持 WAN 优化控制器。
开始前,有必要了解什么?
估计完成该任务的时间:60 分钟。
尽管完成本方案中的单个配置步骤不需要太多权限,但要完成整个端到端方案任务,您的帐户则需要是组织管理角色组的成员。
确保仅对通过 WOC 设备的连接禁用 TLS。
该步骤要求在多个 Active Directory 站点中部署 Exchange 2013,且至少有一个站点通过 WAN 链接连接到其他站点。
该步骤要求将 WOC 设备部署为压缩通过 WAN 链接的 SMTP 通信。
该步骤要求通过已部署 WOC 设备的 WAN 链接的 Exchange 存在逻辑邮件流路径。
若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键。
提示
是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。
步骤 1:使用 Shell 将邮箱服务器上的传输服务配置为使用降级Exchange Server身份验证
要配置邮箱服务器上的传输服务以使用降级的 Exchange Server 身份验证,请运行以下命令:
Set-TransportService <ServerIdentity> -UseDowngradedExchangeServerAuth $true
本示例在名为 Mailbox01 的服务器上进行了此项配置更改。
Set-TransportService Mailbox01 -UseDowngradedExchangeServerAuth $true
步骤 2:在目标 Active Directory 站点的邮箱服务器上创建专用接收连接器
使用 EAC 创建接收连接器
在 Exchange 管理中心 (EAC) 中,单击“邮件流>接收连接器”,然后单击“。
在“新建接收连接器”向导的第一页上,输入以下值
名称:输入描述性值。
类型:内部
When you are finished, click Next.
在 “新建接收连接器 ”向导的第二页上的 “远程设置” 部分中,输入目标 Active Directory 站点的 IP 地址或 IP 地址范围。 完成后,单击“完成”。
使用命令行管理程序创建接收连接器
要在邮箱服务器上创建接收连接器,请运行以下命令:
New-ReceiveConnector -Name <Name> -Server <ServerIdentity> -RemoteIPRanges <IPAddressRange> -Internal
本示例在名为 Mailbox01 的服务器上创建了名为 WAN 的接收连接器,具有如下设置:
RemoteIPRanges 参数设置为 10.0.2.0/24。 此 IP 地址范围应对应于远程 Active Directory 站点,接收连接器将从该站点接收未加密的连接。 如果远程站点中有多个 IP 子网,可以全部输入用逗号分隔的 IP 子网。
使用类型设置为"内部"。
New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal
步骤 3:使用 Shell 在专用接收连接器上禁用 TLS
要在接收连接器上禁用 TLS,请运行以下命令:
Set-ReceiveConnector <ReceiveConnectorIdentity> -SuppressXAnonymousTLS $true
本示例禁用了名为 Mailbox01 的邮箱服务器上名为 WAN 的接收连接器的 TLS。
Set-ReceiveConnector Mailbox01\WAN -SuppressXAnonymousTLS $true
步骤 4:使用 Shell 将 Active Directory 站点指定为中心站点
要将 Active Directory 站点指定为中心站点,请运行以下命令:
Set-AdSite <ADSiteIdentity> -HubSiteEnabled $true
需要在每个拥有参与非加密通信的邮箱服务器的 Active Directory 站点中执行一次该步骤。
本示例将名为"中心办公室站点 1"的 Active Directory 站点配置为中心站点。
Set-AdSite "Central Office Site 1" -HubSiteEnabled $true
步骤 5:使用 Shell 通过 WAN 连接配置成本最低的路由路径
根据在 Active Directory 中配置 IP 站点链接成本的方式,可能不需要执行此步骤。 需要验证部署的 WOC 设备的网络链接是否位于成本最低的路由路径中。 若要查看 Active Directory 站点链接成本以及特定于 Exchange 的站点链接成本,请运行以下命令:
Get-AdSiteLink
如果部署的 WOC 设备的网络链接不在成本最低的路由路径上,则需要为特定 IP 站点链接分配特定于 Exchange 的成本,以确保正确路由邮件。 若要了解有关此特定问题的详细信息,请参阅 方案:配置 Exchange 以支持 WAN 优化控制器中的“配置特定于 Exchange 的 Active Directory 站点链接成本”部分。
本示例在名为"分支机构 2-分支机构 1"的 IP 站点链接上将特定于 Exchange 的开销配置为 15。
Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15