在 Active Directory 网站之间禁用 TLS

  • 项目

适用于:Exchange Server 2013

Microsoft Exchange Server 2013 支持禁用邮箱服务器之间的 SMTP 通信的 TLS,这些服务器位于特定的拓扑中,其中使用了可压缩 SMTP 通信的 WAN 优化控制器 (WOC) 设备。

本主题提供有关如何在受影响的邮箱服务器中配置传输服务以禁用 TLS 并确保 Active Directory 路由拓扑配置为正确路由邮件的分步说明。 若要了解有关此方案的详细信息,请参阅 方案:将 Exchange 配置为支持 WAN 优化控制器

开始前,有必要了解什么?

  • 估计完成该任务的时间:60 分钟。

  • 尽管完成本方案中的单个配置步骤不需要太多权限,但要完成整个端到端方案任务,您的帐户则需要是组织管理角色组的成员。

  • 确保仅对通过 WOC 设备的连接禁用 TLS。

  • 该步骤要求在多个 Active Directory 站点中部署 Exchange 2013,且至少有一个站点通过 WAN 链接连接到其他站点。

  • 该步骤要求将 WOC 设备部署为压缩通过 WAN 链接的 SMTP 通信。

  • 该步骤要求通过已部署 WOC 设备的 WAN 链接的 Exchange 存在逻辑邮件流路径。

  • 若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange Server 的论坛。

步骤 1:使用 Shell 将邮箱服务器上的传输服务配置为使用降级Exchange Server身份验证

要配置邮箱服务器上的传输服务以使用降级的 Exchange Server 身份验证,请运行以下命令:

Set-TransportService <ServerIdentity> -UseDowngradedExchangeServerAuth $true

本示例在名为 Mailbox01 的服务器上进行了此项配置更改。

Set-TransportService Mailbox01 -UseDowngradedExchangeServerAuth $true

步骤 2:在目标 Active Directory 站点的邮箱服务器上创建专用接收连接器

使用 EAC 创建接收连接器

  1. 在 Exchange 管理中心 (EAC) 中,单击“邮件流>接收连接器”,然后单击“添加”图标。

  2. 在“新建接收连接器”向导的第一页上,输入以下值

    • 名称:输入描述性值。

    • 类型:内部

    When you are finished, click Next.

  3. “新建接收连接器 ”向导的第二页上的 “远程设置” 部分中,输入目标 Active Directory 站点的 IP 地址或 IP 地址范围。 完成后,单击“完成”

使用命令行管理程序创建接收连接器

要在邮箱服务器上创建接收连接器,请运行以下命令:

New-ReceiveConnector -Name <Name> -Server <ServerIdentity> -RemoteIPRanges <IPAddressRange> -Internal

本示例在名为 Mailbox01 的服务器上创建了名为 WAN 的接收连接器,具有如下设置:

  • RemoteIPRanges 参数设置为 10.0.2.0/24。 此 IP 地址范围应对应于远程 Active Directory 站点,接收连接器将从该站点接收未加密的连接。 如果远程站点中有多个 IP 子网,可以全部输入用逗号分隔的 IP 子网。

  • 使用类型设置为"内部"。

New-ReceiveConnector -Name WAN -Server Hub01 -RemoteIPRanges 10.0.2.0/24 -Internal

步骤 3:使用 Shell 在专用接收连接器上禁用 TLS

要在接收连接器上禁用 TLS,请运行以下命令:

Set-ReceiveConnector <ReceiveConnectorIdentity> -SuppressXAnonymousTLS $true

本示例禁用了名为 Mailbox01 的邮箱服务器上名为 WAN 的接收连接器的 TLS。

Set-ReceiveConnector Mailbox01\WAN -SuppressXAnonymousTLS $true

步骤 4:使用 Shell 将 Active Directory 站点指定为中心站点

要将 Active Directory 站点指定为中心站点,请运行以下命令:

Set-AdSite <ADSiteIdentity> -HubSiteEnabled $true

需要在每个拥有参与非加密通信的邮箱服务器的 Active Directory 站点中执行一次该步骤。

本示例将名为"中心办公室站点 1"的 Active Directory 站点配置为中心站点。

Set-AdSite "Central Office Site 1" -HubSiteEnabled $true

步骤 5:使用 Shell 通过 WAN 连接配置成本最低的路由路径

根据在 Active Directory 中配置 IP 站点链接成本的方式,可能不需要执行此步骤。 需要验证部署的 WOC 设备的网络链接是否位于成本最低的路由路径中。 若要查看 Active Directory 站点链接成本以及特定于 Exchange 的站点链接成本,请运行以下命令:

Get-AdSiteLink

如果部署的 WOC 设备的网络链接不在成本最低的路由路径上,则需要为特定 IP 站点链接分配特定于 Exchange 的成本,以确保正确路由邮件。 若要了解有关此特定问题的详细信息,请参阅 方案:配置 Exchange 以支持 WAN 优化控制器中的“配置特定于 Exchange 的 Active Directory 站点链接成本”部分。

本示例在名为"分支机构 2-分支机构 1"的 IP 站点链接上将特定于 Exchange 的开销配置为 15。

Set-AdSiteLink "Branch Office 2-Branch Office 1" -ExchangeCost 15