WAN 組織の最適化のサポートのために、Active Directory サイト間の TLS を無効にする
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2009-12-01
Microsoft Exchange Server 2007 では、ハブ トランスポート サーバー間のすべての SMTP 通信に対するトランスポート層セキュリティ (TLS) の暗号化は必要不可欠です。この暗号化によって、ハブ間の通信の全体的なセキュリティが強化されます。ただし、WAN 最適化コントローラー (WOC) デバイスを使用する特定のトポロジでは、SMTP トラフィックの TLS 暗号化が望ましくない状況になる場合があります。Exchange Server 2010 では、これらの特定のシナリオでのハブ間通信に対する TLS の無効化をサポートします。
次の図に示すトポロジについて考えてみます。この 4 つのサイト トポロジの仮説では、2 つの本社サイトと支社 2 を正しく接続し、本社サイト 1 と支社 1 間を WAN リンク経由で接続しています。このリンク上に WOC デバイスを設置して、WAN 上のトラフィックを圧縮および最適化します。
WOC デバイスを使用したネットワーク トポロジ例
このトポロジでは、Exchange 2010 はハブ トランスポート サーバー間の通信に TLS 暗号化を使用するため、WAN リンク経由の SMTP トラフィックを圧縮できません。理想をいえば、適切に接続されたサイト内の TLS セキュリティを維持しながら WAN リンク経由のすべての SMTP トラフィックは、暗号化されていない SMTP にするべきです。Exchange 2010 では、受信コネクタを構成することでサイト間のトラフィックに対する TLS 暗号化を無効にすることができます。Exchange 2010 に備えられたこの機能を使用すると、次の図に示すように本社サイト 1 と支社 1 の間の SMTP トラフィックに対して例外を構築できます。
優先する論理メッセージ フロー
暗号化されていない SMTP トラフィックを WAN リンクを通過するメッセージのみに制限する構成を推奨しています。したがって、全サイトのサイト内のハブ間トラフィックと、支社 1 を含まないサイト間のハブ間通信はすべて TLS で暗号化する必要があります。
最終的にこのような構成を構築するには、WOC デバイスを含むサイト (トポロジ例の本社サイト 1 と支社 1) のすべてのハブ トランスポート サーバーで以下の操作を指示どおりの順序で実行する必要があります。
ダウングレードされた Exchange サーバーの認証を有効にします。
WOC デバイスが備えられた接続を経由するトラフィックを処理するための受信コネクタを作成します。
新規の受信コネクタのリモート IP アドレス範囲プロパティを、リモート サイトのハブ トランスポート サーバーの IP アドレス範囲に構成します。
新規の受信コネタクで TLS を無効にします。
さらに、作成した新規の受信コネタクで WAN 上のすべての SMTP トラフィックが確実に処理されるように、次の操作を実行する必要があります。
TLS 以外の通信に参加するサイト (トポロジ例の本社サイト 1 と支社サイト 1) をハブ サイトとして構成し、すべてのメッセージ フローが新規の受信コネクタを通過するようにします。
リモート サイト (トポロジ例の支社 1) への最小コスト ルーティング パスが WOC デバイスを備えたネットワーク リンクを確実に通過するように、IP サイト リンク コストが構成されていることを確認します。
これらの各手順の概要については、以下のセクションで説明します。TLS を無効にするためのハブ トランスポート サーバーの構成についての詳しい手順については、「匿名 TLS 接続を抑制する」を参照してください。
トランスポート サーバーの管理に関連する管理タスクについては、「トランスポート サーバーの管理」を参照してください。
目次
TLS が無効な接続を経由する認証のダウングレード
受信コネクタの作成と構成
ハブ サイトの作成
サイト リンク コストの構成
TLS が無効な接続を経由する認証のダウングレード
Exchange での TLS 暗号化では、Kerberos 認証が使用されます。ハブ間通信で TLS を無効にする場合、別の形式の認証を実行する必要があります。Exchange 2010 が、Exchange Server 2003 サーバーなど、X-ANONYMOUSTLS をサポートしていない Exchange を実行するその他のサーバーと通信する場合、GSSAPI (Generic Security Services Application Programming Interface) 認証の使用にフォールバックします。Exchange 2010 ハブ トランスポート サーバー間のすべての通信は、X-ANONYMOUSTLS を使用します。ダウングレードされた Exchange サーバーの認証を使用するようにハブ トランスポート サーバーを構成することで、他の Exchange 2010 ハブ トランスポート サーバーと通信するときに GSSAPI を使用するようにこの認証を有効化できます。
ページのトップへ
受信コネクタの作成と構成
TLS 以外で暗号化されたトラフィックのみを処理する受信コネクタを作成する必要があります。このために独立した受信コネクタを使用すると、WAN リンクを通過しないすべてのトラフィックが TLS 暗号化によって保護された状態になります。
新規の受信コネクタを WAN 上のトラフィックにのみ制限するには、リモート IP アドレス範囲プロパティを構成する必要があります。Exchange は、常時明確なリモート IP アドレスの範囲を持つコネクタを使用します。したがって、どこからでもメッセージを受信するように構成された既定の受信コネクタよりもこれらの新規コネクタが優先されます。
トポロジ例に話を戻すと、本社サイト 1 ではクラス C サブネット 10.0.1.0/24 を使用し、支社 1 では 10.0.2.0/24 を使用するとします。これらの 2 つのサイト間で TLS を無効にするには、以下の手順を実行する必要があります。
本社サイト 1 と支社 1 の各ハブ トランスポート サーバーで受信コネクタ (WAN と呼ばれます) を作成します。
本社サイト 1 の新しい各受信コネクタで、リモート IP アドレスの範囲として 10.0.2.0/24 を設定します。
支社サイト 1 の新しい各受信コネクタで、リモート IP アドレスの範囲として 10.0.1.0/24 を設定します。
新規の受信コネクタすべてで TLS を無効にします。
次の図に最終的な結果を示します (WAN 受信コネクタのリモート IP アドレスの範囲プロパティをかっこで示します)。支社 1 ではハブ トランスポート サーバーを 1 台だけを示します。明確にするために支社 2 は省略しています。
受信コネクタの構成
ページのトップへ
ハブ サイトの作成
既定では、Exchange 2010 ハブ トランスポート サーバーは、指定したメッセージの最終送信先に最も近いハブ トランスポート サーバーに直接接続しようとします。トポロジ例では、支社 2 のユーザーが支社 1 のユーザーにメッセージを送信する場合、支社 2 のハブ トランスポート サーバーは支社 1 のハブ トランスポート サーバーに接続して、当該メッセージを直接配信します。この接続は暗号化されるため、特定のトポロジでは妥当なものではありません。このようなメッセージを本社サイト 1 のハブ トランスポート サーバーを通過させる、つまり、WAN リンク上を移動する間にメッセージが暗号化されないようにするには、本社サイト 1 と支社 1 をハブ サイトとして構成する必要があります。つまり、TLS を無効にした受信コネクタがあるハブ トランスポート サーバーを設置しているサイトはすべて、ハブ サイトとして構成する必要があり、このように構成することにより、他のサイトのサーバーがハブ サイトを経由してトラフィックをルーティングするようにできます。ハブ サイトの詳細については、「メッセージ ルーティングについて」の「ハブ サイトの実装」を参照してください。
ページのトップへ
サイト リンク コストの構成
すべてのトラフィックを確実に WAN リンク上で暗号化しないようにするためには、ハブ サイトを構成するだけでは十分ではありません。これは、Exchange がハブ サイトが最小コストのルーティング パス内にある場合にのみこのハブ サイトを通過してメッセージをルーティングするためです。たとえば、Active Directory 内でトポロジ例の IP サイト リンク コストが、次の図に示すように構成されているとします (明確にするために本社 2 は省略しています)。
トポロジ例のための IP サイト リンク コスト
この場合、ハブ サイトを通過する支社 2 から支社 1 までのパスには、合計 12 (6+6) のコストがありますが、ダイレクト パスのコストは 10 です。したがって、支社 2 から支社 1 までのメッセージは本社サイト 1 を通過しないため、そのトラフィックすべては依然として TLS を使用して暗号化されます。
この問題を回避するには、次の図で示すように、支社 2 と支社 1 の間の IP サイト リンクよりも大きい Exchange 固有のコストを指定する必要があります。これにより、すべてのメッセージが本社サイト 1 と支社 1 の間の暗号化されないチャンネルを通過するようになります。
Exchange 固有の IP サイト リンク コストで構成されるトポロジ例
Exchange 固有の IP サイト リンク コストの構成の詳細については、「メッセージ ルーティングについて」の「IP サイト リンクのコストの制御」を参照してください。
ページのトップへ
© 2010 Microsoft Corporation.All rights reserved.