Exchange 2010 和 TLS 1.2

在上一篇博文中，我讨论了有关 Outlook 2010 和 TLS 1.2 的问题。同时，这提醒我，微软将于 2018 年 10 月 31 日取消 Office 365 中对 TLS 1.0 和 TLS 1.1 的支持，如 https://support.microsoft.com/en-us/help/4057306 中所述/preparing-for-tls-1-2-in-office-365。这意味着，当您因协议较旧且较弱而与 Office 365 出现通信问题时，您将无法获得任何支持。是时候做一些研究了……

现有 Exchange 2010 环境

正如您在这一方面所看到的，我仍然是 Exchange 2010 的忠实粉丝，并且还拥有一个正在运行的纯 Exchange 2010 混合环境它看起来像这样：

MX 记录指向我的 Exchange 2010 边缘传输服务器（在 Windows 2008 R2 上运行），Webmail 和自动发现通过 F5 LTM 负载平衡器路由到Exchange 2010 CAS/HUB/邮箱服务器（也在 Windows 2008 R2 上运行），并且直接在 Exchange 2010 上配置混合（对于混合邮件流，我使用单独的 FQDN，o365mail.inframan.nl），无需任何 Exchange 2013 或 Exchange 2016年服务器。

那么，如何测试 Exchange 2010 服务器使用哪个 TLS 版本？在 Exchange 2010 中，这应该使用协议日志文件来完成。 Exchange 2010 中的邮件标头不包含足够的信息来显示此 TLS 信息。因此，您必须为适当的接收连接器和发送连接器启用协议日志记录。在我的环境中，这意味着 Exchange 2010 边缘传输服务器上的默认接收连接器（用于来自其他租户的 O365 流量）、Internet 发送连接器的默认第一个站点名称以及 Exchange 2010 服务器和 Office 365 之间的两个连接器杂交种。分析协议日志文件最好在 Excel 中完成（作为 CSV 文件导入）。分析时，查找类似 TLS 协议 SP_PROT_TLS1_0_SERVER（接收时）或 TLS 协议 SP_PROT-TLS1_0_CLIENT（发送时）的字符串。使用 TLS 1.2 时，查找类似 TLS 协议 SP_PROT_TLS1_2_SERVER 和 TLS 协议 SP_PROT-TLS1_2_CLIENT 的字符串。

从 Exchange 2010 向 Office 365（在另一个租户中）发送电子邮件时，我们可以看到它使用 TLS 1.0 从边缘传输服务器 (smtphost.inframan.nl) 路由到 Exchange Online Protection (EOP)，如以下屏幕截图所示（点击放大）：

使用混合连接器从 Exchange 2010 向 Office 365 发送电子邮件时，我们可以看到它也使用 TLS 1.0（点击放大）：

您必须相信我会提供其他协议日志文件，但 Exchange 2010 和 Office 365 之间的通信默认基于 TLS 1.0。

启用 TLS 1.2

在 Windows 2008 R2 SP1 中，支持 TLS 1.2，但默认情况下处于禁用状态。当然，服务器应该完全打补丁，并且应该包括 KB3161949、KB3080079 和 KB3154518（适用于 .NET Framework 3.5.1）。

如果您在 Windows 2012 上运行 Exchange 2010（其中 TLS 1.2 是默认安全协议），则应安装 KB3161949 和 KB3154519（适用于 .NET Framework 3.5.1 ）。 Exchange 2010 本身应配置汇总更新 RU19 或更高版本以支持 TLS 1.2。

要在 Exchange 2010 中启用 TLS 1.2，请在服务器上创建以下注册表项，在我的示例中是 Exchange 2010 边缘传输服务器和 Exchange 2010年多角色服务器：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
“DisabledByDefault”=dword:00000000
“启用”=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
“DisabledByDefault”=dword:00000000
“启用”=dword:00000001

这些条目显示在以下屏幕截图中（点击放大）：

创建后，重新启动服务器以激活这些更改。

下一步是为 .NET Framework 3.5.1 启用 TLS 1.2。为此，请进行以下注册表更改：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
“SystemDefaultTlsVersions”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
“SystemDefaultTlsVersions”=dword:00000001

请注意两个条目之间的差异。第一个位于 SOFTWARE\Microsoft 节点（如下所示），第二个位于 SOFTWARE\Wow6432Node 节点！

重新启动服务器就可以了。

测试新的 TLS 1.2 设置（当然）与上述测试类似。 从 Exchange 2010 向 Office 365（不同租户）发送电子邮件并检查协议日志文件时，清晰可见现在使用 TLS 1.2（点击放大）。

通过混合连接接收电子邮件时，现在也使用 TLS 1.2（点击放大）：

概括

Exchange 2010 可以使用 TLS 1.2，但默认情况下处于禁用状态。通过将 Exchange 2010 服务器修补到适当的级别并进行正确的注册表更改，您可以启用 TLS 1.2。这样您就可以轻松应对 Office 365 中即将发生的变化。

请注意，我们此时仅启用了 TLS 1.2，未禁用 TLS 1.0 和 TLS 1.1。

Microsoft 停止对 TLS 1.0 和 TLS 1.1 的支持。这意味着它将继续使用 TLS 1.0 和 TLS 1.1，但首选通信方式是 TLS 1.2。如果 Microsoft 使用 TLS 1.2 联系您的 Exchange 服务器，而您的服务器不接受这一点，您可能会遇到通信问题。然后您就会遇到不受支持的情况，您必须在没有 Microsoft 帮助的情况下修复该情况。

更多信息

• Exchange Server TLS 指南，第 1 部分：为 TLS 1.2 做好准备 - https://blogs.technet .microsoft.com/exchange/2018/01/26/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/
• Exchange Server TLS 指南第 2 部分：启用 TLS 1.2 并识别未使用它的客户端 - https:// blogs.technet.microsoft.com/exchange/2018/04/02/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and-identifying-clients-not-using-it/
• Exchange Server TLS 指南第 3 部分：关闭 TLS 1.0/1.1 - https://blogs.technet .microsoft.com/exchange/2018/05/23/exchange-server-tls-guidance-part-3-turning-off-tls-1-01-1/

最后更新时间：2018 年 10 月 26 日