Postup při konfiguraci protokolu IPSec na Exchange Server 2003-serverové části serveru se systémem v clusteru systému Windows Server 2003 Server

Překlady článku Překlady článku
ID článku: 821839 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravou registru, nezapomeňte vytvořit zálohu a ujistěte se, že víte, jak registr obnovit v případě, že dojde k potížím. Informace o zálohování, obnovení a úpravách registru získáte následujícím článku znalostní báze Microsoft:
256986Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje použití protokol IPSec (IPSec) na serverech back-end Exchange 2003, které jsou spuštěny v clusteru serveru se systémem Windows Server 2003.

Společnost Microsoft podporuje Exchange 2003 spuštěný v počítačích se systémem Windows Server 2003 a pomocí protokolu IPSec clustery režimu přenosu datové části (ENCAPSULATING Security) k zašifrování komunikace s clustery servery Exchange 2003 pomocí služby Vyrovnávání zatížení sítě nebo clustery serverů. Při použití protokolu IPSec mezi servery front-end a back-end servery se časy převzetí služeb při selhání závisí na doby zotavení serveru Exchange 2003 plus doba potřebná pro prodloužit během převzetí služeb při selhání procesu přidružení zabezpečení IPSec.

Další informace

Servery front-end Exchange 2003, jako jsou například servery aplikace Outlook Web Access (OWA) nelze šifrovat přenos na serverech back-end Exchange 2003 pomocí protokol SSL (Secure Sockets Layer) (SSL) nebo Transport Layer Security (TLS). Komunikace mezi servery front-end a back-end servery vždy používá nezašifrované forem dopravy Hypertext Transfer protokol (HTTP), Post Office Protocol verze 3 (POP3), nebo použito Internet Messaging Access Protocol 4 (IMAP4).

V serveru Exchange 2003 používá protokol HTTP zabezpečené ověřování tam, kde je to možné. Server front-end Exchange 2003 používá ověřování Kerberos nebo NTLM ke komunikaci se serverem back-end, pokud na serveru back-end je nakonfigurován tak, aby přijmout integrované ověřování systému Windows. Tím, že informace o uživateli heslo chránit před uživateli se zlými úmysly, kteří se mohou pokoušet zachytit provoz v síti mezi serverem front-end a server back-end.

Protokol POP3 a IMAP4 protokol lze použít pouze základní ověřování komunikovat se serverem back-end. Z důvodu toto omezení hesla uživatele není chráněn před uživateli se zlými úmysly, kteří se mohou pokoušet návštěvnost sítě mezi serverem front-end a server back-end.

Následující seznam popisuje některé důvody, proč můžete chtít vytvořit vztah důvěryhodnosti a zašifrovat síťový provoz mezi serveru front-end Exchange 2003 a server back-end pomocí protokolu IPSec:
  • Prostředí sítě mohou vyžadovat šifrovat hesla uživatele. To je důležité klientů POP3 a IMAP4 klienty, kteří používají front-end server.
  • Požadovat šifrování všech dat provozu v síti mezi serverem front-end a server back-end. E-mailové zprávy lze považovat za citlivé a musí být zašifrován mezi serverem front-end a server back-end.
  • Bude pravděpodobně nutné bránu firewall nakonfigurována mezi serverem front-end a server back-end, umožňuje pouze připojení protokolu IPSec, nebo chcete-li odeslat veškerý síťový provoz prostřednictvím této brány firewall prostřednictvím jediného portu.
K provádění těchto úkolů, můžete nakonfigurovat IPSec vytvořit vztah důvěryhodnosti a zašifrovat síťový provoz mezi serveru front-end a serverem back-end. V tomto scénáři je podporován v systému Windows Server 2003, zda jsou používány technologie pro podporu clusterů, či nikoli, ale scénář, který je podporován pouze v konfiguracích systému Microsoft Windows 2000 Server, použít prostředí bez clusterů. Další informace o použití protokolu IPSec v clusteru systému Windows 2000 Server nebo clusteru programu pro rozložení zátěže sítě získáte v následujících článcích v databázi Microsoft Knowledge Base:
306677Protokol IPSec není určený pro převzetí služeb při selhání
248346Relace protokolu L2TP ztracených při přidání serveru clusteru rozložení zátěže sítě
Při konfiguraci protokolu IPSec na serveru back-end v serverovém clusteru Windows Server 2003, následující chování nastává při použití nástroje Správce clusterů přesuňte clusterový prostředek, který používá virtuální adresu IP:
  1. Virtuální adresa IP je programově odebrán z prvního uzlu clusteru.
  2. Odebrání virtuální adresu IP z prvního uzlu clusteru způsobí, že IPSec "čistě" odebrat stav přidružení zabezpečení protokolu IPSec se serverem front-end.
  3. Pokud front-end server se stále pokusí připojit k serveru back-end, vyjednávání protokol IPSec Internet Key Exchange (IKE) se okamžitě pokusí prodloužit přidružení zabezpečení s novou uzlu clusteru back-end.
  4. Při nový uzel clusteru back-end konfiguruje sebe sama virtuální adresu IP, součásti protokolu IPSec v daném uzlu reaguje na serveru front-end a vytváří nové přidružení zabezpečení IPSec.
Tento postup může trvat přibližně 3 až 6 však skutečný čas závisí na oba uzly clusteru a síťové podmínky, které existují v průběhu tohoto procesu zatížení PROCESORU.

Clusterová služba v situaci, kdy uzlu clusteru back-end Microsoft Cluster service přestane reagovat (dojde k chybě) se spustí postup převzetí služeb při selhání pro clustery programu a virtuální adresu IP. Však v tomto případě klientské počítače s protokolem IPSec přesto domnívá že má zabezpečeného propojení virtuální adresu IP. Součásti protokolu IPSec používá svůj časovač doby nečinnosti k určení back-end uzel již neexistuje. Minimální doba nečinnosti počítače se systémem Windows 2000, je 5 minut. Počítače se systémem Windows Server 2003 dobu nečinnosti automaticky snižuje na 1 minutu Pokud je nastaven klíč registru
NLBSFlags
. Co nejdříve IPSec odebere nečinnosti přidružení zabezpečení protokolu IPSec, IKE pokusí nové sjednání nové přidružení zabezpečení IPSec. Po 1 minutě IKE se pokusí vytvořit nové vyjednávání hlavního režimu virtuální adresu IP a bude úspěšné při vytváření nového přidružení zabezpečení v novém uzlu clusteru. Tento postup celkový čas potřebný pro protokol IPSec k převzetí je 6 minut: IPSec nečinnosti 5 minut, plus 1 minutu IKE k prodloužit nové vyjednávání hlavního režimu s virtuální adresou IP.

Změna času nové sjednání

Chcete-li povolit IPSec prodloužit relace v kratší dobu po neočekávané převzetí služeb při selhání do uzlu clusteru back-end, nastavte hodnotu registru
NLBSFlags
v následujícím podklíči registru na front-end serveru Exchange 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Chcete-li tak učinit:

Upozornění: Pokud použijete Editor registru nesprávně, můžete způsobit vážné problémy, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že budete schopni vyřešit problémy, ke kterým dojde v důsledku nesprávného použití Editoru registru. Editor registru používáte na vlastní nebezpečí.
  1. Na serveru front-end Exchange 2003 klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz regedit a pak klepněte na tlačítko OK.
  3. Vyhledejte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. V pravém podokně klepněte pravým tlačítkem myši na Příznaky NLBS a potom klepněte na příkaz změnit.
  5. Do pole Údaj hodnoty zadejte hodnotu 1 (jedna) a klepněte na tlačítko OK.

    Poznámka: Po nastavení
    NLBSFlags
    hodnotu registru na 1, je celkový čas potřebný pro protokol IPSec k převzetí 2 minut: 1 minutu pro dobu nečinnosti vypršení platnosti plus 1 minutu IKE pro přidružení zabezpečení prodloužit.
  6. Ukončete Editor registru.

Navrhované zásady protokolu IPSec návrh

Při tomto článku neposkytuje podrobné pokyny ke konfiguraci zásad IPSec, mohou být použity následující implementací navrhované zásady protokolu IPSec se serverem Exchange 2003:
  • Chcete-li šifrovat hesla uživatele POP3 a IMAP4 uživatelských hesel, šifrovat přenos na serverech back-end Exchange 2003 na portu 110 (POP3) a port 143 (IMAP4) pomocí protokolu IPSec.
  • Chcete-li zašifrovat proudu skutečné zpráv na servery back-end Exchange 2003, šifrování všech přenosů na servery back-end na portu 80, port 110 a port 143 pomocí protokolu IPSec.
  • Chcete-li zašifrovat veškerou komunikaci mezi servery front-end Exchange 2003 a servery back-end Exchange 2003 a řadiče domén, šifrování veškerý síťový provoz, včetně přenosů následující:
    • Protokol LDAP Lightweight Directory Access Protocol)
    • Vzdálené volání procedur (RPC)
    • Protokol Kerberos
    • LDAP komunikaci se servery globálního katalogu
Další informace o konfiguraci protokolu IPSec vyhledání protokolu IPSec systému Windows Server 2003 centru pro nápovědu a odbornou pomoc.

Vlastnosti

ID článku: 821839 - Poslední aktualizace: 25. října 2007 - Revize: 1.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Klíčová slova: 
kbmt kbinfo KB821839 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:821839

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com