Konfigurieren von IPSec auf einem Exchange Server 2003-Back-End-Server, die auf einem Windows Server 2003-Servercluster ausgeführt wird

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 821839 - Produkte anzeigen, auf die sich dieser Artikel bezieht
wichtig : Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986Beschreibung der Microsoft Windows-Registrierung
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die Verwendung von IP-Sicherheit (IPSec) auf Exchange 2003-Back-End-Servern, die auf einem Windows 2003-Servercluster ausgeführt werden.

Microsoft unterstützt Exchange 2003 auf Windows 2003-Computer und IPSec-Transportmodus Encapsulating Security Payload (ESP) zum Verschlüsseln von Kommunikation mit Exchange 2003-Clusterserver, die den Netzwerklastenausgleich verwenden Cluster oder Servercluster. Bei Verwendung von IPSec zwischen Front-End-Servern und Back-End-Servern hängen Failoverzeiten Wiederherstellungszeit von Exchange 2003 sowie die Zeit für IPSec, d. h. mehr durch neu Sicherheitszuordnungen während des Failovers ausgehandelt.

Weitere Informationen

Front-End-Exchange 2003-Servern wie z. B. Outlook Web Access (OWA)-Server können nicht SSL (Secure Sockets Layer) oder TLS (Transport Layer Security) verwenden, um Datenverkehr zu Exchange 2003-Back-End-Servern zu verschlüsseln. Die Kommunikation zwischen Front-End-Servern und Back-End-Servern immer verwendet unverschlüsselte Formen von Netzwerkverkehr, wenn Hypertext Transfer Protocol (HTTP), Post Office Protocol, Version 3 (POP3) oder Internet Messaging Access Protocol 4 (IMAP4) verwendet werden.

In Exchange 2003 verwendet das HTTP-Protokoll sicheren Authentifizierung, soweit möglich. Der Front-End-Exchange 2003-Server verwendet Kerberos oder NTLM-Authentifizierung mit dem Back-End-Server kommunizieren, wenn der Back-End-Server, akzeptieren die integrierte Windows-Authentifizierung konfiguriert ist. Dies schützt Kennwortinformationen Benutzers von einem böswilligen Benutzer, die versuchen Aufzeichnen des Netzwerkdatenverkehrs zwischen dem Front-End-Server und Back-End-Server.

Das Protokoll POP3 und IMAP4-Protokoll können nur die Standardauthentifizierung verwenden, um mit einem Back-End-Server kommunizieren. Wegen dieser Einschränkung ist Kennwortinformationen der Benutzer nicht gegen böswillige Benutzer geschützt, die versuchen Aufzeichnen des Netzwerkdatenverkehrs zwischen dem Front-End-Server und Back-End-Server.

Der folgende Liste werden einige der Gründe, warum Sie IPSec verwenden sollten, um Vertrauensstellungen einzurichten und zum Verschlüsseln des Netzwerkverkehrs zwischen einem Exchange 2003-Front-End-Server und Back-End-Server, beschrieben:
  • Ihre Netzwerkumgebung erfordern, dass Benutzerkennwörter verschlüsselt werden. Dies ist relevant für POP3-Clients und die IMAP4-Clients, die einen Front-End-Server verwenden.
  • Benötigen Sie möglicherweise die Verschlüsselung aller Daten im Netzwerkverkehr zwischen dem Front-End-Server und Back-End-Server. Die e-Mail-Nachrichten möglicherweise vertrauliche betrachtet werden und müssen zwischen dem Front-End-Server und Back-End-Server verschlüsselt werden.
  • Möglicherweise müssen eine Firewall zwischen dem Front-End-Server und dem Back-End-Server, die nur IPSec-Verbindungen ermöglicht konfiguriert oder Sie sämtlichen Netzwerkverkehr über diese Firewall über einen einzigen Anschluss senden möchten.
Zum Durchführen dieser Aufgaben können Sie IPSec zum Einrichten von Vertrauensstellungen und zum Verschlüsseln des Netzwerkverkehrs zwischen den Front-End-Server und dem Back-End-Server konfigurieren. Dieses Szenario wird in Windows Server 2003 unterstützt, ob clustering-Technologien, oder nicht verwendet werden, aber das Szenario wird nur in Microsoft Windows 2000 Server-Konfigurationen mit eine nicht gruppierten Umgebung unterstützt. Weitere Informationen über die Verwendung von IPSec in einem Windows 2000 Server-Cluster oder einen Cluster finden Sie in der folgenden Artikeln der Microsoft Knowledge Base:
306677IPSec ist nicht für Failover entwickelt.
248346L2TP-Sitzungen geht beim Hinzufügen eines Servers zu einem NLB-Cluster
Beim Konfigurieren von IPSec auf einem Back-End-Server in einem Windows Server 2003-Servercluster tritt das folgende Verhalten auf, wenn Sie das Dienstprogramm "Clusterverwaltung, verwenden um eine gruppierte Ressource verschieben, die eine virtuelle IP-Adresse verwendet:
  1. Die virtuelle IP-Adresse wird aus dem ersten Clusterknoten programmgesteuert entfernt.
  2. Das Entfernen der virtuellen IP-Adresse von dem ersten Clusterknoten bewirkt, dass IPSec für "sauber" den IPSec-Sicherheitszuordnung Sicherheitsstatus mit dem Front-End-Server entfernen.
  3. Wenn der Front-End-Server weiterhin versucht, eine Verbindung zum Back-End-Server herstellen, versucht der Internet Key Exchange (IKE-Aushandlung Protokoll IPSec) sofort eine Sicherheitszuordnung mit den neuen Back-End-Cluster-Knoten d. h. mehr durch neu ausgehandelt.
  4. Wenn der neue Back-End-Clusterknoten selbst mit der virtuellen IP-Adresse konfiguriert, wird die IPSec-Komponente auf diesem Knoten auf den Front-End-Server antwortet und richtet neue IPSec-Sicherheitszuordnungen.
Die tatsächliche Zeit hängt die CPU-Auslastung Clusterknoten und die Bedingungen ein Netzwerk, die während dieses Prozesses vorhanden, jedoch dieses Verfahrens dauert ungefähr 3 bis 6 Sekunden.

In einem Szenario, in denen der Microsoft Cluster Service Back-End-Cluster-Knoten nicht mehr (stürzt ab) reagiert, startet der Clusterdienst das Failover Verfahren für die gruppierten Anwendung und die virtuelle IP-Adresse. Jedoch glaubt in diesem Fall der Front-End-IPSec-Computer noch wird eine sichere Verknüpfung zu der virtuellen IP-Adresse. Die IPSec-Komponente verwendet der Leerlaufzeitgeber, um zu bestimmen, dass der Back-End-Knoten nicht mehr vorhanden ist. Auf einem Windows 2000-basierten Computer ist die Leerlaufzeit mindestens 5 Minuten. Auf einem Windows Server 2003-basierten Computer ist die Leerlaufzeit auf 1 Minute automatisch reduziert, wenn der Registrierungsschlüssel
NLBSFlags
festgelegt ist. Sobald IPSec im Leerlauf IPSec-Sicherheitszuordnungen entfernt, versucht IKE Neuverhandlung neue IPSec-Sicherheitszuordnungen. Nach 1 Minute IKE versucht, eine neue Verhandlung im Hauptmodus der virtuellen IP-Adresse herzustellen und ist dann erfolgreich in die neue Sicherheitszuordnungen mit neuen Clusterknotens erstellen. Wegen dieses Verfahren ist die gesamte Zeit für IPSec für den Failover 6 Minuten: die IPSec-Leerlaufzeit von 5 Minuten plus 1 Minute für IKE, eine neue Verhandlung im Hauptmodus mit der virtuellen IP-Adresse d. h. mehr durch neu ausgehandelt.

Die Neuverhandlung zu ändern

Damit IPSec, um die Sitzung auf einem Back-End-Clusterknoten in einer kürzeren Zeitspanne nach einer unerwarteten Failover d. h. mehr durch neu ausgehandelt, legen Sie den
NLBSFlags
-Registrierungswert im folgenden Registrierungsunterschlüssel auf den Front-End- Exchange 2003-Server:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Gehen Sie dazu folgendermaßen vor:

Warnung : unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme, die eine Neuinstallation Ihres Betriebssystems erforderlich machen verursachen. Microsoft kann nicht garantieren, dass Probleme, die Verwendung des Registrierungseditors entstehen, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
  1. Klicken Sie auf dem Front-End-Exchange 2003-Server auf Start , und klicken Sie dann auf Ausführen .
  2. Geben Sie in das Feld Öffnen regedit ein und klicken Sie dann auf OK .
  3. Suchen Sie den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. Klicken Sie im rechten klicken Sie mit der rechten Maustaste auf NLBS-Flags und klicken Sie dann auf Ändern .
  5. Geben Sie in das Feld Wertdaten 1 (eins) und klicken Sie dann auf OK .

    Hinweis: Nachdem Sie den Registrierungswert
    NLBSFlags
    auf 1 festgelegt, ist die total Zeit, die für IPSec, um Failover benötigt 2 Minuten: 1 Minute für die Leerlaufzeit ablaufen, plus 1 Minute für IKE, d. h. nicht mehr durch neu Sicherheitszuordnungen ausgehandelt.
  6. Beenden Sie den Registrierungseditor.

Empfohlene IPSec-Richtlinien entwerfen

Während schrittweise Anleitungen zum IPSec-Richtlinien konfigurieren zur in diesem Artikel nicht bereitstellen, können die folgenden vorgeschlagenen IPSec-Richtlinienimplementierungen mit Exchange 2003 verwendet werden:
  • Verwenden Sie um Benutzerkennwörter POP3 und IMAP4-Benutzerkennwörter zu verschlüsseln, IPSec zur Verschlüsselung des Datenverkehrs auf Back-End Exchange 2003-Server auf Port 110 (POP3) und Port 143 (IMAP4).
  • Verwenden Sie zum Verschlüsseln des eigentlichen Nachricht Stream, die Back-End Exchange 2003-Server IPSec, um den gesamten Datenverkehr an den Back-End-Server auf Port 80, Port 110 und Port 143 verschlüsseln.
  • Um die gesamte Kommunikation zwischen den Front-End-Exchange 2003-Servern und Back-End-Exchange 2003-Servern und Domänencontrollern zu verschlüsseln, verschlüsseln Sie sämtlichen Netzwerkverkehr, einschließlich des folgenden Datenverkehrs:
    • Lightweight Directory Access Protocol (LDAP)
    • Remoteprozeduraufruf (RPC)
    • Kerberos
    • LDAP-Kommunikation mit globalen Katalogservern
Weitere Informationen zum Konfigurieren von IPSec finden Sie IPSec in Windows Server 2003-Hilfe und Support Center.

Eigenschaften

Artikel-ID: 821839 - Geändert am: Donnerstag, 25. Oktober 2007 - Version: 1.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Keywords: 
kbmt kbinfo KB821839 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 821839
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com