Τρόπος ρύθμισης παραμέτρων του IPSec στον Exchange Server 2003 Back-End Server που εκτελείται σε ενός συμπλέγματος του Windows Server 2003 Server

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 821839 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Σημαντικό: Αυτό το άρθρο περιέχει πληροφορίες σχετικά με την τροποποίηση του μητρώου. Πριν να τροποποιήσετε το μητρώο, βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας και ότι γνωρίζετε τον τρόπο επαναφοράς του μητρώου, σε περίπτωση που προκύψει κάποιο θέμα. Για πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας, επαναφοράς και επεξεργασίας του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
256986Περιγραφή του μητρώου των Microsoft Windows
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο ασχολείται με τη χρήση της ασφάλειας πρωτοκόλλου Internet (IPSec) σε διακομιστές υποστήριξης του Exchange 2003 που εκτελούνται σε ένα σύμπλεγμα διακομιστή που βασίζεται σε Windows Server 2003.

Η Microsoft υποστηρίζει το Exchange 2003 εκτελείται σε υπολογιστές που βασίζονται σε Windows Server 2003 και με ασφάλεια IP λειτουργία μεταφοράς Encapsulating Security Payload (ESP) για την κρυπτογράφηση της επικοινωνίας με το σύμπλεγμα διακομιστών του Exchange 2003 που χρησιμοποιούν την εξισορρόπηση φόρτου δικτύου συμπλεγμάτων ή διακομιστή συμπλεγμάτων. Κατά τη χρήση του IPSec μεταξύ διακομιστών-πελατών και διακομιστών παρασκηνίου, ανακατεύθυνση φορές εξαρτώνται από χρόνο αποκατάστασης του Exchange 2003, καθώς και το χρόνο που απαιτείται για την IPSec για τη διαπραγμάτευση των συσχετισμών ασφαλείας κατά τη διαδικασία ανακατεύθυνσης.

Περισσότερες πληροφορίες

Διακομιστές Exchange 2003 όπως οι διακομιστές του Outlook Web Access (OWA) δεν είναι δυνατό να χρησιμοποιήσετε Secure Sockets Layer (SSL) ή Transport Layer Security (TLS) για την κρυπτογράφηση της κυκλοφορίας σε παρασκηνιακούς διακομιστές Exchange 2003. Η επικοινωνία μεταξύ διακομιστών-πελατών και διακομιστών παρασκηνίου πάντα χρησιμοποιεί φόρμες χωρίς κρυπτογράφηση της κυκλοφορίας, όταν Hypertext Transfer Protocol (HTTP), Post Office Protocol έκδοση 3 (POP3), ή εάν θα χρησιμοποιούνται Internet Messaging Access Protocol 4 (IMAP4).

Στον Exchange 2003, το πρωτόκολλο HTTP χρησιμοποιεί ασφαλή έλεγχο ταυτότητας, όπου αυτό είναι εφικτό. Στο διακομιστή-πελάτη Exchange 2003 χρησιμοποιεί τον έλεγχο ταυτότητας Kerberos ή NTLM για να επικοινωνήσει με το διακομιστή υποστήριξης, εάν ο διακομιστής υποστήριξης έχει ρυθμιστεί να δέχεται ο ενσωματωμένος έλεγχος ταυτότητας των Windows. Αυτό βοηθάει στην προστασία του κωδικού πρόσβασης του χρήστη από έναν κακόβουλο χρήστη, που ίσως προσπαθήσουν να καταγράψετε την κυκλοφορία δικτύου μεταξύ του διακομιστή-πελάτη και του διακομιστή υποστήριξης.

Το πρωτόκολλο POP3 και το πρωτόκολλο IMAP4 να χρησιμοποιήσετε μόνο ο βασικός έλεγχος ταυτότητας για την επικοινωνία με το διακομιστή υποστήριξης. Εξαιτίας αυτού του περιορισμού, οι πληροφορίες κωδικού πρόσβασης χρήστη δεν προστατεύεται από έναν κακόβουλο χρήστη, που ίσως προσπαθήσουν να καταγράψετε την κυκλοφορία δικτύου μεταξύ του διακομιστή-πελάτη και του διακομιστή υποστήριξης.

Η ακόλουθη λίστα περιγράφει μερικές από τις αιτίες γιατί μπορεί να θέλετε να χρησιμοποιείτε IPSec για την εδραίωση της αξιοπιστίας και για την κρυπτογράφηση της κυκλοφορίας δικτύου μεταξύ ενός διακομιστή-πελάτη Exchange 2003 και έναν παρασκηνιακό διακομιστή:
  • Το περιβάλλον του δικτύου σας μπορεί να απαιτεί ότι η κρυπτογράφηση κωδικών πρόσβασης χρήστη. Αυτό ισχύει για υπολογιστές-πελάτες POP3 και IMAP4 πελάτες που χρησιμοποιούν ένα διακομιστή περιβάλλοντος χρήστη.
  • Ενδέχεται να χρειάζεστε την κρυπτογράφηση όλων των δεδομένων της κυκλοφορίας δικτύου μεταξύ του διακομιστή-πελάτη και του διακομιστή υποστήριξης. Τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να θεωρηθεί πεζών-κεφαλαίων και πρέπει να κρυπτογραφηθεί μεταξύ διακομιστή περιβάλλοντος χρήστη και διακομιστή υποστήριξης.
  • You may have a firewall configured between the front-end server and the back-end server that only permits IPSec connections, or you want to send all network traffic through this firewall over a single port.
To perform these tasks, you can configure IPSec to establish trust and to encrypt network traffic between the front-end server and the back-end server. This scenario is supported in Windows Server 2003 whether clustering technologies are used or not, but the scenario is only supported in Microsoft Windows 2000 Server configurations that use a non-clustered environment.For additional information about the use of IPSec in a Windows 2000 Server cluster or a Network Load Balancing cluster, click the following article numbers to view the articles in the Microsoft Knowledge Base:
306677IPSec Is Not Designed for Failover
248346L2TP Sessions Lost When Adding a Server to an NLB Cluster
When you configure IPSec on a back-end server in a Windows Server 2003 server cluster, the following behavior occurs when you use the Cluster Administrator utility to move a clustered resource that uses a virtual IP address:
  1. The virtual IP address is programmatically removed from the first cluster node.
  2. The removal of the virtual IP address from the first cluster node causes IPSec to "cleanly" remove the IPSec security association state with the front-end server.
  3. If the front-end server still tries to connect to the back-end server, the IPSec Internet Key Exchange (IKE) negotiation protocol immediately tries to renegotiate a security association with the new back-end cluster node.
  4. When the new back-end cluster node configures itself with the virtual IP address, the IPSec component on that node responds to the front-end server and establishes new IPSec security associations.
This procedure may take approximately 3 to 6 seconds, but the actual time depends on the CPU load on both cluster nodes and the network conditions that exist during this process.

In a scenario where the Microsoft Cluster service back-end cluster node stops responding (crashes), the Cluster service starts the failover procedure for the clustered program and the virtual IP address . However, in this case, the front-end IPSec computer still believes it has a secure link to the virtual IP address. The IPSec component uses its idle timer to determine that the back-end node no longer exists. On a Windows 2000-based computer, the idle time minimum is 5 minutes. On a Windows Server 2003-based computer, the idle time is automatically reduced to 1 minute if the
NLBSFlags
registry key is set. As soon as IPSec removes the idle IPSec security associations, IKE tries to renegotiation new IPSec security associations. After 1 minute, IKE tries to establish a new Main Mode negotiation to the virtual IP address and is then successful in creating new security associations with the new cluster node. Because of this procedure, the total time it takes for IPSec to fail over is 6 minutes: the IPSec idle time of 5 minutes plus 1 minute for IKE to renegotiate a new Main Mode negotiation with the virtual IP address.

To Modify the Renegotiation Time

To allow IPSec to renegotiate the session to a back-end cluster node in a shorter period of time after an unexpected failover, set the
NLBSFlags
registry value in the following registry subkey on thefront-endExchange 2003 server:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Για να το κάνετε αυτό:

ΠΡΟΣΟΧΗ: Εάν χρησιμοποιείτε σωστά τον Επεξεργαστή μητρώου, μπορεί να προκαλέσετε σοβαρά προβλήματα, τα οποία ίσως απαιτήσουν την επανεγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα θέματα που προκύπτουν από την εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) είναι δυνατό να επιλυθούν. Χρησιμοποιήστε τον Επεξεργαστή Μητρώου (Registry Editor) με δική σας ευθύνη.
  1. On the front-end Exchange 2003 server, clickStart, και στη συνέχεια κάντε κλικ στο κουμπίΕκτέλεση.
  2. ΣτοOpenπληκτρολογήστεRegedit, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  3. Εντοπίστε το παρακάτω δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. Στο δεξιό τμήμα του παραθύρου, κάντε δεξιό κλικNLBSFlags, και στη συνέχεια κάντε κλικ στο κουμπίΤροποποίηση (Modify).
  5. ΣτοΔεδομένα τιμήςπληκτρολογήστε1(one), and then clickOk.

    ΣΗΜΕΙΩΣΗΑφού ορίσετε το
    NLBSFlags
    η τιμή μητρώου σε1, the total time it takes for IPSec to fail over is 2 minutes: 1minute for the idle time to expire plus 1 minute for the IKE to renegotiate security associations.
  6. Κλείστε τον Επεξεργαστή Μητρώου.

Suggested IPSec Policy Design

While this article does not provide step-by-step instructions to configure IPSec policies, the following suggested IPSec policy implementations may be used with Exchange 2003:
  • To encrypt POP3 user passwords and IMAP4 user passwords, use IPSec to encrypt traffic to the back-end Exchange 2003 servers on port 110 (POP3) and port 143 (IMAP4).
  • To encrypt the actual message stream to the back-end Exchange 2003 servers, use IPSec to encrypt all traffic to the back-end servers on port 80, port 110, and port 143.
  • To encrypt all communications between the front-end Exchange 2003 servers and the back-end Exchange 2003 servers and to domain controllers, encrypt all network traffic including the following traffic:
    • Lightweight Directory Access Protocol (LDAP)
    • Κλήση απομακρυσμένης διαδικασίας (RPC)
    • Kerberos
    • LDAP communication with global catalog servers
For additional information about how to configure IPSec, search for IPSec in the Windows Server 2003 Help and Support Center.

Ιδιότητες

Αναγν. άρθρου: 821839 - Τελευταία αναθεώρηση: Τετάρτη, 22 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Λέξεις-κλειδιά: 
kbinfo kbmt KB821839 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:821839

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com