Cómo configurar IPSec en un servidor de Exchange Server 2003 back-end que ejecuta en un clúster de Server 2003 Windows

Seleccione idioma Seleccione idioma
Id. de artículo: 821839 - Ver los productos a los que se aplica este artículo
importante : este artículo contiene información acerca de cómo modificar el registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo describe el uso de seguridad de protocolo Internet (IPSec) en servidores back-end de Exchange 2003 que se ejecutan en un clúster de servidores basado en Windows Server 2003.

Microsoft admite Exchange 2003 se ejecuta en equipos basados en Windows Server 2003 y uso de IPSec clústeres de carga de seguridad encapsuladora (ESP) para cifrar la comunicación con servidores agrupados de Exchange 2003 que utilizar Equilibrio de carga de red de modo de transporte o los clústeres de servidores. Cuando utilice IPSec entre servidores y servidores back-end, tiempos de conmutación por error dependerán de tiempo de recuperación de Exchange 2003 más el tiempo que tarda IPSec para negociar asociaciones de seguridad durante el proceso de conmutación por error.

Más información

Servidores front-end de Exchange 2003 como servidores de Outlook Web Access (OWA) no pueden utilizar Secure Sockets Layer (SSL) o seguridad de nivel de transporte (TLS) para cifrar el tráfico a servidores de Exchange 2003 de back-end. La comunicación entre servidores y servidores de servicios de fondo siempre utiliza formularios no cifrados del tráfico de transferencia de hipertexto protocolo (HTTP), Protocolo de oficina de correos versión 3 (POP3), o se utilizan Internet Messaging Access protocolo 4 (IMAP4).

En Exchange 2003, el protocolo HTTP utiliza autenticación segura que sea posible. El servidor front-end de Exchange 2003 utiliza la autenticación Kerberos o NTLM para comunicarse con el servidor back-end si el servidor back-end está configurado para aceptar la autenticación de Windows integrada. Esto ayuda a proteger información de contraseña de usuario de un usuario malintencionado que podría intentar capturar el tráfico de red entre el servidor de solicitudes de cliente y el servidor back-end.

El protocolo POP3 y el protocolo IMAP4 sólo pueden utilizar la autenticación básica para comunicarse con un servidor back-end. Debido a esta limitación de información de contraseña de usuario no está protegido frente a un usuario malintencionado que podría intentar capturar el tráfico de red entre el servidor de solicitudes de cliente y el servidor back-end.

La lista siguiente describen algunas de las razones por qué puede que desee utilizar IPSec para establecer la confianza y para cifrar el tráfico de red entre un servidor de aplicaciones para usuario de Exchange 2003 y un servidor back-end:
  • El entorno de red puede requerir que las contraseñas de usuario se cifran. Esto es importante a los clientes POP3 y clientes de IMAP4 que utilicen un servidor de aplicaciones para usuario.
  • Necesita el cifrado de todos los datos en el tráfico de red entre el servidor de solicitudes de cliente y el servidor back-end. Los mensajes de correo electrónico pueden considerarse confidenciales y deben estar cifrados entre el servidor de solicitudes de cliente y el servidor back-end.
  • Tendrá que un firewall configurado entre el servidor de solicitudes de cliente y el servidor de back-end que sólo permite conexiones de IPSec o desea enviar todo tráfico de red a través de este servidor de seguridad a través de un único puerto.
Para realizar estas tareas, puede configurar IPSec para establecer la confianza y cifrar el tráfico de red entre el servidor de solicitudes de cliente y el servidor back-end. Este escenario se admite en Windows Server 2003 si se utilizan tecnologías de clúster o no, pero sólo se admite el escenario en las configuraciones de Microsoft Windows 2000 Server que utilizan un entorno no agrupado. Para obtener información adicional acerca del uso de IPSec en un clúster de Windows 2000 Server o en un clúster de equilibrio de carga de red, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
306677IPSec no está diseñado para conmutación por error
248346Sesiones de L2TP perdidas al agregar un servidor a un clúster NLB
Cuando configura IPSec en un servidor back-end en un clúster de servidores Windows Server 2003, se produce el siguiente comportamiento cuando se utiliza la utilidad Administrador de clústeres para mover un recurso agrupado que utiliza una dirección IP virtual:
  1. La dirección IP virtual se quita mediante programación el primer nodo del clúster.
  2. La eliminación de la dirección IP virtual desde el primer nodo del clúster hace que IPSec "limpia" quitar el estado de asociación de seguridad de IPSec con el servidor de solicitudes de cliente.
  3. Si sigue el servidor de solicitudes de cliente intenta conectar con el servidor back-end, el protocolo de negociación IPSec Internet Key Exchange (IKE) inmediatamente intenta negociar una asociación de seguridad con el nuevo nodo de clúster back-end.
  4. Cuando el nuevo nodo del clúster back-end configura con la dirección IP virtual, el componente de IPSec en ese nodo responde al servidor de aplicaciones para usuario y establece asociaciones de seguridad de IPSec nuevas.
Este procedimiento puede tardar unos segundos de 3 a 6, pero el tiempo real depende de la carga de CPU en nodos del clúster y las condiciones de red que existen durante este proceso.

En un escenario donde el nodo de clúster back-end del servicio de Microsoft Cluster Server deja de responder (se bloquea), el servicio de Cluster Server inicia el procedimiento de conmutación por error del programa agrupado y la dirección IP virtual. Sin embargo, en este caso, el equipo cliente con IPSec todavía cree que tiene un vínculo seguro a la dirección IP virtual. El componente IPSec utiliza su temporizador de inactividad para determinar que el nodo de back-end ya no existe. En un equipo basado en Windows 2000, el tiempo de inactividad mínimo es 5 minutos. En un equipo basado en Windows Server 2003, automáticamente se reduce el tiempo de inactividad a 1 minuto si la clave de registro
NLBSFlags
está establecida. Tan pronto como IPSec elimina las asociaciones de seguridad IPSec inactivas, IKE intenta la renegociación nuevas asociaciones de seguridad de IPSec. Después de 1 minuto, IKE intenta establecer una nueva negociación de modo principal a la dirección IP virtual y, a continuación, es correcta en crear nuevas asociaciones de seguridad con el nuevo nodo de clúster. Porque de este procedimiento, el tiempo total tarda para que IPSec para conmutar por error es 6 minutos: el tiempo de inactividad IPSec de 5 minutos más de 1 minuto para IKE negociar una nueva negociación de modo principal con la dirección IP virtual.

Para modificar la hora de renegociación

Para permitir IPSec para negociar la sesión a un nodo de clúster back-end en un período más corto de tiempo tras una conmutación por error inesperado, establezca el valor de registro
NLBSFlags
en la siguiente subclave del registro en el cliente servidor de Exchange 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Para ello:

Advertencia : si utiliza incorrectamente el Editor del registro, pueden surgir problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.
  1. En el servidor front-end de Exchange 2003, haga clic en Inicio y, a continuación, haga clic en Ejecutar .
  2. En el cuadro Abrir , escriba regedit y, a continuación, haga clic en Aceptar .
  3. Busque la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. En el panel derecho, haga clic con el botón secundario del mouse en NLBSFlags y, a continuación, haga clic en Modificar .
  5. En el cuadro datos del valor , escriba 1 (uno) y, a continuación, haga clic en Aceptar .

    Nota Después de establecer el valor de registro
    NLBSFlags
    a 1 , el tiempo total que tarda de IPSec para conmutar por error es 2 minutos: 1 minuto el tiempo de inactividad para que caduque más 1 minuto para el IKE negociar asociaciones de seguridad.
  6. Salga del Editor del Registro.

Sugiere el diseño de la directiva IPSec

Mientras que en este artículo no proporciona instrucciones paso a paso para configurar directivas IPSec, las implementaciones de directiva de IPSec sugeridas siguientes pueden utilizarse con Exchange 2003:
  • Para cifrar las contraseñas de usuario de POP3 y las contraseñas de usuario de IMAP4, utilice IPSec para cifrar el tráfico a los servidores back-end de Exchange 2003 en el puerto 110 (POP3) y el puerto 143 (IMAP4).
  • Para cifrar la secuencia real del mensaje para los servidores de Exchange 2003 de back-end, utilizar IPSec para cifrar todo el tráfico a los servidores back-end en el puerto 80, el puerto 110 y el puerto 143.
  • Para cifrar todas las comunicaciones entre los servidores de Exchange 2003 y los servidores de Exchange 2003 de back-end y los controladores de dominio, cifrar todo el tráfico de red incluido el tráfico siguiente:
    • Protocolo ligero de acceso a directorios (LDAP)
    • Llamada a procedimiento remoto (RPC)
    • Kerberos
    • Comunicación de LDAP con servidores de catálogo global
Para obtener información adicional acerca de cómo configurar IPSec, busque IPSec en el Centro de soporte técnico y Ayuda de Windows Server 2003.

Propiedades

Id. de artículo: 821839 - Última revisión: jueves, 25 de octubre de 2007 - Versión: 1.4
La información de este artículo se refiere a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Palabras clave: 
kbmt kbinfo KB821839 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 821839

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com