Comment faire pour configurer IPSec sur un serveur Server 2003 principaux Exchange qui exécute sur un cluster Windows Server 2003 Server

Traductions disponibles Traductions disponibles
Numéro d'article: 821839 - Voir les produits auxquels s'applique cet article
IMPORTANT : Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, veillez à sauvegarder et assurez-vous que vous savez comment restaurer le Registre si un problème se produit. Pour savoir comment sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
256986 Description de du Registre Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit l'utilisation de la sécurité (IPSec) sur les serveurs principaux Exchange 2003 qui sont exécutent sur un cluster de serveurs Windows Server 2003.

Microsoft prend en charge Exchange 2003 sur les ordinateurs Windows Server 2003 et en utilisant IPSec clusters de mode de transport charge utile ESP (Encapsulating Security) pour chiffrer les communications avec des serveurs Exchange 2003 en cluster qui utiliser la fonction d'équilibrage de charge réseau ou serveur de clusters. Lorsque vous utilisez IPSec entre les serveurs frontaux et serveurs principaux, le temps de basculement dépendent de temps de récupération d'Exchange 2003 plus le temps que nécessaire pour IPSec renégocier les associations de sécurité pendant le processus de basculement.

Plus d'informations

Serveurs frontaux Exchange 2003 tels que les serveurs Outlook Web Access (OWA) ne peut pas utiliser SSL (Secure Sockets LAYER) ou TLS (Transport Layer Security) pour crypter le trafic aux serveurs Exchange 2003 back-end. Toujours la communication entre les serveurs frontaux et serveurs principaux utilisant des formulaires non chiffrés de trafic lorsque Hypertext Transfer Protocol (HTTP), Post Office Protocol version 3 (POP3), ou Internet Messaging Access Protocol IMAP4 (4) sont utilisés.

Dans Exchange 2003, le protocole HTTP utilise une authentification sécurisée dans la mesure du possible. Le serveur frontal Exchange 2003 utilise l'authentification Kerberos ou NTLM pour communiquer avec le serveur principal si le serveur principal est configuré pour accepter l'authentification Windows intégrée. Cela permet de protéger les informations de mot de passe utilisateur un utilisateur malveillant peut essayer de capturer le trafic réseau entre le serveur frontal et le serveur principal.

Le protocole POP3 et le protocole IMAP4 ne peuvent utiliser l'authentification de base pour communiquer avec un serveur principal. En raison de cette limitation, les informations du mot de passe utilisateur ne sont pas protégées par rapport à un utilisateur malveillant peut essayer de capturer le trafic réseau entre le serveur frontal et le serveur principal.

La liste suivante décrit quelques raisons pour lesquelles vous souhaiterez peut-être utiliser IPSec pour établir l'approbation et pour crypter le trafic réseau entre un serveur frontal Exchange 2003 et un serveur principal :
  • Votre environnement réseau peut nécessiter que les mots de passe utilisateur être chiffré. Cela est pertinent aux clients POP3 et aux clients IMAP4 qui utilisent un serveur frontal.
  • Vous pouvez exiger le chiffrement de toutes les données dans le trafic réseau entre le serveur frontal et le serveur principal. Les messages électroniques peuvent être considérées comme sensibles et doivent être cryptés entre le serveur frontal et le serveur principal.
  • Vous devrez peut-être un pare-feu configuré entre le serveur frontal et le serveur principal qui autorise uniquement les connexions IPSec, ou vous souhaitez envoyer tout le trafic réseau à travers ce pare-feu via un port unique.
Pour effectuer ces tâches, vous pouvez configurer IPSec pour établir l'approbation et pour crypter le trafic réseau entre le serveur frontal et le serveur principal. Ce scénario est pris en charge dans Windows Server 2003 si technologies de gestion de clusters sont utilisés ou pas, mais le scénario est uniquement prise en charge dans les configurations Microsoft Windows 2000 Server qui utilisent un environnement non clusterisé. Pour plus d'informations sur l'utilisation d'IPsec dans un cluster Windows 2000 Server ou un cluster d'équilibrage de la charge réseau, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
306677 IPSec est pas conçu pour le basculement
248346 Sessions L2TP perdues lors de l'ajout d'un serveur à un cluster NLB
Lorsque vous configurez IPSec sur un serveur principal dans un cluster de serveurs Windows Server 2003, le comportement suivant se produit lorsque vous utilisez l'utilitaire Administrateur de cluster pour déplacer une ressource en cluster qui utilise une adresse IP virtuelle :
  1. L'adresse IP virtuelle est supprimée par programmation le premier n?ud de cluster.
  2. La suppression de l'adresse IP virtuelle à partir du premier n?ud de cluster provoque IPSec pour supprimer « proprement » de l'état d'association de sécurité IPSec avec le serveur frontal.
  3. Si le serveur frontal essaie toujours de se connecter au serveur principal, le protocole de négociation IPSec Internet Key Exchange (IKE) immédiatement tente renégocier une association de sécurité avec le nouveau n?ud de cluster back-end.
  4. Lorsque nouveau n?ud de cluster back-end configure l'adresse IP virtuelle, le composant IPSec sur ce n?ud répond au serveur frontal et établit de nouvelles associations de sécurité IPSec.
Cette procédure peut prendre environ 3 à 6 secondes, mais le temps réel dépend de la charge du processeur sur les n?uds de cluster et les conditions réseau qui existent au cours de ce processus.

Dans un scénario dans lequel le n?ud de cluster back-end Microsoft Cluster service cesse de répondre (se bloque), le service de cluster démarre la procédure de basculement pour le programme en cluster et l'adresse IP virtuelle. Toutefois, dans ce cas, l'ordinateur frontal IPSec toujours pense qu'il possède un lien sécurisé à l'adresse IP virtuelle. Le composant IPSec utilise le minuteur d'inactivité pour déterminer que le n?ud principal n'existe plus. Sur un ordinateur Windows 2000, la durée d'inactivité minimale est de 5 minutes. Sur un ordinateur Windows Server 2003, la durée d'inactivité est automatiquement réduite à 1 minute si la clé de Registre
NLBSFlags
est définie. Dès que IPSec supprime les associations de sécurité IPSec inactives, IKE tente de renégociation nouvelles associations de sécurité IPSec. Après 1 minute, IKE tente d'établir une nouvelle négociation de mode principal à l'adresse IP virtuelle et est donc réussi de la création nouvelles associations de sécurité avec le nouveau n?ud de cluster. En raison de cette procédure, le temps total nécessaire pour IPSec pour le basculement est 6 minutes : la durée d'inactivité IPSec de 5 minutes plus 1 minute pour IKE renégocier une nouvelle négociation de mode principal avec l'adresse IP virtuelle.

Pour modifier l'heure de renégociation

Pour permettre à IPSec renégocier la session à un n?ud de cluster back-end dans une période plus courte après un basculement inattendu, définir la valeur de Registre
NLBSFlags
dans la sous-clé de Registre suivante dans le frontal Exchange 2003 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Pour cela :

Avertissement : Si vous utilisez l'Éditeur du Registre de façon incorrecte, vous pouvez générer des graves problèmes pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantit que vous pouvez résoudre les problèmes résultant de l'utilisation incorrecte de l'Éditeur du Registre. Utilisez l'Éditeur du Registre à vos risques et périls.
  1. Sur le serveur frontal Exchange 2003, cliquez sur Démarrer , puis cliquez sur Exécuter .
  2. Dans la zone Ouvrir , tapez regedit , puis cliquez sur OK .
  3. Recherchez la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. Dans le volet droit, cliquez avec le bouton droit sur NLBSFlags , puis cliquez sur Modifier .
  5. Dans la zone données de la valeur , tapez 1 (un) et puis cliquez sur OK .

    note Après avoir défini la valeur de Registre
    NLBSFlags
    à 1 , le temps total que nécessaire pour IPSec pour le basculement est 2 minutes: 1 minute pour la durée d'inactivité le point d'expirer plus 1 minute pour L'IKE renégocier les associations de sécurité.
  6. Quittez l'Éditeur du Registre.

Suggéré Création d'une stratégie IPsec

Pendant que cet article ne fournit pas d'instructions étape par étape pour configurer des stratégies IPSec, les implémentations de stratégie IPSec suggérées suivantes peuvent être utilisées avec Exchange 2003 :
  • Pour chiffrer des mots de passe des utilisateurs POP3 et IMAP4 mots de passe des utilisateurs, utiliser IPSec pour crypter le trafic vers les serveurs Exchange 2003 back-end sur le port 110 (POP3) et port 143 (IMAP4).
  • Pour crypter le flux de message réel sur les serveurs Exchange 2003 back-end, utiliser IPSec pour crypter tout le trafic vers les serveurs back-end sur port 80, le port 110 et le port 143.
  • Pour chiffrer toutes les communications entre les serveurs frontaux Exchange 2003 et les serveurs Exchange 2003 principaux et aux contrôleurs de domaine, crypter tout trafic réseau y compris le trafic suivant :
    • LDAP (Lightweight Directory Access Protocol
    • Appel de procédure distante (RPC)
    • Kerberos
    • Communications LDAP avec les serveurs de catalogue global
Pour plus d'informations sur la façon de configurer IPSec, recherchez IPSec dans le Windows Server 2003 le Centre d'aide et support.

Propriétés

Numéro d'article: 821839 - Dernière mise à jour: jeudi 25 octobre 2007 - Version: 1.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Mots-clés : 
kbmt kbinfo KB821839 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 821839
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com