Configurazione di IPSec su un server back-end di Server 2003 eseguito in un cluster di Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 821839 - Visualizza i prodotti a cui si riferisce l?articolo.
importante : questo articolo contiene informazioni sulla modifica del Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene illustrato l'utilizzo di protezione IP (IPSec) sui server back-end di Exchange 2003 in esecuzione su un cluster di server basato su Windows Server 2003.

Microsoft supporta Exchange 2003 in esecuzione nei computer basati su Windows Server 2003 e utilizzo di IPSec di modalitÓ di trasporto ESP (Encapsulating Security Payload) per crittografare le comunicazioni con cluster i server di Exchange 2003 che consente di utilizzare Bilanciamento carico di rete cluster o cluster di server. Quando si utilizza IPSec tra server front-end e back-end, tempi di failover dipendono dall'ora del ripristino di Exchange 2003 pi¨ il tempo che necessario per IPSec per negoziare nuovamente le associazioni di protezione durante il processo di failover.

Informazioni

I server front-end di Exchange 2003 ad esempio i server Outlook Web Access (OWA) sono Impossibile a utilizzare il SSL (Secure Sockets Layer) o TLS (Transport Layer Security) per crittografare il traffico ai server di back-end Exchange 2003. La comunicazione tra server front-end e back-end sempre utilizza moduli non crittografati del traffico Hypertext Transfer Protocol (HTTP), Post Office Protocol versione 3 (POP3), oppure vengono utilizzate Internet Messaging Access Protocol 4 (IMAP4).

In Exchange 2003, il protocollo HTTP utilizza l'autenticazione protetta, laddove possibile. Il server di front-end di Exchange 2003 utilizza l'autenticazione Kerberos o NTLM per comunicare con il server di back-end, se il server back-end Ŕ configurato per accettare l'autenticazione integrata di Windows. Questo consente di proteggere le informazioni di password utente da un utente malintenzionato potrebbe tentare di catturare il traffico di rete tra il server front-end e il server back-end.

Il protocollo di POP3 e il protocollo IMAP4 pu˛ utilizzare solo l'autenticazione di base per comunicare con un server back-end. A causa di questa limitazione, le informazioni di password utente non sono protetto da un utente malintenzionato potrebbe tentare di catturare traffico di rete tra il server front-end e il server back-end.

Di seguito sono elencati alcuni dei motivi per cui si desideri utilizzare IPSec per stabilire una relazione di trust e per crittografare il traffico di rete tra un server front-end di Exchange 2003 e un server di back-end:
  • L'ambiente di rete potrebbe essere necessario che le password degli utenti vengano crittografati. Questo campo Ŕ rilevante ai client di POP3 e i client IMAP4 che utilizza un server front-end.
  • Pu˛ essere necessaria la crittografia di tutti i dati del traffico di rete tra il server front-end e il server back-end. I messaggi di posta elettronica possono essere considerati riservati e devono essere crittografati tra il server front-end e il server back-end.
  • ╚ possibile che venga installato un firewall configurato tra il server front-end e il server back-end che consente solo le connessioni IPSec, o si desidera inviare tutto il traffico attraverso il firewall di rete tramite una singola porta.
Per eseguire queste operazioni, Ŕ possibile configurare IPSec per stabilire una relazione di trust e per crittografare il traffico di rete tra il server front-end e il server back-end. Questo scenario Ŕ supportato in Windows Server 2003 se le tecnologie di clustering sono utilizzate o meno, ma lo scenario Ŕ supportato solo nelle configurazioni di Microsoft Windows 2000 Server che utilizzano un ambiente non cluster. Per ulteriori informazioni sull'utilizzo di IPSec cluster di Windows 2000 Server o di un cluster di bilanciamento del carico di rete, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
306677IPSec non Ŕ progettato per il Failover
248346Sessioni L2TP perdute durante l'aggiunta di un server a un cluster NLB
Quando si configura IPSec in un server back-end in un cluster di server Windows Server 2003, quando si utilizza l'utilitÓ Amministrazione Cluster per spostare una risorsa cluster che utilizza un indirizzo IP virtuale si verifica il seguente comportamento:
  1. L'indirizzo IP virtuale a livello di codice viene rimosso dal primo nodo del cluster.
  2. La rimozione dell'indirizzo IP virtuale dal primo nodo del cluster fa sý che IPSec "corretta" rimuovere lo stato di associazione di protezione IPSec con il server front-end.
  3. Se il server front-end tenta comunque di connettersi al server back-end, il protocollo di negoziazione IKE (Internet Key Exchange) di IPSec si tenta immediatamente di negoziare nuovamente un'associazione di protezione con il nuovo nodo cluster back-end.
  4. Quando il nuovo nodo cluster back-end configura automaticamente con l'indirizzo IP virtuale, il componente di IPSec su tale nodo risponde al server front-end e consente di stabilire nuove associazioni di protezione IPSec.
Questa procedura pu˛ richiedere circa 3 a 6 secondi ma il tempo effettivo dipende dal carico della CPU sia i nodi del cluster per le condizioni della rete presenti durante questo processo.

In uno scenario in cui il nodo di cluster back-end del servizio Microsoft Cluster si blocca, il servizio cluster avvia la procedura di failover per il programma di cluster e l'indirizzo IP virtuale. Tuttavia, in questo caso, il computer IPSec front-end ancora ritiene che Ŕ un collegamento protetto per l'indirizzo IP virtuale. Il componente di IPSec utilizza il timer di inattivitÓ per determinare il nodo di server back-end non esiste. In un computer basato su Windows 2000, il tempo di inattivitÓ minimo Ŕ 5 minuti. In un computer basato su Windows Server 2003, il tempo di inattivitÓ viene automaticamente ridotto a 1 minuto se la chiave del Registro di sistema
NLBSFlags
Ŕ impostata. Non appena IPSec rimuove le associazioni di protezione IPSec inattive, IKE tenta di rinegoziazione nuove associazioni di protezione IPSec. Dopo 1 minuto, IKE tenta di stabilire una nuova negoziazione in modalitÓ principale all'indirizzo IP virtuale e quindi ha esito positivo nella creazione di nuove associazioni di protezione con il nuovo nodo cluster. A causa di questa procedura, il tempo totale necessario per IPSec eseguire il failover Ŕ 6 minuti: il tempo di inattivitÓ IPSec di 5 minuti e 1 minuto per IKE negoziare nuovamente una nuova negoziazione in modalitÓ principale con l'indirizzo IP virtuale.

Per modificare l'ora di rinegoziazione

Per consentire IPSec per negoziare nuovamente la sessione di un nodo di cluster di server back-end in un breve periodo di tempo dopo un failover imprevisto, impostare il valore di
NLBSFlags
del Registro di sistema nella seguente sottochiave del Registro di sistema sul front-end server di Exchange 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Per effettuare questa operazione:

avviso : se si utilizza Editor del Registro di sistema in modo non corretto, si potrebbero provocare problemi gravi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la che Ŕ possibile risolvere i problemi derivanti dall'errato utilizzo dell'editor del Registro di sistema. Utilizzare Editor del Registro di sistema a proprio rischio.
  1. Sul server front-end di Exchange 2003, fare clic su Start e quindi fare clic su Esegui .
  2. Nella casella Apri digitare regedit e quindi fare clic su OK .
  3. Individuare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. Nel riquadro di destra fare clic con il pulsante destro del mouse su NLBSFlags e scegliere Modifica .
  5. Nella casella dati valore digitare 1 (uno) e quindi fare clic su OK .

    Nota Dopo aver impostato il valore di
    NLBSFlags
    del Registro di sistema su 1 , il tempo totale che necessario per IPSec eseguire il failover Ŕ 2 minuti: 1 minuto il tempo di inattivitÓ scadere pi¨ di 1 minuto per IKE negoziare nuovamente le associazioni di protezione.
  6. Chiudere l'editor del Registro di sistema.

Suggerita la struttura di criteri IPSec

Mentre in questo articolo non fornisce istruzioni dettagliate per configurare i criteri IPSec, le seguenti implementazioni suggerite di criteri IPSec possono essere utilizzate con Exchange 2003:
  • Per crittografare le password degli utenti POP3 e IMAP4 le password dell'utente, Ŕ possibile utilizzare IPSec per crittografare il traffico ai server back-end Exchange 2003 su porta 110 (POP3) e la porta 143 (IMAP4).
  • Per crittografare il flusso di messaggio effettivo per il server di back-end Exchange 2003, Ŕ necessario utilizzare IPSec per crittografare tutto il traffico del server back-end sulla porta 80, porta 110 e porta 143.
  • Per crittografare tutte le comunicazioni tra i server front-end di Exchange 2003 e i server di Exchange 2003 di back-end e ai controller di dominio, Ŕ possibile crittografare tutto il traffico rete incluso il traffico seguente:
    • Protocollo LDAP Lightweight Directory Access Protocol)
    • Chiamata di procedura remota (RPC)
    • Kerberos
    • Comunicazione LDAP con i server di catalogo globale
Per ulteriori informazioni su come configurare IPSec, eseguire una ricerca di IPSec in Guida in linea di Windows Server 2003 e supporto tecnico.

ProprietÓ

Identificativo articolo: 821839 - Ultima modifica: giovedý 25 ottobre 2007 - Revisione: 1.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Chiavi:á
kbmt kbinfo KB821839 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 821839
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com