Windows Server 2003 のサーバー クラスターで実行されている Exchange Server 2003年バックエンド サーバーに IPSec を構成する方法

文書番号: 821839
機械翻訳の免責機械翻訳版の免責を確認する
重要です: この資料には、レジストリの変更に関する情報が含まれます。レジストリを変更する前に、必ずバックアップし、問題が発生した場合にレジストリを復元する方法を理解しているかどうかを確認してください。バックアップ、復元、およびレジストリを編集する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
256986
(http://support.microsoft.com/kb/256986/EN-US/ )
Microsoft Windows レジストリの説明」
すべて展開する | すべて折りたたむ

目次

概要

Windows Server 2003 ベースのサーバー クラスター上で実行されている Exchange 2003 バックエンド サーバー上でインターネット プロトコル セキュリティ (IPSec) の使用を説明します。

Microsoft Exchange 2003 を Windows Server 2003 ベースのコンピューター上で実行をサポートしており、IPSec カプセル化セキュリティ ペイロード (ネットワーク負荷分散を使用するクラスター化された Exchange 2003 サーバーとの通信を暗号化するために ESP) トランス ポート モードのクラスターまたはサーバー クラスターします。フロント エンド サーバーとバックエンド サーバー間で IPSec を使用すると、フェイル オーバー時間は Exchange 2003 の復旧時間と IPSec はフェールオーバーの処理中にセキュリティ アソシエーションのネゴシエーションに要する時間によって異なります。
先頭へ戻る | フィードバック

詳細

Outlook Web Access (OWA) サーバーなどの Exchange 2003 フロント エンド サーバー、バックエンドの Exchange 2003 サーバーへのトラフィックを暗号化するためにセキュリティで保護されたソケット レイヤー (SSL) またはトランスポート層セキュリティ (TLS) を使用できません。ハイパー テキストを転送するときは、常にフロント エンド サーバーとバックエンド サーバー間の通信のトラフィックの暗号化されていないフォームを使用するプロトコル (HTTP)、ポスト オフィス プロトコル バージョン 3 (POP3)、またはインターネット メッセージ アクセス プロトコル 4 (IMAP4) を使用します。

可能であれば Exchange 2003 では、セキュリティで保護された認証、HTTP プロトコルを使用します。Exchange 2003 フロント エンド サーバーはバックエンド サーバー統合 Windows 認証を受け付けるように構成されている場合、バックエンド サーバーとの通信に Kerberos または NTLM 認証を使用します。フロント エンド サーバーとバックエンド サーバー間のネットワーク トラフィックをキャプチャしようとして可能性があります悪意のあるユーザーからユーザーのパスワード情報を保護することができます。

POP3 プロトコルおよび IMAP4 プロトコルのみ基本認証がバックエンド サーバーと通信できます。この制限のため、ユーザーのパスワード情報は、フロント エンド サーバーとバックエンド サーバー間のネットワーク トラフィックをキャプチャしようとして可能性があります悪意のあるユーザーに対して保護されていません。

次に、いくつかの信頼を確立するために、Exchange 2003 フロント エンド サーバーとバックエンド サーバー間のネットワーク トラフィックを暗号化するために IPSec を使用する理由があります理由について説明します。
  • ネットワーク環境は、ユーザーのパスワードを暗号化する必要があります。これは、POP3 クライアントと IMAP4 クライアントは、フロント エンド サーバーを使用しているに関連します。
  • すべてのデータをフロント エンド サーバーとバックエンド サーバー間のネットワーク トラフィックの暗号化を必要があります。電子メール メッセージと小文字を区別することを考慮し、フロント エンド サーバーとバックエンド サーバー間を暗号化する必要があります。
  • 構成のフロント エンド サーバーと IPSec の接続のみを許可、バックエンド サーバーの間にファイアウォールがありますか、1 つのポート上でこのファイアウォールを介してすべてのネットワーク トラフィックを送信します。
これらのタスクを実行するには、信頼を確立して、フロント エンド サーバーとバックエンド サーバー間のネットワーク トラフィックを暗号化するために、IPSec を構成できます。このシナリオは Windows Server 2003 では、クラスタ リング ・ テクノロジーが使用されますが、シナリオは、非クラスター環境を使用して Microsoft Windows 2000 Server の構成でのみサポートされていますかサポートします。 詳細について IPSec の使用に関する Windows 2000 サーバー クラスターがネットワーク負荷分散クラスターでは、マイクロソフト サポート技術記事を表示するのには、次の資料番号をクリックしてください。
306677
(http://support.microsoft.com/kb/306677/EN-US/ )
IPSec フェールオーバーには使用できません。
248346
(http://support.microsoft.com/kb/248346/ )
L2TP セッションが NLB クラスターにサーバーを追加するときに失われる
バックエンド サーバーが Windows Server 2003 サーバー クラスター内で IPSec を構成すると、仮想 IP アドレスを使用して、クラスター化されたリソースを移動するのには、クラスター アドミニストレーター ユーティリティを使用すると、次の現象が発生します。
  1. 仮想 IP アドレスは、プログラムで、最初のクラスター ノードから削除されます。
  2. 最初のクラスター ノードから、仮想 IP アドレスの削除に「クリーン」IPSec セキュリティの関連付けの状態がフロント エンド サーバーを削除するのには、IPSec が発生します。
  3. フロント エンド サーバーはバックエンド サーバーに接続しようとする場合は、IPSec インターネット キー交換 (IKE) ネゴシエーション プロトコルはすぐに新しいバック エンド クラスター ノードが付いたセキュリティ アソシエーションのネゴシエーションを試みます。
  4. 新しいバック エンド クラスター ノードは、それ自体、仮想 IP アドレスを構成すると、IPSec コンポーネントで該当ノードに対するフロント エンド サーバーに応答し、新しい IPSec セキュリティ アソシエーションが確立されます。
ここ約 3 〜 6 秒をかかることがありますが、実際の時間に CPU 負荷の両方のクラスター ノードとこのプロセス中に存在する、ネットワークの状態によって異なります。

Microsoft クラスター サービスのバック エンド クラスター ノード (クラッシュ) の応答を停止する場所シナリオでは、フェイル オーバー手順については、クラスター化されたプログラムと、仮想 IP アドレスはクラスター サービスを開始します。ただし、この場合は、フロント エンドの IPSec コンピューターがその仮想 IP アドレスへのリンクをセキュリティで保護されたあると考えています。IPSec コンポーネントは、バック エンド ノードが存在することを確認するのには、アイドル タイマーを使用します。Windows 2000 ベースのコンピューターでは、最小のアイドル時間は 5 分です。Windows Server 2003 ベースのコンピューターでは、アイドル時に自動的に 1 分と減少、
NLBSFlags
レジストリ キーが設定されています。IPSec のアイドル状態の IPSec セキュリティ アソシエーションを削除すると、IKE は再交渉新しい IPSec セキュリティ アソシエーションを確立を試みます。後 1 分で、IKE、新しいメイン モード ネゴシエーションに仮想 IP アドレスを確立しようとしていますは、新しいクラスター ノードとのセキュリティ アソシエーションの新しいを作成するのに成功。このプロシージャのため、フェールオーバーする IPSec の合計時間を 6 分にです: IPSec のアイドル時間の 5 分を加えた、新しいメイン モード ネゴシエーションが仮想 IP アドレスを再交渉する IKE の 1 分。

再ネゴシエーション時間を変更するのには

予期しないフェールオーバーの後の短い時間でバック エンド クラスター ノードにセッションの再交渉する IPSec を許可するには
NLBSFlags
レジストリ値には、次のレジストリ サブキーを フロント エンド Exchange 2003 サーバー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
これを行うには。

警告: レジストリ エディターを誤って使用する場合は、os の再インストールが必要となる深刻な問題があります。マイクロソフトは、レジストリ エディターの誤用により発生した問題を解決できることを保証できません。お客様の責任においてレジストリ エディターを使用します。
  1. フロント エンドの Exchange 2003 サーバー上をクリックします。 開始、し 実行.
  2. で、 ファイルを開く ボックスの種類 レジストリ エディター、し [OK].
  3. 次のレジストリ サブキーを見つけます。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. 右側のウィンドウで右クリックします。 NLBSFlags、し 変更.
  5. で、 [値のデータ ボックスの種類 1 (1 つ)、し、 [OK].

    メモ 設定した後、
    NLBSFlags
    レジストリの値 1は、フェールオーバーする IPSec の合計時間を 2 分 1 分のアイドル時間が期限切れにするには IKE セキュリティ アソシエーションのネゴシエーションには 1 分です。
  6. レジストリ エディターを終了します。

IPSec ポリシーの設計を提案します。

この資料で IPSec ポリシーを構成する手順を行いませんが、Exchange 2003 では、次の推奨される IPSec ポリシーの実装を使用できます。
  • ユーザー パスワードの POP3 および IMAP4 ユーザーのパスワードを暗号化するには、IPSec を使用して、バックエンドの Exchange 2003 サーバーのポート 110 (POP3) およびポート 143 (IMAP4) へのトラフィックを暗号化します。
  • バックエンドの Exchange 2003 サーバーへの実際のメッセージ ストリームを暗号化するには、IPSec を使用してポート 80、ポート 110 をポート 143 でバックエンド サーバーのすべてのトラフィックを暗号化します。
  • Exchange 2003 のフロント エンド サーバーとバックエンドの Exchange 2003 サーバーとドメイン コント ローラーへのすべての通信を暗号化するには、次のトラフィックを含むすべてのネットワーク トラフィックを暗号化します。
    • ライトウェイト ディレクトリ アクセス プロトコル (LDAP)
    • リモート プロシージャ コール (RPC)
    • Kerberos
    • グローバル カタログ サーバーとの LDAP 通信
Ipsec は、Windows Server 2003 のヘルプとサポート センターでは、IPSec を構成する方法の詳細についてを検索します。
先頭へ戻る | フィードバック

プロパティ

文書番号: 821839 - 最終更新日: 2011年7月29日 - リビジョン: 3.0
キーワード:?
kbinfo kbmt KB821839 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:821839
(http://support.microsoft.com/kb/821839/en-us/ )
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る