IPSec 있는 Windows Server 2003 서버 클러스터에서 실행 중인 Exchange Server 2003 백 엔드 서버에 구성하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 821839 - 이 문서가 적용되는 제품 보기.
중요: 이 문서에는 레지스트리 수정에 대한 정보를 포함합니다. 레지스트리를 수정하기 전에 이를 백업하고 문제가 발생하는 경우 레지스트리를 복원하는 방법을 알고 있어야 합니다 확인하십시오. 백업, 복원 및 레지스트리 편집 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
256986Microsoft Windows 레지스트리에 대한 설명
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 Windows Server 2003 기반 서버 클러스터에서 실행되는 Exchange 2003 백 엔드 서버에서 인터넷 프로토콜 보안 (IPSec) 사용에 대해 설명합니다.

Microsoft Windows Server 2003 기반 컴퓨터에서 실행되는 Exchange 2003 지원하며 IPSec을 사용하여 전송 모드를 ESP 보안 페이로드 캡슐화 (NLB를 사용하여 클러스터된 Exchange 2003 서버 통신을 암호화하려면) 클러스터 또는 서버 클러스터. 프런트 엔드 서버와 백 엔드 서버 사이에 IPSec을 사용할 때 장애 조치 시간이 Exchange 2003 복구 시간을 더한 IPSec 보안 연결 장애 조치 과정에서 재협상을 걸리는 시간이 달라집니다.

추가 정보

프런트 엔드 Exchange 2003 서버를 OWA (Outlook Web Access) 서버와 같은 백 엔드 Exchange 2003 서버에 소통량을 암호화하는 SSL (Secure Sockets Layer) 또는 TLS (전송 계층 보안) 사용할 수 없습니다. 하이퍼텍스트 전송 때 트래픽이 암호화되지 않은 형태의 항상 프런트 엔드 서버와 백 엔드 서버 간의 통신을 사용하는 프로토콜 (HTTP), Post Office Protocol 버전 3 (POP3) 또는 인터넷 메시징 액세스 프로토콜 4 (IMAP4) 사용됩니다.

Exchange 2003 HTTP 프로토콜을 가능하면 보안 인증을 사용합니다. Exchange 2003 프런트 엔드 서버가 백 엔드 서버에서 Windows 통합된 인증을 허용하도록 구성되어 있으면 백 엔드 서버와 통신할 수 NTLM 인증을 사용합니다. 프런트 엔드 서버와 백 엔드 서버 사이의 네트워크 트래픽을 캡처하는 시도할 수 있는 악의적인 사용자는 사용자 암호 정보를 보호하는 데 도움이 됩니다.

전용 POP3 프로토콜과 IMAP4 프로토콜 기본 인증 백 엔드 서버와 통신할 수 있습니다. 이 제한 때문에 프런트 엔드 서버와 백 엔드 서버 사이의 네트워크 트래픽을 캡처하는 시도할 수 있는 악의적인 사용자에 대해 사용자 암호를 정보가 보호되지 않습니다.

다음 목록은 몇 가지 이유는 IPSec 신뢰 및 Exchange 2003 프런트 엔드 서버와 백 엔드 서버 사이의 네트워크 트래픽을 암호화하는 데 사용할 수 있는 이유를 설명합니다.
  • 네트워크 환경에서 사용자 암호가 암호화된 필요할 수 있습니다. 이 POP3 클라이언트와 프런트 엔드 서버를 사용하여 IMAP4 클라이언트가 관련이 있습니다.
  • 프런트 엔드 서버와 백 엔드 서버 간의 네트워크 트래픽이 모든 데이터의 암호화를 요구할 수 있습니다. 전자 메일 메시지를 중요한 것으로 간주될 수 및 프런트 엔드 서버와 백 엔드 서버 간에 암호화되어야 합니다.
  • 단일 포트를 통해 이 방화벽을 통해 모든 네트워크 트래픽을 보낼 구성되어 프런트 엔드 서버와 경우에만 IPSec 연결을 허용하는 백 엔드 서버 사이에 방화벽이 있을 수 있습니다.
이러한 작업을 수행하려면 IPSec 신뢰 및 프런트 엔드 서버와 백 엔드 서버 간의 네트워크 소통량을 암호화하는 구성할 수 있습니다. 이 시나리오에서 Windows Server 2003 에서는 클러스터링 기술을, 사용되지만 시나리오가 클러스터되지 않은 환경에서 사용하는 Microsoft Windows 2000 Server 구성에 있는 경우에만 지원됩니다 여부가 지원됩니다. 자세한 내용은 IPSec을 사용하는 Windows 2000 Server 클러스터 또는 NLB 클러스터의 Microsoft 기술 자료의 다음 문서를 참조하십시오.
306677IPSec 장애 조치는 위한 멋진 수 없음
248346NLB 클러스터에 서버 추가 시 손실된 L2TP 세션
클러스터 관리자 유틸리티를 사용하여 가상 IP 주소를 사용하여 클러스터된 리소스를 이동할 때 Windows Server 2003 서버 클러스터의 백 엔드 서버에서 IPSec 구성할 때 다음과 같은 동작이 발생합니다.
  1. 프로그래밍 방식으로 첫 번째 클러스터 노드에서 가상 IP 주소가 제거됩니다.
  2. 첫째 클러스터 노드에서 가상 IP 주소 제거 프런트 엔드 서버와의 IPSec 보안 연결 상태를 완전히"제거하려면 IPSec를 발생합니다.
  3. 프런트 엔드 서버를 여전히 백 엔드 서버에 연결을 시도할 경우 IPSec 인터넷 키 교환(IKE) 협상 프로토콜을 즉시 새 백 엔드 클러스터 노드와의 보안 연결의 재협상을 시도합니다.
  4. 새 백 엔드 클러스터 노드를 자체의 가상 IP 주소로 구성할 때 해당 노드에서 IPSec 구성 프런트 엔드 서버로 응답하고 새 IPSec 보안 연결을 설정합니다.
이 절차는 약 3-6 초 걸릴 수 있지만 실제 시간을 CPU 로드를 클러스터 노드 및 이 과정에서 해당 네트워크 조건에 따라 달라집니다.

여기에서 Microsoft 클러스터 서비스는 백 엔드 클러스터 노드) 응답을 중지 (충돌 시나리오에서 클러스터된 프로그램 및 가상 IP 주소에 대한 장애 조치 절차를 클러스터 서비스를 시작합니다. 그러나 이 경우 프런트 엔드 IPSec 컴퓨터는 여전히 보안 링크 가상 IP 주소에 있는 믿습니다. IPSec 구성 요소를 유휴 타이머가 백 엔드 노드를 더 이상 존재하지 않음을 확인하기 위해 사용합니다. Windows 2000 기반 컴퓨터에서 유휴 시간을 최소 5 분입니다. Windows Server 2003 기반 컴퓨터에서
NLBSFlags
레지스트리 키를 설정하면 자동으로 유휴 시간은 1분으로 줄어듭니다. 유휴 IPSec 보안 연결 IPSec 제거합니다 즉시 IKE 재협상 새 IPSec 보안 연결을 시도합니다. 1 분 후에 IKE 가상 IP 주소로 새 주 모드 협상에서 설정을 시도했지만 새 클러스터 노드 사용하여 새 보안 연결을 만드는 데 성공한 것입니다. 이 절차는 때문에 IPSec 장애 조치하는 데 걸리는 총 시간을 6분 있습니다: IPSec 유휴 시간 5 분 가상 IP 주소 가진 새 주 모드 협상에서 재협상을 IKE는 1분 더한.

재협상을 시간 수정

짧은 기간 동안 예기치 않은 장애 조치 후 백 엔드 클러스터 노드에 세션에서 재협상을 IPSec 허용하려면 다음 레지스트리 하위 키에서
NLBSFlags
레지스트리 값을 설정할 경우 프런트 엔드 Exchange 2003 서버:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
이렇게 하려면 다음을 수행합니다.

경고: 레지스트리 편집기를 잘못 사용하면 운영 체제를 다시 설치해야 하는 심각한 문제가 발생할 수 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기를 따른 위험 부담은 사용자의 책임입니다.
  1. 프런트 엔드 Exchange 2003 서버에서 시작 을 누른 다음 실행 을 클릭하십시오.
  2. 열기 상자에 regedit 를 입력한 다음 확인 을 누릅니다.
  3. 다음 레지스트리 하위 키를 찾습니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. 오른쪽 창에서 NLBSFlags 마우스 오른쪽 단추로 클릭한 다음 수정 을 클릭하십시오.
  5. 값 데이터 상자에 1 을 입력한 다음 확인 을 누릅니다.

    참고1
    NLBSFlags
    레지스트리 값을 설정한 후 IPSec 장애 조치하는 데 걸리는 총 시간이 만료되도록 유휴 시간 2 분: 1 분 더한 1분 IKE 보안 연결 재협상을 위한 것입니다.
  6. 레지스트리 편집기를 종료하십시오.

IPSec 정책 디자인 제안

이 문서에서는 IPSec 정책을 구성할 수 있는 단계별 지침을 제공하는 동안 다음 제안된 IPSec 정책 구현은 Exchange 2003과 함께 사용할 수 있습니다.
  • 사용자 암호를 POP3 및 IMAP4 사용자 암호를 암호화하기 위해 IPSec을 사용하여 백 엔드 Exchange 2003 서버에서 포트 110 (POP3) 와 포트 143 (IMAP4) 트래픽을 암호화합니다.
  • 백 엔드 Exchange 2003 서버의 실제 메시지 스트림에 암호화하려면 IPSec을 사용하여 포트 80, 110, 포트 및 포트 143 백 엔드 서버에서 모든 트래픽을 암호화합니다.
  • 프런트 엔드 Exchange 2003 서버와 백 엔드 Exchange 2003 서버 간 및 도메인 컨트롤러에 모든 통신을 암호화하기 위해 다음 트래픽을 포함하여 모든 네트워크 트래픽을 암호화하십시오.
    • 간단한 디렉터리 액세스 프로토콜 (LDAP)
    • 원격 프로시저 호출 (RPC)
    • Kerberos
    • 글로벌 카탈로그 서버에 LDAP 통신
IPSec을 구성하는 방법에 대한 자세한 내용은 Windows Server 2003 도움말 및 지원 센터의 IPSec 검색하십시오.

속성

기술 자료: 821839 - 마지막 검토: 2007년 10월 25일 목요일 - 수정: 1.4
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
키워드:?
kbmt kbinfo KB821839 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com