Como configurar o IPSec em um Exchange Server 2003 back-End Server que está executando em um cluster do Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 821839 - Exibir os produtos aos quais esse artigo se aplica.
importante : Este artigo contém informações sobre como modificar o registro. Antes de modificar o registro, certifique-se de backup e certifique-se que você saiba como restaurar o registro se ocorrer um problema. Para obter informações sobre como fazer backup, restaurar e editar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
256986Descrição do registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve o uso de segurança do protocolo Internet (IPSec) em servidores de back-end do Exchange 2003 que estejam executando em um cluster de servidor baseado no Windows Server 2003.

A Microsoft oferece suporte Exchange 2003 em execução em computadores com Windows Server 2003 e usando o IPSec clusters de encapsulamento (Security PAYLOAD) para criptografar a comunicação com servidores em cluster do Exchange 2003 que usam o balanceamento de carga de rede de modo de transporte ou clusters de servidor. Quando você usar o IPSec entre servidores front-end e back-end, tempos de failover dependem tempo de recuperação do Exchange 2003 mais o tempo que leva para IPSec para renegociar as associações de segurança durante o processo de failover.

Mais Informações

Servidores Exchange 2003 front-end como servidores OWA (Outlook Web Access) não podem usar SSL (Secure Sockets LAYER) ou TLS (Transport Layer Security) para criptografar o tráfego para servidores back-end do Exchange 2003. A comunicação entre servidores front-end e back-end sempre usa formulários sem criptografia de tráfego ao Hypertext Transfer Protocol (HTTP), Post Office Protocol versão 3 (POP3), ou Internet Messaging Access Protocol 4 (IMAP4) são usados.

No Exchange 2003, o protocolo HTTP usa a autenticação segura sempre que possível. O servidor front-end do Exchange 2003 usa a autenticação Kerberos ou NTLM para se comunicar com o servidor back-end, se o servidor back-end é configurado para aceitar a autenticação integrada do Windows. Isso ajuda a proteger informações de senha de usuário de um usuário mal-intencionado pode tentar capturar o tráfego de rede entre o servidor front-end e o servidor back-end.

O protocolo POP3 e o protocolo IMAP4 só podem usar a autenticação básica para se comunicar com um servidor back-end. Devido a essa limitação, informações de senha de usuário não estão protegidas contra um usuário mal-intencionado pode tentar capturar o tráfego de rede entre o servidor front-end e o servidor back-end.

A lista a seguir descreve alguns dos motivos por que talvez queira usar IPSec para estabelecer uma relação de confiança e para criptografar o tráfego de rede entre um servidor front-end do Exchange 2003 e um servidor back-end:
  • Seu ambiente de rede pode exigir que as senhas de usuário ser criptografadas. Isso é relevante para os clientes POP3 e IMAP4 clientes que usam um servidor front-end.
  • Você pode exigir a criptografia de todos os dados no tráfego de rede entre o servidor front-end e o servidor back-end. As mensagens de email podem ser consideradas confidenciais e devem ser criptografadas entre o servidor front-end e o servidor back-end.
  • Você pode ter um firewall configurado entre o servidor front-end e o servidor back-end que permite apenas que conexões IPSec ou você deseja enviar todo o tráfego por meio desse firewall em uma única porta.
Para executar essas tarefas, você pode configurar o IPSec para estabelecer a confiança e criptografar o tráfego de rede entre o servidor front-end e o servidor back-end. Esse cenário de suporte Windows Server 2003 se tecnologias de cluster são usadas ou não, mas só há suporte para o cenário em configurações do Microsoft Windows 2000 Server que utilizam um ambiente não-clusterizados. Para obter informações adicionais sobre o uso do IPSec em um cluster do Windows 2000 Server ou um cluster de balanceamento de carga de rede, clique no números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
306677IPSec não é projetado para Failover
248346Sessões de L2TP desaparece ao adicionar um servidor a um cluster NLB
Ao configurar o IPSec em um servidor back-end em um cluster de servidor Windows Server 2003, o seguinte comportamento ocorre quando você usa o utilitário Administrador de cluster para mover um recurso de cluster que usa um endereço IP virtual:
  1. O endereço IP virtual por meio de programação é removido do primeiro nó de cluster.
  2. A remoção de endereço IP virtual do primeiro nó de cluster faz com que o IPSec remover o estado de associação de segurança IPSec com o servidor front-end "corretamente".
  3. Se o servidor front-end ainda tenta se conectar ao servidor back-end, o protocolo de negociação IPSec Internet Key Exchange (IKE) imediatamente tenta renegociar uma associação de segurança com o novo nó de cluster back-end.
  4. Quando o novo nó de cluster back-end se configura com o endereço IP virtual, o componente IPSec no nó responde ao servidor front-end e estabelece novas associações de segurança IPSec.
Esse procedimento pode levar aproximadamente 3 a 6 segundos, mas o tempo real depende a carga da CPU em nós de cluster e as condições de rede que existem durante esse processo.

Em um cenário no qual o nó de cluster back-end do serviço Microsoft Cluster pára de responder (falha), o serviço de cluster inicia o procedimento de failover para o programa de cluster e o endereço IP virtual. No entanto, nesse caso, o computador front-end do IPSec ainda acredita que ele tem um link seguro para o endereço IP virtual. O componente IPSec usa o timer ocioso para determinar que o nó de back-end não existe mais. Em um computador baseado no Windows 2000, o tempo ocioso mínimo é 5 minutos. Em um computador baseado no Windows Server 2003, o tempo ocioso é reduzido automaticamente para 1 minuto se a chave de registro
NLBSFlags
estiver definida. Assim que IPSec remove as associações de segurança IPSec ociosas, o IKE tenta novas associações de segurança IPSec renegociação. Após 1 minuto, o IKE tenta estabelecer uma nova negociação de modo principal para o endereço IP virtual e, em seguida, é bem-sucedido na criação de novas associações de segurança com o novo nó de cluster. Devido a este procedimento, o tempo total necessário para o IPSec failover é 6 minutos: o tempo ocioso do IPSec de 5 minutos, mais 1 minuto para IKE renegociar uma nova negociação de modo principal com o endereço IP virtual.

Para modificar o tempo de renegociação

Para permitir IPSec para renegociar a sessão para um nó de cluster back-end em um período mais curto de tempo após um failover inesperado, defina o valor do registro na seguinte subchave do Registro
NLBSFlags
no front-end Exchange 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Para fazer isso:

Aviso : se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que você pode resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do registro por sua própria conta e risco.
  1. No servidor front-end do Exchange 2003, clique em Iniciar e, em seguida, clique em Executar .
  2. Na caixa Abrir , digite regedit e, em seguida, clique em OK .
  3. Localize a seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. No painel à direita, clique com o botão direito do mouse NLBSFlags e, em seguida, clique em Modificar .
  5. Na caixa dados do valor , digite 1 (um) e, em seguida, clique em OK .

    Observação Após você definir o valor de registro
    NLBSFlags
    como 1 , o tempo total necessário para o IPSec failover é 2 minutos: 1 minuto para que o tempo ocioso expirar mais 1 minuto para que o IKE renegociar as associações de segurança.
  6. Feche o Editor do Registro.

Design de diretiva IPSec sugerida

Enquanto este artigo não fornece instruções passo a passo para configurar diretivas IPSec, as implementações de diretiva IPSec sugeridas seguintes podem ser usadas com o Exchange 2003:
  • Para criptografar senhas de usuário POP3 e IMAP4 senhas de usuário, use IPSec para criptografar o tráfego para os servidores de Exchange 2003 back-end na porta 110 (POP3) e a porta 143 (IMAP4).
  • Para criptografar o fluxo de mensagem real para servidores do Exchange 2003 back-end, use o IPSec para criptografar todo o tráfego para os servidores back-end na porta 80, porta 110 e porta 143.
  • Para criptografar todas as comunicações entre os servidores Exchange 2003 front-end e servidores do Exchange 2003 back-end e para controladores de domínio, criptografar todo tráfego de rede incluindo o tráfego a seguir:
    • Protocolo LDAP (LDAP)
    • Chamada de procedimento remoto (RPC)
    • Kerberos
    • LDAP comunicação com servidores de catálogo global
Para obter informações adicionais sobre como configurar o IPSec, procure o IPSec no Centro de suporte e Ajuda do Windows Server 2003.

Propriedades

ID do artigo: 821839 - Última revisão: quinta-feira, 25 de outubro de 2007 - Revisão: 1.4
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Palavras-chave: 
kbmt kbinfo KB821839 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 821839

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com