Как настроить IPSec под управлением Windows Server 2003 кластер сервера Exchange Server 2003 внутренних

Переводы статьи Переводы статьи
Код статьи: 821839 - Vizualiza?i produsele pentru care se aplic? acest articol.
ВАЖНЫЕ: Эта статья содержит сведения об изменении реестра. Перед изменением реестра убедитесь, что для резервного копирования и убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблем. Для получения сведений о том, как резервное копирование, восстановление и редактирования реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье рассматривается использование безопасности протокола (IP IPSec) на внутренних серверах Exchange 2003, запущенных на кластере серверов под управлением Windows Server 2003.

Корпорация Майкрософт поддерживает Exchange 2003 на компьютерах под управлением Windows Server 2003 и с помощью IPSec в транспортном режиме безопасности полезные данные ESP (Encapsulating) для шифрования обмена данными с кластерных серверов Exchange 2003, использующих балансировки нагрузки сети кластеров или кластеров серверов. При использовании IPSec между серверами переднего плана и фоновыми серверами времени перехода на другой ресурс зависит от времени восстановления Exchange 2003, а также время, необходимое для IPSec для повторного согласования сопоставления безопасности во время перехода на другой ресурс.

Дополнительная информация

Серверы переднего плана Exchange 2003, такие как Outlook Web Access (OWA) сервера нельзя использовать протокол SSL (Secure Sockets Layer) или Transport Layer Security (TLS) для шифрования трафика на внутренних серверах Exchange 2003. Обмен данными между серверами переднего плана и фоновыми серверами всегда использует незашифрованные форм трафика при передачи гипертекста протокол (HTTP), Post Office Protocol версии 3 (POP3) или обмена сообщениями доступа протокол Интернета 4 (IMAP4).

В Exchange 2003 протокол HTTP использует безопасную проверку подлинности там, где это возможно. Сервер переднего плана Exchange 2003 использует проверку подлинности Kerberos или NTLM связь с фонового сервера, если внутренний сервер настроен на прием проверки подлинности Windows. Это помогает защитить данные пароля пользователя от злоумышленник может попытаться перехватывать сетевой трафик между сервером переднего плана и фонового сервера.

Протокол POP3 и IMAP4 протокола можно использовать только обычную проверку подлинности для связи с внутреннего сервера. Из-за этого ограничения сведения о пароле пользователя не защищен от злоумышленник может попытаться записи сетевого трафика между сервером переднего плана и фонового сервера.

Ниже перечислены некоторые причины, почему может потребоваться установить доверительные отношения и шифрование сетевого трафика между сервером переднего плана Exchange 2003 и фонового сервера с помощью IPSec.
  • Сетевой среде может потребоваться шифрование паролей пользователей. Это важно для клиентов POP3 и IMAP4-клиенты, которые используют сервер переднего плана.
  • Может потребоваться шифрование всех данных в сетевой трафик между сервером переднего плана и фонового сервера. Сообщения электронной почты могут быть конфиденциальными и должны быть зашифрованы между сервером переднего плана и фонового сервера.
  • Возможно, брандмауэр, между сервером переднего плана и фонового сервера, которое разрешает только соединения IPSec или отправить весь сетевой трафик через этот брандмауэр через один порт.
Для выполнения этих задач можно настроить IPSec для установления доверительных отношений и шифрование сетевого трафика между сервером переднего плана и фонового сервера. Этот сценарий в Windows Server 2003 поддерживается ли или не используются технологии кластеризации, но сценарий поддерживается только в конфигурации Microsoft Windows 2000 Server, использующих среду некластеризованные. За дополнительной информацией об использовании IPSec в кластере серверов Windows 2000 или кластера балансировки нагрузки сети щелкните следующие номера статей базы знаний Майкрософт:
306677IPSec не предназначены для перехода на другой ресурс
248346 Сеансы L2TP, потерянных при добавлении сервера кластера балансировки сетевой Нагрузки
При настройке IPSec на внутреннем сервере в кластере серверов Windows Server 2003 при использовании программы администратора кластера для перемещения кластерного ресурса, использующего виртуальный IP-адрес, наблюдается следующее поведение:
  1. Виртуальный IP-адрес программно отключается от первого узла кластера.
  2. Удаление виртуального IP-адреса из первого узла кластера приводит к IPSec «чисто» удалить состояние сопоставления безопасности IPSec с сервера переднего плана.
  3. Если сервер переднего плана по-прежнему пытается подключиться к внутреннему серверу, протокола согласования IPSec Internet Key Exchange (IKE) сразу же пытается повторного согласования сопоставления безопасности с новым узлом серверном кластере.
  4. Если новый узел серверном кластере настраивается виртуальный IP-адрес, компонент IPSec на этом узле реагирует на сервере переднего плана и устанавливает новые сопоставления безопасности IPSec.
Эта процедура может занять около 3-6 секунд, но фактическое время зависит от загрузки ЦП на узлах кластера и сетевые условия, которые существуют в этом процессе.

В сценарии, где узел кластера серверной службы кластеров Майкрософт перестает отвечать на запросы (зависает) служба кластеров запускается процедура отказоустойчивого кластера программа и виртуальный IP-адрес. Однако в этом случае клиентского компьютера IPSec по-прежнему считает имеет безопасную ссылку на виртуальный IP-адрес. Компонент IPSec использует его таймер простоя, чтобы определить, больше не существует внутренних узлов. На компьютере под управлением Windows 2000 минимальное время простоя составляет 5 минут. На компьютере под управлением Windows Server 2003, время простоя автоматически уменьшается на 1 минуту, если
NLBSFlags
значение раздела реестра. Как только IPSec удаляет простоя сопоставлений безопасности IPSec, IKE предпринимается попытка повторного согласования нового сопоставления безопасности IPSec. Через 1 минуту IKE пытается установить новое согласование основного режима на виртуальный IP-адрес и затем успешное создание новых сопоставлений безопасности с новым узлом кластера. Из-за этой процедуры общее время, необходимое для IPSec при сбое не 6 минут: время простоя IPSec 5 минут, а также 1 минута для IKE для повторного согласования новое согласование основного режима с виртуальным IP-адресом.

Чтобы изменить время пересмотра

Чтобы разрешить IPSec для повторного согласования сеанса на узле кластера внутренних за короткий промежуток времени после непредвиденные перемещения при сбое, задайте
NLBSFlags
значение реестра в следующем подразделе реестра на переднего плана Сервер Exchange 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Для этого:

ПРЕДУПРЕЖДЕНИЕ: Если неправильное использование редактора реестра может привести к серьезным неполадкам, требующим переустановки операционной системы. Корпорация Майкрософт не гарантирует, что можно решения проблем, вызванных неправильным использованием редактора реестра. С помощью редактора реестра на свой страх и риск.
  1. На сервере переднего плана Exchange 2003 нажмите кнопку Начало, а затем нажмите кнопку Запустить.
  2. В Открыть поле типа regedit, а затем нажмите кнопку ОК.
  3. Найдите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. В правой области щелкните правой кнопкой мыши NLBSFlags, а затем нажмите кнопку Изменить.
  5. В Значение данных поле типа 1 (один), а затем нажмите кнопку ОК.

    Примечание После установки
    NLBSFlags
    параметр реестра 1, общее время, необходимое для IPSec при сбое — 2 минут: 1 минута для истечения времени ожидания, а также 1 минуты для повторного согласования сопоставления безопасности IKE.
  6. Закройте редактор реестра.

Предлагаемое Создание политики IPSec

Хотя данная статья содержит пошаговые инструкции для настройки политик IPSec, могут использоваться следующие предлагаемые реализации политики IPSec с Exchange 2003:
  • Для шифрования паролей пользователей POP3 и IMAP4 пароли пользователей, используйте IPSec для шифрования трафика на внутренних серверах Exchange 2003 на порт 110 (POP3) и порт 143 (IMAP4).
  • Для шифрования потока фактическое сообщение на внутренних серверах Exchange 2003, используйте IPSec для шифрования всего трафика на внутренних серверах на порт 80, порт 110 и порт 143.
  • Чтобы зашифровать все связи между серверы переднего плана Exchange 2003 и фоновых серверов Exchange 2003, а также к контроллерам домена, шифровать весь сетевой трафик, включая следующий трафик:
    • Облегченный протокол доступа К каталогам (LDAP)
    • Удаленный вызов процедур (RPC)
    • Kerberos
    • LDAP связь с серверами глобального каталога
Для получения дополнительных сведений о настройке IPSec поиск IPSec в Windows Server 2003 центра справки и поддержки.

Свойства

Код статьи: 821839 - Последний отзыв: 15 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Ключевые слова: 
kbinfo kbmt KB821839 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:821839

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com