Bir Windows Server 2003 sunucu kümesi üzerinde çalıştıran bir Exchange Server 2003 arka uç sunucusu üzerindeki ıpsec yapılandırma

Makale çevirileri Makale çevirileri
Makale numarası: 821839 - Bu makalenin geçerli olduğu ürünleri görün.
ÖNEMLI: Bu makale kayıt defterini değiştirmeyle ilgili bilgiler içermektedir. Kayıt defterini değiştirmeden önce yedeklediğinizden ve bir sorun çıkması durumunda kayıt defterini geri nasıl yükleyeceğinizi anladığınızdan emin olun. Kayıt defterini yedekleme, geri yükleme ve düzenleme ile ilgili bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
256986Microsoft Windows Kayıt Defteri'nin Açıklaması
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu makalede, Windows Server 2003 tabanlı bir sunucu kümesinde çalışan bir Exchange 2003 arka uç sunucuları, ınternet Protokolü güvenliği (ıpsec) kullanımı anlatılır.

Microsoft Windows Server 2003 tabanlı bilgisayarlarda çalışan Exchange 2003 destekler ve ıpsec taşıma modu Kapsüllenen Güvenlik Yükü (Ağ Yükü Dengeleme kümelenmiş Exchange 2003 sunucuları ile iletişimi şifrelemek için ESP) kümeleri veya sunucu kümeleri. Ön uç sunucular ve arka uç sunucuları arasında ıpsec kullandığınızda, yerine çalışma zamanları Exchange 2003 kurtarma zaman ek olarak, ıpsec güvenlik ilişkileri yerine çalışma işlemi sırasında renegotiate geçecek süreyi bağlıdır.

Daha fazla bilgi

Ön uç Exchange 2003 sunucuları, Outlook Web Access (OWA) sunucuları gibi arka uç Exchange 2003 sunucularına trafiğini şifrelemek için Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) kullanamazsınız. Iletişim ön uç sunucular ve arka uç sunucuları arasında her zaman trafiğinin şifrelenmemiş form kullanacağı Köprü Metni Aktarım Protokolü (HTTP), Postane Protokolü sürüm 3 (POP3) veya ınternet ileti erişim Protokolü 4 (ımap4) kullanılır.

Exchange 2003'te, mümkün olan yerlerde güvenli kimlik doğrulaması HTTP iletişim kuralını kullanır. Exchange 2003 ön uç sunucuda Kerberos veya NTLM kimlik doğrulaması arka uç sunucu Tümleşik Windows kimlik doğrulamasını kabul etmek üzere yapılandırdıysanız, arka uç sunucusuyla iletişim kurmak için kullanır. Bu, kullanıcının parola bilgilerini ön uç sunucusu ve arka uç sunucusu arasındaki ağ trafiğini yakalamak vermeye çalışabilecek kötü niyetli bir kullanıcının korunmasına yardımcı olur.

Yalnızca POP3 protokolünü ve ımap4 protokolünü temel kimlik doğrulaması bir arka uç sunucusuyla iletişim kurmak için kullanabilirsiniz. Bu sınırlama nedeniyle, kullanıcının parola bilgilerini ön uç sunucusu ve arka uç sunucusu arasındaki ağ trafiğini yakalamak vermeye çalışabilecek kötü niyetli bir kullanıcının karşı korunmuyor.

Aşağıdaki listede bazı güven ve Exchange 2003 ön uç sunucusu ve arka uç sunucusu arasındaki ağ trafiğini şifrelemek için ıpsec kullanmak isteyebileceğiniz neden nedenleri açıklanmaktadır:
  • Kendi ağ ortamınız, kullanıcı parolalarının şifrelenmesi gerektirebilir. POP3 istemcilerinin ve bir ön uç sunucusu kullanan bir ımap4 istemcilerinin bu uygundur.
  • Tüm veri ön uç sunucusu ve arka uç sunucusu arasındaki ağ trafiğini şifreleme gerektirebilir. E-posta iletilerini, önemli düşünülmesi ve ön uç sunucusu ve arka uç sunucusu arasında şifrelenmelidir.
  • Ön uç sunucusu arasında yalnızca ıpsec bağlantıları izin veren bir arka uç sunucusunda yapılandırılmış olan bir güvenlik duvarı olabilir veya tüm ağ trafiğini, bu güvenlik duvarı üzerinden tek bir bağlantı noktası üzerinden göndermek istediğiniz.
Bu görevleri gerçekleştirmek için <a0></a0>, güven ve ön uç sunucusu ve arka uç sunucusu arasındaki ağ trafiğini şifrelemek için ıpsec yapılandırabilirsiniz. Bu senaryo, kümeleme teknolojileri veya kullanılır, ancak bu senaryo, yalnızca kümelenmemiş bir ortamda kullanan Microsoft Windows 2000 Server yapılandırmalarında desteklenir olup olmadığını Windows Server 2003'te desteklenir. Ek ıpsec hakkında bilgi için kullanılması bir Windows 2000 Server küme veya bir Ağ Yükü Dengeleme kümesi, Microsoft Knowledge Base'deki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
306677Ipsec yerine çalışma için tasarımlanmış.
248346L2TP oturumlar bir NLB küme için bir ekleme işlemi sırasında kaybedildi.
ıpsec, bir arka uç sunucusunda bir <a0>Windows Server 2003</a0> sunucu kümesinde yapılandırmak, bir sanal IP adresi kullanan bir kümelenmiş kaynak olarak taşımak için Küme Yöneticisi yardımcı programını kullandığınızda aşağıdaki davranış oluşur:
  1. Sanal IP adresi, ilk küme düğümünden programsal olarak kaldırılır.
  2. Ilk küme düğümünden sanal IP adresi temizleme, "temiz bir şekilde" ön uç sunucusuyla ıpsec güvenlik ilişkilendirmesi durumu kaldırmak, ıpsec neden olur.
  3. Ön uç sunucuda yine de arka uç sunucusuna bağlanmaya çalışırsa, ıpsec ınternet anahtar değişimi (IKE) anlaşması protokolü hemen yeni arka uç küme düğümü ile güvenlik ilişkilendirmesi renegotiate dener.
  4. Yeni arka uç düğüm kendi sanal IP adresi ile yapılandırır, bu düğüm üzerindeki ıpsec bileşeni için ön uç sunucu yanıt verir ve yeni ıpsec güvenlik ilişkisi kurar.
Bu yordam, yaklaşık 3-6 saniye sürebilir, ancak gerçek zamanlı CPU yükü düğümlerde, hem de bu işlem sırasında varolan ağ koşulları bağlıdır.

Burada Microsoft Küme hizmeti arka uç küme düğümü (çökme) vermiyor senaryosunda, Küme hizmeti, kümelenmiş program ve sanal IP adresi için yerine çalışma yordamı başlatır. Ancak, bu durumda, ön uç ıpsec bilgisayar hala Güvenli bir bağlantı bir sanal IP adresine sahip inanmaktadır. Ipsec bileşeni, boşta kalma süreölçer arka uç düğüm artık var olduğunu belirlemek için kullanır. Windows 2000 tabanlı bir bilgisayarda, boşta kalma süresi en az 5 dakikadır. Windows Server 2003 tabanlı bir bilgisayarda
NLBSFlags
kayıt defteri anahtarı ayarlanmışsa, boşta kalma süresi için 1 dakika otomatik olarak düşürülür. IKE, ıpsec boşta ıpsec güvenlik ilişkilerini kaldırır hemen sonra yeniden anlaşma yeni ıpsec güvenlik ilişkileri için çalışır. IKE, 1 dakika sonra sanal IP adresi için yeni bir ana mod anlaşması kurmaya çalışır ve yeni güvenlik ilişkilendirmeleri yeni düğüm oluştururken başarılıdır. Bu yordamı nedeniyle, ıpsec, yerine çalışma geçen toplam süreyi 6 dakikadır: ıpsec boşta kalma süresini 5 dakika artı sanal IP adresine sahip yeni bir ana mod anlaşması renegotiate için IKE 1 dakikadır.

Yeniden ciro saati değiştirmek için

ıpsec uç düğüm için oturumda bir daha kısa süre sonra beklenmeyen bir başarısızlık renegotiate izin vermek için <a0></a0>, aşağıdaki kayıt defteri alt anahtarını
NLBSFlags
kayıt defterinde ayarlayın ön uç Exchange 2003 sunucu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Bunu yapmak için:

UYARı: Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilir. Microsoft, Kayıt Defteri Düzenleyicisi yanlış kullanımından kaynaklanan sorunları çözebileceğinizi garanti edemez. Kayıt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluğunuzdadır.
  1. Ön uç Exchange 2003 sunucusunda, Başlat ' ı tıklatın ve sonra da <a2>Çalıştır</a2>'ı tıklatın.
  2. kutusuna regedit yazın ve Tamam ' ı tıklatın.
  3. Aşağıdaki kayıt defteri alt anahtarını bulun:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. Sağdaki bölmede, NLBSFlags sağ tıklatın ve sonra Değiştir ' i tıklatın.
  5. Değer verisi kutusuna, 1 (bir) yazın ve Tamam ' ı tıklatın.

    Not
    NLBSFlags
    kayıt defteri değerini 1 olarak ayarladıktan sonra ıpsec, yerine çalışma geçen toplam süreyi 2 dakika: 1 dakikadır boşta kalma süresi sona artı 1 dakika bağlı kaldı IKE güvenlik ilişkisi renegotiate ' dir.
  6. Kayıt Defteri Düzenleyicisi'nden çıkın.

Ipsec ilke tasarım önerilir.

Bu makalede, ıpsec ilkelerini yapılandırmak üzere, adım adım yönerge sağlamaz, ancak aşağıdaki önerilen ıpsec ilkesi uygulamaları, Exchange 2003 ile kullanılabilir:
  • Kullanıcı parolalarını POP3 ve ımap4 kullanıcı parolaları şifrelemek için <a0></a0>, arka uç Exchange 2003 sunucularına bağlantı noktası 110 (POP3) ve bağlantı noktası 143 (ımap4) trafiğini şifrelemek için ıpsec kullanın.
  • Gerçek bir ileti akışı arka uç Exchange 2003 sunucularına şifrelemek için <a0></a0>, arka uç sunucular, bağlantı noktası 80 numaralı bağlantı noktasını 110 ve bağlantı noktası 143 giden tüm trafiği şifrelemek için ıpsec kullanın.
  • Ön uç sunucular Exchange 2003 arka uç Exchange 2003 sunucuları arasındaki tüm iletişimi şifrelemek ve etki alanı denetleyicileri için aşağıdaki trafik de dahil olmak üzere, tüm ağ trafiğini şifrelemek için:
    • Basit Dizin Erişim Protokolü (LDAP)
    • Uzaktan Yordam Çağrısı (RPC)
    • Kerberos
    • Genel katalog sunucuları olan LDAP iletişim
ıpsec yapılandırma hakkında ek bilgi için ıpsec, Windows Server 2003 Yardım ve Destek Merkezi'ni arayın.

Özellikler

Makale numarası: 821839 - Last Review: 25 Ekim 2007 Perşembe - Gözden geçirme: 1.4
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
Anahtar Kelimeler: 
kbmt kbinfo KB821839 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:821839

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com