Select the product you need help with

如何在运行于 Windows Server 2003 服务器群集上的 Exchange Server 2003 后端服务器上配置 IPSec

重要说明：本文包含有关修改注册表的信息。修改注册表之前，一定要先进行备份，并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

(http://support.microsoft.com/kb/256986/ )

Microsoft Windows 注册表说明

本文讨论如何在运行在基于 Windows Server 2003 服务器群集上的 Exchange 2003 后端服务器上使用 Internet 协议安全 (IPSec)。

Microsoft 支持 Exchange 2003 在基于 Windows Server 2003 的计算机上运行，并支持 Exchange 2003 使用 IPSec 传输模式封装式安全措施负载 (ESP) 来加密与使用网络负载平衡群集或服务器群集的 Exchange 2003 群集服务器间进行的通信。如果在前端服务器和后端服务器之间使用 IPSec，则故障转移时间取决于 Exchange 2003 恢复时间加上 IPSec 在故障转移过程中重新协商安全关联所花的时间。

回到顶端 | 提供反馈

更多信息

诸如 Outlook Web Access (OWA) 服务器之类的前端 Exchange 2003 服务器不能使用安全套接字层 (SSL) 或传输层安全性 (TLS) 来加密与后端 Exchange 2003 服务器间进行的通信。如果使用超文本传输协议 (HTTP)、邮局协议版本 3 (POP3) 或 Internet 消息访问协议 4 (IMAP4)，则前端服务器和后端服务器间进行的通信始终使用未加密的通信格式。

在 Exchange 2003 中，HTTP 协议尽可能地使用安全身份验证。如果将后端服务器配置为接受集成的 Windows 身份验证，则 Exchange 2003 前端服务器将使用 Kerberos 或 NTLM 身份验证与后端服务器进行通信。这有助于防止用户密码信息被恶意用户窃取，而恶意用户可能会企图捕获前端服务器和后端服务器间的网络通信。

POP3 协议和 IMAP4 协议只能使用基本身份验证与后端服务器进行通信。由于此限制，使得恶意用户能够窃取到用户密码信息，而恶意用户可能会企图捕获前端服务器和后端服务器间的网络通信。

下表说明了可能希望使用 IPSec 在 Exchange 2003 前端服务器和后端服务器间建立信任及加密这两者间的网络通信的一些原因：

网络环境可能需要加密用户密码。这涉及到使用前端服务器的 POP3 客户端和 IMAP4 客户端。
可能需要加密前端服务器和后端服务器间所有的网络通信数据。电子邮件可能被视为敏感且必须在前端服务器和后端服务器间进行加密。
可能要在只允许 IPSec 连接的前端服务器和后端服务器间配置防火墙，或要在单个端口上通过此防火墙发送所有网络通信。

要执行上述任务，可以对 IPSec 进行配置，以在前端服务器和后端服务器间建立信任并加密这两者间进行的网络通信。不论是否使用群集技术，Windows Server 2003 都支持该方案；但在 Microsoft Windows 2000 Server 配置中，只有使用非群集环境时才支持该方案。有关在 Windows 2000 Server 群集或网络负载平衡群集中使用 IPSec 的其他信息，请单击下面的文章编号以查看 Microsoft 知识库中相应的文章：

306677

(http://support.microsoft.com/kb/306677/ )

未针对故障转移设计 IPSec

248346

(http://support.microsoft.com/kb/248346/ )

在向 NLB 群集添加服务器时 L2TP 会话丢失

在 Windows Server 2003 服务器群集中的后端服务器上配置 IPSec 时，如果使用群集管理器实用工具移动使用虚拟 IP 地址的群集资源，则会发生下列问题：

以编程方式从第一个群集节点删除了虚拟 IP 地址。
从第一个群集节点中删除虚拟 IP 地址会导致 IPSec“干净地”删除前端服务器的 IPSec 安全关联状态。
如果前端服务器仍尝试连接到后端服务器，则 IPSec Internet 密钥交换 (IKE) 协商协议会立即尝试与新的后端群集节点重新协商安全关联。
在新的后端群集节点将自身配置为使用虚拟 IP 地址时，该节点上的 IPSec 组件会对前端服务器进行响应并建立新的 IPSec 安全关联。

这一过程大约需要 3 至 6 秒，实际所花费的时间取决于两个群集节点上的 CPU 负载和此过程中存在的网络状况。

一旦 Microsoft 群集服务后端群集节点停止响应（崩溃），群集服务就会为群集程序和虚拟 IP 地址启动故障转移过程。不过，在这种情况下，前端 IPSec 计算机仍会认为它与虚拟 IP 地址的链接是安全的。IPSec 组件使用其空闲计时器来确定后端节点不再具有的时间。在基于 Windows 2000 的计算机上，最小空闲时间为 5 分钟。在基于 Windows Server 2003 的计算机上，如果设置了

NLBSFlags

注册表项，则空闲时间会自动降为 1 分钟。只要 IPSec 删除空闲 IPSec 安全关联，IKE 就会尝试重新协商新的 IPSec 安全关联。1 分钟后，IKE 会尝试与虚拟 IP 地址建立一个新的主模式协商，然后成功创建带有新的群集节点的新安全关联。由于此过程，IPSec 进行故障转移所花的总时间为 6 分钟：即 5 分钟的 IPSec 空闲时间加上 IKE 与虚拟 IP 地址重新协商新的主模式协商所花的 1 分钟时间。

修改重新协商时间

要使 IPSec 能够在发生意外故障转移后的较短时间内重新协商与后端群集节点的会话，请在前端 Exchange 2003 服务器上设置下面注册表子项中的

NLBSFlags

注册表值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley

为此，请按照下列步骤操作：

警告：注册表编辑器使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

在前端 Exchange 2003 服务器上，单击“开始”，然后单击“运行”。
在“打开”框中，键入 regedit，然后单击“确定”。
找到以下注册表子项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
在右窗格中，右键单击“NLBSFlags”，然后单击“修改”。
在“数值数据”框中，键入 1（一），然后单击“确定”。

注意：将
NLBSFlags
注册表值设为 1 后，IPSec 进行故障转移所花的总时间为 2 分钟：即 1 分钟的空闲时间加上 IKE 重新协商安全关联所花的 1 分钟。
退出注册表编辑器。

属性

文章编号: 821839 - 最后修改: 2007年11月26日 - 修订: 1.2

这篇文章中的信息适用于:

Microsoft Exchange Server 2003 Enterprise Edition
Microsoft Exchange Server 2003 Standard Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition

kbinfo KB821839

Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

回到顶端 | 提供反馈

提供反馈

回到顶端

文章翻译

United States (English)