如何在執行於 Windows Server 2003 伺服器叢集的 Exchange Server 2003 後端伺服器上設定 IPSec

文章翻譯 文章翻譯
文章編號: 821839 - 檢視此文章適用的產品。
重要: 本文包含修改登錄的相關資訊。修改登錄之前請確定它備份起來,並請確定您瞭解如何在發生問題時還原登錄。如如何備份、 還原,以及編輯登錄有關,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
256986Microsoft Windows 登錄的描述
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您的網際網路通訊協定安全性 (IPSec) 使用執行於 Windows Server 2003 伺服器叢集的 Exchange 2003 後端伺服器上。

Microsoft 支援 Exchange 2003 在 Windows Server 2003 電腦上執行,並使用 IPSec 傳輸模式封裝安全性裝載 (ESP) 來加密通訊的叢集使用網路負載平衡的 Exchange 2003 伺服器叢集或伺服器叢集。當您的前端伺服器和後端伺服器之間使用 IPSec 時,容錯移轉時間會取決於 Exchange 2003 修復時間加上所花費的容錯移轉程序期間重新交涉安全性關聯的 IPSec 的時間。

其他相關資訊

例如 Outlook Web Access (OWA) 伺服器的前端 Exchange 2003 伺服器無法使用安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 加密後端 Exchange 2003 伺服器的流量。超文字傳輸時,通訊前端伺服器與後端伺服器之間永遠會使用未加密的形式的資料傳輸通訊協定 (HTTP) 郵局通訊協定,第 3 版 (POP3) 或使用網際網路訊息存取通訊協定 4 (IMAP4)。

在 Exchange 2003 中 HTTP 通訊協定讓您儘可能使用安全驗證。Exchange 2003 前端伺服器會使用 Kerberos 或 NTLM 驗證,如果後端伺服器設定為接受整合式的 Windows 驗證,與後端伺服器通訊。 這有助於保護使用者密碼資訊不可能會嘗試擷取網路資料傳輸,前端伺服器和後端伺服器之間的惡意使用者。

POP3 通訊協定和 IMAP4 通訊協定只可以使用基本驗證與後端伺服器通訊。因為這項限制的使用者密碼資訊未受保護對抗惡意的使用者者可能會嘗試擷取前端伺服器和後端伺服器之間的網路流量。

下列清單說明為何您可以使用 IPSec 來建立信任關係,以及加密 Exchange 2003 前端伺服器和後端伺服器之間的網路流量的原因:
  • 您的網路環境可能會要求使用者密碼來加密。這是與 POP3 用戶端和使用前端伺服器的 IMAP4 用戶端相關。
  • 您可能需要在前端伺服器和後端伺服器之間網路資料傳輸中的所有資料加密。電子郵件訊息可能會被視為機密,而且必須在前端伺服器和後端伺服器之間加密。
  • 您可能必須設定前端伺服器] 與 [只允許 IPSec 連線的後端伺服器之間的防火牆,或者您想要透過單一連接埠傳送所有的網路流量,透過此防火牆。
若要執行這些工作,您可以設定 IPSec 建立信任,並加密前端伺服器和後端伺服器之間的網路流量。 是否與否,使用叢集技術,但在 Microsoft Windows 2000 Server 設定使用非叢集的環境才支援案例在 Windows Server 2003 支援這種情況。如其他有關使用 IPSec 的 Windows 2000 Server 叢集或網路負載平衡叢集中,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
306677IPSec 不被設計來容錯移轉
248346新增伺服器到 NLB 叢集時遺失的 L2TP 工作階段
當您在 Windows Server 2003 伺服器叢集的後端伺服器上設定 IPSec 時使用 「 叢集系統管理員 」 公用程式將會使用虛擬 IP 位址的叢集的資源移動時,就會發生下列問題:
  1. 虛擬 IP 位址會以程式設計方式從第一個叢集節點中移除。
  2. 移除的虛擬 IP 位址從第一個叢集節點會使"俐落地"移除 [IPSec 安全性關聯狀態與前端伺服器的 IPSec。
  3. 如果前端伺服器仍會嘗試連線到後端伺服器,IPSec 網際網路金鑰交換 (IKE) 交涉通訊協定會立即嘗試重新交涉安全性關聯,以新的後端叢集節點。
  4. 當新的後端叢集節點會自己設定虛擬 IP 位址時,在該節點上的 IPSec 元件至前端伺服器會回應,並建立新的 IPSec 安全性關聯。
此程序可能要花大約 3 到 6 秒,但實際的時間而叢集節點及網路狀況存在在此處理程序期間的 [CPU 負載。

在 Microsoft 叢集服務後端叢集節點停止回應 (當機) 的案例叢集服務啟動容錯移轉程序,叢集的程式和虛擬 IP 位址。 不過,在這種情況下前端 IPSec 電腦仍然相信它有安全連結到虛擬 IP 位址。 IPSec 元件會使用閒置的計時器來決定後端節點已不存在。 在 Windows 2000 電腦上最小的閒置時間是 5 分鐘。 在 Windows Server 2003 電腦上閒置的時間自動減少以 1 分鐘如果
NLBSFlags
登錄機碼設定。 當 IPSec 中移除閒置的 IPSec 安全性關聯 IKE 會嘗試交涉新的 IPSec 安全性關聯。 1 分鐘後 IKE 嘗試建立新的主要模式交涉到虛擬 IP 位址,並且再是成功的建立與新的叢集節點的新安全性關聯。 因為此程序的 IPSec 容錯移轉所需的總時間為 6 分鐘: IPSec 閒置時間 5 分鐘加上 IKE 重新交涉新主要模式交涉含有虛擬 IP 位址的 1 分鐘。

若要修改交涉時間

若要以便 IPSec 與 IKE 交涉至後端叢集節點在短時間內未預期的錯誤後移轉之後在工作階段將
NLBSFlags
登錄值,在下列登錄子機碼設定上 前端 Exchange 2003 伺服器:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
若要這麼做:

警告: 如果您未正確使用登錄編輯程式可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證您可以解決因不當使用 「 登錄編輯器 」 的問題。使用 「 登錄編輯程式 」,請自行負擔相關的風險。
  1. 在前端的 Exchange 2003 伺服器上按一下 [開始],然後按一下 [執行]。
  2. 在 [開啟] 方塊中輸入 regedit,再按 [確定]
  3. 找出下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. 在右窗格中 NLBSFlags,] 上按一下滑鼠右鍵,然後按一下 [修改]
  5. 數值資料] 方塊中鍵入 1 (一),再按 [確定]

    附註您將
    NLBSFlags
    登錄值設定為 1 之後,IPSec 容錯移轉所需的總時間是閒置的時間過期的 2 分鐘的時間: 1 分鐘加上 IKE 重新交涉安全性關聯的 1 分鐘。
  6. 結束 「 登錄編輯程式 」。

建議的 IPSec 原則設計

雖然本文不提供設定 IPSec 原則的逐步指示,可能會與 Exchange 2003 使用下列建議的 IPSec 原則實作:
  • 若要加密 POP3 使用者密碼] 及 [IMAP4 使用者密碼,使用 IPSec 加密後端 Exchange 2003 伺服器連接埠 110 (POP3) 和連接埠 143 (IMAP4) 上的流量。
  • 若要加密實際的訊息資料流到後端 Exchange 2003 伺服器,使用 IPSec 加密後端伺服器上連接埠 80、 連接埠 110,以及連接埠 143 的所有流量。
  • 加密前端 Exchange 2003 伺服器與後端 Exchange 2003 伺服器之間的所有通訊,並到網域控制站都加密包括下列資料傳輸的所有網路流量:
    • 輕量型目錄存取通訊協定 (LDAP)
    • 遠端程序呼叫 (RPC)
    • Kerberos
    • 與通用類別目錄伺服器的 LDAP 通訊
如需有關如何設定 IPSec 的額外資訊,搜尋 Windows Server 2003 說明及支援中心] 中的 IPSec。

屬性

文章編號: 821839 - 上次校閱: 2007年10月25日 - 版次: 1.4
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
關鍵字:?
kbmt kbinfo KB821839 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:821839
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com