IPSec はフェールオーバー用に設計されていない

この記事は、以前は次の ID で公開されていました: JP306677
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
Windows 負荷分散サービス (WLBS)、ネットワーク負荷分散 (NLB)、サーバー クラスタ (MSCS) でインターネット プロトコル セキュリティ (IPSec) を使用することはできますが、IPSec はフェールオーバーの状況を考慮して設計されたものではありません。
詳細
サーバー クラスタにおいてフェールオーバーする可能性のあるアプリケーションでインターネット プロトコル セキュリティ (IPSec) を使用することはできますが、IPSec はフェールオーバーの状況を考慮して設計されていないため、サーバー クラスタでアプリケーションに対して IPSec を使用しないことをお勧めします。

最も重要な問題は、インターネット キー交換 (IKE) セキュリティ アソシエーション (SA) が各ノードのローカル データベースに格納されているため、フェールオーバーが発生してもサーバーから別のサーバーに転送されないことです。

IPSec によって保護されている接続では、フェーズ I ネゴシエーションで IKE SA が作成されます。2 つの IPSec SA はフェーズ II で作成されます。タイムアウト値は IKE と IPSec の SA に関連しています。マスター PFS (Perfect Forward Secrecy) が使用されない場合、IPSec SA は IKE SA からキー マテリアルを使用して作成されます。その場合、クライアントはデフォルトのタイムアウトまたは受信 IPSec SA の有効期間が切れるのを待ち、IKE SA に関連するタイムアウトまたは有効期間を待つ必要があります。

セキュリティ アソシエーションのアイドル タイマのデフォルトのタイムアウトは 5 分です。フェールオーバーが発生した場合、クライアントは、すべてのリソースがオンラインになった後で最低 5 分間は IPSec を使用して再度接続を確立することができません。

IPSec はクラスタ環境で最適になるよう設計されていませんが、フェールオーバー発生時にセキュリティに保護された接続がクライアントのダウンタイムより業務上重要である場合に使用されます。IPSec では接続に関連する状態情報が必要ですが、フェールオーバー中にその状態情報を保存することはできません。IPSec は Microsoft クラスタ サービスでテストされておらず、現在サポートされていないソリューションです。マイクロソフトでは、サーバー クラスタでアプリケーションに対して IPSec を使用しないことを強くお勧めします。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
253169 Traffic That Can--and Cannot--Be Secured by IPSec
253169 [NT]IPSec により保護されるトラフィックと保護されないトラフィック
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 306677 (最終更新日 2002-03-20) をもとに作成したものです。

プロパティ

文書番号:306677 - 最終更新日: 01/23/2014 01:10:04 - リビジョン: 2.0

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbnosurvey kbarchive kbinfo kbenv KB306677
フィードバック