Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

Jak skonfigurować protokół IPSec na serwerze zaplecza z programem Exchange Server 2003 należącym do klastra systemu Windows Server 2003 Server

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
WAŻNE: Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis Rejestru systemu Microsoft Windows
Streszczenie
W tym artykule opisano zastosowanie zabezpieczeń protokołu IP (IPSec) na serwerach zaplecza Exchange 2003 należących do klastra serwerów opartego na systemie Windows Server 2003.

Firma Microsoft obsługuje program Exchange 2003 uruchamiany na komputerach z systemem Windows Server 2003 i używający trybu transportu IPSec ESP (Encapsulating Security Payload) do szyfrowania komunikacji z serwerami Exchange 2003 należącymi do klastrów z równoważeniem obciążenia sieciowego lub klastrów serwerów. Jeśli między serwerami frontonu a serwerami zaplecza jest używany protokół IPSec, czas przejścia do pracy awaryjnej zależy od czasu odzyskiwania programu Exchange 2003 i czasu potrzebnego protokołowi IPSec na ponowne wynegocjowanie skojarzeń zabezpieczeń w trakcie przechodzenia do pracy awaryjnej.
Więcej informacji
Serwery frontonu Exchange 2003, takie jak serwery z programem Outlook Web Access (OWA), nie mogą używać protokołu Secure Sockets Layer (SSL) ani protokołu Transport Layer Security (TLS) do szyfrowania ruchu sieciowego w kierunku serwerów zaplecza Exchange 2003. Komunikacja między serwerami frontonu a serwerami zaplecza ma zawsze formę niezaszyfrowanego ruchu sieciowego, jeśli jest używany protokół Hypertext Transfer Protocol (HTTP), Post Office Protocol w wersji 3 (POP3) lub Internet Messaging Access Protocol 4 (IMAP4).

W programie Exchange 2003 protokół HTTP używa, tam gdzie to możliwe, bezpiecznego uwierzytelniania. Serwer frontonu Exchange 2003 używa do komunikowania się z serwerem zaplecza uwierzytelniania Kerberos lub NTLM, jeśli serwer zaplecza jest skonfigurowany do akceptowania zintegrowanego uwierzytelniania systemu Windows. Pomaga to w ochronie informacji o hasłach użytkowników przed nieuczciwymi użytkownikami, którzy mogliby próbować przechwycić ruch sieciowy między serwerem frontonu a serwerem zaplecza.

Protokoły POP3 i IMAP4 do komunikowania się z serwerem zaplecza mogą używać tylko uwierzytelniania podstawowego. Z powodu tego ograniczenia informacje o hasłach użytkowników nie są chronione przed nieuczciwymi użytkownikami, którzy mogliby próbować przechwycić ruch sieciowy między serwerem frontonu a serwerem zaplecza.

Na poniższej liście opisano kilka powodów, dla których celowe może być używanie protokołu IPSec do ustanawiania relacji zaufania i szyfrowania ruchu sieciowego między serwerami frontonu a serwerami zaplecza Exchange 2003:
  • Dane środowisko sieciowe może wymagać, aby hasła użytkowników były szyfrowane. Dotyczy to klientów POP3 i klientów IMAP4, którzy korzystają z serwera frontonu.
  • Może być wymagane szyfrowanie wszystkich danych w ruchu sieciowym między serwerem frontonu a serwerem zaplecza. Wiadomości e-mail mogą być uważane za ważne i muszą być szyfrowane między serwerem frontonu a serwerem zaplecza.
  • Między serwerem frontonu a serwerem zaplecza może być skonfigurowana zapora, która zezwala tylko na połączenia IPSec, albo cały ruch sieciowy może być wysyłany za pośrednictwem tej zapory przez pojedynczy port.
Aby wykonać te zadania, można skonfigurować protokół IPSec do ustanawiania relacji zaufania i szyfrowania ruchu sieciowego między serwerem frontonu a serwerem zaplecza. Ten scenariusz jest obsługiwany w systemie Windows Server 2003 niezależnie od tego, czy są używane technologie klastrowania, czy nie, ale w konfiguracjach z systemem Microsoft Windows 2000 Server jest on obsługiwany tylko w środowisku niesklastrowanym. Aby uzyskać dodatkowe informacje dotyczące używania protokołu IPSec w klastrze systemu Windows 2000 Server lub w klastrze z równoważeniem obciążenia sieciowego, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
306677 IPSec Is Not Designed for Failover
248346 L2TP Sessions Lost When Adding a Server to an NLB Cluster
Po skonfigurowaniu protokołu IPSec na serwerze zaplecza w klastrze serwerów z systemem Windows Server 2003 następujące zachowanie ma miejsce w przypadku użycia narzędzia Administrator klastrów do przeniesienia zasobu sklastrowanego, który używa wirtualnego adresu IP:
  1. Wirtualny adres IP jest programowo usuwany z pierwszego węzła klastra.
  2. Usunięcie wirtualnego adresu IP z pierwszego węzła klastra powoduje, że protokół IPSec w sposób „czysty” usuwa stan skojarzenia zabezpieczeń IPSec z serwerem frontonu.
  3. Jeśli serwer frontonu nadal próbuje połączyć się z serwerem zaplecza, protokół negocjacji IPSec IKE (Internet Key Exchange) natychmiast próbuje ponownie wynegocjować skojarzenie zabezpieczeń z nowym węzłem klastra zaplecza.
  4. Gdy nowy węzeł klastra zaplecza konfiguruje się przy użyciu wirtualnego adresu IP, składnik IPSec na tym węźle odpowiada serwerowi frontonu i ustanawia nowe skojarzenia zabezpieczeń IPSec.
Ta procedura może trwać w przybliżeniu od 3 do 6 sekund, ale rzeczywisty czas zależy od obciążenia procesorów na obu węzłach klastra i od warunków sieciowych panujących podczas tego procesu.

W scenariuszu, w którym węzeł klastra zaplecza z usługą klastrowania firmy Microsoft przestaje odpowiadać (zawiesza się), usługa klastrowania rozpoczyna procedurę przejścia do pracy awaryjnej dla sklastrowanego programu i wirtualnego adresu IP. Jednak w tym przypadku komputer frontonu z protokołem IPSec nadal wierzy, że ma bezpieczne łącze z tym wirtualnym adresem IP. Składnik IPSec używa swojego czasomierza bezczynności, aby stwierdzić, że węzeł zaplecza przestał istnieć. Na komputerze z systemem Windows 2000 ten czas bezczynności wynosi minimalnie 5 minut. Na komputerze z systemem Windows Server 2003 czas bezczynności jest automatycznie redukowany do 1 minuty, jeśli jest ustawiony klucz rejestru
NLBSFlags.
Jak tylko protokół IPSec usunie skojarzenia zabezpieczeń IPSec, protokół IKE próbuje wynegocjować nowe skojarzenia zabezpieczeń IPSec. Po 1 minucie protokół IKE próbuje rozpocząć nowe negocjacje w trybie głównym z wirtualnym adresem IP i pomyślnie tworzy nowe skojarzenia zabezpieczeń z nowym węzłem klastra. Z powodu tej procedury całkowity czas potrzebny protokołowi IPSec do rozpoczęcia pracy awaryjnej wynosi 6 minut: czas bezczynności protokołu IPSec (5 minut) plus czas, przez jako protokół IKE negocjuje w trybie głównym z wirtualnym adresem IP (1 minuta).

Aby zmodyfikować czas ponownego negocjowania

Aby po nieoczekiwanej konieczności przejścia do pracy awaryjnej umożliwić protokołowi IPSec ponowne wynegocjowanie sesji z węzłem klastra zaplecza w krótszym czasie, ustaw wartość rejestru
NLBSFlags
w następującym podkluczu rejestru na serwerze frontonu Exchange 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
Aby to zrobić, wykonaj następujące czynności:

Ostrzeżenie: Nieprawidłowe korzystanie z Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Możesz używać Edytora rejestru na własną odpowiedzialność.
  1. Na serwerze frontonu Exchange 2003 kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
  2. W polu Otwórz wpisz polecenie regedit, a następnie kliknij przycisk OK.
  3. Zlokalizuj następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
  4. W prawym okienku kliknij prawym przyciskiem myszy klucz NLBSFlags, a następnie kliknij polecenie Modyfikuj.
  5. W polu Dane wartości wpisz wartość 1 (jeden), a następnie kliknij przycisk OK.

    Uwaga: Po ustawieniu wartości rejestru
    NLBSFlags
    równej 1 całkowity czas potrzebny protokołowi IPSec na przejście do pracy awaryjnej wynosi 2 minuty: 1 minuta czasu bezczynności plus 1 minuta ponownego negocjowania skojarzeń zabezpieczeń przez protokół IKE.
  6. Zamknij Edytora rejestru.

Sugerowany projekt zasad IPSec

Chociaż ten artykuł nie zawiera instrukcji krok po kroku konfigurowania zasad IPSec, następujące sugerowane implementacje zasad IPSec mogą być używane z programem Exchange 2003:
  • Aby szyfrować hasła użytkowników POP3 i hasła użytkowników IMAP4, użyj protokołu IPSec do szyfrowania ruchu sieciowego w kierunku serwerów zaplecza Exchange 2003 na porcie 110 (POP3) i na porcie 143 (IMAP4).
  • Aby szyfrować rzeczywisty strumień wiadomości w kierunku serwerów zaplecza Exchange 2003, użyj protokołu IPSec do szyfrowania całego ruchu sieciowego w kierunku serwerów zaplecza na portach 80, 110 i 143.
  • Aby szyfrować całą komunikację między serwerami frontonu Exchange 2003 a serwerami zaplecza Exchange 2003 i w kierunku kontrolerów domeny, szyfruj cały ruch sieciowy, w tym:
    • LDAP (Lightweight Directory Access Protocol)
    • Zdalne wywoływanie procedur (RPC)
    • Kerberos
    • Komunikację LDAP z serwerami wykazu globalnego
Aby uzyskać dodatkowe informacje dotyczące sposobu skonfigurowania protokołu IPSec, wyszukaj hasło IPSec w Centrum pomocy i obsługi technicznej systemu Windows Server 2003.
XADM, FE BE FE/BE exclus MSCS IPSEC SSL szyfrowanie
Właściwości

Identyfikator artykułu: 821839 — ostatni przegląd: 01/11/2015 05:07:36 — zmiana: 1.2

Microsoft Exchange Server 2003 Enterprise Edition, Microsoft Exchange Server 2003 Standard Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)

  • kbnosurvey kbarchive kbinfo KB821839
Opinia