如何在运行于 Windows Server 2003 服务器群集上的 Exchange Server 2003 后端服务器上配置 IPSec

本文讨论如何在运行在基于 Windows Server 2003 服务器群集上的 Exchange 2003 后端服务器上使用 Internet 协议安全 (IPSec)。

Microsoft 支持 Exchange 2003 在基于 Windows Server 2003 的计算机上运行，并支持 Exchange 2003 使用 IPSec 传输模式封装式安全措施负载 (ESP) 来加密与使用网络负载平衡群集或服务器群集的 Exchange 2003 群集服务器间进行的通信。如果在前端服务器和后端服务器之间使用 IPSec，则故障转移时间取决于 Exchange 2003 恢复时间加上 IPSec 在故障转移过程中重新协商安全关联所花的时间。

诸如 Outlook Web Access (OWA) 服务器之类的前端 Exchange 2003 服务器不能使用安全套接字层 (SSL) 或传输层安全性 (TLS) 来加密与后端 Exchange 2003 服务器间进行的通信。如果使用超文本传输协议 (HTTP)、邮局协议版本 3 (POP3) 或 Internet 消息访问协议 4 (IMAP4)，则前端服务器和后端服务器间进行的通信始终使用未加密的通信格式。

在 Exchange 2003 中，HTTP 协议尽可能地使用安全身份验证。如果将后端服务器配置为接受集成的 Windows 身份验证，则 Exchange 2003 前端服务器将使用 Kerberos 或 NTLM 身份验证与后端服务器进行通信。这有助于防止用户密码信息被恶意用户窃取，而恶意用户可能会企图捕获前端服务器和后端服务器间的网络通信。

POP3 协议和 IMAP4 协议只能使用基本身份验证与后端服务器进行通信。由于此限制，使得恶意用户能够窃取到用户密码信息，而恶意用户可能会企图捕获前端服务器和后端服务器间的网络通信。

下表说明了可能希望使用 IPSec 在 Exchange 2003 前端服务器和后端服务器间建立信任及加密这两者间的网络通信的一些原因：

•	网络环境可能需要加密用户密码。这涉及到使用前端服务器的 POP3 客户端和 IMAP4 客户端。
•	可能需要加密前端服务器和后端服务器间所有的网络通信数据。电子邮件可能被视为敏感且必须在前端服务器和后端服务器间进行加密。
•	可能要在只允许 IPSec 连接的前端服务器和后端服务器间配置防火墙，或要在单个端口上通过此防火墙发送所有网络通信。

要执行上述任务，可以对 IPSec 进行配置，以在前端服务器和后端服务器间建立信任并加密这两者间进行的网络通信。不论是否使用群集技术，Windows Server 2003 都支持该方案；但在 Microsoft Windows 2000 Server 配置中，只有使用非群集环境时才支持该方案。有关在 Windows 2000 Server 群集或网络负载平衡群集中使用 IPSec 的其他信息，请单击下面的文章编号以查看 Microsoft 知识库中相应的文章： 在 Windows Server 2003 服务器群集中的后端服务器上配置 IPSec 时，如果使用群集管理器实用工具移动使用虚拟 IP 地址的群集资源，则会发生下列问题：

1.	以编程方式从第一个群集节点删除了虚拟 IP 地址。
2.	从第一个群集节点中删除虚拟 IP 地址会导致 IPSec“干净地”删除前端服务器的 IPSec 安全关联状态。
3.	如果前端服务器仍尝试连接到后端服务器，则 IPSec Internet 密钥交换 (IKE) 协商协议会立即尝试与新的后端群集节点重新协商安全关联。
4.	在新的后端群集节点将自身配置为使用虚拟 IP 地址时，该节点上的 IPSec 组件会对前端服务器进行响应并建立新的 IPSec 安全关联。

这一过程大约需要 3 至 6 秒，实际所花费的时间取决于两个群集节点上的 CPU 负载和此过程中存在的网络状况。

一旦 Microsoft 群集服务后端群集节点停止响应（崩溃），群集服务就会为群集程序和虚拟 IP 地址启动故障转移过程。不过，在这种情况下，前端 IPSec 计算机仍会认为它与虚拟 IP 地址的链接是安全的。IPSec 组件使用其空闲计时器来确定后端节点不再具有的时间。在基于 Windows 2000 的计算机上，最小空闲时间为 5 分钟。在基于 Windows Server 2003 的计算机上，如果设置了 NLBSFlags 注册表项，则空闲时间会自动降为 1 分钟。只要 IPSec 删除空闲 IPSec 安全关联，IKE 就会尝试重新协商新的 IPSec 安全关联。1 分钟后，IKE 会尝试与虚拟 IP 地址建立一个新的主模式协商，然后成功创建带有新的群集节点的新安全关联。由于此过程，IPSec 进行故障转移所花的总时间为 6 分钟：即 5 分钟的 IPSec 空闲时间加上 IKE 与虚拟 IP 地址重新协商新的主模式协商所花的 1 分钟时间。

修改重新协商时间

要使 IPSec 能够在发生意外故障转移后的较短时间内重新协商与后端群集节点的会话，请在前端 Exchange 2003 服务器上设置下面注册表子项中的 NLBSFlags 注册表值： 为此，请按照下列步骤操作：

警告：注册表编辑器使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

1.	在前端 Exchange 2003 服务器上，单击“开始”，然后单击“运行”。
2.	在“打开”框中，键入 regedit，然后单击“确定”。
3.	找到以下注册表子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
4.	在右窗格中，右键单击“NLBSFlags”，然后单击“修改”。
5.	在“数值数据”框中，键入 1（一），然后单击“确定”。 注意：将 NLBSFlags 注册表值设为 1 后，IPSec 进行故障转移所花的总时间为 2 分钟：即 1 分钟的空闲时间加上 IKE 重新协商安全关联所花的 1 分钟。
6.	退出注册表编辑器。

推荐使用的 IPSec 策略设计

尽管本文不提供配置 IPSec 策略的分步说明，但建议在 Exchange 2003 中使用下面的 IPSec 策略实施方案：

•	要加密 POP3 用户密码和 IMAP4 用户密码，请使用 IPSec 加密后端 Exchange 2003 服务器在端口 110 (POP3) 和端口 143 (IMAP4) 上进行的通信。
•	要加密后端 Exchange 2003 服务器的实际消息流，请使用 IPSec 加密后端服务器在端口 80、端口 110 和端口 143 上进行的所有通信。
•	要加密前端 Exchange 2003 服务器和后端 Exchange 2003 服务器之间以及到域控制器的所有通信，请加密包含下列通信在内的所有网络通信： • 轻型目录访问协议 (LDAP) • 远程过程调用 (RPC) • Kerberos • 全局编录服务器的 LDAP 通信

有关如何配置 IPSec 的其他信息，请在 Windows Server 2003 的“帮助和支持中心”中搜索 IPSec。