如何在运行于 Windows Server 2003 服务器群集…
2008-02-23 06:13:28来源:互联网 阅读 ()
本页内容
 | 概要 | |
| 更多信息 | |
| 修改重新协商时间 | |
| 推荐使用的 IPSec 策略设计 | |
| 这篇文章中的信息适用于: | |
概要
Microsoft 支持 Exchange 2003 在基于 Windows Server 2003 的电脑上运行,并支持 Exchange 2003 使用 IPSec 传输模式封装式安全措施负载 (ESP) 来加密和使用网络负载平衡群集或服务器群集的 Exchange 2003 群集服务器间进行的通信。假如在前端服务器和后端服务器之间使用 IPSec,则故障转移时间取决于 Exchange 2003 恢复时间加上 IPSec 在故障转移过程中重新协商安全关联所花的时间。
更多信息
bitsCN.Com
在 Exchange 2003 中,HTTP 协议尽可能地使用安全身份验证。假如将后端服务器配置为接受集成的 Windows 身份验证,则 Exchange 2003 前端服务器将使用 Kerberos 或 NTLM 身份验证和后端服务器进行通信。这有助于防止用户密码信息被恶意用户窃取,而恶意用户可能会企图捕获前端服务器和后端服务器间的网络通信。
POP3 协议和 IMAP4 协议只能使用基本身份验证和后端服务器进行通信。由于此限制,使得恶意用户能够窃取到用户密码信息,而恶意用户可能会企图捕获前端服务器和后端服务器间的网络通信。
下表说明了可能希望使用 IPSec 在 Exchange 2003 前端服务器和后端服务器间建立信任及加密这两者间的网络通信的一些原因:
| • | 网络环境可能需要加密用户密码。这涉及到使用前端服务器的 POP3 客户端和 IMAP4 客户端。 |
| • | 可能需要加密前端服务器和后端服务器间任何的网络通信数据。电子邮件可能被视为敏感且必须在前端服务器和后端服务器间进行加密。 |
| • | 可能要在只允许 IPSec 连接的前端服务器和后端服务器间配置防火墙,或要在单个端口上通过此防火墙发送任何网络通信。 |
| 1. | 以编程方式从第一个群集节点删除了虚拟 IP 地址。 |
| 2. | 从第一个群集节点中删除虚拟 IP 地址会导致 IPSec“干净地”删除前端服务器的 IPSec 安全关联状态。 |
| 3. | 假如前端服务器仍尝试连接到后端服务器,则 IPSec Internet 密钥交换 (IKE) 协商协议会立即尝试和新的后端群集节点重新协商安全关联。 |
| 4. | 在新的后端群集节点将自身配置为使用虚拟 IP 地址时,该节点上的 IPSec 组件会对前端服务器进行响应并建立新的 IPSec 安全关联。 |
一旦 Microsoft 群集服务后端群集节点停止响应(崩溃),群集服务就会为群集程式和虚拟 IP 地址启动故障转移过程。但是,在这种情况下,前端 IPSec 电脑仍会认为他和虚拟 IP 地址的链接是安全的。IPSec 组件使用其空闲计时器来确定后端节点不再具备的时间。在基于 Windows 2000 的电脑上,最小空闲时间为 5 分钟。在基于 Windows Server 2003 的电脑上,假如配置了 NLBSFlags 注册表项,则空闲时间会自动降为 1 分钟。只要 IPSec 删除空闲 IPSec 安全关联,IKE 就会尝试重新协商新的 IPSec 安全关联。1 分钟后,IKE 会尝试和虚拟 IP 地址建立一个新的主模式协商,然后成功创建带有新的群集节点的新安全关联。由于此过程,IPSec 进行故障转移所花的总时间为 6 分钟:即 5 分钟的 IPSec 空闲时间加上 IKE 和虚拟 IP 地址重新协商新的主模式协商所花的 1 分钟时间。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
