修改重新协商时间
要使 IPSec 能够在发生意外故障转移后的较短时间内重新协商和后端群集节点的会话,请在前端 Exchange 2003 服务器上配置下面注册表子项中的 NLBSFlags 注册表值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley
为此,请按照下列步骤操作: bitsCN.Com
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能确保您能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
| 1. | 在前端 Exchange 2003 服务器上,单击“开始”,然后单击“运行”。 |
| 2. | 在“打开”框中,键入 regedit,然后单击“确定”。 |
| 3. | 找到以下注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley |
| 4. | 在右窗格中,右键单击“NLBSFlags”,然后单击“修改”。 |
| 5. | 在“数值数据”框中,键入 1(一),然后单击“确定”。 注意:将 NLBSFlags 注册表值设为 1 后,IPSec 进行故障转移所花的总时间为 2 分钟:即 1 分钟的空闲时间加上 IKE 重新协商安全关联所花的 1 分钟。 |
| 6. | 退出注册表编辑器。 |
推荐使用的 IPSec 策略设计
尽管本文不提供配置 IPSec 策略的分步说明,但建议在 Exchange 2003 中使用下面的 IPSec 策略实施方案:| • | 要加密 POP3 用户密码和 IMAP4 用户密码,请使用 IPSec 加密后端 Exchange 2003 服务器在端口 110 (POP3) 和端口 143 (IMAP4) 上进行的通信。 | ||||||||
| • | 要加密后端 Exchange 2003 服务器的实际消息流,请使用 IPSec 加密后端服务器在端口 80、端口 110 和端口 143 上进行的任何通信。 | ||||||||
| • | 要加密前端 Exchange 2003 服务器和后端 Exchange 2003 服务器之间连同到域控制器的任何通信,请加密包含下列通信在内的任何网络通信:
|
