Configuration des nœuds de cluster Exchange 2003
Dernière rubrique modifiée : 2006-07-28
Pour vous ajuster aux stratégies appliquées par les modèles de sécurité d'objets Stratégie de groupe Windows et Exchange, vous devez configurer deux composants sur vos nœuds de cluster Exchange :
- Services Les modèles d'objets Stratégie de groupe de sécurité Windows et Exchange configurent certains services pour démarrer automatiquement. Vous devez modifier certains de ces services pour les démarrer manuellement. Vous devez également activer le service de cluster et le service MSDTC (Microsoft Distributed Transaction Coordinator).
- Sécurité réseau Téléchargez un correctif de Windows Server 2003 ultérieur au RTM qui permet à la version 2 de NTLM (NTLMv2) de fonctionner correctement dans un cluster Windows Server. Pour plus d'informations, voir l'article 890761 de la Base de connaissances Microsoft sur la réception d'un message d'erreur « Error 0x8007042b » lorsque vous ajoutez ou joignez un nœud à un cluster, au cas où vous utilisez la version 2 de NTLM dans Windows Server 2003.
Services
Le tableau suivant liste les paramètres de démarrage de base recommandés pour les nœuds de cluster s'exécutant dans un environnement renforcé. Plus précisément, le tableau 1 indique le mode de démarrage de chaque service après que vous avez appliqué le modèle d'objet Stratégie de groupe de base de nœud de cluster Exchange 2003 sur les modèles de serveur principal Exchange 2003 et d'objets Stratégie de groupe de membres serveurs Windows Enterprise Client. Les services qui sont ajoutés ou modifiés par le modèle d'objet Stratégie de groupe de base de nœud de cluster Exchange 2003 apparaissent en italique.
.gif "note") Remarque : |
|---|
| De nombreux services configurés par les modèles de sécurité de serveur principal et d'objet Stratégie de groupe de base de nœud de cluster Exchange 2003 appliquent la configuration de service par défaut lorsqu'Exchange 2003 est installé. L'application de ces modèles de sécurité d'objet Stratégie de groupe fournit un mécanisme qui garantit une configuration de service cohérente dans toute votre organisation Exchange. |
Pour activer les services POP3 et IMAP4, qui ont été désactivés à la fois par le modèle de serveur principal et par le modèle d'objet Stratégie de groupe de base de nœud de cluster Exchange 2003, vous devez appliquer soit le modèle de nœud de cluster POP3 (Exchange_2003-Cluster_Node_POP3_V1_1.inf), soit le modèle de nœud de cluster IMAP4 (Exchange_2003-Cluster_Node_IMAP4_V1_1.inf).
| Remarque : |
|---|
| Pour obtenir la procédure détaillée pour l'activation de la fonctionnalité POP3 ou IMAP4 sur vos nœuds de cluster Exchange, voir la rubrique sur la Comment configurer et exécuter des clusters de serveur Exchange 2003 dans un environnement à sécurité renforcée. |
Activez les paramètres configurés par l'application du modèle d'objet Stratégie de groupe de base de nœud de cluster Exchange 2003 sur le modèle de sécurité d'objet Stratégie de groupe de serveur principal Exchange 2003
| Nom du service | Mode Démarrage | Raison |
|---|---|---|
Microsoft Exchange IMAP4 |
Désactivé |
Serveur non configuré pour IMAP4 |
Banque d'informations de Microsoft Exchange |
Manuel |
Nécessaire pour accéder aux banques de dossiers publics et de boîtes aux lettres |
Microsoft Exchange POP3 |
Désactivé |
Serveur non configuré pour POP3 |
Microsoft Search |
Manuel |
Utilisé par l'indexation de texte intégral |
Événement Microsoft Exchange |
Désactivé |
Nécessaire uniquement pour la comptabilité ascendante avec Exchange 5.5 ; non pris en charge sur les clusters Exchange |
Service de réplication de sites Microsoft Exchange |
Désactivé |
Nécessaire uniquement pour la comptabilité ascendante avec Exchange 5.5 ; non pris en charge sur les clusters Exchange |
Gestion de Microsoft Exchange |
Automatique |
Publie les informations de gestion Exchange dans WMI (Windows Management Instrumentation) ; informations requises pour que le suivi des messages fonctionne |
Infrastructure de gestion Windows (WMI) |
Automatique |
Utilisé par le service Gestion de Microsoft Exchange pour publier des informations de gestion Exchange |
Piles MTA Microsoft Exchange |
Manuel |
Nécessaire à la comptabilité ascendante |
Surveillance du système Microsoft Exchange |
Manuel |
Nécessaire pour la maintenance d'Exchange et d'autres tâches |
Moteur de routage Microsoft Exchange |
Manuel |
Nécessaire pour coordonner le transfert des messages entre des serveurs Exchange |
Services IPSEC |
Automatique |
Nécessaire pour l'implémentation et l'utilisation de la stratégie de sécurité du protocole Internet (IPSec) sur le serveur pour la communication avec les clients et les serveurs qui prennent en charge IPSec |
Appel de procédure distante (RPC) |
Automatique |
Fournit le point de terminaison RPC et le mappage des points de terminaison pour les communications avec les serveurs et les stations de travail Windows, ainsi que pour la communication entre les serveurs Exchange et les clients Microsoft Outlook®. |
Service d'administration IIS |
Automatique |
Requis par le service de publication du World Wide Web, le service SMTP et le service Moteur de routage Microsoft Exchange |
Fournisseur de la prise en charge de la sécurité NTLM |
Automatique |
Assure la sécurité des appels de procédure distants (RPC) |
Protocole SMTP (Simple Mail Transfer Protocol) |
Manuel |
Requis pour le transport Exchange |
Service de publication World Wide Web |
Automatique |
Requis pour la communication avec les serveurs exécutant les clients Outlook Web Access, Outlook Mobile Access, Exchange ActiveSync® et Outlook 2003 qui se connectent à Exchange à l'aide des appels RPC sur HTTP ; requis pour accéder aux banques de dossiers publics et au contenu du Gestionnaire système Exchange |
HTTP SSL |
Manuel |
Implémente le protocole HTTP sécurisé (HTTPS) pour le service de publication World Wide Web |
Protocole NNTP (Network News Transfer Protocol) |
Désactivé |
Nécessaire uniquement pour la fonctionnalité d'installation et de groupes de discussion ; non pris en charge par les clusters Exchange |
Service de cluster |
Automatique |
Requis pour l'installation et l'exécution d'Exchange sur un cluster Windows Server |
Coordinateur de transactions distribuées Microsoft |
Manuel |
Requis par le programme d'installation d'Exchange et du Service Pack lorsqu'Exchange est installé sur un cluster Windows Server |
Services ajoutés et modifiés par le modèle Exchange 2003 d'objets Stratégie de groupe de base de nœud de cluster
Comme nous l'avons mentionné précédemment, le modèle Exchange 2003 d'objet Stratégie de groupe de base de nœud de cluster n'ajoute ou ne modifie que les services qui ont été configurés par les modèles Exchange 2003 de serveur principal et d'objets Stratégie de groupe de sécurité des membres serveurs Windows. Cette section décrit les services qui sont ajoutés et modifiés lorsque vous appliquez le modèle Exchange 2003 d'objet Stratégie de groupe de base de nœud de cluster aux modèles de sécurité Exchange 2003 de serveur principal d'objet Stratégie de groupe de membres serveurs Windows Enterprise Client.
Comme les services Exchange de base sont contrôlés par le service cluster Windows, les nœuds de cluster Exchange 2003 nécessitent que ces services de base soient définis pour démarrer manuellement. Le modèle d'objet Stratégie de groupe de base de nœud de cluster d'Exchange 2003 définit les services Exchange suivants pour qu'ils démarrent manuellement :
- Banque d'informations de Microsoft Exchange
- Piles MTA Microsoft Exchange
- Surveillance du système Microsoft Exchange
- Moteur de routage Microsoft Exchange
- Protocole SMTP (Simple Mail Transfer Protocol)
En outre, l'exécution d'Exchange dans un cluster Windows nécessite les services supplémentaires suivants :
- Service de cluster Ce service est le service principal de Clustering Windows et est configuré pour démarrer automatiquement. Le modèle d'objet Stratégie de groupe de base de nœud de cluster Exchange 2003 définit l'audit du service de cluster, y compris tout échec d'audit (Clussvc.exe). En outre, le modèle sécurise le service de cluster avec les autorisations de sécurité suivantes :
- Administrateurs intégrés : Contrôle total
- Utilisateurs authentifiés : Lecture
- SYSTÈME : Contrôle total
Les autorisations SYSTÈME et Administrateurs intégrés sont nécessaires pour que le service de cluster fonctionne dans n'importe quel environnement. Il est nécessaire d'accorder aux utilisateurs authentifiés l'accès en lecture à Outlook Web Access. Pour plus d'informations sur l'autorisation propre à Outlook Web Access, consultez l'article de Base de connaissances Microsoft 833001 « Users cannot access Outlook Web Access after you apply security templates from the Security Operations Guide for Windows 2000 ».
- Microsoft Search Ce service est défini pour démarrer manuellement. Ce service lié à Exchange n'est pas requis ; toutefois, une ressource de cluster Microsoft Search est créée lors de la création d'un serveur EVS. La désactivation de ce service donne une ressource de cluster partiellement en ligne.
Si vous n'utilisez pas d'indexation de texte intégral dans votre organisation, vous pouvez supprimer la ressource de cluster Microsoft Search et désactiver ce service. Ce service est paramétré sur Désactivé dans le modèle Exchange 2003 Backend.inf dont hérite l'unité d'organisation de nœud de cluster Exchange. Par conséquent, pour désactiver le service Microsoft Search, supprimez la ligne suivante du fichier Exchange 2003-Cluster Node Base V1 1.inf :
"MSSEARCH",3,"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Pour plus d'informations sur la suppression et la recréation de la ressource de service Microsoft Search sur un cluster Exchange 2003, consultez l'article de Base de connaissances Microsoft 830189 « Exchange Server 2003 computer cannot bring the Microsoft Search resource online ». - MSDTC (Microsoft Distributed Transaction Coordinator) Ce service est défini pour démarrer manuellement. Exchange utilise uniquement le MSDTC au cours de l'installation. Pendant le programme d'installation d'Exchange, COM+ est utilisé pour enregistrer le fichier de récepteur d'événement CDOWFEVT.DLL (Microsoft CDO Workflow Event Sink) pour que les fonctions DLL puissent être utilisées. Pour que COM+ enregistre le récepteur d'événements, une ressource MSDTC en clusters doit être installée et être en cours d'exécution dans le cluster. Si un MSDTC en cluster n'est pas installé et ne s'exécute pas pendant l'installation d'Exchange ou du Service Pack, le programme d'installation échouera. Pour plus d'informations sur la configuration de MSDTC, consultez l'article de Base de connaissances Microsoft 301600 « How to configure Microsoft Distributed Transaction Coordinator on a Windows Server 2003 cluster ».
Sécurité de réseau
Les modèles de sécurité d'objets Stratégie de groupe de membres serveurs Windows (inclus avec la documentation Windows Server 2003 Security Guide) activent la sécurité de session minimale pour les serveurs et les clients SSP de fournisseur de support de sécurité NTLM. Le modèle d'objet Stratégie de groupe de membres serveurs de Windows Enterprise Client configure spécialement les paramètres NTLM suivants :
- Intégrité des messages (cryptage)
- Confidentialité des messages
- Authentification NTLMv2
- Cryptage 128 bits
L'authentification NTLMv2 ne fonctionne pas correctement sur la version RTM des clusters Windows Server 2003. Plus précisément, sur un cluster Windows Server 2003, l'activation de l'authentification NTLMv2 sur NTLM SSP empêche le démarrage du service de cluster. Cependant, la sécurité de session de NTLM version 1 avec l'intégrité des messages, la confidentialité des messages et le cryptage 128 bits est fonctionnelle. Par conséquent, le modèle de sécurité d'objet Stratégie de groupe de membres serveurs de Windows Enterprise Client entraîne l'échec de nœuds de cluster Exchange car les modèles de sécurité d'objets Stratégie de groupe appliquent l'authentification NTLMv2.
Pour activer la mise en cluster Exchange 2003 où sont appliqués les modèles de sécurité d'objets Stratégie de groupe de membre serveur Windows, vous devez installer le correctif logiciel Windows décrit dans l'article de Base de connaissances Microsoft 890761 « You receive an "Error 0x8007042b" error message when you add or join a node to a cluster if you use NTLM version 2 in Windows Server 2003 ».
| Remarque : |
|---|
| Pour permettre à la sécurité de session NTLMv2 de fonctionner correctement, il est recommandé d'installer le correctif logiciel. Si l'authentification NTLMv2 est activée et si ce correctif logiciel n'est pas appliqué, le service de mise en cluster de Windows ne démarrera pas. |
Il est important d'insister sur le fait que l'application du modèle d'objet Stratégie de groupe de base de nœud de cluster Exchange 2003 dans l'isolation ne renforce pas votre environnement Exchange. Le modèle d'objet Stratégie de groupe de nœud de cluster Exchange 2003 suppose que les modèles de serveur principal Exchange et les modèles d'objets Stratégie de groupe de la sécurité des membres serveurs Windows Server 2003 Enterprise Client ont été appliqués et que l'unité d'organisation dans laquelle vous avez placé vos nœuds de cluster Exchange en hérite.