配置 Exchange 2003 群集节点
上一次修改主题: 2006-07-28
要适应通过 Windows 和 Exchange 安全 GPO 模板应用的策略,必须在 Exchange 群集上配置两个组件:
- 服务 Windows 和 Exchange 安全 GPO 模板将某些服务配置为自动启动。您必须将其中一些服务更改为手动启动。此外,您还必须启用群集服务和 Microsoft 分布式事务协调器 (MSDTC) 服务。
- 网络安全 必须下载 Windows Server 2003 post-RTM 修补程序,以便 NTLM 版本 2 (NTLMv2) 会话安全能够在 Windows Server 群集中正常运行。有关详细信息,请参阅 Microsoft 知识库文章 890761“You receive an "Error 0x8007042b" error message when you add or join a node to a cluster if you use NTLM version 2 in Windows Server 2003”(英文)。
服务
下表列出推荐的基线启动设置可供在强化后的环境中运行的群集节点使用。具体地说,表 1 显示在应用 Exchange 2003 群集节点库 GPO 模板(在 Exchange 2003 后端之上)和 Windows 企业客户端成员服务器 GPO 模板后的每个服务的启动模式。通过 Exchange 2003 群集节点库 GPO 模板更改或添加的服务是以斜体形式出现的。
.gif "note") 注意: |
|---|
| 通过 Exchange 2003 后端和 Exchange 2003 群集节点库 GPO 安全模板配置的许多服务强制使用安装 Exchange 2003 时使用的默认服务配置。应用这些 GPO 安全模板提供了一种机制,可确保整个 Exchange 组织的服务配置一致。 |
若要启用通过 Exchange 2003 后端和 Exchange 2003 群集节点库 GPO 模板禁用的 POP3 或 IMAP4 服务,必须应用群集节点 POP3 模板 (Exchange_2003-Cluster_Node_POP3_V1_1.inf) 或群集节点 IMAP4 模板 (Exchange_2003-Cluster_Node_IMAP4_V1_1.inf)。
| 注意: |
|---|
| 有关如何启用 Exchange 群集节点上的 POP3 或 IMAP4 功能的详细步骤,请参阅如何在强化安全的环境中配置和运行 Exchange Server 2003 群集。 |
通过在 Exchange 2003 后端 GPO 安全模板之上应用 Exchange 2003 群集节点库 GPO 模板配置的服务设置
| 服务名称 | 启动模式 | 原因 |
|---|---|---|
Microsoft Exchange IMAP4 |
禁用 |
服务器未配置 IMAP4 |
Microsoft Exchange Information Store |
手动 |
访问邮箱和公用文件夹存储时需要 |
Microsoft Exchange POP3 |
禁用 |
服务器未配置 POP3 |
Microsoft Search |
手动 |
全文索引使用 |
Microsoft Exchange Event |
禁用 |
仅在要向后兼容 Exchange 5.5 时才需要;在 Exchange 群集上不受支持 |
Microsoft Exchange Site Replication Service |
禁用 |
仅在要向后兼容 Exchange 5.5 时才需要;在 Exchange 群集上不受支持 |
Microsoft Exchange Management |
自动 |
将 Exchange 管理信息发布到 Windows Management Instrumentation (WMI);运行邮件跟踪需要此服务 |
Windows Management Instrumentation |
自动 |
由 Microsoft Exchange Management 服务用来发布各种 Exchange 管理信息 |
Microsoft Exchange MTA Stacks |
手动 |
向后兼容时需要 |
Microsoft Exchange System Attendant |
手动 |
执行 Exchange 维护和其他任务时需要 |
Microsoft Exchange Routing Engine |
手动 |
协调 Exchange 服务器之间的邮件传输时需要 |
IPSEC 服务 |
自动 |
在服务器上实现和使用 Internet 协议安全 (IPSec) 策略(用于与支持 IPSec 的客户端和服务器通信)时需要 |
远程过程调用 (RPC) |
自动 |
提供 RPC 终结点和终结点映射以用于与 Windows 服务器和工作站的通信;也用于 Exchange 服务器和 Microsoft Outlook® 客户端之间的通信 |
IIS Admin 服务 |
自动 |
World Wide Web Publishing 服务、简单邮件传输协议 (SMTP) 服务和 Microsoft Exchange Routing Engine 服务需要此服务 |
NT LM Security Support Provider |
自动 |
为远程过程调用 (RPC) 提供安全性 |
简单邮件传输协议 (SMTP) |
手动 |
Exchange 传输邮件时需要 |
World Wide Web Publishing 服务 |
自动 |
与使用 RPC over HTTP 连接到 Exchange 的运行 Outlook Web Access、Outlook Mobile Access、Exchange ActiveSync® 的服务器和 Outlook 2003 客户端通信时需要;从 Exchange 系统管理器访问公用文件夹存储和内容时需要 |
HTTP SSL |
手动 |
实现用于 World Wide Web Publishing 服务的安全 HTTP (HTTPS) |
网络新闻传输协议 (NNTP) |
禁用 |
仅设置和新闻组功能需要;在 Exchange 群集上不受支持 |
群集服务 |
自动 |
在 Windows Server 群集上安装和运行 Exchange 时需要 |
Microsoft 分布式事务协调器 |
手动 |
在 Windows Server 群集上安装 Exchange 时 Exchange 安装程序和 Exchange Service Pack 安装程序需要 |
通过 Exchange 2003 群集节点库 GPO 模板添加和更改的服务
前面已提到,Exchange 2003 群集节点库 GPO 模板仅添加或更改已通过 Exchange 2003 后端和 Windows 成员服务器 GPO 安全模板配置的服务。本节描述在 Exchange 2003 后端和 Windows 企业客户端成员服务器 GPO 安全模板之上应用 Exchange 2003 群集节点库 GPO 模板时被添加和更改的服务。
因为核心 Exchange 服务由 Windows 群集服务控制,所以 Exchange 2003 群集节点需要将这些核心服务设置为手动启动。Exchange 2003 群集节点库 GPO 模板将下列 Exchange 服务设置为手动启动:
- Microsoft Exchange Information Store
- Microsoft Exchange MTA Stacks
- Microsoft Exchange System Attendant
- Microsoft Exchange Routing Engine
- 简单邮件传输协议 (SMTP)
此外,在 Windows 群集中运行 Exchange 需要以下额外服务:
- 群集服务 此服务是核心 Windows 群集服务,并且设置为自动启动。Exchange 2003 群集节点库 GPO 模板会设置对群集服务的审核,以使对群集服务 (Clussvc.exe) 的任何审核都将失败。此外,模板会保护具有下列安全权限的群集服务:
- 内置管理员:完全控制
- 通过身份验证的用户:读取
- SYSTEM:完全控制
在任何环境下,要运行群集服务都需要具有 SYSTEM 和内置管理员权限。对于 Outlook Web Access,则需要向通过身份验证的用户授予读取访问权限。有关特定于 Outlook Web Access 的权限的详细信息,请参阅 Microsoft 知识库文章 833001“Users cannot access Outlook Web Access after you apply security templates from the Security Operations Guide for Windows 2000”(英文)。
- Microsoft Search 此服务被设置为手动启动。与 Exchange 相关的此服务不是必需的;但是,创建 EVS 时会创建 Microsoft Search 群集资源。禁用此服务将导致群集资源仅部分联机。
如果在组织中不使用全文索引,则可删除 Microsoft Search 群集资源,然后禁用此服务。在 Exchange 群集节点 OU 继承的 Exchange 2003 Backend.inf 模板中,此服务已设置为“禁用”。因此,要禁用 Microsoft Search 服务,请从 Exchange_2003-Cluster_Node_Base_V1_1.inf 文件中删除以下行:
"MSSEARCH",3,"D:AR(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
有关在 Exchange 2003 群集上删除和重建 Microsoft Search 服务资源的详细信息,请参阅 Microsoft 知识库文章 830189“Exchange Server 2003 computer cannot bring the Microsoft Search resource online”(英文)。 - Microsoft 分布式事务处理协调器 (MSDTC) 此服务被设置为手动启动。Exchange 仅在安装过程中使用 MSDTC。在 Exchange 安装过程中,会使用 COM+ 注册 Microsoft CDO Workflow Event Sink (CDOWFEVT.DLL),以便可以使用该 dll 的函数。为了便于 COM+ 注册事件接收器,必须在群集中安装并运行群集 MSDTC 资源。如果在 Exchange 安装过程中(或 Service Pack 安装过程中)未安装并运行群集 MSDTC,则安装将失败。有关配置 MSDTC 的详细信息,请参阅 Microsoft 知识库文章 301600“如何在 Windows Server 2003 群集上配置 Microsoft 分布式事务处理协调器”。
网络安全
Windows 成员服务器 GPO 安全模板(包括在 Windows Server 2003 Security Guide 中)对于基于 NTLM Security Support Provider (SSP) 的服务器和客户端启用最小会话安全。具体地说,Windows 企业客户端成员服务器 GPO 模板会配置以下 NTLM 设置:
- 邮件完整性(加密)
- 消息保密性
- NTLMv2 身份验证
- 128 位加密
NTLMv2 身份验证在 RTM 版本的 Windows Server 2003 群集上运行不正常。具体地说,在 Windows Server 2003 群集上对于 NTLM SSP 启用 NTLMv2 身份验证会阻止群集服务的启动。但是,具有消息完整性、消息保密性和 128 位加密功能的 NTLM 版本 1 会话安全仍将工作。因此,Windows 企业客户端成员服务器 GPO 安全模板将因为 GPO 安全模板强制实施 NTLMv2 身份验证而导致 Exchange 群集节点故障。
要启用正在强制使用 Windows 成员服务器 GPO 安全模板的 Exchange 2003 群集,必须安装 Microsoft 知识库文章 890761“You receive an "Error 0x8007042b" error message when you add or join a node to a cluster if you use NTLM version 2 in Windows Server 2003”(英文)中所述的 Windows 修补程序。
| 注意: |
|---|
| 要允许 NTLMv2 会话安全正常运行,建议您安装此修补程序。如果启用了 NTLMv2 身份验证,但不应用此修补程序,则 Windows 群集服务不会启动。 |
另外,值得强调的是,单独应用 Exchange 2003 群集节点库 GPO 模板并不会强化 Exchange 环境。Exchange 2003 群集节点库 GPO 模板假定 Exchange 后端和 Windows Server 2003 企业客户端成员服务器安全 GPO 安全模板已被应用,并已由在其中放置了 Exchange 群集节点的 OU 继承。