Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2010-01-18
В этом разделе объясняется, как процесс пограничной подписки подготавливает учетные данные, которые используются для защиты синхронизации EdgeSync в Microsoft Exchange Server 2010, и как служба Microsoft Exchange EdgeSync использует эти учетные данные для установки безопасного подключения LDAP между транспортным сервером-концентратором и пограничным транспортным сервером. Дополнительные сведения о процессе пограничной подписки см. в разделе Общие сведения о пограничных подписках.
Необходимы сведения о других задачах управления, связанных с управлением транспортными серверами? См. раздел Управление транспортными серверами.
Содержание
Учетные записи репликации EdgeSync
Проверка подлинности первоначальной репликации
Проверка подлинности запланированных сеансов синхронизации
Обновление учетных записей репликации EdgeSync
Процесс пограничной подписки
Пограничный транспортный сервер подписывается на сайт Служба каталогов Active Directory для установки отношения синхронизации с транспортными серверами-концентраторами на сайте Служба каталогов Active Directory. Учетные данные, которые предоставляются во время пограничной подписки, используются для защиты подключения LDAP между транспортным сервером-концентратором и пограничным транспортным сервером в демилитаризованной зоне.
При выполнении командлета New-EdgeSubscription в командной консоли Exchange на пограничном транспортном сервере в каталоге служб Служба каталогов Active Directory облегченного доступа к каталогам (AD LDS) на локальном сервере создаются учетные данные учетной записи репликации начальной загрузки EdgeSync (ESBRA), которые затем записываются в файл пограничной подписки. Эти учетные данные используются только для установки первоначальной синхронизации. Их срок действия истекает через 1440 минут (24 часа) после создания пограничной подписки. Если процесс пограничной подписки не будет завершен в течение этого времени, необходимо повторно выполнить командлет New-EdgeSubscription в командной консоли на пограничном транспортном сервере, чтобы создать новый файл пограничной подписки.
В следующей таблице описаны данные, которые содержатся в XML-файле пограничной подписки.
Содержимое файла пограничной подписки
Данные подписки | Описание |
---|---|
Имя пограничного транспортного сервера |
NetBIOS-имя пограничного транспортного сервера. Имя пограничной подписки в Служба каталогов Active Directory будет совпадать с этим именем. |
Имя FQDN пограничного транспортного сервера |
Полное доменное имя (FQDN) пограничного транспортного сервера. Транспортные серверы-концентраторы на подписанном сайте Служба каталогов Active Directory должны быть способны находить пограничный транспортный сервер путем разрешения полного доменного имени с помощью DNS. |
Большой двоичный объект пограничной подписки |
Открытый ключ самозаверяющего сертификата пограничного транспортного сервера. |
Имя пользователя ESRA |
Имя, назначенное ESBRA. Учетная запись ESBRA имеет следующий формат: ESRA.имя_пограничного_транспортного_сервера. ESRA — это учетная запись репликации EdgeSync. |
Пароль ESRA |
Пароль, назначенный ESBRA. Пароль формируется с помощью генератора случайных числе и хранится в файле пограничной подписки в виде открытого текста. |
Дата вступления в силу |
Дата создания файла пограничной подписки. |
Длительность |
Срок действия учетных данных. Учетная запись ESBRA является действительной в течение только 24 часов. |
SSL-порт Adam |
Безопасный LDAP-порт, к которому выполняет привязку служба EdgeSync при синхронизации данных из Служба каталогов Active Directory в AD LDS. По умолчанию используется TCP-порт 50636. |
Номер продукта |
Лицензионная информация для пограничного транспортного сервера. После подписки пограничного транспортного сервера на Служба каталогов Active Directory его лицензионная информация отображается в консоли управления Exchange для организации Exchange. Чтобы эта информация отображалась правильно, необходимо выполнить лицензирование пограничного транспортного сервера перед созданием пограничной подписки. |
Номер версии |
Номер версии файла пограничной подписки. |
Серийный номер |
Версия сервера Exchange Server, установленного на пограничном транспортном сервере. |
Важно! |
---|
Учетные данные ESBRA записываются в файл пограничной подписки в виде открытого текста. Этот файл необходимо защищать на протяжении всего процесса подписки. После импорта файла пограничной подписки в организацию Exchange необходимо немедленно удалить его с пограничного транспортного сервера, из сетевой папки, из которой файл импортировался в Exchange, и с любых съемных носителей. |
Учетные записи репликации EdgeSync
Учетные записи репликации EdgeSync (ESRA) являются важной частью безопасности EdgeSync. Проверка подлинности и авторизация ESRA является механизмом защиты подключения между пограничным транспортным сервером и транспортным сервером-концентратором.
ESBRA, которая содержится в файле пограничной подписки, используется для установки безопасного подключения LDAP во время первоначальной синхронизации. После импорта файла пограничной подписки на транспортный сервер-концентратор на сайте Служба каталогов Active Directory, на который подписывается пограничный транспортный сервер, в Служба каталогов Active Directory создаются дополнительные учетные записи ESRA для каждой пары из пограничного транспортного сервера и транспортного сервера-концентратора. Во время первоначальной синхронизации только что созданные учетные данные ESRA реплицируются в службу AD LDS. Эти учетные данные ESRA используются для защиты последующих сеансов синхронизации.
Каждой учетной записи репликации EdgeSync назначаются свойства, описанные в следующей таблице.
Свойства Ms-Exch-EdgeSyncCredential
Имя свойства | Тип | Описание |
---|---|---|
TargetServerFQDN |
Строка |
Пограничный транспортный сервер, который будет принимать эти учетные данные. |
SourceServerFQDN |
Строка |
Транспортный сервер-концентратор, который будет предоставлять эти учетные данные. Значение пустое, если учетные данные являются учетными данными начальной загрузки. |
EffectiveTime |
Дата и время (в формате UTC) |
Время начала использования учетных данных. |
ExpirationTime |
Дата и время (в формате UTC) |
Время завершения использования учетных данных. |
UserName |
Строка |
Имя пользователя, используемое для проверки подлинности. |
Password |
Байт |
Пароль, используемый для проверки подлинности. Пароль шифруется с помощью ms-Exch-EdgeSync-Certificate. |
В следующих пунктах данного раздела описано, как учетные данные ESRA подготавливаются и используются в процессе синхронизации EdgeSync.
Подготовка учетной записи репликации начальной загрузки EdgeSync
При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере происходит подготовка ESBRA, как описано ниже.
- На пограничном транспортном сервере создается самозаверяющий
сертификат (Edge-Cert). Закрытый ключ хранится в хранилище
локального компьютера, а открытый ключ записывается в файл
пограничной подписки.
- ESBRA (ESRA.Edge) создается в AD LDS, и учетные данные
записываются в файл пограничной подписки.
- Файл пограничной подписки экспортируется путем копирования на
съемный носитель. После этого файл готов к импорту на транспортный
сервер-концентратор.
Подготовка учетных записей репликации EdgeSync в Active Directory
При импорте файла пограничной подписки на транспортный сервер-концентратор выполняются описанные ниже действия для создания записи пограничной подписки в Служба каталогов Active Directory и подготовки дополнительных учетных данных ESRA.
- В Служба каталогов Active Directory создается объект
конфигурации пограничного транспортного сервера. Сертификат
Edge-Cert записывается в этот объект в качестве атрибута.
- Каждый транспортный сервер-концентратор на подписанном сайте
Служба каталогов Active Directory получает уведомление от Служба
каталогов Active Directory о том, что зарегистрирована новая
пограничная подписка. После получения уведомления каждый
транспортный сервер-концентратор получает учетную запись ESRA.Edge
и шифрует ее с помощью открытого ключа Edge-Cert. Зашифрованная
учетная запись ESRA.Edge записывается в объект конфигурации
пограничного транспортного сервера.
- Каждый транспортный сервер-концентратор создает самозаверяющий
сертификат (Hub-Cert). Закрытый ключ хранится в хранилище
локального компьютера, а открытый ключ — в объекте конфигурации
транспортного сервера-концентратора в Служба каталогов Active
Directory.
- Каждый транспортный сервер-концентратор шифрует учетную запись
ESRA.Edge с помощью открытого ключа собственного сертификата
Hub-Cert и сохраняет ее в своем объекте конфигурации.
- Каждый транспортный сервер-концентратор создает ESRA для
каждого объекта конфигурации пограничного транспортного сервера в
Служба каталогов Active Directory (ESRA.Hub.Edge). При создании
имени учетной записи используется следующий стандарт:
ESRA.<NetBIOS-имя_транспортного_сервера-концентратора>.<NetBIOS-имя_пограничного_транспортного_сервера>.<дата_вступления_в_силу_в_формате_UTC>
Пример: ESRA.Hub.Edge.01032010
Пароль для ESRA.Hub.Edge создается с помощью генератора случайных числе и шифруется с помощью открытого ключа сертификата Hub-Cert. Созданный пароль имеет максимальную длину, допустимую для Microsoft Windows Server.
- Каждая учетная запись ESRA.Hub.Edge шифруется с помощью
открытого ключа сертификата Edge-Cert и хранится в объекте
конфигурации пограничного транспортного сервера в Служба каталогов
Active Directory.
В следующих пунктах данного раздела описано, как эти учетные записи используются в процессе синхронизации EdgeSync.
Проверка подлинности первоначальной репликации
Учетная запись ESBRA (ESRA.Edge) используется только при установке сеанса первоначальной синхронизации. Во время первого сеанса синхронизации EdgeSync в AD LDS реплицируются дополнительные учетные записи ESRA (ESRA.Hub.Edge). Эти учетные записи используются для проверки подлинности последующих сеансов синхронизации EdgeSync.
Транспортный сервер-концентратор, который выполняет первоначальную репликацию, выбирается случайным образом. Первоначальную репликацию выполняет транспортный сервер-концентратор на сайте Служба каталогов Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой транспортный сервер-концентратор на сайте может выполнить первоначальную репликацию.
Служба Microsoft Exchange EdgeSync инициирует безопасный сеанс LDAP от транспортного сервера-концентратора к пограничному транспортному серверу. Пограничный транспортный сервер предоставляет свой самозаверяющий сертификат, и транспортный сервер-концентратор проверяет его соответствие сертификату, который хранится в объекте конфигурации пограничного транспортного сервера в Служба каталогов Active Directory. После проверки пограничного транспортного сервера транспортный сервер-концентратор предоставляет учетные данные учетной записи ESRA.Edge пограничному транспортному серверу. Пограничный транспортный сервер проверяет учетные данные на соответствие учетной записи, хранящейся в AD LDS.
Служба Microsoft Exchange EdgeSync на транспортном сервере-концентраторе затем принудительно отправляет данные топологии, конфигурации и получателей из Служба каталогов Active Directory в AD LDS. Изменение объекта конфигурации пограничного транспортного сервера в Служба каталогов Active Directory реплицируется в AD LDS. Служба AD LDS получает только что добавленные записи ESRA.Hub.Edge, и служба учетных данных Microsoft Exchange создает соответствующую учетную запись AD LDS. После этого данные учетные записи можно использовать для проверки подлинности последующих запланированных сеансов синхронизации EdgeSync.
Служба учетных данных Microsoft Exchange
Служба учетных данных Microsoft Exchange является частью процесса пограничной подписки. Она выполняется только на пограничном транспортном сервере. Эта служба создает в AD LDS возвратные учетные записи ESRA, чтобы транспортный сервер-концентратор мог выполнять проверку подлинности пограничного транспортного сервера для синхронизации EdgeSync. Служба Microsoft Exchange EdgeSync не взаимодействует напрямую со службой учетных данных Microsoft Exchange. Служба учетных данных Microsoft Exchange взаимодействует с AD LDS и устанавливает учетные данные ESRA каждый раз, когда они обновляются транспортным сервером-концентратором.
Проверка подлинности запланированных сеансов синхронизации
После завершения первоначальной синхронизации EdgeSync устанавливается расписание синхронизации EdgeSync и данные, измененные в Служба каталогов Active Directory, регулярно обновляются в AD LDS. Транспортный сервер-концентратор инициирует безопасный сеанс LDAP с экземпляром AD LDS на пограничном транспортном сервере. Служба AD LDS подтверждает свое удостоверение для транспортного сервера-концентратора, предоставляя самозаверяющий сертификат. Транспортный сервер-концентратор предоставляет свои учетные данные ESRA.Hub.Edge в AD LDS. Пароль ESRA.Hub.Edge шифруется с помощью открытого ключа самозаверяющего сертификата транспортного сервера-концентратора. Это значит, что только данный транспортный сервер-концентратор может использовать эти учетные данные для проверки подлинности с AD LDS.
Обновление учетных записей репликации EdgeSync
Пароль учетной записи ESRA должен соответствовать политике паролей локального сервера. Чтобы процесс обновления пароля не приводил к временным сбоям проверки подлинности, за семь дней до истечения срока действия первой учетной записи ESRA.Hub.Edge создается вторая учетная запись ESRA.Hub.Edge, которая вступает в силу за три дня до истечения срока действия первой ESRA. Как только вторая учетная запись ESRA вступает в силу, EdgeSync прекращает использовать первую учетную запись и начинает использовать вторую. При истечении срока действия первой учетной записи соответствующие учетные данные ESRA удаляются. Этот процесс обновления продолжается до удаления пограничной подписки.