В этом разделе объясняется, как процесс пограничной подписки подготавливает учетные данные, которые используются для защиты синхронизации EdgeSync в Microsoft Exchange Server 2007, и как служба Microsoft Exchange EdgeSync использует эти учетные данные для установки безопасного подключения LDAP между транспортным сервером-концентратором и пограничным транспортным сервером.

Пограничный транспортный сервер можно подписать на сайт службы каталогов Active Directory. При подписке пограничного транспортного сервера на сайт Active Directory он сопоставляется с организацией Exchange. Эта процедура уменьшает количество задач администрирования, которые требуется выполнять в демилитаризованной зоне, за счет возможности выполнения необходимой настройки на транспортном сервере-концентраторе и последующей принудительной отправки этих данных в экземпляр службы каталогов ADAM на пограничном транспортном сервере. Пограничную подписку необходимо создавать, если планируется использовать поиск получателей или объединение списков надежных отправителей для защиты от нежелательной почты или защищать связь по протоколу SMTP с доменами партнеров с помощью протокола Mutual TLS.

Дополнительные сведения о возможностях, которые требуют синхронизации данных из Active Directory в ADAM, см. в следующих разделах:

Процесс пограничной подписки

Пограничный транспортный сервер подписывается на сайт Active Directory для установки отношения синхронизации с транспортными серверами-концентраторами на сайте Active Directory. Служба Microsoft Exchange — это служба синхронизации данных, которая выполняется на транспортном сервере-концентраторе. Эта служба выполняет одностороннюю репликацию данных конфигурации и получателей из Active Directory в экземпляр ADAM на подписанном пограничном транспортном сервере. Учетные данные, которые предоставляются во время пограничной подписки, используются для защиты подключения LDAP между транспортным сервером-концентратором и пограничным транспортным сервером в демилитаризованной зоне.

При выполнении командлета New-EdgeSubscription в командной консоли Exchange на пограничном транспортном сервере в каталоге ADAM на локальном сервере создаются учетные данные учетной записи репликации начальной загрузки EdgeSync (ESBRA), которые затем записываются в файл пограничной подписки. Эти учетные данные используются только для установки первоначальной синхронизации. Их срок действия истекает через 1440 минут (24 часа) после создания пограничной подписки. Если процесс пограничной подписки не будет завершен в течение этого времени, необходимо повторно выполнить командлет New-EdgeSubscription в командной консоли Exchange на пограничном транспортном сервере, чтобы создать новый файл пограничной подписки.

В следующей таблице описаны данные, которые содержатся в XML-файле пограничной подписки.

Содержимое файла пограничной подписки

Данные подписки Описание

Имя пограничного сервера

NetBIOS-имя пограничного транспортного сервера. Имя пограничной подписки в Active Directory будет совпадать с этим именем.

Полное доменное имя пограничного сервера

Полное доменное имя пограничного транспортного сервера. Транспортные серверы-концентраторы на подписанном сайте Active Directory должны быть способны находить пограничный транспортный сервер путем разрешения полного доменного имени с помощью DNS.

Большой двоичный объект пограничного сертификата

Открытый ключ самозаверяющего сертификата пограничного транспортного сервера.

Имя пользователя ESRA

Имя, назначенное ESBRA. Учетная запись ESBRA имеет следующий формат: ESRA.имя_пограничного_транспортного_сервера. ESRA — это учетная запись репликации EdgeSync.

Пароль ESRA

Пароль, назначенный ESBRA. Пароль формируется с помощью генератора случайных числе и хранится в файле пограничной подписки в виде открытого текста.

Дата вступления в силу

Дата создания файла пограничной подписки.

Длительность

Срок действия учетных данных. Учетная запись ESBRA является действительной в течение только 24 часов.

SSL-порт ADAM

Безопасный LDAP-порт, к которому выполняет привязку служба EdgeSync при синхронизации данных из Active Directory в ADAM. По умолчанию используется TCP-порт 50636.

Номер продукта

Лицензионная информация для пограничного транспортного сервера. После подписки пограничного транспортного сервера на Active Directory его лицензионная информация отображается в консоли управления Exchange для организации Exchange. Чтобы эта информация отображалась правильно, необходимо выполнить лицензирование пограничного транспортного сервера перед созданием пограничной подписки.

Важно!
Учетные данные ESBRA записываются в файл пограничной подписки в виде открытого текста. Этот файл необходимо защищать на протяжении всего процесса подписки. После импорта файла пограничной подписки на транспортный сервер-концентратор необходимо немедленно удалить его с пограничного транспортного сервера, транспортного сервера-концентратора и любых съемных носителей.

Учетные записи репликации EdgeSync

Учетные записи репликации EdgeSync (ESRA) являются важной частью безопасности EdgeSync. Проверка подлинности и авторизация ESRA является механизмом защиты подключения между пограничным транспортным сервером и транспортным сервером-концентратором.

ESBRA, которая содержится в файле пограничной подписки, используется для установки безопасного подключения LDAP во время первоначальной синхронизации. После импорта файла пограничной подписки на транспортный сервер-концентратор на сайте Active Directory, к которому подписан пограничный транспортный сервер, в Active Directory создаются дополнительные учетные записи ESRA для каждой пары из пограничного транспортного сервера и транспортного сервера-концентратора. Во время первоначальной синхронизации только что созданные учетные данные ESRA реплицируются в ADAM. Эти учетные данные ESRA используются для защиты последующих сеансов синхронизации.

Каждой учетной записи репликации EdgeSync назначаются свойства, описанные в следующей таблице.

Свойства Ms-Exch-EdgeSyncCredential

Имя свойства Тип Описание

TargetServerFQDN

Строка

Пограничный транспортный сервер, который будет принимать эти учетные данные.

SourceServerFQDN

Строка

Транспортный сервер-концентратор, который будет предоставлять эти учетные данные. Значение пустое, если учетные данные являются учетными данными начальной загрузки.

EffectiveTime

Дата и время (в формате UTC)

Время начала использования учетных данных.

ExpirationTime

Дата и время (в формате UTC)

Время завершения использования учетных данных.

UserName

Строка

Имя пользователя, используемое для проверки подлинности.

Password

Байт

Пароль, используемый для проверки подлинности. Пароль шифруется с помощью ms-Exch-EdgeSync-Certificate.

В следующих пунктах данного раздела описано, как учетные данные ESRA подготавливаются и используются в процессе синхронизации EdgeSync.

Подготовка учетной записи репликации начальной загрузки EdgeSync

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере происходит подготовка ESBRA, как описано ниже.

  • На пограничном транспортном сервере создается самозаверяющий сертификат (Edge-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ записывается в файл пограничной подписки.

  • ESBRA (ESRA.Edge) создается в ADAM, и учетные данные записываются в файл пограничной подписки.

  • Файл пограничной подписки экспортируется путем копирования на съемный носитель. После этого файл готов к импорту на транспортный сервер-концентратор.

Подготовка учетных записей репликации EdgeSync в Active Directory

При импорте файла пограничной подписки на транспортный сервер-концентратор выполняются описанные ниже действия для создания записи пограничной подписки в Active Directory и подготовки дополнительных учетных данных ESRA.

  1. В Active Directory создается объект конфигурации пограничного транспортного сервера. Сертификат Edge-Cert записывается в этот объект в качестве атрибута.

  2. Каждый транспортный сервер-концентратор на подписанном сайте Active Directory получает уведомление от Active Directory о том, что зарегистрирована новая пограничная подписка. После получения уведомления каждый транспортный сервер-концентратор получает учетную запись ESRA.Edge и шифрует ее с помощью открытого ключа Edge-Cert. Зашифрованная учетная запись ESRA.Edge записывается в объект конфигурации пограничного транспортного сервера.

  3. Каждый транспортный сервер-концентратор создает самозаверяющий сертификат (Hub-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ — в объекте конфигурации транспортного сервера-концентратора в Active Directory.

  4. Каждый транспортный сервер-концентратор шифрует учетную запись ESRA.Edge с помощью открытого ключа собственного сертификата Hub-Cert и сохраняет ее в своем объекте конфигурации.

  5. Каждый транспортный сервер-концентратор создает ESRA для каждого объекта конфигурации пограничного транспортного сервера в Active Directory (ESRA.Hub.Edge). При создании имени учетной записи используется следующий стандарт:

    ESRA.<NetBIOS-имя_транспортного_сервера-концентратора>.<NetBIOS-имя_пограничного_транспортного_сервера>.<дата_вступления_в_силу_в_формате_UTC>

    Пароль для ESRA.Hub.Edge создается с помощью генератора случайных числе и шифруется с помощью открытого ключа сертификата Hub-Cert. Созданный пароль имеет максимальную длину, допустимую для Microsoft Windows Server.

  6. Каждая учетная запись ESRA.Hub.Edge шифруется с помощью открытого ключа сертификата Edge-Cert и хранится в объекте конфигурации пограничного транспортного сервера в Active Directory.

В следующих пунктах данного раздела описано, как эти учетные записи используются в процессе синхронизации EdgeSync.

Проверка подлинности первоначальной репликации

Учетная запись ESBRA (ESRA.Edge) используется только при установке сеанса первоначальной синхронизации. Во время первого сеанса синхронизации EdgeSync в ADAM реплицируются дополнительные учетные записи ESRA (ESRA.Hub.Edge). Эти учетные записи используются для проверки подлинности последующих сеансов синхронизации EdgeSync.

Транспортный сервер-концентратор, который выполняет первоначальную репликацию, выбирается случайным образом. Первоначальную репликацию выполняет транспортный сервер-концентратор на сайте Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой транспортный сервер-концентратор на сайте может выполнить первоначальную репликацию.

Служба Microsoft Exchange EdgeSync инициирует безопасный сеанс LDAP от транспортного сервера-концентратора к пограничному транспортному серверу. Пограничный транспортный сервер предоставляет свой самозаверяющий сертификат, и транспортный сервер-концентратор проверяет его соответствие сертификату, который хранится в объекте конфигурации пограничного транспортного сервера в Active Directory. После проверки пограничного транспортного сервера транспортный сервер-концентратор предоставляет учетные данные учетной записи ESRA.Edge пограничному транспортному серверу. Пограничный транспортный сервер проверяет учетные данные на соответствие учетной записи, хранящейся в ADAM.

Служба Microsoft Exchange EdgeSync на транспортном сервере-концентраторе затем принудительно отправляет данные топологии, конфигурации и получателей из Active Directory в ADAM. Изменение объекта конфигурации пограничного транспортного сервера в Active Directory реплицируется в ADAM. ADAM получает только что добавленные записи ESRA.Hub.Edge, и служба учетных данных пограничного сервера создает соответствующую учетную запись ADAM. После этого данные учетные записи можно использовать для проверки подлинности последующих запланированных сеансов синхронизации EdgeSync.

Служба учетных данных пограничного сервера

Служба учетных данных пограничного сервера является частью процесса пограничной подписки. Она выполняется только на пограничном транспортном сервере. Эта служба создает в ADAM возвратные учетные записи ESRA, чтобы транспортный сервер-концентратор мог выполнять проверку подлинности пограничного транспортного сервера для синхронизации EdgeSync. Служба Microsoft Exchange EdgeSync не взаимодействует напрямую со службой учетных данных пограничного сервера. Служба учетных данных пограничного сервера взаимодействует с ADAM и устанавливает учетные данные ESRA, когда они обновляются транспортным сервером-концентратором.

Проверка подлинности запланированных сеансов синхронизации

После завершения первоначальной синхронизации EdgeSync устанавливается расписание синхронизации EdgeSync и данные, измененные в Active Directory, регулярно обновляются в ADAM. Транспортный сервер-концентратор инициирует безопасный сеанс LDAP с экземпляром ADAM на пограничном транспортном сервере. ADAM подтверждает свое удостоверение для транспортного сервера-концентратора, предоставляя самозаверяющий сертификат. Транспортный сервер-концентратор предоставляет свои учетные данные ESRA.Hub.Edge в ADAM. Пароль ESRA.Hub.Edge шифруется с помощью открытого ключа самозаверяющего сертификата транспортного сервера-концентратора. Это значит, что только данный транспортный сервер-концентратор может использовать эти учетные данные для проверки подлинности с ADAM.

Обновление учетных записей репликации EdgeSync

Пароль учетной записи ESRA должен соответствовать политике паролей локального сервера. Чтобы процесс обновления пароля не приводил к временным сбоям проверки подлинности, за семь дней до истечения срока действия первой учетной записи ESRA.Hub.Edge создается вторая учетная запись ESRA.Hub.Edge, которая вступает в силу за три дня до истечения срока действия первой ESRA. Как только вторая учетная запись ESRA вступает в силу, EdgeSync прекращает использовать первую учетную запись и начинает использовать вторую. При истечении срока действия первой учетной записи соответствующие учетные данные ESRA удаляются. Этот процесс обновления продолжается до удаления пограничной подписки.

Дополнительные сведения