Grundlegendes zu den Edge-Abonnementanmeldeinformationen
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2015-03-09
In diesem Thema wird erläutert, wie der Edge-Abonnementprozess die Anmeldeinformationen bereitstellt, die zum Sichern des EdgeSync-Synchronisierungsprozesses in Microsoft Exchange Server 2010 verwendet werden. Außerdem wird beschrieben, wie der Microsoft Exchange EdgeSync-Dienst diese Anmeldeinformationen zum Herstellen einer sicheren LDAP-Verbindung zwischen einem Hub-Transport-Server und einem Edge-Transport-Server verwendet. Weitere Informationen zum Edge-Abonnementprozess finden Sie unter Grundlegendes zu Edge-Abonnements.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Transportservern gibt? Weitere Informationen finden Sie hier: Verwalten von Transportservern.
Inhalt
Edge-Abonnementprozess
EdgeSync-Replikationskonten
Authentifizierung der anfänglichen Replikation
Authentifizierung geplanter Synchronisierungssitzungen
Erneuern der EdgeSync-Replikationskonten
Edge-Abonnementprozess
Ein Active Directory-Standort wird von einem Edge-Transport-Server abonniert, um eine Synchronisierungsbeziehung zwischen den Hub-Transport-Servern an einem Active Directory-Standort und dem abonnierten Edge-Transport-Server einzurichten. Die Anmeldeinformationen, die während des Edge-Abonnementprozesses bereitgestellt werden, werden zum Sichern der LDAP-Verbindung zwischen einem Hub-Transport-Server und einem Edge-Transport-Server im Umkreisnetzwerk verwendet.
Wenn Sie das Cmdlet New-EdgeSubscription in der Exchange-Verwaltungsshell auf einem Edge-Transport-Server ausführen, werden die ESBRA-Anmeldeinformationen (EdgeSync Bootstrap Replication Account) im Active Directory Lightweight Directory Services-Verzeichnis (AD LDS) auf dem lokalen Server erstellt und dann in die Edge-Abonnementdatei geschrieben. Diese Anmeldeinformationen werden nur zum Einrichten der anfänglichen Synchronisierung verwendet und laufen 1.440 Minuten (24 Stunden) nach Erstellung der Edge-Abonnementdatei ab. Wenn der Edge-Abonnementprozess in diesem Zeitraum nicht abgeschlossen wird, müssen Sie das Cmdlet New-EdgeSubscription in der Shell auf dem Edge-Transport-Server erneut ausführen, um eine Edge-Abonnementdatei zu erstellen.
Die folgende Tabelle beschreibt die Daten, die in der XML-Datei für das Edge-Abonnement enthalten sind.
Inhalt der Edge-Abonnementdatei
| Abonnementdaten | Beschreibung |
|---|---|
EdgeServerName |
Der NetBIOS-Name des Edge-Transport-Servers. Der Name des Edge-Abonnements in Active Directory ist mit diesem Namen identisch. |
EdgeServerFQDN |
Der vollqualifizierte Domänenname (FQDN, Fully Qualified Domain Name) des Edge-Transport-Servers. Die Hub-Transport-Server am abonnierten Active Directory-Standort müssen in der Lage sein, den Edge-Transport-Server mithilfe von DNS (Domain Name System) zum Auflösen des FQDNs zu ermitteln. |
EdgeCertificateBlob |
Der öffentliche Schlüssel des selbstsignierten Zertifikats des Edge-Transport-Servers. |
ESRAUsername |
Der dem ESBRA-Konto zugewiesene Name. Das ESBRA-Konto weist folgendes Format auf: ESRA.Edge-Transport-Server-Name. ESRA ist das Akronym für "EdgeSync Replication Account". |
ESRAPassword |
Das dem ESBRA-Konto zugewiesene Kennwort. Das Kennwort wird mithilfe eines Zufallszahlengenerators generiert und in der Edge-Abonnementdatei als unverschlüsselter Klartext gespeichert. |
EffectiveDate |
Das Erstellungsdatum der Edge-Abonnementdatei. |
Gültigkeitsdauer |
Die Zeitspanne, für die diese Anmeldeinformationen gültig sind, bevor sie ablaufen. Das ESBRA-Konto ist nur 24 Stunden gültig. |
AdamSslPort |
Der sichere LDAP-Port, an den der EdgeSync-Dienst beim Synchronisieren von Daten aus Active Directory nach AD LDS gebunden wird. Standardmäßig ist dies der TCP-Port 50636. |
ProductID |
Die Lizenzierungsinformationen für den Edge-Transport-Server. Nachdem ein Edge-Transport-Server Active Directory abonniert hat, werden die Lizenzierungsinformationen zum Edge-Transport-Server in der Exchange-Verwaltungskonsole für die Exchange-Organisation angezeigt. Sie müssen den Edge-Transport-Server lizenzieren, bevor Sie das Edge-Abonnement erstellen, damit dieses Informationen richtig angezeigt werden. |
VersionNumber |
Die Versionsnummer der Edge-Abonnementdatei. |
SerialNumber |
Die auf dem Edge-Transport-Server installierte Version von Exchange Server. |
Wichtig
Die ESBRA-Anmeldeinformationen werden als unverschlüsselter Klartext in die Edge-Abonnementdatei geschrieben. Diese Datei muss während des gesamten Abonnementprozesses geschützt werden. Nach dem Importieren der Edge-Abonnementdatei in Ihre Exchange-Organisation sollten Sie die Edge-Abonnementdatei direkt vom Edge-Transport-Server, aus der Netzwerkfreigabe, die Sie zum Importieren der Datei in die Exchange-Organisation verwendet haben, und von allen austauschbaren Medien löschen.
Zurück zum Seitenanfang
EdgeSync-Replikationskonten
Die EdgeSync-Replikationskonten (ESRA) sind ein wichtiger Teil der EdgeSync-Sicherheit. Die Authentifizierung und Autorisierung der ESRA-Konten ist ein Mechanismus, mit dem die Verbindung zwischen einem Edge-Transport-Server und einem Hub-Transport-Server gesichert wird.
Das ESBRA-Konto, das in der Edge-Abonnementdatei enthalten ist, wird während der anfänglichen Synchronisierung zum Herstellen einer sicheren LDAP-Verbindung verwendet. Nachdem die Edge-Abonnementdatei auf einen Hub-Transport-Server am Active Directory-Standort importiert wurde, den der Edge-Transport-Server abonniert hat, werden weitere ESRA-Konten in Active Directory für jedes Paar aus Edge-Transport- und Hub-Transport-Servern erstellt. Während der anfänglichen Synchronisierung werden die neu erstellten ESRA-Anmeldeinformationen nach AD LDS repliziert. Diese ESRA-Anmeldeinformationen sichern spätere Synchronisierungssitzungen.
Jedem EdgeSync-Replikationskonto werden die in der folgenden Tabelle beschriebenen Eigenschaften zugewiesen.
Ms-Exch-EdgeSyncCredential-Eigenschaften
| Eigenschaftenname | Typ | Beschreibung |
|---|---|---|
TargetServerFQDN |
String |
Der Edge-Transport-Server, der diese Anmeldeinformationen akzeptiert. |
SourceServerFQDN |
String |
Der Hub-Transport-Server, der diese Anmeldeinformationen bereitstellt. Dieser Wert ist leer, wenn es sich bei den Anmeldeinformationen um die Bootstrapanmeldeinformationen handelt. |
EffectiveTime |
DateTime (UTC) |
Datum und Uhrzeit des Gültigkeitsbeginns dieser Anmeldeinformationen. |
ExpirationTime |
DateTime (UTC) |
Datum und Uhrzeit des Gültigkeitsablaufs dieser Anmeldeinformationen. |
UserName |
String |
Der Benutzername, der für die Authentifizierung verwendet wird. |
Password |
Byte |
Das Kennwort, das für die Authentifizierung verwendet wird. Das Kennwort wird mithilfe von ms-Exch-EdgeSync-Certificate verschlüsselt. |
In den folgenden Abschnitten dieses Themas wird beschrieben, wie die ESRA-Anmeldeinformationen während des EdgeSync-Synchronisierungsprozesses bereitgestellt und verwendet werden.
Bereitstellen des ESBRA-Kontos (EdgeSync Bootstrap Replication Account)
Wenn das Cmdlet New-EdgeSubscription auf dem Edge-Transport-Server ausgeführt wird, wird das ESBRA-Konto folgendermaßen bereitgestellt:
Ein selbstsigniertes Zertifikat ("Edge-Cert") wird auf dem Edge-Transport-Server erstellt. Der private Schlüssel wird im Informationsspeicher des lokalen Computers gespeichert, und der öffentliche Schlüssel wird in die Edge-Abonnementdatei geschrieben.
Das ESBRA-Konto (ESRA.Edge) wird in AD LDS erstellt, und die Anmeldeinformationen werden in die Edge-Abonnementdatei geschrieben.
Die Edge-Abonnementdatei wird durch Kopieren auf Wechselmedien exportiert. Die Datei ist nun für den Import auf einen Hub-Transport-Server bereit.
Bereitstellen von EdgeSync-Replikationskonten in Active Directory
Wenn die Edge-Abonnementdatei auf einem Hub-Transport-Server importiert wird, werden die folgenden Schritte ausgeführt, um einen Datensatz des Edge-Abonnements in Active Directory einzurichten und zusätzliche ESRA-Anmeldeinformationen zur Verfügung zu stellen.
Ein Edge-Transport-Server-Konfigurationsobjekt wird in Active Directory erstellt. Das Zertifikat "Edge-Cert" wird als Attribut in dieses Objekt geschrieben.
Jeder Hub-Transport-Server am abonnierten Active Directory-Standort empfängt eine Active Directory-Benachrichtigung, dass das neue Edge-Abonnement registriert wurde. Sobald diese Benachrichtigung empfangen wurde, ruft jeder Hub-Transport-Server das Konto "ESRA.Edge" ab und verschlüsselt dieses Konto mithilfe des öffentlichen Schlüssels "Edge-Cert". Das verschlüsselte Konto "ESRA.Edge" wird in das Edge-Transport-Server-Konfigurationsobjekt geschrieben.
Jeder Hub-Transport-Server erstellt ein selbstsigniertes Zertifikat ("Hub-Cert"). Der private Schlüssel wird im Informationsspeicher des lokalen Computers gespeichert, und der öffentliche Schlüssel wird im Hub-Transport-Server-Konfigurationsobjekt in Active Directory gespeichert.
Jeder Hub-Transport-Server verschlüsselt das Konto "ESRA.Edge" mithilfe des öffentlichen Schlüssels seines eigenen Zertifikats "Hub-Cert" und speichert es dann in seinem eigenen Konfigurationsobjekt.
Jeder Hub-Transport-Server generiert ein ESRA-Konto für jedes vorhandene Edge-Transport-Server-Konfigurationsobjekt in Active Directory ("ESRA.Hub.Edge"). Der Kontoname wird mithilfe der folgenden Namenskonvention generiert:
ESRA.<NetBIOS-Name des Hub-Transport-Servers>.<NetBIOS-Name des Edge-Transport-Servers>.<Erstellungsdatum_UTC-Uhrzeit>
Beispiel: ESRA.Hub.Edge.01032010
Das Kennwort für "ESRA.Hub.Edge" wird mithilfe eines Zufallszahlengenerators generiert und mithilfe des öffentlichen Schlüssels des Zertifikats "Hub-Cert" verschlüsselt. Das generierte Kennwort besitzt die maximale Länge, die in Microsoft Windows Server zulässig ist.
Jedes Konto "ESRA.Hub.Edge" wird mithilfe des öffentlichen Schlüssels des Zertifikats "Edge-Cert" und dann im Edge-Transport-Server-Konfigurationsobjekt in Active Directory gespeichert.
In den folgenden Abschnitten dieses Themas wird beschrieben, wie diese Konten während des EdgeSync-Synchronisierungsprozesses verwendet werden.
Zurück zum Seitenanfang
Authentifizierung der anfänglichen Replikation
Das ESBRA-Konto "ESRA.Edge" wird nur beim Einrichten der anfänglichen Synchronisierungssitzung verwendet. Während der ersten EdgeSync-Synchronisierungssitzung werden die weiteren ESRA-Konten ("ESRA.Hub.Edge") nach AD LDS repliziert. Diese Konten werden zum Authentifizieren nachfolgender EdgeSync-Synchronisierungssitzungen verwendet.
Der Hub-Transport-Server, der die anfängliche Replikation durchführt, wird nach dem Zufallsprinzip bestimmt. Der erste Hub-Transport-Server am Active Directory-Standort, der einen Topologiescan durchführt und das neue Edge-Abonnement erkennt, führt die anfängliche Replikation durch. Da diese Erkennung auf dem Zeitpunkt des Topologiescans basiert, kann jeder Hub-Transport-Server am Standort die anfängliche Replikation durchführen.
Der Microsoft Exchange EdgeSync-Dienst leitet eine sichere LDAP-Sitzung vom Hub-Transport- zum Edge-Transport-Server ein. Der Edge-Transport-Server reicht sein selbstsigniertes Zertifikat ein, und der Hub-Transport-Server stellt sicher, dass das Zertifikat dem Zertifikat entspricht, das im Edge-Transport-Server-Konfigurationsobjekt in Active Directory gespeichert ist. Nachdem die Identität des Edge-Transport-Servers überprüft wurde, stellt der Hub-Transport-Server dem Edge-Transport-Server die Anmeldeinformationen des Kontos "ESRA.Edge" zur Verfügung. Der Edge-Transport-Server überprüft die Anmeldeinformationen, indem er sie mit dem Konto vergleicht, das in AD LDS gespeichert ist.
Der Microsoft Exchange EdgeSync-Dienst auf dem Hub-Transport-Server übermittelt die Topologie-, Konfigurations- und Empfängerdaten dann mittels Push aus Active Directory an AD LDS. Die Änderung des Edge-Transport-Server-Konfigurationsobjekts in Active Directory wird nach AD LDS repliziert. AD LDS empfängt die neu hinzugefügten "ESRA.Hub.Edge"-Einträge, und der Edge-Anmeldeinformationsdienst erstellt das entsprechende AD LDS-Konto. Diese Konten stehen nun zum Authentifizieren nachfolgender EdgeSync-Synchronisierungssitzungen zur Verfügung.
Microsoft Exchange-Anmeldeinformationsdienst
Der Microsoft Exchange-Anmeldeinformationsdienst ist Teil des Edge-Abonnementprozesses. Er wird nur auf dem Edge-Transport-Server ausgeführt. Dieser Dienst erstellt die bidirektionalen ESRA-Konten in AD LDS, damit sich ein Hub-Transport-Server bei einem Edge-Transport-Server zum Durchführen der EdgeSync-Synchronisierung authentifizieren kann. Der Microsoft Exchange EdgeSync-Dienst kommuniziert nicht direkt mit dem Microsoft Exchange-Anmeldeinformationsdienst. Der Microsoft Exchange-Anmeldeinformationsdienst kommuniziert mit AD LDS und installiert die ESRA-Anmeldeinformationen, wenn der Hub-Transport-Server diese aktualisiert.
Zurück zum Seitenanfang
Authentifizierung geplanter Synchronisierungssitzungen
Nachdem die anfängliche EdgeSync-Synchronisierung abgeschlossen ist, wird der Zeitplan für die EdgeSync-Synchronisierung festgelegt, und Daten, die sich in Active Directory geändert haben, werden regelmäßig in AD LDS aktualisiert. Ein Hub-Transport-Server leitet eine sichere LDAP-Sitzung mit der AD LDS-Instanz auf dem Edge-Transport-Server ein. AD LDS beweist diesem Hub-Transport-Server seine Identität, indem das selbstsignierte Zertifikat vorgelegt wird. Der Hub-Transport-Server legt AD LDS seine "ESRA.Hub.Edge"-Anmeldeinformationen vor. Das "ESRA.Hub.Edge"-Kennwort wird mithilfe des öffentliche Schlüssel des selbstsignierten Zertifikats des Hub-Transport-Servers verschlüsselt. Dies bedeutet, dass nur dieser bestimmte Hub-Transport-Server diese Anmeldeinformationen für die Authentifizierung bei AD LDS verwenden kann.
Zurück zum Seitenanfang
Erneuern der EdgeSync-Replikationskonten
Das Kennwort für das ESRA-Konto muss der Kennwortrichtlinie des lokalen Servers genügen. Um zu verhindern, dass der Kennworterneuerungsprozess zu einem temporären Authentifizierungsfehler führt, wird ein zweites Konto "ESRA.Hub.Edge" mit einer Gültigkeitsdauer von drei Tagen vor dem Ablaufzeitpunkt des ersten ESRA-Kontos sieben Tage vor Ablauf des ersten Kontos "ESRA.Hub.Edge" erstellt. Sobald das zweite ESRA-Konto gültig wird, verwendet EdgeSync das erste Konto nicht mehr und beginnt mit der Verwendung des zweiten Kontos. Wenn der Ablaufzeitpunkt für das erste Konto erreicht wird, werden diese ESRA-Anmeldeinformationen gelöscht. Dieser Erneuerungsprozess wird fortgesetzt, bis das Edge-Abonnement entfernt wird.
Zurück zum Seitenanfang
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.