Informazioni sulle credenziali di sottoscrizione Edge
Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Ultima modifica dell'argomento: 2007-02-21
In questo argomento vengono descritti il provisioning effettuato dal processo di sottoscrizione Edge delle credenziali utilizzate per fornire protezione al processo di sincronizzazione EdgeSync in Microsoft Exchange Server 2007 e l'utilizzo di tali credenziali nel servizio EdgeSync di Microsoft Exchange per stabilire una connessione LDAP (Lightweight Directory Access Protocol) protetta tra un server Trasporto Hub e un server Trasporto Edge.
Un server Trasporto Edge può essere sottoscritto a un sito del servizio directory di Active Directory. Durante la procedura di sottoscrizione, il server Trasporto Edge viene associato all'organizzazione di Exchange. Ciò consente di ridurre il carico amministrativo nella rete perimetrale poiché è possibile eseguire le operazioni di configurazione necessarie sul ruolo del server Trasporto Hub e quindi effettuare il push di tali informazioni nell'istanza del servizio directory di Active Directory Application Mode (ADAM) sul server Trasporto Edge. È necessario creare una sottoscrizione Edge, se si prevede di utilizzare le funzionalità di protezione da posta indesiderata, quali la ricerca dei destinatari o l'aggregazione dell'elenco indirizzi attendibili, oppure se si prevede di fornire protezione alle comunicazioni SMTP con domini partner utilizzando l'autenticazione MTSL (Mutual Transport Layer Security).
Per ulteriori informazioni sulle funzionalità che richiedono la sincronizzazione dei dati da Active Directory ad ADAM, vedere i seguenti argomenti:
Processo di sottoscrizione Edge
Il server Trasporto Edge viene sottoscritto a un sito di Active Directory per stabilire una relazione di sincronizzazione tra i server Trasporto Hub di un sito di Active Directory e il server Trasporto Edge sottoscritto. Il servizio EdgeSync di Microsoft Exchange è il servizio di sincronizzazione dei dati eseguito sui server Trasporto Hub. Questo servizio esegue la replica unidirezionale dei dati relativi alla configurazione e ai destinatari da Active Directory all'istanza ADAM sul server Trasporto Edge sottoscritto. Le credenziali di cui viene effettuato il provisioning durante il processo di sottoscrizione Edge vengono utilizzate per fornire protezione alla connessione LDAP tra un server Trasporto Hub e un server Trasporto Edge nella rete perimetrale.
Quando si esegue il cmdlet New-EdgeSubscription in Exchange Management Shell su un server Trasporto Edge, le credenziali dell'account di replica bootstrap EdgeSync (ESBRA, EdgeSync Bootstrap Replication Account) vengono create nella directory ADAM sul server locale, quindi vengono scritte nel file sottoscrizione Edge. Queste credenziali vengono utilizzate solo per stabilire la sincronizzazione iniziale e scadranno dopo 1.440 minuti (24 ore) dalla creazione del file sottoscrizione Edge. Se il processo di sottoscrizione Edge non viene completato entro tale intervallo di tempo, sarà necessario eseguire nuovamente il cmdlet New-EdgeSubscription in Exchange Management Shell sul server Trasporto Edge per creare un nuovo file sottoscrizione Edge.
Nella seguente tabella sono descritti i dati contenuti nel file XML di sottoscrizione Edge.
Contenuto del file sottoscrizione Edge
| Dati di sottoscrizione | Descrizione |
|---|---|
Nome server Edge |
Nome NetBIOS del server Trasporto Edge che corrisponderà al nome della sottoscrizione Edge in Active Directory. |
Nome di dominio completo (FQDN) del server Edge |
Il nome di dominio completo (FQDN) del server Trasporto Edge. Il server Trasporto Hub nel sito di Active Directory sottoscritto deve essere in grado di individuare il server Trasporto Edge utilizzando DNS per la risoluzione del nome di domino completo. |
Oggetto binario di grandi dimensioni (BLOB) del certificato di Edge |
La chiave pubblica del certificato autofirmato del server Trasporto Edge. |
Nome utente dell'account ESRA |
Il nome assegnato all'account ESBRA. L'account ESBRA presenta il seguente formato: ESRA.Nome server Trasporto Edge. ESRA è l'acronimo di EdgeSync Replication Account, ovvero account di replica EdgeSync. |
Password di ESRA |
La password assegnata all'account ESBRA, creata da un generatore di numeri casuali e archiviata nel file sottoscrizione Edge in formato testo non crittografato. |
Data di validità |
La data di creazione del file sottoscrizione Edge. |
Durata |
Il periodo di validità delle credenziali prima della scadenza. L'account ESBRA è valido solo per 24 ore. |
Porta SSL di ADAM |
La porta LDAP protetta a cui viene effettuato il binding del servizio EdgeSync durante la sincronizzazione dei dati da Active Directory ad ADAM. Per impostazione predefinita, viene utilizzata la porta TCP 50636. |
ID prodotto |
Le informazioni sulla licenza per il server Trasporto Edge. Dopo la sottoscrizione di un server Trasporto Edge ad Active Directory, le informazioni sulla licenza vengono visualizzate in Exchange Management Console per l'organizzazione di Exchange. Per visualizzare correttamente queste informazioni, prima di creare la sottoscrizione Edge, è necessario concedere la licenza al server Trasporto Edge. |
Importante
Le credenziali dell'account ESBRA vengono scritte nel file sottoscrizione Edge in formato testo non crittografato. Questo file deve essere protetto durante tutto il processo di sottoscrizione. Dopo aver importato il file sottoscrizione Edge in un server Trasporto Hub, è necessario eliminare immediatamente il file dal server Trasporto Edge, dal server Trasporto Hub e da qualsiasi supporto rimovibile.
Account di replica EdgeSync
Gli account di replica EdgeSync (ESRA) sono un importante componente di protezione di EdgeSync. L'autenticazione e l'autorizzazione dell'account ESRA è il meccanismo utilizzato per fornire protezione alla connessione tra un server Trasporto Edge e un server Trasporto Hub.
L'account ESBRA contenuto nel file sottoscrizione Edge viene utilizzato per stabilire una connessione LDAP protetta durante la sincronizzazione iniziale. Dopo aver importato il file sottoscrizione Edge in un server Trasporto Hub nel sito di Active Directory a cui viene sottoscritto il server Trasporto Edge, in Active Directory vengono creati account ESRA aggiuntivi per ogni coppia di server Trasporto Edge-Trasporto Hub. Durante la sincronizzazione iniziale, le credenziali dell'account ESRA appena create vengono replicate in ADAM. Tali credenziali vengono utilizzate per fornire protezione alle sessioni di sincronizzazione successive.
A ogni account di replica EdgeSync vengono assegnate le proprietà descritte nella seguente tabella.
Proprietà Ms-Exch-EdgeSyncCredential
| Nome proprietà | Tipo | Descrizione |
|---|---|---|
TargetServerFQDN |
String |
Il server Trasporto Edge in cui verranno accettate le credenziali. |
SourceServerFQDN |
String |
Il server Trasporto Hub che fornirà le credenziali. Se si tratta di credenziali bootstrap, questo valore sarà vuoto. |
EffectiveTime |
DateTime (UTC) |
Il momento in cui sarà possibile iniziare a utilizzare le credenziali. |
ExpirationTime |
DateTime (UTC) |
Il momento in cui non sarà più possibile utilizzare le credenziali. |
UserName |
String |
Il nome utente utilizzato per effettuare l'autenticazione. |
Password |
Byte |
La password utilizzata per effettuare l'autenticazione. Questa password viene crittografata utilizzando ms-Exch-EdgeSync-Certificate. |
Nelle seguenti sezioni di questo argomento vengono descritti il provisioning e l'utilizzo delle credenziali dell'account ESRA durante il processo di sincronizzazione EdgeSync.
Provisioning dell'account di replica bootstrap EdgeSync
Quando si esegue il cmdlet New-EdgeSubscription sul server Trasporto Edge, viene effettuato il provisioning dell'account ESBRA nel seguente modo:
Viene creato un certificato autofirmato (Edge-Cert) sul server Trasporto Edge. La chiave privata viene memorizzata nell'archivio del computer locale e la chiave pubblica viene scritta nel file sottoscrizione Edge.
Viene creato l'account ESBRA (ESRA.Edge) in ADAM e le credenziali vengono scritte nel file sottoscrizione Edge.
Il file sottoscrizione Edge viene esportato in un supporto rimovibile per essere quindi importato in un server Trasporto Hub.
Provisioning degli account di replica EdgeSync in Active Directory
Quando il file sottoscrizione Edge viene importato in un server Trasporto Hub, si verificano i seguenti passaggi per definire un record della sottoscrizione Edge in Active Directory ed effettuare il provisioning delle credenziali degli account ESRA aggiuntivi.
Viene creato l'oggetto di configurazione server Trasporto Edge in Active Directory. Il certificato Edge-Cert viene scritto in questo oggetto come attributo.
Ogni server Trasporto Hub nel sito di Active Directory sottoscritto riceve da Active Directory una notifica relativa alla registrazione di una nuova sottoscrizione Edge. Una volta ricevuta la notifica, l'account ESRA.Edge viene recuperato da ogni server Trasporto Hub e crittografato tramite la chiave pubblica Edge-Cert. L'account crittografato ESRA.Edge viene quindi scritto nell'oggetto di configurazione server Trasporto Edge.
Viene creato un certificato autofirmato (Hub-Cert) da ogni server Trasporto Hub. La chiave privata viene memorizzata nell'archivio del computer locale e la chiave pubblica viene archiviata nell'oggetto di configurazione server Trasporto Hub in Active Directory.
L'account ESRA.Edge viene crittografato in ogni server Trasporto Hub tramite la chiave pubblica del certificato Hub-Cert, quindi viene archiviato nell'oggetto di configurazione corrispondente.
In ogni server Trasporto Hub viene generato un account ESRA per ogni oggetto di configurazione Trasporto Edge esistente in Active Directory (ESRA.Hub.Edge). Il nome dell'account viene generato utilizzando la seguente convenzione di denominazione:
ESRA.<Nome NetBIOS del server Trasporto Hub>.<Nome NetBIOS del server Trasporto Edge>.<Ora UTC della data di validità>
La password per ESRA.Hub.Edge viene creata da un generatore di numeri casuali e crittografata tramite la chiave pubblica del certificato Hub-Cert. La lunghezza massima della password è quella consentita per Microsoft Windows Server.
Ogni account ESRA.Hub.Edge viene crittografato tramite la chiave pubblica del certificato Edge-Cert e viene archiviato nell'oggetto di configurazione server Trasporto Edge in Active Directory.
Nelle seguenti sezioni di questo argomento viene descritto l'utilizzo di questi account durante il processo di sincronizzazione EdgeSync.
Autenticazione della replica iniziale
L'account ESBRA, ovvero ESRA.Edge, viene utilizzato solo per stabilire la sessione di sincronizzazione iniziale. Durante la prima sessione di sincronizzazione EdgeSync, gli account ESRA aggiuntivi, ovvero ESRA.Hub.Edge, vengono replicati in ADAM. Tali account vengono utilizzati per autenticare le sessioni di sincronizzazione EdgeSync successive.
Il server Trasporto Hub che esegue la replica iniziale viene determinato in modo casuale. La replica iniziale viene eseguita dal primo server Trasporto Hub del sito di Active Directory che esegue un'analisi della topologia e individua la nuova sottoscrizione Edge. Poiché l'individuazione è basata sull'intervallo di tempo richiesto per l'analisi, la replica iniziale potrebbe essere eseguita da qualsiasi server Trasporto Hub del sito.
Il servizio EdgeSync di Microsoft Exchange avvia una sessione LDAP protetta dal server Trasporto Hub al server Trasporto Edge. Il server Trasporto Edge fornisce il proprio certificato autofirmato e il server Trasporto Hub verifica che tale certificato corrisponda a quello archiviato nell'oggetto di configurazione server Trasporto Edge in Active Directory. Dopo aver verificato l'identità del server Trasporto Edge, il server Trasporto Hub fornisce le credenziali dell'account ESRA.Edge al server Trasporto Edge, che ne effettua la verifica in base all'account archiviato in ADAM.
Quindi, il servizio EdgeSync di Microsoft Exchange sul server Trasporto Hub effettua il push dei dati relativi alla topologia, alla configurazione e ai destinatari da Active Directory ad ADAM. La modifica dell'oggetto di configurazione server Trasporto Edge in Active Directory viene replicata in ADAM. ADAM riceve le voci ESRA.Hub.Edge appena aggiunte e il servizio Credenziali di Edge crea l'account ADAM corrispondente. Tali account saranno quindi disponibili per autenticare le sessioni di sincronizzazione EdgeSync pianificate in seguito.
Servizio Credenziali di Edge
Il servizio Credenziali di Edge è un componente del processo di sottoscrizione Edge che viene eseguito solo sul server Trasporto Edge. Questo servizio consente di creare in ADAM account ESRA reciproci in modo che un server Trasporto Hub possa autenticare un server Trasporto Edge per eseguire la sincronizzazione EdgeSync. Il servizio EdgeSync di Microsoft Exchange non è in grado di comunicare direttamente con il servizio Credenziali di Edge, il quale comunica con ADAM e installa le credenziali dell'account ESRA ogni volta che vengono aggiornate dal server Trasporto Hub.
Autenticazione delle sessioni di sincronizzazione pianificate
Al termine della sincronizzazione iniziale EdgeSync, viene definita una pianificazione di sincronizzazione e i dati modificati in Active Directory vengono aggiornati a intervalli regolari in ADAM. Un server Trasporto Hub avvia una sessione LDAP protetta con l'istanza ADAM sul server Trasporto Edge. L'istanza ADAM fornisce il certificato autofirmato al server Trasporto Hub per dimostrare la propria identità, mentre il server Trasporto Hub fornisce ad ADAM le proprie credenziali ESRA.Hub.Edge. La password dell'account ESRA.Hub.Edge è crittografata tramite la chiave pubblica del certificato autofirmato del server Trasporto Hub. Ciò significa che tali credenziali possono essere utilizzate solo dal server Trasporto Hub specifico per effettuare l'autenticazione ad ADAM.
Rinnovo degli account di replica EdgeSync
La password dell'account ESRA deve soddisfare i criteri password del server locale. Per evitare che la procedura di rinnovo della password provochi errori di autenticazione temporanei, viene creato un secondo account ESRA.Hub.Edge sette giorni prima che scada il primo account, con data di validità a partire da tre giorni prima della scadenza. Quando il secondo account ESRA diventa effettivo, EdgeSync inizia a utilizzarlo al posto del primo. Quando viene raggiunta la data di scadenza del primo account, le relative credenziali vengono eliminate. Questa procedura di rinnovo continua finché non viene rimossa la sottoscrizione Edge.
Ulteriori informazioni
Per ulteriori informazioni, vedere i seguenti argomenti: