エッジ サブスクリプションの資格情報について
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2015-03-09
ここでは、エッジ サブスクリプション プロセスが Microsoft Exchange Server 2010 の EdgeSync 同期プロセスをセキュリティで保護するために使用される資格情報を準備する方法、および Microsoft Exchange EdgeSync サービスがそれらの資格情報を使用して、ハブ トランスポート サーバーとエッジ トランスポート サーバーとの間にセキュリティで保護された LDAP 接続を確立する方法について説明します。エッジ サブスクリプション プロセスの詳細については、「エッジ サブスクリプションについて」を参照してください。
トランスポート サーバーの管理に関連する管理タスクについては、「トランスポート サーバーの管理」を参照してください。
目次
エッジ サブスクリプション プロセス
EdgeSync レプリケーション アカウント
最初のレプリケーションの認証
スケジュールされた同期セッションの認証
EdgeSync レプリケーション アカウントの更新
エッジ サブスクリプション プロセス
エッジ トランスポート サーバーを Active Directory サイトで購読すると、Active Directory サイト内のハブ トランスポート サーバーと購読済みのエッジ トランスポート サーバーとの間に同期関係が確立されます。エッジ サブスクリプション プロセス中に準備される資格情報は、境界ネットワーク内のハブ トランスポート サーバーとエッジ トランスポート サーバーとの間の LDAP 接続をセキュリティで保護するために使用されます。
エッジ トランスポート サーバー上の Exchange 管理シェルで New-EdgeSubscription コマンドレットを実行すると、ローカル サーバーの Active Directory ライトウェイト ディレクトリ サービス (AD LDS) ディレクトリに EdgeSync ブートストラップ レプリケーション アカウント (ESBRA) 資格情報が作成され、エッジ サブスクリプション ファイルに書き込まれます。これらの資格情報は、最初の同期を確立するためのにみ使用され、エッジ サブスクリプション ファイルの作成後 1,440 分 (24 時間) で有効期限が切れます。エッジ サブスクリプション プロセスがその時間内に完了しなかった場合は、エッジ トランスポート サーバー上のシェルで New-EdgeSubscription コマンドレットを再度実行して、エッジ サブスクリプション ファイルを作成する必要があります。
次の表は、エッジ サブスクリプションの XML ファイルに含まれているデータの説明です。
エッジ サブスクリプション ファイルの内容
| サブスクリプション データ | 説明 |
|---|---|
EdgeServerName |
エッジ トランスポート サーバーの NetBIOS 名。Active Directory 内のエッジ サブスクリプションの名前は、この名前に一致します。 |
EdgeServerFQDN |
エッジ トランスポート サーバーの完全修飾ドメイン名 (FQDN)。購読済みの Active Directory サイト内のハブ トランスポート サーバーは、ドメイン ネーム システム (DNS) を使用して FQDN を解決し、エッジ トランスポート サーバーを見つけられることが必要です。 |
EdgeCertificateBlob |
エッジ トランスポート サーバーの自己署名証明書の公開キー。 |
ESRAUsername |
ESBRA に割り当てられる名前。ESBRA アカウントは、次の形式に従います。ESRA.エッジ トランスポート サーバー名。ESRA は、EdgeSync レプリケーション アカウントを意味します。 |
ESRAPassword |
ESBRA に割り当てられたパスワード。このパスワードは、乱数ジェネレーターによって生成され、クリア テキストでエッジ サブスクリプション ファイルに格納されます。 |
EffectiveDate |
エッジ サブスクリプション ファイルの作成日。 |
期間 |
これらの資格情報が有効期限切れとなるまでの時間。ESBRA アカウントは、24 時間のみ有効です。 |
AdamSslPort |
EdgeSync サービスが、データを Active Directory から AD LDS に同期するときにバインドする、セキュリティで保護された LDAP ポート。既定では、これは TCP ポート 50636 です。 |
ProductID |
エッジ トランスポート サーバーのライセンス情報。Active Directory でエッジ トランスポート サーバーを購読した後、エッジ トランスポート サーバーのライセンス情報は、Exchange 組織に対する Exchange 管理コンソールに表示されます。この情報が正しく表示されるには、エッジ サブスクリプションを作成する前にエッジ トランスポート サーバーのライセンスを受ける必要があります。 |
VersionNumber |
エッジ サブスクリプション ファイルのバージョン番号。 |
SerialNumber |
エッジ トランスポート サーバー上にインストールされている Exchange Server のバージョン。 |
重要
ESBRA 資格情報は、クリア テキストでエッジ サブスクリプション ファイルに書き込まれます。このファイルは、サブスクリプション プロセス全体を通じて保護する必要があります。エッジ サブスクリプション ファイルが Exchange 組織にインポートされた後で、エッジ トランスポー トサーバー、Exchange 組織にファイルをインポートするために使用したネットワーク共有、およびすべてのリムーバブル メディアから、エッジ サブスクリプション ファイルを直ちに削除する必要があります。
ページのトップへ
EdgeSync レプリケーション アカウント
EdgeSync レプリケーション アカウント (ESRA) は、EdgeSync セキュリティの重要な部分です。ESRA の認証と承認は、エッジ トランスポート サーバーとハブ トランスポート サーバーとの接続をセキュリティで保護するために使用される機構です。
エッジ サブスクリプション ファイルに含まれている ESBRA は、最初の同期時にセキュリティで保護された LDAP 接続を確立するために使用されます。エッジ サブスクリプション ファイルが、エッジ トランスポート サーバーを購読している Active Directory サイトのハブ トランスポート サーバーにインポートされた後で、エッジ トランスポート サーバーとハブ トランスポート サーバーの各ペアに対して Active Directory で追加の ESRA アカウントが作成されます。最初の同期時に、新しく作成された ESRA 資格情報が AD LDS へレプリケートされます。これらの ESRA 資格情報は、以後の同期セッションをセキュリティで保護するために使用されます。
各 EdgeSync レプリケーション アカウントには、次の表に説明するプロパティが割り当てられます。
Ms-Exch-EdgeSyncCredential のプロパティ
| プロパティ名 | 種類 | 説明 |
|---|---|---|
TargetServerFQDN |
String |
これらの資格情報を受け付けるエッジ トランスポート サーバー。 |
SourceServerFQDN |
String |
これらの資格情報を提示するハブ トランスポート サーバー。資格情報がブートストラップ資格情報の場合、この値は空です。 |
EffectiveTime |
DateTime (UTC) |
この資格情報の使用を開始する日時。 |
ExpirationTime |
DateTime (UTC) |
この資格情報の使用を停止する日時。 |
UserName |
String |
認証に使用されるユーザー名。 |
Password |
Byte |
認証に使用されるパスワード。パスワードは、ms-Exch-EdgeSync-Certificate を使用して暗号化されます。 |
以下のセクションでは、EdgeSync 同期プロセスで、ESRA 資格情報がどのように準備されて使用されるかについて説明します。
EdgeSync ブートストラップ レプリケーション アカウントの準備
New-EdgeSubscription コマンドレットがエッジ トランスポート サーバーで実行されるとき、ESBRA は次のように準備されます。
自己署名証明書 (Edge-Cert) が、エッジ トランスポート サーバーで作成されます。秘密キーはローカル コンピューター ストアに格納され、公開キーはエッジ サブスクリプション ファイルに書き込まれます。
ESBRA (ESRA.Edge) は AD LDS に作成され、資格情報はエッジ サブスクリプション ファイルに書き込まれます。
エッジ サブスクリプション ファイルは、リムーバブル メディアにコピーすることによってエクスポートされます。これによって、ファイルをハブ トランスポート サーバーにインポートする準備ができます。
Active Directory での EdgeSync レプリケーション アカウントの準備
エッジ サブスクリプション ファイルがハブ トランスポート サーバーへインポートされるとき、エッジ サブスクリプションのレコードを Active Directory 内に確立し、追加の ESRA 資格情報を準備するために、以下の手順が実行されます。
Active Directory に、エッジ トランスポート サーバー構成オブジェクトが作成されます。Edge-Cert 証明書は、このオブジェクトに属性として書き込まれます。
購読されている Active Directory 内のすべてのハブ トランスポート サーバーは、新しいエッジ サブスクリプションが登録されたことを示す Active Directory 通知を受け取ります。通知が受信されるとすぐに、各ハブ トランスポート サーバーは ESRA.Edge アカウントを取得し、Edge-Cert 公開キーを使用してアカウントを暗号化します。暗号化された ESRA.Edge アカウントは、エッジ トランスポート サーバー構成オブジェクトに書き込まれます。
各ハブ トランスポート サーバーは、自己署名証明書 (Hub-Cert) を作成します。秘密キーはローカル コンピューター ストアに格納され、公開キーは Active Directory のハブ トランスポート サーバー構成オブジェクトに格納されます。
各ハブ トランスポート サーバーは、自身の Hub-Cert 証明書の公開キーを使用して ESRA.Edge アカウントを暗号化し、自身の構成オブジェクトに格納します。
各ハブ トランスポート サーバーは、Active Directory にある既存のエッジ トランスポート サーバー構成オブジェクトごとに ESRA を生成します (ESRA.Hub.Edge)。アカウント名は、次の名前付け規則を使用して生成されます。
ESRA.<ハブ トランスポート サーバーの NetBIOS 名<>.<エッジ トランスポート サーバーの NetBIOS 名>.<有効期限の UTC 時刻>
例 : ESRA.Hub.Edge.01032010
ESRA.Hub.Edge のパスワードは、乱数ジェネレーターで生成され、Hub-Cert 証明書の公開キーを使用して暗号化されます。パスワードは、Microsoft Windows Server で許可されている最大長で生成されます。
各 ESRA.Hub.Edge アカウントは、Edge-Cert 証明書の公開キーを使用して暗号化され、Active Directory 内のエッジ トランスポート サーバー構成オブジェクトに格納されます。
以下のセクションでは、これらのアカウントが EdgeSync 同期プロセスでどのように使用されるかについて説明します。
ページのトップへ
最初のレプリケーションの認証
ESBRA アカウントである ESRA.Edge は、最初の同期セッションの確立時にのみ使用されます。最初の EdgeSync 同期セッション時に、追加の ESRA アカウントである ESRA.Hub.Edge が AD LDS にレプリケートされます。これらのアカウントは、以降の EdgeSync 同期セッションの認証に使用されます。
最初のレプリケーションを実行するハブ トランスポート サーバーは、ランダムに決定されます。Active Directory サイトでトポロジ スキャンを実行して新しいエッジ サブスクリプションを検出する最初のハブ トランスポート サーバーが、最初のレプリケーションを実行します。この検出はトポロジ スキャンのタイミングに基づいているため、サイトのどのハブ トランスポート サーバーも最初のレプリケーションを実行する可能性があります。
Microsoft Exchange EdgeSync サービスは、ハブ トランスポート サーバーからエッジ トランスポート サーバーへのセキュリティで保護された LDAP セッションを開始します。エッジ トランスポート サーバーは、自己署名証明書を提示し、ハブ トランスポート サーバーは、その証明書が Active Directory 内のエッジ トランスポート サーバー構成オブジェクトに格納されている証明書と一致することを確認します。エッジ トランスポート サーバーの ID が確認された後、ハブ トランスポート サーバーは ESRA.Edge アカウントの資格情報をエッジ トランスポート サーバーに提供します。エッジ トランスポート サーバーは、資格情報を AD LDS に格納されているアカウントに対して確認します。
次に、ハブ トランスポート サーバー上の Microsoft Exchange EdgeSync サービスは、トポロジ、構成、および受信者データを Active Directory から AD LDS にプッシュします。Active Directory 内のエッジ トランスポート サーバー構成オブジェクトへの変更は、AD LDS にレプリケートされます。AD LDS は新しく追加された ESRA.Hub.Edge エントリを受信し、 Microsoft Exchange Credential Service は対応する AD LDS アカウントを作成します。これらのアカウントは、以降のスケジュールされた EdgeSync 同期セッションの認証に使用できます。
Microsoft Exchange Credential Service
Microsoft Exchange Credential Service は、エッジ サブスクリプション プロセスの一部です。このサービスは、エッジ トランスポート サーバーでのみ実行されます。このサービスは、AD LDS に双方向の ESRA アカウントを作成して、EdgeSync 同期を実行するためにハブ トランスポート サーバーがエッジ トランスポート サーバーで認証を受けることができるようにします。Microsoft Exchange EdgeSync サービスは、Microsoft Exchange Credential Service と直接通信しません。Microsoft Exchange Credential Service は AD LDS と通信し、ハブ トランスポート サーバーが ESRA 資格情報を更新するときに常にこれらをインストールします。
ページのトップへ
スケジュールされた同期セッションの認証
最初の EdgeSync 同期が完了した後で、EdgeSync 同期のスケジュールが確立され、Active Directory 内で変更されたデータは定期的に AD LDS で更新されます。ハブ トランスポート サーバーは、エッジ トランスポート サーバー上の AD LDS インスタンスとの間でセキュリティで保護された LDAP セッションを開始します。AD LDS は、自己署名証明書を提示することで、そのハブ トランスポート サーバーに ID を証明します。ハブ トランスポート サーバーは、ESRA.Hub.Edge 資格情報を AD LDS に提示します。ESRA.Hub.Edge パスワードは、ハブ トランスポート サーバーの自己署名証明書の公開キーを使用して暗号化されます。つまり、その特定のハブ トランスポート サーバーのみが、これらの資格情報を使用して AD LDS で認証を受けることができます。
ページのトップへ
EdgeSync レプリケーション アカウントの更新
ESRA アカウントのパスワードは、ローカル サーバーのパスワード ポリシーに従っている必要があります。パスワード更新処理で一時的な認証エラーが発生しないようにするために、2 番目の ESRA.Hub.Edge アカウントは、最初の ESRA.Hub.Edge アカウントが有効期限切れになる 7 日前に作成されます。最初の ESRA.Hub.Edge アカウントの有効期限は最初の ESRA 有効期限の 3 日前です。2 番目の ESRA アカウントが有効になるとすぐに、EdgeSync は最初のアカウントの使用を停止し、2 番目のアカウントの使用を開始します。最初のアカウントが有効期限に達すると、それらの ESRA 資格情報は削除されます。この更新処理は、エッジ サブスクリプションが削除されるまで継続されます。
ページのトップへ
© 2010 Microsoft Corporation.All rights reserved.