エッジ サブスクリプションの資格情報について
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2007-02-21
ここでは、エッジ サブスクリプション プロセスが Microsoft Exchange Server 2007 の EdgeSync 同期プロセスをセキュリティで保護するために使用される資格情報を準備する方法、および Microsoft Exchange EdgeSync サービスがそれらの資格情報を使用して、ハブ トランスポート サーバーとエッジ トランスポート サーバーとの間にセキュリティで保護された LDAP (セキュアなライトウェイト ディレクトリ アクセス プロトコル) 接続を確立する方法について説明します。
Active Directory ディレクトリ サービス サイトでエッジ トランスポート サーバーを購読することができます。Active Directory サイトでエッジ トランスポート サーバーを購読すると、エッジ トランスポート サーバーが Exchange 組織と関連付けられます。この処理によって、ハブ トランスポート サーバーの役割で必要な構成が実行され、エッジ トランスポート サーバー上の Active Directory Application Mode (ADAM) ディレクトリ サービス インスタンスにその情報がプッシュされます。これによって、境界ネットワーク内で実行する必要のある管理作業が軽減されます。スパム対策のための受信者の参照またはセーフリスト集約機能の使用を計画している場合、または相互 TLS を使用したパートナー ドメインとのセキュリティで保護された SMTP 通信を計画している場合は、エッジ サブスクリプションを作成する必要があります。
Active Directory から ADAM へのデータの同期を必要とする機能の詳細については、以下のトピックを参照してください。
エッジ サブスクリプション プロセス
エッジ トランスポート サーバーを Active Directory サイトで購読すると、Active Directory サイト内のハブ トランスポート サーバーと購読済みのエッジ トランスポート サーバーとの間に同期関係が確立されます。Microsoft Exchange EdgeSync サービスは、ハブ トランスポート サーバー上で実行されるデータ同期サービスです。このサービスは、Active Directory から購読済みのエッジ トランスポート サーバー上の ADAM インスタンスへの、構成データおよび受信者データの一方向のレプリケーションを実行します。エッジ サブスクリプション プロセス中に準備される資格情報は、境界ネットワーク内のハブ トランスポート サーバーとエッジ トランスポート サーバーとの間の LDAP 接続をセキュリティで保護するために使用されます。
エッジ トランスポート サーバー上の Exchange 管理シェルで New-EdgeSubscription コマンドレットを実行すると、ローカル サーバーの ADAM ディレクトリに EdgeSync ブートストラップ レプリケーション アカウント (ESBRA) 資格情報が作成され、エッジ サブスクリプション ファイルに書き込まれます。これらの資格情報は、最初の同期を確立するためのにみ使用され、エッジ サブスクリプション ファイルの作成後 1,440 分 (24 時間) で有効期限が切れます。エッジ サブスクリプション プロセスがその時間内に完了しなかった場合は、エッジ トランスポート サーバー上の Exchange 管理シェルで New-EdgeSubscription コマンドレットを再度実行して、新しいエッジ サブスクリプション ファイルを作成する必要があります。
次の表は、エッジ サブスクリプションの XML ファイルに含まれているデータの説明です。
エッジ サブスクリプション ファイルの内容
| サブスクリプション データ | 説明 |
|---|---|
エッジ サーバー名 |
エッジ トランスポート サーバーの NetBIOS 名。Active Directory 内のエッジ サブスクリプションの名前は、この名前に一致します。 |
エッジ サーバーの FQDN |
エッジ トランスポート サーバーの完全修飾ドメイン名 (FQDN)。購読済みの Active Directory サイト内のハブ トランスポート サーバーは、DNS を使用して FQDN を解決し、エッジ トランスポート サーバーを見つけられることが必要です。 |
エッジ証明書バイナリ ラージ オブジェクト (BLOB) |
エッジ トランスポート サーバーの自己署名入り証明書の公開キー。 |
ESRA ユーザー名 |
ESBRA に割り当てられる名前。ESBRA アカウントは、次の形式に従います。ESRA.エッジ トランスポート サーバー名。ESRA は、EdgeSync レプリケーション アカウントを意味します。 |
ESRA パスワード |
ESBRA に割り当てられたパスワード。このパスワードは、乱数ジェネレータによって生成され、クリア テキストでエッジ サブスクリプション ファイルに格納されます。 |
有効日 |
エッジ サブスクリプション ファイルの作成日。 |
期間 |
これらの資格情報が有効期限切れとなるまでの時間。ESBRA アカウントは、24 時間のみ有効です。 |
ADAM SSL ポート |
EdgeSync サービスが、データを Active Directory から ADAM に同期するときにバインドする、セキュリティで保護された LDAP ポート。既定では、これは TCP ポート 50636 です。 |
プロダクト ID |
エッジ トランスポート サーバーのライセンス情報。Active Directory でエッジ トランスポート サーバーを購読した後、エッジ トランスポート サーバーのライセンス情報は、Exchange 組織に対する Exchange 管理コンソールに表示されます。この情報が正しく表示されるには、エッジ サブスクリプションを作成する前にエッジ トランスポート サーバーのライセンスを受ける必要があります。 |
.gif "important") 重要 : |
|---|
| ESBRA 資格情報は、クリア テキストでエッジ サブスクリプション ファイルに書き込まれます。このファイルは、サブスクリプション プロセス全体を通じて保護する必要があります。エッジ サブスクリプション ファイルがハブ トランスポート サーバーにインポートされた後で、エッジ トランスポート サーバー、ハブ トランスポート サーバー、およびすべてのリムーバブル メディアから、エッジ サブスクリプション ファイルを直ちに削除する必要があります。 |
EdgeSync レプリケーション アカウント
EdgeSync レプリケーション アカウント (ESRA) は、EdgeSync セキュリティの重要な部分です。ESRA の認証と承認は、エッジ トランスポート サーバーとハブ トランスポート サーバーとの接続をセキュリティで保護するために使用される機構です。
エッジ サブスクリプション ファイルに含まれている ESBRA は、最初の同期時にセキュリティで保護された LDAP 接続を確立するために使用されます。エッジ サブスクリプション ファイルが、エッジ トランスポートを購読している Active Directory サイトのハブ トランスポート サーバーへインポートされた後で、エッジ トランスポート サーバーとハブ トランスポート サーバーの各ペアに対して Active Directory で追加の ESRA アカウントが作成されます。最初の同期時に、新しく作成された ESRA 資格情報が ADAM へレプリケートされます。これらの ESRA 資格情報は、以後の同期セッションをセキュリティで保護するために使用されます。
各 EdgeSync レプリケーション アカウントには、次の表に説明するプロパティが割り当てられます。
Ms-Exch-EdgeSyncCredential のプロパティ
| プロパティ名 | 種類 | 説明 |
|---|---|---|
TargetServerFQDN |
String |
これらの資格情報を受け付けるエッジ トランスポート サーバー。 |
SourceServerFQDN |
String |
これらの資格情報を提示するハブ トランスポート サーバー。資格情報がブートストラップ資格情報の場合、この値は空です。 |
EffectiveTime |
DateTime (UTC) |
この資格情報の使用を開始する日時。 |
ExpirationTime |
DateTime (UTC) |
この資格情報の使用を停止する日時。 |
UserName |
String |
認証に使用されるユーザー名。 |
Password |
Byte |
認証に使用されるパスワード。パスワードは、ms-Exch-EdgeSync-Certificate を使用して暗号化されます。 |
以下のセクションでは、EdgeSync 同期プロセスで、ESRA 資格情報がどのように準備されて使用されるかについて説明します。
EdgeSync ブートストラップ レプリケーション アカウントの準備
New-EdgeSubscription コマンドレットがエッジ トランスポート サーバーで実行されるとき、ESBRA は次のように準備されます。
- 自己署名入りの証明書 (Edge-Cert) が、エッジ トランスポート サーバーで作成されます。秘密キーはローカル コンピュータ ストアに格納され、公開キーはエッジ サブスクリプション ファイルに書き込まれます。
- ESBRA (ESRA.Edge) は ADAM に作成され、資格情報はエッジ サブスクリプション ファイルに書き込まれます。
- エッジ サブスクリプション ファイルは、リムーバブル メディアにコピーすることによってエクスポートされます。これによって、ファイルをハブ トランスポート サーバーにインポートする準備ができます。
Active Directory での EdgeSync レプリケーション アカウントの準備
エッジ サブスクリプション ファイルがハブ トランスポート サーバーへインポートされるとき、エッジ サブスクリプションのレコードを Active Directory 内に確立し、追加の ESRA 資格情報を準備するために、以下の手順が実行されます。
- Active Directory に、エッジ トランスポート サーバー構成オブジェクトが作成されます。Edge-Cert 証明書は、このオブジェクトに属性として書き込まれます。
- 購読されている Active Directory 内のすべてのハブ トランスポート サーバーは、新しいエッジ サブスクリプションが登録されたことを示す Active Directory 通知を受け取ります。通知が受信されるとすぐに、各ハブ トランスポート サーバーは ESRA.Edge アカウントを取得し、Edge-Cert 公開キーを使用してアカウントを暗号化します。暗号化された ESRA.Edge アカウントは、エッジ トランスポート サーバー構成オブジェクトに書き込まれます。
- 各ハブ トランスポート サーバーは、自己署名入りの証明書 (Hub-Cert) を作成します。秘密キーはローカル コンピュータ ストアに格納され、公開キーは Active Directory のハブ トランスポート サーバー構成オブジェクトに格納されます。
- 各ハブ トランスポート サーバーは、自身の Hub-Cert 証明書の公開キーを使用して ESRA.Edge アカウントを暗号化し、自身の構成オブジェクトに格納します。
- 各ハブ トランスポート サーバーは、Active Directory にある既存のエッジ トランスポート サーバー構成オブジェクトごとに ESRA を生成します (ESRA.Hub.Edge)。アカウント名は、次の名前付け規則を使用して生成されます。
ESRA.<ハブ トランスポート サーバーの NetBIOS 名>.<エッジ トランスポート サーバーの NetBIOS 名>.<有効期限の UTC 時刻>
ESRA.Hub.Edge のパスワードは、乱数ジェネレータで生成され、Hub-Cert 証明書の公開キーを使用して暗号化されます。パスワードは、Microsoft Windows Server で許可されている最大長で生成されます。 - 各 ESRA.Hub.Edge アカウントは、Edge-Cert 証明書の公開キーを使用して暗号化され、Active Directory 内のエッジ トランスポート サーバー構成オブジェクトに格納されます。
以下のセクションでは、これらのアカウントが EdgeSync 同期プロセスでどのように使用されるかについて説明します。
最初のレプリケーションの認証
ESBRA アカウントである ESRA.Edge は、最初の同期セッションの確立時にのみ使用されます。最初の EdgeSync 同期セッション時に、追加の ESRA アカウントである ESRA.Hub.Edge が ADAM にレプリケートされます。これらのアカウントは、以降の EdgeSync 同期セッションの認証に使用されます。
最初のレプリケーションを実行するハブ トランスポート サーバーは、ランダムに決定されます。トポロジ スキャンを実行し、新しいエッジ サブスクリプションを検出した Active Directory 内の最初のハブ トランスポート サーバーが最初のレプリケーションを実行します。この検出は、トポロジ スキャンのタイミングに基づいているため、サイトのどのハブ トランスポート サーバーも最初のレプリケーションを実行する可能性があります。
Microsoft Exchange EdgeSync サービスは、ハブ トランスポート サーバーからエッジ トランスポート サーバーへのセキュリティで保護された LDAP セッションを開始します。エッジ トランスポート サーバーは、自己署名入りの証明書を提示し、ハブ トランスポート サーバーは、その証明書が Active Directory 内のエッジ トランスポート サーバー構成オブジェクトに格納されている証明書と一致することを確認します。エッジ トランスポート サーバーの ID が確認された後、ハブ トランスポート サーバーは ESRA.Edge アカウントの資格情報をエッジ トランスポート サーバーに提供します。エッジ トランスポート サーバーは、資格情報を ADAM に格納されているアカウントに対して確認します。
次に、ハブ トランスポート サーバー上の Microsoft Exchange EdgeSync サービスは、トポロジ、構成、および受信者データを Active Directory から ADAM にプッシュします。Active Directory 内のエッジ トランスポート サーバー構成オブジェクトへの変更は、ADAM にレプリケートされます。ADAM は新しく追加された ESRA.Hub.Edge エントリを受信し、Edge Credential サービスは対応する ADAM アカウントを作成します。これらのアカウントは、以降のスケジュールされた EdgeSync 同期セッションの認証に使用できます。
Edge Credential サービス
Edge Credential サービスは、エッジ サブスクリプション プロセスの一部です。このサービスは、エッジ トランスポート サーバーでのみ実行されます。このサービスは、ADAM に双方向の ESRA アカウントを作成して、EdgeSync 同期を実行するためにハブ トランスポート サーバーがエッジ トランスポート サーバーで認証を受けることができるようにします。Microsoft Exchange EdgeSync サービスは、Edge Credential サービスと直接通信しません。Edge Credential サービスは ADAM と通信し、ハブ トランスポート サーバーが ESRA 資格情報を更新するときに常にこれらをインストールします。
スケジュールされた同期セッションの認証
最初の EdgeSync 同期が完了した後で、EdgeSync 同期のスケジュールが確立され、Active Directory 内で変更されたデータは定期的に ADAM で更新されます。ハブ トランスポート サーバーは、エッジ トランスポート サーバー上の ADAM インスタンスとの間でセキュリティで保護された LDAP セッションを開始します。ADAM は、自己署名入りの証明書を提示することで、そのハブ トランスポート サーバーに ID を証明します。ハブ トランスポート サーバーは、ESRA.Hub.Edge 資格情報を ADAM に提示します。ESRA.Hub.Edge パスワードは、ハブ トランスポート サーバーの自己署名入りの証明書の公開キーを使用して暗号化されます。つまり、その特定のハブ トランスポート サーバーのみが、これらの資格情報を使用して ADAM で認証を受けることができます。
EdgeSync レプリケーション アカウントの更新
ESRA アカウントのパスワードは、ローカル サーバーのパスワード ポリシーに従っている必要があります。パスワード更新処理で一時的な認証エラーが発生しないようにするために、2 番目の ESRA.Hub.Edge アカウントは、最初の ESRA.Hub.Edge アカウントが有効期限切れになる 7 日前に作成されます。最初の ESRA.Hub.Edge アカウントの有効期限は最初の ESRA 有効期限の 3 日前です。2 番目の ESRA アカウントが有効になるとすぐに、EdgeSync は最初のアカウントの使用を停止し、2 番目のアカウントの使用を開始します。最初のアカウントが有効期限に達すると、それらの ESRA 資格情報は削除されます。この更新処理は、エッジ サブスクリプションが削除されるまで継続されます。
詳細情報
詳細については、以下のトピックを参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。