了解边缘订阅凭据
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2007-02-21
本主题介绍边缘订阅进程如何通过设置凭据来帮助保护 Microsoft Exchange Server 2007 中的 EdgeSync 同步进程以及 Microsoft Exchange EdgeSync 服务如何使用这些凭据在集线器传输服务器与边缘传输服务器之间建立安全轻型目录访问协议 (LDAP) 连接。
可以为边缘传输服务器订阅 Active Directory 目录服务站点。为边缘传输服务器订阅 Active Directory 站点时,会将边缘传输服务器与 Exchange 组织关联。此过程可以减少必须在外围网络中执行的管理工作,您可以在集线器传输服务器角色上执行所需的配置,然后将该信息推送到边缘传输服务器上的 Active Directory 应用程序模式 (ADAM) 目录服务实例。如果计划使用收件人查找或安全列表聚合的反垃圾邮件功能,或计划使用相互 TLS 帮助保护与伙伴域的 SMTP 通信,则必须创建边缘订阅。
有关要求从 Active Directory 向 ADAM 同步数据的功能的详细信息,请参阅下列主题:
边缘订阅进程
为边缘传输服务器订阅 Active Directory 站点,以便在 Active Directory 站点中的集线器传输服务器与订阅的边缘传输服务器之间建立同步关系。Microsoft Exchange EdgeSync 服务是在集线器传输服务器上运行的数据同步服务。此服务对配置和收件人数据执行从 Active Directory 向订阅的边缘传输服务器上的 ADAM 实例的单向复制。边缘订阅进程中设置的凭据可以帮助保护集线器传输服务器与外围网络中的边缘传输服务器之间的 LDAP 连接。
在边缘传输服务器的 Exchange 命令行管理程序中运行 New-EdgeSubscription cmdlet 时,将在本地服务器的 ADAM 目录中创建 EdgeSync bootstrap 复制帐户 (ESBRA) 凭据,并将其写入边缘订阅文件。这些凭据只用于建立初次同步,将在创建边缘订阅文件后的 1,440 分钟(24 小时)过期。如果边缘订阅进程在该时间内未完成,则必须再次在边缘传输服务器的 Exchange 命令行管理程序中运行 New-EdgeSubscription cmdlet,以新建边缘订阅文件。
下表介绍边缘订阅 XML 文件中包含的数据。
边缘订阅文件的内容
| 订阅数据 | 说明 |
|---|---|
边缘服务器名称 |
边缘传输服务器的 NetBIOS 名称。Active Directory 中的边缘订阅名称将与此名称匹配。 |
边缘服务器 FQDN |
边缘传输服务器的完全限定的域名 (FQDN)。订阅的 Active Directory 站点中的集线器传输服务器必须可以使用 DNS 解析 FQDN,以找到边缘传输服务器。 |
边缘证书二进制大型对象 (BLOB) |
边缘传输服务器的自签名证书的公钥。 |
ESRA 用户名 |
为 ESBRA 指定的名称。ESBRA 帐户采用以下格式:ESRA.边缘传输服务器名称。ESRA 代表 EdgeSync 复制帐户。 |
ESRA 密码 |
为 ESBRA 指定的密码。密码使用随机数字生成器生成并以明文形式存储在边缘订阅文件中。 |
生效日期 |
边缘订阅文件的创建日期。 |
持续时间 |
这些凭据在过期之前的有效时间长度。ESBRA 帐户的有效期只有 24 个小时。 |
ADAM SSL 端口 |
从 Active Directory 向 ADAM 同步数据时,EdgeSync 服务绑定到的安全 LDAP 端口。默认情况下,此端口是 TCP 端口 50636。 |
产品 ID |
边缘传输服务器的许可信息。为边缘传输服务器订阅了 Active Directory 之后,边缘传输服务器的许可信息将显示在 Exchange 组织的 Exchange 管理控制台中。必须在创建边缘订阅之前获得边缘传输服务器的使用许可,此信息才能正确地显示。 |
.gif "important") 要点: |
|---|
| ESBRA 凭据以明文形式被写入边缘订阅文件。必须在整个订阅进程中保护此文件。将边缘订阅文件导入集线器传输服务器之后,应立即将边缘订阅文件从边缘传输服务器、集线器传输服务器以及任何可移动媒体上删除。 |
EdgeSync 复制帐户
EdgeSync 复制帐户 (ESRA) 是 EdgeSync 安全性的重要组成部分。ESRA 的身份验证和授权机制可以帮助保护边缘传输服务器与集线器传输服务器之间的连接。
边缘订阅文件中包含的 ESBRA 用于在初次同步期间建立安全 LDAP 连接。将边缘订阅文件导入要为边缘传输服务器订阅的 Active Directory 站点中的集线器传输服务器之后,在 Active Directory 中为每个边缘传输服务器/集线器传输服务器对创建其他 ESRA 帐户。在初次同步期间,新建的 ESRA 凭据会被复制到 ADAM。这些 ESRA 凭据可以帮助保护以后的同步会话。
为每个 EdgeSync 复制帐户指定下表中所述的属性。
Ms-Exch-EdgeSyncCredential 属性
| 属性名 | 类型 | 说明 |
|---|---|---|
TargetServerFQDN |
字符串 |
将接受这些凭据的边缘传输服务器。 |
SourceServerFQDN |
字符串 |
将提供这些凭据的集线器传输服务器。如果凭据是 bootstrap 凭据,则此值为空。 |
EffectiveTime |
日期时间 (UTC) |
此凭据的生效时间。 |
ExpirationTime |
日期时间 (UTC) |
此凭据的过期时间。 |
UserName |
字符串 |
用于进行身份验证的用户名。 |
Password |
字节 |
用于进行身份验证的密码。该密码使用 ms-Exch-EdgeSync-Certificate 进行加密。 |
本主题的下列各节介绍如何在 EdgeSync 同步进程中设置和使用 ESRA 凭据。
设置 EdgeSync Bootstrap 复制帐户
在边缘传输服务器上运行 New-EdgeSubscription cmdlet 时,ESBRA 的设置如下所述:
在边缘传输服务器上创建一个自签名证书 (Edge-Cert)。私钥存储在本地计算机存储中,公钥被写入边缘订阅文件。
在 ADAM 中创建 ESBRA (ESRA.Edge),凭据被写入边缘订阅文件。
将边缘订阅文件复制到可移动媒体上,以导出该文件。现在,该文件可以导入集线器传输服务器。
在 Active Directory 中设置 EdgeSync 复制帐户
在集线器传输服务器上导入边缘订阅文件时,会通过下列步骤在 Active Directory 中建立边缘订阅记录并提供其他 ESRA 凭据。
在 Active Directory 中创建一个边缘传输服务器配置对象。Edge-Cert 证书被作为属性写入此对象。
订阅的 Active Directory 站点中的每个集线器传输服务器都会收到一条 Active Directory 通知,表明新边缘订阅已注册。每个集线器传输服务器在收到通知后,会立即检索 ESRA.Edge 帐户并使用 Edge-Cert 公钥为该帐户加密。加密后的 ESRA.Edge 帐户将被写入边缘传输服务器配置对象。
每个集线器传输服务器都会创建自签名证书 (Hub-Cert)。私钥存储在本地计算机存储中,公钥存储在 Active Directory 的集线器传输服务器配置对象中。
每个集线器传输服务器使用自己的 Hub-Cert 证书的公钥为 ESRA.Edge 帐户加密,然后将其存储在自己的配置对象中。
每个集线器传输服务器为 Active Directory 中的每个现有边缘传输服务器配置对象生成一个 ESRA (ESRA.Hub.Edge)。使用以下命名约定生成帐户名:
ESRA.<集线器传输服务器的 NetBIOS 名称>.<边缘传输服务器的 NetBIOS 名称>.<生效日期 UTC 时间>
ESRA.Hub.Edge 的密码通过随机数字生成器生成,并使用 Hub-Cert 证书的公钥进行加密。生成的密码为 Microsoft Windows Server 允许的最大长度。
每个 ESRA.Hub.Edge 帐户使用 Edge-Cert 证书的公钥进行加密,并存储在 Active Directory 的边缘传输服务器配置对象中。
本主题的下列各节介绍如何在 EdgeSync 同步进程中使用这些帐户。
对初次复制进行身份验证
ESBRA 帐户 ESRA.Edge 只在建立初次同步会话时使用。在初次 EdgeSync 同步会话期间,其他 ESRA 帐户 ESRA.Hub.Edge 将被复制到 ADAM。这些帐户用于对以后的 EdgeSync 同步会话进行身份验证。
执行初次复制的集线器传输服务器是随机确定的。Active Directory 站点中第一个执行拓扑扫描并发现新边缘订阅的集线器传输服务器将执行初次复制。由于此发现基于拓扑扫描的时间设置,所以,该站点中的任何集线器传输服务器都可能会执行初次复制。
Microsoft Exchange EdgeSync 服务启动从集线器传输服务器到边缘传输服务器的安全 LDAP 会话。边缘传输服务器提供其自签名证书,集线器传输服务器验证该证书与 Active Directory 的边缘传输服务器配置对象中存储的证书是否匹配。验证了边缘传输服务器的身份之后,集线器传输服务器向边缘传输服务器提供 ESRA.Edge 帐户的凭据。边缘传输服务器根据 ADAM 中存储的帐户来验证凭据。
然后,集线器传输服务器上的 Microsoft Exchange EdgeSync 服务将拓扑、配置和收件人数据从 Active Directory 推送到 ADAM。对 Active Directory 中的边缘传输服务器配置对象所做的更改将被复制到 ADAM。ADAM 接收新添加的 ESRA.Hub.Edge 项,而边缘凭据服务创建相应的 ADAM 帐户。现在,可以使用这些帐户对以后计划的 EdgeSync 同步会话进行身份验证。
边缘凭据服务
边缘凭据服务是边缘订阅进程的一部分。此服务只在边缘传输服务器上运行。此服务在 ADAM 中创建互补的 ESRA 帐户,使集线器传输服务器可以对边缘传输服务器进行身份验证,以便执行 EdgeSync 同步。Microsoft Exchange EdgeSync 服务不会直接与边缘凭据服务进行通信。边缘凭据服务与 ADAM 进行通信,并且只要集线器传输服务器更新了 ESRA 凭据,就立即进行安装。
对计划的同步会话进行身份验证
初次 EdgeSync 同步完成后,将制订 EdgeSync 同步计划,在 ADAM 中定期更新 Active Directory 中已更改的数据。集线器传输服务器与边缘传输服务器上的 ADAM 实例建立安全 LDAP 会话。ADAM 通过提供其自签名证书,向该集线器传输服务器证明其身份。集线器传输服务器向 ADAM 提供其 ESRA.Hub.Edge 凭据。ESRA.Hub.Edge 密码使用集线器传输服务器的自签名证书的公钥进行加密。这意味着只有这个特定的集线器传输服务器可以使用这些凭据对 ADAM 进行身份验证。
续订 EdgeSync 复制帐户
ESRA 帐户的密码必须符合本地服务器的密码策略。为了避免密码续订进程造成暂时的身份验证失败,请在第一个 ESRA.Hub.Edge 帐户过期前七天创建另一个 ESRA.Hub.Edge 帐户,其生效时间在第一个 ESRA 过期时间之前的三天。只要第二个 ESRA 帐户生效,EdgeSync 就会停止使用第一个帐户,并开始使用第二个帐户。到达第一个帐户的过期时间时,将删除这些 ESRA 凭据。此续订进程将继续进行,直到删除了边缘订阅。
详细信息
有关详细信息,请参阅下列主题: