Edge-Abonnementanmeldeinformationen

Gilt für: Exchange Server 2013

In diesem Thema wird erläutert, wie der Edge-Abonnementprozess Anmeldeinformationen bereitstellt, die zum Schützen des EdgeSync-Synchronisierungsprozesses verwendet werden, und wie EdgeSync diese Anmeldeinformationen verwendet, um eine sichere LDAP-Verbindung zwischen einem Exchange 2013-Postfachserver und einem Edge-Transport-Server herzustellen. Weitere Informationen zum Edge-Abonnementprozess finden Sie unter Edge-Abonnements.

Edge-Abonnementprozess

Ein Active Directory-Standort wird von einem Edge-Transport-Server abonniert, um eine Synchronisierungsbeziehung zwischen den Postfachservern an einem Active Directory-Standort und dem abonnierten Edge-Transport-Server einzurichten. Die Anmeldeinformationen, die während des Edge-Abonnementprozesses bereitgestellt werden, werden zum Sichern der LDAP-Verbindung zwischen einem Postfachserver und einem Edge-Transport-Server im Umkreisnetzwerk verwendet.

Wenn Sie das Cmdlet New-EdgeSubscription auf einem Edge-Transport-Server ausführen, werden die ESBRA-Anmeldeinformationen (EdgeSync Bootstrap Replication Account) im AD LDS (Active Directory Lightweight Directory Services)-Verzeichnis auf dem lokalen Server erstellt und dann in die Edge-Abonnementdatei geschrieben. Diese Anmeldeinformationen werden nur zum Einrichten der anfänglichen Synchronisierung verwendet und laufen 24 Stunden nach Erstellung der Edge-Abonnementdatei ab. Wenn der Edge-Abonnementprozess nicht innerhalb von 24 Stunden abgeschlossen ist, müssen Sie das Cmdlet New-EdgeSubscription erneut ausführen, um eine neue Edge-Abonnementdatei zu erstellen. Die Daten des Edge-Abonnements werden in der XML-Datei für das Edge-Abonnement gespeichert.

In der folgenden Tabelle werden die in der XML-Datei für das Edge-Abonnement enthaltenen Daten aufgeführt.

Inhalt der Edge-Abonnementdatei

Abonnementdaten Beschreibung
EdgeServerName Der NetBIOS-Name des Edge-Transport-Servers. Der Active Directory-Name des Edge-Abonnements ist mit diesem Namen identisch.
EdgeServerFQDN Der vollqualifizierte Domänenname (FQDN, Fully Qualified Domain Name) des Edge-Transport-Servers. Die Postfachserver am abonnierten Active Directory-Standort müssen in der Lage sein, den Edge-Transport-Server mithilfe von DNS zum Auflösen des FQDNs zu ermitteln.
EdgeCertificateBlob Der öffentliche Schlüssel des selbstsignierten Zertifikats des Edge-Transport-Servers.
ESRAUsername Der dem ESBRA-Konto zugewiesene Name. Das ESBRA-Konto hat das folgende Format: ESRA. Edge-Transport-Servername. ESRA bedeutet EdgeSync Replication Account (Replikationskonto); beachten Sie den Unterschied zwischen den Abkürzungen ESBRA (EdgeSync Bootstrap Replication Account) und ESRA.
ESRAPassword Das dem ESBRA-Konto zugewiesene Kennwort. Das Kennwort wird mithilfe eines Zufallszahlengenerators generiert und in der Edge-Abonnementdatei als unverschlüsselter Klartext gespeichert.
EffectiveDate Das Erstellungsdatum der Edge-Abonnementdatei.
Gültigkeitsdauer Die Zeitspanne, für die diese Anmeldeinformationen gültig sind, bevor sie ablaufen. Das ESBRA-Konto ist nur 24 Stunden gültig.
AdamSslPort Der sichere LDAP-Port, an den EdgeSync bei der Synchronisation von Daten von Active Directory zu AD LDS gebunden wird. Standardmäßig ist dies der TCP-Port 50636.
Productid Die Lizenzierungsinformationen für den Edge-Transport-Server. Sie müssen den Edge-Transport-Server lizenzieren, bevor Sie das Edge-Abonnement erstellen.
Versionnumber Die Versionsnummer der Edge-Abonnementdatei.
SerialNumber Die Exchange-Version des Edge-Transport-Servers.

Wichtig

Die ESBRA-Anmeldeinformationen werden als unverschlüsselter Klartext in die Edge-Abonnementdatei geschrieben. Diese Datei muss während des gesamten Abonnementprozesses geschützt werden. Nach dem Importieren der Edge-Abonnementdatei in Ihre Exchange-Organisation sollten Sie die Edge-Abonnementdatei sofort vom Edge Transport-Server, aus dem Netzwerkfreigabeordner, den Sie für den Import der Datei in Ihre Exchange-Organisation verwendet haben, und von allen Wechselmedien löschen.

EdgeSync replication accounts

Die EdgeSync-Replikationskonten (ESRA) sind ein wichtiger Teil der EdgeSync-Sicherheit. Die Authentifizierung und Autorisierung der ESRA-Konten ist ein Mechanismus, mit dem die Verbindung zwischen einem Edge-Transport-Server und einem Postfachserver gesichert wird.

Das ESBRA-Konto, das in der Edge-Abonnementdatei enthalten ist, wird während der anfänglichen Synchronisierung zum Herstellen einer sicheren LDAP-Verbindung verwendet. Nachdem die Edge-Abonnementdatei auf einen Postfachserver am Active Directory-Standort importiert wurde, den der Edge-Transport-Server abonniert hat, werden in Active Directory weitere ESRA-Konten für jedes Paar aus Edge-Transport- und Postfachservern erstellt. Während der anfänglichen Synchronisierung werden die neu erstellten ESRA-Anmeldeinformationen nach AD LDS repliziert. Diese ESRA-Anmeldeinformationen sichern spätere Synchronisierungssitzungen.

Jedem EdgeSync-Replikationskonto werden die in der folgenden Tabelle aufgeführten Eigenschaften zugewiesen.

Ms-Exch-EdgeSyncCredential-Eigenschaften

Eigenschaftenname Typ Beschreibung
TargetServerFQDN String Der Edge-Transport-Server, der diese Anmeldeinformationen akzeptiert.
SourceServerFQDN Zeichenfolge Der Postfachserver, der diese Anmeldeinformationen bereitstellt. Dieser Wert ist leer, wenn es sich bei den Anmeldeinformationen um die Bootstrapanmeldeinformationen handelt.
EffectiveTime DateTime (UTC) Datum und Uhrzeit des Gültigkeitsbeginns dieser Anmeldeinformationen.
ExpirationTime DateTime (UTC) Datum und Uhrzeit des Gültigkeitsablaufs dieser Anmeldeinformationen.
UserName Zeichenfolge Der Benutzername, der für die Authentifizierung verwendet wird.
Password Byte Das zur Authentifizierung verwendete Kennwort. Das Kennwort wird mithilfe von ms-Exch-EdgeSync-Certificate verschlüsselt.

In den folgenden Abschnitten wird beschrieben, wie die ESRA-Anmeldeinformationen während des EdgeSync-Synchronisierungsprozesses bereitgestellt und verwendet werden.

Bereitstellen des ESBRA-Kontos (EdgeSync Bootstrap Replication Account)

Wenn das Cmdlet New-EdgeSubscription auf dem Edge-Transport-Server ausgeführt wird, wird das ESBRA-Konto folgendermaßen bereitgestellt:

  • Ein selbstsigniertes Zertifikat ("Edge-Cert") wird auf dem Edge-Transport-Server erstellt. Der private Schlüssel wird im Informationsspeicher des lokalen Computers gespeichert, und der öffentliche Schlüssel wird in die Edge-Abonnementdatei geschrieben.

  • Das ESBRA-Konto wird in AD LDS erstellt, und seine Anmeldeinformationen werden in die Edge-Abonnementdatei geschrieben.

  • Die Edge-Abonnementdatei wird durch Kopieren auf Wechselmedien exportiert. (Da sich der Edge-Server nicht in Ihrem Active Directory befindet, können Sie zum Exportieren der Datei keinen freigegebenen Ordner verwenden.) Die Datei ist nun für den Import auf einen Postfachserver bereit.

Bereitstellen von EdgeSync-Replikationskonten in Active Directory

Wenn die Edge-Abonnementdatei auf einen Postfachserver importiert wird, werden die folgenden Schritte ausgeführt, um einen Datensatz des Edge-Abonnements in Active Directory einzurichten und zusätzliche ESRA-Anmeldeinformationen zur Verfügung zu stellen:

  1. Ein Edge-Transport-Server-Konfigurationsobjekt wird in Active Directory erstellt. Das Zertifikat "Edge-Cert" wird als Attribut in dieses Objekt geschrieben.

  2. Jeder Postfachserver am abonnierten Active Directory-Standort empfängt eine Active Directory-Benachrichtigung, dass das neue Edge-Abonnement registriert wurde. Sobald diese Benachrichtigung empfangen wurde, ruft jeder Postfachserver das ESRA.Edge-Konto ab und verschlüsselt dieses Konto mithilfe des öffentlichen Schlüssels Edge-Cert. Das verschlüsselte ESRA.Edge-Konto wird in das Edge-Transport-Server-Konfigurationsobjekt geschrieben.

  3. Jeder Postfachserver erstellt ein selbstsigniertes Zertifikat (TransportService-Cert). Der private Schlüssel wird im Informationsspeicher des lokalen Computers gespeichert, und der öffentliche Schlüssel wird im Postfachserver-Konfigurationsobjekt in Active Directory gespeichert.

  4. Jeder Postfachserver verschlüsselt das ESRA.Edge-Konto mithilfe des öffentlichen Schlüssels seines eigenen TransportService-Zertifikats und speichert es dann in seinem eigenen Konfigurationsobjekt.

  5. Jeder Postfachserver generiert eine ESRA für jedes vorhandene Edge-Transport-Serverkonfigurationsobjekt in Active Directory (ESRA.edge. Postfachname.#).

    Beispiel: ESRA.Edge.Beispiel.0

    Das Kennwort für ESRA.Edge wird mithilfe eines Zufallszahlengenerators generiert und mithilfe des öffentlichen Schlüssels des Zertifikats TransportService-Cert verschlüsselt. Das generierte Kennwort besitzt die maximale Länge, die für Windows Server zulässig ist.

  6. Jede ESRA.edge. Postfachname.#- Konto wird mit dem öffentlichen Schlüssel des Edge-Cert Zertifikats verschlüsselt und im Edge-Transport-Serverkonfigurationsobjekt in Active Directory gespeichert.

Im folgenden Abschnitt wird erläutert, wie diese Konten während der EdgeSync-Synchronisierung verwendet werden.

Authenticate initial replication

Das erste ESBRA-Konto wird nur zum Einrichten der anfänglichen Synchronisierung verwendet. Während der ersten EdgeSync-Synchronisierung werden die zusätzlichen ESRA-Konten ESRA.edge verwendet. Postfachname.#, werden in AD LDS repliziert. Diese Konten werden zum Authentifizieren nachfolgender EdgeSync-Synchronisierungssitzungen verwendet.

Der Postfachserver, der die anfängliche Replikation durchführt, wird nach dem Zufallsprinzip bestimmt. Der erste Postfachserver am Active Directory-Standort, der einen Topologiescan durchführt und das neue Edge-Abonnement erkennt, führt die anfängliche Replikation durch. Da diese Erkennung auf dem Zeitpunkt des Topologiescans basiert, kann jeder Postfachserver am Standort die anfängliche Replikation durchführen.

EdgeSync initiiert eine sichere LDAP-Sitzung vom Postfachserver zum Edge-Transport-Server. Der Edge-Transport-Server stellt sein selbstsigniertes Zertifikat vor, und der Postfachserver überprüft, ob das Zertifikat mit dem Zertifikat übereinstimmt, das im Edge-Transport-Serverkonfigurationsobjekt in Active Directory gespeichert ist. Nachdem die Identität des Edge-Transport-Servers überprüft wurde, stellt der Postfachserver die Anmeldeinformationen von ESRA.edge bereit. Postfachname.#- Konto für den Edge-Transport-Server. Der Edge-Transport-Server überprüft die Anmeldeinformationen anhand des in AD LDS gespeicherten Kontos.

Der EdgeSync-Dienst auf dem Postfachserver pusht dann die Topologie-, Konfigurations- und Empfängerdaten aus Active Directory an AD LDS. Die Änderung am Edge-Transport-Serverkonfigurationsobjekt in Active Directory wird in AD LDS repliziert. AD LDS empfängt die neu hinzugefügte ESRA.edge. Mailboxname.#- Einträge und der Microsoft Exchange-Anmeldeinformationsdienst erstellt das entsprechende AD LDS-Konto. Diese Konten sind jetzt für die Authentifizierung später geplanter EdgeSync-Synchronisierungssitzungen verfügbar.

Microsoft Exchange-Anmeldeinformationsdienst

Der Microsoft Exchange-Anmeldeinformationsdienst ist Teil des Edge-Abonnementprozesses. Der Anmeldeinformationsdienst wird nur auf dem Edge-Transport-Server ausgeführt. Dieser Dienst erstellt die bidirektionalen ESRA-Konten in AD LDS, damit sich ein Postfachserver bei einem Edge-Transport-Server zum Durchführen der EdgeSync-Synchronisierung authentifizieren kann. EdgeSync kommuniziert nicht direkt mit dem Microsoft Exchange-Anmeldeinformationsdienst. Der Microsoft Exchange-Anmeldeinformationsdienst kommuniziert mit AD LDS und installiert die ESRA-Anmeldeinformationen immer dann, wenn der Postfachserver sie aktualisiert.

Authenticate scheduled synchronization sessions

Nachdem die anfängliche EdgeSync-Synchronisierung abgeschlossen ist, wird der Zeitplan für die EdgeSync-Synchronisierung festgelegt, und Active Directory-Daten, die sich geändert haben, werden regelmäßig in AD LDS aktualisiert. Ein Postfachserver leitet eine sichere LDAP-Sitzung mit der AD LDS-Instanz auf dem Edge-Transport-Server ein. AD LDS beweist diesem Postfachserver seine Identität, indem das selbstsignierte Zertifikat vorgelegt wird. Der Postfachserver legt AD LDS seine ESRA.Edge-Anmeldeinformationen vor. Das ESRA.Edge-Kennwort wird mithilfe des öffentlichen Schlüssels des selbstsignierten Zertifikats des Postfachservers verschlüsselt. Nur dieser bestimmte Postfachserver kann diese Anmeldeinformationen für die Authentifizierung bei AD LDS verwenden

Renew EdgeSync replication accounts

Das Kennwort für das ESRA-Konto muss der Kennwortrichtlinie des lokalen Servers genügen. Um zu verhindern, dass der Kennworterneuerungsprozess zu einem temporären Authentifizierungsfehler führt, wird ein zweites ESRA.Edge-Konto mit einer Gültigkeitsdauer von drei Tagen vor dem Ablaufzeitpunkt des ersten ESRA-Kontos sieben Tage vor Ablauf des ersten ESRA.Edge-Kontos erstellt. Sobald das zweite ESRA.Edge-Konto gültig wird, verwendet EdgeSync das erste Konto nicht mehr und beginnt mit der Verwendung des zweiten Kontos. Wenn der Ablaufzeitpunkt für das erste Konto erreicht wird, werden diese ESRA-Anmeldeinformationen gelöscht. Dieser Erneuerungsprozess wird fortgesetzt, bis das Edge-Abonnement entfernt wird.