Descripción de las credenciales de suscripciones perimetrales
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2015-03-09
En este tema se explica el modo en que el proceso de suscripción perimetral especifica las credenciales utilizadas para proteger el proceso de sincronización de EdgeSync de Microsoft Exchange Server 2010 y cómo el servicio EdgeSync de Microsoft Exchange usa dichas credenciales para establecer una conexión LDAP segura entre un servidor de transporte de concentradores y un servidor de transporte perimetral. Para obtener más información acerca de las suscripciones perimetrales, consulte Descripción de las suscripciones perimetrales.
¿Está buscando tareas de administración relacionadas con la administración de servidores de transporte? Consulte Administración de servidores de transporte.
Contenido
Proceso de suscripción perimetral
Cuentas de replicación de EdgeSync
Autenticación de replicación inicial
Autenticación de sesiones de sincronización programadas
Renovación de cuentas de replicación de EdgeSync
Proceso de suscripción perimetral
El servidor de transporte perimetral se suscribe a un sitio Active Directory para establecer una relación de sincronización entre los servidores de transporte perimetral de un sitio Active Directory y el servidor de transporte perimetral suscrito. Las credenciales que se establecen en el proceso de suscripción perimetral se usan para proteger la conexión LDAP entre un servidor de transporte perimetral y un servidor de transporte perimetral de la red perimetral.
Cuando se ejecuta el cmdlet New-EdgeSubscription en el Shell de administración de Exchange de un servidor de transporte perimetral, las credenciales de la cuenta de replicación de inicio de EdgeSync (ESBRA) se crean en el directorio de Active Directory Lightweight Directory Services (AD LDS) del servidor local y, a continuación, se escriben en el archivo de suscripción perimetral. Dichas credenciales únicamente se usan para establecer la sincronización inicial y caducan 1.440 minutos (24 horas) después de haberse creado el archivo de suscripción perimetral. Si el proceso de suscripción perimetral no ha finalizado en ese plazo de tiempo, vuelva a ejecutar el cmdlet New-EdgeSubscription en el Shell del servidor de transporte perimetral para crear un nuevo archivo de suscripción perimetral.
En la siguiente tabla se describen los datos contenidos en el archivo XML de suscripción perimetral.
Contenidos del archivo de suscripción perimetral
| Datos de suscripción | Descripción |
|---|---|
Nombre del servidor perimetral |
Nombre NetBIOS del servidor de transporte perimetral. El nombre de la suscripción perimetral de Active Directory coincidirá con este nombre. |
FQDN del servidor perimetral |
El nombre completo de dominio (FQDN) del servidor de transporte perimetral. Los servidores de transporte de concentradores del sitio de Active Directory suscrito deben poder localizar el servidor de transporte perimetral mediante el Sistema de nombres de dominio (DNS) para resolver el FQDN. |
Blob del certificado perimetral |
La clave pública del certificado autofirmado del servidor de transporte perimetral. |
Nombre de usuario de ESRA |
El nombre asignado a la ESBRA. La cuenta ESBRA tiene el siguiente formato: ESRA.Nombre del servidor de transporte perimetral. ESRA (del inglés EdgeSync replication account) significa cuenta de replicación de EdgeSync. |
Contraseña de ESRA |
La contraseña asignada a la ESBRA. La contraseña se genera mediante un generador de número aleatorio y se almacena en el archivo de suscripción perimetral como texto no cifrado. |
Fecha de vigencia |
Fecha de creación del archivo de suscripción perimetral. |
Duración |
Periodo de tiempo en que estas credenciales permanecerán vigentes. La cuenta ESBRA solo es válida durante un periodo de 24 horas. |
Puerto SSL de AD/AM |
El puerto LDAP seguro al que enlaza el servicio EdgeSync cuando se sincronizan datos desde Active Directory a AD LDS. De manera predeterminada, es el puerto TCP 50636. |
Id. del producto |
La información de licencias del servidor de transporte perimetral. Una vez que el servidor de transporte perimetral está suscrito a Active Directory, su información de licencias se muestra en la Consola de administración de Exchange de la organización Exchange. Para que esta información se muestre correctamente, debe obtener licencia para el servidor de transporte perimetral antes de crear la suscripción perimetral. |
Número de versión |
Número de versión del archivo de suscripción perimetral. |
Número de serie |
La versión de Exchange Server que está instalada en el servidor de transporte perimetral. |
Importante
Las credenciales ESBRA se escriben en el archivo de suscripción perimetral como texto no cifrado. Debe proteger este archivo durante todo el proceso de suscripción. Después de que el archivo de suscripción perimetral se importa a su organización de Exchange, debe eliminar de inmediato el archivo de suscripción perimetral del servidor de transporte perimetral, el recurso compartido de red que usó para importar el archivo a su organización de Exchange y todos los medios extraíbles.
Volver al principio
Cuentas de replicación de EdgeSync
Las cuentas de replicación de EdgeSync (ESRA) son una parte importante de la seguridad de EdgeSync. La autenticación y autorización de ESRA son los mecanismos que se emplean para proteger la conexión entre un servidor de transporte perimetral y un servidor de transporte perimetral.
La ESBRA que contiene el archivo de suscripción perimetral se usa para establecer una conexión LDAP segura durante la sincronización inicial. Después de importar el archivo de suscripción perimetral a un servidor de transporte de concentradores del sitio de Active Directory al que se está suscribiendo el servidor de transporte perimetral, se crean cuentas ESRA adicionales en Active Directory para cada par de servidores de transporte conformado por un servidor de concentradores y un servidor perimetral. Durante la sincronización inicial, las credenciales ESRA que se acaban de crear se replican en AD LDS. Dichas credenciales ESRA se usan para la protección en sesiones de sincronización posteriores.
A cada cuenta de replicación de EdgeSync se le asignan las propiedades que se describen en la tabla siguiente.
Propiedades de Ms-Exch-EdgeSyncCredential
| Nombre de la propiedad | Tipo | Descripción |
|---|---|---|
TargetServerFQDN |
Cadena |
El servidor de transporte perimetral que aceptará estas credenciales. |
SourceServerFQDN |
Cadena |
El servidor de transporte perimetral que aceptará estas credenciales. Este valor está vacío si se trata de la credencial de inicio. |
EffectiveTime |
DateTime (UTC) |
Cuándo empezar a usar esta credencial. |
ExpirationTime |
DateTime (UTC) |
Cuándo dejar de usar esta credencial. |
UserName |
Cadena |
El nombre de usuario que se usa para la autenticación. |
Password |
Byte |
La contraseña que se usa para la autenticación. La contraseña se cifra mediante ms-Exch-EdgeSync-Certificate. |
Las siguientes secciones de este tema describen el modo en que se especifican las credenciales ESRA durante el proceso de sincronización de EdgeSync.
Especificación de la cuenta de replicación de inicio de EdgeSync
Cuando el cmdlet New-EdgeSubscription se ejecuta en el servidor de transporte perimetral, la ESBRA se especifica de la siguiente manera:
Se crea un certificado autofirmado (Edge-Cert) en el servidor de transporte perimetral. La clave privada se almacena en el almacén del equipo local y la clave pública se escribe en el archivo de suscripción perimetral.
Se crea ESBRA (ESRA.Edge) en AD LDS y se escriben las credenciales en el archivo de suscripción perimetral.
El archivo de suscripción perimetral se exporta mediante su copia en un medio extraíble. El archivo está ahora preparado para importarse a un servidor de transporte perimetral.
Especificación de la cuenta de replicación de EdgeSync en Active Directory
Cuando el archivo de suscripción perimetral se importa a un servidor de transporte perimetral, se realizan los siguientes pasos para establecer un registro de la suscripción perimetral en Active Directory y para especificar credenciales ESRA adicionales.
Se crea un objeto de configuración del servidor de transporte perimetral en Active Directory. El certificado Edge-Cert se escribe en dicho objeto como un atributo.
Todos los servidores de transporte perimetral del sitio Active Directory suscrito reciben una notificación de Active Directory que informa de que se ha registrado una nueva suscripción perimetral. En cuanto se recibe dicha notificación, cada servidor de transporte perimetral recupera la cuenta ESRA.Edge y la cifra mediante la clave pública Edge-Cert. La cuenta ESRA.Edge cifrada se escribe en el objeto de configuración del servidor de transporte perimetral.
Cada servidor de transporte perimetral crea un certificado autofirmado (Hub-Cert). La clave privada se almacena en el almacén del equipo local y la clave pública se almacena en el objeto de configuración del servidor de transporte perimetral de Active Directory.
Cada servidor de transporte de concentradores cifra la cuenta ESRA.Edge mediante la clave pública de su propio certificado Hub-Cert y, a continuación, la almacena en su propio objeto de configuración.
Cada servidor de transporte perimetral genera una ESRA para cada uno de los objetos de configuración de transporte perimetral de Active Directory (ESRA.Hub.Edge). El nombre de la cuenta se genera mediante la siguiente convención de nomenclatura:
ESRA.<Nombre NetBIOS del servidor de transporte de concentradores>.<Nombre NetBIOS del servidor de transporte perimetral>.<Hora UTC de fecha de vigencia>
Ejemplo: ESRA.Hub.Edge.01032010
La contraseña para ESRA.Hub.Edge se genera mediante un generador de número aleatorio y se cifra mediante la clave pública del certificado Hub-Cert. La contraseña que se genera tiene la longitud máxima permitida por Microsoft Windows Server.
Cada cuenta ESRA.Hub.Edge se cifra mediante la clave pública del certificado Edge-Cert y se almacena en el objeto de configuración del servidor de transporte perimetral de Active Directory.
En las siguientes secciones de este tema se explica cómo se usan estas cuentas durante el proceso de sincronización de EdgeSync.
Volver al principio
Autenticación de replicación inicial
La cuenta ESBRA, ESRA.Edge, se usa únicamente cuando se establece la sesión inicial de sincronización. Durante la primera sesión de sincronización de EdgeSync, las cuentas de ESRA adicionales, ESRA.Hub.Edge, se replican en AD LDS. Estas cuentas se usan para autenticar sesiones de sincronización de EdgeSync posteriores.
El servidor de transporte perimetral que lleva a cabo la replicación inicial se determina de manera aleatoria. El primer servidor de transporte perimetral del sitio Active Directory que realiza una detección de la topología y descubre la nueva suscripción perimetral lleva a cabo la replicación inicial. Como dicho descubrimiento se basa en el tiempo de la detección de la topología, cualquier servidor de transporte perimetral del sitio puede realizar la replicación inicial.
El servicio EdgeSync de Microsoft Exchange inicia una sesión LDAP segura desde el servidor de transporte perimetral al servidor de transporte perimetral. El servidor de transporte perimetral presenta su certificado autofirmado y el servidor de transporte de concentradores comprueba que dicho certificado coincide con el que está almacenado en el objeto de configuración del servidor de transporte perimetral de Active Directory. Una vez comprobada la identidad del servidor de transporte perimetral, el servidor de transporte perimetral proporciona las credenciales de la cuenta ESRA.Edge al servidor de transporte perimetral. El servidor de transporte perimetral comprueba las credenciales en la cuenta almacenada en AD LDS.
Después, el servicio EdgeSync de Microsoft Exchange del servidor de transporte de concentradores envía la topología, la configuración y los datos de destinatarios desde Active Directory a AD LDS. El cambio en el objeto de configuración del servidor de transporte perimetral de Active Directory se replica en AD LDS. AD LDS recibe el las entradas ESRA.Hub.Edge recién agregadas y el Servicio de credenciales de Microsoft Exchange crea la cuenta AD LDS correspondiente. Estas cuentas están ya disponibles para autenticar sesiones programadas de sincronización de EdgeSync posteriores.
Servicio de credenciales de Microsoft Exchange
El Servicio de credenciales de Microsoft Exchange forma parte de proceso de suscripción perimetral. Únicamente se ejecuta en el servidor de transporte perimetral. Este servicio crea las cuentas ESRA recíprocas de AD LDS para que un servidor de transporte de concentradores pueda autenticarse en un servidor de transporte perimetral a fin de realizar la sincronización de EdgeSync. El servicio EdgeSync de Microsoft Exchange no se comunica directamente con el Servicio de credenciales de Microsoft Exchange. El Servicio de credenciales de Microsoft Exchange se comunica con AD LDS e instala las credenciales ESRA cuando el servidor de transporte de concentradores las actualiza.
Volver al principio
Autenticación de sesiones de sincronización programadas
Cuando termina la sincronización de EdgeSync inicial, se establece la programación para la sincronización de EdgeSync, y los datos que han cambiado en Active Directory se actualizan de manera periódica en AD LDS. Un servidor de transporte de concentradores inicia una sesión LDAP segura con la instancia AD LDS del servidor de transporte perimetral. AD LDS demuestra su identidad ante este servidor de transporte de concentradores presentándole su certificado autofirmado. El servidor de transporte de concentradores presenta sus credenciales ESRA.Hub.Edge a AD LDS. La contraseña de ESRA.Hub.Edge se cifra mediante la clave pública del certificado autofirmado del servidor de transporte perimetral. Esto significa que únicamente este servidor de transporte de concentradores en particular puede usar dichas credenciales para autenticar en AD LDS.
Volver al principio
Renovación de cuentas de replicación de EdgeSync
La contraseña de la cuenta ESRA debe ajustarse a la directiva de contraseñas del servidor local. Para evitar que el proceso de renovación de contraseñas produzca errores temporales de autenticación, se crea una segunda cuenta ESRA.Hub.Edge siete días antes de que expire la primera cuenta de ESRA.Hub.Edge. Dicha segunda cuenta entra en vigencia tres días antes de que caduque la primera cuenta ESRA. En cuanto entra en vigor la segunda cuenta ESRA, EdgeSync deja de usar la primera cuenta e inicia el uso de la segunda. Cuando caduca la primera cuenta, las credenciales de la ESRA se eliminan. El proceso de renovación continúa hasta que la suscripción perimetral se quita.
Volver al principio
© 2010 Microsoft Corporation. Reservados todos los derechos.