Présentation des informations d'identification d'abonnement Edge
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2015-03-09
Cette rubrique décrit la configuration par le processus d’abonnement Edge des informations d’identification utilisées pour renforcer la sécurité du processus de synchronisation EdgeSync dans Microsoft Exchange Server 2010, ainsi que l’utilisation par le service EdgeSync Microsoft Exchange de ces informations d’identification pour établir une connexion LDAP sécurisée entre un serveur de transport Edge et un serveur de transport Hub. Pour plus d’informations sur le processus des abonnements Edge, consultez la rubrique Présentation des abonnements Edge.
Souhaitez-vous rechercher les tâches de gestion relatives à la gestion des serveurs de transport ? Consultez la rubrique Gestion des serveurs de transport.
Contenu de cette rubrique
Processus d’abonnement Edge
Comptes de réplication EdgeSync
Réplication initiale de l’authentification
Authentification des sessions de synchronisation planifiées
Renouvellement des comptes de réplication EdgeSync
Processus d’abonnement Edge
Le serveur de transport Edge est abonné à un site Active Directory pour établir une relation de synchronisation entre les serveurs de transport Hub d’un site Active Directory et le serveur de transport Edge abonné. Les informations d’identification configurées lors du processus d’abonnement Edge servent à renforcer la sécurité de la connexion LDAP entre un serveur de transport Hub et un serveur de transport Edge dans le réseau de périmètre.
Lorsque vous exécutez la cmdlet New-EdgeSubscription dans l’environnement de ligne de commande Exchange Management Shell sur un serveur de transport Edge, les informations d’identification du compte de réplication d’amorçage EdgeSync (ESBRA) sont créées dans l’annuaire AD LDS (Active Directory Lightweight Directory Services) sur le serveur local puis écrites dans le fichier d’abonnement Edge. Ces informations d’identification permettent uniquement d’établir la synchronisation initiale et expirent 1 440 minutes (24 heures) après la création du fichier d’abonnement Edge. Passé ce délai, vous devez de nouveau exécuter la cmdlet New-EdgeSubscription dans l’environnement de ligne de commande Exchange Management Shell sur le serveur de transport Edge pour créer un fichier d’abonnement Edge.
Le tableau suivant décrit les données contenues dans le fichier XML d’abonnement Edge.
Contenu du fichier d’abonnement Edge
| Données d’abonnement | Description |
|---|---|
EdgeServerName |
Nom NetBIOS du serveur de transport Edge. Le nom de l’abonnement Edge dans Active Directory correspond à ce nom. |
EdgeServerFQDN |
Nom de domaine complet (FQDN) du serveur de transport Edge. Les serveurs de transport Hub dans le site Active Directory abonné doivent pouvoir localiser le serveur de transport Edge via DNS (Domain Name System) pour résoudre le FQDN. |
EdgeCertificateBlob |
Clé publique du certificat auto-signé du serveur de transport Edge. |
ESRAUsername |
Nom attribué au compte ESBRA. Le format du compte ESBRA est le suivant : ESRA.Nom du serveur de transport Edge. ESRA signifie « compte de réplication EdgeSync ». |
ESRAPassword |
Mot de passe attribué au compte ESBRA. Le mot de passe est créé via un générateur de nombres aléatoires et stocké dans le fichier d’abonnement Edge en texte clair. |
DateEffet |
Date de création du fichier d’abonnement Edge. |
Durée |
Durée de validité de ces informations d’identification avant leur expiration. Le compte ESBRA est uniquement valide pendant 24 heures. |
AdamSslPort |
Port LDAP sécurisé auquel le service EdgeSync est lié lors de la synchronisation des données d’Active Directory vers AD LDS. Par défaut, il s’agit du port TCP 50636. |
ProductID |
Informations de licence du serveur de transport Edge. Une fois un serveur de transport Edge abonné à Active Directory, les informations de licence sur le serveur de transport Edge sont affichées dans la console de gestion Exchange de l’organisation Exchange. Vous devez faire l’acquisition d’une licence pour le serveur de transport Edge avant de créer l’abonnement Edge pour que ces informations s’affichent correctement. |
VersionNumber |
Numéro de version du fichier d’abonnement Edge. |
SerialNumber |
Version d’Exchange Server installée sur le serveur de transport Edge. |
.gif "Important") Important : |
|---|
| Les informations d’identification du compte ESBRA sont écrites dans le fichier d’abonnement Edge en texte clair. Vous devez protéger ce fichier tout au long du processus d’abonnement. Après l’importation du fichier d’abonnement Edge sur votre organisation Exchange, vous devez immédiatement supprimer le fichier d’abonnement Edge du serveur de transport Edge, du partage réseau que vous avez utilisé pour importer le fichier dans votre organisation Exchange et des supports amovibles. |
Retour au début
Comptes de réplication EdgeSync
Les comptes de réplication EdgeSync (ESRA) constituent un élément important de la sécurité EdgeSync. L’authentification et l’autorisation du compte ESRA correspondent au mécanisme permettant de sécuriser la connexion entre un serveur de transport Edge et un serveur de transport Hub.
Le compte ESBRA contenu dans le fichier d’abonnement Edge permet d’établir une connexion LDAP sécurisée lors de la synchronisation initiale. Une fois le fichier d’abonnement Edge importé sur un serveur de transport Hub dans le site Active Directory auquel le serveur de transport Edge est abonné, des comptes ESRA supplémentaires sont créés dans Active Directory pour chaque paire de serveur de transport Hub - serveur de transport Edge. Lors de la synchronisation initiale, les informations d’identification du compte ESRA nouvellement créées sont répliquées dans AD LDS. Ces informations d’identification du compte ESRA permettent de renforcer les sessions de synchronisation ultérieures.
Les propriétés décrites dans le tableau suivant sont affectées à chaque compte de réplication EdgeSync.
Propriétés Ms-Exch-EdgeSyncCredential
| Nom de propriété | Type | Description |
|---|---|---|
TargetServerFQDN |
Chaîne |
Serveur de transport Edge qui acceptera ces informations d’identification. |
SourceServerFQDN |
Chaîne |
Serveur de transport Hub qui présentera ces informations d’identification. Cette valeur est vide si les informations d’identification correspondent aux informations d’identification du compte d’amorçage. |
EffectiveTime |
DateTime (UTC) |
Heure de début d’utilisation de ces informations d’identification. |
ExpirationTime |
DateTime (UTC) |
Heure d’expiration de ces informations d’identification. |
UserName |
Chaîne |
Nom d’utilisateur utilisé pour l’authentification. |
Password |
Octet |
Mot de passe utilisé pour l’authentification. Le mot de passe est chiffré à l’aide de ms-Exch-EdgeSync-Certificate. |
Les sections suivantes de cette rubrique décrivent la manière dont les informations d’identification ESRA sont configurées et utilisées lors du processus de synchronisation EdgeSync.
Configuration du compte de réplication d’amorçage EdgeSync
Lorsque la cmdlet New-EdgeSubscription est exécutée sur le serveur de transport Edge, le compte ESBRA est configuré comme suit :
Un certificat auto-signé (Edge-Cert) est créé sur le serveur de transport Edge. La clé privée est stockée dans le magasin de l’ordinateur local et écrite dans le fichier d’abonnement Edge.
Le compte ESBRA (ESRA.Edge) est créé dans AD LDS et les informations d’identification sont écrites dans le fichier d’abonnement Edge.
Le fichier d’abonnement Edge est exporté par copie sur un support amovible. Le fichier peut désormais être importé sur un serveur de transport Hub.
Configuration des comptes de réplication EdgeSync dans Active Directory
Lorsque le fichier d’abonnement Edge est importé sur un serveur de transport Hub, la création d’un enregistrement de l’abonnement Edge dans Active Directory et la configuration d’informations d’identification du compte ESRA supplémentaires sont effectuées selon les étapes suivantes.
Un objet de configuration du serveur de transport Edge est créé dans Active Directory. Le certificat Edge-Cert est écrit sur cet objet en tant qu’attribut.
Chaque serveur de transport Hub dans le site Active Directory abonné reçoit une notification Active Directory relative à l’enregistrement d’un nouvel abonnement Edge. À réception de la notification, chaque serveur de transport Hub récupère le compte ESRA.Edge et chiffre le compte à l’aide de la clé publique Edge-Cert. Le compte ESRA.Edge chiffré est écrit sur l’objet de configuration du serveur de transport Edge.
Chaque serveur de transport Hub crée un certificat auto-signé (Hub-Cert). La clé privée est stockée dans le magasin de l’ordinateur local et la clé publique est stockée dans l’objet de configuration du serveur de transport Hub dans Active Directory.
Chaque serveur de transport Hub chiffre le compte ESRA.Edge à l’aide de la clé publique de son propre certificat Hub-Cert, puis le stocke sur son propre objet de configuration.
Chaque serveur de transport Hub génère un compte ESRA pour chaque objet de configuration du serveur de transport Edge existant dans Active Directory (ESRA.Hub.Edge). Le nom de compte est généré selon la convention d’appellation suivante :
ESRA.<Nom NetBIOS du serveur de transport Hub>.<Nom NetBIOS du serveur de transport Edge>.<Date-heure UTC effective>
Exemple : ESRA.Hub.Edge.01032010
Le mot de passe ESRA.Hub.Edge est créé par un générateur de nombres aléatoires et chiffré à l’aide de la clé publique du certificat Hub-Cert. Le mot de passe généré a la longueur maximale autorisée pour Microsoft Windows Server.
Chaque compte ESRA.Hub.Edge est chiffré à l’aide de la clé publique du certificat Edge-Cert et stocké sur l’objet de configuration du serveur de transport Edge dans Active Directory.
Les sections suivantes de cette rubrique décrivent l’utilisation de ces comptes lors du processus de synchronisation EdgeSync.
Retour au début
Réplication initiale de l’authentification
Le compte ESBRA, ESRA.Edge, est utilisé lors de l’établissement de la session de synchronisation initiale uniquement. Lors de la première session de synchronisation EdgeSync, les comptes ESRA supplémentaires, ESRA.Hub.Edge, sont répliqués vers AD LDS. Ces comptes permettent d’identifier ultérieurement les sessions de synchronisation EdgeSync.
Le serveur de transport Hub chargé d’effectuer la réplication initiale est sélectionné de manière aléatoire. Le premier serveur de transport Hub dans le site Active Directory qui effectue une analyse de la topologie et découvre le nouvel abonnement Edge effectue la réplication initiale. Comme cette découverte est basée sur la durée de l’analyse de la topologie, n’importe quel serveur de transport Hub dans le site peut effectuer la réplication initiale.
Le service EdgeSync de Microsoft Exchange démarre une session LDAP sécurisée du serveur de transport Hub vers le serveur de transport Edge. Le serveur de transport Edge présente son certificat auto-signé et le serveur de transport Hub vérifie que le certificat correspond au certificat stocké dans l’objet de configuration du serveur de transport Edge dans Active Directory. Une fois l’identité du serveur de transport Edge vérifiée, le serveur de transport Hub fournit les informations d’identification du compte ESRA.Edge au serveur de transport Edge. Le serveur de transport Edge vérifie les informations d’identification par rapport au compte stocké dans AD LDS.
Le service EdgeSync de Microsoft Exchange sur le serveur de transport Hub transfère ensuite les données de configuration, de topologie et de destinataire d’Active Directory vers AD LDS. La modification de l’objet de configuration du serveur de transport Edge dans Active Directory est répliquée dans AD LDS. AD LDS reçoit les entrées ESRA.Hub.Edge nouvellement ajoutées et le service d’informations d’identification Microsoft Exchange crée le compte AD LDS correspondant. Ces comptes sont désormais disponibles pour authentifier les sessions de synchronisation EdgeSync planifiées ultérieurement.
Service d’identification Microsoft Exchange
Le service d’informations d’identification Microsoft Exchange fait partie du processus d’abonnement Edge. Il s’exécute uniquement sur le serveur de transport Edge. Ce service crée les comptes ESRA réciproques dans AD LDS de sorte qu’un serveur de transport Hub peut s’authentifier auprès d’un serveur de transport Edge pour effectuer la synchronisation EdgeSync. Le service EdgeSync de Microsoft Exchange ne communique pas directement avec le service d’informations d’identification Microsoft Exchange. Le service d’informations d’identification Microsoft Exchange communique avec AD LDS et installe les informations d’identification du compte ESRA lorsque le serveur de transport Hub les met à jour.
Retour au début
Authentification des sessions de synchronisation planifiées
Une fois la synchronisation EdgeSync initiale terminée, la planification de la synchronisation EdgeSync est établie et les données modifiées dans Active Directory sont régulièrement mises à jour dans AD LDS. Un serveur de transport Hub démarre une session LDAP sécurisée avec l’instance AD LDS sur le serveur de transport Edge. AD LDS prouve son identité auprès de ce serveur de transport Hub en présentant son certificat auto-signé. Le serveur de transport Hub présente ses informations d’identification ESRA.Hub.Edge à AD LDS. Le mot de passe ESRA.Hub.Edge est chiffré à l’aide de la clé publique du certificat auto-signé du serveur de transport Hub. Cela signifie que seul ce serveur de transport Hub peut utiliser ces informations d’identification pour s’authentifier auprès d’AD LDS.
Retour au début
Renouvellement des comptes de réplication EdgeSync
Le mot de passe du compte ESRA doit être conforme à la stratégie de mot de passe du serveur local. Pour empêcher le processus de renouvellement du mot de passe de provoquer un échec d’authentification temporaire, un deuxième compte ESRA.Hub.Edge est créé sept jours avant l’expiration du premier compte ESRA.Hub.Edge avec une date effective de trois jours avant la date d’expiration du premier compte ESRA. Dès que le deuxième compte ESRA devient effectif, le service EdgeSync cesse d’utiliser le premier compte et commence à utiliser le deuxième compte. Lorsque le délai d’expiration du premier compte est atteint, ces informations d’identification du compte ESRA sont supprimées. Ce processus de renouvellement se poursuit jusqu’à la suppression de l’abonnement Edge.
Retour au début
© 2010 Microsoft Corporation. Tous droits réservés.