Présentation des informations d'identification d'abonnement Edge
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-02-21
Cette rubrique décrit la configuration par le processus d'abonnement Edge des informations d'identification utilisées pour renforcer la sécurité du processus de synchronisation EdgeSync dans Microsoft Exchange Server 2007, ainsi que l'utilisation par le service EdgeSync Microsoft Exchange de ces informations d'identification pour établir une connexion LDAP (Lightweight Directory Access Protocol) sécurisée entre un serveur de transport Edge et un serveur de transport Hub.
Un serveur de transport Edge peut être abonné à un site de service d'annuaire Active Directory. Lorsque vous abonnez le serveur de transport Edge au site Active Directory, vous associez le serveur de transport Edge à l'organisation Exchange. Ce processus réduit les tâches administratives que vous devez effectuer dans le réseau de périmètre en vous permettant d'effectuer la configuration requise sur le rôle serveur de transport Hub, puis d'envoyer ces informations à l'instance du service d'annuaire Active Directory Application Mode (ADAM) sur le serveur de transport Edge. Vous devez créer un abonnement Edge si vous prévoyez d'utiliser les fonctions de blocage de courrier indésirable, d'agrégation de listes fiables ou de recherche de destinataire, ou si vous envisagez de renforcer la sécurité des communications SMTP avec des domaines partenaires via l'utilisation de l'authentification TLS mutuelle.
Pour plus d'informations sur les fonctions requérant la synchronisation de données d'Active Directory vers ADAM, consultez les rubriques suivantes :
Processus d'abonnement Edge
Le serveur de transport Edge est abonné à un site Active Directory pour établir une relation de synchronisation entre les serveurs de transport Hub d'un site Active Directory et le serveur de transport Edge abonné. Le service EdgeSync de Microsoft Exchange est le service de synchronisation de données qui s'exécute sur les serveurs de transport Hub. Ce service effectue une réplication unidirectionnelle des données de configuration et de destinataire d'Active Directory vers l'instance ADAM sur le serveur de transport Edge abonné. Les informations d'identification configurées lors du processus d'abonnement Edge servent à renforcer la sécurité de la connexion LDAP entre un serveur de transport Hub et un serveur de transport Edge dans le réseau de périmètre.
Lorsque vous exécutez la cmdlet New-EdgeSubscription dans l'environnement de ligne de commande Exchange Management Shell sur un serveur de transport Edge, les informations d'identification du compte de réplication d'amorçage EdgeSync (ESBRA) sont créées dans l'annuaire ADAM sur le serveur local puis écrits dans le fichier d'abonnement Edge. Ces informations d'identification permettent uniquement d'établir la synchronisation initiale et expirent 1 440 minutes (24 heures) après la création du fichier d'abonnement Edge. Passé ce délai, vous devez de nouveau exécuter la cmdlet New-EdgeSubscription dans l'environnement de ligne de commande Exchange Management Shell sur le serveur de transport Edge pour créer un fichier d'abonnement Edge.
Le tableau suivant décrit les données contenues dans le fichier XML d'abonnement Edge.
Contenu du fichier d'abonnement Edge
| Données d'abonnement | Description |
|---|---|
Nom du serveur de transport Edge |
Nom NetBIOS du serveur de transport Edge. Le nom de l'abonnement Edge dans Active Directory correspond à ce nom. |
Nom de domaine complet du serveur de transport Edge |
Nom de domaine complet (FQDN) du serveur de transport Edge. Les serveurs de transport Hub dans le site Active Directory abonné doivent pouvoir localiser le serveur de transport Edge via DNS pour résoudre le FQDN. |
Objet blob de certificat Edge |
Clé publique du certificat auto-signé du serveur de transport Edge. |
Nom d'utilisateur du compte ESRA |
Nom attribué au compte ESBRA. Le format du compte ESBRA est le suivant : ESRA.Nom du serveur de transport Edge. ESRA signifie « compte de réplication EdgeSync ». |
Mot de passe du compte ESRA |
Mot de passe attribué au compte ESBRA. Le mot de passe est créé via un générateur de nombres aléatoires et stocké dans le fichier d'abonnement Edge en texte clair. |
Date effective |
Date de création du fichier d'abonnement Edge. |
Durée |
Durée de validité de ces informations d'identification avant leur expiration. Le compte ESBRA est uniquement valide pendant 24 heures. |
Port SSL ADAM |
Port LDAP sécurisé auquel le service EdgeSync est lié lors de la synchronisation des données d'Active Directory vers ADAM. Par défaut, il s'agit du port TCP 50636. |
ID produit |
Informations de licence du serveur de transport Edge. Une fois un serveur de transport Edge abonné à Active Directory, les informations de licence sur le serveur de transport Edge sont affichées dans la console de gestion Exchange de l'organisation Exchange. Vous devez faire l'acquisition d'une licence pour le serveur de transport Edge avant de créer l'abonnement Edge pour que ces informations s'affichent correctement. |
.gif "important") Important : |
|---|
| Les informations d'identification du compte ESBRA sont écrites dans le fichier d'abonnement Edge en texte clair. Vous devez protéger ce fichier tout au long du processus d'abonnement. Après l'importation du fichier d'abonnement Edge sur un serveur de transport Hub, vous devez immédiatement supprimer le fichier d'abonnement Edge du serveur de transport Edge, du serveur de transport Hub et des supports amovibles. |
Comptes de réplication EdgeSync
Les comptes de réplication EdgeSync (ESRA) constituent un élément important de la sécurité EdgeSync. L'authentification et l'autorisation du compte ESRA correspondent au mécanisme permettant de sécuriser la connexion entre un serveur de transport Edge et un serveur de transport Hub.
Le compte ESBRA contenu dans le fichier d'abonnement Edge permet d'établir une connexion LDAP sécurisée lors de la synchronisation initiale. Une fois le fichier d'abonnement Edge importé sur un serveur de transport Hub dans le site Active Directory auquel le serveur de transport Edge est abonné, des comptes ESRA supplémentaires sont créés dans Active Directory pour chaque paire de serveur de transport Hub - serveur de transport Edge. Lors de la synchronisation initiale, les informations d'identification du compte ESRA nouvellement créées sont répliquées dans ADAM. Ces informations d'identification du compte ESRA permettent de renforcer les sessions de synchronisation ultérieures.
Les propriétés décrites dans le tableau suivant sont affectées à chaque compte de réplication EdgeSync.
Propriétés Ms-Exch-EdgeSyncCredential
| Nom de propriété | Type | Description |
|---|---|---|
TargetServerFQDN |
Chaîne |
Serveur de transport Edge qui acceptera ces informations d'identification. |
SourceServerFQDN |
Chaîne |
Serveur de transport Hub qui présentera ces informations d'identification. Cette valeur est vide si les informations d'identification correspondent aux informations d'identification du compte d'amorçage. |
EffectiveTime |
DateTime (UTC) |
Heure de début d'utilisation de ces informations d'identification. |
ExpirationTime |
DateTime (UTC) |
Heure d'expiration de ces informations d'identification. |
UserName |
Chaîne |
Nom d'utilisateur utilisé pour l'authentification. |
Password |
Octet |
Mot de passe utilisé pour l'authentification. Le mot de passe est chiffré à l'aide de ms-Exch-EdgeSync-Certificate. |
Les sections suivantes de cette rubrique décrivent la manière dont les informations d'identification ESRA sont configurées et utilisées lors du processus de synchronisation EdgeSync.
Configuration du compte de réplication d'amorçage EdgeSync
Lorsque la cmdlet New-EdgeSubscription est exécutée sur le serveur de transport Edge, le compte ESBRA est configuré comme suit :
Un certificat auto-signé (Edge-Cert) est créé sur le serveur de transport Edge. La clé privée est stockée dans le magasin de l'ordinateur local et écrite dans le fichier d'abonnement Edge.
Le compte ESBRA (ESRA.Edge) est créé dans ADAM et les informations d'identification sont écrites dans le fichier d'abonnement Edge.
Le fichier d'abonnement Edge est exporté par copie sur un support amovible. Le fichier peut désormais être importé sur un serveur de transport Hub.
Configuration des comptes de réplication EdgeSync dans Active Directory
Lorsque le fichier d'abonnement Edge est importé sur un serveur de transport Hub, la création d'un enregistrement de l'abonnement Edge dans Active Directory et la configuration d'informations d'identification du compte ESRA supplémentaires sont effectuées selon les étapes suivantes.
Un objet de configuration du serveur de transport Edge est créé dans Active Directory. Le certificat Edge-Cert est écrit sur cet objet en tant qu'attribut.
Chaque serveur de transport Hub dans le site Active Directory abonné reçoit une notification Active Directory relative à l'enregistrement d'un nouvel abonnement Edge. À réception de la notification, chaque serveur de transport Hub récupère le compte ESRA.Edge et chiffre le compte à l'aide de la clé publique Edge-Cert. Le compte ESRA.Edge chiffré est écrit sur l'objet de configuration du serveur de transport Edge.
Chaque serveur de transport Hub crée un certificat auto-signé (Hub-Cert). La clé privée est stockée dans le magasin de l'ordinateur local et la clé publique est stockée dans l'objet de configuration du serveur de transport Hub dans Active Directory.
Chaque serveur de transport Hub chiffre le compte ESRA.Edge à l'aide de la clé publique de son propre certificat Hub-Cert, puis le stocke sur son propre objet de configuration.
Chaque serveur de transport Hub génère un compte ESRA pour chaque objet de configuration du serveur de transport Edge existant dans Active Directory (ESRA.Hub.Edge). Le nom de compte est généré selon la convention d'appellation suivante :
ESRA.<Nom NetBIOS du serveur de transport Hub>.<Nom NetBIOS du serveur de transport Edge>.<Date-heure UTC effective>
Le mot de passe ESRA.Hub.Edge est créé par un générateur de nombres aléatoires et chiffré à l'aide de la clé publique du certificat Hub-Cert. Le mot de passe généré a la longueur maximale autorisée pour Microsoft Windows Server.
Chaque compte ESRA.Hub.Edge est chiffré à l'aide de la clé publique du certificat Edge-Cert et stocké sur l'objet de configuration du serveur de transport Edge dans Active Directory.
Les sections suivantes de cette rubrique décrivent l'utilisation de ces comptes lors du processus de synchronisation EdgeSync.
Réplication initiale de l'authentification
Le compte ESBRA, ESRA.Edge, est utilisé lors de l'établissement de la session de synchronisation initiale uniquement. Lors de la première session de synchronisation EdgeSync, les comptes ESRA supplémentaires, ESRA.Hub.Edge, sont répliqués vers ADAM. Ces comptes permettent d'identifier ultérieurement les sessions de synchronisation EdgeSync.
Le serveur de transport Hub chargé d'effectuer la réplication initiale est sélectionné de manière aléatoire. Le premier serveur de transport Hub dans le site Active Directory qui effectue une analyse de la topologie et découvre le nouvel abonnement Edge effectue la réplication initiale. Comme cette découverte est basée sur la durée de l'analyse de la topologie, n'importe quel serveur de transport Hub dans le site peut effectuer la réplication initiale.
Le service EdgeSync de Microsoft Exchange démarre une session LDAP sécurisée du serveur de transport Hub vers le serveur de transport Edge. Le serveur de transport Edge présente son certificat auto-signé et le serveur de transport Hub vérifie que le certificat correspond au certificat stocké dans l'objet de configuration du serveur de transport Edge dans Active Directory. Une fois l'identité du serveur de transport Edge vérifiée, le serveur de transport Hub fournit les informations d'identification du compte ESRA.Edge au serveur de transport Edge. Le serveur de transport Edge vérifie les informations d'identification par rapport au compte stocké dans ADAM.
Le service EdgeSync de Microsoft Exchange sur le serveur de transport Hub transfère ensuite les données de configuration, de topologie et de destinataire d'Active Directory vers ADAM. La modification de l'objet de configuration du serveur de transport Edge dans Active Directory est répliquée dans ADAM. ADAM reçoit les entrées ESRA.Hub.Edge nouvellement ajoutées et le service des informations d'identification Edge crée le compte ADAM correspondant. Ces comptes sont désormais disponibles pour authentifier les sessions de synchronisation EdgeSync planifiées ultérieurement.
Service d'informations d'identification Edge
Le service d'informations d'identification Edge fait partie du processus d'abonnement Edge. Il s'exécute uniquement sur le serveur de transport Edge. Ce service crée les comptes ESRA réciproques dans ADAM de sorte qu'un serveur de transport Hub peut s'authentifier auprès d'un serveur de transport Edge pour effectuer la synchronisation EdgeSync. Le service EdgeSync de Microsoft Exchange ne communique pas directement avec le service d'informations d'identification Edge. Le service d'informations d'identification Edge communique avec ADAM et installe les informations d'identification du compte ESRA lorsque le serveur de transport Hub les met à jour.
Authentification des sessions de synchronisation planifiées
Une fois la synchronisation EdgeSync initiale terminée, la planification de la synchronisation EdgeSync est établie et les données modifiées dans Active Directory sont régulièrement mises à jour dans ADAM. Un serveur de transport Hub démarre une session LDAP sécurisée avec l'instance ADAM sur le serveur de transport Edge. ADAM prouve son identité auprès de ce serveur de transport Hub en présentant son certificat auto-signé. Le serveur de transport Hub présente ses informations d'identification ESRA.Hub.Edge à ADAM. Le mot de passe ESRA.Hub.Edge est chiffré à l'aide de la clé publique du certificat auto-signé du serveur de transport Hub. Cela signifie que seul ce serveur de transport Hub peut utiliser ces informations d'identification pour s'authentifier auprès d'ADAM.
Renouvellement des comptes de réplication EdgeSync
Le mot de passe du compte ESRA doit être conforme à la stratégie de mot de passe du serveur local. Pour empêcher le processus de renouvellement du mot de passe de provoquer un échec d'authentification temporaire, un deuxième compte ESRA.Hub.Edge est créé sept jours avant l'expiration du premier compte ESRA.Hub.Edge avec une date effective de trois jours avant la date d'expiration du premier compte ESRA. Dès que le deuxième compte ESRA devient effectif, le service EdgeSync cesse d'utiliser le premier compte et commence à utiliser le deuxième compte. Lorsque le délai d'expiration du premier compte est atteint, ces informations d'identification du compte ESRA sont supprimées. Ce processus de renouvellement se poursuit jusqu'à la suppression de l'abonnement Edge.
Pour plus d'informations
Pour plus d'informations, consultez les rubriques suivantes :