Учетные данные пограничной подписки

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-03-09

В этом разделе объясняется, как процесс пограничной подписки подготавливает учетные данные, которые используются для защиты синхронизации EdgeSync, и как служба EdgeSync использует эти учетные данные для установки безопасного подключения LDAP между сервером почтовых ящиков Exchange 2013 и пограничным транспортным сервером. Дополнительные сведения о процессе пограничной подписки см. в разделе Пограничные подписки.

Содержание

Процесс пограничной подписки

Учетные записи репликации EdgeSync

Проверка подлинности первоначальной репликации

Проверка подлинности запланированных сеансов синхронизации

Обновление учетных записей репликации EdgeSync

Пограничный транспортный сервер подписывается на сайт Active Directory, чтобы установить отношения синхронизации между серверами почтовых ящиков на сайте Active Directory и подписанным пограничным транспортным сервером. Учетные данные, которые предоставляются во время пограничной подписки, используются для защиты подключения LDAP между сервером почтовых ящиков и пограничным транспортным сервером в сети периметра.

Когда вы выполняете командлет New-EdgeSubscription на пограничном транспортном сервере, в каталоге служб Active Directory облегченного доступа к каталогам (AD LDS) на локальном сервере создаются учетные данные учетной записи репликации начальной загрузки EdgeSync (ESBRA), которые затем записываются в файл пограничной подписки. Эти учетные данные используются только для установки первоначальной синхронизации. Их срок действия истекает через 24 часа после создания файла пограничной подписки. Если процесс пограничной подписки не будет завершен в течение 24 часов, потребуется повторно выполнить командлет New-EdgeSubscription, чтобы создать новый файл пограничной подписки. В XML-файле пограничной подписки хранятся данные конфигурации для пограничной подписки.

В таблице ниже приведены данные, содержащиеся в XML-файле пограничной подписки.

Содержимое файла пограничной подписки

Данные подписки Описание

Имя пограничного транспортного сервера

NetBIOS-имя пограничного транспортного сервера. Имя пограничной подписки Active Directory будет совпадать с этим именем.

Имя FQDN пограничного транспортного сервера

Полное доменное имя (FQDN) пограничного транспортного сервера. Серверы почтовых ящиков на подписанном сайте Active Directory должны быть способны находить пограничный транспортный сервер путем разрешения полного доменного имени с помощью DNS.

Большой двоичный объект пограничной подписки

Открытый ключ самозаверяющего сертификата пограничного транспортного сервера.

Имя пользователя ESRA

Имя, назначенное ESBRA. Учетная запись ESBRA имеет следующий формат: ESRA.имя_пограничного_транспортного_сервера. ESRA значит "учетная запись репликации EdgeSync" (EdgeSync replication account); обратите внимание на отличие между ESBRA (учетной записью репликации начальной загрузки) и ESRA.

Пароль ESRA

Пароль, назначенный ESBRA. Пароль формируется с помощью генератора случайных чисел и хранится в файле пограничной подписки в виде открытого текста.

Дата вступления в силу

Дата создания файла пограничной подписки.

Длительность

Срок действия учетных данных. Учетная запись ESBRA является действительной в течение только 24 часов.

SSL-порт Adam

Безопасный LDAP-порт, к которому привязывается служба EdgeSync при синхронизации данных из Active Directory в AD LDS. По умолчанию используется TCP-порт 50636.

Номер продукта

Лицензионная информация для пограничного транспортного сервера. Прежде чем создавать пограничную подписку, необходимо получить лицензию на пограничный транспортный сервер.

Номер версии

Номер версии файла пограничной подписки.

Серийный номер

Версия Exchange пограничного транспортного сервера.

ВажноВажно!
Учетные данные ESBRA записываются в файл пограничной подписки в виде открытого текста. Этот файл необходимо защищать на протяжении всего процесса подписки. После импорта файла пограничной подписки в организацию Exchange необходимо немедленно удалить его с пограничного транспортного сервера, из сетевой папки, из которой файл импортировался в организацию Exchange, и с любых съемных носителей.

В начало

Учетные записи репликации EdgeSync (ESRA) являются важной частью безопасности EdgeSync. Проверка подлинности и авторизация ESRA является механизмом защиты подключения между пограничным транспортным сервером и сервером почтовых ящиков.

ESBRA, которая содержится в файле пограничной подписки, используется для установки безопасного подключения LDAP во время первоначальной синхронизации. После импорта файла пограничной подписки на сервер почтовых ящиков на сайте Active Directory, на который подписывается пограничный транспортный сервер, в Active Directory создаются дополнительные учетные записи ESRA для каждой пары из пограничного транспортного сервера и сервера почтовых ящиков. Во время первоначальной синхронизации только что созданные учетные данные ESRA реплицируются в службу AD LDS. Эти учетные данные ESRA используются для защиты последующих сеансов синхронизации.

Каждой учетной записи репликации EdgeSync назначаются свойства, приведенные в таблице ниже.

Свойства Ms-Exch-EdgeSyncCredential

Имя свойства Тип Описание

TargetServerFQDN

Строка

Пограничный транспортный сервер, принимающий эти учетные данные.

SourceServerFQDN

Строка

Сервер почтовых ящиков, предоставляющий эти учетные данные. Значение пустое, если учетные данные являются учетными данными начальной загрузки.

EffectiveTime

Дата и время (в формате UTC)

Время начала использования учетных данных.

ExpirationTime

Дата и время (в формате UTC)

Время завершения использования учетных данных.

UserName

Строка

Имя пользователя, используемое для проверки подлинности.

Password

Байт

Пароль, используемый для проверки подлинности. Пароль шифруется с помощью ms-Exch-EdgeSync-Certificate.

В следующих пунктах описано, как учетные данные ESRA подготавливаются и используются в процессе синхронизации EdgeSync.

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере происходит подготовка ESBRA, как описано ниже.

  • На пограничном транспортном сервере создается самозаверяющий сертификат (Edge-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ записывается в файл пограничной подписки.

  • Учетная запись ESBRA создается в AD LDS, а ее учетные данные записываются в файл пограничной подписки.

  • Чтобы экспортировать файл пограничной подписки, скопируйте его со съемного носителя (поскольку пограничный сервер отсутствует в службе каталогов Active Directory, для экспорта файла невозможно использовать общую папку). После этого файл готов к импорту на сервер почтовых ящиков.

При импорте файла пограничной подписки на сервер почтовых ящиков выполняются описанные ниже действия для создания записи пограничной подписки в Active Directory и подготовки дополнительных учетных данных ESRA.

  1. В Active Directory создается объект конфигурации пограничного транспортного сервера. Сертификат Edge-Cert записывается в этот объект в качестве атрибута.

  2. Каждый сервер почтовых ящиков на подписанном сайте Active Directory получает уведомление от Active Directory о том, что зарегистрирована новая пограничная подписка. После получения уведомления каждый сервер почтовых ящиков получает учетную запись ESRA.edge и шифрует ее с помощью открытого ключа Edge-Cert. Зашифрованная учетная запись ESRA.edge записывается в объект конфигурации пограничного транспортного сервера.

  3. Каждый сервер почтовых ящиков создает самозаверяющий сертификат (TransportService-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ — в объекте конфигурации сервера почтовых ящиков в Active Directory.

  4. Каждый сервер почтовых ящиков шифрует учетную запись ESRA.edge с помощью открытого ключа собственного сертификата TransportService и сохраняет ее в своем объекте конфигурации.

  5. Каждый сервер почтовых ящиков создает ESRA для каждого имеющегося объекта конфигурации пограничного транспортного сервера в Active Directory (ESRA.edge. имя_почтового_ящика.#).

    Пример: ESRA.edge.Example.0

    Пароль для ESRA.edge создается с помощью генератора случайных чисел и шифруется с помощью открытого ключа сертификата TransportService-Cert. Созданный пароль имеет максимальную длину, допустимую для Windows Server.

  6. Каждая учетная запись ESRA.edge. имя_почтового_ящика.# шифруется с помощью открытого ключа сертификата Edge-Cert и хранится в объекте конфигурации пограничного транспортного сервера в Active Directory.

В следующих пунктах описано, как эти учетные записи используются во время синхронизации EdgeSync.

В начало

Начальная учетная запись ESBRA используется только при установке первоначальной синхронизации. Во время первой синхронизации EdgeSync в AD LDS реплицируются дополнительные учетные записи ESRA (ESRA.edge.имя_почтового_ящика.#). Эти учетные записи используются для проверки подлинности последующих сеансов синхронизации EdgeSync.

Сервер почтовых ящиков, который выполняет первоначальную репликацию, выбирается случайным образом. Первоначальную репликацию выполняет сервер почтовых ящиков на сайте Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой сервер почтовых ящиков на сайте может выполнить первоначальную репликацию.

EdgeSync инициирует безопасный сеанс LDAP от сервера почтовых ящиков к пограничному транспортному серверу. Пограничный транспортный сервер предоставляет свой самозаверяющий сертификат, а сервер почтовых ящиков проверяет его соответствие сертификату, который хранится в объекте конфигурации пограничного транспортного сервера в Active Directory. После проверки пограничного транспортного сервера сервер почтовых ящиков предоставляет учетные данные учетной записи ESRA.edge.имя_почтового_ящика.# пограничному транспортному серверу. Пограничный транспортный сервер проверяет учетные данные на соответствие учетной записи, хранящейся в AD LDS.

Служба EdgeSync на сервере почтовых ящиков затем принудительно отправляет данные топологии, конфигурации и получателей из Active Directory в AD LDS. Изменение объекта конфигурации пограничного транспортного сервера в Active Directory реплицируется в AD LDS. Служба AD LDS получает только что добавленные записи ESRA.edge.имя_почтового_ящика.#, а служба учетных данных Microsoft Exchange создает соответствующую учетную запись AD LDS. После этого данные учетные записи можно использовать для проверки подлинности последующих запланированных сеансов синхронизации EdgeSync.

Служба учетных данных Microsoft Exchange является частью процесса пограничной подписки. Эта служба выполняется только на пограничном транспортном сервере. Она создает в AD LDS возвратные учетные записи ESRA, чтобы сервер почтовых ящиков мог выполнять проверку подлинности пограничного транспортного сервера для синхронизации EdgeSync. Служба EdgeSync не взаимодействует напрямую со службой учетных данных Microsoft Exchange. Служба учетных данных Microsoft Exchange взаимодействует с AD LDS и устанавливает учетные данные ESRA каждый раз, когда их обновляет сервер почтовых ящиков.

В начало

После завершения первоначальной синхронизации EdgeSync устанавливается расписание синхронизации EdgeSync, а данные, измененные в Active Directory, регулярно обновляются в AD LDS. Сервер почтовых ящиков инициирует безопасный сеанс LDAP с экземпляром AD LDS на пограничном транспортном сервере. Служба AD LDS подтверждает свое удостоверение для сервера почтовых ящиков, предоставляя самозаверяющий сертификат. Сервер почтовых ящиков предоставляет свои учетные данные ESRA.edge в AD LDS. Пароль ESRA.edge шифруется с помощью открытого ключа самозаверяющего сертификата сервера почтовых ящиков. Только данный сервер почтовых ящиков может использовать эти учетные данные для проверки подлинности с AD LDS.

В начало

Пароль учетной записи ESRA должен соответствовать политике паролей локального сервера. Чтобы процесс обновления пароля не приводил к временным сбоям проверки подлинности, за семь дней до окончания срока действия первой учетной записи ESRA.edge создается вторая учетная запись ESRA.edge, которая вступает в силу за три дня до истечения срока действия первой ESRA. Как только вторая учетная запись ESRA.edge вступает в силу, EdgeSync прекращает использовать первую учетную запись и начинает использовать вторую. При истечении срока действия первой учетной записи соответствующие учетные данные ESRA удаляются. Этот процесс обновления продолжается до удаления пограничной подписки.

В начало

 
Показ: