了解边缘订阅凭据
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2015-03-09
本主题介绍边缘订阅进程如何通过设置凭据来帮助保护 Microsoft Exchange Server 2010 中的 EdgeSync 同步进程以及 Microsoft Exchange EdgeSync 服务如何使用这些凭据在集线器传输服务器与边缘传输服务器之间建立安全 LDAP 连接。有关边缘订阅过程的详细信息,请参阅了解边缘订阅。
若要了解与管理传输服务器相关的管理任务,请参阅管理传输服务器。
目录
边缘订阅进程
EdgeSync 复制帐户
对初次复制进行身份验证
对计划的同步会话进行身份验证
续订 EdgeSync 复制帐户
边缘订阅进程
为边缘传输服务器订阅 Active Directory 站点,以便在 Active Directory 站点中的集线器传输服务器与订阅的边缘传输服务器之间建立同步关系。边缘订阅进程中设置的凭据可以帮助保护集线器传输服务器与外围网络中的边缘传输服务器之间的 LDAP 连接。
在边缘传输服务器的 Exchange 命令行管理程序中运行 New-EdgeSubscription cmdlet 时,将在本地服务器的 Active Directory 轻型目录服务 (AD LDS) 目录中创建 EdgeSync bootstrap 复制帐户 (ESBRA) 凭据,并将其写入边缘订阅文件。这些凭据只用于建立初次同步,将在创建边缘订阅文件后的 1,440 分钟(24 小时)过期。如果边缘订阅进程在该时间内未完成,则必须再次在边缘传输服务器的命令行管理程序中运行 New-EdgeSubscription cmdlet,以创建边缘订阅文件。
下表介绍边缘订阅 XML 文件中包含的数据。
边缘订阅文件的内容
| 订阅数据 | 说明 |
|---|---|
EdgeServerName |
边缘传输服务器的 NetBIOS 名称。Active Directory 中的边缘订阅名称将与此名称匹配。 |
EdgeServerFQDN |
边缘传输服务器的完全限定的域名 (FQDN)。订阅的 Active Directory 站点中的集线器传输服务器必须可以通过使用域名系统 (DNS) 解析 FQDN,找到边缘传输服务器。 |
EdgeCertificateBlob |
边缘传输服务器的自签名证书的公钥。 |
ESRAUsername |
为 ESBRA 指定的名称。ESBRA 帐户有以下格式:ESRA.边缘传输服务器名称。ESRA 代表 EdgeSync 复制帐户。 |
ESRAPassword |
为 ESBRA 指定的密码。密码使用随机数字生成器生成并以明文形式存储在边缘订阅文件中。 |
EffectiveDate |
边缘订阅文件的创建日期。 |
持续时间 |
这些凭据在过期之前的有效时间长度。ESBRA 帐户的有效期只有 24 个小时。 |
AdamSslPort |
从 Active Directory 向 AD LDS 同步数据时,EdgeSync 服务绑定到的安全 LDAP 端口。默认情况下,此端口是 TCP 端口 50636。 |
ProductID |
边缘传输服务器的许可信息。为边缘传输服务器订阅了 Active Directory 之后,边缘传输服务器的许可信息将显示在 Exchange 组织的 Exchange 管理控制台中。必须在创建边缘订阅之前获得边缘传输服务器的使用许可,此信息才能正确地显示。 |
VersionNumber |
边缘订阅文件的版本号。 |
SerialNumber |
边缘传输服务器上所安装的 Exchange Server 版本。 |
.gif "重要") 重要说明: |
|---|
| ESBRA 凭据以明文形式被写入边缘订阅文件。必须在整个订阅进程中保护此文件。将边缘订阅文件导入 Exchange 组织后,应该立即将边缘订阅文件从边缘传输服务器、用于将文件导入 Exchange 组织的网络共享以及任何可移动媒体中删除。 |
返回顶部
EdgeSync 复制帐户
EdgeSync 复制帐户 (ESRA) 是 EdgeSync 安全性的重要组成部分。ESRA 的身份验证和授权机制可以帮助保护边缘传输服务器与集线器传输服务器之间的连接。
边缘订阅文件中包含的 ESBRA 用于在初次同步期间建立安全 LDAP 连接。将边缘订阅文件导入要为边缘传输服务器订阅的 Active Directory 站点中的集线器传输服务器之后,在 Active Directory 中为每个边缘传输服务器/集线器传输服务器对创建其他 ESRA 帐户。在初次同步期间,新建的 ESRA 凭据会复制到 AD LDS。这些 ESRA 凭据可以帮助保护以后的同步会话。
为每个 EdgeSync 复制帐户指定下表中所述的属性。
Ms-Exch-EdgeSyncCredential 属性
| 属性名 | 类型 | 说明 |
|---|---|---|
TargetServerFQDN |
字符串 |
将接受这些凭据的边缘传输服务器。 |
SourceServerFQDN |
字符串 |
将提供这些凭据的集线器传输服务器。如果凭据是 bootstrap 凭据,则此值为空。 |
EffectiveTime |
日期时间 (UTC) |
此凭据的生效时间。 |
ExpirationTime |
日期时间 (UTC) |
此凭据的过期时间。 |
UserName |
字符串 |
用于进行身份验证的用户名。 |
Password |
字节 |
用于进行身份验证的密码。该密码使用 ms-Exch-EdgeSync-Certificate 进行加密。 |
本主题的下列各节介绍如何在 EdgeSync 同步进程中设置和使用 ESRA 凭据。
设置 EdgeSync Bootstrap 复制帐户
在边缘传输服务器上运行 New-EdgeSubscription cmdlet 时,ESBRA 的设置如下所述:
在边缘传输服务器上创建一个自签名证书 (Edge-Cert)。私钥存储在本地计算机存储中,公钥被写入边缘订阅文件。
在 AD LDS 中创建 ESBRA (ESRA.Edge),凭据被写入边缘订阅文件。
将边缘订阅文件复制到可移动媒体上,以导出该文件。现在,该文件可以导入集线器传输服务器。
在 Active Directory 中设置 EdgeSync 复制帐户
在集线器传输服务器上导入边缘订阅文件时,会通过下列步骤在 Active Directory 中建立边缘订阅记录并提供其他 ESRA 凭据。
在 Active Directory 中创建一个边缘传输服务器配置对象。Edge-Cert 证书被作为属性写入此对象。
订阅的 Active Directory 站点中的每个集线器传输服务器都会收到一条 Active Directory 通知,表明新边缘订阅已注册。每个集线器传输服务器在收到通知后,会立即检索 ESRA.Edge 帐户并使用 Edge-Cert 公钥为该帐户加密。加密后的 ESRA.Edge 帐户将被写入边缘传输服务器配置对象。
每个集线器传输服务器都会创建自签名证书 (Hub-Cert)。私钥存储在本地计算机存储中,公钥存储在 Active Directory 的集线器传输服务器配置对象中。
每个集线器传输服务器使用自己的 Hub-Cert 证书的公钥为 ESRA.Edge 帐户加密,然后将其存储在自己的配置对象中。
每个集线器传输服务器为 Active Directory 中的每个现有边缘传输服务器配置对象生成一个 ESRA (ESRA.Hub.Edge)。使用以下命名约定生成帐户名:
ESRA.<集线器传输服务器的 NetBIOS 名称>.<边缘传输服务器的 NetBIOS 名称>.<生效日期 UTC 时间>
示例:ESRA.Hub.Edge.01032010
ESRA.Hub.Edge 的密码通过随机数字生成器生成,并使用 Hub-Cert 证书的公钥进行加密。生成的密码为 Microsoft Windows Server 允许的最大长度。
每个 ESRA.Hub.Edge 帐户使用 Edge-Cert 证书的公钥进行加密,并存储在 Active Directory 的边缘传输服务器配置对象中。
本主题的下列各节介绍如何在 EdgeSync 同步进程中使用这些帐户。
返回顶部
对初次复制进行身份验证
ESBRA 帐户 ESRA.Edge 只在建立初次同步会话时使用。在初次 EdgeSync 同步会话期间,其他 ESRA 帐户 ESRA.Hub.Edge 将被复制到 AD LDS。这些帐户用于对以后的 EdgeSync 同步会话进行身份验证。
执行初次复制的集线器传输服务器是随机确定的。Active Directory 站点中第一个执行拓扑扫描并发现新边缘订阅的集线器传输服务器将执行初次复制。由于此发现基于拓扑扫描的时间设置,所以,该站点中的任何集线器传输服务器都可能会执行初次复制。
Microsoft Exchange EdgeSync 服务启动从集线器传输服务器到边缘传输服务器的安全 LDAP 会话。边缘传输服务器提供其自签名证书,集线器传输服务器验证该证书与 Active Directory 的边缘传输服务器配置对象中存储的证书是否匹配。验证了边缘传输服务器的身份之后,集线器传输服务器向边缘传输服务器提供 ESRA.Edge 帐户的凭据。边缘传输服务器根据 AD LDS 中存储的帐户来验证凭据。
然后,集线器传输服务器上的 Microsoft Exchange EdgeSync 服务将拓扑、配置和收件人数据从 Active Directory 推送到 AD LDS。对 Active Directory 中的边缘传输服务器配置对象所做的更改将被复制到 AD LDS。AD LDS 接收新添加的 ESRA.Hub.Edge 条目,而 Microsoft Exchange 凭据服务创建相应的 AD LDS 帐户。现在,可以使用这些帐户对以后计划的 EdgeSync 同步会话进行身份验证。
Microsoft Exchange 凭据服务
Microsoft Exchange 凭据服务是边缘订阅进程的一部分。此服务只在边缘传输服务器上运行。此服务在 AD LDS 中创建互补的 ESRA 帐户,使集线器传输服务器可以对边缘传输服务器进行身份验证,以便执行 EdgeSync 同步。Microsoft Exchange EdgeSync 服务不会直接与 Microsoft Exchange 凭据服务进行通信。Microsoft Exchange 凭据服务与 AD LDS 进行通信,并且只要集线器传输服务器更新了 ESRA 凭据,就立即进行安装。
返回顶部
对计划的同步会话进行身份验证
初次 EdgeSync 同步完成后,将制订 EdgeSync 同步计划,在 AD LDS 中定期更新 Active Directory 中已更改的数据。集线器传输服务器与边缘传输服务器上的 AD LDS 实例建立安全 LDAP 会话。AD LDS 通过提供其自签名证书,向该集线器传输服务器证明其身份。集线器传输服务器向 AD LDS 提供其 ESRA.Hub.Edge 凭据。ESRA.Hub.Edge 密码使用集线器传输服务器的自签名证书的公钥进行加密。这意味着只有这个特定的集线器传输服务器可以使用这些凭据对 AD LDS 进行身份验证。
返回顶部
续订 EdgeSync 复制帐户
ESRA 帐户的密码必须符合本地服务器的密码策略。为了避免密码续订进程造成暂时的身份验证失败,请在第一个 ESRA.Hub.Edge 帐户过期前七天创建另一个 ESRA.Hub.Edge 帐户,其生效时间在第一个 ESRA 过期时间之前的三天。只要第二个 ESRA 帐户生效,EdgeSync 就会停止使用第一个帐户,并开始使用第二个帐户。到达第一个帐户的过期时间时,将删除这些 ESRA 凭据。此续订进程将继续进行,直到删除了边缘订阅。
返回顶部
© 2010 Microsoft Corporation。保留所有权利。