了解 Edge 訂閱認證
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2007-02-21
本主題說明 Edge 訂閱處理程序如何提供認證,以用來協助保護 Microsoft Exchange Server 2007 中之 EdgeSync 同步處理程序的安全,以及 Microsoft Exchange EdgeSync 服務如何使用那些認證來建立 Hub Transport Server 與 Edge Transport Server 之間的安全輕量型目錄存取通訊協定 (LDAP) 連線。
Edge Transport Server 可以供 Active Directory 目錄服務站台訂閱。Active Directory 站台訂閱 Edge Transport Server 時,即建立 Edge Transport Server 與 Exchange 組織的關聯。此處理程序讓您在 Hub Transport server role 上執行必要的設定,然後將該資訊寫入 Edge Transport Server 上的 Active Directory 應用程式模式 (ADAM) 目錄服務執行個體,以減少您在周邊網路中必須執行的管理工作。如果計劃使用收件者查閱及安全清單彙總反垃圾郵件功能,或如果計劃使用相互 TLS 協助保護與夥伴網域之間的 SMTP 通訊安全,則必須建立 Edge 訂閱。
如需需要將資料從 Active Directory 同步處理至 ADAM 之功能的相關資訊,請參閱下列主題:
Edge 訂閱程序
Active Directory 站台已訂閱 Edge Transport Server,以建立 Active Directory 站台中的 Hub Transport Server 與已訂閱 Edge Transport Server 之間的同步處理關係。Microsoft Exchange EdgeSync 服務是在 Hub Transport Server 上執行的資料同步處理服務。此服務執行單向複寫,將組態及收件者資料從 Active Directory 複寫至已訂閱 Edge Transport Server 上的 ADAM 執行個體。Edge 訂閱處理程序期間提供的認證,是用來協助保護 Hub Transport Server 與周邊網路中之 Edge Transport Server 間的 LDAP 連線安全。
當您在 Edge Transport Server 的 Exchange 管理命令介面中執行 New-EdgeSubscription 指令程式時,會先在本機伺服器的 ADAM 目錄中建立 EdgeSync 開機複寫帳戶 (ESBRA) 認證,然後再將那些認證寫入至 Edge 訂閱檔案。這些認證只是用來建立初始同步處理,而且會在建立 Edge 訂閱檔案之後的 1,440 分鐘 (24 小時) 逾期。如果 Edge 訂閱處理程序未在該時間內完成,則必須再次於 Edge Transport Server 的 Exchange 管理命令介面中執行 New-EdgeSubscription 指令程式,以建立新的 Edge 訂閱檔案。
下表說明 Edge 訂閱 XML 檔案中所含的資料。
Edge 訂閱檔案內容
| 訂閱資料 | 描述 |
|---|---|
Edge 伺服器名稱 |
Edge Transport Server 的 NetBIOS 名稱。Active Directory 中的 Edge 訂閱名稱會與此名稱相符。 |
Edge 伺服器 FQDN |
Edge Transport Server 的網域全名 (FQDN)。已訂閱 Active Directory 站台中的 Hub Transport Server 必須可以使用 DNS 來解析 FQDN,以找到 Edge Transport Server。 |
Edge 憑證二進位大型物件 (BLOB) |
Edge Transport Server 之自行簽署憑證的公開金鑰。 |
ESRA 使用者名稱 |
指派給 ESBRA 的名稱。ESBRA 帳戶具有下列格式:ESRA.Edge Transport Server 名稱。ESRA 表示 EdgeSync 複寫帳戶。 |
ESRA 密碼 |
指派給 ESBRA 的密碼。密碼是使用亂數產生器所產生,並以純文字格式儲存在 Edge 訂閱檔案中。 |
有效日期 |
Edge 訂閱檔案的建立日期。 |
持續時間 |
這些認證在逾期之前的有效時間長度。ESBRA 帳戶的有效時間只有 24 個小時。 |
ADAM SSL 通訊埠 |
將資料從 Active Directory 同步處理至 ADAM 時,EdgeSync 服務所繫結的安全 LDAP 通訊埠。這預設是 TCP 通訊埠 50636。 |
產品識別碼 |
Edge Transport Server 的授權資訊。Active Directory 訂閱 Edge Transport Server 之後,Edge Transport Server 的授權資訊會顯示在 Exchange 組織的 Exchange 管理主控台中。您必須先授權 Edge Transport Server,再建立 Edge 訂閱,此資訊才能正確顯示。 |
.gif "important") 重要事項: |
|---|
| ESBRA 認證會以純文字格式寫入至 Edge 訂閱檔案。您必須在整個訂閱處理程序中保護此檔案。將 Edge 訂閱檔案匯入至 Hub Transport Server 之後,就應該立即刪除 Edge Transport Server、Hub Transport Server 及任何卸除式媒體中的 Edge 訂閱檔案。 |
EdgeSync 複寫帳戶
EdgeSync 複寫帳戶 (ESRA) 是 EdgeSync 安全性的重要部分。ESRA 的驗證及授權是一種機制,用來協助保護 Edge Transport Server 與 Hub Transport Server 之間的連線安全。
Edge 訂閱檔案中所含的 ESBRA 是用來建立初始同步處理期間的安全 LDAP 連線。將 Edge 訂閱檔案匯入至已訂閱 Edge Transport 之 Active Directory 站台中的 Hub Transport Server 之後,就會在 Active Directory 中建立每個 Edge Transport-Hub Transport Server 組的其他 ESRA 帳戶。而在初始同步處理期間,會將新建立的 ESRA 認證複寫至 ADAM。這些 ESRA 認證是用來協助保護後續同步處理工作階段的安全。
下表中所述的屬性都會指派給每個 EdgeSync 複寫帳戶。
Ms-Exch-EdgeSyncCredential 屬性
| 屬性名稱 | 類型 | 描述 |
|---|---|---|
TargetServerFQDN |
字串 |
接受這些認證的 Edge Transport Server。 |
SourceServerFQDN |
字串 |
呈現這些認證的 Hub Transport Server。如果認證是開機認證,則此值會是空的。 |
EffectiveTime |
DateTime (UTC) |
開始使用此認證的時間。 |
ExpirationTime |
DateTime (UTC) |
停止遵循此認證的時間。 |
UserName |
字串 |
用來進行驗證的使用者名稱。 |
Password |
位元組 |
用來進行驗證的密碼。密碼是使用 ms-Exch-EdgeSync-Certificate 進行加密。 |
本主題的下列各節說明如何在 EdgeSync 同步處理程序期間提供及使用 ESRA 認證。
提供 EdgeSync 開機複寫帳戶
在 Edge Transport Server 上執行 New-EdgeSubscription 指令程式時,會如下提供 ESBRA:
- 在 Edge Transport Server 上建立自行簽署憑證 (Edge-Cert)。私密金鑰會儲存在本機電腦儲存區中,而公開金鑰則會寫入至 Edge 訂閱檔案。
- ESBRA (ESRA.Edge) 是建立於 ADAM 中,而認證則會寫入至 Edge 訂閱檔案。
- 將 Edge 訂閱檔案複製至卸除式媒體,以匯出 Edge 訂閱檔案。此檔案目前已經可以匯入至 Hub Transport Server。
在 Active Directory 中提供 EdgeSync 複寫帳戶
在 Hub Transport Server 上匯入 Edge 訂閱檔案時,會發生下列步驟,以在 Active Directory 中建立 Edge 訂閱的記錄,以及提供其他 ESRA 認證。
- 在 Active Directory 中建立 Edge Transport Server 組態物件。而 Edge-Cert 憑證會寫入至此物件當成屬性。
- 已訂閱 Active Directory 站台中的每部 Hub Transport Server,都會接收到 Active Directory 通知,告知已登錄新的 Edge 訂閱。一接收到通知,每部 Hub Transport Server 就會擷取 ESRA.Edge 帳戶,並使用 Edge-Cert 公開金鑰加密該帳戶。而加密的 ESRA.Edge 帳戶會寫入至 Edge Transport Server 組態物件中。
- 每部 Hub Transport Server 都會建立自行簽署憑證 (Hub-Cert)。私密金鑰會儲存在本機電腦儲存區中,而公開金鑰則會儲存在 Active Directory 的 Hub Transport Server 組態物件中。
- 每部 Hub Transport Server 都會使用它自己 Hub-Cert 憑證的公開金鑰來加密 ESRA.Edge 帳戶,然後再將該帳戶儲存於它自己的組態物件中。
- 每部 Hub Transport Server 都會為 Active Directory (ESRA.Hub.Edge) 中的所有現有 Edge Transport Server 組態物件產生 ESRA。而帳戶名稱是使用下列命名慣例所產生:
ESRA.<Hub Transport Server NetBIOS 名稱>.<Edge TransportSserver NetBIOS 名稱>.<有效日期 UTC 時間>
ESRA.Hub.Edge 的密碼是使用亂數產生器所產生,並使用 Hub-Cert 憑證的公開金鑰予以加密。產生的密碼具有 Microsoft Windows Server 允許的最大長度。 - 每個 ESRA.Hub.Edge 帳戶都是使用 Edge-Cert 憑證的公開金鑰予以加密,並儲存在 Active Directory 的 Edge Transport Server 組態物件上。
本主題的下列各節說明如何在 EdgeSync 同步處理程序期間使用這些帳戶。
驗證初始複寫
只有在建立初始同步處理工作階段時,才會使用 ESBRA 帳戶 (ESRA.Edge)。在第一次 EdgeSync 同步處理工作階段期間,會將其他 ESRA 帳戶 (ESRA.Hub.Edge) 複寫至 ADAM。這些帳戶是用來驗證後續的 EdgeSync 同步處理工作階段。
執行初始複寫的 Hub Transport Server 是隨機決定的。Active Directory 站台中,執行拓撲掃描並探索新 Edge 訂閱的第一部 Hub Transport Server 會執行初始複寫。因為探索是基於拓撲掃描的時間點,站台中的任何 Hub Transport Server 可能會執行初始複寫。
Microsoft Exchange EdgeSync 服務會初始化從 Hub Transport Server 至 Edge Transport Server 的安全 LDAP 工作階段。Edge Transport Server 會呈現它的自行簽署憑證,而 Hub Transport Server 會驗證憑證是否符合儲存在 Active Directory 之 Edge Transport Server 組態物件上的憑證。驗證 Edge Transport Server 的識別碼之後,Hub Transport Server 會將 ESRA.Edge 帳戶的認證提供給 Edge Transport Server。Edge Transport Server 會根據儲存在 ADAM 中的帳戶來驗證認證。
然後,Hub Transport Server 上的 Microsoft Exchange EdgeSync 服務會將拓撲、組態及收件者資料從 Active Directory 推入至 ADAM。而 Active Directory 中的 Edge Transport Server 組態物件變更會複寫至 ADAM。ADAM 會接收新增的 ESRA.Hub.Edge 項目,而 Edge 認證服務則會建立對應的 ADAM 帳戶。這些帳戶現在可用來驗證後續排定的 EdgeSync 同步處理工作階段。
Edge 認證服務
Edge 認證服務是 Edge 訂閱處理程序的一部分。而且只會在 Edge Transport Server 上執行。此服務會在 ADAM 中建立逆向 ESRA 帳戶,因此 Hub Transport Server 可以驗證 Edge Transport Server,以執行 EdgeSync 同步處理。Microsoft Exchange EdgeSync 服務並不會直接與 Edge 認證服務進行通訊。Edge 認證服務會與 ADAM 進行通訊,並在 Hub Transport Server 更新 ESRA 認證時安裝 ESRA 認證。
驗證排定的同步處理工作階段
完成初始 EdgeSync 同步處理之後,會建立 EdgeSync 同步處理排程,而且會在 ADAM 中定期更新 Active Directory 中所變更的資料。Hub Transport Server 會初始化與 Edge Transport Server 上之 ADAM 執行個體的安全 LDAP 工作階段。ADAM 會透過呈現它的自行簽署憑證,向該 Hub Transport Server 證明它的識別碼。而 Hub Transport Server 會將它的 ESRA.Hub.Edge 認證呈現給 ADAM。ESRA.Hub.Edge 密碼是使用 Hub Transport Server 的自行簽署憑證公開金鑰予以加密。這表示只有該特定 Hub Transport Server 才可以使用那些認證來驗證 ADAM。
更新 EdgeSync 複寫帳戶
ESRA 帳戶的密碼必須遵守本機伺服器的密碼原則。為了防止密碼更新處理程序造成暫時驗證失敗,會在第一個 ESRA.Hub.Edge 帳戶逾期前七天建立第二個 ESRA.Hub.Edge 帳戶,而第二個帳戶的有效時間是第一個 ESRA 到期時間的前三天。一旦第二個 ESRA 帳戶變為有效,EdgeSync 就會停止使用第一個帳戶,並開始使用第二個帳戶。到達第一個帳戶的到期時間時,就會刪除那些 ESRA 認證。除非移除 Edge 訂閱,否則此更新處理程序會繼續進行。
相關資訊
如需相關資訊,請參閱下列主題:
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.