Credenciales de suscripción perimetral
Se aplica a: Exchange Server 2013
En este tema se explica cómo el proceso de suscripción perimetral establece las credenciales utilizadas para ayudar a proteger el proceso de sincronización de EdgeSync y cómo EdgeSync usa esas credenciales para establecer una conexión de LDAP segura entre un servidor de buzones de correo de Exchange 2013 y un servidor Transporte perimetral. Para obtener más información acerca del proceso de suscripciones perimetrales, vea Suscripciones perimetrales.
Proceso de suscripción perimetral
El servidor Transporte perimetral se suscribe a un sitio de Active Directory para establecer una relación de sincronización entre los servidores de buzones de correo en un sitio de Active Directory y el servidor Transporte perimetral suscrito. Las credenciales que se establecen en el proceso de suscripción perimetral se usan para proteger la conexión LDAP entre un servidor de buzones de correo y un servidor Transporte perimetral de la red perimetral.
Cuando se ejecuta el cmdlet New-EdgeSubscription en un servidor Transporte perimetral, las credenciales de la cuenta de replicación de inicio de EdgeSync (ESBRA) se crean en el directorio de Active Directory Lightweight Directory Services (AD LDS) del servidor local y, a continuación, se escriben en el archivo de suscripción perimetral. Dichas credenciales únicamente se usan para establecer la sincronización inicial y expiran 24 horas después de haberse creado el archivo de suscripción perimetral. Si el proceso de suscripción perimetral no se ha completado en un plazo de 24 horas, tendrá que volver a ejecutar el cmdlet New-EdgeSubscription para crear un nuevo archivo de suscripción perimetral. El archivo XML de suscripción perimetral almacena datos de configuración para la suscripción perimetral.
El archivo XML de suscripción perimetral contiene los datos que se muestran en la siguiente tabla.
Contenidos del archivo de suscripción perimetral
| Datos de suscripción | Descripción |
|---|---|
| EdgeServerName | Nombre NetBIOS del servidor de transporte perimetral. El nombre de la suscripción perimetral de Active Directory coincidirá con este nombre. |
| EdgeServerFQDN | El nombre completo de dominio (FQDN) del servidor de transporte perimetral. Los servidores de buzones de correo del sitio de Active Directory suscrito deben poder localizar el servidor Transporte perimetral mediante DNS para resolver el FQDN. |
| EdgeCertificateBlob | La clave pública del certificado autofirmado del servidor de transporte perimetral. |
| Nombre de usuario de ESRA | El nombre asignado a la ESBRA. La cuenta ESBRA tiene el siguiente formato: ESRA. Nombre del servidor de transporte perimetral. ESRA significa cuenta de replicación de EdgeSync; tenga en cuenta la diferencia entre ESBRA (cuenta de replicación de inicio de EdgeSync) y ESRA. |
| Contraseña de ESRA | La contraseña asignada a la ESBRA. La contraseña se genera mediante un generador de número aleatorio y se almacena en el archivo de suscripción perimetral como texto no cifrado. |
| EffectiveDate | Fecha de creación del archivo de suscripción perimetral. |
| Duración | Periodo de tiempo en que estas credenciales permanecerán vigentes. La cuenta ESBRA solo es válida durante un periodo de 24 horas. |
| AdamSslPort | El puerto LDAP seguro al que enlaza el servicio EdgeSync cuando se sincronizan datos desde Active Directory a AD LDS. De manera predeterminada, es el puerto TCP 50636. |
| Productid | La información de licencias del servidor de transporte perimetral. Debe autorizar el servidor Transporte perimetral antes de crear la suscripción perimetral. |
| VersionNumber | Número de versión del archivo de suscripción perimetral. |
| SerialNumber | Versión de Exchange del servidor Transporte perimetral. |
Importante
Las credenciales ESBRA se escriben en el archivo de suscripción perimetral como texto no cifrado. Debe proteger este archivo durante todo el proceso de suscripción. Después de que el archivo de suscripción perimetral se importa a su organización de Exchange, debe eliminar de inmediato el archivo de suscripción perimetral del servidor de transporte perimetral, el recurso compartido de red que usó para importar el archivo a su organización de Exchange y todos los medios extraíbles.
Cuentas de replicación de EdgeSync
Las cuentas de replicación de EdgeSync (ESRA) son una parte importante de la seguridad de EdgeSync. La autenticación y autorización de ESRA son los mecanismos que se emplean para proteger la conexión entre un servidor de transporte perimetral y un servidor de buzones de correo.
La ESBRA que contiene el archivo de suscripción perimetral se usa para establecer una conexión LDAP segura durante la sincronización inicial. Después de importar el archivo de suscripción perimetral a un servidor de buzones de correo en el sitio de Active Directory al que se está suscribiendo el servidor Transporte perimetral, se crean cuentas ESRA adicionales en Active Directory para cada par de servidores de transporte conformado por un servidor de buzones de correo y un servidor Transporte perimetral. Durante la sincronización inicial, las credenciales ESRA que se acaban de crear se replican en AD LDS. Dichas credenciales ESRA se usan para la protección en sesiones de sincronización posteriores.
A cada cuenta de replicación de EdgeSync se le asignan las propiedades que se muestran en la tabla siguiente.
Propiedades de Ms-Exch-EdgeSyncCredential
| Nombre de la propiedad | Tipo | Descripción |
|---|---|---|
| TargetServerFQDN | Cadena | El servidor Transporte perimetral que acepta estas credenciales. |
| SourceServerFQDN | String | El servidor de buzones de correo que presenta estas credenciales. Este valor está vacío si se trata de la credencial de inicio. |
| EffectiveTime | DateTime (UTC) | Cuándo empezar a usar esta credencial. |
| ExpirationTime | DateTime (UTC) | Cuándo dejar de usar esta credencial. |
| UserName | Cadena | Nombre de usuario usado para autenticarse. |
| Password | Byte | La contraseña que se usa para autenticarse. La contraseña se cifra mediante ms-Exch-EdgeSync-Certificate. |
Las siguientes secciones describen el modo en que se especifican las credenciales ESRA durante el proceso de sincronización de EdgeSync.
Especificación de la cuenta de replicación de inicio de EdgeSync
Cuando el cmdlet New-EdgeSubscription se ejecuta en el servidor de transporte perimetral, la ESBRA se especifica de la siguiente manera:
Se crea un certificado autofirmado (Edge-Cert) en el servidor de transporte perimetral. La clave privada se almacena en el almacén del equipo local y la clave pública se escribe en el archivo de suscripción perimetral.
Se crea la cuenta de ESBRA en AD LDS y se escriben las credenciales en el archivo de suscripción perimetral.
El archivo de suscripción perimetral se exporta al copiarlo a un medio extraíble (como el servidor perimetral no está en Active Directory, no se puede usar una carpeta compartida para exportar el archivo). El archivo está ahora preparado para importarse a un servidor de buzones de correo.
Especificación de las cuentas de replicación de EdgeSync en Active Directory
Cuando el archivo de suscripción perimetral se importa a un servidor de buzones de correo, se realizan los siguientes pasos para establecer un registro de la suscripción perimetral en Active Directory y para especificar credenciales ESRA adicionales:
Se crea un objeto de configuración del servidor Transporte perimetral en Active Directory. El certificado Edge-Cert se escribe en dicho objeto como un atributo.
Todos los servidores de buzones de correo del sitio de Active Directory suscrito reciben una notificación de Active Directory que informa de que se ha registrado una nueva suscripción perimetral. En cuanto se recibe dicha notificación, cada servidor de buzones de correo recupera la cuenta ESRA.edge y la cifra mediante la clave pública Edge-Cert. La cuenta ESRA.edge cifrada se escribe en el objeto de configuración del servidor Transporte perimetral.
Cada servidor de buzones de correo crea un certificado autofirmado (TransportService-Cert). La clave privada se almacena en el almacén del equipo local y la clave pública se almacena en el objeto de configuración del servidor de buzones de correo de Active Directory.
Cada servidor de buzones de correo cifra la cuenta ESRA.edge mediante la clave pública de su propio certificado TransportService y, a continuación, la almacena en su propio objeto de configuración.
Cada servidor de buzón genera una ESRA para cada objeto de configuración de servidor de transporte perimetral existente en Active Directory (ESRA.edge). Mailboxname.#).
Ejemplo: ESRA.edge.Example.0
La contraseña para ESRA.edge se genera mediante un generador de número aleatorio y se cifra mediante la clave pública del certificado TransportService-Cert. La contraseña que se genera tiene la longitud máxima permitida por Windows Server.
Cada ESRA.edge. La cuenta mailboxname.# se cifra mediante la clave pública del certificado de Edge-Cert y se almacena en el objeto de configuración del servidor transporte perimetral de Active Directory.
En las siguientes secciones se explica cómo se usan estas cuentas durante la sincronización de EdgeSync.
Autenticación de replicación inicial
La cuenta inicial de ESBRA se usa solo cuando se establece la sincronización inicial. Durante la primera sincronización de EdgeSync, las cuentas de ESRA adicionales, ESRA.edge. Mailboxname.#, se replican en AD LDS. Estas cuentas se usan para autenticar sesiones de sincronización de EdgeSync posteriores.
El servidor de buzones de correo que lleva a cabo la replicación inicial se determina de manera aleatoria. El primer servidor de buzones de correo del sitio de Active Directory en realizar una exploración topológica y detectar la nueva suscripción perimetral realiza la réplica inicial. Como esta detección se basa en el momento de la exploración topológica, cualquier servidor de buzones de correo del sitio puede realizar la réplica inicial.
EdgeSync inicia una sesión segura de LDAP desde el servidor de buzones de correo al servidor Transporte perimetral. El servidor Transporte perimetral presenta su certificado autofirmado y el servidor de buzones de correo comprueba que dicho certificado coincide con el que está almacenado en el objeto de configuración del servidor Transporte perimetral de Active Directory. Una vez comprobada la identidad del servidor de transporte perimetral, el servidor de buzones proporciona las credenciales de ESRA.edge. Mailboxname.# para el servidor de transporte perimetral. El servidor Transporte perimetral comprueba las credenciales en la cuenta almacenada en AD LDS.
Después, el servicio EdgeSync del servidor de buzones de correo envía la topología, la configuración y los datos de destinatarios desde Active Directory a AD LDS. El cambio en el objeto de configuración del servidor Transporte perimetral de Active Directory se replica en AD LDS. AD LDS recibe el esra.edge recién agregado. Las entradas mailboxname.# y microsoft Exchange Credential Service crean la cuenta de AD LDS correspondiente. Estas cuentas están ya disponibles para autenticar sesiones programadas de sincronización de EdgeSync posteriores.
Servicio de credenciales de Microsoft Exchange
El Servicio de credenciales de Microsoft Exchange forma parte de proceso de suscripción perimetral. El Servicio de credenciales únicamente se ejecuta en el servidor Transporte perimetral. Este servicio crea las cuentas ESRA recíprocas de AD LDS para que un servidor de buzones de correo pueda autenticarse en un servidor Transporte perimetral a fin de realizar la sincronización de EdgeSync. El servicio EdgeSync no se comunica directamente con el Servicio de credenciales de Microsoft Exchange. El Servicio de credenciales de Microsoft Exchange se comunica con AD LDS e instala las credenciales ESRA cuando el servidor de buzones de correo las actualiza.
Autenticación de sesiones de sincronización programadas
Cuando termina la sincronización de EdgeSync inicial, se establece la programación para la sincronización de EdgeSync, y los datos de Active Directory que han cambiado se actualizan de manera periódica en AD LDS. Un servidor de buzones de correo inicia una sesión LDAP segura con la instancia AD LDS del servidor Transporte perimetral. AD LDS demuestra su identidad ante este servidor de buzones de correo presentándole su certificado autofirmado. El servidor de buzones de correo presenta sus credenciales de ESRA.edge a AD LDS. La contraseña de ESRA.edge se cifra mediante la clave pública del certificado autofirmado del servidor de buzones de correo. Solo ese servidor de buzones de correo en concreto puede usar dichas credenciales para autenticarse en AD LDS.
Renovación de cuentas de replicación de EdgeSync
La contraseña de la cuenta esra debe cumplir con la directiva de contraseñas del servidor local. Para evitar que el proceso de renovación de contraseñas provoque un error de autenticación temporal, se crea una segunda cuenta ESRA.edge siete días antes de que expire la primera cuenta ESRA.edge, con un tiempo efectivo tres días antes de la primera hora de expiración de ESRA. En cuanto la segunda cuenta de ESRA.edge se hace efectiva, EdgeSync deja de usar la primera cuenta y comienza a usar la segunda cuenta. Cuando se alcanza la hora de expiración de la primera cuenta, se eliminan esas credenciales de ESRA. Este proceso de renovación continuará hasta que se quite la suscripción perimetral.