エッジ サブスクリプション資格情報Edge Subscription credentials

製品: Exchange Server 2013Applies to: Exchange Server 2013

このトピックでは、エッジ サブスクリプション プロセスで EdgeSync 同期プロセスのセキュリティ保護を支援するために使用される資格情報を準備する方法と、EdgeSync でそれらの資格情報を使用して Exchange 2013 メールボックス サーバーとエッジ トランスポート サーバー間のセキュア LDAP 接続を確立する方法について説明します。エッジ サブスクリプション プロセスの詳細については、「エッジ サブスクリプション」を参照してください。This topic explains how the Edge Subscription process provisions credentials used to help secure the EdgeSync synchronization process and how EdgeSync uses those credentials to establish a secure LDAP connection between an Exchange 2013 Mailbox server and an Edge Transport server. To learn more about the Edge Subscription process, see Edge Subscriptions.

エッジ サブスクリプション プロセスEdge Subscription process

エッジ トランスポート サーバーを Active Directory サイトにサブスクライブすることによって、Active Directory サイト内のメールボックス サーバーとサブスクライブしたエッジ トランスポート サーバー間の同期関係が確立されます。エッジ サブスクリプション プロセス中に準備される資格情報は、境界ネットワーク内のメールボックス サーバーとエッジ トランスポート サーバー間の LDAP 接続をセキュリティで保護するために使用されます。The Edge Transport server is subscribed to an Active Directory site to establish a synchronization relationship between the Mailbox servers in an Active Directory site and the subscribed Edge Transport server. The credentials provisioned during the Edge Subscription process are used to help secure the LDAP connection between a Mailbox server and an Edge Transport server in the perimeter network.

エッジ トランスポート サーバー上で New-EdgeSubscription コマンドレットを実行すると、ローカル サーバー上の Active Directory ライトウェイト ディレクトリ サービス (AD LDS) ディレクトリに EdgeSync ブートストラップ レプリケーション アカウント (ESBRA) 資格情報が作成され、エッジ サブスクリプション ファイルに書き込まれます。When you run the New-EdgeSubscription cmdlet on an Edge Transport server, EdgeSync bootstrap replication account (ESBRA) credentials are created in the Active Directory Lightweight Directory Services (AD LDS) directory on the local server and then written to the Edge Subscription file. これらの資格情報は、最初の同期を確立するためにのみ使用され、エッジ サブスクリプション ファイルの作成後 24 時間で有効期限が切れます。These credentials are used only to establish initial synchronization and will expire 24 hours after the Edge Subscription file is created. エッジ サブスクリプション プロセスが 24 時間以内に完了しなかった場合は、再度 New-EdgeSubscription コマンドレットを実行して、新しいエッジ サブスクリプション ファイルを作成する必要があります。If the Edge Subscription process isn't completed within 24 hours, you will need to run the New-EdgeSubscription cmdlet again to create a new Edge Subscription file. エッジ サブスクリプション XML ファイルには、エッジ サブスクリプションに関する構成データが保存されます。The Edge Subscription XML file stores configuration data for the Edge Subscription.

エッジ サブスクリプション XML ファイルに保存されるデータを次の表に示します。The Edge Subscription XML file contains the data shown in the following table.

エッジ サブスクリプション ファイルの内容Edge Subscription file contents

サブスクリプション データSubscription data 説明Description

EdgeServerNameEdgeServerName

エッジ トランスポート サーバーの NetBIOS 名。エッジ サブスクリプションの Active Directory 名がこの名前と一致します。The NetBIOS name of the Edge Transport server. The Active Directory name of the Edge Subscription will match this name.

EdgeServerFQDNEdgeServerFQDN

エッジ トランスポート サーバーの完全修飾ドメイン名 (FQDN)。サブスクライブ先の Active Directory サイト内のメールボックス サーバーは、DNS を使用して FQDN を解決することによって、エッジ トランスポート サーバーを検出できる必要があります。The fully qualified domain name (FQDN) of the Edge Transport server. Mailbox servers in the subscribed Active Directory site must be able to locate the Edge Transport server by using DNS to resolve the FQDN.

EdgeCertificateBlobEdgeCertificateBlob

エッジ トランスポート サーバーの自己署名証明書の公開キー。The public key of the Edge Transport server's self-signed certificate.

ESRAUsernameESRAUsername

ESBRA に割り当てられた名前。The name assigned to the ESBRA. ESBRA アカウントの形式は次のとおりです。 ESRA。エッジトランスポートサーバーの名前The ESBRA account has the following format: ESRA.Edge Transport server name. ESRA は、EdgeSync レプリケーションアカウントを意味します。ESBRA (最初のブートストラップレプリケーションアカウント) と ESRA の違いに注意してください。ESRA means EdgeSync replication account; note the difference between ESBRA (initial bootstrap replication account) and ESRA.

ESRAPasswordESRAPassword

ESBRA に割り当てられたパスワード。このパスワードは、乱数ジェネレーターを使用して生成され、クリア テキストでエッジ サブスクリプション ファイルに保存されます。The password assigned to the ESBRA. The password is generated using a random number generator and is stored in the Edge Subscription file in clear text.

EffectiveDateEffectiveDate

エッジ サブスクリプション ファイルの作成日。The creation date of the Edge Subscription file.

期間Duration

これらの資格情報が有効期限切れになるまでの時間。The length of time these credentials will be valid before they expire. ESBRA アカウントは、24 時間のみ有効です。The ESBRA account is valid for only 24 hours.

AdamSslPortAdamSslPort

Active Directory から AD LDS にデータを同期するときに EdgeSync がバインドするセキュア LDAP ポート。The secure LDAP port EdgeSync binds to when synchronizing data from Active Directory to AD LDS. 既定では、これは TCP ポート 50636 です。By default, this is TCP port 50636.

ProductID

エッジ トランスポート サーバーのライセンス情報。エッジ サブスクリプションを作成する前に、エッジ トランスポート サーバーをライセンス認証する必要があります。The licensing information for the Edge Transport server. You need to license the Edge Transport server before creating the Edge Subscription.

VersionNumberVersionNumber

エッジ サブスクリプション ファイルのバージョン番号。The version number of the Edge Subscription file.

SerialNumberSerialNumber

エッジ トランスポート サーバーの Exchange バージョン。The Exchange version of the Edge Transport server.

重要

ESBRA 資格情報は、クリア テキストでエッジ サブスクリプション ファイルに書き込まれます。このファイルはサブスクリプション プロセスを通して保護する必要があります。エッジ サブスクリプション ファイルを Exchange 組織にインポートしたら、エッジ トランスポー トサーバー、Exchange 組織にファイルをインポートするために使用したネットワーク共有、およびすべてのリムーバブル メディアから、エッジ サブスクリプション ファイルを直ちに削除する必要があります。ESBRA credentials are written to the Edge Subscription file in clear text. You need to protect this file throughout the subscription process. After the Edge Subscription file is imported to your Exchange organization, you should immediately delete the Edge Subscription file from the Edge Transport server, from the network share you used to import the file to your Exchange organization, and from any removable media.

EdgeSync レプリケーション アカウントEdgeSync replication accounts

EdgeSync レプリケーション アカウント (ESRA) は、EdgeSync セキュリティの重要な部分です。ESRA の認証と承認は、エッジ トランスポート サーバーとメールボックス サーバー間の接続をセキュリティで保護するために使用されるメカニズムです。EdgeSync replication accounts (ESRA) are an important part of EdgeSync security. Authentication and authorization of the ESRA is the mechanism used to help secure the connection between an Edge Transport server and a Mailbox server.

エッジ サブスクリプション ファイルに保存された ESBRA は、最初の同期中にセキュア LDAP 接続を確立するために使用されます。エッジ サブスクリプション ファイルをエッジ トランスポート サーバーのサブスクライブ先である Active Directory サイト内のメールボックス サーバーにインポートすると、エッジ トランスポート サーバーとメールボックス サーバーのペアごとに追加の ESRA アカウントが Active Directory に作成されます。最初の同期時に、新しく作成された ESRA 資格情報が AD LDS へレプリケートされます。これらの ESRA 資格情報は、以後の同期セッションをセキュリティで保護するために使用されます。The ESBRA contained in the Edge Subscription file is used to establish a secure LDAP connection during initial synchronization. After the Edge Subscription file is imported to a Mailbox server in the Active Directory site where the Edge Transport server is being subscribed, additional ESRA accounts are created in Active Directory for each Edge Transport-Mailbox server pair. During initial synchronization, the newly created ESRA credentials are replicated to AD LDS. These ESRA credentials are used to help secure later synchronization sessions.

各 EdgeSync レプリケーション アカウントに、次の表に示すプロパティが割り当てられます。Each EdgeSync replication account is assigned the properties shown in the following table.

Ms-Exch-EdgeSyncCredential のプロパティMs-Exch-EdgeSyncCredential properties

プロパティ名Property name 種類Type 説明Description

TargetServerFQDNTargetServerFQDN

StringString

これらの資格情報を承認するエッジ トランスポート サーバー。The Edge Transport server accepting these credentials.

SourceServerFQDNSourceServerFQDN

StringString

これらの資格情報を提供するメールボックス サーバー。資格情報がブートストラップ資格情報の場合、この値は空です。The Mailbox server presenting these credentials. This value is empty if the credential is the bootstrap credential.

EffectiveTimeEffectiveTime

DateTime (UTC)DateTime (UTC)

この資格情報の使用を開始する日時。When to start using this credential.

ExpirationTimeExpirationTime

DateTime (UTC)DateTime (UTC)

この資格情報の使用を停止する日時。When to stop using this credential.

UserNameUserName

文字列String

認証に使用されるユーザー名。The user name used to authenticate.

PasswordPassword

ByteByte

認証に使用されるパスワード。パスワードは、 ms-Exch-EdgeSync-Certificate を使用して暗号化されます。 The password used to authenticate. The password is encrypted using ms-Exch-EdgeSync-Certificate.

以降のセクションでは、EdgeSync 同期プロセス中に、ESRA 資格情報を準備して使用する方法について説明します。The following sections describe how the ESRA credentials are provisioned and used during the EdgeSync synchronization process.

EdgeSync ブートストラップ レプリケーション アカウントを準備するProvision the EdgeSync bootstrap replication account

New-EdgeSubscription コマンドレットがエッジ トランスポート サーバーで実行されるとき、ESBRA は次のように準備されます。When the New-EdgeSubscription cmdlet is run on the Edge Transport server, the ESBRA is provisioned as follows:

  • 自己署名証明書 (Edge-Cert) が、エッジ トランスポート サーバーで作成されます。秘密キーはローカル コンピューター ストアに格納され、公開キーはエッジ サブスクリプション ファイルに書き込まれます。A self-signed certificate (Edge-Cert) is created on the Edge Transport server. The private key is stored in the local computer store and the public key is written to the Edge Subscription file.

  • ESBRA アカウントが AD LDS で作成され、その資格情報がエッジ サブスクリプション ファイルに書き込まれます。The ESBRA account is created in AD LDS, and its credentials are written to the Edge Subscription file.

  • エッジ サブスクリプション ファイルはリムーバブル メディアにコピーすることによってエクスポートされます (エッジ サーバーは Active Directory 内に存在しないため、ファイルのエクスポートに共有フォルダーを使用できません)。これで、ファイルをメールボックス サーバーにインポートする準備ができました。The Edge Subscription file is exported by copying it to removable media (because the Edge Server is not in your Active Directory, you cannot use a shared folder for exporting the file). The file is now ready to import to a Mailbox server.

Active Directory で EdgeSync レプリケーション アカウントを準備するProvision EdgeSync replication accounts in Active Directory

エッジ サブスクリプション ファイルをメールボックス サーバーにインポートするときに、Active Directory でエッジ サブスクリプションのレコードを設定し、追加の ESRA 資格情報を準備するための次の手順が実行されます。When the Edge Subscription file is imported on a Mailbox server, the following steps occur to establish a record of the Edge Subscription in Active Directory and to provision additional ESRA credentials:

  1. Active Directory でエッジ トランスポート サーバー構成オブジェクトが作成されます。Edge-Cert 証明書は、このオブジェクトに属性として書き込まれます。An Edge Transport server configuration object is created in Active Directory. The Edge-Cert certificate is written to this object as an attribute.

  2. サブスクライブ先の Active Directory サイト内のすべてのメールボックス サーバーが、新しいエッジ サブスクリプションが登録されたことを示す Active Directory 通知を受け取ります。通知を受信するとすぐに、各メールボックス サーバーは ESRA.edge アカウントを取得し、Edge-Cert 公開キーを使用してそのアカウントを暗号化します。暗号化された ESRA.edge アカウントは、エッジ トランスポート サーバー構成オブジェクトに書き込まれます。Every Mailbox server in the subscribed Active Directory site receives an Active Directory notification that a new Edge Subscription has been registered. As soon as the notification is received, each Mailbox server retrieves the ESRA.edge account and encrypts the account by using the Edge-Cert public key. The encrypted ESRA.edge account is written to the Edge Transport server configuration object.

  3. メールボックス サーバーごとに、自己署名証明書 (TransportService-Cert) が作成されます。秘密キーはローカル コンピューター ストアに保存され、公開キーは Active Directory 内のメールボックス サーバー構成オブジェクトに保存されます。Each Mailbox server creates a self-signed certificate (TransportService-Cert). The private key is stored in the local computer store and the public key is stored in the Mailbox server configuration object in Active Directory.

  4. 各メールボックス サーバーは、独自の TransportService 証明書の公開キーを使用して ESRA.edge アカウントを暗号化し、独自の構成オブジェクトに保存します。Each Mailbox server encrypts the ESRA.edge account by using the public key of its own TransportService certificate and then stores it in its own configuration object.

  5. 各メールボックス サーバーは、Active Directory 内の既存のエッジ トランスポート サーバー構成オブジェクトごとに ESRA (ESRA.edge.Each Mailbox server generates an ESRA for each existing Edge Transport server configuration object in Active Directory (ESRA.edge. Mailboxname.。#).Mailboxname.#).

    例 : ESRA.edge.Example.0Example: ESRA.edge.Example.0

    ESRA.edge 用のパスワードは、乱数ジェネレーターによって生成され、TransportService-Cert 証明書の公開キーを使用して暗号化されます。パスワードは、Windows Server に対して許可された最大長で生成されます。The password for ESRA.edge is generated by a random number generator and is encrypted by using the public key of the TransportService-Cert certificate. The generated password has the maximum length allowed for Windows Server.

  6. 各 ESRA.edge.Each ESRA.edge. *Mailboxname.。# *アカウントは、エッジ Cert 証明書の公開キーを使用して暗号化され、Active Directory 内のエッジトランスポートサーバー構成オブジェクトに格納されます。Mailboxname.# account is encrypted by using the public key of the Edge-Cert certificate and is stored on the Edge Transport server configuration object in Active Directory.

次のセクションでは、EdgeSync 同期中のこれらのアカウントの使用方法について説明します。The following sections explain how these accounts are used during EdgeSync synchronization.

最初のレプリケーションを認証するAuthenticate initial replication

最初の ESBRA アカウントは、最初の同期の確立時にのみ使用されます。The initial ESBRA account is used only when establishing initial synchronization. 最初の EdgeSync 同期中に、追加の ESRA アカウント、ESRA.Mailboxname.。# が AD LDS にレプリケートされます。During the first EdgeSync synchronization, the additional ESRA accounts, ESRA.edge.Mailboxname.#, are replicated to AD LDS. これらのアカウントは、以降の EdgeSync 同期セッションの認証に使用されます。These accounts are used to authenticate later EdgeSync synchronization sessions.

最初のレプリケーションを実行するメールボックス サーバーはランダムに決定されます。トポロジ スキャンを実行して新しいエッジ サブスクリプションを検出する Active Directory サイト内の最初のメールボックス サーバーが最初のレプリケーションを実行します。この検出はトポロジ スキャンのタイミングに基づいているため、サイト内のすべてのメールボックス サーバーが最初のレプリケーションを実行する可能性があります。The Mailbox server that performs the initial replication is determined randomly. The first Mailbox server in the Active Directory site to perform a topology scan and discover the new Edge Subscription performs the initial replication. Because this discovery is based on the timing of the topology scan, any Mailbox server in the site may perform the initial replication.

EdgeSync がメールボックス サーバーからエッジ トランスポート サーバーへのセキュア LDAP セッションを開始します。EdgeSync initiates a secure LDAP session from the Mailbox server to the Edge Transport server. エッジ トランスポート サーバーが自己署名証明書を提示し、メールボックス サーバーがその証明書が Active Directory 内のエッジ トランスポート サーバー構成オブジェクトに保存されている証明書と一致することを確認します。The Edge Transport server presents its self-signed certificate and the Mailbox server verifies that the certificate matches the certificate stored on the Edge Transport server configuration object in Active Directory. エッジトランスポートサーバーの id が確認されると、メールボックスサーバーが ESRA の資格情報を提供します。*Mailboxname.。# *エッジトランスポートサーバーのアカウント。After the Edge Transport server's identity is verified, the Mailbox server provides the credentials of the ESRA.edge.Mailboxname.# account to the Edge Transport server. エッジ トランスポート サーバーは、その資格情報を AD LDS に保存されているアカウントと照合します。The Edge Transport server verifies the credentials against the account stored in AD LDS.

その後で、メールボックス サーバー上の EdgeSync サービスが、トポロジ、構成、および受信者データを Active Directory から AD LDS にプッシュします。The EdgeSync service on the Mailbox server then pushes the topology, configuration, and recipient data from Active Directory to AD LDS. Active Directory 内のエッジ トランスポート サーバー構成オブジェクトに対する変更は、AD LDS にレプリケートされます。The change to the Edge Transport server configuration object in Active Directory is replicated to AD LDS. AD LDS は、新しく追加された ESRA エッジを受け取ります。*Mailboxname.。# *エントリと Microsoft Exchange Credential Service は、対応する AD LDS アカウントを作成します。AD LDS receives the newly added ESRA.edge.Mailboxname.# entries and the Microsoft Exchange Credential Service creates the corresponding AD LDS account. これらのアカウントは、以降のスケジュールされた EdgeSync 同期セッションの認証に使用できます。These accounts are now available to authenticate later scheduled EdgeSync synchronization sessions.

Microsoft Exchange Credential ServiceMicrosoft Exchange Credential Service

Microsoft Exchange Credential Service は、エッジ サブスクリプション プロセスの一部です。この資格情報サービスはエッジ トランスポート サーバー上でのみ動作します。このサービスが AD LDS で双方向の ESRA アカウントを作成し、EdgeSync 同期を実行するためにメールボックス サーバーがエッジ トランスポート サーバーで認証を受けることができるようにします。EdgeSync は、Microsoft Exchange Credential Service と直接通信しません。Microsoft Exchange Credential Service は AD LDS と通信し、メールボックス サーバーが ESRA 資格情報を更新するたびに、その情報をインストールします。The Microsoft Exchange Credential Service is part of the Edge Subscription process. The Credential Service runs only on the Edge Transport server. This service creates the reciprocal ESRA accounts in AD LDS so a Mailbox server can authenticate to an Edge Transport server to perform EdgeSync synchronization. EdgeSync doesn't communicate directly with the Microsoft Exchange Credential Service. The Microsoft Exchange Credential Service communicates with AD LDS and installs the ESRA credentials whenever the Mailbox server updates them.

スケジュールされた同期セッションを認証するAuthenticate scheduled synchronization sessions

初期 EdgeSync 同期が完了すると、EdgeSync 同期スケジュールが設定され、変更されたすべての Active Directory データが定期的に AD LDS で更新されます。メールボックス サーバーが、エッジ トランスポート サーバー上の AD LDS インスタンスとのセキュア LDAP セッションを開始します。AD LDS は、自己署名証明書を提示することによって、そのメールボックス サーバーに身元を証明します。メールボックス サーバーは、その ESRA.edge 資格情報を AD LDS に提供します。ESRA.edge パスワードは、メールボックス サーバーの自己署名証明書の公開キーを使用して暗号化されます。その特別なメールボックス サーバーだけがそれらの資格情報を使用して AD LDS に対して認証されます。After initial EdgeSync synchronization finishes, the EdgeSync synchronization schedule is established and any Active Directory data that has changed is regularly updated in AD LDS. A Mailbox server initiates a secure LDAP session with the AD LDS instance on the Edge Transport server. AD LDS proves its identity to that Mailbox server by presenting its self-signed certificate. The Mailbox server presents its ESRA.edge credentials to AD LDS. The ESRA.edge password is encrypted using the Mailbox server's self-signed certificate's public key. Only that particular Mailbox server can use those credentials to authenticate to AD LDS.

EdgeSync レプリケーション アカウントを更新するRenew EdgeSync replication accounts

ESRA アカウントのパスワードは、ローカル サーバーのパスワード ポリシーに従っている必要があります。パスワード更新プロセスで一時的な認証エラーが発生しないようにするために、最初の ESRA.edge アカウントが有効期限切れになる 7 日前に 2 つ目の ESRA.edge アカウントが作成されます。その有効期限は、最初の ESRA の有効期限の 3 日前です。2 つ目の ESRA.edge アカウントが有効になるとすぐに、EdgeSync が最初のアカウントの使用を停止し、2 つ目のアカウントの使用を開始します。最初のアカウントが有効期限に達すると、それらの ESRA 資格情報は削除されます。この更新処理は、エッジ サブスクリプションが削除されるまで継続されます。The password for the ESRA account must comply with the local server's password policy. To prevent the password renewal process from causing temporary authentication failure, a second ESRA.edge account is created seven days before the first ESRA.edge account expires, with an effective time three days before the first ESRA expiration time. As soon as the second ESRA.edge account becomes effective, EdgeSync stops using the first account and starts to use the second account. When the expiration time for the first account is reached, those ESRA credentials are deleted. This renewal process will continue until the Edge Subscription is removed.