Учетные данные пограничной подписки
Область применения: Exchange Server 2013 г.
В этом разделе объясняется, как процесс пограничной подписки подготавливает учетные данные, используемые для защиты процесса синхронизации EdgeSync, и как EdgeSync использует эти учетные данные для установления безопасного подключения LDAP между сервером почтовых ящиков Exchange 2013 и пограничным транспортным сервером. Дополнительные сведения о процессе подписки Edge см. в статье Подписки Edge.
Процесс пограничной подписки
Пограничный транспортный сервер подписывается на сайт Active Directory, чтобы установить отношения синхронизации между серверами почтовых ящиков на сайте Active Directory и подписанным пограничным транспортным сервером. Учетные данные, которые предоставляются во время пограничной подписки, используются для защиты подключения LDAP между сервером почтовых ящиков и пограничным транспортным сервером в сети периметра.
При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере учетные данные учетной записи начальной репликации EdgeSync (ESBRA) создаются в каталоге служб Active Directory упрощенных каталогов (AD LDS) на локальном сервере, а затем записываются в файл пограничной подписки. Эти учетные данные используются только для установки начальной синхронизации и срок действия истекает через 24 часа после создания файла подписки Edge. Если процесс подписки Edge не завершен в течение 24 часов, необходимо снова запустить командлет New-EdgeSubscription , чтобы создать файл подписки Edge. В XML-файле подписки Edge хранятся данные конфигурации для подписки Edge.
В таблице ниже приведены данные, содержащиеся в XML-файле пограничной подписки.
Содержимое файла пограничной подписки
| Данные подписки | Описание |
|---|---|
| EdgeServerName | NetBIOS-имя пограничного транспортного сервера. Имя пограничной подписки Active Directory будет совпадать с этим именем. |
| EdgeServerFQDN | Полное доменное имя (FQDN) пограничного транспортного сервера. Серверы почтовых ящиков на подписанном сайте Active Directory должны быть способны находить пограничный транспортный сервер путем разрешения полного доменного имени с помощью DNS. |
| EdgeCertificateBlob | Открытый ключ самозаверяющего сертификата пограничного транспортного сервера. |
| Имя пользователя ESRA | The name assigned to the ESBRA. Учетная запись ESBRA имеет следующий формат: ESRA. Имя пограничного транспортного сервера. ESRA means EdgeSync replication account; note the difference between ESBRA (initial bootstrap replication account) and ESRA. |
| Пароль ESRA | Пароль, назначенный ESBRA. Пароль формируется с помощью генератора случайных чисел и хранится в файле пограничной подписки в виде открытого текста. |
| EffectiveDate | Дата создания файла пограничной подписки. |
| Длительность | Срок действия учетных данных. Учетная запись ESBRA является действительной в течение только 24 часов. |
| AdamSslPort | Безопасный LDAP-порт, к которому привязывается служба EdgeSync при синхронизации данных из Active Directory в AD LDS. По умолчанию используется TCP-порт 50636. |
| Productid | Лицензионная информация для пограничного транспортного сервера. Прежде чем создавать пограничную подписку, необходимо получить лицензию на пограничный транспортный сервер. |
| VersionNumber | Номер версии файла пограничной подписки. |
| SerialNumber | Версия Exchange пограничного транспортного сервера. |
Важно!
Учетные данные ESBRA записываются в файл пограничной подписки в виде открытого текста. Этот файл необходимо защищать на протяжении всего процесса подписки. После импорта файла пограничной подписки в организацию Exchange необходимо немедленно удалить его с пограничного транспортного сервера, из сетевой папки, из которой файл импортировался в организацию Exchange, и с любых съемных носителей.
Учетные записи репликации EdgeSync
Учетные записи репликации EdgeSync (ESRA) являются важной частью безопасности EdgeSync. Проверка подлинности и авторизация ESRA является механизмом защиты подключения между пограничным транспортным сервером и сервером почтовых ящиков.
ESBRA, которая содержится в файле пограничной подписки, используется для установки безопасного подключения LDAP во время первоначальной синхронизации. После импорта файла пограничной подписки на сервер почтовых ящиков на сайте Active Directory, на который подписывается пограничный транспортный сервер, в Active Directory создаются дополнительные учетные записи ESRA для каждой пары из пограничного транспортного сервера и сервера почтовых ящиков. Во время первоначальной синхронизации только что созданные учетные данные ESRA реплицируются в службу AD LDS. Эти учетные данные ESRA используются для защиты последующих сеансов синхронизации.
Каждой учетной записи репликации EdgeSync назначаются свойства, приведенные в таблице ниже.
Свойства Ms-Exch-EdgeSyncCredential
| Имя свойства | Тип | Описание |
|---|---|---|
| TargetServerFQDN | Строка | Пограничный транспортный сервер, принимающий эти учетные данные. |
| SourceServerFQDN | Строка | Сервер почтовых ящиков, предоставляющий эти учетные данные. Значение пустое, если учетные данные являются учетными данными начальной загрузки. |
| EffectiveTime | Дата и время (в формате UTC) | Время начала использования учетных данных. |
| Срок действия | Дата и время (в формате UTC) | Время завершения использования учетных данных. |
| UserName | Строка | Имя пользователя, используемое для проверки подлинности. |
| Password | Байт | Пароль, используемый для проверки подлинности. Пароль шифруется с помощью ms-Exch-EdgeSync-Certificate. |
В следующих пунктах описано, как учетные данные ESRA подготавливаются и используются в процессе синхронизации EdgeSync.
Подготовка учетной записи репликации начальной загрузки EdgeSync
При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере происходит подготовка ESBRA, как описано ниже.
На пограничном транспортном сервере создается самозаверяющий сертификат (Edge-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ записывается в файл пограничной подписки.
Учетная запись ESBRA создается в AD LDS, а ее учетные данные записываются в файл пограничной подписки.
Чтобы экспортировать файл пограничной подписки, скопируйте его со съемного носителя (поскольку пограничный сервер отсутствует в службе каталогов Active Directory, для экспорта файла невозможно использовать общую папку). После этого файл готов к импорту на сервер почтовых ящиков.
Подготовка учетных записей репликации EdgeSync в Active Directory
При импорте файла пограничной подписки на сервер почтовых ящиков выполняются описанные ниже действия для создания записи пограничной подписки в Active Directory и подготовки дополнительных учетных данных ESRA.
В Active Directory создается объект конфигурации пограничного транспортного сервера. Сертификат Edge-Cert записывается в этот объект в качестве атрибута.
Каждый сервер почтовых ящиков на подписанном сайте Active Directory получает уведомление от Active Directory о том, что зарегистрирована новая пограничная подписка. После получения уведомления каждый сервер почтовых ящиков получает учетную запись ESRA.edge и шифрует ее с помощью открытого ключа Edge-Cert. Зашифрованная учетная запись ESRA.edge записывается в объект конфигурации пограничного транспортного сервера.
Каждый сервер почтовых ящиков создает самозаверяющий сертификат (TransportService-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ в объекте конфигурации сервера почтовых ящиков в Active Directory.
Каждый сервер почтовых ящиков шифрует учетную запись ESRA.edge с помощью открытого ключа собственного сертификата TransportService и сохраняет ее в своем объекте конфигурации.
Каждый сервер почтовых ящиков создает ESRA для каждого существующего объекта конфигурации пограничного транспортного сервера в Active Directory (ESRA.edge. Mailboxname.#).
Пример: ESRA.edge.Example.0
Пароль для ESRA.edge создается с помощью генератора случайных чисел и шифруется с помощью открытого ключа сертификата TransportService-Cert. Созданный пароль имеет максимальную длину, допустимую для Windows Server.
Каждый ESRA.edge. Учетная запись mailboxname.# шифруется с помощью открытого ключа сертификата Edge-Cert и хранится в объекте конфигурации пограничного транспортного сервера в Active Directory.
В следующих пунктах описано, как эти учетные записи используются во время синхронизации EdgeSync.
Проверка подлинности первоначальной репликации
The initial ESBRA account is used only when establishing initial synchronization. Во время первой синхронизации EdgeSync дополнительные учетные записи ESRA, ESRA.edge. Mailboxname.#, реплицируются в AD LDS. These accounts are used to authenticate later EdgeSync synchronization sessions.
Сервер почтовых ящиков, который выполняет первоначальную репликацию, выбирается случайным образом. Первоначальную репликацию выполняет сервер почтовых ящиков на сайте Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой сервер почтовых ящиков на сайте может выполнить первоначальную репликацию.
EdgeSync initiates a secure LDAP session from the Mailbox server to the Edge Transport server. The Edge Transport server presents its self-signed certificate and the Mailbox server verifies that the certificate matches the certificate stored on the Edge Transport server configuration object in Active Directory. После проверки удостоверения пограничного транспортного сервера сервер почтовых ящиков предоставляет учетные данные ESRA.edge. Mailboxname.# — учетная запись пограничного транспортного сервера. The Edge Transport server verifies the credentials against the account stored in AD LDS.
The EdgeSync service on the Mailbox server then pushes the topology, configuration, and recipient data from Active Directory to AD LDS. The change to the Edge Transport server configuration object in Active Directory is replicated to AD LDS. AD LDS получает только что добавленный ESRA.edge. Записи Mailboxname.# и служба учетных данных Microsoft Exchange создают соответствующую учетную запись AD LDS. These accounts are now available to authenticate later scheduled EdgeSync synchronization sessions.
Служба учетных данных Microsoft Exchange
Служба учетных данных Microsoft Exchange является частью процесса пограничной подписки. Эта служба выполняется только на пограничном транспортном сервере. Она создает в AD LDS возвратные учетные записи ESRA, чтобы сервер почтовых ящиков мог выполнять проверку подлинности пограничного транспортного сервера для синхронизации EdgeSync. Служба EdgeSync не взаимодействует напрямую со службой учетных данных Microsoft Exchange. Служба учетных данных Microsoft Exchange взаимодействует с AD LDS и устанавливает учетные данные ESRA каждый раз, когда их обновляет сервер почтовых ящиков.
Проверка подлинности запланированных сеансов синхронизации
После завершения первоначальной синхронизации EdgeSync устанавливается расписание синхронизации EdgeSync, а данные, измененные в Active Directory, регулярно обновляются в AD LDS. Сервер почтовых ящиков инициирует безопасный сеанс LDAP с экземпляром AD LDS на пограничном транспортном сервере. Служба AD LDS подтверждает свое удостоверение для сервера почтовых ящиков, предоставляя самозаверяющий сертификат. Сервер почтовых ящиков предоставляет свои учетные данные ESRA.edge в AD LDS. Пароль ESRA.edge шифруется с помощью открытого ключа самозаверяющего сертификата сервера почтовых ящиков. Только данный сервер почтовых ящиков может использовать эти учетные данные для проверки подлинности с AD LDS.
Обновление учетных записей репликации EdgeSync
Пароль учетной записи ESRA должен соответствовать политике паролей локального сервера. Чтобы процесс обновления пароля не приводил к временным сбоям проверки подлинности, за семь дней до окончания срока действия первой учетной записи ESRA.edge создается вторая учетная запись ESRA.edge, которая вступает в силу за три дня до истечения срока действия первой ESRA. Как только вторая учетная запись ESRA.edge вступает в силу, EdgeSync прекращает использовать первую учетную запись и начинает использовать вторую. При истечении срока действия первой учетной записи соответствующие учетные данные ESRA удаляются. Этот процесс обновления продолжается до удаления пограничной подписки.