Учетные данные пограничной подпискиEdge Subscription credentials

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В этом разделе объясняется, как процесс пограничной подписки подготавливает учетные данные, которые используются для защиты синхронизации EdgeSync, и как служба EdgeSync использует эти учетные данные для установки безопасного подключения LDAP между сервером почтовых ящиков Exchange 2013 и пограничным транспортным сервером. Дополнительные сведения о процессе пограничной подписки см. в разделе пограничные подписки.This topic explains how the Edge Subscription process provisions credentials used to help secure the EdgeSync synchronization process and how EdgeSync uses those credentials to establish a secure LDAP connection between an Exchange 2013 Mailbox server and an Edge Transport server. To learn more about the Edge Subscription process, see Edge Subscriptions.

СодержаниеContents

Процесс пограничной подпискиEdge Subscription process

Учетные записи репликации EdgeSyncEdgeSync replication accounts

Проверка подлинности первоначальной репликацииAuthenticate initial replication

Проверка подлинности запланированных сеансов синхронизацииAuthenticate scheduled synchronization sessions

Обновление учетных записей репликации EdgeSyncRenew EdgeSync replication accounts

Процесс пограничной подпискиEdge Subscription process

Пограничный транспортный сервер подписывается на сайт Active Directory, чтобы установить отношения синхронизации между серверами почтовых ящиков на сайте Active Directory и подписанным пограничным транспортным сервером. Учетные данные, которые предоставляются во время пограничной подписки, используются для защиты подключения LDAP между сервером почтовых ящиков и пограничным транспортным сервером в сети периметра.The Edge Transport server is subscribed to an Active Directory site to establish a synchronization relationship between the Mailbox servers in an Active Directory site and the subscribed Edge Transport server. The credentials provisioned during the Edge Subscription process are used to help secure the LDAP connection between a Mailbox server and an Edge Transport server in the perimeter network.

Когда вы выполняете командлет New-EdgeSubscription на пограничном транспортном сервере, в каталоге служб Active Directory облегченного доступа к каталогам (AD LDS) на локальном сервере создаются учетные данные учетной записи репликации начальной загрузки EdgeSync (ESBRA), которые затем записываются в файл пограничной подписки. Эти учетные данные используются только для установки первоначальной синхронизации. Их срок действия истекает через 24 часа после создания файла пограничной подписки. Если процесс пограничной подписки не будет завершен в течение 24 часов, потребуется повторно выполнить командлет New-EdgeSubscription, чтобы создать новый файл пограничной подписки. В XML-файле пограничной подписки хранятся данные конфигурации для пограничной подписки.When you run the New-EdgeSubscription cmdlet on an Edge Transport server, EdgeSync bootstrap replication account (ESBRA) credentials are created in the Active Directory Lightweight Directory Services (AD LDS) directory on the local server and then written to the Edge Subscription file. These credentials are used only to establish initial synchronization and will expire 24 hours after the Edge Subscription file is created. If the Edge Subscription process isn't completed within 24 hours, you will need to run the New-EdgeSubscription cmdlet again to create a new Edge Subscription file. The Edge Subscription XML file stores configuration data for the Edge Subscription.

В таблице ниже приведены данные, содержащиеся в XML-файле пограничной подписки.The Edge Subscription XML file contains the data shown in the following table.

Содержимое файла пограничной подпискиEdge Subscription file contents

Данные подпискиSubscription data ОписаниеDescription

EdgeServerNameEdgeServerName

NetBIOS-имя пограничного транспортного сервера. Имя пограничной подписки Active Directory будет совпадать с этим именем.The NetBIOS name of the Edge Transport server. The Active Directory name of the Edge Subscription will match this name.

EdgeServerFQDNEdgeServerFQDN

Полное доменное имя (FQDN) пограничного транспортного сервера. Серверы почтовых ящиков на подписанном сайте Active Directory должны быть способны находить пограничный транспортный сервер путем разрешения полного доменного имени с помощью DNS.The fully qualified domain name (FQDN) of the Edge Transport server. Mailbox servers in the subscribed Active Directory site must be able to locate the Edge Transport server by using DNS to resolve the FQDN.

EdgeCertificateBlobEdgeCertificateBlob

Открытый ключ самозаверяющего сертификата пограничного транспортного сервера.The public key of the Edge Transport server's self-signed certificate.

Имя пользователя ESRAESRAUsername

Имя, назначенное ESBRA. Учетная запись ESBRA имеет следующий формат: ESRA.имя_пограничного_транспортного_сервера. ESRA значит "учетная запись репликации EdgeSync" (EdgeSync replication account); обратите внимание на отличие между ESBRA (учетной записью репликации начальной загрузки) и ESRA.The name assigned to the ESBRA. The ESBRA account has the following format: ESRA.Edge Transport server name. ESRA means EdgeSync replication account; note the difference between ESBRA (initial bootstrap replication account) and ESRA.

Пароль ESRAESRAPassword

Пароль, назначенный ESBRA. Пароль формируется с помощью генератора случайных чисел и хранится в файле пограничной подписки в виде открытого текста.The password assigned to the ESBRA. The password is generated using a random number generator and is stored in the Edge Subscription file in clear text.

EffectiveDateEffectiveDate

Дата создания файла пограничной подписки.The creation date of the Edge Subscription file.

ДлительностьDuration

Срок действия учетных данных. Учетная запись ESBRA является действительной в течение только 24 часов.The length of time these credentials will be valid before they expire. The ESBRA account is valid for only 24 hours.

AdamSslPortAdamSslPort

Безопасный LDAP-порт, к которому привязывается служба EdgeSync при синхронизации данных из Active Directory в AD LDS. По умолчанию используется TCP-порт 50636.The secure LDAP port EdgeSync binds to when synchronizing data from Active Directory to AD LDS. By default, this is TCP port 50636.

ProductIDProductID

Лицензионная информация для пограничного транспортного сервера. Прежде чем создавать пограничную подписку, необходимо получить лицензию на пограничный транспортный сервер.The licensing information for the Edge Transport server. You need to license the Edge Transport server before creating the Edge Subscription.

Номер_версииVersionNumber

Номер версии файла пограничной подписки.The version number of the Edge Subscription file.

Серийный номерSerialNumber

Версия Exchange пограничного транспортного сервера.The Exchange version of the Edge Transport server.

Важно!

Учетные данные ESBRA записываются в файл пограничной подписки в виде открытого текста. Этот файл необходимо защищать на протяжении всего процесса подписки. После импорта файла пограничной подписки в организацию Exchange необходимо немедленно удалить его с пограничного транспортного сервера, из сетевой папки, из которой файл импортировался в организацию Exchange, и с любых съемных носителей.ESBRA credentials are written to the Edge Subscription file in clear text. You need to protect this file throughout the subscription process. After the Edge Subscription file is imported to your Exchange organization, you should immediately delete the Edge Subscription file from the Edge Transport server, from the network share you used to import the file to your Exchange organization, and from any removable media.

В началоReturn to top

Учетные записи репликации EdgeSyncEdgeSync replication accounts

Учетные записи репликации EdgeSync (ESRA) являются важной частью безопасности EdgeSync. Проверка подлинности и авторизация ESRA является механизмом защиты подключения между пограничным транспортным сервером и сервером почтовых ящиков.EdgeSync replication accounts (ESRA) are an important part of EdgeSync security. Authentication and authorization of the ESRA is the mechanism used to help secure the connection between an Edge Transport server and a Mailbox server.

ESBRA, которая содержится в файле пограничной подписки, используется для установки безопасного подключения LDAP во время первоначальной синхронизации. После импорта файла пограничной подписки на сервер почтовых ящиков на сайте Active Directory, на который подписывается пограничный транспортный сервер, в Active Directory создаются дополнительные учетные записи ESRA для каждой пары из пограничного транспортного сервера и сервера почтовых ящиков. Во время первоначальной синхронизации только что созданные учетные данные ESRA реплицируются в службу AD LDS. Эти учетные данные ESRA используются для защиты последующих сеансов синхронизации.The ESBRA contained in the Edge Subscription file is used to establish a secure LDAP connection during initial synchronization. After the Edge Subscription file is imported to a Mailbox server in the Active Directory site where the Edge Transport server is being subscribed, additional ESRA accounts are created in Active Directory for each Edge Transport-Mailbox server pair. During initial synchronization, the newly created ESRA credentials are replicated to AD LDS. These ESRA credentials are used to help secure later synchronization sessions.

Каждой учетной записи репликации EdgeSync назначаются свойства, приведенные в таблице ниже.Each EdgeSync replication account is assigned the properties shown in the following table.

Свойства Ms-Exch-EdgeSyncCredentialMs-Exch-EdgeSyncCredential properties

Имя свойстваProperty name ТипType ОписаниеDescription

TargetServerFQDNTargetServerFQDN

СтрокаString

Пограничный транспортный сервер, принимающий эти учетные данные.The Edge Transport server accepting these credentials.

SourceServerFQDNSourceServerFQDN

СтрокаString

Сервер почтовых ящиков, предоставляющий эти учетные данные. Значение пустое, если учетные данные являются учетными данными начальной загрузки.The Mailbox server presenting these credentials. This value is empty if the credential is the bootstrap credential.

EffectiveTimeEffectiveTime

Дата и время (в формате UTC)DateTime (UTC)

Время начала использования учетных данных.When to start using this credential.

ExpirationTimeExpirationTime

Дата и время (в формате UTC)DateTime (UTC)

Время завершения использования учетных данных.When to stop using this credential.

UserNameUserName

СтрокаString

Имя пользователя, используемое для проверки подлинности.The user name used to authenticate.

PasswordPassword

БайтByte

Пароль, используемый для проверки подлинности. Пароль шифруется с помощью ms-Exch-EdgeSync-Certificate. The password used to authenticate. The password is encrypted using ms-Exch-EdgeSync-Certificate.

В следующих пунктах описано, как учетные данные ESRA подготавливаются и используются в процессе синхронизации EdgeSync.The following sections describe how the ESRA credentials are provisioned and used during the EdgeSync synchronization process.

Подготовка учетной записи репликации начальной загрузки EdgeSyncProvision the EdgeSync bootstrap replication account

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере происходит подготовка ESBRA, как описано ниже.When the New-EdgeSubscription cmdlet is run on the Edge Transport server, the ESBRA is provisioned as follows:

  • На пограничном транспортном сервере создается самозаверяющий сертификат (Edge-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ записывается в файл пограничной подписки.A self-signed certificate (Edge-Cert) is created on the Edge Transport server. The private key is stored in the local computer store and the public key is written to the Edge Subscription file.

  • Учетная запись ESBRA создается в AD LDS, а ее учетные данные записываются в файл пограничной подписки.The ESBRA account is created in AD LDS, and its credentials are written to the Edge Subscription file.

  • Чтобы экспортировать файл пограничной подписки, скопируйте его со съемного носителя (поскольку пограничный сервер отсутствует в службе каталогов Active Directory, для экспорта файла невозможно использовать общую папку). После этого файл готов к импорту на сервер почтовых ящиков.The Edge Subscription file is exported by copying it to removable media (because the Edge Server is not in your Active Directory, you cannot use a shared folder for exporting the file). The file is now ready to import to a Mailbox server.

Подготовка учетных записей репликации EdgeSync в Active DirectoryProvision EdgeSync replication accounts in Active Directory

При импорте файла пограничной подписки на сервер почтовых ящиков выполняются описанные ниже действия для создания записи пограничной подписки в Active Directory и подготовки дополнительных учетных данных ESRA.When the Edge Subscription file is imported on a Mailbox server, the following steps occur to establish a record of the Edge Subscription in Active Directory and to provision additional ESRA credentials:

  1. В Active Directory создается объект конфигурации пограничного транспортного сервера. Сертификат Edge-Cert записывается в этот объект в качестве атрибута.An Edge Transport server configuration object is created in Active Directory. The Edge-Cert certificate is written to this object as an attribute.

  2. Каждый сервер почтовых ящиков на подписанном сайте Active Directory получает уведомление от Active Directory о том, что зарегистрирована новая пограничная подписка. После получения уведомления каждый сервер почтовых ящиков получает учетную запись ESRA.edge и шифрует ее с помощью открытого ключа Edge-Cert. Зашифрованная учетная запись ESRA.edge записывается в объект конфигурации пограничного транспортного сервера.Every Mailbox server in the subscribed Active Directory site receives an Active Directory notification that a new Edge Subscription has been registered. As soon as the notification is received, each Mailbox server retrieves the ESRA.edge account and encrypts the account by using the Edge-Cert public key. The encrypted ESRA.edge account is written to the Edge Transport server configuration object.

  3. Каждый сервер почтовых ящиков создает самозаверяющий сертификат (TransportService-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ — в объекте конфигурации сервера почтовых ящиков в Active Directory.Each Mailbox server creates a self-signed certificate (TransportService-Cert). The private key is stored in the local computer store and the public key is stored in the Mailbox server configuration object in Active Directory.

  4. Каждый сервер почтовых ящиков шифрует учетную запись ESRA.edge с помощью открытого ключа собственного сертификата TransportService и сохраняет ее в своем объекте конфигурации.Each Mailbox server encrypts the ESRA.edge account by using the public key of its own TransportService certificate and then stores it in its own configuration object.

  5. Каждый сервер почтовых ящиков создает ESRA для каждого существующего объекта конфигурации пограничного транспортного сервера в Active Directory (ESRA.edge. Имя_почтового_ящика . #).Each Mailbox server generates an ESRA for each existing Edge Transport server configuration object in Active Directory (ESRA.edge. Mailboxname.#).

    Пример: ESRA.edge.Example.0Example: ESRA.edge.Example.0

    Пароль для ESRA.edge создается с помощью генератора случайных чисел и шифруется с помощью открытого ключа сертификата TransportService-Cert. Созданный пароль имеет максимальную длину, допустимую для Windows Server.The password for ESRA.edge is generated by a random number generator and is encrypted by using the public key of the TransportService-Cert certificate. The generated password has the maximum length allowed for Windows Server.

  6. Каждый ESRA.edge. Имя_почтового_ящика *. # * учетной записи, шифруется с помощью открытого ключа сертификата Cert пограничного сервера и хранится на объект конфигурации пограничного транспортного сервера в службе каталогов Active Directory.Each ESRA.edge. Mailboxname.# account is encrypted by using the public key of the Edge-Cert certificate and is stored on the Edge Transport server configuration object in Active Directory.

В следующих пунктах описано, как эти учетные записи используются во время синхронизации EdgeSync.The following sections explain how these accounts are used during EdgeSync synchronization.

В началоReturn to top

Проверка подлинности первоначальной репликацииAuthenticate initial replication

Начальное учетная запись ESBRA используется только при установке начальной синхронизации. Во время первой синхронизации EdgeSync, дополнительные учетные записи ESRA, ESRA.edge. Имя_почтового_ящика *. # *, реплицируются в AD LDS. Эти учетные записи используются для проверки подлинности более поздние сеансов синхронизации EdgeSync.The initial ESBRA account is used only when establishing initial synchronization. During the first EdgeSync synchronization, the additional ESRA accounts, ESRA.edge.Mailboxname.#, are replicated to AD LDS. These accounts are used to authenticate later EdgeSync synchronization sessions.

Сервер почтовых ящиков, который выполняет первоначальную репликацию, выбирается случайным образом. Первоначальную репликацию выполняет сервер почтовых ящиков на сайте Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой сервер почтовых ящиков на сайте может выполнить первоначальную репликацию.The Mailbox server that performs the initial replication is determined randomly. The first Mailbox server in the Active Directory site to perform a topology scan and discover the new Edge Subscription performs the initial replication. Because this discovery is based on the timing of the topology scan, any Mailbox server in the site may perform the initial replication.

EdgeSync инициирует безопасной сеанс LDAP с сервера почтовых ящиков на пограничный транспортный сервер. Его самозаверяющим сертификатом предоставляет пограничный транспортный сервер и сервер почтовых ящиков проверяет соответствие сертификата сертификата, хранящиеся в объекте конфигурации пограничного транспортного сервера в Active Directory. После пограничного транспортного сервера с идентификатором прошел успешно, сервера почтовых ящиков предоставляет учетные данные ESRA.edge. Имя_почтового_ящика *. # * учетной записи для пограничного транспортного сервера. Пограничный транспортный сервер проверяет учетные данные для учетной записи, хранящиеся в AD LDS.EdgeSync initiates a secure LDAP session from the Mailbox server to the Edge Transport server. The Edge Transport server presents its self-signed certificate and the Mailbox server verifies that the certificate matches the certificate stored on the Edge Transport server configuration object in Active Directory. After the Edge Transport server's identity is verified, the Mailbox server provides the credentials of the ESRA.edge.Mailboxname.# account to the Edge Transport server. The Edge Transport server verifies the credentials against the account stored in AD LDS.

Служба EdgeSync на сервере почтовых ящиков помещает топологию, конфигурацию и данные получателей из службы каталогов Active Directory в AD LDS. Изменения в объект конфигурации пограничного транспортного сервера в службе каталогов Active Directory реплицируются в AD LDS. AD LDS получает только что добавленный ESRA.edge. Имя_почтового_ящика *. # * записей и учетных данных службы Microsoft Exchange создается соответствующая учетная запись служб AD LDS. Эти учетные записи теперь доступны для проверки подлинности позже запланированных сеансов синхронизации EdgeSync.The EdgeSync service on the Mailbox server then pushes the topology, configuration, and recipient data from Active Directory to AD LDS. The change to the Edge Transport server configuration object in Active Directory is replicated to AD LDS. AD LDS receives the newly added ESRA.edge.Mailboxname.# entries and the Microsoft Exchange Credential Service creates the corresponding AD LDS account. These accounts are now available to authenticate later scheduled EdgeSync synchronization sessions.

Служба учетных данных Microsoft ExchangeMicrosoft Exchange Credential Service

Служба учетных данных Microsoft Exchange является частью процесса пограничной подписки. Эта служба выполняется только на пограничном транспортном сервере. Она создает в AD LDS возвратные учетные записи ESRA, чтобы сервер почтовых ящиков мог выполнять проверку подлинности пограничного транспортного сервера для синхронизации EdgeSync. Служба EdgeSync не взаимодействует напрямую со службой учетных данных Microsoft Exchange. Служба учетных данных Microsoft Exchange взаимодействует с AD LDS и устанавливает учетные данные ESRA каждый раз, когда их обновляет сервер почтовых ящиков.The Microsoft Exchange Credential Service is part of the Edge Subscription process. The Credential Service runs only on the Edge Transport server. This service creates the reciprocal ESRA accounts in AD LDS so a Mailbox server can authenticate to an Edge Transport server to perform EdgeSync synchronization. EdgeSync doesn't communicate directly with the Microsoft Exchange Credential Service. The Microsoft Exchange Credential Service communicates with AD LDS and installs the ESRA credentials whenever the Mailbox server updates them.

В началоReturn to top

Проверка подлинности запланированных сеансов синхронизацииAuthenticate scheduled synchronization sessions

После завершения первоначальной синхронизации EdgeSync устанавливается расписание синхронизации EdgeSync, а данные, измененные в Active Directory, регулярно обновляются в AD LDS. Сервер почтовых ящиков инициирует безопасный сеанс LDAP с экземпляром AD LDS на пограничном транспортном сервере. Служба AD LDS подтверждает свое удостоверение для сервера почтовых ящиков, предоставляя самозаверяющий сертификат. Сервер почтовых ящиков предоставляет свои учетные данные ESRA.edge в AD LDS. Пароль ESRA.edge шифруется с помощью открытого ключа самозаверяющего сертификата сервера почтовых ящиков. Только данный сервер почтовых ящиков может использовать эти учетные данные для проверки подлинности с AD LDS.After initial EdgeSync synchronization finishes, the EdgeSync synchronization schedule is established and any Active Directory data that has changed is regularly updated in AD LDS. A Mailbox server initiates a secure LDAP session with the AD LDS instance on the Edge Transport server. AD LDS proves its identity to that Mailbox server by presenting its self-signed certificate. The Mailbox server presents its ESRA.edge credentials to AD LDS. The ESRA.edge password is encrypted using the Mailbox server's self-signed certificate's public key. Only that particular Mailbox server can use those credentials to authenticate to AD LDS.

В началоReturn to top

Обновление учетных записей репликации EdgeSyncRenew EdgeSync replication accounts

Пароль учетной записи ESRA должен соответствовать политике паролей локального сервера. Чтобы процесс обновления пароля не приводил к временным сбоям проверки подлинности, за семь дней до окончания срока действия первой учетной записи ESRA.edge создается вторая учетная запись ESRA.edge, которая вступает в силу за три дня до истечения срока действия первой ESRA. Как только вторая учетная запись ESRA.edge вступает в силу, EdgeSync прекращает использовать первую учетную запись и начинает использовать вторую. При истечении срока действия первой учетной записи соответствующие учетные данные ESRA удаляются. Этот процесс обновления продолжается до удаления пограничной подписки.The password for the ESRA account must comply with the local server's password policy. To prevent the password renewal process from causing temporary authentication failure, a second ESRA.edge account is created seven days before the first ESRA.edge account expires, with an effective time three days before the first ESRA expiration time. As soon as the second ESRA.edge account becomes effective, EdgeSync stops using the first account and starts to use the second account. When the expiration time for the first account is reached, those ESRA credentials are deleted. This renewal process will continue until the Edge Subscription is removed.

В началоReturn to top