Учетные данные пограничной подпискиEdge Subscription credentials

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В этом разделе объясняется, как процесс пограничной подписки подготавливает учетные данные, которые используются для защиты синхронизации EdgeSync, и как служба EdgeSync использует эти учетные данные для установки безопасного подключения LDAP между сервером почтовых ящиков Exchange 2013 и пограничным транспортным сервером. Дополнительные сведения о процессе пограничной подписки см. в разделе пограничные подписки.This topic explains how the Edge Subscription process provisions credentials used to help secure the EdgeSync synchronization process and how EdgeSync uses those credentials to establish a secure LDAP connection between an Exchange 2013 Mailbox server and an Edge Transport server. To learn more about the Edge Subscription process, see Edge Subscriptions.

Процесс пограничной подпискиEdge Subscription process

Пограничный транспортный сервер подписывается на сайт Active Directory, чтобы установить отношения синхронизации между серверами почтовых ящиков на сайте Active Directory и подписанным пограничным транспортным сервером. Учетные данные, которые предоставляются во время пограничной подписки, используются для защиты подключения LDAP между сервером почтовых ящиков и пограничным транспортным сервером в сети периметра.The Edge Transport server is subscribed to an Active Directory site to establish a synchronization relationship between the Mailbox servers in an Active Directory site and the subscribed Edge Transport server. The credentials provisioned during the Edge Subscription process are used to help secure the LDAP connection between a Mailbox server and an Edge Transport server in the perimeter network.

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере в каталоге служб Active Directory облегченного доступа к каталогам (AD LDS) на локальном сервере создаются учетные данные учетной записи службы начальной загрузки EDGESYNC (ESBRA), а затем записывается в файл пограничной подписки.When you run the New-EdgeSubscription cmdlet on an Edge Transport server, EdgeSync bootstrap replication account (ESBRA) credentials are created in the Active Directory Lightweight Directory Services (AD LDS) directory on the local server and then written to the Edge Subscription file. Эти учетные данные используются только для установления начальной синхронизации и истечения срока действия через 24 часа после создания файла пограничной подписки.These credentials are used only to establish initial synchronization and will expire 24 hours after the Edge Subscription file is created. Если процесс пограничной подписки не закончится в течение 24 часов, вам потребуется снова запустить командлет New – EdgeSubscription , чтобы создать новый файл пограничной подписки.If the Edge Subscription process isn't completed within 24 hours, you will need to run the New-EdgeSubscription cmdlet again to create a new Edge Subscription file. В XML-файле пограничной подписки хранятся данные конфигурации пограничной подписки.The Edge Subscription XML file stores configuration data for the Edge Subscription.

В таблице ниже приведены данные, содержащиеся в XML-файле пограничной подписки.The Edge Subscription XML file contains the data shown in the following table.

Содержимое файла пограничной подпискиEdge Subscription file contents

Данные подпискиSubscription data ОписаниеDescription

ЕджесервернамеEdgeServerName

NetBIOS-имя пограничного транспортного сервера. Имя пограничной подписки Active Directory будет совпадать с этим именем.The NetBIOS name of the Edge Transport server. The Active Directory name of the Edge Subscription will match this name.

ЕджесерверфкднEdgeServerFQDN

Полное доменное имя (FQDN) пограничного транспортного сервера. Серверы почтовых ящиков на подписанном сайте Active Directory должны быть способны находить пограничный транспортный сервер путем разрешения полного доменного имени с помощью DNS.The fully qualified domain name (FQDN) of the Edge Transport server. Mailbox servers in the subscribed Active Directory site must be able to locate the Edge Transport server by using DNS to resolve the FQDN.

ЕджецертификатеблобEdgeCertificateBlob

Открытый ключ самозаверяющего сертификата пограничного транспортного сервера.The public key of the Edge Transport server's self-signed certificate.

Имя пользователя ESRAESRAUsername

The name assigned to the ESBRA.The name assigned to the ESBRA. Учетная запись ESBRA имеет следующий формат: УЧЕТНЫЕ ESRA. Имя пограничного транспортного сервера.The ESBRA account has the following format: ESRA.Edge Transport server name. ESRA means EdgeSync replication account; note the difference between ESBRA (initial bootstrap replication account) and ESRA.ESRA means EdgeSync replication account; note the difference between ESBRA (initial bootstrap replication account) and ESRA.

Пароль ESRAESRAPassword

Пароль, назначенный ESBRA. Пароль формируется с помощью генератора случайных чисел и хранится в файле пограничной подписки в виде открытого текста.The password assigned to the ESBRA. The password is generated using a random number generator and is stored in the Edge Subscription file in clear text.

EffectiveDateEffectiveDate

Дата создания файла пограничной подписки.The creation date of the Edge Subscription file.

ДлительностьDuration

Срок действия учетных данных.The length of time these credentials will be valid before they expire. Учетная запись ESBRA является действительной в течение только 24 часов.The ESBRA account is valid for only 24 hours.

АдамсслпортAdamSslPort

Безопасный LDAP-порт, к которому привязывается служба EdgeSync при синхронизации данных из Active Directory в AD LDS.The secure LDAP port EdgeSync binds to when synchronizing data from Active Directory to AD LDS. По умолчанию используется TCP-порт 50636.By default, this is TCP port 50636.

ProductIDProductID

Лицензионная информация для пограничного транспортного сервера. Прежде чем создавать пограничную подписку, необходимо получить лицензию на пограничный транспортный сервер.The licensing information for the Edge Transport server. You need to license the Edge Transport server before creating the Edge Subscription.

VersionNumberVersionNumber

Номер версии файла пограничной подписки.The version number of the Edge Subscription file.

SerialNumberSerialNumber

Версия Exchange пограничного транспортного сервера.The Exchange version of the Edge Transport server.

Важно!

Учетные данные ESBRA записываются в файл пограничной подписки в виде открытого текста. Этот файл необходимо защищать на протяжении всего процесса подписки. После импорта файла пограничной подписки в организацию Exchange необходимо немедленно удалить его с пограничного транспортного сервера, из сетевой папки, из которой файл импортировался в организацию Exchange, и с любых съемных носителей.ESBRA credentials are written to the Edge Subscription file in clear text. You need to protect this file throughout the subscription process. After the Edge Subscription file is imported to your Exchange organization, you should immediately delete the Edge Subscription file from the Edge Transport server, from the network share you used to import the file to your Exchange organization, and from any removable media.

Учетные записи репликации EdgeSyncEdgeSync replication accounts

Учетные записи репликации EdgeSync (ESRA) являются важной частью безопасности EdgeSync. Проверка подлинности и авторизация ESRA является механизмом защиты подключения между пограничным транспортным сервером и сервером почтовых ящиков.EdgeSync replication accounts (ESRA) are an important part of EdgeSync security. Authentication and authorization of the ESRA is the mechanism used to help secure the connection between an Edge Transport server and a Mailbox server.

ESBRA, которая содержится в файле пограничной подписки, используется для установки безопасного подключения LDAP во время первоначальной синхронизации.The ESBRA contained in the Edge Subscription file is used to establish a secure LDAP connection during initial synchronization. После импорта файла пограничной подписки на сервер почтовых ящиков на сайте Active Directory, на который подписывается пограничный транспортный сервер, в Active Directory создаются дополнительные учетные записи ESRA для каждой пары из пограничного транспортного сервера и сервера почтовых ящиков.After the Edge Subscription file is imported to a Mailbox server in the Active Directory site where the Edge Transport server is being subscribed, additional ESRA accounts are created in Active Directory for each Edge Transport-Mailbox server pair. Во время первоначальной синхронизации только что созданные учетные данные ESRA реплицируются в службу AD LDS.During initial synchronization, the newly created ESRA credentials are replicated to AD LDS. Эти учетные данные ESRA используются для защиты последующих сеансов синхронизации.These ESRA credentials are used to help secure later synchronization sessions.

Каждой учетной записи репликации EdgeSync назначаются свойства, приведенные в таблице ниже.Each EdgeSync replication account is assigned the properties shown in the following table.

Свойства Ms-Exch-EdgeSyncCredentialMs-Exch-EdgeSyncCredential properties

Имя свойстваProperty name ТипType ОписаниеDescription

ТаржетсерверфкднTargetServerFQDN

StringString

Пограничный транспортный сервер, принимающий эти учетные данные.The Edge Transport server accepting these credentials.

СаурцесерверфкднSourceServerFQDN

StringString

Сервер почтовых ящиков, предоставляющий эти учетные данные. Значение пустое, если учетные данные являются учетными данными начальной загрузки.The Mailbox server presenting these credentials. This value is empty if the credential is the bootstrap credential.

EffectiveTimeEffectiveTime

Дата и время (в формате UTC)DateTime (UTC)

Время начала использования учетных данных.When to start using this credential.

ЕкспиратионтимеExpirationTime

Дата и время (в формате UTC)DateTime (UTC)

Время завершения использования учетных данных.When to stop using this credential.

UserNameUserName

СтрокаString

Имя пользователя, используемое для проверки подлинности.The user name used to authenticate.

PasswordPassword

БайтByte

Пароль, используемый для проверки подлинности. Пароль шифруется с помощью ms-Exch-EdgeSync-Certificate. The password used to authenticate. The password is encrypted using ms-Exch-EdgeSync-Certificate.

В следующих пунктах описано, как учетные данные ESRA подготавливаются и используются в процессе синхронизации EdgeSync.The following sections describe how the ESRA credentials are provisioned and used during the EdgeSync synchronization process.

Подготовка учетной записи репликации начальной загрузки EdgeSyncProvision the EdgeSync bootstrap replication account

При выполнении командлета New-EdgeSubscription на пограничном транспортном сервере происходит подготовка ESBRA, как описано ниже.When the New-EdgeSubscription cmdlet is run on the Edge Transport server, the ESBRA is provisioned as follows:

  • На пограничном транспортном сервере создается самозаверяющий сертификат (Edge-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ записывается в файл пограничной подписки.A self-signed certificate (Edge-Cert) is created on the Edge Transport server. The private key is stored in the local computer store and the public key is written to the Edge Subscription file.

  • Учетная запись ESBRA создается в AD LDS, а ее учетные данные записываются в файл пограничной подписки.The ESBRA account is created in AD LDS, and its credentials are written to the Edge Subscription file.

  • Чтобы экспортировать файл пограничной подписки, скопируйте его со съемного носителя (поскольку пограничный сервер отсутствует в службе каталогов Active Directory, для экспорта файла невозможно использовать общую папку). После этого файл готов к импорту на сервер почтовых ящиков.The Edge Subscription file is exported by copying it to removable media (because the Edge Server is not in your Active Directory, you cannot use a shared folder for exporting the file). The file is now ready to import to a Mailbox server.

Подготовка учетных записей репликации EdgeSync в Active DirectoryProvision EdgeSync replication accounts in Active Directory

При импорте файла пограничной подписки на сервер почтовых ящиков выполняются описанные ниже действия для создания записи пограничной подписки в Active Directory и подготовки дополнительных учетных данных ESRA.When the Edge Subscription file is imported on a Mailbox server, the following steps occur to establish a record of the Edge Subscription in Active Directory and to provision additional ESRA credentials:

  1. В Active Directory создается объект конфигурации пограничного транспортного сервера. Сертификат Edge-Cert записывается в этот объект в качестве атрибута.An Edge Transport server configuration object is created in Active Directory. The Edge-Cert certificate is written to this object as an attribute.

  2. Каждый сервер почтовых ящиков на подписанном сайте Active Directory получает уведомление от Active Directory о том, что зарегистрирована новая пограничная подписка. После получения уведомления каждый сервер почтовых ящиков получает учетную запись ESRA.edge и шифрует ее с помощью открытого ключа Edge-Cert. Зашифрованная учетная запись ESRA.edge записывается в объект конфигурации пограничного транспортного сервера.Every Mailbox server in the subscribed Active Directory site receives an Active Directory notification that a new Edge Subscription has been registered. As soon as the notification is received, each Mailbox server retrieves the ESRA.edge account and encrypts the account by using the Edge-Cert public key. The encrypted ESRA.edge account is written to the Edge Transport server configuration object.

  3. Каждый сервер почтовых ящиков создает самозаверяющий сертификат (TransportService-Cert). Закрытый ключ хранится в хранилище локального компьютера, а открытый ключ — в объекте конфигурации сервера почтовых ящиков в Active Directory.Each Mailbox server creates a self-signed certificate (TransportService-Cert). The private key is stored in the local computer store and the public key is stored in the Mailbox server configuration object in Active Directory.

  4. Каждый сервер почтовых ящиков шифрует учетную запись ESRA.edge с помощью открытого ключа собственного сертификата TransportService и сохраняет ее в своем объекте конфигурации.Each Mailbox server encrypts the ESRA.edge account by using the public key of its own TransportService certificate and then stores it in its own configuration object.

  5. Each Mailbox server generates an ESRA for each existing Edge Transport server configuration object in Active Directory (ESRA.edge.Each Mailbox server generates an ESRA for each existing Edge Transport server configuration object in Active Directory (ESRA.edge. Маилбокснаме. #).Mailboxname.#).

    Пример: ESRA.edge.Example.0Example: ESRA.edge.Example.0

    Пароль для ESRA.edge создается с помощью генератора случайных чисел и шифруется с помощью открытого ключа сертификата TransportService-Cert. Созданный пароль имеет максимальную длину, допустимую для Windows Server.The password for ESRA.edge is generated by a random number generator and is encrypted by using the public key of the TransportService-Cert certificate. The generated password has the maximum length allowed for Windows Server.

  6. Each ESRA.edge.Each ESRA.edge. *Маилбокснаме. # * учетная запись шифруется с помощью открытого ключа сертификата Edge-Cert и хранится в объекте конфигурации пограничного транспортного сервера в Active Directory.Mailboxname.# account is encrypted by using the public key of the Edge-Cert certificate and is stored on the Edge Transport server configuration object in Active Directory.

В следующих пунктах описано, как эти учетные записи используются во время синхронизации EdgeSync.The following sections explain how these accounts are used during EdgeSync synchronization.

Проверка подлинности первоначальной репликацииAuthenticate initial replication

The initial ESBRA account is used only when establishing initial synchronization.The initial ESBRA account is used only when establishing initial synchronization. Во время первой синхронизации EdgeSync дополнительные учетные записи УЧЕТНЫЕ ESRA, УЧЕТНЫЕ ESRA. Edge. *Маилбокснаме. # *, реплицируются в AD LDS.During the first EdgeSync synchronization, the additional ESRA accounts, ESRA.edge.Mailboxname.#, are replicated to AD LDS. These accounts are used to authenticate later EdgeSync synchronization sessions.These accounts are used to authenticate later EdgeSync synchronization sessions.

Сервер почтовых ящиков, который выполняет первоначальную репликацию, выбирается случайным образом. Первоначальную репликацию выполняет сервер почтовых ящиков на сайте Active Directory, который первым выполнил сканирование топологии и обнаружил новую пограничную подписку. Поскольку такое обнаружение зависит от времени сканирования топологии, любой сервер почтовых ящиков на сайте может выполнить первоначальную репликацию.The Mailbox server that performs the initial replication is determined randomly. The first Mailbox server in the Active Directory site to perform a topology scan and discover the new Edge Subscription performs the initial replication. Because this discovery is based on the timing of the topology scan, any Mailbox server in the site may perform the initial replication.

EdgeSync initiates a secure LDAP session from the Mailbox server to the Edge Transport server.EdgeSync initiates a secure LDAP session from the Mailbox server to the Edge Transport server. The Edge Transport server presents its self-signed certificate and the Mailbox server verifies that the certificate matches the certificate stored on the Edge Transport server configuration object in Active Directory.The Edge Transport server presents its self-signed certificate and the Mailbox server verifies that the certificate matches the certificate stored on the Edge Transport server configuration object in Active Directory. После проверки удостоверения пограничного транспортного сервера сервер почтовых ящиков предоставляет учетные данные УЧЕТНЫЕ ESRA. Edge. *Маилбокснаме. # * учетная запись на пограничном транспортном сервере.After the Edge Transport server's identity is verified, the Mailbox server provides the credentials of the ESRA.edge.Mailboxname.# account to the Edge Transport server. The Edge Transport server verifies the credentials against the account stored in AD LDS.The Edge Transport server verifies the credentials against the account stored in AD LDS.

The EdgeSync service on the Mailbox server then pushes the topology, configuration, and recipient data from Active Directory to AD LDS.The EdgeSync service on the Mailbox server then pushes the topology, configuration, and recipient data from Active Directory to AD LDS. The change to the Edge Transport server configuration object in Active Directory is replicated to AD LDS.The change to the Edge Transport server configuration object in Active Directory is replicated to AD LDS. AD LDS получает недавно добавленный УЧЕТНЫЕ ESRA. Edge. *Маилбокснаме. # * записи и служба учетных данных Microsoft Exchange создает соответствующую учетную запись AD LDS.AD LDS receives the newly added ESRA.edge.Mailboxname.# entries and the Microsoft Exchange Credential Service creates the corresponding AD LDS account. These accounts are now available to authenticate later scheduled EdgeSync synchronization sessions.These accounts are now available to authenticate later scheduled EdgeSync synchronization sessions.

Служба учетных данных Microsoft ExchangeMicrosoft Exchange Credential Service

Служба учетных данных Microsoft Exchange является частью процесса пограничной подписки.The Microsoft Exchange Credential Service is part of the Edge Subscription process. Эта служба выполняется только на пограничном транспортном сервере.The Credential Service runs only on the Edge Transport server. Она создает в AD LDS возвратные учетные записи ESRA, чтобы сервер почтовых ящиков мог выполнять проверку подлинности пограничного транспортного сервера для синхронизации EdgeSync.This service creates the reciprocal ESRA accounts in AD LDS so a Mailbox server can authenticate to an Edge Transport server to perform EdgeSync synchronization. Служба EdgeSync не взаимодействует напрямую со службой учетных данных Microsoft Exchange.EdgeSync doesn't communicate directly with the Microsoft Exchange Credential Service. Служба учетных данных Microsoft Exchange взаимодействует с AD LDS и устанавливает учетные данные ESRA каждый раз, когда их обновляет сервер почтовых ящиков.The Microsoft Exchange Credential Service communicates with AD LDS and installs the ESRA credentials whenever the Mailbox server updates them.

Проверка подлинности запланированных сеансов синхронизацииAuthenticate scheduled synchronization sessions

После завершения первоначальной синхронизации EdgeSync устанавливается расписание синхронизации EdgeSync, а данные, измененные в Active Directory, регулярно обновляются в AD LDS.After initial EdgeSync synchronization finishes, the EdgeSync synchronization schedule is established and any Active Directory data that has changed is regularly updated in AD LDS. Сервер почтовых ящиков инициирует безопасный сеанс LDAP с экземпляром AD LDS на пограничном транспортном сервере.A Mailbox server initiates a secure LDAP session with the AD LDS instance on the Edge Transport server. Служба AD LDS подтверждает свое удостоверение для сервера почтовых ящиков, предоставляя самозаверяющий сертификат.AD LDS proves its identity to that Mailbox server by presenting its self-signed certificate. Сервер почтовых ящиков предоставляет свои учетные данные ESRA.edge в AD LDS.The Mailbox server presents its ESRA.edge credentials to AD LDS. Пароль ESRA.edge шифруется с помощью открытого ключа самозаверяющего сертификата сервера почтовых ящиков.The ESRA.edge password is encrypted using the Mailbox server's self-signed certificate's public key. Только данный сервер почтовых ящиков может использовать эти учетные данные для проверки подлинности с AD LDS.Only that particular Mailbox server can use those credentials to authenticate to AD LDS.

Обновление учетных записей репликации EdgeSyncRenew EdgeSync replication accounts

Пароль учетной записи ESRA должен соответствовать политике паролей локального сервера.The password for the ESRA account must comply with the local server's password policy. Чтобы процесс обновления пароля не приводил к временным сбоям проверки подлинности, за семь дней до окончания срока действия первой учетной записи ESRA.edge создается вторая учетная запись ESRA.edge, которая вступает в силу за три дня до истечения срока действия первой ESRA.To prevent the password renewal process from causing temporary authentication failure, a second ESRA.edge account is created seven days before the first ESRA.edge account expires, with an effective time three days before the first ESRA expiration time. Как только вторая учетная запись ESRA.edge вступает в силу, EdgeSync прекращает использовать первую учетную запись и начинает использовать вторую.As soon as the second ESRA.edge account becomes effective, EdgeSync stops using the first account and starts to use the second account. При истечении срока действия первой учетной записи соответствующие учетные данные ESRA удаляются.When the expiration time for the first account is reached, those ESRA credentials are deleted. Этот процесс обновления продолжается до удаления пограничной подписки.This renewal process will continue until the Edge Subscription is removed.