Informationen zu den Edge-Abonnementanmeldeinformationen
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-02-21
In diesem Thema wird erläutert, wie der Edge-Abonnementprozess die Anmeldeinformationen bereitstellt, die zum Sichern des EdgeSync-Synchronisierungsprozesses in Microsoft Exchange Server 2007 verwendet werden. Außerdem wird beschrieben, wie der Microsoft Exchange EdgeSync-Dienst diese Anmeldeinformationen zum Herstellen einer sicheren LDAP-Verbindung (Lightweight Directory Access Protocol) zwischen einem Hub-Transport-Server und einem Edge-Transport-Server verwendet.
Ein Edge-Transport-Server kann für einen Standort des Active Directory-Verzeichnisdiensts abonniert werden. Beim Abonnieren des Edge-Transport-Servers für den Active Directory-Standort wird der Edge-Transport-Server der Exchange-Organisation zugeordnet. Bei diesem Verfahren wird die erforderliche Verwaltung verringert, die Sie im Umkreisnetzwerk ausführen müssen, indem Sie die erforderliche Konfiguration mit der Serverfunktion Hub-Transport ausführen und diese Informationen dann mittels Push in die Instanz des Active Directory Application Mode-Verzeichnisdiensts (ADAM) auf den Edge-Transport-Server schreiben können. Sie müssen ein Edge-Abonnement erstellen, wenn Sie planen, die Empfängersuche oder die Antispamfunktionen der Aggregation von Listen sicherer Adressen zu verwenden bzw. die SMTP-Kommunikation mit Partnerdomänen mithilfe vom MTLS zu sichern.
Weitere Informationen zu den Features, für die Synchronisierung von Daten aus Active Directory nach ADAM erforderlich ist, finden Sie unter den folgenden Themen:
Edge-Abonnementprozess
Ein Active Directory-Standort wird von einem Edge-Transport-Server abonniert, um eine Synchronisierungsbeziehung zwischen den Hub-Transport-Servern an einem Active Directory-Standort und dem abonnierten Edge-Transport-Server einzurichten. Der Microsoft Exchange EdgeSync-Dienst ist ein Dienst zur Datensynchronisierung, der auf Hub-Transport-Servern ausgeführt wird. Dieser Dienst führt die unidirektionale Replikation von Konfigurations- und Empfängerdaten aus Active Directory in die ADAM-Instanz auf dem abonnierten Edge-Transport-Server aus. Die Anmeldeinformationen, die während des Edge-Abonnementprozesses bereitgestellt werden, werden zum Sichern der LDAP-Verbindung zwischen einem Hub-Transport-Server und einem Edge-Transport-Server im Umkreisnetzwerk verwendet.
Wenn Sie das Cmdlet New-EdgeSubscription in der Exchange-Verwaltungsshell auf einem Edge-Transport-Server ausführen, werden die ESBRA-Anmeldeinformationen (EdgeSync Bootstrap Replication Account) im ADAM-Verzeichnis auf dem lokalen Server erstellt und dann in die Edge-Abonnementdatei geschrieben. Diese Anmeldeinformationen werden nur zum Einrichten der anfänglichen Synchronisierung verwendet und laufen 1.440 Minuten (24 Stunden) nach Erstellung der Edge-Abonnementdatei ab. Wenn der Edge-Abonnementprozess in diesem Zeitraum nicht abgeschlossen wird, müssen Sie das Cmdlet New-EdgeSubscription in der Exchange-Verwaltungsshell auf dem Edge-Transport-Server erneut ausführen, um eine neue Edge-Abonnementdatei zu erstellen.
Die folgende Tabelle beschreibt die Daten, die in der Edge-Abonnementdatei enthalten sind.
Inhalt der Edge-Abonnementdatei
| Abonnementdaten | Beschreibung |
|---|---|
Name des Edge-Servers |
Der NetBIOS-Name des Edge-Transport-Servers. Der Name des Edge-Abonnements in Active Directory ist mit diesem Namen identisch. |
FQDN des Edge-Servers |
Der vollqualifizierte Domänenname (FQDN, Fully Qualified Domain Name) des Edge-Transport-Servers. Die Hub-Transport-Server am abonnierten Active Directory-Standort müssen in der Lage sein, den Edge-Transport-Server mithilfe von DNS zu Auflösen des FQDNs zu ermitteln. |
Edge-Zertifikat-BLOB (Binary Large Object) |
Der öffentliche Schlüssel des selbstsignierten Zertifikats des Edge-Transport-Servers. |
ESRA-Benutzername |
Der dem ESBRA-Konto zugewiesene Name. Das ESBRA-Konto weist folgendes Format auf: ESRA.Edge-Transport-Server-Name. ESRA ist das Akronym für "EdgeSync Replication Account". |
ESRA-Kennwort |
Das dem ESBRA-Konto zugewiesene Kennwort. Das Kennwort wird mithilfe eines Zufallszahlengenerators generiert und in der Edge-Abonnementdatei als unverschlüsselter Klartext gespeichert. |
Erstellungsdatum |
Das Erstellungsdatum der Edge-Abonnementdatei. |
Gültigkeitsdauer |
Die Zeitspanne, für die diese Anmeldeinformationen gültig sind, bevor sie ablaufen. Das ESBRA-Konto ist nur 24 Stunden gültig. |
ADAM SSL-Anschluss |
Der sichere LDAP-Port, an den der EdgeSync-Dienst beim Synchronisieren von Daten aus Active Directory nach ADAM gebunden wird. Standardmäßig ist dies der TCP-Port 50636. |
Product ID |
Die Lizenzierungsinformationen für den Edge-Transport-Server. Nachdem ein Edge-Transport-Server Active Directory abonniert hat, werden die Lizenzierungsinformationen zum Edge-Transport-Server in der Exchange-Verwaltungskonsole für die Exchange-Organisation angezeigt. Sie müssen den Edge-Transport-Server lizenzieren, bevor Sie das Edge-Abonnement erstellen, damit dieses Informationen richtig angezeigt werden. |
Wichtig
Die ESBRA-Anmeldeinformationen werden als unverschlüsselter Klartext in die Edge-Abonnementdatei geschrieben. Diese Datei muss während des gesamten Abonnementprozesses geschützt werden. Nachdem die Edge-Abonnementdatei auf einen Hub-Transport-Server importiert wurde, sollten Sie die Edge-Abonnementdatei sofort vom Edge-Transport-Server, vom Hub-Transport-Server und von allen Wechselmedien löschen.
EdgeSync-Replikationskonten
Die EdgeSync-Replikationskonten (ESRA) sind ein wichtiger Teil der EdgeSync-Sicherheit. Die Authentifizierung und Autorisierung der ESRA-Konten ist ein Mechanismus, mit dem die Verbindung zwischen einem Edge-Transport-Server und einem Hub-Transport-Server gesichert wird.
Das ESBRA-Konto, das in der Edge-Abonnementdatei enthalten ist, wird während der anfänglichen Synchronisierung zum Herstellen einer sicheren LDAP-Verbindung verwendet. Nachdem die Edge-Abonnementdatei auf einen Hub-Transport-Server am Active Directory-Standort importiert wurde, den der Edge-Transport-Server abonniert hat, werden weitere ESRA-Konten in Active Directory für jedes Paar aus Edge-Transport- und Hub-Transport-Servern erstellt. Während der anfänglichen Synchronisierung werden die neu erstellten ESRA-Anmeldeinformationen nach ADAM repliziert. Diese ESRA-Anmeldeinformationen sichern spätere Synchronisierungssitzungen.
Jedem EdgeSync-Replikationskonto werden die in der folgenden Tabelle beschriebenen Eigenschaften zugewiesen.
Ms-Exch-EdgeSyncCredential-Eigenschaften
| Eigenschaftenname | Typ | Beschreibung |
|---|---|---|
TargetServerFQDN |
String |
Der Edge-Transport-Server, der diese Anmeldeinformationen akzeptiert. |
SourceServerFQDN |
String |
Der Hub-Transport-Server, der diese Anmeldeinformationen bereitstellt. Dieser Wert ist leer, wenn es sich bei den Anmeldeinformationen um die Bootstrapanmeldeinformationen handelt. |
EffectiveTime |
DateTime (UTC) |
Datum und Uhrzeit des Gültigkeitsbeginns dieser Anmeldeinformationen. |
ExpirationTime |
DateTime (UTC) |
Datum und Uhrzeit des Gültigkeitsablaufs dieser Anmeldeinformationen. |
UserName |
String |
Der Benutzername, der für die Authentifizierung verwendet wird. |
Password |
Byte |
Das Kennwort, das für die Authentifizierung verwendet wird. Das Kennwort wird mithilfe von ms-Exch-EdgeSync-Certificate verschlüsselt. |
In den folgenden Abschnitten dieses Themas wird beschrieben, wie die ESRA-Anmeldeinformationen während des EdgeSync-Synchronisierungsprozesses bereitgestellt und verwendet werden.
Bereitstellen des ESBRA-Kontos (EdgeSync Bootstrap Replication Account)
Wenn das Cmdlet New-EdgeSubscription auf dem Edge-Transport-Server ausgeführt wird, wird das ESBRA-Konto folgendermaßen bereitgestellt:
Ein selbstsigniertes Zertifikat (Edge-Cert) wird auf dem Edge-Transport-Server erstellt. Der private Schlüssel wird im Informationsspeicher des lokalen Computers gespeichert, und der öffentliche Schlüssel wird in die Edge-Abonnementdatei geschrieben.
Das ESBRA-Konto (ESRA.Edge) wird in ADAM erstellt, und die Anmeldeinformationen werden in die Edge-Abonnementdatei geschrieben.
Die Edge-Abonnementdatei wird durch Kopieren auf Wechselmedien exportiert. Die Datei ist nun für den Import auf einen Hub-Transport-Server bereit.
Bereitstellen von EdgeSync-Replikationskonten in Active Directory
Wenn die Edge-Abonnementdatei auf einem Hub-Transport-Server importiert wird, werden die folgenden Schritte ausgeführt, um einen Datensatz des Edge-Abonnements in Active Directory einzurichten und zusätzliche ESRA-Anmeldeinformationen zur Verfügung zu stellen.
Ein Edge-Transport-Server-Konfigurationsobjekt wird in Active Directory erstellt. Das Zertifikat Edge-Cert wird als Attribut in dieses Objekt geschrieben.
Jeder Hub-Transport-Server am abonnierten Active Directory-Standort empfängt eine Active Directory-Benachrichtigung, dass das neue Edge-Abonnement registriert wurde. Sobald diese Benachrichtigung empfangen wurde, ruft jeder Hub-Transport-Server das Konto ESRA.Edge ab und verschlüsselt dieses Konto mithilfe des öffentlichen Schlüssels Edge-Cert. Das verschlüsselte Konto ESRA.Edge wird in das Edge-Transport-Server-Konfigurationsobjekt geschrieben.
Jeder Hub-Transport-Server erstellt ein selbstsigniertes Zertifikat (Hub-Cert). Der private Schlüssel wird im Informationsspeicher des lokalen Computers gespeichert, und der öffentliche Schlüssel wird im Hub-Transport-Server-Konfigurationsobjekt in Active Directory gespeichert.
Jeder Hub-Transport-Server verschlüsselt das Konto ESRA.Edge mithilfe des öffentlichen Schlüssels seines eigenen Zertifikats Hub-Cert und speichert es dann in seinem eigenen Konfigurationsobjekt.
Jeder Hub-Transport-Server generiert ein ESRA-Konto für jedes vorhandene Edge-Transport-Server-Konfigurationsobjekt in Active Directory (ESRA.Hub.Edge). Der Kontoname wird mithilfe der folgenden Namenskonvention generiert:
ESRA.<NetBIOS-Name_des_Hub-Transport-Servers>.<NetBIOS-Name_des_Edge-Transport-Servers>.<Erstellungsdatum_UTC_Uhrzeit>
Das Kennwort für ESRA.Hub.Edge wird mithilfe eines Zufallszahlengenerators generiert und mithilfe des öffentlichen Schlüssels des Zertifikats Hub-Cert verschlüsselt. Das generierte Kennwort besitzt die maximale Länge, die in Microsoft Windows Server zulässig ist.
Jedes Konto ESRA.Hub.Edge wird mithilfe des öffentlichen Schlüssels des Zertifikats Edge-Cert und dann im Edge-Transport-Server-Konfigurationsobjekt in Active Directory gespeichert.
In den folgenden Abschnitten dieses Themas wird beschrieben, wie diese Konten während des EdgeSync-Synchronisierungsprozesses verwendet werden.
Authentifizierung der anfänglichen Replikation
Das ESBRA-Konto ESRA.Edge wird nur beim Einrichten der anfänglichen Synchronisierungssitzung verwendet. Während der ersten EdgeSync-Synchronisierungssitzung werden die weiteren ESRA-Konten (ESRA.Hub.Edge) nach ADAM repliziert. Diese Konten werden zum Authentifizieren nachfolgender EdgeSync-Synchronisierungssitzungen verwendet.
Der Hub-Transport-Server, der die anfängliche Replikation durchführt, wird nach dem Zufallsprinzip bestimmt. Der erste Hub-Transport-Server am Active Directory-Standort, der einen Topologiescan durchführt und das neue Edge-Abonnement erkennt, führt die anfängliche Replikation durch. Da diese Erkennung auf dem Zeitpunkt des Topologiescans basiert, kann jeder Hub-Transport-Server am Standort die anfängliche Replikation durchführen.
Der Microsoft Exchange EdgeSync-Dienst leitet eine sichere LDAP-Sitzung vom Hub-Transport- zum Edge-Transport-Server ein. Der Edge-Transport-Server reicht sein selbstsigniertes Zertifikat ein, und der Hub-Transport-Server stellt sicher, dass das Zertifikat dem Zertifikat entspricht, das im Edge-Transport-Server-Konfigurationsobjekt in Active Directory gespeichert ist. Nachdem die Identität des Edge-Transport-Servers überprüft wurde, stellt der Hub-Transport-Server dem Edge-Transport-Server die Anmeldeinformationen des Kontos ESRA.Edge zur Verfügung. Der Edge-Transport-Server überprüft die Anmeldeinformationen, indem er sie mit dem Konto vergleicht, das in ADAM gespeichert ist.
Der Microsoft Exchange EdgeSync-Dienst auf dem Hub-Transport-Server übermittelt die Topologie-, Konfigurations- und Empfängerdaten dann mittels Push aus Active Directory an ADAM. Die Änderung des Edge-Transport-Server-Konfigurationsobjekts in Active Directory wird nach ADAM repliziert. ADAM empfängt die neu hinzugefügten ESRA.Hub.Edge-Einträge, und der Edge-Anmeldeinformationsdienst erstellt das entsprechende ADAM-Konto. Diese Konten stehen nun zum Authentifizieren nachfolgender EdgeSync-Synchronisierungssitzungen zur Verfügung.
Edge-Anmeldeinformationsdienst
Der Edge-Anmeldeinformationsdienst ist Teil des Edge-Abonnementprozesses. Er wird nur auf dem Edge-Transport-Server ausgeführt. Dieser Dienst erstellt die bidirektionalen ESRA-Konten in ADAM, damit sich ein Hub-Transport-Server bei einem Edge-Transport-Server zum Durchführen der EdgeSync-Synchronisierung authentifizieren kann. Der Microsoft Exchange EdgeSync-Dienst kommuniziert nicht direkt mit dem Edge-Anmeldeinformationsdienst. Der Edge-Anmeldeinformationsdienst kommuniziert mit ADAM und installiert die ESRA-Anmeldeinformationen, wenn der Hub-Transport-Server diese aktualisiert.
Authentifizierung geplanter Synchronisierungssitzungen
Nachdem die anfängliche EdgeSync-Synchronisierung abgeschlossen ist, wird der Zeitplan für die EdgeSync-Synchronisierung festgelegt, und Daten, die sich in Active Directory geändert haben, werden regelmäßig in ADAM aktualisiert. Ein Hub-Transport-Server leitet eine sichere LDAP-Sitzung mit der ADAM-Instanz auf dem Edge-Transport-Server ein. ADAM beweist diesem Hub-Transport-Server seine Identität, indem das selbstsignierte Zertifikat vorgelegt wird. Der Hub-Transport-Server legt ADAM seine ESRA.Hub.Edge-Anmeldeinformationen vor. Das ESRA.Hub.Edge-Kennwort wird mithilfe des öffentliche Schlüssel des selbstsignierten Zertifikats des Hub-Transport-Servers verschlüsselt. Dies bedeutet, dass nur dieser bestimmte Hub-Transport-Server diese Anmeldeinformationen für die Authentifizierung bei ADAM verwenden kann.
Erneuern der EdgeSync-Replikationskonten
Das Kennwort für das ESRA-Konto muss der Kennwortrichtlinie des lokalen Servers genügen. Um zu verhindern, dass der Kennworterneuerungsprozess zu einem temporären Authentifizierungsfehler führt, wird ein zweites Konto ESRA.Hub.Edge mit einer Gültigkeitsdauer von drei Tagen vor dem Ablaufzeitpunkt des ersten ESRA-Kontos sieben Tage vor Ablauf des ersten Kontos ESRA.Hub.Edge erstellt. Sobald das zweite ESRA-Konto gültig wird, verwendet EdgeSync das erste Konto nicht mehr und beginnt mit der Verwendung des zweiten Kontos. Wenn der Ablaufzeitpunkt für das erste Konto erreicht wird, werden diese ESRA-Anmeldeinformationen gelöscht. Dieser Erneuerungsprozess wird fortgesetzt, bis das Edge-Abonnement entfernt wird.
Weitere Informationen
Weitere Informationen hierzu finden Sie unter den folgenden Themen: