Descripción de las credenciales de suscripciones perimetrales
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2007-02-21
En este tema se explica el modo en que el proceso de suscripción perimetral especifica las credenciales utilizadas para proteger el proceso de sincronización de EdgeSync de Microsoft Exchange Server 2007 y cómo el servicio EdgeSync de Microsoft Exchange utiliza dichas credenciales para establecer una conexión de Protocolo ligero de acceso a directorios (LDAP) segura entre un servidor de transporte perimetral y un servidor de transporte perimetral.
Un servidor de transporte perimetral puede estar suscrito a un sitio de servicio de directorio Active Directory. Cuando se suscribe el servidor de transporte perimetral al sitio Active Directory, se asocia dicho servidor a la organización de Exchange. Este proceso reduce las tareas de administración sobre la red perimetral ya que permite llevar a cabo la configuración necesaria en la función del servidor Transporte de concentradores y después enviar dicha información a la instancia del servicio de directorio de Active Directory Application Mode (ADAM) del servidor de transporte perimetral. Debe crear una suscripción perimetral si desea utilizar las características de búsqueda de destinatarios o agregación de listas seguras de correo electrónico no deseado, o bien si desea proteger las comunicaciones SMTP con dominios asociados a través de TLS mutua.
Para obtener más información acerca de las características que requieren sincronización de datos de Active Directory a ADAM, consulte los siguientes temas:
Proceso de suscripción perimetral
El servidor de transporte perimetral se suscribe a un sitio Active Directory para establecer una relación de sincronización entre los servidores de transporte perimetral de un sitio Active Directory y el servidor de transporte perimetral suscrito. El servicio EdgeSync de Microsoft Exchange es el servicio de sincronización de datos que se ejecuta en los servidores de transporte perimetral. Dicho servicio lleva a cabo una replicación unidireccional de la configuración y datos de destinatarios de Active Directory en la instancia ADAM del servidor de transporte perimetral suscrito. Las credenciales que se establecen en el proceso de suscripción perimetral se utilizan para proteger la conexión LDAP entre un servidor de transporte perimetral y un servidor de transporte perimetral de la red perimetral.
Cuando se ejecuta el cmdlet New-EdgeSubscription en el Shell de administración de Exchange de un servidor de transporte perimetral, las credenciales de la cuenta de replicación de inicio de EdgeSync (ESBRA) se crean en el directorio ADAM del servidor local y, a continuación, se escriben en el archivo de suscripción perimetral. Dichas credenciales únicamente se utilizan para establecer la sincronización inicial y caducan 1.440 minutos (24 horas) después de haberse creado el archivo de suscripción perimetral. Si el proceso de suscripción perimetral no ha finalizado en ese plazo de tiempo, vuelva a ejecutar el cmdlet New-EdgeSubscription en el Shell de administración de Exchange del servidor de transporte perimetral para crear un nuevo archivo de suscripción perimetral.
En la siguiente tabla se describen los datos que contiene el archivo XML de suscripción perimetral.
Contenidos del archivo de suscripción perimetral
| Datos de suscripción | Descripción |
|---|---|
Nombre del servidor perimetral |
Nombre NetBIOS del servidor de transporte perimetral. El nombre de la suscripción perimetral de Active Directory coincidirá con este nombre. |
FQDN del servidor perimetral |
El nombre completo de dominio (FQDN) del servidor de transporte perimetral. Los servidores de transporte perimetral del sitio Active Directory suscrito deben poder localizar el servidor de transporte perimetral mediante DNS para resolver el FQDN. |
Objeto binario grande del certificado perimetral (BLOB) |
La clave pública del certificado autofirmado del servidor de transporte perimetral. |
Nombre de usuario ESRA |
El nombre asignado a la ESBRA. La cuenta ESBRA tiene el siguiente formato: ESRA.Nombre del servidor de transporte perimetral. ESRA (del inglés EdgeSync replication account) significa cuenta de replicación de EdgeSync. |
Contraseña ESRA |
La contraseña asignada a la ESBRA. La contraseña se genera mediante un generador de número aleatorio y se almacena en el archivo de suscripción perimetral como texto no cifrado. |
Fecha efectiva |
Fecha de creación del archivo de suscripción perimetral. |
Duración |
Periodo de tiempo en que estas credenciales permanecerán vigentes. La cuenta ESBRA sólo es válida durante un periodo de 24 horas. |
Puerto SSL ADAM |
El puerto LDAP seguro al que enlaza el servicio EdgeSync cuando se sincronizan datos desde Active Directory a ADAM. De manera predeterminada, es el puerto TCP 50636. |
ID de producto |
La información de licencias del servidor de transporte perimetral. Una vez que el servidor de transporte perimetral está suscrito a Active Directory, su información de licencias se muestra en la Consola de administración de Exchange de la organización Exchange. Para que esta información se muestre correctamente, debe obtener licencia para el servidor de transporte perimetral antes de crear la suscripción perimetral. |
Importante
Las credenciales ESBRA se escriben en el archivo de suscripción perimetral como texto no cifrado. Debe proteger este archivo durante todo el proceso de suscripción. Después de importar el archivo de suscripción perimetral a un servidor de concentradores, debe eliminarlo del servidor de transporte perimetral, del servidor de transporte perimetral y de cualquier medio extraíble.
Cuentas de replicación de EdgeSync
Las cuentas de replicación de EdgeSync (ESRA) son una parte importante de la seguridad de EdgeSync. La autenticación y autorización de ESRA son los mecanismos que se emplean para proteger la conexión entre un servidor de transporte perimetral y un servidor de transporte perimetral.
La ESBRA que contiene el archivo de suscripción perimetral se utiliza para establecer una conexión LDAP segura durante la sincronización inicial. Después de importar el archivo de suscripción perimetral a un servidor de transporte perimetral del sitio Active Directory al que se está suscribiendo el transporte perimetral, se crean cuentas ESRA adicionales en Active Directory para cada par de servidores de transporte, de concentradores y perimetral. Durante la sincronización inicial, las credenciales ESRA que se acaban de crear se replican en ADAM. Dichas credenciales ESRA se utilizan para la protección en sesiones de sincronización posteriores.
A cada cuenta de replicación de EdgeSync se le asignan las propiedades que se describen en la tabla siguiente.
Propiedades Ms-Exch-EdgeSyncCredential
| Nombre de la propiedad | Tipo | Descripción |
|---|---|---|
TargetServerFQDN |
Cadena |
El servidor de transporte perimetral que aceptará estas credenciales. |
SourceServerFQDN |
Cadena |
El servidor de transporte perimetral que aceptará estas credenciales. Este valor está vacío si se trata de la credencial de inicio. |
EffectiveTime |
DateTime (UTC) |
Cuándo empezar a utilizar esta credencial. |
ExpirationTime |
DateTime (UTC) |
Cuándo dejar de utilizar esta credencial. |
UserName |
Cadena |
El nombre de usuario utilizado para la autenticación. |
Password |
Byte |
La contraseña utilizada para la autenticación. La contraseña se cifra mediante ms-Exch-EdgeSync-Certificate. |
Las siguientes secciones de este tema describen el modo en que se especifican las credenciales ESRA durante el proceso de sincronización de EdgeSync.
Especificación de la cuenta de replicación de inicio de EdgeSync
Cuando el cmdlet New-EdgeSubscription se ejecuta en el servidor de transporte perimetral, la ESBRA se especifica de la siguiente manera:
Se crea un certificado autofirmado (Edge-Cert) en el servidor de transporte perimetral. La clave privada se almacena en el almacén del equipo local y la clave pública se escribe en el archivo de suscripción perimetral.
La ESBRA (ESRA.Edge) se crea en ADAM y las credenciales se escriben en el archivo de suscripción perimetral.
El archivo de suscripción perimetral se exporta mediante su copia en un medio extraíble. El archivo está ahora preparado para importarse a un servidor de transporte perimetral.
Especificación de la cuenta de replicación de EdgeSync en Active Directory
Cuando el archivo de suscripción perimetral se importa a un servidor de transporte perimetral, se realizan los siguientes pasos para establecer un registro de la suscripción perimetral en Active Directory y para especificar credenciales ESRA adicionales.
Se crea un objeto de configuración del servidor de transporte perimetral en Active Directory. El certificado Edge-Cert se escribe en dicho objeto como un atributo.
Todos los servidores de transporte perimetral del sitio Active Directory suscrito reciben una notificación de Active Directory que informa de que se ha registrado una nueva suscripción perimetral. En cuanto se recibe dicha notificación, cada servidor de transporte perimetral recupera la cuenta ESRA.Edge y la cifra mediante la clave pública Edge-Cert. La cuenta ESRA.Edge cifrada se escribe en el objeto de configuración del servidor de transporte perimetral.
Cada servidor de transporte perimetral crea un certificado autofirmado (Hub-Cert). La clave privada se almacena en el almacén del equipo local y la clave pública se almacena en el objeto de configuración del servidor de transporte perimetral de Active Directory.
Cada servidor de transporte perimetral cifra la cuenta ESRA.Edge mediante la clave pública de su propio certificado Hub-Cert y, a continuación, la almacena en su propio objeto de configuración.
Cada servidor de transporte perimetral genera una ESRA para cada uno de los objetos de configuración de transporte perimetral de Active Directory (ESRA.Hub.Edge). El nombre de la cuenta se genera mediante la siguiente convención de nomenclatura:
ESRA.<Nombre NetBIOS del servidor de transporte perimetral>.<Nombre NetBIOS del servidor de transporte perimetral>.<Hora UTC de fecha efectiva>
La contraseña para ESRA.Hub.Edge se genera mediante un generador de número aleatorio y se cifra mediante la clave pública del certificado Hub-Cert. La contraseña que se genera tiene la longitud máxima permitida por Microsoft Windows Server.
Cada cuenta ESRA.Hub.Edge se cifra mediante la clave pública del certificado Edge-Cert y se almacena en el objeto de configuración del servidor de transporte perimetral de Active Directory.
En las siguientes secciones de este tema se explica cómo se utilizan estas cuentas durante el proceso de sincronización de EdgeSync.
Autenticación de replicación inicial
La cuenta ESBRA, ESRA.Edge, se utiliza únicamente cuando se establece la sesión inicial de sincronización. Durante la primera sesión de sincronización de EdgeSync, las cuentas ESRA adicionales, ESRA.Hub.Edge, se replican en ADAM. Estas cuentas se utilizan para autenticar sesiones de sincronización de EdgeSync posteriores.
El servidor de transporte perimetral que lleva a cabo la replicación inicial se determina de manera aleatoria. El primer servidor de transporte perimetral del sitio Active Directory que realiza una detección de la topología y descubre la nueva suscripción perimetral lleva a cabo la replicación inicial. Como dicho descubrimiento se basa en el tiempo de la detección de la topología, cualquier servidor de transporte perimetral del sitio puede realizar la replicación inicial.
El servicio EdgeSync de Microsoft Exchange inicia una sesión LDAP segura desde el servidor de transporte perimetral al servidor de transporte perimetral. El servidor de transporte perimetral presenta su certificado autofirmado y el servidor de transporte perimetral comprueba que dicho certificado coincide con el que está almacenado en el objeto de configuración del servidor de transporte perimetral de Active Directory. Una vez comprobada la identidad del servidor de transporte perimetral, el servidor de transporte perimetral proporciona las credenciales de la cuenta ESRA.Edge al servidor de transporte perimetral. El servidor de transporte perimetral comprueba las credenciales en la cuenta almacenada en ADAM.
Después, el servicio EdgeSync de Microsoft Exchange del servidor de transporte perimetral envía la topología, configuración y datos de destinatarios desde Active Directory a ADAM. El cambio en el objeto de configuración del servidor de transporte perimetral de Active Directory se replica en ADAM. ADAM recibe las entradas ESRA.Hub.Edge recientemente agregadas y el servicio de credenciales perimetrales crea la cuenta ADAM correspondiente. Estas cuentas están ya disponibles para autenticar sesiones programadas de sincronización de EdgeSync posteriores.
Servicio de credenciales perimetrales
El servicio de credenciales perimetrales forma parte del proceso de suscripción perimetral. Únicamente se ejecuta en el servidor de transporte perimetral. Este servicio crea las cuentas ESRA recíprocas de ADAM para que un servidor de transporte perimetral pueda autenticarse en un servidor de transporte perimetral y poder así realizar sincronización de EdgeSync. El servicio EdgeSync de Microsoft Exchange no comunica directamente con el servicio de credenciales perimetrales. El servicio de credenciales perimetrales comunica con ADAM e instala las credenciales ESRA cuando el servidor de transporte perimetral las actualiza.
Autenticación de sesiones de sincronización programadas
Tras la sincronización de EdgeSync inicial, se establece la programación para la sincronización de EdgeSync y los datos que han cambiado en Active Directory se actualizan de manera periódica en ADAM. Un servidor de transporte perimetral inicia una sesión LDAP segura con la instancia ADAM del servidor de transporte perimetral. ADAM prueba su identidad ante este servidor de transporte perimetral presentándole su certificado autofirmado. El servidor de transporte perimetral presenta sus credenciales ESRA.Hub.Edge a ADAM. La contraseña de ESRA.Hub.Edge se cifra mediante la clave pública del certificado autofirmado del servidor de transporte perimetral. Esto significa que únicamente este servidor de transporte perimetral concreto puede utilizar estas credenciales para autenticar en ADAM.
Renovación de cuentas de replicación de EdgeSync
La contraseña de la cuenta ESRA debe ajustarse a la directiva de contraseñas del servidor local. Para evitar que el proceso de renovación de contraseñas produzca errores temporales de autenticación, se crea una segunda cuenta ESRA.Hub.Edge siete días antes de que caduque la primera cuenta ESRA.Hub.Edge. Dicha segunda cuenta entra en vigor tres días antes de que caduque la primera cuenta ESRA. En cuanto entra en vigor la segunda cuenta ESRA, EdgeSync deja de utilizar la primera cuenta e inicia el uso de la segunda. Cuando caduca la primera cuenta, las credenciales de la ESRA se eliminan. El proceso de renovación continúa hasta que la suscripción perimetral se quita.
Para obtener más información
Para obtener más información, consulte los temas siguientes: