Credenziali della sottoscrizione Edge
Si applica a: Exchange Server 2013
L'argomento spiega come la procedura di sottoscrizione Edge fornisce credenziali utilizzate per proteggere il processo di sincronizzazione EdgeSync e il modo in cui tali credenziali vengono utilizzate da EdgeSync per stabilire una connessione LDAP protetta tra un server Cassette postali di Exchange 2013 e un server Trasporto Edge. Per ulteriori informazioni sul processo di sottoscrizione Edge, vedere Sottoscrizioni Edge.
Processo di sottoscrizione Edge
Il server Trasporto Edge viene sottoscritto a un sito di Active Directory per stabilire una relazione di sincronizzazione tra i server Cassette postali di un sito di Active Directory e il server Trasporto Edge sottoscritto. Le credenziali di cui viene effettuato il provisioning durante il processo di sottoscrizione Edge vengono utilizzate per fornire protezione alla connessione LDAP tra un server Cassette postali e un server Trasporto Edge nella rete perimetrale.
Quando si esegue il cmdlet New-EdgeSubscription su un server Trasporto Edge, le credenziali dell'account di replica bootstrap EdgeSync (ESBRA) vengono create nella directory Lightweight Directory Services (AD LDS) sul server locale e quindi scritte nel file di sottoscrizione Edge. Queste credenziali vengono utilizzate solo per stabilire la sincronizzazione iniziale e scadranno dopo 24 ore dalla creazione del file sottoscrizione Edge. Se il processo di sottoscrizione Edge non viene completato entro 24 ore, sarà necessario eseguire nuovamente il cmdlet New-EdgeSubscription per creare un nuovo file di sottoscrizione Edge. Il file XML di sottoscrizione Edge contiene i dati di configurazione della sottoscrizione Edge.
Il file XML di sottoscrizione di Edge contiene i dati riportati nella seguente tabella.
Contenuto del file sottoscrizione Edge
| Dati di sottoscrizione | Descrizione |
|---|---|
| EdgeServerName | Nome NetBIOS del server Trasporto Edge. Il nome di Active Directory della sottoscrizione Edge corrisponderà a questo nome. |
| EdgeServerFQDN | Il nome di dominio completo (FQDN) del server Trasporto Edge. I server Cassette postali nel sito di Active Director sottoscritto devono essere in grado di individuare il server Trasporto Edge utilizzando DNS per la risoluzione del nome di domino completo. |
| EdgeCertificateBlob | La chiave pubblica del certificato autofirmato del server Trasporto Edge. |
| ESRAUsername | Il nome assegnato all'account ESBRA. L'account ESBRA ha il formato seguente: ESRA. Nome del server Trasporto Edge. ESRA sta per account di replica di EdgeSync; tenere presente la differenza tra ESBRA (account di replica bootstrap iniziale) ed ESRA. |
| ESRAPassword | Password assegnata all'ESBRA. La password viene generata usando un generatore di numeri casuali e viene archiviata nel file della sottoscrizione Edge in testo non crittografata. |
| EffectiveDate | La data di creazione del file sottoscrizione Edge. |
| Durata | Il periodo di validità delle credenziali prima della scadenza. L'account ESBRA è valido solo per 24 ore. |
| AdamSslPort | La porta LDAP protetta alla quale è associato EdgeSync durante la sincronizzazione dei dati da Active Directory ad AD LDS. Per impostazione predefinita, viene utilizzata la porta TCP 50636. |
| Productid | Le informazioni sulla licenza per il server Trasporto Edge. È necessario assegnare una licenza al server Trasporto Edge prima di creare la sottoscrizione Edge. |
| Versionnumber | Il numero della versione del file di sottoscrizione Edge. |
| Serialnumber | La versione di Exchange del server Trasporto Edge. |
Importante
Le credenziali ESBRA vengono scritte nel file sottoscrizione Edge in formato testo non crittografato. Questo file deve essere protetto durante tutto il processo di sottoscrizione. Dopo aver importato il file di sottoscrizione Edge nell'organizzazione Exchange, eliminare immediatamente questo file dal server Trasporto Edge, dalla condivisione di rete utilizzata per importare il file nell'organizzazione Exchange e da qualsiasi supporto rimovibile.
Account di replica EdgeSync
Gli account di replica EdgeSync (ESRA) sono un importante componente di protezione di EdgeSync. L'autenticazione e l'autorizzazione dell'account ESRA è il meccanismo utilizzato per fornire protezione alla connessione tra un server Trasporto Edge e un server Cassette postali.
L'account ESBRA contenuto nel file sottoscrizione Edge viene utilizzato per stabilire una connessione LDAP protetta durante la sincronizzazione iniziale. Dopo aver importato il file sottoscrizione Edge in un server Cassette postali nel sito di Active Directory a cui viene sottoscritto il server Trasporto Edge, in Active Directory vengono creati account ESRA aggiuntivi per ogni coppia di server Trasporto Edge-Cassette postali. Durante la sincronizzazione iniziale, le credenziali degli account ESRA appena creati vengono replicate in AD LDS. Tali credenziali vengono utilizzate per fornire protezione alle sessioni di sincronizzazione successive.
A ogni account di replica EdgeSync vengono assegnate le proprietà descritte nella seguente tabella.
Proprietà Ms-Exch-EdgeSyncCredential
| Nome proprietà | Tipo | Descrizione |
|---|---|---|
| TargetServerFQDN | Stringa | Il server Trasporto Edge che accetta queste credenziali. |
| SourceServerFQDN | Stringa | Il server Cassette postali che presenta queste credenziali. Se si tratta di credenziali bootstrap, questo valore sarà vuoto. |
| EffectiveTime | DateTime (UTC) | Il momento in cui sarà possibile iniziare a utilizzare le credenziali. |
| ExpirationTime | DateTime (UTC) | Il momento in cui non sarà più possibile utilizzare le credenziali. |
| UserName | Stringa | Nome utente usato per l'autenticazione. |
| Password | Byte | La password utilizzata per l'autenticazione. Questa password viene crittografata utilizzando ms-Exch-EdgeSync-Certificate. |
Nelle seguenti sezioni vengono descritti il provisioning e l'utilizzo delle credenziali dell'account ESRA durante il processo di sincronizzazione EdgeSync.
Provisioning dell'account di replica bootstrap EdgeSync
Quando si esegue il cmdlet New-EdgeSubscription sul server Trasporto Edge, viene effettuato il provisioning dell'account ESBRA nel seguente modo:
Viene creato un certificato autofirmato (Edge-Cert) sul server Trasporto Edge. La chiave privata viene memorizzata nell'archivio del computer locale e la chiave pubblica viene scritta nel file sottoscrizione Edge.
L'account ESBRA viene creato in AD LDS e le credenziali vengono scritte nel file di sottoscrizione Edge.
Il file della sottoscrizione Edge viene esportato copiandolo in supporti rimovibili(poiché il server perimetrale non si trova in Active Directory, non è possibile usare una cartella condivisa per l'esportazione del file). Il file è ora pronto per l'importazione in un server Cassette postali.
Provisioning degli account di replica EdgeSync in Active Directory
Quando il file sottoscrizione Edge viene importato in un server Cassette postali, si verificano i seguenti passaggi per definire un record della sottoscrizione Edge in Active Directory ed effettuare il provisioning delle credenziali degli account ESRA aggiuntivi.
Viene creato l'oggetto di configurazione server Trasporto Edge in Active Directory. Il certificato Edge-Cert viene scritto in questo oggetto come attributo.
Ogni server Cassette postali nel sito di Active Directory sottoscritto riceve da Active Directory una notifica relativa alla registrazione di una nuova sottoscrizione Edge. Una volta ricevuta la notifica, l'account ESRA.edge viene recuperato da ogni server Cassette postali e crittografato tramite la chiave pubblica Edge-Cert. L'account crittografato ESRA.edge viene quindi scritto nell'oggetto di configurazione server Trasporto Edge.
Viene creato un certificato autofirmato (TransportService-Cert) da ogni server Cassette postali. La chiave privata viene memorizzata nell'archivio del computer locale e la chiave pubblica viene archiviata nell'oggetto di configurazione server Cassette postali in Active Directory.
L'account ESRA.edge viene crittografato in ogni server Cassette postali tramite la chiave pubblica del suo certificato TransportService e quindi viene archiviato nell'oggetto di configurazione corrispondente.
Ogni server Cassette postali genera un'ESRA per ogni oggetto di configurazione del server Trasporto Edge esistente in Active Directory (ESRA.edge). Mailboxname.#).
Esempio: ESRA.edge.Example.0
La password per ESRA.edge viene creata da un generatore di numeri casuali e crittografata tramite la chiave pubblica del certificato TransportService-Cert. La lunghezza massima della password è quella consentita per Windows Server.
Ogni ESRA.edge. L'account Mailboxname.# viene crittografato usando la chiave pubblica del certificato Edge-Cert e viene archiviato nell'oggetto di configurazione del server Trasporto Edge in Active Directory.
Le sezioni seguenti spiegano come questi conti vengono utilizzati durante la sincronizzazione di EdgeSync.
Autenticare la replica iniziale
L'account ESBRA viene utilizzato solo per stabilire la sincronizzazione iniziale. Durante la prima sincronizzazione di EdgeSync, gli account ESRA aggiuntivi, ESRA.edge. Mailboxname.#, vengono replicati in AD LDS. Tali account vengono utilizzati per autenticare le sessioni di sincronizzazione EdgeSync successive.
Il server Cassette postali che esegue la replica iniziale viene determinato in modo casuale. Il primo server Cassette postali nel sito di Active Directory che esegue un'analisi della topologia e rileva la nuova sottoscrizione Edge esegue la replica iniziale. Poiché tale rilevamento si basa sulla tempistica dell'analisi, qualunque server Cassette postali nel sito potrebbe eseguire la replica iniziale.
EdgeSync avvia una sessione LDAP sicura dal server Cassette postali al server Trasporto Edge. Il server Trasporto Edge presenta il certificato autofirmata e il server Cassette postali verifica che il certificato corrisponda al certificato archiviato nell'oggetto di configurazione del server Trasporto Edge in Active Directory. Dopo aver verificato l'identità del server Trasporto Edge, il server Cassette postali fornisce le credenziali di ESRA.edge. Account Mailboxname.# per il server Trasporto Edge. Il server Trasporto Edge verifica le credenziali rispetto all'account archiviato in AD LDS.
Quindi, il servizio EdgeSync sul server Cassette postali invia i dati relativi a topologia, configurazione e destinatari da Active Directory ad AD LDS. La modifica dell'oggetto di configurazione server Trasporto Edge in Active Directory viene replicata in AD LDS. AD LDS riceve il nuovo ESRA.edge aggiunto. Le voci Mailboxname.# e il servizio credenziali di Microsoft Exchange creano l'account AD LDS corrispondente. Tali account saranno quindi disponibili per autenticare le sessioni di sincronizzazione EdgeSync pianificate in seguito.
Servizio credenziali di Microsoft Exchange
Il servizio credenziali di Microsoft Exchange fa parte del processo di sottoscrizione edge. Il servizio credenziali viene eseguito solo nel server Trasporto Edge. Questo servizio crea gli account ESRA reciproci in AD LDS in modo che un server Cassette postali possa eseguire l'autenticazione in un server Trasporto Edge per eseguire la sincronizzazione EdgeSync. EdgeSync non comunica direttamente con il servizio credenziali di Microsoft Exchange. Il servizio credenziali di Microsoft Exchange comunica con AD LDS e installa le credenziali ESRA ogni volta che il server Cassette postali le aggiorna.
Autenticare le sessioni di sincronizzazione pianificate
Al termine della sincronizzazione iniziale di EdgeSync, viene stabilita la pianificazione della sincronizzazione di EdgeSync e tutti i dati di Active Directory modificati vengono aggiornati regolarmente in AD LDS. Un server Cassette postali avvia una sessione LDAP sicura con l'istanza di AD LDS nel server Trasporto Edge. AD LDS dimostra la propria identità al server Cassette postali presentando il certificato autofirmati. Il server Cassette postali presenta le credenziali ESRA.edge ad AD LDS. La password ESRA.edge viene crittografata usando la chiave pubblica del certificato autofirmato del server cassette postali. Solo quel particolare server Cassette postali può usare tali credenziali per eseguire l'autenticazione ad AD LDS.
Rinnovo degli account di replica EdgeSync
La password dell'account ESRA deve soddisfare i criteri password del server locale. Per evitare che la procedura di rinnovo della password provochi errori di autenticazione temporanei, sette giorni prima che scada il primo account viene creato un secondo account ESRA.edge, con data di validità a partire da tre giorni prima della scadenza del primo account ESRA. Quando il secondo account ESRA.edge diventa effettivo, EdgeSync smette di utilizzare il primo account e inizia a utilizzare il secondo. Quando viene raggiunta la data di scadenza del primo account, le relative credenziali vengono eliminate. Questa procedura di rinnovo continua finché non viene rimossa la sottoscrizione Edge.