Condividi tramite


Informazioni sulle credenziali di sottoscrizione Edge

Si applica a: Exchange Server 2010

Ultima modifica dell'argomento: 2010-01-18

In questo argomento vengono descritti il provisioning effettuato dal processo di sottoscrizione Edge delle credenziali utilizzate per fornire protezione al processo di sincronizzazione EdgeSync in Microsoft Exchange Server 2010 e l'utilizzo di tali credenziali nel servizio EdgeSync di Microsoft Exchange per stabilire una connessione LDAP sicura tra un server Trasporto Hub e un server Trasporto Edge. Per ulteriori informazioni sul processo di sottoscrizione Edge, vedere Informazioni sulle sottoscrizioni Edge.

Per informazioni sulle altre attività di gestione relative alla gestione dei server di trasporto, vedere Gestione dei server di trasporto.

Sommario

Processo di sottoscrizione Edge

Account di replica EdgeSync

Autenticazione della replica iniziale

Autenticazione delle sessioni di sincronizzazione pianificate

Rinnovo degli account di replica EdgeSync

Processo di sottoscrizione Edge

Il server Trasporto Edge viene sottoscritto a un sito di Active Directory per stabilire una relazione di sincronizzazione tra i server Trasporto Hub di un sito di Active Directory e il server Trasporto Edge sottoscritto. Le credenziali di cui viene effettuato il provisioning durante il processo di sottoscrizione Edge vengono utilizzate per fornire protezione alla connessione LDAP tra un server Trasporto Hub e un server Trasporto Edge nella rete perimetrale.

Quando si esegue il cmdlet New-EdgeSubscription in Exchange Management Shell su un server Trasporto Edge, le credenziali dell'account di replica bootstrap EdgeSync (ESBRA) vengono create nella directory Active Directory Lightweight Directory Services (AD LDS) sul server locale e quindi scritte nel file di sottoscrizione Edge. Queste credenziali vengono utilizzate solo per stabilire la sincronizzazione iniziale e scadranno dopo 1.440 minuti (24 ore) dalla creazione del file sottoscrizione Edge. Se il processo di sottoscrizione Edge non viene completato entro questo intervallo di tempo, sarà necessario eseguire nuovamente il cmdlet New-EdgeSubscription in Shell sul server Trasporto Edge per creare un nuovo file di sottoscrizione Edge.

Nella seguente tabella sono descritti i dati contenuti nel file XML di sottoscrizione Edge.

Contenuto del file sottoscrizione Edge

Dati di sottoscrizione Descrizione

EdgeServerName

Nome NetBIOS del server Trasporto Edge che corrisponderà al nome della sottoscrizione Edge in Active Directory.

EdgeServerFQDN

Il nome di dominio completo (FQDN) del server Trasporto Edge. I server Trasporto Hub nel sito di Active Directory sottoscritto devono essere in grado di individuare il server Trasporto Edge utilizzando DNS per la risoluzione del nome di domino completo.

EdgeCertificateBlob

La chiave pubblica del certificato autofirmato del server Trasporto Edge.

ESRAUsername

Il nome assegnato all'account ESBRA. L'account ESBRA presenta il seguente formato: ESRA.Nome server Trasporto Edge. ESRA è l'acronimo di EdgeSync Replication Account, ovvero account di replica EdgeSync.

ESRAPassword

La password assegnata all'account ESBRA, creata da un generatore di numeri casuali e archiviata nel file sottoscrizione Edge in formato testo non crittografato.

EffectiveDate

La data di creazione del file sottoscrizione Edge.

Durata

Il periodo di validità delle credenziali prima della scadenza. L'account ESBRA è valido solo per 24 ore.

AdamSslPort

La porta LDAP protetta a cui viene effettuato il binding del servizio EdgeSync durante la sincronizzazione dei dati da Active Directory ad AD LDS. Per impostazione predefinita, viene utilizzata la porta TCP 50636.

ProductID

Le informazioni sulla licenza per il server Trasporto Edge. Dopo la sottoscrizione di un server Trasporto Edge ad Active Directory, le informazioni sulla licenza vengono visualizzate in Exchange Management Console per l'organizzazione di Exchange. Per visualizzare correttamente queste informazioni, prima di creare la sottoscrizione Edge, è necessario concedere la licenza al server Trasporto Edge.

VersionNumber

Il numero della versione del file di sottoscrizione Edge.

SerialNumber

La versione di Exchange Server installata sul server Trasporto Edge.

Importante

Le credenziali dell'account ESBRA vengono scritte nel file sottoscrizione Edge in formato testo non crittografato. Questo file deve essere protetto durante tutto il processo di sottoscrizione. Dopo aver importato il file di sottoscrizione Edge nell'organizzazione Exchange, eliminare immediatamente questo file dal server Trasporto Edge, dalla condivisione di rete utilizzata per importare il file nell'organizzazione Exchange e da qualsiasi supporto rimovibile.

Inizio pagina

Account di replica EdgeSync

Gli account di replica EdgeSync (ESRA) sono un importante componente di protezione di EdgeSync. L'autenticazione e l'autorizzazione dell'account ESRA è il meccanismo utilizzato per fornire protezione alla connessione tra un server Trasporto Edge e un server Trasporto Hub.

L'account ESBRA contenuto nel file sottoscrizione Edge viene utilizzato per stabilire una connessione LDAP protetta durante la sincronizzazione iniziale. Dopo aver importato il file sottoscrizione Edge in un server Trasporto Hub nel sito di Active Directory a cui viene sottoscritto il server Trasporto Edge, in Active Directory vengono creati account ESRA aggiuntivi per ogni coppia di server Trasporto Edge-Trasporto Hub. Durante la sincronizzazione iniziale, le credenziali degli account ESRA appena creati vengono replicate in AD LDS. Tali credenziali vengono utilizzate per fornire protezione alle sessioni di sincronizzazione successive.

A ogni account di replica EdgeSync vengono assegnate le proprietà descritte nella seguente tabella.

Proprietà Ms-Exch-EdgeSyncCredential

Nome proprietà Tipo Descrizione

TargetServerFQDN

String

Il server Trasporto Edge in cui verranno accettate le credenziali.

SourceServerFQDN

String

Il server Trasporto Hub che fornirà le credenziali. Se si tratta di credenziali bootstrap, questo valore sarà vuoto.

EffectiveTime

DateTime (UTC)

Il momento in cui sarà possibile iniziare a utilizzare le credenziali.

ExpirationTime

DateTime (UTC)

Il momento in cui non sarà più possibile utilizzare le credenziali.

UserName

String

Il nome utente utilizzato per effettuare l'autenticazione.

Password

Byte

La password utilizzata per effettuare l'autenticazione. Questa password viene crittografata utilizzando ms-Exch-EdgeSync-Certificate.

Nelle seguenti sezioni di questo argomento vengono descritti il provisioning e l'utilizzo delle credenziali dell'account ESRA durante il processo di sincronizzazione EdgeSync.

Provisioning dell'account di replica bootstrap EdgeSync

Quando si esegue il cmdlet New-EdgeSubscription sul server Trasporto Edge, viene effettuato il provisioning dell'account ESBRA nel seguente modo:

  • Viene creato un certificato autofirmato (Edge-Cert) sul server Trasporto Edge. La chiave privata viene memorizzata nell'archivio del computer locale e la chiave pubblica viene scritta nel file sottoscrizione Edge.
  • L'account ESBRA (ESRA.Edge) viene creato in AD LDS e le credenziali vengono scritte nel file di sottoscrizione Edge.
  • Il file sottoscrizione Edge viene esportato in un supporto rimovibile per essere quindi importato in un server Trasporto Hub.

Provisioning degli account di replica EdgeSync in Active Directory

Quando il file sottoscrizione Edge viene importato in un server Trasporto Hub, si verificano i seguenti passaggi per definire un record della sottoscrizione Edge in Active Directory ed effettuare il provisioning delle credenziali degli account ESRA aggiuntivi.

  1. Viene creato l'oggetto di configurazione server Trasporto Edge in Active Directory. Il certificato Edge-Cert viene scritto in questo oggetto come attributo.
  2. Ogni server Trasporto Hub nel sito di Active Directory sottoscritto riceve da Active Directory una notifica relativa alla registrazione di una nuova sottoscrizione Edge. Una volta ricevuta la notifica, l'account ESRA.Edge viene recuperato da ogni server Trasporto Hub e crittografato tramite la chiave pubblica Edge-Cert. L'account crittografato ESRA.Edge viene quindi scritto nell'oggetto di configurazione server Trasporto Edge.
  3. Viene creato un certificato autofirmato (Hub-Cert) da ogni server Trasporto Hub. La chiave privata viene memorizzata nell'archivio del computer locale e la chiave pubblica viene archiviata nell'oggetto di configurazione server Trasporto Hub in Active Directory.
  4. L'account ESRA.Edge viene crittografato in ogni server Trasporto Hub tramite la chiave pubblica del suo certificato Hub-Cert e quindi viene archiviato nell'oggetto di configurazione corrispondente.
  5. In ogni server Trasporto Hub viene generato un account ESRA per ogni oggetto di configurazione Trasporto Edge esistente in Active Directory (ESRA.Hub.Edge). Il nome dell'account viene generato utilizzando la seguente convenzione di denominazione:
    ESRA.<Nome NetBIOS del server Trasporto Hub>.<Nome NetBIOS del server Trasporto Edge>.<Ora UTC data di validità>
    Esempio: ESRA.Hub.Edge.01032010
    La password per ESRA.Hub.Edge viene creata da un generatore di numeri casuali e crittografata tramite la chiave pubblica del certificato Hub-Cert. La lunghezza massima della password è quella consentita per Microsoft Windows Server.
  6. Ogni account ESRA.Hub.Edge viene crittografato tramite la chiave pubblica del certificato Edge-Cert e viene archiviato nell'oggetto di configurazione server Trasporto Edge in Active Directory.

Nelle seguenti sezioni di questo argomento viene descritto l'utilizzo di questi account durante il processo di sincronizzazione EdgeSync.

Inizio pagina

Autenticazione della replica iniziale

L'account ESBRA, ovvero ESRA.Edge, viene utilizzato solo per stabilire la sessione di sincronizzazione iniziale. Durante la prima sessione di sincronizzazione EdgeSync, gli account ESRA aggiuntivi, ovvero ESRA.Hub.Edge, vengono replicati in AD LDS. Tali account vengono utilizzati per autenticare le sessioni di sincronizzazione EdgeSync successive.

Il server Trasporto Hub che esegue la replica iniziale viene determinato in modo casuale. La replica iniziale viene eseguita dal primo server Trasporto Hub del sito di Active Directory che esegue un'analisi della topologia e individua la nuova sottoscrizione Edge. Poiché l'individuazione è basata sull'intervallo di tempo richiesto per l'analisi, la replica iniziale potrebbe essere eseguita da qualsiasi server Trasporto Hub del sito.

Il servizio EdgeSync di Microsoft Exchange avvia una sessione LDAP protetta dal server Trasporto Hub al server Trasporto Edge. Il server Trasporto Edge fornisce il proprio certificato autofirmato e il server Trasporto Hub verifica che questo certificato corrisponda a quello archiviato nell'oggetto di configurazione del server Trasporto Edge in Active Directory. Dopo aver verificato l'identità del server Trasporto Edge, il server Trasporto Hub fornisce le credenziali dell'account ESRA.Edge al server Trasporto Edge, che ne effettua la verifica in base all'account archiviato in AD LDS.

Quindi, il servizio EdgeSync di Microsoft Exchange sul server Trasporto Hub invia i dati relativi a topologia, configurazione e destinatari da Active Directory ad AD LDS. La modifica dell'oggetto di configurazione server Trasporto Edge in Active Directory viene replicata in AD LDS. AD LDS riceve gli elementi ESRA.Hub.Edge appena aggiunti e il servizio credenziali di Microsoft Exchange crea l'account AD LDS corrispondente. Tali account saranno quindi disponibili per autenticare le sessioni di sincronizzazione EdgeSync pianificate in seguito.

Servizio credenziali di Microsoft Exchange

Il servizio credenziali di Microsoft Exchange fa parte del processo di sottoscrizione Edge che viene eseguito solo sul server Trasporto Edge. Questo servizio consente di creare in AD LDS account ESRA reciproci in modo che un server Trasporto Hub possa autenticarsi su un server Trasporto Edge per eseguire la sincronizzazione EdgeSync. Il servizio EdgeSync di Microsoft Exchange non comunica direttamente con il servizio credenziali di Microsoft Exchange. Quest'ultimo comunica con AD LDS e installa le credenziali dell'account ESRA ogni volta che vengono aggiornate dal server Trasporto Hub.

Inizio pagina

Autenticazione delle sessioni di sincronizzazione pianificate

Al termine della sincronizzazione iniziale EdgeSync, viene definita una pianificazione di sincronizzazione e i dati modificati in Active Directory vengono aggiornati a intervalli regolari in AD LDS. Un server Trasporto Hub avvia una sessione LDAP protetta con l'istanza AD LDS sul server Trasporto Edge. L'istanza AD LDS fornisce il certificato autofirmato al server Trasporto Hub per dimostrare la propria identità, mentre il server Trasporto Hub fornisce ad AD LDS le proprie credenziali ESRA.Hub.Edge. La password dell'account ESRA.Hub.Edge è crittografata tramite la chiave pubblica del certificato autofirmato del server Trasporto Hub. Ciò significa che solo quel server Trasporto Hub può utilizzate quelle credenziali per effettuare l'autenticazione in AD LDS.

Inizio pagina

Rinnovo degli account di replica EdgeSync

La password dell'account ESRA deve soddisfare i criteri password del server locale. Per evitare che la procedura di rinnovo della password provochi errori di autenticazione temporanei, sette giorni prima che scada il primo account viene creato un secondo account ESRA.Hub.Edge, con data di validità a partire da tre giorni prima della scadenza. Quando il secondo account ESRA diventa effettivo, EdgeSync inizia a utilizzarlo al posto del primo. Quando viene raggiunta la data di scadenza del primo account, le relative credenziali vengono eliminate. Questa procedura di rinnovo continua finché non viene rimossa la sottoscrizione Edge.

Inizio pagina