Compreendendo as credenciais de Inscrição de Borda
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-02-21
Este tópico explica como o processo de Inscrição de Borda configura as credenciais que são usadas para ajudar a proteger o processo de sincronização EdgeSync no Microsoft Exchange Server 2007 e como o serviço Microsoft Exchange EdgeSync usa essas credenciais para estabelecer uma conexão LDAP segura entre um servidor de Transporte de Hub e um servidor de Transporte de Borda.
Um servidor de Transporte de Borda pode ser inscrito em um site do serviço de diretório do Active Directory. Ao inscrever o servidor de Transporte de Borda no site do Active Directory, você associa o servidor de Transporte de Borda à organização do Exchange. Esse processo reduz a administração a ser realizada na rede de perímetro permitindo que você execute a configuração necessária na função de servidor Transporte de Hub e, em seguida, envie essas informações para a instância do serviço de diretório do ADAM (Active Directory Application Mode) no servidor de Transporte de Borda. Você deverá criar uma Inscrição de Borda se planejar usar os recursos anti-spam de pesquisa de destinatário ou agregação de lista segura, ou se planejar ajudar a proteger as comunicações SMTP com domínios de parceiros usando TLS mútua.
Para obter mais informações sobre os recursos que exigem sincronização de dados do Active Directory para o ADAM, consulte os seguintes tópicos:
Processo de Inscrição de Borda
O servidor de Transporte de Borda é inscrito em um site do Active Directory para estabelecer um relacionamento de sincronização entre os servidores de Transporte de Hub em um site do Active Directory e o servidor de Transporte de Borda inscrito. O serviço Microsoft Exchange EdgeSync é o serviço de sincronização de dados que é executado em servidores de Transporte de Hub. Esse serviço executa replicação unidirecional de dados de destinatário e de configuração do Active Directory para a instância do ADAM no servidor de Transporte de Borda inscrito. As credenciais que são configuradas durante o processo de Inscrição de Borda são usadas para ajudar a proteger a conexão LDAP entre um servidor de Transporte de Hub e um servidor de Transporte de Borda na rede de perímetro.
Ao executar o cmdlet New-EdgeSubscription no Shell de Gerenciamento do Exchange em um servidor de Transporte de Borda, as credenciais ESBRA (conta de replicação de inicialização do EdgeSync) são criadas no diretório do ADAM no servidor local e depois gravadas no arquivo de Inscrição de Borda. Essas credenciais são usadas apenas para estabelecer a sincronização inicial e expirarão 1.440 minutos (24 horas) depois que o arquivo de Inscrição de Borda for criado. Se o processo de Inscrição de Borda não for concluído dentro desse tempo, você deverá executar o cmdlet New-EdgeSubscription no Shell de Gerenciamento do Exchange no servidor de Transporte de Borda novamente para criar um novo arquivo de Inscrição de Borda.
A tabela a seguir descreve os dados contidos no arquivo XML da Inscrição de Borda.
Conteúdo de arquivo de Inscrição de Borda
| Dados de inscrição | Descrição |
|---|---|
Nome do servidor de Borda |
O nome NetBIOS do servidor de Transporte de Borda. O nome da Inscrição de Borda no Active Directory corresponderá a esse nome. |
FQDN do servidor de Borda |
O FQDN (nome de domínio totalmente qualificado) do servidor de Transporte de Borda. Os servidores de Transporte de Hub no site do Active Directory inscrito devem poder localizar o servidor de Transporte de Borda usando DNS para resolver o FQDN. |
BLOB (grande objeto binário) de certificado de Borda |
A chave pública do certificado auto-assinado do servidor de Transporte de Borda. |
Nome de usuário da ESRA |
O nome atribuído à ESBRA. A conta ESBRA tem o seguinte formato: ESRA.nome do servidor de Transporte de Borda. ESRA significa conta de replicação do EdgeSync. |
Senha da ESRA |
A senha atribuída à ESBRA. A senha é gerada usando um gerador de número aleatório e é armazenada no arquivo de Inscrição de Borda no texto não criptografado. |
Data de Efetivação |
A data de criação do arquivo de Inscrição de Borda. |
Duração |
O período de tempo que essas credenciais serão válidas antes de expirarem. A conta ESBRA é válida somente por 24 horas. |
Porta SSL do ADAM |
A porta LDAP segura à qual o serviço EdgeSync é ligado ao sincronizar dados do Active Directory para o ADAM. Por padrão, essa é a porta TCP 50636. |
ID do produto |
As informações de licenciamento do servidor de Transporte de Borda. Depois que um servidor de Transporte de Borda for inscrito no Active Directory, as informações de licenciamento sobre o servidor de Transporte de Borda serão exibidas no Console de Gerenciamento do Exchange para a organização do Exchange. Você deve licenciar o servidor de Transporte de Borda antes de criar a Inscrição de Borda para essas informações serem exibidas corretamente. |
Importante
As credenciais da ESBRA são gravadas no arquivo de Inscrição de Borda em texto não criptografado. Você deve proteger esse arquivo por todo o processo de inscrição. Depois que o arquivo de Inscrição de Borda for importado para um servidor de Transporte de Hub, você deverá excluir imediatamente o arquivo de Inscrição de Borda do servidor de Transporte de Borda, do servidor de Transporte de Hub e de qualquer mídia removível.
Contas de replicação do EdgeSync
As contas de replicação do EdgeSync (ESRA) são uma parte importante da segurança do EdgeSync. A autenticação e autorização da ESRA é o mecanismo usado para ajudar a proteger a conexão entre um servidor de Transporte de Borda e um servidor de Transporte de Hub.
A ESBRA contida no arquivo de Inscrição de Borda é usada para estabelecer uma conexão LDAP segura durante a sincronização inicial. Depois que o arquivo de Inscrição de Borda é importado para um servidor de Transporte de Hub no site do Active Directory ao qual o Transporte de Borda está sendo inscrito, contas ESRA adicionais são criadas no Active Directory para cada par de servidores de Transporte de Borda-Transporte de Hub. Durante a sincronização inicial, as credenciais de ESRA recém-criadas são replicadas para o ADAM. Essas credenciais de ESRA são usadas para ajudar a proteger sessões de sincronização posteriores.
A cada conta de replicação do EdgeSync são atribuídas as propriedades descritas na tabela a seguir.
Propriedades de Ms-Exch-EdgeSyncCredential
| Nome de propriedade | Tipo | Descrição |
|---|---|---|
TargetServerFQDN |
Cadeia de caracteres |
O servidor de Transporte de Borda que aceitará essas credenciais. |
SourceServerFQDN |
Cadeia de caracteres |
O servidor de Transporte de Hub que apresentará essas credenciais. Esse valor ficará vazio se a credencial for a credencial de inicialização. |
EffectiveTime |
DateTime (UTC) |
Quando começar a usar essa credencial. |
ExpirationTime |
DateTime (UTC) |
Quando parar de aceitar essa credencial. |
UserName |
Cadeia de caracteres |
O nome de usuário que é usado para autenticação. |
Password |
Byte |
A senha que é usada para autenticação. A senha é criptografada usando ms-Exch-EdgeSync-Certificate. |
As seções a seguir deste tópico descrevem como as credenciais de ESRA são configuradas e usadas durante o processo de sincronização EdgeSync.
Configurando a conta de replicação de inicialização do EdgeSync
Quando o cmdlet New-EdgeSubscription é executado no servidor de Transporte de Borda, a ESBRA é configurada da seguinte maneira:
Um certificado auto-assinado (Edge-Cert) é criado no servidor de Transporte de Borda. A chave privada é armazenada no armazenamento do computador local e a chave pública é gravada no arquivo de Inscrição de Borda.
A ESBRA (ESRA.Edge) é criada no ADAM e as credenciais são gravadas no arquivo de Inscrição de Borda.
O arquivo de Inscrição de Borda é exportado copiando-o para a mídia removível. O arquivo agora está pronto para ser importado para um servidor de Transporte de Hub.
Configurando contas de replicação de EdgeSync no Active Directory
Quando o arquivo de Inscrição de Borda é importado em um servidor de Transporte de Hub, as seguintes etapas ocorrem para estabelecer um registro da Inscrição de Borda no Active Directory e para configurar credenciais de ESRA adicionais.
Um objeto de configuração de servidor de Transporte de Borda é criado no Active Directory. O certificado Edge-Cert é gravado nesse objeto como um atributo.
Todos os servidores de Transporte de Hub no site do Active Directory inscrito recebem uma notificação do Active Directory que uma nova Inscrição de Borda foi registrada. Logo que a notificação é recebida, cada servidor de Transporte de Hub recupera a conta ESRA.Edge e criptografa a conta usando a chave pública Edge-Cert. A conta ESRA.Edge criptografada é gravada no objeto de configuração do servidor de Transporte de Borda.
Cada servidor de Transporte de Hub cria um certificado auto-assinado (Hub-Cert). A chave privada é mantida no armazenamento de computador local e a chave pública é armazenada no objeto de configuração do servidor de Transporte de Hub no Active Directory.
Cada servidor de Transporte de Hub criptografa a conta ESRA.Edge usando a chave pública de seu próprio certificado Hub-Cert e depois a armazena em seu próprio objeto de configuração.
Cada servidor de Transporte de Hub gera uma ESRA para cada objeto existente de configuração de servidor de Transporte de Borda no Active Directory (ESRA.Hub.Edge). O nome de conta é gerado usando a convenção de nomenclatura a seguir:
ESRA.<Nome NetBIOS do servidor de Transporte de Hub>.<Nome NetBIOS do servidor de Transporte de Borda>.<Data e Hora UTC de efetivação>
A senha de ESRA.Hub.Edge é gerada por um gerador de número aleatório e é criptografado usando a chave pública do certificado Hub-Cert. A senha gerada tem o tamanho máximo permitido para Microsoft Windows Server.
Cada conta ESRA.Hub.Edge é criptografada usando a chave pública do certificado Edge-Cert e é armazenada no objeto de configuração do servidor de Transporte de Borda no Active Directory.
As seções a seguir neste tópico explicam como essas contas são usadas durante o processo de sincronização do EdgeSync.
Autenticando a replicação inicial
A conta ESBRA, ESRA.Edge, é usada somente ao estabelecer a sessão de sincronização inicial. Durante a primeira sessão de sincronização do EdgeSync, as contas de ESRA adicionais, ESRA.Hub.Edge, são replicados para o ADAM. Essas contas são usadas para autenticar sessões de sincronização do EdgeSync posteriores.
O servidor de Transporte de Hub que executa a replicação inicial é determinado aleatoriamente. O primeiro servidor de Transporte de Hub do site Active Directory para realizar uma verificação de topologia e descobrir as novas Inscrições de Borda realiza a replicação inicial. Como a descoberta é baseada no tempo da verificação de topologia, qualquer servidor de Transporte de Hub no site pode realizar a replicação inicial.
O serviço Microsoft Exchange EdgeSync inicia uma sessão de LDAP segura do servidor de Transporte de Hub para o servidor de Transporte de Borda. O servidor de Transporte de Borda apresenta seu certificado auto-assinado e o servidor de Transporte de Hub verifica que o certificado corresponde ao certificado armazenado no objeto de configuração do servidor de Transporte de Borda no Active Directory. Depois que a identidade do servidor de Transporte de Borda for verificada, o servidor de Transporte de Hub fornecerá as credenciais da conta ESRA.Edge para o servidor de Transporte de Borda. O servidor de Transporte de Borda verifica as credenciais em relação à conta armazenada no ADAM.
O serviço Microsoft Exchange EdgeSync no servidor de Transporte de Hub envia os dados de topologia, configuração e destinatário Active Directory para o ADAM. A alteração no objeto de configuração do servidor de Transporte de Borda no Active Directory é replicada para o ADAM. O ADAM recebe as entradas recém-adicionadas do ESRA.Hub.Edge e o serviço Credencial de Borda cria a conta do ADAM correspondente. Essas contas estão agora disponíveis para autenticar sessões de sincronização do EdgeSync posteriormente agendadas.
Serviço de Credencial de Borda
O serviço de Credencial de Borda é parte do processo de Inscrição de Borda. Ele é executado apenas no servidor de Transporte de Borda. Esse serviço cria as contas ESRA recíprocas no ADAM para que um servidor de Transporte de Hub possa ser autenticado com um servidor de Transporte de Borda para executar a sincronização do EdgeSync. O serviço Microsoft Exchange EdgeSync não se comunica diretamente com o serviço de Credencial de Borda. O serviço de Credencial de Borda se comunica com o ADAM e instala as credenciais de ESRA sempre que o servidor de Transporte de Hub as atualiza.
Autenticando sessões de sincronização agendadas
Depois que a sincronização EdgeSync inicial for concluída, a agenda de sincronização EdgeSync será estabelecida e os dados que foram alterados no Active Directory serão atualizados regularmente no ADAM. Um servidor de Transporte de Hub inicia uma sessão LDAP segura com a instância do ADAM no servidor de Transporte de Borda. O ADAM comprova sua identidade com esse servidor de Transporte de Hub apresentando seu certificado auto-assinado. O servidor de Transporte de Hub apresenta suas credenciais de ESRA.Hub.Edge para o ADAM. A senha do ESRA.Hub.Edge é criptografada usando a chave pública do certificado auto-assinado do servidor de Transporte de Hub. Isso significa que somente aquele servidor de Transporte de Hub específico pode usar essas credenciais para autenticação com o ADAM.
Renovando contas de replicação do EdgeSync
A senha para a conta ESRA deve ser compatível com a diretiva de senha do servidor local. Para evitar que o processo de renovação de senha cause falha de autenticação temporária, uma segunda conta ESRA.Hub.Edge é criada sete dias antes que a primeira conta ESRA.Hub.Edge expire com um tempo de efetivação que é três dias antes do primeiro período de expiração da ESRA. Logo que há a efetivação da segunda conta ESRA, o EdgeSync pára de usar a primeira conta e começa a usar a segunda. Quando o período de expiração da primeira conta é alcançado, essas credenciais de ESRA são excluídas. Esse processo de renovação continuará até que a Inscrição de Borda seja removida.
Para obter mais informações
Para obter mais informações, consulte os seguintes tópicos: