Noções Básicas Sobre Credenciais de Inscrição de Borda
Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Tópico modificado em: 2015-03-09
Este tópico explica como o processo de Inscrição de Borda configura as credenciais que são usadas para ajudar a proteger o processo de sincronização EdgeSync no Microsoft Exchange Server 2010 e como o serviço Microsoft Exchange EdgeSync usa essas credenciais para estabelecer uma conexão LDAP segura entre um servidor de Transporte de Hub e um servidor de Transporte de Borda. Para saber mais sobre Inscrições de Borda, consulte Noções Básicas Sobre Inscrições de Borda.
Procurando tarefas de gerenciamento relacionadas ao gerenciamento de servidores de transporte? Consulte Gerenciando Servidores de Transporte.
Sumário
Processo de Inscrição de Borda
Contas de replicação do EdgeSync
Autenticando a replicação inicial
Autenticando sessões de sincronização agendadas
Renovando contas de replicação do EdgeSync
Processo de Inscrição de Borda
O servidor de Transporte de Borda é inscrito em um site do Active Directory para estabelecer um relacionamento de sincronização entre os servidores de Transporte de Hub em um site do Active Directory e o servidor de Transporte de Borda inscrito. As credenciais que são configuradas durante o processo de Inscrição de Borda são usadas para ajudar a proteger a conexão LDAP entre um servidor de Transporte de Hub e um servidor de Transporte de Borda na rede de perímetro.
Quando você executa o cmdlet New-EdgeSubscription no Shell de Gerenciamento do Exchange, em um servidor de Transporte de Borda, as credenciais ESBRA (conta de replicação de inicialização do EdgeSync) são criadas no diretório do AD LDS (Active Directory Lightweight Directory Services) no servidor local e depois gravadas no arquivo de Inscrição de Borda. Essas credenciais são usadas apenas para estabelecer a sincronização inicial e expirarão 1.440 minutos (24 horas) depois que o arquivo de Inscrição de Borda for criado. Se o processo de Inscrição de Borda não for concluído dentro desse tempo, você deverá executar o cmdlet New-EdgeSubscription no Shell do servidor de Transporte de Borda novamente, para criar um novo arquivo de Inscrição de Borda.
A tabela a seguir descreve os dados contidos no arquivo XML da Inscrição de Borda.
Conteúdo de arquivo de Inscrição de Borda
Dados de inscrição | Descrição |
---|---|
EdgeServerName |
O nome NetBIOS do servidor de Transporte de Borda. O nome da Inscrição de Borda no Active Directory corresponderá a esse nome. |
EdgeServerFQDN |
O FQDN (nome de domínio totalmente qualificado) do servidor de Transporte de Borda. Os servidores de Transporte de Hub no site do Active Directory inscrito devem poder localizar o servidor de Transporte de Borda usando DNS (Sistema de Nome de Domínio) para resolver o FQDN. |
EdgeCertificateBlob |
A chave pública do certificado auto-assinado do servidor de Transporte de Borda. |
ESRAUsername |
O nome atribuído à ESBRA. A conta ESBRA tem o seguinte formato: ESRA.nome do servidor de Transporte de Borda. ESRA significa conta de replicação do EdgeSync. |
ESRAPassword |
A senha atribuída à ESBRA. A senha é gerada usando um gerador de número aleatório e é armazenada no arquivo de Inscrição de Borda no texto não criptografado. |
EffectiveDate |
A data de criação do arquivo de Inscrição de Borda. |
Duração |
O período de tempo que essas credenciais serão válidas antes de expirarem. A conta ESBRA é válida somente por 24 horas. |
AdamSslPort |
A porta LDAP segura à qual o serviço EdgeSync é associado ao sincronizar dados do Active Directory para o AD LDS. Por padrão, essa é a porta TCP 50636. |
ProductID |
As informações de licenciamento do servidor de Transporte de Borda. Depois que um servidor de Transporte de Borda for inscrito no Active Directory, as informações de licenciamento sobre o servidor de Transporte de Borda serão exibidas no Console de Gerenciamento do Exchange para a organização do Exchange. Você deve licenciar o servidor de Transporte de Borda antes de criar a Inscrição de Borda para essas informações serem exibidas corretamente. |
VersionNumber |
O número da versão do arquivo de Inscrição de Borda. |
SerialNumber |
A versão do Exchange Server instalada no servidor de Transporte de Borda. |
Importante
As credenciais da ESBRA são gravadas no arquivo de Inscrição de Borda em texto não criptografado. Você deve proteger esse arquivo por todo o processo de inscrição. Após o arquivo de Inscrição de Borda ser importado para a sua organização do Exchange, você deverá excluir imediatamente esse arquivo do servidor de Transporte de Borda, do compartilhamento de rede que você usou para importar o arquivo para a sua organização do Exchange e de qualquer mídia removível.
Voltar ao início
Contas de replicação do EdgeSync
As contas de replicação do EdgeSync (ESRA) são uma parte importante da segurança do EdgeSync. A autenticação e autorização da ESRA é o mecanismo usado para ajudar a proteger a conexão entre um servidor de Transporte de Borda e um servidor de Transporte de Hub.
A ESBRA contida no arquivo de Inscrição de Borda é usada para estabelecer uma conexão LDAP segura durante a sincronização inicial. Depois que o arquivo de Inscrição de Borda é importado para um servidor de Transporte de Hub no site do Active Directory no qual o servidor Transporte de Borda está sendo inscrito, contas ESRA adicionais são criadas no Active Directory para cada par de servidores de Transporte de Borda-Transporte de Hub. Durante a sincronização inicial, as credenciais de ESRA recém-criadas são replicadas para o AD LDS. Essas credenciais de ESRA são usadas para ajudar a proteger sessões de sincronização posteriores.
A cada conta de replicação do EdgeSync são atribuídas as propriedades descritas na tabela a seguir.
Propriedades de Ms-Exch-EdgeSyncCredential
Nome de propriedade | Tipo | Descrição |
---|---|---|
TargetServerFQDN |
Cadeia de caracteres |
O servidor de Transporte de Borda que aceitará essas credenciais. |
SourceServerFQDN |
Cadeia de caracteres |
O servidor de Transporte de Hub que apresentará essas credenciais. Esse valor ficará vazio se a credencial for a credencial de inicialização. |
EffectiveTime |
DateTime (UTC) |
Quando começar a usar essa credencial. |
ExpirationTime |
DateTime (UTC) |
Quando parar de usar essa credencial. |
UserName |
Cadeia de caracteres |
O nome de usuário que é usado para autenticação. |
Password |
Byte |
A senha que é usada para autenticação. A senha é criptografada usando ms-Exch-EdgeSync-Certificate. |
As seções a seguir deste tópico descrevem como as credenciais de ESRA são configuradas e usadas durante o processo de sincronização EdgeSync.
Configurando a conta de replicação de inicialização do EdgeSync
Quando o cmdlet New-EdgeSubscription é executado no servidor de Transporte de Borda, a ESBRA é configurada da seguinte maneira:
Um certificado auto-assinado (Edge-Cert) é criado no servidor de Transporte de Borda. A chave privada é armazenada no repositório do computador local e a chave pública é gravada no arquivo de Inscrição de Borda.
A ESBRA (ESRA.Edge) é criada no AD LDS, e as credenciais são gravadas no arquivo de Inscrição de Borda.
O arquivo de Inscrição de Borda é exportado copiando-o para a mídia removível. O arquivo agora está pronto para ser importado para um servidor de Transporte de Hub.
Configurando contas de replicação de EdgeSync no Active Directory
Quando o arquivo de Inscrição de Borda é importado em um servidor de Transporte de Hub, as seguintes etapas ocorrem para estabelecer um registro da Inscrição de Borda no Active Directory e para configurar credenciais de ESRA adicionais.
Um objeto de configuração de servidor de Transporte de Borda é criado no Active Directory. O certificado Edge-Cert é gravado nesse objeto como um atributo.
Todos os servidores de Transporte de Hub no site do Active Directory inscrito recebem uma notificação do Active Directory que uma nova Inscrição de Borda foi registrada. Logo que a notificação é recebida, cada servidor de Transporte de Hub recupera a conta ESRA.Edge e criptografa a conta usando a chave pública Edge-Cert. A conta ESRA.Edge criptografada é gravada no objeto de configuração do servidor de Transporte de Borda.
Cada servidor de Transporte de Hub cria um certificado auto-assinado (Hub-Cert). A chave privada é mantida no repositório de computador local e a chave pública é armazenada no objeto de configuração do servidor de Transporte de Hub no Active Directory.
Cada servidor de Transporte de Hub criptografa a conta ESRA.Edge usando a chave pública de seu próprio certificado Hub-Cert e depois a armazena em seu próprio objeto de configuração.
Cada servidor de Transporte de Hub gera uma ESRA para cada objeto existente de configuração de servidor de Transporte de Borda no Active Directory (ESRA.Hub.Edge). O nome de conta é gerado usando a convenção de nomenclatura a seguir:
ESRA.<Nome NetBIOS do servidor de Transporte de Hub>.<Nome NetBIOS do servidor de Transporte de Borda>.<Data e Hora UTC de efetivação>
Exemplo: ESRA.Hub.Edge.01032010
A senha de ESRA.Hub.Edge é gerada por um gerador de número aleatório e é criptografado usando a chave pública do certificado Hub-Cert. A senha gerada tem o tamanho máximo permitido para Microsoft Windows Server.
Cada conta ESRA.Hub.Edge é criptografada usando a chave pública do certificado Edge-Cert e é armazenada no objeto de configuração do servidor de Transporte de Borda no Active Directory.
As seções a seguir neste tópico explicam como essas contas são usadas durante o processo de sincronização do EdgeSync.
Voltar ao início
Autenticando a replicação inicial
A conta ESBRA, ESRA.Edge, é usada somente ao estabelecer a sessão de sincronização inicial. Durante a primeira sessão de sincronização do EdgeSync, as contas de ESRA adicionais, ESRA.Hub.Edge, são replicados para o AD LDS. Essas contas são usadas para autenticar sessões de sincronização do EdgeSync posteriores.
O servidor de Transporte de Hub que executa a replicação inicial é determinado aleatoriamente. O primeiro servidor de Transporte de Hub do site Active Directory para realizar uma verificação de topologia e descobrir as novas Inscrições de Borda realiza a replicação inicial. Como a descoberta é baseada no tempo da verificação de topologia, qualquer servidor de Transporte de Hub no site pode realizar a replicação inicial.
O serviço Microsoft Exchange EdgeSync inicia uma sessão de LDAP segura do servidor de Transporte de Hub para o servidor de Transporte de Borda. O servidor de Transporte de Borda apresenta seu certificado auto-assinado e o servidor de Transporte de Hub verifica se o certificado corresponde ao certificado armazenado no objeto de configuração do servidor de Transporte de Borda no Active Directory. Depois que a identidade do servidor de Transporte de Borda for verificada, o servidor de Transporte de Hub fornecerá as credenciais da conta ESRA.Edge para o servidor de Transporte de Borda. O servidor de Transporte de Borda verifica as credenciais em relação à conta armazenada no AD LDS.
Depois, o serviço Microsoft Exchange EdgeSync no servidor de Transporte de Hub envia os dados de topologia, configuração e destinatário Active Directory para o AD LDS. A alteração no objeto de configuração do servidor de Transporte de Borda no Active Directory é replicada para o AD LDS. O AD LDS recebe as entradas ESRA.Hub.Edge recém-adicionadas, e o Serviço de Credencial do Microsoft Exchange cria a conta AD LDS correspondente. Essas contas estão agora disponíveis para autenticar sessões de sincronização do EdgeSync posteriormente agendadas.
Serviço de Credencial do Microsoft Exchange
O Serviço de Credencial do Microsoft Exchange é parte do processo de Inscrição de Borda. Ele é executado apenas no servidor de Transporte de Borda. Esse serviço cria as contas ESRA recíprocas no AD LDS para que um servidor de Transporte de Hub possa se autenticar em um servidor de Transporte de Borda para executar a sincronização do EdgeSync. O serviço Microsoft Exchange EdgeSync não se comunica diretamente com o Serviço de Credencial do Microsoft Exchange. O Serviço de Credencial do Microsoft Exchange se comunica com o AD LDS e instala as credenciais de ESRA sempre que o servidor de Transporte de Hub as atualiza.
Voltar ao início
Autenticando sessões de sincronização agendadas
Depois que a sincronização EdgeSync inicial for concluída, a agenda de sincronização EdgeSync será estabelecida e os dados que foram alterados no Active Directory serão atualizados regularmente no AD LDS. Um servidor de Transporte de Hub inicia uma sessão LDAP segura com a instância do AD LDS no servidor de Transporte de Borda. O AD LDS comprova sua identidade com esse servidor de Transporte de Hub apresentando seu certificado autoassinado. O servidor de Transporte de Hub apresenta suas credenciais de ESRA.Hub.Edge para o AD LDS. A senha do ESRA.Hub.Edge é criptografada usando a chave pública do certificado auto-assinado do servidor de Transporte de Hub. Isso significa que somente aquele servidor de Transporte de Hub específico pode usar essas credenciais para autenticação no AD LDS.
Voltar ao início
Renovando contas de replicação do EdgeSync
A senha para a conta ESRA deve ser compatível com a diretiva de senha do servidor local. Para evitar que o processo de renovação de senha cause falha de autenticação temporária, uma segunda conta ESRA.Hub.Edge é criada sete dias antes que a primeira conta ESRA.Hub.Edge expire, com um tempo de efetivação que é três dias antes do primeiro período de expiração da ESRA. Logo que há a efetivação da segunda conta ESRA, o EdgeSync pára de usar a primeira conta e começa a usar a segunda. Quando o período de expiração da primeira conta é alcançado, essas credenciais de ESRA são excluídas. Esse processo de renovação continuará até que a Inscrição de Borda seja removida.
Voltar ao início
© 2010 Microsoft Corporation. Todos os direitos reservados.