了解 Edge 訂閱認證
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2015-03-09
本主題說明 Edge 訂閱處理程序如何提供認證,以用來協助保護 Microsoft Exchange Server 2010 中之 EdgeSync 同步處理程序的安全,以及 Microsoft Exchange EdgeSync 服務如何使用那些認證來建立 Hub Transport Server 與 Edge Transport Server 之間的安全 LDAP 連線。若要深入了解 Edge 訂閱程序,請參閱了解 Edge 訂閱。
要尋找與管理傳輸伺服器相關的管理工作嗎?請參閱管理傳輸伺服器。
目錄
Edge 訂閱程序
EdgeSync 複寫帳戶
驗證初始複寫
驗證排定的同步處理工作階段
更新 EdgeSync 複寫帳戶
Edge 訂閱程序
Active Directory 站台已訂閱 Edge Transport Server,以建立 Active Directory 站台中的 Hub Transport Server 與已訂閱 Edge Transport Server 之間的同步處理關係。Edge 訂閱處理程序期間提供的認證,是用來協助保護 Hub Transport Server 與周邊網路中之 Edge Transport Server 間的 LDAP 連線安全。
當您在 Edge Transport Server 的 Exchange 管理命令介面中執行 New-EdgeSubscription 指令程式時,會先在本機伺服器的 Active Directory 輕量型目錄服務 (AD LDS) 目錄中建立 EdgeSync 開機複寫帳戶 (ESBRA) 認證,然後再將那些認證寫入至 Edge 訂閱檔案。這些認證只是用來建立初始同步處理,而且會在建立 Edge 訂閱檔案之後的 1,440 分鐘 (24 小時) 逾期。如果 Edge 訂閱處理程序未在該時間內完成,則必須再次於 Edge Transport Server 的命令介面中執行 New-EdgeSubscription 指令程式,以建立 Edge 訂閱檔案。
下表說明 Edge 訂閱 XML 檔案中所含的資料。
Edge 訂閱檔案內容
訂閱資料 | 描述 |
---|---|
EdgeServerName |
Edge Transport Server 的 NetBIOS 名稱。Active Directory 中的 Edge 訂閱名稱會與此名稱相符。 |
EdgeServerFQDN |
Edge Transport Server 的網域全名 (FQDN)。已訂閱 Active Directory 站台中的 Hub Transport Server 必須可以使用網域名稱系統 (DNS) 來解析 FQDN,以找到 Edge Transport Server。 |
EdgeCertificateBlob |
Edge Transport Server 之自行簽署憑證的公開金鑰。 |
ESRAUsername |
指派給 ESBRA 的名稱。ESBRA 帳戶具有下列格式:ESRA.Edge Transport Server 名稱。ESRA 表示 EdgeSync 複寫帳戶。 |
ESRAPassword |
指派給 ESBRA 的密碼。密碼是使用亂數產生器所產生,並以純文字格式儲存在 Edge 訂閱檔案中。 |
EffectiveDate |
Edge 訂閱檔案的建立日期。 |
持續時間 |
這些認證在逾期之前的有效時間長度。ESBRA 帳戶的有效時間只有 24 個小時。 |
AdamSslPort |
將資料從 Active Directory 同步處理至 AD LDS 時,EdgeSync 服務所繫結的安全 LDAP 連接埠。這預設是 TCP 連接埠 50636。 |
ProductID |
Edge Transport Server 的授權資訊。Active Directory 訂閱 Edge Transport Server 之後,Edge Transport Server 的授權資訊會顯示在 Exchange 組織的 Exchange 管理主控台中。您必須先授權 Edge Transport Server,再建立 Edge 訂閱,此資訊才能正確顯示。 |
VersionNumber |
Edge 訂閱檔案的版本號碼。 |
SerialNumber |
安裝在 Edge Transport Server 上的 Exchange Server 版本。 |
重要事項: |
---|
ESBRA 認證會以純文字格式寫入至 Edge 訂閱檔案。您必須在整個訂閱處理程序中保護此檔案。將 Edge 訂閱檔案匯入 Exchange 組織後,您應立即將 Edge 訂閱檔案從 Edge Transport Server、用於將檔案匯入 Exchange 組織的網路共用,以及任何卸除式媒體中刪除。 |
回到頁首
EdgeSync 複寫帳戶
EdgeSync 複寫帳戶 (ESRA) 是 EdgeSync 安全性的重要部分。ESRA 的驗證及授權是一種機制,用來協助保護 Edge Transport Server 與 Hub Transport Server 之間的連線安全。
Edge 訂閱檔案中所含的 ESBRA 是用來建立初始同步處理期間的安全 LDAP 連線。將 Edge 訂閱檔案匯入至已訂閱 Edge Transport Server 之 Active Directory 站台中的 Hub Transport Server 之後,就會在 Active Directory 中建立每個 Edge Transport-Hub Transport Server 組的其他 ESRA 帳戶。而在初始同步處理期間,會將新建立的 ESRA 認證複寫至 AD LDS。這些 ESRA 認證是用來協助保護後續同步處理工作階段的安全。
下表中所述的屬性都會指派給每個 EdgeSync 複寫帳戶。
Ms-Exch-EdgeSyncCredential 屬性
內容名稱 | 類型 | 描述 |
---|---|---|
TargetServerFQDN |
字串 |
接受這些認證的 Edge Transport Server。 |
SourceServerFQDN |
字串 |
呈現這些認證的 Hub Transport Server。如果認證是開機認證,則此值會是空的。 |
EffectiveTime |
DateTime (UTC) |
開始使用此認證的時間。 |
ExpirationTime |
DateTime (UTC) |
停止使用此認證的時間。 |
UserName |
字串 |
用來進行驗證的使用者名稱。 |
Password |
位元組 |
用來進行驗證的密碼。密碼是使用 ms-Exch-EdgeSync-Certificate 進行加密。 |
本主題的下列各節說明如何在 EdgeSync 同步處理程序期間提供及使用 ESRA 認證。
提供 EdgeSync 開機複寫帳戶
在 Edge Transport Server 上執行 New-EdgeSubscription 指令程式時,會如下提供 ESBRA:
在 Edge Transport Server 上建立自行簽署憑證 (Edge-Cert)。私密金鑰會儲存在本機電腦儲存區中,而公開金鑰則會寫入至 Edge 訂閱檔案。
ESBRA (ESRA.Edge) 是建立於 AD LDS 中,而認證則會寫入至 Edge 訂閱檔案。
將 Edge 訂閱檔案複製至卸除式媒體,以匯出 Edge 訂閱檔案。此檔案目前已經可以匯入至 Hub Transport Server。
在 Active Directory 中提供 EdgeSync 複寫帳戶
在 Hub Transport Server 上匯入 Edge 訂閱檔案時,會發生下列步驟,以在 Active Directory 中建立 Edge 訂閱的記錄,以及提供其他 ESRA 認證。
在 Active Directory 中建立 Edge Transport Server 組態物件。而 Edge-Cert 憑證會寫入至此物件當成屬性。
已訂閱 Active Directory 站台中的每部 Hub Transport Server,都會接收到 Active Directory 通知,告知已登錄新的 Edge 訂閱。一接收到通知,每部 Hub Transport Server 就會擷取 ESRA.Edge 帳戶,並使用 Edge-Cert 公開金鑰加密該帳戶。而加密的 ESRA.Edge 帳戶會寫入至 Edge Transport Server 組態物件中。
每部 Hub Transport Server 都會建立自行簽署憑證 (Hub-Cert)。私密金鑰會儲存在本機電腦儲存區中,而公開金鑰則會儲存在 Active Directory 的 Hub Transport Server 組態物件中。
每部 Hub Transport Server 都會使用它自己 Hub-Cert 憑證的公開金鑰來加密 ESRA.Edge 帳戶,然後再將該帳戶儲存於它自己的組態物件中。
每部 Hub Transport Server 都會為 Active Directory (ESRA.Hub.Edge) 中的所有現有 Edge Transport Server 組態物件產生 ESRA。而帳戶名稱是使用下列命名慣例所產生:
ESRA.<Hub Transport server NetBIOS 名稱>.<Edge Transport server NetBIOS 名稱>.<有效日期 UTC 時間>
範例:ESRA.Hub.Edge.01032010
ESRA.Hub.Edge 的密碼是使用亂數產生器所產生,並使用 Hub-Cert 憑證的公開金鑰予以加密。產生的密碼具有 Microsoft Windows Server 允許的最大長度。
每個 ESRA.Hub.Edge 帳戶都是使用 Edge-Cert 憑證的公開金鑰予以加密,並儲存在 Active Directory 的 Edge Transport Server 組態物件上。
本主題的下列各節說明如何在 EdgeSync 同步處理程序期間使用這些帳戶。
回到頁首
驗證初始複寫
只有在建立初始同步處理工作階段時,才會使用 ESBRA 帳戶 (ESRA.Edge)。在第一次 EdgeSync 同步處理工作階段期間,會將其他 ESRA 帳戶 (ESRA.Hub.Edge) 複寫至 AD LDS。這些帳戶是用來驗證後續的 EdgeSync 同步處理工作階段。
執行初始複寫的 Hub Transport Server 是隨機決定的。Active Directory 站台中,執行拓撲掃描並探索新 Edge 訂閱的第一部 Hub Transport Server,會執行初始複寫。因為探索是基於拓撲掃描的時間點,站台中的任何 Hub Transport Server 可能會執行初始複寫。
Microsoft Exchange EdgeSync 服務會初始化從 Hub Transport Server 至 Edge Transport Server 的安全 LDAP 工作階段。Edge Transport Server 會呈現它的自行簽署憑證,而 Hub Transport Server 會驗證憑證是否符合儲存在 Active Directory 之 Edge Transport Server 組態物件上的憑證。驗證 Edge Transport Server 的識別碼之後,Hub Transport Server 會將 ESRA.Edge 帳戶的認證提供給 Edge Transport Server。Edge Transport Server 會根據儲存在 AD LDS 中的帳戶來驗證認證。
然後,Hub Transport Server 上的 Microsoft Exchange EdgeSync 服務會將拓撲、組態及收件者資料從 Active Directory 推入至 AD LDS。而 Active Directory 中的 Edge Transport Server 組態物件變更會複寫至 AD LDS。AD LDS 收到新增的 ESRA.Hub.Edge 項目,且 Microsoft Exchange 認證服務會建立相對應的 AD LDS 帳戶。這些帳戶現在可用來驗證後續排定的 EdgeSync 同步處理工作階段。
Microsoft Exchange Credential Service
Microsoft Exchange 認證服務是 Edge 訂閱處理程序的一部分。而且只會在 Edge Transport Server 上執行。此服務會在 AD LDS 中建立逆向 ESRA 帳戶,因此 Hub Transport Server 可以驗證 Edge Transport Server,以執行 EdgeSync 同步處理。Microsoft Exchange EdgeSync 服務並不會直接與 Microsoft Exchange 認證服務進行通訊。Microsoft Exchange 認證服務會與 AD LDS 進行通訊,並在 Hub Transport Server 更新 ESRA 認證時安裝 ESRA 認證。
回到頁首
驗證排定的同步處理工作階段
完成初始 EdgeSync 同步處理之後,會建立 EdgeSync 同步處理排程,而且會在 AD LDS 中定期更新 Active Directory 中所變更的資料。Hub Transport Server 會初始化與 Edge Transport Server 上之 AD LDS 執行個體的安全 LDAP 工作階段。AD LDS 會透過呈現它的自行簽署憑證,向該 Hub Transport Server 證明它的識別碼。而 Hub Transport Server 會將它的 ESRA.Hub.Edge 認證呈現給 AD LDS。ESRA.Hub.Edge 密碼是使用 Hub Transport Server 的自行簽署憑證公開金鑰予以加密。這表示只有該特定 Hub Transport Server 才可以使用那些認證來驗證 AD LDS。
回到頁首
更新 EdgeSync 複寫帳戶
ESRA 帳戶的密碼必須遵守本機伺服器的密碼原則。為了防止密碼更新處理程序造成暫時驗證失敗,會在第一個 ESRA.Hub.Edge 帳戶逾期前七天建立第二個 ESRA.Hub.Edge 帳戶,而第二個帳戶的有效時間是第一個 ESRA 到期時間的前三天。一旦第二個 ESRA 帳戶變為有效,EdgeSync 就會停止使用第一個帳戶,並開始使用第二個帳戶。到達第一個帳戶的到期時間時,就會刪除那些 ESRA 認證。除非移除 Edge 訂閱,否則此更新處理程序會繼續進行。
回到頁首
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。