Exchange 2007边缘订阅和同步系列之三

如何导出边缘订阅文件

    在边缘传输服务器上执行下面的过程后，您必须提供您创建的边缘订阅文件的完整的路径。

    使用Exchange Management Shell来创建边缘订阅文件，运行下面的命令：

    New-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml"

如何导入边缘订阅文件

    导入边缘订阅文件时，可以选择是否自动创建到 Internet 的发送连接器。如图2所示。还可以选择是否自动创建从边缘传输服务器到该边缘服务器订阅到的 Active Directory 站点中的中心传输服务器的发送连接器。如果您决定不自动创建发送连接器，则可以根据需要手动配置发送连接器。



    使用Exchange 管理控制台来导入边缘订阅文件

    1. 打开 Exchange 管理控制台。定位到“组织配置---集线器传输”，然后在结果窗格中单击“边缘订阅”选项卡。

    2. 在操作窗格中，单击“新建边缘订阅”。将启动新建边缘订阅向导。

    3. 在“新建边缘订阅”页的“Active Directory 站点:”下拉列表中，选择 Active Directory 站点。如图3所示。



4. 在“新建边缘订阅”页上，单击“浏览”。找到要导入的边缘订阅文件。选择该文件，然后单击“打开”。如图4所示。



5. 在“新建边缘订阅”页上，单击“新建”。如图5所示。



    6. 在“完成”页上，单击“完成”。

使用Exchange Management Shell 来导入边缘订阅文件

    运行下面的命令来订阅边缘传输服务器到指定的站点，并自动创建 Internet 发送连接器和从该边缘传输服务器传向中心传输服务器的发送连接器。此命令还会强制立即开始初始同步。

    New-EdgeSubscription -filename "C:\EdgeSubscriptionInfo.xml" -CreateInternetSendConnector $true - CreateInboundSendConnector $true -site "Default-First-Site-Name" –Force

    注意：CreateInternetSendConnector 参数和 CreateInboundSendConnector 参数的默认值是 $true。此处显示它仅供演示。

    注意：最好的做法是，在将该文件复制到要导入边缘订阅文件的中心传输服务器之后，从边缘传输服务器上删除该边缘订阅文件，并在订阅被导入之后，从中心传输服务器上删除该文件。

边缘订阅文件

    当您在边缘传输服务器上运行New-EdgeSubscription cmdlet 的时候，边缘传输服务器信息和ESBRA凭据被写入到边缘订阅文件中。

    下表介绍边缘订阅 XML 文件中包含的数据。

    边缘订阅文件的内容




  重要信息：

    ESBRA 凭据以明文形式被写入边缘订阅文件。必须在整个订阅进程中保护此文件。将边缘订阅文件导入集线器传输服务器之后，应立即将边缘订阅文件从边缘传输服务器、集线器传输服务器以及任何可移动媒体上删除。

EdgeSync 复制帐户

    EdgeSync 复制帐户 (ESRA) 是 EdgeSync 安全性的重要组成部分。ESRA 的身份验证和授权机制可以帮助保护边缘传输服务器与集线器传输服务器之间的连接。

    边缘订阅文件中包含的 ESBRA 用于在初次同步期间建立安全 LDAP 连接。将边缘订阅文件导入要为边缘传输服务器订阅的 Active Directory 站点中的集线器传输服务器之后，在 Active Directory 中为每个边缘传输服务器/集线器传输服务器对创建其他 ESRA 帐户。在初次同步期间，新建的 ESRA 凭据会被复制到 ADAM。这些 ESRA 凭据可以帮助保护以后的同步会话。

    为每个 EdgeSync 复制帐户指定下表中所述的属性。

Ms-Exch-EdgeSyncCredential 属性



   接下来，我们介绍如何在 EdgeSync 同步进程中设置和使用 ESRA 凭据。

    设置 EdgeSync Bootstrap 复制帐户

    在边缘传输服务器上运行 New-EdgeSubscription cmdlet 时，ESBRA 的设置如下所述：

    • 在边缘传输服务器上创建一个自签名证书 (Edge-Cert)。私钥存储在本地计算机存储中，公钥被写入边缘订阅文件。

    • 在 ADAM 中创建 ESBRA (ESRA.Edge)，凭据被写入边缘订阅文件。

    • 将边缘订阅文件复制到可移动媒体上，以导出该文件。现在，该文件可以导入集线器传输服务器。

在 Active Directory 中设置 EdgeSync 复制帐户

    在集线器传输服务器上导入边缘订阅文件时，会通过下列步骤在 Active Directory 中建立边缘订阅记录并提供其他 ESRA 凭据。

    1. 在 Active Directory 中创建一个边缘传输服务器配置对象。Edge-Cert 证书被作为属性写入此对象。

    2. 订阅的 Active Directory 站点中的每个集线器传输服务器都会收到一条 Active Directory 通知，表明新边缘订阅已注册。每个集线器传输服务器在收到通知后，会立即检索 ESRA.Edge 帐户并使用 Edge-Cert 公钥为该帐户加密。加密后的 ESRA.Edge 帐户将被写入边缘传输服务器配置对象。

    3. 每个集线器传输服务器都会创建自签名证书 (Hub-Cert)。私钥存储在本地计算机存储中，公钥存储在 Active Directory 的集线器传输服务器配置对象中。

    4. 每个集线器传输服务器使用自己的 Hub-Cert 证书的公钥为 ESRA.Edge 帐户加密，然后将其存储在自己的配置对象中。

    5. 每个集线器传输服务器为 Active Directory 中的每个现有边缘传输服务器配置对象生成一个 ESRA (ESRA.Hub.Edge)。使用以下命名约定生成帐户名：ESRA.<集线器传输服务器的 NetBIOS 名称>.<边缘传输服务器的 NetBIOS 名称>.<生效日期 UTC 时间>
    ESRA.Hub.Edge 的密码通过随机数字生成器生成，并使用 Hub-Cert 证书的公钥进行加密。生成的密码为 Microsoft Windows Server 允许的最大长度。

    6. 每个 ESRA.Hub.Edge 帐户使用 Edge-Cert 证书的公钥进行加密，并存储在 Active Directory 的边缘传输服务器配置对象中。


对初次复制进行身份验证

    ESBRA 帐户 ESRA.Edge 只在建立初次同步会话时使用。在初次 EdgeSync 同步会话期间，其他 ESRA 帐户 ESRA.Hub.Edge 将被复制到 ADAM。这些帐户用于对以后的 EdgeSync 同步会话进行身份验证。

    执行初次复制的集线器传输服务器是随机确定的。Active Directory 站点中第一个执行拓扑扫描并发现新边缘订阅的集线器传输服务器将执行初次复制。由于此发现基于拓扑扫描的时间设置，所以，该站点中的任何集线器传输服务器都可能会执行初次复制。

    Microsoft Exchange EdgeSync 服务启动从集线器传输服务器到边缘传输服务器的安全 LDAP 会话。边缘传输服务器提供其自签名证书，集线器传输服务器验证该证书与 Active Directory 的边缘传输服务器配置对象中存储的证书是否匹配。验证了边缘传输服务器的身份之后，集线器传输服务器向边缘传输服务器提供 ESRA.Edge 帐户的凭据。边缘传输服务器根据 ADAM 中存储的帐户来验证凭据。

    然后，集线器传输服务器上的 Microsoft Exchange EdgeSync 服务将拓扑、配置和收件人数据从 Active Directory 推送到 ADAM。对 Active Directory 中的边缘传输服务器配置对象所做的更改将被复制到 ADAM。ADAM 接收新添加的 ESRA.Hub.Edge 项，而边缘凭据服务创建相应的 ADAM 帐户。现在，可以使用这些帐户对以后计划的 EdgeSync 同步会话进行身份验证。

边缘凭据服务

    边缘凭据服务是边缘订阅进程的一部分。此服务只在边缘传输服务器上运行。此服务在 ADAM 中创建互补的 ESRA 帐户，使集线器传输服务器可以对边缘传输服务器进行身份验证，以便执行 EdgeSync 同步。Microsoft Exchange EdgeSync 服务不会直接与边缘凭据服务进行通信。边缘凭据服务与 ADAM 进行通信，并且只要集线器传输服务器更新了 ESRA 凭据，就立即进行安装。

对计划的同步会话进行身份验证

    初次 EdgeSync 同步完成后，将制订 EdgeSync 同步计划，在 ADAM 中定期更新 Active Directory 中已更改的数据。集线器传输服务器与边缘传输服务器上的 ADAM 实例建立安全 LDAP 会话。ADAM 通过提供其自签名证书，向该集线器传输服务器证明其身份。集线器传输服务器向 ADAM 提供其 ESRA.Hub.Edge 凭据。ESRA.Hub.Edge 密码使用集线器传输服务器的自签名证书的公钥进行加密。这意味着只有这个特定的集线器传输服务器可以使用这些凭据对 ADAM 进行身份验证。

续订 EdgeSync 复制帐户

    ESRA 帐户的密码必须符合本地服务器的密码策略。为了避免密码续订进程造成暂时的身份验证失败，请在第一个 ESRA.Hub.Edge 帐户过期前七天创建另一个 ESRA.Hub.Edge 帐户，其生效时间在第一个 ESRA 过期时间之前的三天。只要第二个 ESRA 帐户生效，EdgeSync 就会停止使用第一个帐户，并开始使用第二个帐户。到达第一个帐户的过期时间时，将删除这些 ESRA 凭据。此续订进程将继续进行，直到删除了边缘订阅。