接下来,我们介绍如何在 EdgeSync 同步进程中设置和使用 ESRA 凭据。
设置 EdgeSync Bootstrap 复制帐户
在边缘传输服务器上运行 New-EdgeSubscription cmdlet 时,ESBRA 的设置如下所述:
• 在边缘传输服务器上创建一个自签名证书 (Edge-Cert)。私钥存储在本地计算机存储中,公钥被写入边缘订阅文件。
• 在 ADAM 中创建 ESBRA (ESRA.Edge),凭据被写入边缘订阅文件。
• 将边缘订阅文件复制到可移动媒体上,以导出该文件。现在,该文件可以导入集线器传输服务器。
在 Active Directory 中设置 EdgeSync 复制帐户
在集线器传输服务器上导入边缘订阅文件时,会通过下列步骤在 Active Directory 中建立边缘订阅记录并提供其他 ESRA 凭据。
1. 在 Active Directory 中创建一个边缘传输服务器配置对象。Edge-Cert 证书被作为属性写入此对象。
2. 订阅的 Active Directory 站点中的每个集线器传输服务器都会收到一条 Active Directory 通知,表明新边缘订阅已注册。每个集线器传输服务器在收到通知后,会立即检索 ESRA.Edge 帐户并使用 Edge-Cert 公钥为该帐户加密。加密后的 ESRA.Edge 帐户将被写入边缘传输服务器配置对象。
3. 每个集线器传输服务器都会创建自签名证书 (Hub-Cert)。私钥存储在本地计算机存储中,公钥存储在 Active Directory 的集线器传输服务器配置对象中。
4. 每个集线器传输服务器使用自己的 Hub-Cert 证书的公钥为 ESRA.Edge 帐户加密,然后将其存储在自己的配置对象中。
5. 每个集线器传输服务器为 Active Directory 中的每个现有边缘传输服务器配置对象生成一个 ESRA (ESRA.Hub.Edge)。使用以下命名约定生成帐户名:ESRA.<集线器传输服务器的 NetBIOS 名称>.<边缘传输服务器的 NetBIOS 名称>.<生效日期 UTC 时间>
ESRA.Hub.Edge 的密码通过随机数字生成器生成,并使用 Hub-Cert 证书的公钥进行加密。生成的密码为 Microsoft Windows Server 允许的最大长度。
6. 每个 ESRA.Hub.Edge 帐户使用 Edge-Cert 证书的公钥进行加密,并存储在 Active Directory 的边缘传输服务器配置对象中。
