对初次复制进行身份验证

    ESBRA 帐户 ESRA.Edge 只在建立初次同步会话时使用。在初次 EdgeSync 同步会话期间，其他 ESRA 帐户 ESRA.Hub.Edge 将被复制到 ADAM。这些帐户用于对以后的 EdgeSync 同步会话进行身份验证。

    执行初次复制的集线器传输服务器是随机确定的。Active Directory 站点中第一个执行拓扑扫描并发现新边缘订阅的集线器传输服务器将执行初次复制。由于此发现基于拓扑扫描的时间设置，所以，该站点中的任何集线器传输服务器都可能会执行初次复制。

    Microsoft Exchange EdgeSync 服务启动从集线器传输服务器到边缘传输服务器的安全 LDAP 会话。边缘传输服务器提供其自签名证书，集线器传输服务器验证该证书与 Active Directory 的边缘传输服务器配置对象中存储的证书是否匹配。验证了边缘传输服务器的身份之后，集线器传输服务器向边缘传输服务器提供 ESRA.Edge 帐户的凭据。边缘传输服务器根据 ADAM 中存储的帐户来验证凭据。

    然后，集线器传输服务器上的 Microsoft Exchange EdgeSync 服务将拓扑、配置和收件人数据从 Active Directory 推送到 ADAM。对 Active Directory 中的边缘传输服务器配置对象所做的更改将被复制到 ADAM。ADAM 接收新添加的 ESRA.Hub.Edge 项，而边缘凭据服务创建相应的 ADAM 帐户。现在，可以使用这些帐户对以后计划的 EdgeSync 同步会话进行身份验证。

边缘凭据服务

    边缘凭据服务是边缘订阅进程的一部分。此服务只在边缘传输服务器上运行。此服务在 ADAM 中创建互补的 ESRA 帐户，使集线器传输服务器可以对边缘传输服务器进行身份验证，以便执行 EdgeSync 同步。Microsoft Exchange EdgeSync 服务不会直接与边缘凭据服务进行通信。边缘凭据服务与 ADAM 进行通信，并且只要集线器传输服务器更新了 ESRA 凭据，就立即进行安装。

对计划的同步会话进行身份验证

    初次 EdgeSync 同步完成后，将制订 EdgeSync 同步计划，在 ADAM 中定期更新 Active Directory 中已更改的数据。集线器传输服务器与边缘传输服务器上的 ADAM 实例建立安全 LDAP 会话。ADAM 通过提供其自签名证书，向该集线器传输服务器证明其身份。集线器传输服务器向 ADAM 提供其 ESRA.Hub.Edge 凭据。ESRA.Hub.Edge 密码使用集线器传输服务器的自签名证书的公钥进行加密。这意味着只有这个特定的集线器传输服务器可以使用这些凭据对 ADAM 进行身份验证。

续订 EdgeSync 复制帐户

    ESRA 帐户的密码必须符合本地服务器的密码策略。为了避免密码续订进程造成暂时的身份验证失败，请在第一个 ESRA.Hub.Edge 帐户过期前七天创建另一个 ESRA.Hub.Edge 帐户，其生效时间在第一个 ESRA 过期时间之前的三天。只要第二个 ESRA 帐户生效，EdgeSync 就会停止使用第一个帐户，并开始使用第二个帐户。到达第一个帐户的过期时间时，将删除这些 ESRA 凭据。此续订进程将继续进行，直到删除了边缘订阅。