Создание доверия федерации

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2016-11-28

Доверие федерации устанавливает доверительные отношения между организацией Microsoft Exchange Server 2010 и шлюзом Microsoft Federation Gateway.

Примечание.
Создание доверия федерации — один из этапов настройки федеративного делегирования в организации Exchange. Анализ всех шагов см. в разделе Настройка федеративного делегирования.

Необходимы сведения о других задачах управления, связанных с федерацией? См. раздел Управление федерацией.

Предварительные требования

• К домену, используемому для установки доверия федерации, должен быть доступ из Интернета. Это необходимо для того, чтобы зарегистрировать домен с помощью регистратора доменов и разместить зону DNS для этого домена на DNS-сервере, доступном из Интернета. Если организация получает электронную почту Интернета для данного домена, эти требования уже выполнены.

• Обе организации Exchange, связанные отношением федеративного делегирования, должны использовать один и тот же экземпляр шлюза Microsoft Federation Gateway для доверия федерации. Это требование действует при настройке федеративного делегирования между двумя локальными организациями Exchange или между локальной организацией Exchange и организацией Exchange, расположенной в службах Microsoft Online Services или Microsoft Live@edu.

  При создании для организации Exchange доверия федерации с шлюзом Microsoft Federation Gateway доверие федерации будет использовать бизнес-экземпляр или пользовательский экземпляр Microsoft Federation Gateway.

  Перечисленные ниже организации Exchange по умолчанию используют бизнес-экземпляр Microsoft Federation Gateway.

  • Exchange 2010 Service pack 2 (SP2) организаций, использующих сертификаты с собственной подписью для доверия федерации

  • Организации Exchange, которые располагаются в службах Microsoft Online Services, таких как служба Exchange Online, входящая в пакет Microsoft Business Productivity Online Standard Suite

  Перечисленные ниже организации Exchange по умолчанию используют пользовательский экземпляр Microsoft Federation Gateway.

  • Организации Exchange 2010 в окончательной первоначальной версии (RTM), использующие сертификаты, выданные сторонними центрами сертификации

  • Организации Exchange, которые располагаются в службе Microsoft Live@edu

  Рекомендуется, чтобы все организации Exchange использовали бизнес-экземпляр Microsoft Federation Gateway для доверия федерации. Перед настройкой федеративного делегирования необходимо проверить, какой экземпляр шлюза Microsoft Federation Gateway используется каждой организацией Exchange для существующих доверий федерации. Чтобы определить экземпляр шлюза Microsoft Federation Gateway, используемый организацией Exchange для существующего доверия федерации, выполните следующую команду командной консоли.

  Get-FederationInformation -DomainName <the hosted Exchange domain namespace>
  

  Бизнес-экземпляр возвращает значение <uri:federation:MicrosoftOnline> для параметра TokenIssuerURIs.

  Пользовательский экземпляр возвращает значение <uri:WindowsLiveID> для параметра TokenIssuerURIs.

  Для настройки федеративного делегирования с использованием организации Exchange, которая имеет существующее доверие федерации, использующее бизнес-экземпляр шлюза Microsoft Federation Gateway, выполните шаги из раздела Использование консоли управления Exchange для создания доверия федерации или шаги раздела Использование командной консоли Exchange для создания доверия федерации настоящей статьи. Все эти действия необходимо выполнить для создания доверия федерации, который может использоваться для включения делегирования федерации SP2 Exchange 2010 между двумя организациями.

  Чтобы настроить делегирование федерации между Exchange 2010 SP2 организации и Exchange организацию, существующего доверия федерации это использование потребителем экземпляр microsoft federation gateway, выберите один из следующих методов:

  • Рекомендуемый метод       в Exchange организации использование потребителем экземпляр microsoft federation gateway должен установить Exchange 2010 SP2. После установки SP2, существующие федеративные домены и доверие федерации следует удалить и создать заново с помощью консоли управления exchange. После повторного создания отношений доверия федерации будет использоваться бизнес-экземпляр Microsoft Federation Gateway. Необходимо также протестировать все существующие связи организации, чтобы убедиться в правильности их работы. Дополнительные сведения об удалении доверий федерации см. в разделе Удаление доверия федерации.

  • Альтернативный метод       для создания доверия федерации с помощью потребитель экземпляр microsoft federation gateway, в Exchange 2010 SP2 организации могут использовать процедуру Использование командной консоли для создания доверия федерации с пользовательским экземпляром Microsoft Federation Gateway. Этот метод следует использовать только в том случае, если необходимо включить поддержку федеративного делегирования с другим Exchange can't установить организацию Exchange 2010 SP2.

Необходимые действия

• Использование консоли управления Exchange для создания доверия федерации

• Использование командной консоли Exchange для создания доверия федерации

• Использование командной консоли для создания доверия федерации с пользовательским экземпляром Microsoft Federation Gateway

Использование консоли управления Exchange для создания доверия федерации

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Доверие федерации» в разделе Разрешения инфраструктуры Exchange и командной консоли.

1. В дереве консоли щелкните узел Конфигурация организации.

2. В области действий щелкните Создать доверие федерации.

3. На странице Создание доверия федерации нажмите кнопку Создать. Автоматически будет создан самозаверяющий сертификат для доверия федерации с шлюзом Microsoft Federation Gateway. Затем этот сертификат будет развернут на серверах Exchange в организации. По умолчанию имя нового доверия федерации — Microsoft Federation Gateway.

4. На странице Завершение просмотрите следующие сведения и нажмите кнопку Готово, чтобы закрыть мастер.

   • Состояние Завершено означает, что мастер успешно выполнил операцию.

   • Состояние Сбой означает, что операцию выполнить не удалось. Если операция дала сбой, для выяснения причин просмотрите сводные данные, а затем нажмите кнопку Назад, чтобы внести изменения в конфигурацию.

Примечание.
Новое доверие федерации появится на вкладке Доверие федерации.

Примечание.

Чтобы завершить настройку федерации, необходимо добавить текстовую запись в DNS для домена, который будет использоваться в качестве пространства имен учетных записей, и для любого другого домена, который будет добавлен в качестве федеративного домена в шлюз Microsoft Federation Gateway. После того, как текстовые записи будут доступны в DNS, завершите настройку доверия федерации с помощью мастера управления федерацией в консоли управления Exchange или с помощью командлета Set-FederatedOrganizationIdentifier в командной консоли. Дополнительные сведения см. в разделе Создание TXT-записи для федерации или Управление федерацией.

Использование командной консоли Exchange для создания доверия федерации

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Доверие федерации» в разделе Разрешения инфраструктуры Exchange и командной консоли.

1. В данном примере создается уникальный идентификатор ключа субъекта, который будет использоваться с сертификатом.

   $ski = [System.Guid]::NewGuid().ToString("N")
   

2. В данном примере создается самозаверяющий сертификат для доверия федерации с шлюзом Microsoft Federation Gateway.

   New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
   

3. В данном примере после получения самозаверяющего сертификата создается доверие федерации Microsoft Federation Gateway. Это приводит к автоматическому развертыванию самозаверяющего сертификата на серверах Exchange в организации.

   Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"
   

Подробные сведения о синтаксисе и параметрах см. в следующих разделах:

• New-ExchangeCertificate

• Get-ExchangeCertificate

• New-FederationTrust

Использование командной консоли для создания доверия федерации с пользовательским экземпляром Microsoft Federation Gateway

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Доверие федерации» в разделе Разрешения инфраструктуры Exchange и командной консоли.

Примечание.
Использовать консоль управления Exchange для создания доверия федерации с пользовательским экземпляром Microsoft Federation Gateway нельзя.

Предварительные требования

Чтобы создать доверие федерации с пользовательским экземпляром Microsoft Federation Gateway, нужен действующий сертификат X.509, который соответствует требованиям для доверия федерации. Сертификат должен быть выпущен центром сертификации, которому доверяет шлюз Microsoft Federation Gateway. Этот сертификат будет автоматически развернут на всех серверах клиентского доступа и транспортных серверах-концентраторах, доступных для задачи доверия федерации. Дополнительные сведения см. в разделе Доверенные корневые центры сертификации для доверия федерации.

1. В данном примере выполняется получение списка сертификатов и их отпечатков.

   Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List
   

   Where — это псевдоним командлета Where-Object. Его также можно заменить псевдонимом ? (знак вопроса). Просмотреть список псевдонимов, доступных в командной консоли, можно с помощью командлета Get-Alias.

   Если на сервере имеется только один несамозаверяющий сертификат, эту задачу можно упростить, объединив команды, используемые на данном и следующем шагах. Результаты работы командлета Get-ExchangeCertificate можно передать по конвейеру в командлет New-FederationTrust, как показано в следующем примере.

   Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService
   

2. В этом примере создается шлюз Microsoft Federation Gateway доверия федерации.

   New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService
   

   Важно!

   Следующий шаг в настройке федеративного делегирования после создания доверия федерации — создание в зоне DNS отдельных текстовых записей для поддомена федеративного делегирования и для каждого основного домена электронной почты или домена SMTP прокси-сервера, который необходимо включить в федерацию. Поскольку созданное доверие федерации использует пользовательский экземпляр Microsoft Federation Gateway, необходимо следовать процедуре для RTM-версии Exchange 2010, изложенной в разделе Создание текстовой записи для федерации. После того, как текстовые записи будут доступны в DNS, завершите настройку доверия федерации с помощью мастера управления федерацией в консоли управления Exchange или с помощью командлета Set-FederatedOrganizationIdentifier в командной консоли.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ExchangeCertificate или New-FederationTrust.

Другие задачи

После создания доверия федерации можно выполнить другие действия:

• Создание TXT-записи для федерации

• Создание организационного отношения

• Создание политики общего доступа

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.