Partnerverbund

  • Artikel

Gilt für: Exchange Server 2013

Information-Worker müssen häufig mit externen Empfängern, Lieferanten, Partnern und Kunden zusammenarbeiten und ihre Frei/Gebucht-Informationen (die sogenannte "Kalenderverfügbarkeit") freigeben. Die Verbundfunktion von Microsoft Exchange Server 2013 unterstützt die Zusammenarbeit in diesem Bereich. Verbundfunktion bezieht sich auf die zugrunde liegende Vertrauensstellungsinfrastruktur, die die Verbundfreigabe unterstützt, eine einfache Methode für Benutzer, die Kalenderinformationen für Empfänger in anderen externen Verbundorganisationen freigeben möchten. Weitere Informationen zur Verbundfreigabe finden Sie unter Freigabe.

Wichtig

Dieses Feature von Exchange Server 2013 ist nicht vollständig kompatibel mit Office 365, die von 21Vianet in China betrieben wird, und es gelten möglicherweise einige Featurebeschränkungen. Weitere Informationen finden Sie unter Office 365 Betrieben von 21Vianet.

Wichtige Terminologie

Die folgende Liste definiert die Kernkomponenten, die dem Verbund in Exchange 2013 zugeordnet sind.

  • Anwendungsbezeichner (AppID): Eine eindeutige Nummer, die vom Microsoft Entra Authentifizierungssystem generiert wird, um Exchange-Organisationen zu identifizieren. Die AppID wird automatisch generiert, wenn Sie eine Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem erstellen.

  • Delegierungstoken: Ein VOM Microsoft Entra-Authentifizierungssystem ausgestelltes SAML-Token (Security Assertion Markup Language), mit dem Benutzer aus einem Verbund organization von einem anderen verbundverbundenen organization als vertrauenswürdig eingestuft werden können. Ein Delegierungstoken enthält die E-Mail-Adresse des Benutzers, eine nicht änderbare ID sowie Informationen, die zu dem Angebot gehören, für das das Token zur Aktion ausgegeben wurde.

  • externe Verbund-organization: Ein externer Exchange-organization, der eine Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem eingerichtet hat.

  • Verbundfreigabe: Eine Gruppe von Exchange-Features, die eine Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem nutzen, um in Exchange-Organisationen zu arbeiten, einschließlich standortübergreifender Exchange-Bereitstellungen. Diese Funktionen werden zusammen verwendet, um im Namen von Benutzern über mehrere Exchange-Organisationen hinweg authentifizierte Anforderungen zwischen Servern zu stellen.

  • Verbunddomäne: Eine akzeptierte autoritativen Domäne, die dem organization-Bezeichner (OrgID) für eine Exchange-organization hinzugefügt wird.

  • Verschlüsselungszeichenfolge für domänensicher: Eine kryptografisch sichere Zeichenfolge, die von einem Exchange-organization verwendet wird, um den Nachweis zu erbringen, dass der organization besitzer der Domäne ist, die mit dem Microsoft Entra-Authentifizierungssystem verwendet wird. The string is generated automatically when using the Enable federation trust wizard or can be generated by using the Get-FederatedDomainProof cmdlet.

  • Verbundfreigaberichtlinie: Eine Richtlinie auf organization Ebene, die die vom Benutzer festgelegte Persönliche Freigabe von Kalenderinformationen ermöglicht und steuert.

  • Federation: Eine vertrauensbasierte Vereinbarung zwischen zwei Exchange-Organisationen, um einen gemeinsamen Zweck zu erreichen. Mit dem Partnerverbund möchten beide Organisationen, dass die Authentifizierungserklärungen einer Organisation von der jeweils anderen anerkannt werden.

  • Verbundvertrauensstellung: Eine Beziehung zum Microsoft Entra Authentifizierungssystem, das die folgenden Komponenten für Ihre Exchange-organization definiert:

    • Kontonamespace

    • Anwendungs-ID (AppID)

    • Organisations-ID (OrgID)

    • Verbunddomänen

    Zum Konfigurieren der Verbundfreigabe mit anderen Exchange-Verbundorganisationen muss eine Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem eingerichtet werden.

  • Nicht-Verbund-organization: Organisationen, die keine Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem eingerichtet haben.

  • organization-Id (OrgID): Definiert, welche der autoritativen akzeptierten Domänen, die in einem organization konfiguriert sind, für den Verbund aktiviert sind. Nur Empfänger mit E-Mail-Adressen mit in der OrgID konfigurierten Verbunddomänen werden vom Microsoft Entra Authentifizierungssystem erkannt und können Verbundfreigabefunktionen verwenden. Diese Organisations-ID ist eine Kombination aus einer vordefinierten Zeichenfolge und der ersten akzeptierten Domäne, die im Assistenten zum Aktivieren von Verbundvertrauensstellungen für den Verbund ausgewählt wurde. Wenn Sie beispielsweise die Verbunddomäne contoso.com als primäre SMTP-Domäne Ihrer Organisation angeben, wird der Kontonamespace FYDIBOHF25SPDLT.contoso.com automatisch als Organisations-ID für die Verbundvertrauensstellung erstellt.

  • organization Beziehung: Eine 1:1-Beziehung zwischen zwei Exchange-Verbundorganisationen, die es Empfängern ermöglicht, Frei/Gebucht-Informationen (Kalenderverfügbarkeit) freizugeben. Eine organization Beziehung erfordert eine Verbundvertrauensstellung mit dem Microsoft Entra Authentifizierungssystem und ersetzt die Notwendigkeit, Active Directory-Gesamtstruktur- oder Domänenvertrauensstellungen zwischen Exchange-Organisationen zu verwenden.

  • Microsoft Entra Authentifizierungssystem: Ein kostenloser, cloudbasierter Identitätsdienst, der als Vertrauensbroker zwischen Microsoft Exchange-Verbundorganisationen fungiert. Der Dienst ist für die Ausgabe von Delegierungstoken an Exchange-Empfänger verantwortlich, wenn diese Informationen von Empfängern anfordern, die zu anderen Exchange-Verbundorganisationen gehören. Weitere Informationen finden Sie unter Microsoft Entra-ID.

Microsoft Entra-Authentifizierungssystem

Das Microsoft Entra-Authentifizierungssystem, ein kostenloser cloudbasierter Dienst, der von Microsoft angeboten wird, fungiert als Vertrauensbroker zwischen Ihren lokalen Exchange 2013-organization und anderen Exchange 2010- und Exchange 2013-Verbundorganisationen. Wenn Sie den Verbund in Ihrer Exchange-organization konfigurieren möchten, müssen Sie eine einmalige Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem einrichten, damit es ein Verbundpartner mit Ihrem organization werden kann. Wenn diese Vertrauensstellung eingerichtet ist, erhalten Benutzer, die von Active Directory (als Identitätsanbieter bezeichnet) authentifiziert werden, SAML-Delegierungstoken (Security Assertion Markup Language) vom Microsoft Entra-Authentifizierungssystem ausgestellt. Anhand dieser Delegierungstoken werden Benutzer einer Exchange-Verbundorganisation von einer anderen Exchange-Verbundorganisation als vertrauenswürdig eingestuft. Da das Microsoft Entra-Authentifizierungssystem als Vertrauensbroker fungiert, müssen Organisationen nicht mehrere einzelne Vertrauensstellungen mit anderen Organisationen einrichten, und Benutzer können über einmaliges Anmelden (Single Sign-On, SSO) auf externe Ressourcen zugreifen. Weitere Informationen finden Sie unter Microsoft Entra-ID.

Verbundvertrauensstellung

Um Exchange 2013-Verbundfreigabefeatures verwenden zu können, müssen Sie eine Verbundvertrauensstellung zwischen Ihrem Exchange 2013-organization und dem Microsoft Entra-Authentifizierungssystem einrichten. Das Einrichten einer Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem tauscht das digitale Sicherheitszertifikat Ihres organization mit dem Microsoft Entra-Authentifizierungssystem aus und ruft das zertifikat und die Verbundmetadaten des Microsoft Entra Authentifizierungssystems ab. Sie können eine Verbundvertrauensstellung einrichten, indem Sie den Assistenten zum Aktivieren von Verbundvertrauensstellungen im Exchange Admin Center (EAC) oder das Cmdlet New-FederationTrust in der Exchange-Verwaltungsshell verwenden. Ein selbstsigniertes Zertifikat wird automatisch vom Assistenten zum Aktivieren der Verbundvertrauensstellung erstellt und zum Signieren und Verschlüsseln von Delegierungstoken aus dem Microsoft Entra Authentifizierungssystem verwendet, mit dem Benutzer von externen Verbundorganisationen als vertrauenswürdig eingestuft werden können. Ausführliche Informationen zu Zertifikatanforderungen finden Sie weiter unten in diesem Thema unter Zertifikatanforderungen für den Verbund.

Wenn Sie eine Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem erstellen, wird automatisch eine Anwendungs-ID (AppID) für Ihre Exchange-organization generiert und in der Ausgabe des Cmdlets Get-FederationTrust bereitgestellt. Die AppID wird vom Microsoft Entra-Authentifizierungssystem verwendet, um Ihre Exchange-organization eindeutig zu identifizieren. Es wird auch vom Exchange-organization verwendet, um den Nachweis zu erbringen, dass Ihr organization besitzer der Domäne für die Verwendung mit dem Microsoft Entra-Authentifizierungssystem ist. Dazu wird in der öffentlichen DNS-Zone (Domain Name System) für jede Verbunddomäne ein TXT-Eintrag erstellt.

Verbundorganisations-ID

Anhand der Verbundorganisations-ID (OrgID) wird definiert, welche der autoritativen akzeptierten Domänen, die in Ihrer Organisation konfiguriert sind, für die Verbundfunktion aktiviert sind. Nur Empfänger mit E-Mail-Adressen mit akzeptierten Domänen, die in der OrgID konfiguriert sind, werden vom Microsoft Entra Authentifizierungssystem erkannt und können Verbundfreigabefunktionen verwenden. Wenn Sie eine neue Verbundvertrauensstellung erstellen, wird automatisch eine OrgID mit dem Microsoft Entra-Authentifizierungssystem erstellt. Diese Verbundorganisations-ID ist eine Kombination aus einer vordefinierten Zeichenfolge und der akzeptierten Domäne, die im Assistenten als primäre freigegebene Domäne ausgewählt wurde. Wenn Sie im Assistenten zum Bearbeiten von freigabeaktivierten Domänen beispielsweise die Verbunddomäne contoso.com als primäre freigegebene Domäne in Ihrer Organisation angeben, wird der Kontonamespace FYDIBOHF25SPDLT.contoso.com automatisch als Organisations-ID für die Verbundvertrauensstellung für Ihre Exchange-Organisation erstellt.

Obwohl in der Regel die primäre SMTP-Domäne für die Exchange-organization, muss diese Domäne keine akzeptierte Domäne in Ihrem Exchange-organization sein und erfordert keinen DNS-Nachweis (Domain Name System) TXT-Eintrag. Die einzige Voraussetzung ist, dass akzeptierte Domänen, die als Verbund ausgewählt wurden, auf maximal 32 Zeichen beschränkt sind. Der einzige Zweck dieser Unterdomäne besteht darin, als Verbundnamespace für das Microsoft Entra-Authentifizierungssystem zu dienen, um eindeutige Bezeichner für Empfänger zu verwalten, die SAML-Delegierungstoken anfordern. Weitere Informationen zu SAML-Token finden Sie unter SAML-Token und Ansprüche.

Sie können akzeptierte Domänen jederzeit der Verbundvertrauensstellung hinzufügen oder daraus entfernen. Wenn Sie alle Verbundfreigabefeatures in Ihrem organization aktivieren oder deaktivieren möchten, müssen Sie nur die OrgID für die Verbundvertrauensstellung aktivieren oder deaktivieren.

Wichtig

Eine Änderung der Verbundorganisations-ID (OrgID), der akzeptierten Domänen oder der Anwendungs-ID (AppID) für die Verbundvertrauensstellung wirkt sich auf alle Verbundfreigabefunktionen in Ihrer Organisation aus. Und damit auch auf alle externen Exchange-Verbundorganisationen, einschließlich Exchange Online- und Hybridbereitstellungskonfigurationen. Es ist empfehlenswert, alle externen Verbundpartner über Änderungen an diesen Konfigurationseinstellungen für die Verbundvertrauensstellung zu informieren.

Beispiel für einen Verbund

Zwei Exchange-Organisationen, Contoso, Ltd. und Fabrikam, Inc., möchten, dass ihre Benutzer Frei/Gebucht-Kalenderinformationen miteinander teilen können. Jede organization erstellt eine Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem und konfiguriert seinen Kontonamespace so, dass er die Domäne enthält, die für die E-Mail-Adressdomäne des Benutzers verwendet wird.

Die Mitarbeiter von Contoso verwenden eine der folgenden E-Mail-Adressendomänen: contoso.com, contoso.co.uk oder contoso.ca. Die Mitarbeiter von Fabrikam verwenden eine der folgenden E-Mail-Adressendomänen: fabrikam.com, fabrikam.org oder fabrikam.net. Beide Organisationen stellen sicher, dass alle akzeptierten E-Mail-Domänen im Kontonamespace für ihre Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem enthalten sind. Statt einer komplexen Active Directory-Grundstruktur oder Domänenvertrauensstellung zwischen den Organisationen konfigurieren beide Organisationen eine Organisationsbeziehung zueinander, um die Freigabe von Frei/Gebucht-Kalenderinformationen zu ermöglichen.

Die folgende Abbildung zeigt die Verbundkonfiguration zwischen Contoso, Ltd. und Fabrikam, Inc.

Beispiel für eine Verbundfreigabe

Verbundvertrauensstellungen und Verbundfreigabe.

Zertifikatanforderungen für den Verbund

Um eine Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem einzurichten, muss entweder ein selbstsigniertes Zertifikat oder ein von einer Zertifizierungsstelle (CA) signiertes X.509-Zertifikat erstellt und auf dem Exchange 2013-Server installiert werden, der zum Erstellen der Vertrauensstellung verwendet wird. We strongly recommend using a self-signed certificate, which is automatically created and installed using the Enable federation trust wizard in the EAC. This certificate is used only to sign and encrypt delegation tokens used for federated sharing and only one certificate is required for the federation trust. Exchange 2013 automatically distributes the certificate to all other Exchange 2013 servers in the organization.

Soll ein von einer externen Zertifizierungsstelle signiertes X.509-Zertifikat verwendet werden, muss dieses die folgenden Anforderungen erfüllen:

  • Vertrauenswürdige Zertifizierungsstelle: Wenn möglich, sollte das SSL-Zertifikat (X.509 Secure Sockets Layer) von einer Von Windows Live vertrauenswürdigen Zertifizierungsstelle ausgestellt werden. Sie können jedoch auch Zertifikate von Zertifizierungsstellen verwenden, die derzeit noch nicht von Microsoft zertifiziert sind. Eine aktuelle Liste der vertrauenswürdigen Zertifizierungsstellen finden Sie unter Vertrauenswürdige Stammzertifizierungsstellen für Verbundvertrauensstellungen.

  • Antragstellerschlüsselbezeichner: Das Zertifikat muss über ein Feld für den Antragstellerschlüsselbezeichner verfügen. Die meisten, von kommerziellen Zertifizierungsstellen ausgestellten X.509-Zertifikate enthalten diese ID.

  • CryptoAPI Cryptographic Service Provider (CSP): Das Zertifikat muss einen CryptoAPI-CSP verwenden. Zertifikate von CNG-Anbietern: (Cryptography API: Next Generation) werden für die Verbundfunktion nicht unterstützt. Beim Erstellen einer Zertifikatanforderung mit Exchange wird ein CryptoAPI-Anbieter verwendet. Weitere Informationen finden Sie unter Cryptography API: Next Generation.

  • RSA-Signaturalgorithmus: Das Zertifikat muss RSA als Signaturalgorithmus verwenden.

  • Exportierbarer privater Schlüssel: Der private Schlüssel, der zum Generieren des Zertifikats verwendet wird, muss exportierbar sein. You can specify that the private key be exportable when you create the certificate request using the New Exchange certificate wizard in the EAC or the New-ExchangeCertificate cmdlet in the Shell.

  • Aktuelles Zertifikat: Das Zertifikat muss aktuell sein. Eine Verbundvertrauensstellung kann nicht mit einem abgelaufenen oder gesperrten Zertifikat erstellt werden.

  • Erweiterte Schlüsselverwendung: Das Zertifikat muss den EKU-Typ Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten. Dieser Verwendungstyp dient auf einem Remotecomputer zum Nachweis Ihrer Identität. Wenn Sie die Zertifikatanforderung über die Exchange-Verwaltungskonsole oder die Verwaltungsshell generieren, ist dieser Verwendungstyp standardmäßig enthalten.

Hinweis

Da das Zertifikat nicht für die Authentifizierung verwendet wird, bestehen dafür auch keine Anforderungen in Bezug auf einen Antragstellernamen oder einen alternativen Antragstellernamen. Sie können für das Zertifikat den Hostnamen, den Domänennamen oder einen beliebigen anderen Namen als Antragstellernamen verwenden.

Wechseln zu einem neuen Zertifikat

Das zum Erstellen der Verbundvertrauensstellung verwendete Zertifikat wird als aktuelles Zertifikat festgelegt. Sie müssen für die Verbundvertrauensstellung jedoch u. U. von Zeit zu Zeit ein neues Zertifikat installieren und verwenden. Sie müssen beispielsweise ein neues Zertifikat verwenden, wenn die Gültigkeitsdauer des aktuellen Zertifikats abläuft oder neue Geschäfts- oder Sicherheitsanforderungen zu erfüllen sind. Um einen nahtlosen Übergang zu einem neuen Zertifikat sicherzustellen, müssen Sie das neue Zertifikat auf Ihrem Exchange 2013-Server installieren und die Verbundvertrauensstellung so konfigurieren, dass es als neues Zertifikat festgelegt wird. Exchange 2013 verteilt das neue Zertifikat automatisch an alle anderen Exchange 2013-Server im organization. Abhängig von Ihrer Active Directory-Topologie kann die Verteilung des Zertifikats eine Weile dauern. Sie können den Zertifikatstatus mit dem Cmdlet Test-FederationTrustCertificate in der Shell überprüfen.

Nachdem Sie den Verteilstatus des Zertifikats überprüft haben, können Sie die Vertrauensstellung für die Verwendung des neuen Zertifikats konfigurieren. Nach dem Austausch der Zertifikate wird das aktuelle Zertifikat als vorheriges Zertifikat und das neue Zertifikat als aktuelles Zertifikat ausgewiesen. Das neue Zertifikat wird im Microsoft Entra-Authentifizierungssystem veröffentlicht, und alle neuen Token, die mit dem Microsoft Entra Authentifizierungssystem ausgetauscht werden, werden mit dem neuen Zertifikat verschlüsselt.

Hinweis

Dieser Zertifikatübergangsprozess wird nur vom Verbund verwendet. Wenn Sie dasselbe Zertifikat für andere Exchange 2013-Features verwenden, für die Zertifikate erforderlich sind, müssen Sie die Featureanforderungen berücksichtigen, wenn Sie planen, ein neues Zertifikat zu beschaffen, zu installieren oder auf ein neues Zertifikat umzustellen.

Überlegungen zur Firewall bei Verbund

Für Verbundfunktionen müssen die Postfach- und Clientzugriffsserver in Ihrer Organisation ausgehenden HTTPS-Zugriff auf das Internet haben. Sie müssen für alle Exchange 2013-Postfach- und Clientzugriffsserver in der Organisation ausgehenden HTTPS-Zugriff einrichten (Port 443 für TCP).

Damit eine externe Organisation auf die Frei/Gebucht-Informationen Ihrer Organisation zugreifen kann, müssen Sie einen Clientzugriffsserver im Internet veröffentlichen. Hierzu ist eingehender HTTPS-Zugriff aus dem Internet auf den Clientzugriffsserver erforderlich. Clientzugriffsserver an Active Directory-Standorten, die nicht über einen im Internet veröffentlichten Clientzugriffsserver verfügen, können Clientzugriffsserver an anderen Active Directory-Standorten verwenden, auf die über das Internet zugegriffen werden kann. Für nicht im Internet veröffentlichte Clientzugriffsserver muss die externe URL des virtuellen Verzeichnisses der Webdienste auf die URL festgelegt sein, die für externe Organisationen sichtbar ist.