Verwalten einer Verbundvertrauensstellung

Gilt für: Exchange Server 2013

Eine Verbundvertrauensstellung stellt eine Vertrauensstellung zwischen einer Microsoft Exchange 2013-organization und dem Microsoft Entra-Authentifizierungssystem her und unterstützt die Verbundfreigabe mit anderen Exchange-Verbundorganisationen. Normalerweise sollten Sie die Verbundvertrauensstellung nach der Erstellung nicht verwalten oder ändern müssen. Es kann jedoch Situationen geben, in denen das Hinzufügen oder Entfernen von Verbunddomänen oder das Zurücksetzen der Domäne erforderlich ist, die zum Konfigurieren des organization-Bezeichners (OrgID) für die Verbundvertrauensstellung verwendet wird.

Hinweis

Das Ändern einer vorhandenen Verbundvertrauensstellung, insbesondere der primären freigegebenen Domäne, die zum Definieren der OrgID verwendet wird, kann die Verbundfreigabe zwischen Exchange-Verbundorganisationen oder hybriden Bereitstellungen mit Microsoft 365 oder Office 365 Organisationen stören.

Weitere Verwaltungsaufgaben im Zusammenhang mit Verbund finden Sie unter Verbundverfahren.

Wichtig

Dieses Feature von Exchange Server 2013 ist nicht vollständig kompatibel mit Office 365, die von 21Vianet in China betrieben wird, und es gelten möglicherweise einige Featurebeschränkungen. Weitere Informationen finden Sie unter Verwenden von Office 365 mit 21Vianet.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: 30 Minuten.

  • Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie unter Verbund- und Zertifikatberechtigungen im Thema Exchange- und Shell-Infrastrukturberechtigungen .

  • Für jede neue Verbunddomäne, die zur Verbundvertrauensstellung hinzugefügt wird, muss ein TXT-Eintrag zu Ihrem öffentlichen DNS hinzugefügt werden. Überprüfen Sie die Anforderungen für das Hinzufügen eines TXT-Eintrags mit der Organisation, die Ihre öffentlichen DNS-Einträge hostet.

  • Zur Veranschaulichung in diesem Thema wurde eine vorhandene Verbundvertrauensstellung mit den folgenden Einstellungen konfiguriert:

    • Die primäre freigegebene Domäne für die Verbundvertrauensstellung ist Contoso.com. (Diese Domäne wird nicht geändert.)

    • Die Verbunddomänen service.contoso.com und sales.contoso.com wurden in die vorhandene Verbundvertrauensstellung aufgenommen.

    • Marketing.contoso.com ist eine akzeptierte Domäne in der Exchange-Organisation.

  • In diesem Thema werden darüber hinaus weitere Verwaltungsaufgaben für den Partnerverbund behandelt, z. B. das Anzeigen und Verwalten von Zertifikaten, die für die Verbundvertrauensstellung verwendet werden, sowie das Anzeigen von Parameterinformationen zur Verbundvertrauensstellung in der Shell.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Verwalten einer Verbundvertrauensstellung mithilfe der Exchange-Verwaltungskonsole

  1. Navigieren Sie auf einem Exchange 2013-Server in Ihrer lokalen organization zur Organisationsfreigabe>.

  2. Klicken Sie im Abschnitt Verbundvertrauensstellung auf Ändern.

  3. Da die primäre freigegebene Domäne nicht geändert wird, können Sie Schritt 1 in Freigabeaktivierte Domänen überspringen.

  4. Wählen Sie in Schritt 2 die service.contoso.com Domäne aus, und klicken Sie dann auf Entfernen Symbol Entfernen. , um die Domäne aus der Verbundvertrauensstellung zu entfernen.

  5. Klicken Sie in Schritt 2 auf Symbol hinzufügen..

  6. Wählen Sie in Akzeptierte Domänen auswählen aus der Liste der akzeptierten Domänen marketing.contoso.com aus, und klicken Sie auf OK, um die Domäne zur Verbundvertrauensstellung hinzuzufügen.

    Wichtig

    Für die Domäne marketing.contoso.com wird eine Zeichenfolge des Nachweises für die Verbunddomäne erstellt. Für diese Domäne muss ein separater TXT-Eintrag in Ihrem öffentlichen DNS erstellt werden.

  7. Erstellen Sie unter Verwendung der Zeichenfolge des Nachweises für die Verbunddomäne, der für die Domäne marketing.contoso.com erstellt wurde, einen TXT-Eintrag auf Ihrem öffentlichen DNS-Server. In Abhängigkeit vom Aktualisierungszeitplan Ihres öffentlichen DNS-Hosts kann die Replikation von DNS-Änderungen 15 Minuten oder länger dauern.

  8. Nachdem der TXT-Eintrag erstellt und repliziert wurde, klicken Sie auf Aktualisieren.

Verwalten einer Verbundvertrauensstellung mithilfe der Shell

  1. In diesem Beispiel wird die Domäne "service.contoso.com" aus der Verbundvertrauensstellung entfernt.

    Remove-FederatedDomain -DomainName service.contoso.com
    
  2. In diesem Beispiel wird die Domäne "marketing.contoso.com" zur Verbundvertrauensstellung hinzugefügt.

    Add-FederatedDomain -DomainName marketing.contoso.com
    

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-FederatedDomain und Add-FederatedDomain.

Führen Sie die folgenden Shell-Befehle aus, um weitere Aspekte einer Verbundvertrauensstellung zu verwalten:

  1. Anzeigen der Verbundorganisations-ID und Verbunddomänen

    In diesem Beispiel werden die Verbundorganisations-ID und die dazugehörigen Informationen (einschließlich Verbunddomänen und Status) für die Exchange-Organisation angezeigt.

    Get-FederatedOrganizationIdentifier
    
  2. Anzeigen von Zertifikaten der Verbundvertrauensstellung

    In diesem Beispiel werden die vorherigen, aktuellen und nächsten Zertifikate angezeigt, die von der Verbundvertrauensstellung "Microsoft Entra-Authentifizierung" verwendet werden.

    Get-FederationTrust "Azure AD authentication" | Select Org*certificate
    
  3. Überprüfen des Verbundzertifikatstatus

    In diesem Beispiel wird der Status von Verbundzertifikaten auf allen Postfach- und Clientzugriffsservern in der Organisation angezeigt.

    Test-FederationTrustCertificate
    
  4. Konfigieren der Verbundvertrauensstellung zum Verwenden eines Zertifikats als das nächste Zertifikat

    In diesem Beispiel wird die Verbundvertrauensstellung "Microsoft Entra-Authentifizierung" so konfiguriert, dass das Zertifikat mit dem angegebenen Fingerabdruck als nächstes Zertifikat verwendet wird. Nachdem das Zertifikat auf allen Exchange-Servern im organization bereitgestellt wurde, können Sie den Switch PublishCertificate verwenden, um die Verbundvertrauensstellung so zu konfigurieren, dass dieses Zertifikat als aktuelles Zertifikat verwendet wird.

    Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
    
  5. Konfigurieren der Verbundvertrauensstellung zum Verwenden des nächsten Zertifikats als das aktuelle Zertifikat

    In diesem Beispiel wird die Verbundvertrauensstellung Microsoft Entra Authentifizierung so konfiguriert, dass das nächste Zertifikat als aktuelles Zertifikat verwendet wird, und es im Microsoft Entra Authentifizierungssystem veröffentlicht.

    Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
    

    Warnung

    Bevor die Verbundvertrauensstellung so konfiguriert wird, dass das nächste Zertifikat als das aktuelle Verbundzertifikat verwendet wird, stellen Sie sicher, dass das Zertifikat auf allen Exchange-Servern in der Organisation bereitgestellt wurde. Verwenden Sie das Cmdlet Test-FederationTrustCertificate, um den Bereitstellungsstatus des Zertifikats zu überprüfen.

  6. Aktualisieren von Verbundmetadaten und Zertifikaten aus dem Microsoft Entra-Authentifizierungssystem

    In diesem Beispiel werden die Verbundmetadaten und das Zertifikat des Microsoft Entra-Authentifizierungssystems für die Verbundvertrauensstellung Microsoft Entra Authentifizierung aktualisiert.

    Set-FederationTrust "Azure AD authentication" -RefreshMetadata
    

Ausführliche Informationen zu Syntax und Parametern finden Sie in den folgenden Themen:

Hinweis

Es gibt zusätzliche Überlegungen, wenn der Mandant in der Office 365 GCC High- oder DoD-Umgebung der US-Regierung gehostet wird. In diesen Umgebungen müssen Sie das Cmdlet Set-FederationTrust in der lokalen Exchange-Umgebung mit einem anderen Wert für den MetadataUrl-Parameter ausführen. Weitere Informationen finden Sie unter Set-FederationTrust .

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Der erfolgreiche Abschluss des Assistenten für freigabeaktivierte Domänenist ein erster Hinweis, dass die Verbundvertrauensstellung wie erwartet konfiguriert wurde.

Gehen Sie wie folgt vor, um die erfolgreiche Konfiguration zusätzlich zu überprüfen:

  1. Führen Sie den folgenden Shellbefehl aus, um die Informationen der Verbundvertrauensstellung zu überprüfen.

    Get-FederationTrust | format-list
    
  2. Führen Sie den folgenden Shellbefehl aus, um zu überprüfen, ob Verbundinformationen aus Ihrem organization abgerufen werden können. Überprüfen Sie beispielsweise, ob die domänen sales.contoso.com und marketing.contoso.com im Parameter DomainNames zurückgegeben werden.

    Get-FederationInformation -DomainName <your primary sharing domain>
    

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.