Grundlegendes zum Verbund
Gilt für: Exchange Server 2010
Letztes Änderungsdatum des Themas: 2010-01-26
Information-Worker müssen häufig mit externen Empfängern, z. B. mit Lieferanten, Partnern und Kunden, zusammenarbeiten und ihre Verfügbarkeitsinformationen (Frei/Gebucht-Informationen), Kalender oder Kontakte freigeben. Mithilfe von Microsoft Exchange Server 2010 ist das Freigeben von Informationen für externe Empfänger ganz einfach. Über den Verbund wird die zugrunde liegende Infrastruktur für Vertrauensstellungen bereitgestellt, um eine einfache und sichere Freigabe von Informationen in standortübergreifenden Organisationen und zwischen Exchange-Organisationen zu ermöglichen.
In Exchange 2010 wird die Verbundfunktion für die Verbundfreigabe verwendet, die Benutzern die Möglichkeit bietet, Verfügbarkeitsinformationen, Kalenderdaten und Kontakte für Empfänger in externen Verbundorganisationen einfach und problemlos freizugeben. Weitere Informationen zur Verbundfreigabe finden Sie unter Grundlegendes zur Verbundfreigabe.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit der Verbundfunktion gibt? Weitere Informationen finden Sie hier: Verwalten des Verbunds.
Inhalt
Microsoft Federation Gateway
Verbundvertrauensstellung
Verbundorganisations-ID
Zertifikatsanforderungen für den Verbund
Wechseln zu einem neuen Zertifikat
Microsoft Federation Gateway
In Exchange 2010 wird Microsoft Federation Gateway, ein in der Cloud (über das Internet und über die Domäne des Unternehmensnetzwerks) ausgeführter Identitätsdienst, als Vertrauensbroker verwendet. Exchange-Organisationen, die die Verbundfunktion nutzen möchten, richten eine Verbundvertrauensstellung mit Microsoft Federation Gateway ein, sodass der Dienst ein Verbundpartner der Exchange-Organisation werden kann. Durch die Vertrauensstellung können von Active Directory (als Identitätsanbieter bezeichnet) authentifizierte Benutzer SAML-Delegierungstoken (Security Assertion Markup Language) von Microsoft Federation Gateway erhalten. Mithilfe dieser Token können Benutzer einer Verbundorganisation von einer anderen Verbundorganisation als vertrauenswürdig eingestuft werden. Wenn Microsoft Federation Gateway als Vertrauensstellungsvermittler fungiert, müssen Organisationen nicht mehrere einzelne Vertrauensstellungen mit anderen Organisationen herstellen. Benutzer können mit der Option für einmaliges Anmelden (Single Sign-On, SSO) auf externe Ressourcen zugreifen. Weitere Informationen finden Sie unter Microsoft Federation Gateway (möglicherweise in englischer Sprache).
.gif "Verbundvertrauensstellung und Verbundfreigabe")
Nach oben
Verbundvertrauensstellung
Damit Sie die Verbundfunktion von Exchange 2010 verwenden können, müssen Sie eine Verbundvertrauensstellung zwischen der Exchange 2010-Organisation und Microsoft Federation Gateway herstellen, indem Sie das Zertifikat der Organisation mit Microsoft Federation Gateway austauschen und das Microsoft Federation Gateway-Zertifikat und die zugehörigen Verbundmetadaten abrufen. Wenn Sie eine Verbundvertrauensstellung herstellen möchten, können Sie den Assistenten für neue Verbundvertrauensstellung in der Exchange-Verwaltungskonsole (Exchange Management Console, EMC) oder das Cmdlet New-FederationTrust in der Exchange-Verwaltungsshell verwenden. Das Zertifikat wird zum Signieren und Verschlüsseln von Token verwendet. Ausführliche Informationen zu Zertifikatsanforderungen finden Sie unter Zertifikatsanforderungen für den Verbund weiter unten in diesem Thema.
Ausführliche Informationen zum Erstellen einer Verbundvertrauensstellung finden Sie unter Erstellen einer Verbundvertrauensstellung.
Wenn Sie eine Verbundvertrauensstellung mit Microsoft Federation Gateway erstellen, wird eine Anwendungs-ID (AppID) für die Exchange-Organisation generiert und in der Ausgabe des Assistenten für neue Verbundvertrauensstellung oder des Cmdlets New-FederationTrust bereitgestellt. Die AppID wird von Microsoft Federation Gateway zum Identifizieren der Exchange-Organisation verwendet. Darüber hinaus wird sie auch von der Exchange-Organisation verwendet, um den Besitz der registrierten Domänen nachzuweisen, die in den Verbund aufgenommen werden. Dies erfolgt durch Erstellen eines TXT-Ressourceneintrags in der DNS-Zone (Domain Name System) jeder Verbunddomäne.
Wichtig
Damit Sie eine akzeptierte Domäne in den Verbund aufnehmen können, müssen Sie die Domäne zur Verbundorganisations-ID hinzufügen. Vor dem Hinzufügen einer Domäne zur Organisations-ID müssen Sie den TXT-Eintrag mit der AppID erstellen, die für die Organisation beim Herstellen der Verbundvertrauensstellung erstellt wurde. Diesen Schritt müssen Sie für jede akzeptierte Domäne ausführen, die als Verbunddomäne zur Organisations-ID hinzugefügt werden soll.
Ausführliche Informationen zum Erstellen des DNS-Ressourceneintrags finden Sie unter Erstellen eines TXT-Eintrags für den Verbund.
Nach oben
Verbundorganisations-ID
Mit der Verbundorganisations-ID wird definiert, welche der autoritativen akzeptierten Domänen, die in der Exchange-Organisation konfiguriert sind, für den Verbund aktiviert werden. Nur Empfänger mit E-Mail-Adressen, deren akzeptierte Domänen in der Organisations-ID konfiguriert sind, werden von Microsoft Federation Gateway erkannt und können Funktionen wie die Verbundfreigabe verwenden. Beim Konfigurieren der Organisations-ID wird ein Kontonamespace erstellt, wobei von Microsoft Federation Gateway die erste hinzugefügte akzeptierte Domäne verwendet wird. Es wird empfohlen, den primären Domänennamen der Organisation als Kontonamespace zu verwenden. Dabei handelt es sich um den Domänennamen, der zum Generieren der E-Mail-Adressen für die meisten Benutzer verwendet wird.
Sie können jederzeit weitere akzeptierte Domänen hinzufügen oder entfernen, und auch die für den Kontonamespace verwendete Domäne kann geändert werden, sofern erforderlich. Sie können die Organisations-ID deaktivieren oder aktivieren, um alle Verbundfunktionen für die Exchange-Organisation in einem einzigen Schritt zu deaktivieren bzw. zu aktivieren.
Weitere Informationen zum Konfigurieren der Verbundorganisations-ID finden Sie unter Verbundverwaltung.
Nachdem Sie eine Verbundvertrauensstellung mit Microsoft Federation Gateway erstellt haben, müssen Sie TXT-Einträge für alle akzeptierten Domänen erstellen, die Sie für den Verbund verwenden möchten. Konfigurieren Sie dann die Organisations-ID mit den akzeptierten Domänen.
Nach oben
Zertifikatsanforderungen für den Verbund
Zum Herstellen einer Verbundvertrauensstellung müssen Sie ein X.509-Zertifikat auf dem zum Erstellen der Vertrauensstellung verwendeten Exchange 2010-Server bereitstellen und installieren. Das Zertifikat wird nur zum Signieren und Verschlüsseln von Delegierungstoken verwendet. Das Zertifikat muss die folgenden Anforderungen erfüllen:
- Vertrauenswürdige Zertifizierungsstelle Das Zertifikat muss von einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority, CA) signiert sein. Eine Liste der vertrauenswürdigen Zertifizierungsstellen finden Sie unter Vertrauenswürdige Stammzertifizierungsstellen für Verbundvertrauensstellungen.
- Schlüssel-ID des Antragstellers Das Zertifikat muss über ein Feld mit der Schlüssel-ID des Antragstellers verfügen. Die meisten von kommerziellen Zertifizierungsstellen ausgestellten X.509-Zertifikate weisen eine Schlüssel-ID des Antragstellers auf.
- CryptoAPI-Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) Das Zertifikat muss einen CryptoAPI-CSP verwenden. Zertifikate, die CNG-Anbieter (Cryptography Next Generation) verwenden, werden für die Verbundfunktion nicht unterstützt. Beim Erstellen einer Zertifikatsanforderung mit Exchange wird ein CryptoAPI-Anbieter verwendet. Weitere Informationen finden Sie unter Kryptografie (möglicherweise in englischer Sprache).
- RSA-Signaturalgorithmus Das Zertifikat muss RSA als Signaturalgorithmus verwenden.
- Exportierbarer privater Schlüssel Der zum Generieren des Zertifikats verwendete private Schlüssel muss exportiert werden können. Beim Erstellen einer Zertifikatsanforderung mit dem Assistenten für neue Zertifikate in der Exchange-Verwaltungskonsole oder mit dem Cmdlet New-ExchangeCertificate in der Shell können Sie angeben, dass der private Schlüssel eines Zertifikats exportierbar sein soll.
- Aktuelles Zertifikat Das Zertifikat muss aktuell sein. Eine Verbundvertrauensstellung kann nicht mit einem abgelaufenen oder gesperrten Zertifikat erstellt werden.
- Erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) Das Zertifikat muss den EKU-Typ Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten. Dieser Verwendungstyp dient einem Remotecomputer als Nachweis Ihrer Identität. Wenn Sie Exchange-Tools zum Generieren der Zertifikatsanforderung verwenden, ist dieser Verwendungstyp standardmäßig enthalten.
Da das Zertifikat nicht für die Authentifizierung verwendet wird, bestehen dafür auch keine Anforderungen in Bezug auf einen Antragstellernamen oder einen alternativen Antragstellernamen. Sie können ein Zertifikat mit einem Antragstellernamen verwenden, der dem Hostnamen, dem Domänennamen oder einem anderen Namen entspricht. Für die Verbundvertrauensstellung ist nur ein Zertifikat erforderlich. In Exchange wird das Zertifikat automatisch an die anderen Exchange 2010-Server in der Organisation verteilt.
Nach oben
Wechseln zu einem neuen Zertifikat
Das zum Erstellen der Verbundvertrauensstellung verwendete Zertifikat wird als aktuelles Zertifikat festgelegt. Möglicherweise müssen Sie regelmäßig ein neues Zertifikat installieren und verwenden, z. B. wenn das aktuelle Zertifikat abläuft oder Sie das Zertifikat ändern müssen, um die Unternehmens- und Sicherheitsanforderungen der Organisation zu erfüllen. Damit ein nahtloser Wechsel zu einem neuen Zertifikat sichergestellt werden kann, müssen Sie das neue Zertifikat auf dem Exchange 2010-Server installieren und die Verbundvertrauensstellung so konfigurieren, dass sie als nächstes Zertifikat festgelegt wird. In Exchange 2010 wird das nächste Zertifikat automatisch an die anderen Exchange 2010-Server in der Organisation verteilt. Abhängig von der jeweiligen Active Directory-Topologie kann die Verteilung des Zertifikats einige Zeit in Anspruch nehmen. Sie können den Zertifikatstatus mithilfe des Assistenten für verwalteten Verbund in der Exchange-Verwaltungskonsole oder mit dem Cmdlet Test-FederationTrustCertificate in der Shell überprüfen.
Nachdem Sie den Zertifikatverteilungsstatus überprüft haben, können Sie die Vertrauensstellung für einen Wechsel zum nächsten Zertifikat konfigurieren. In diesem Fall wird das aktuelle Zertifikat als vorheriges Zertifikat angegeben, und das nächste Zertifikat wird als aktuelles Zertifikat festgelegt. Das neue aktuelle Zertifikat wird in Microsoft Federation Gateway veröffentlicht. Anschließend werden die mit Microsoft Federation Gateway ausgetauschten Token mit dem neuen Zertifikat verschlüsselt. Der Wechsel wird in der folgenden Abbildung veranschaulicht.
Zertifikatwechsel
.gif "Wechseln zum nächsten Zertifikat")
Weitere Informationen zum Wechseln zu einem neuen Zertifikat finden Sie unter Verbundverwaltung.
Hinweis
Dieser Wechselmechanismus wird nur vom Verbund verwendet. Bei Verwendung desselben Zertifikats für andere Exchange 2010-Funktionen, die Zertifikate verwenden, müssen Sie die Funktionsanforderungen berücksichtigen, wenn Sie planen, ein neues Zertifikat bereitzustellen, zu installieren oder zu einem neuen Zertifikat zu wechseln.
Nach oben