Erstellen einer Verbundvertrauensstellung

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

Mit einer Verbundvertrauensstellung wird eine Vertrauensstellung zwischen einer Microsoft Exchange Server 2010-Organisation und Microsoft Federation Gateway erstellt.

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit dem Verbund gibt? Weitere Informationen finden Sie hier: Verwalten des Verbunds.

Voraussetzungen

• Die Domäne, die zum Erstellen einer Verbundvertrauensstellung verwendet wird, muss vom Internet aufgelöst werden können. Dazu muss die Domäne bei einer Domänenregistrierungsstelle registriert sein, und die DNS-Zone (Domain Name System) für die Domäne muss auf einem vom Internet zugänglichen DNS-Server gehostet werden. Wenn die Organisation Internet-E-Mail für die Domäne erhält, sind diese Bedingungen bereits erfüllt.

• Die beiden Exchange-Organisationen in einer Verbunddelegierungsbeziehung müssen dieselbe Microsoft Federation Gateway-Instanz für ihre Verbundvertrauensstellungen verwenden. Diese Anforderung gilt beim Konfigurieren der Verbunddelegierung zwischen zwei lokalen Exchange-Organisationen oder zwischen einer lokalen Exchange-Organisation und einer Exchange-Organisation, die über Microsoft Online Services oder Microsoft Live@edu gehostet wird.

  Beim Erstellen einer Verbundvertrauensstellung mit Microsoft Federation Gateway für Ihre Exchange-Organisation verwendet die Verbundvertrauensstellung entweder die Business- oder die Consumer-Instanz von Microsoft Federation Gateway.

  Die folgenden Exchange-Organisationen verwenden standardmäßig die Business-Instanz von Microsoft Federation Gateway:

  • Organisationen mit Exchange 2010 Service Pack 2 (SP2), die selbstsignierte Zertifikate für eine Verbundvertrauensstellung verwenden

  • Von Microsoft Online Services gehostete Exchange-Organisationen, z. B. der in Microsoft Business Productivity Online Standard Suite bereitgestellte Exchange Online-Dienst

  Die folgenden Exchange-Organisationen verwenden standardmäßig die Consumer-Instanz von Microsoft Federation Gateway:

  • Die RTM-Version (Release to Manufacturing) von Exchange 2010-Organisationen, die von Drittanbieterzertifizierungsstellen ausgestellte Zertifikate verwenden

  • Über Microsoft Live@edu gehostete Exchange-Organisationen

  Es wird empfohlen, dass sämtliche Exchange-Organisationen die Business-Instanz von Microsoft Federation Gateway für Verbundvertrauensstellungen verwenden. Vor der Konfiguration der Verbunddelegierung zwischen den zwei Organisationen müssen Sie überprüfen, welche Microsoft Federation Gateway-Instanz die Exchange-Organisationen jeweils für vorhandene Verbundvertrauensstellungen verwenden. Zum Ermitteln, welche Microsoft Federation Gateway-Instanz eine Exchange-Organisation für eine vorhandene Verbundvertrauensstellung verwendet, führen Sie den folgenden Shellbefehl aus.

  Get-FederationInformation -DomainName <the hosted Exchange domain namespace>
  

  Die Business-Instanz gibt für den Parameter TokenIssuerURIs den Wert <uri:federation:MicrosoftOnline> zurück.

  Die Consumer-Instanz gibt für den Parameter TokenIssuerURIs den Wert <uri:WindowsLiveID> zurück.

  Zum Konfigurieren der Verbunddelegierung mit einer Exchange-Organisation, die über eine vorhandene Verbundvertrauensstellung unter Verwendung der Business-Instanz von Microsoft Federation Gateway verfügt, führen Sie die unter Erstellen einer Verbundvertrauensstellung mithilfe der Exchange-Verwaltungskonsole oder Erstellen einer Verbundvertrauensstellung mithilfe der Shell in diesem Thema beschriebenen Schritte aus. Über diese Schritte erstellen Sie Verbundvertrauensstellungen, die zum Aktivieren der Verbunddelegierung zwischen zwei Exchange 2010 SP2-Organisationen verwendet werden können.

  Zum Konfigurieren der Verbunddelegierung zwischen Ihrer Exchange 2010 SP2-Organisation und einer Exchange-Organisation, die über eine vorhandene Verbundvertrauensstellung unter Verwendung der Consumer-Instanz von Microsoft Federation Gateway verfügt, wählen Sie eine der folgenden Methoden:

  • Empfohlene Methode   In der Exchange-Organisation, die die Consumer-Instanz von Microsoft Federation Gateway verwendet, sollte Exchange 2010 SP2 installiert werden. Nach der Installation von SP2 sollten die vorhandenen Verbunddomänen und Verbundvertrauensstellungen entfernt und mithilfe der Exchange-Verwaltungskonsole neu erstellt werden. Bei der Neuerstellung der Verbundvertrauensstellungen wird die Business-Instanz von Microsoft Federation Gateway verwendet. Sie sollten ferner die ordnungsgemäße Funktionsweise aller vorhandenen Organisationsbeziehungen testen. Ausführliche Informationen zum Entfernen von Verbundvertrauensstellungen finden Sie unter Entfernen einer Verbundvertrauensstellung.

  • Alternative Methode   Zum Erstellen einer Verbundvertrauensstellung, die die Consumer-Instanz von Microsoft Federation Gateway verwendet, kann für die Exchange 2010 SP2-Organisation die Vorgehensweise Erstellen einer Verbundvertrauensstellung, die die Consumer-Instanz von Microsoft Federation Gateway verwendet, mithilfe der Shell verwendet werden. Diese Methode sollte nur verwendet werden, wenn die Verbunddelegierung mit einer anderen Exchange-Organisation aktiviert werden muss, in der Exchange 2010 SP2 nicht installiert werden kann.

Was möchten Sie tun?

• Erstellen einer Verbundvertrauensstellung mithilfe der Exchange-Verwaltungskonsole

• Erstellen einer Verbundvertrauensstellung mithilfe der Shell

• Erstellen einer Verbundvertrauensstellung, die die Consumer-Instanz von Microsoft Federation Gateway verwendet, mithilfe der Shell

Erstellen einer Verbundvertrauensstellung mithilfe der Exchange-Verwaltungskonsole

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Verbundvertrauensstellungen" im Thema Exchange- und Shellinfrastrukturberechtigungen.

1. Klicken Sie in der Konsolenstruktur auf Organisationskonfiguration.

2. Klicken Sie im Aktionsbereich auf Neue Verbundvertrauensstellung.

3. Klicken Sie auf der Seite Neue Verbundvertrauensstellung auf Neu. Auf diese Weise wird automatisch ein selbstsigniertes Zertifikat für die Verbundvertrauensstellung mit Microsoft Federation Gateway erstellt, und das selbstsignierte Zertifikat wird auf den Exchange-Servern in Ihrer Organisation bereitgestellt. Der Standardname der neuen Verbundvertrauensstellung lautet Microsoft Federation Gateway.

4. Überprüfen Sie Folgendes auf der Seite Fertigstellung, und klicken Sie dann zum Schließen des Assistenten auf Fertig stellen:

   • Der Status Abgeschlossen gibt an, dass der Assistent die Aufgabe erfolgreich ausgeführt hat.

   • Der Status Fehler zeigt an, dass der Task nicht abgeschlossen wurde. Wenn die Aufgabe fehlschlägt, durchsuchen Sie die Zusammenfassung nach einer Erklärung, und klicken Sie dann auf Zurück, um Konfigurationsänderungen vorzunehmen.

Erstellen einer Verbundvertrauensstellung mithilfe der Shell

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Verbundvertrauensstellungen" im Thema Exchange- und Shellinfrastrukturberechtigungen.

1. In diesem Beispiel wird eine eindeutige Schüssel-ID zur Verwendung mit dem Zertifikat erstellt.

   $ski = [System.Guid]::NewGuid().ToString("N")
   

2. In diesem Beispiel wird ein selbstsigniertes Zertifikat für die Verbundvertrauensstellung mit Microsoft Federation Gateway erstellt.

   New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
   

3. In diesem Beispiel wird das selbstsignierte Zertifikat abgerufen, und die Verbundvertrauensstellung "Microsoft Federation Gateway" wird erstellt. Auf diese Weise wird das selbstsignierte Zertifikat automatisch für die Exchange-Server in Ihrer Organisation bereitgestellt.

   Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"
   

Ausführliche Informationen zu Syntax und Parametern finden Sie in den folgenden Themen:

• New-ExchangeCertificate

• Get-ExchangeCertificate

• New-FederationTrust

Erstellen einer Verbundvertrauensstellung, die die Consumer-Instanz von Microsoft Federation Gateway verwendet, mithilfe der Shell

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Verbundvertrauensstellungen" im Thema Exchange- und Shellinfrastrukturberechtigungen.

Voraussetzung

Zum Erstellen einer Verbundvertrauensstellung, die die Consumer-Instanz von Microsoft Federation Gateway verwendet, benötigen Sie ein gültiges X.509-Zertifikat, das die Anforderungen von Verbundvertrauensstellungen erfüllt. Das Zertifikat muss von einer Zertifizierungsstelle ausgestellte werden, die von Microsoft Federation Gateway als vertrauenswürdig eingestuft wird. Dieses Zertifikat wird automatisch auf allen Clientzugriffs- und Hub-Transport-Servern bereitgestellt, auf die der Verbundvertrauensstellungstask zugreifen kann. Weitere Informationen finden Sie unter Vertrauenswürdige Stammzertifizierungsstellen für Verbundvertrauensstellungen.

1. In diesem Beispiel wird eine Liste mit Zertifikaten und den zugehörigen Fingerabdrücken abgerufen.

   Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List
   

   Where ist ein Alias für das Cmdlet Where-Object. Der Name kann auch durch den Alias ? (Fragezeichen) ersetzt werden. Verwenden Sie das Cmdlet Get-Alias, um eine Liste aller in der Shell verfügbaren Aliase abzurufen.

   Wenn auf dem Server lediglich ein nicht selbstsigniertes Zertifikat vorhanden ist, können Sie zur Vereinfachung dieses Tasks die Befehle aus diesem und dem nächsten Schritt kombinieren. Die Ergebnisse des Cmdlets Get-ExchangeCertificate können an das Cmdlet New-FederationTrust weitergeleitet werden, wie in diesem Beispiel gezeigt.

   Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService
   

2. In diesem Beispiel wird die Verbundvertrauensstellung "Microsoft Federation Gateway" erstellt.

   New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService
   

   Wichtig

   Nach dem Erstellen einer Verbundvertrauensstellung ist der nächste Schritt zur Konfiguration der Verbunddelegierung das Erstellen eines separaten TXT-Eintrags in der DNS-Zone für die Unterdomäne der Verbunddelegierung und jede primäre E-Mail- oder SMTP-Proxydomäne, die in den Verbund aufgenommen werden soll. Da Sie eine Verbundvertrauensstellung erstellt haben, die die Consumer-Instanz von Microsoft Federation Gateway verwendet, müssen Sie die für die Exchange 2010 RTM-Version des Themas Erstellen eines TXT-Eintrags für den Verbund beschriebenen Schritte ausführen. Sobald die TXT-Einträge in DNS verfügbar sind, können Sie die Konfiguration der Verbundvertrauensstellung mit dem Assistenten für verwalteten Verbund in der Exchange-Verwaltungskonsole oder mit dem Cmdlet Set-FederatedOrganizationIdentifier in der Shell abschließen.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ExchangeCertificate oder New-FederationTrust.

Weitere Aufgaben

Wenn Sie die Verbundvertrauensstellung erstellt haben, können Sie mit folgenden Aufgaben fortfahren:

• Erstellen eines TXT-Eintrags für den Verbund

• Estellen einer Organisationsbeziehung

• Erstellen einer Freigaberichtlinie

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.