Konfigurieren einer Verbundvertrauensstellung

  • Artikel

Gilt für: Exchange Server 2013

Eine Verbundvertrauensstellung stellt eine Vertrauensstellung zwischen einer Microsoft Exchange 2013-organization und dem Microsoft Entra-Authentifizierungssystem her. Durch Konfigurieren einer Verbundvertrauensstellung können Sie Verbundfreigaben mit anderen Exchange-Verbundorganisationen erstellen, damit Benutzer Frei/Gebucht-Informationen gemeinsam nutzen können. Verbundfreigaben können zwischen zwei Exchange 2013-Verbundorganisationen oder zwischen einer Exchange 2013-Verbundorganisation und Exchange 2010-Verbundorganisationen konfiguriert werden. Sie können die Freigabe auch mit einem Microsoft 365- oder Office 365 organization einrichten.

Hinweis

Das Erstellen einer Verbundvertrauensstellung ist einer von mehreren Schritten, die zum Einrichten von Verbundfreigaben in Ihrer Exchange-Organisation ausgeführt werden müssen. Eine Liste aller Schritte finden Sie unter Konfigurieren der Verbundfreigabe.

Weitere Verwaltungsaufgaben im Zusammenhang mit dem Verbund finden Sie unter Verbundprozeduren.

Wichtig

Dieses Feature von Exchange Server 2013 ist nicht vollständig kompatibel mit Office 365, die von 21Vianet in China betrieben wird, und es gelten möglicherweise einige Featurebeschränkungen. Weitere Informationen finden Sie unter Office 365 betrieben von 21Vianet.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: 30 Minuten.

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter „Verbund- und Zertifikatberechtigungen" im Thema Exchange- und Shellinfrastrukturberechtigungen.

  • Die Domäne, die zum Erstellen einer Verbundvertrauensstellung verwendet wird, muss vom Internet aufgelöst werden können. Dazu muss die Domäne bei einer Domänenregistrierungsstelle registriert sein, und die DNS-Zone (Domain Name System) für die Domäne muss auf einem vom Internet zugänglichen DNS-Server gehostet werden. Wenn die Organisation Internet-E-Mail für die Domäne erhält, sind diese Bedingungen bereits erfüllt.

  • Sie müssen Ihrem öffentlichen DNS einen TXT-Eintrag hinzufügen. Überprüfen Sie die Anforderungen für das Hinzufügen eines TXT-Eintrags mit der Organisation, die Ihre öffentlichen DNS-Einträge hostet.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

  • Beide Exchange-Organisationen in einer Verbundfreigabebeziehung müssen dasselbe Microsoft Entra Authentifizierungssystem für ihre Verbundvertrauensstellungen verwenden. Diese Anforderung gilt beim Konfigurieren der Verbundfreigabe zwischen zwei lokalen Exchange-Organisationen oder zwischen einer lokalen Exchange-organization und einer Exchange-organization, die von Microsoft 365 oder Office 365 gehostet wird.

  • Wenn Sie eine Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem für Ihre Exchange 2013-organization erstellen, verwendet die Verbundvertrauensstellung die geschäftliche instance des Microsoft Entra-Authentifizierungssystems. Andere Exchange-Verbundorganisationen mit früheren Versionen von Exchange und vorhandenen Verbundvertrauensstellungen können jedoch entweder die Geschäfts- oder Consumer-instance des Microsoft Entra Authentifizierungssystems verwenden.

    Die folgenden Exchange-Organisationen verwenden standardmäßig die geschäftliche instance des Microsoft Entra-Authentifizierungssystems:

    • Exchange 2013 organizations by using the Enable federation trust wizard and self-signed certificates for a federation trust.
    • Exchange 2010 SP1 or later organizations by using the New Federation Trust wizard and self-signed certificates for a federation trust.
    • Exchange-Organisationen, die von Microsoft 365 und Office 365 gehostet werden.

    Die folgenden Exchange-Organisationen verwenden standardmäßig die Consumer-instance des Microsoft Entra-Authentifizierungssystems:

    • Die RTM-Version (Release to Manufacturing) von Exchange 2010-Organisationen, die von Drittanbieterzertifizierungsstellen ausgestellte Zertifikate verwenden.

    Es wird empfohlen, dass alle Exchange-Organisationen die geschäftliche instance des Microsoft Entra-Authentifizierungssystems für Verbundvertrauensstellungen verwenden. Vor dem Konfigurieren der Verbundfreigabe zwischen den beiden Exchange-Organisationen müssen Sie überprüfen, welches Microsoft Entra Authentifizierungssystem instance jeder Exchange-organization für vorhandene Verbundvertrauensstellungen verwendet. Führen Sie den folgenden Shellbefehl aus, um zu bestimmen, welches Microsoft Entra Authentifizierungssystem instance einer Exchange-organization für eine vorhandene Verbundvertrauensstellung verwendet.

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>

    Die geschäftsspezifische instance gibt den Wert für <uri:federation:MicrosoftOnline> den TokenIssuerURIs-Parameter zurück.

    Der Consumer instance gibt den Wert für <uri:WindowsLiveID> den TokenIssuerURIs-Parameter zurück.

    Führen Sie die Schritte in diesem Thema aus, um die Verbundfreigabe mit einer Exchange-organization zu konfigurieren, die über eine vorhandene Verbundvertrauensstellung verfügt, die die Geschäfts-instance des Microsoft Entra Authentifizierungssystems verwendet. Diese Schritte sind alles, was Sie ausführen müssen, um Verbundvertrauensstellungen zu erstellen, die verwendet werden können, um die Verbundfreigabe zwischen zwei Exchange 2013-Organisationen oder zwischen einer Exchange 2013-organization und einer Exchange 2010-organization zu ermöglichen, die bereits die geschäftliche instance des Microsoft Entra Authentifizierungssystems verwendet.

    Zum Konfigurieren der Verbundfreigabe zwischen Ihrem Exchange 2013-organization und einem Exchange-organization, der über eine vorhandene Verbundvertrauensstellung verfügt, die die Consumer-instance des Microsoft Entra Authentifizierungssystems verwendet, verwendet exchange organization den Consumer. instance sollten Exchange 2010 SP2 oder höher installieren oder ein Upgrade auf Exchange 2013 durchführen. If you decide to install Exchange 2010 SP2 or later, use the New Federation Trust wizard to remove and re-create the existing federated domains and federation trusts. Wenn die Verbundvertrauensstellungen neu erstellt werden, wird die geschäftliche instance des Microsoft Entra-Authentifizierungssystems verwendet.

Erstellen und Konfigurieren einer Verbundvertrauensstellung mithilfe der Exchange-Verwaltungskonsole

  1. Navigieren Sie auf einem Exchange 2013-Server in Ihrer lokalen organization zu Organisationsfreigabe>.

  2. Click Enable to start the Enable federation trust wizard.

  3. Nach Fertigstellung des Assistenten klicken Sie auf Schließen.

  4. Klicken Sie auf der Registerkarte Freigabe im Abschnitt Verbundvertrauensstellung auf Ändern.

  5. Klicken Sie in Freigabeaktivierte Domänen neben Schritt 1 auf Durchsuchen.

  6. Wählen Sie in Akzeptierte Domänen auswählen die primäre freigegebene Domäne aus der Liste, und klicken Sie auf OK.

    Hinweis

    Die ausgewählte Domäne wird zur Konfiguration der Organisations-ID für die Verbundvertrauensstellung verwendet. Weitere Informationen zur Organisations-ID finden Sie unter Verbund.

  7. Notieren Sie sich den Nachweis für die Verbunddomäne, der für die primäre freigegebene Domäne generiert wird. Sie benötigen diese Zeichenfolge, um einen TXT-Eintrag auf Ihrem öffentlichen DNS-Server zu erstellen.

    Wichtig

    Die Zeichenfolge des Nachweises für die Verbunddomäne besteht aus alphanumerischen Zeichen. Zur Vermeidung von Eingabefehlern empfiehlt es sich, die Zeichenfolge aus der Exchange-Verwaltungskonsole zu kopieren und in einen Text-Editor wie Editor einzufügen. Zum Erstellen des TXT-Eintrags können Sie die Zeichenfolge aus dem Text-Editor in die Zwischenablage und dann in das Feld Text einfügen. Wenn der TXT-Eintrag mit einer falschen Verbunddomänen-Proof-Zeichenfolge erstellt wird, kann das Microsoft Entra-Authentifizierungssystem den Domänenbesitznachweis nicht überprüfen, und Sie können ihn nicht zum Verbund-organization-Bezeichner hinzufügen.

  8. Klicken Sie in Schritt 2 auf Symbol hinzufügen. , um der Verbundvertrauensstellung zusätzliche Domänen für E-Mail-Adressen hinzuzufügen, die von Benutzern in Ihrer organization verwendet werden, die Verbundfreigabefunktionen erfordern. Wenn Benutzer z. B. eine Subdomäne wie „sales.contoso.com“ in ihren E-Mail-Adressen verwenden, sollten Sie die Domäne "sales.contoso.com" der Verbundvertrauensstellung hinzufügen.

    Hinweis

    Für jede ausgewählte zusätzliche Domäne wird eine Zeichenfolge des Nachweises für die Verbunddomäne erstellt. Für jede zusätzliche Domäne muss ein separater TXT-Eintrag in Ihrem öffentlichen DNS erstellt werden.

  9. Verwenden Sie die für die jeweiligen Domänen erstellte Zeichenfolgen des Nachweises für die Verbunddomäne, um die entsprechenden TXT-Einträge auf Ihrem öffentlichen DNS-Server zu erstellen. In Abhängigkeit vom Aktualisierungszeitplan Ihres öffentlichen DNS-Hosts kann die Replikation von DNS-Änderungen 15 Minuten oder länger dauern.

  10. Nachdem die TXT-Einträge erstellt und repliziert wurden, klicken Sie auf Aktualisieren.

Erstellen und Konfigurieren einer Verbundvertrauensstellung mithilfe der Shell

  1. Führen Sie diesen Befehl aus, um eine Schlüssel-ID des Antragstellers für das Zertifikat für die Verbundvertrauensstellung zu erstellen:

    $ski = [System.Guid]::NewGuid().ToString("N")

  2. Verwenden Sie diese Syntax, um ein selbstsigniertes Zertifikat für die Verbundvertrauensstellung zu erstellen:

    New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

    In diesem Beispiel wird ein selbstsigniertes Zertifikat für die Verbundvertrauensstellung mit dem Microsoft Entra-Authentifizierungssystem erstellt. Das Zertifikat verwendet den Anzeigenamen „Exchange-Verbundfreigabe", und der Domänenwert wird von der USERDNSDOMAIN -Umgebungsvariablen abgerufen.

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

  3. Verwenden Sie die folgende Syntax, um die Verbundvertrauensstellung zu erstellen und das selbstsignierte Zertifikat, das Sie im vorherigen Schritt für die Exchange-Server in Ihrer Organisation erstellt haben, automatisch bereitzustellen:

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"

    In diesem Beispiel wird die Verbundvertrauensstellung Microsoft Entra Authentifizierung erstellt und das selbstsignierte Zertifikat namens Exchange-Verbundfreigabe bereitgestellt.

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"

  4. Verwenden Sie diese Syntax, um den Nachweis des Domänenbesitzes anhand eines TXT-Eintrags zurückzugeben, der für jede Domäne erforderlich ist, die Sie für die Verbundvertrauensstellung konfigurieren.

    Get-FederatedDomainProof -DomainName <domain>

    In diesem Beispiel wird der Nachweis des Domänenbesitzes anhand eines TXT-Eintrags zurückgegeben, der für die primäre freigegebene Domäne „contoso.com" erforderlich ist.

    Get-FederatedDomainProof -DomainName contoso.com

    Hinweise:

    • Jede Domäne oder Unterdomäne, die für die Verbundvertrauensstellung konfiguriert ist, erfordert einen TXT-Eintrag zum Nachweis des Domänenbesitzes. Daher müssen Sie diesen Befehl möglicherweise mehrmals mit unterschiedlichen DomainName-Werten ausführen.

    • Es wird empfohlen, die Zeichenfolge für den Domänennachweis mit der rechten Maustaste in der Shell zu kopieren, Markieren und dann den Nachweis-Wert auszuwählen und anschließend die EINGABETASTE zu drücken, damit Sie sie beim Erstellen des TXT-Eintrags verwenden können. Wenn Sie den TXT-Eintrag mit einer falschen Verbunddomänen-Proof-Zeichenfolge erstellen, kann das Microsoft Entra-Authentifizierungssystem Ihren Besitz der Domäne nicht überprüfen, und Sie können ihn nicht zum Verbundbezeichner organization hinzufügen.

  5. Erstellen Sie anhand der Informationen aus dem vorherigen Schritt die TXT-Einträge auf Ihrem öffentlichen DNS-Server in jeder Domäne, die der Verbundvertrauensstellung hinzugefügt wird. In Abhängigkeit vom Aktualisierungszeitplan Ihres öffentlichen DNS-Hosts kann die Replikation von DNS-Änderungen 15 Minuten oder länger dauern. Fahren Sie fort, nachdem Sie sichergestellt haben, dass die neuen TXT-Einträge verfügbar sind.

    Wichtig

    Der TXT-Eintrag sollte für jede Domäne erstellt werden, für die ein Verbund bzw. eine gemeinsame Nutzung erfolgt. Wenn es sich um eine Hybridumgebung handelt, sollten für alle akzeptierten Domänen, die in Exchange Online überprüft werden, TXT-Einträge erstellt werden.

  6. Führen Sie den folgenden Befehl aus, um die Metadaten und das Zertifikat aus Microsoft Entra-ID abzurufen:

    Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"

  7. Verwenden Sie diese Syntax, um die primäre freigegebene Domäne für die Verbundvertrauensstellung zu konfigurieren, die Sie in Schritt 3 erstellt haben. Die Domäne, die Sie angeben, wird zum Konfigurieren der Organisations-ID (OrgID) für die Verbundvertrauensstellung verwendet. Weitere Informationen zu der Organisations-ID finden Sie unter Verbundorganisations-ID.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true

    In diesem Beispiel wird die akzeptierte Domäne contoso.com als primäre freigegebene Domäne für die Verbundvertrauensstellung namens Microsoft Entra-Authentifizierung konfiguriert.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true

  8. Verwenden Sie zum Hinzufügen anderer Domänen die folgende Syntax:

    Add-FederatedDomain -DomainName <AdditionalDomain>

    In diesem Beispiel wird die Unterdomäne „sales.contoso.com" der Verbundvertrauensstellung hinzugefügt, da Benutzer mit E-Mail-Adressen in der Domäne „sales.contoso.com" Verbundfreigabefunktionen benötigen.

    Add-FederatedDomain -DomainName sales.contoso.com

    Denken Sie daran, dass für jede der Verbundvertrauensstellung hinzugefügte Domäne oder Unterdomäne ein Nachweis des Domänenbesitzes anhand eines TXT-Eintrags erforderlich ist.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifier und Add-FederatedDomain.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Der erfolgreiche Abschluss der Assistenten zum Aktivieren von Verbundvertrauensstellungen und für freigabeaktivierte Domänen ist ein erster Hinweis darauf, dass die Verbundvertrauensstellung erwartungsgemäß konfiguriert wurde.

Gehen Sie folgendermaßen vor, um sicherzustellen, dass die Verbundvertrauensstellung erfolgreich erstellt und konfiguriert wurde:

  1. Führen Sie den folgenden Shellbefehl aus, um die Informationen der Verbundvertrauensstellung zu überprüfen.

    Get-FederationTrust | Format-List

  2. Ersetzen Sie <PrimarySharedDomain> durch Ihre primäre freigegebene Domäne, und führen Sie den folgenden Shellbefehl aus, um zu überprüfen, ob Verbundinformationen aus Ihrem organization abgerufen werden können.

    Get-FederationInformation -DomainName <PrimarySharedDomain>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-FederationTrust und Get-FederationInformation.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.