Настройка доверия федерации

Exchange 2013
 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2017-07-26

Доверие федерации устанавливает доверительные отношения между организацией Microsoft Exchange 2013 и системой проверки подлинности Azure Active Directory. Настроив доверие федерации, вы можете внедрить федеративный общий доступ с другими федеративными организациями Exchange, чтобы совместно использовать сведения о доступности в календаре между получателями. Федеративный общий доступ можно настроить между двумя федеративными организациями Exchange 2013 или между федеративной организацией Exchange 2013 и несколькими федеративными организациями Exchange 2010. Вы также можете настроить совместный доступ с другой организацией Office 365.

ПримечаниеПримечание.
Создание доверия федерации — один из этапов настройки федеративного делегирования в организации Exchange. Анализ всех шагов см. в разделе Настройка общего федеративного доступа.

Дополнительные сведения о задачах управления, связанных с федерацией, см. в разделе Процедуры федерации.

ВажноВажно!
Эта возможность Exchange Server 2013 не совместима полностью со службой Office 365, предоставляемой компанией 21Vianet в Китае. Кроме того, возможны некоторые ограничения. Дополнительные сведения о службе Office 365, предоставляемой компанией 21Vianet.

  • Осталось времени до завершения: 30 минут.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Элемент разрешений "Федерация и сертификаты" в разделе Разрешения инфраструктуры Exchange и командной консоли.

  • К домену, используемому для установки доверия федерации, должен быть доступ из Интернета. Это необходимо для того, чтобы зарегистрировать домен с помощью регистратора доменов и разместить зону DNS для этого домена на DNS-сервере, доступном из Интернета. Если организация получает электронную почту Интернета для данного домена, эти требования уже выполнены.

  • Вам будет нужно добавить запись TXT для публичной системы DNS. Просмотрите требования по добавлению TXT-записи вместе с организацией, в которой размещены общедоступные DNS-записи.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

  • Обе организации Exchange, связанные отношением федеративного общего доступа, должны использовать одну и ту же систему проверки подлинности Azure AD для доверия федерации. Это требование применяется при настройке федеративного общего доступа между двумя локальными организациями Exchange или между локальной организацией Exchange и организацией Exchange, расположенными в Office 365.

  • При создании доверия федерации с помощью системы проверки подлинности Azure AD для вашей организации Exchange 2013 доверие федерации будет использовать бизнес-экземпляр системы проверки подлинности Azure AD. Тем не менее другие федеративные организации Exchange с Exchange предыдущих версий и существующие доверительные отношения федерации могут использовать бизнес-экземпляр или пользовательский экземпляр системы проверки подлинности Azure AD.

    Перечисленные ниже организации Exchange по умолчанию используют бизнес-экземпляр системы проверки подлинности Azure AD.

    • Организации Exchange 2013 с помощью мастера включения доверия федерации и самозаверяющих сертификатов для доверия федерации.

    • Организации Exchange 2010 с пакетом обновления 1 (SP1) или последующих версий с использованием мастера создания доверия федерации и самозаверяющих сертификатов для доверия федерации.

    • Организации Exchange, размещенные в Office 365, например Exchange Online.

    Перечисленные ниже организации Exchange по умолчанию используют пользовательский экземпляр системы проверки подлинности Azure AD.

    • Организации RTM-версии Exchange 2010, использующие сертификаты, выданные сторонними центрами сертификации.

    Рекомендуется, чтобы все организации Exchange использовали бизнес-экземпляр системы проверки подлинности Azure AD для доверия федерации. Перед настройкой федеративного общего доступа необходимо проверить, какой экземпляр системы проверки подлинности Azure AD используется каждой организацией Exchange для существующих доверий федерации. Чтобы определить экземпляр системы проверки подлинности Azure AD, используемый организацией Exchange для существующего доверия федерации, выполните следующую команду командной консоли.

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>
    

    Бизнес-экземпляр возвращает значение <uri:federation:MicrosoftOnline> для параметра TokenIssuerURIs.

    Потребительский экземпляр возвращает значение <uri:WindowsLiveID> для параметра TokenIssuerURIs.

    Для настройки федеративного общего доступа с использованием организации Exchange, которая имеет существующее доверие федерации, использующее бизнес-экземпляр системы проверки подлинности Azure AD, выполните действия из этого раздела. Эти шаги позволяют создать отношения доверия федерации, которые могут быть использованы для включения федеративного общего доступа между двумя организациями Exchange 2013 или между организацией Exchange 2013 и организацией Exchange 2010, уже использующей бизнес-экземпляр системы проверки подлинности Azure AD.

    Чтобы настроить федеративный общий доступ между организацией Exchange 2013 и организацией Exchange с существующим доверием федерации, использующим потребительский экземпляр системы проверки подлинности Azure AD, организация Exchange, использующая потребительский экземпляр, должна установить Exchange 2010 с пакетом обновления 2 (SP2) или более поздней версии или обновиться до Exchange 2013. Если решено установить Exchange 2010 SP2 или более поздней версии, используйте мастер создания доверия федерации , чтобы удалить и создать заново существующие федеративные домены и доверия федерации. После повторного создания отношений доверия федерации будет использоваться бизнес-экземпляр системы проверки подлинности Azure AD.

  1. На сервере Exchange 2013 в локальной организации последовательно выберите пункты Организация > Общий доступ.

  2. Щелкните Включить для запуска мастера включения доверия федерации.

  3. После успешного завершения работы с мастером нажмите кнопку Закрыть.

  4. В разделе Доверие федерации вкладки Общий доступ щелкните Изменить.

  5. В разделе Домены с включенным общим доступом рядом с пунктом Шаг 1 щелкните Обзор.

  6. В разделе Выберите обслуживаемые домены выберите основной общий домен в списке, а затем нажмите кнопку ОК.

    ПримечаниеПримечание.
    Домен, который вы выберете, используется для настройки OrgID доверия федерации. Дополнительные сведения об OrgID см. в разделе Федерация.
  7. Запишите подтверждение федеративного домена, созданное для основного общего домена. Эта строка используется, чтобы создать запись TXT для общего сервера DNS.

    ВажноВажно!
    Подтверждение права собственности на федеративный домен — это строка алфавитно-цифровых символов. Чтобы избежать ошибок ввода, рекомендуется скопировать строку из EAC и вставить ее в текстовый редактор, например Блокнот. Вы можете скопировать ее из текстового редактора в буфер обмена, а затем вставить ее в поле Текст при создании записи TXT. Если TXT-запись создается с помощью неправильной строки для подтверждения права собственности на федеративный домен, то система проверки подлинности Azure AD не сможет проверить это подтверждение, и его добавление к идентификатору федеративной организации будет невозможно.
  8. На Шаге 2 щелкните ДобавитьЗначок добавления, чтобы добавить дополнительные домены в доверия для адресов электронной почты, которые будут использоваться пользователями в организации, которым требуются функции федеративного доступа. Например, если у вас есть пользователи, использующие поддомены в адресах электронной почты, например sales.contoso.com, следует добавить домен sales.contoso.com в доверие федерации.

    ПримечаниеПримечание.
    Строка подтверждения федеративного домена будет создана для всех дополнительных доменов, которые вы выберете. Нужно создать отдельные записи TXT в общедоступной системе DNS для каждого дополнительного домена.
  9. Используя строки подтверждений федеративных доменов, созданные для каждого домена, создайте записи TXT для этих доменов на общем сервере DNS. В зависимости от расписания обновления общедоступного узла DNS для репликации изменений DNS может понадобиться 15 минут или более.

  10. После того, как записи TXT создаются и реплицируются, нажмите Обновить.

  1. В данном примере создается уникальный идентификатор ключа субъекта, который будет использоваться с сертификатом.

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. В данном примере создается самозаверяющий сертификат для доверия федерации с системой проверки подлинности Azure AD.

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. В данном примере после получения самозаверяющего сертификата создается доверие федерации проверки "Проверка подлинности Azure AD". Это приводит к автоматическому развертыванию самозаверяющего сертификата на серверах Exchange в организации.

    Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD authentication"
    

Дополнительные сведения о синтаксисе и параметрах см. в разделах New-ExchangeCertificate и New-FederationTrust.

Успешное завершение мастеров включения доверия федерации и доменов с включенным общим доступом является первым указанием на то, что доверие федерации настроено должным образом.

Для дополнительной проверки того, что вы успешно создали и настроили доверие федерации, выполните следующие действия:

  1. Чтобы проверить сведения о доверии федерации, выполните следующую команду командной консоли Exchange.

    Get-FederationTrust | format-list
    
  2. Чтобы убедиться, что сведения о федерации можно извлечь из организации, выполните следующую команду командной консоли Exchange.

    Get-FederationInformation -DomainName <your primary sharing domain>
    

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-FederationTrust и Get-FederationInformation.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.
 
Показ: