Данная статья переведена с помощью средств машинного перевода. Чтобы просмотреть ее на английском языке, установите флажок Английский. Вы также можете просматривать английский текст во всплывающем окне, наводя указатель мыши на переведенный текст.
Перевод
Английский

Настройка доверия федерации

Exchange 2013
 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2017-07-26

Доверие федерации устанавливает доверительные отношения между организацией Microsoft Exchange 2013 и системой проверки подлинности Azure Active Directory. Настроив доверие федерации, вы можете внедрить федеративный общий доступ с другими федеративными организациями Exchange, чтобы совместно использовать сведения о доступности в календаре между получателями. Федеративный общий доступ можно настроить между двумя федеративными организациями Exchange 2013 или между федеративной организацией Exchange 2013 и несколькими федеративными организациями Exchange 2010. Вы также можете настроить совместный доступ с другой организацией Office 365.

ПримечаниеПримечание.
Создание доверия федерации — один из этапов настройки федеративного делегирования в организации Exchange. Анализ всех шагов см. в разделе Настройка общего федеративного доступа.

Дополнительные сведения о задачах управления, связанных с федерацией, см. в разделе Процедуры федерации.

ВажноВажно!
Эта возможность Exchange Server 2013 не совместима полностью со службой Office 365, предоставляемой компанией 21Vianet в Китае. Кроме того, возможны некоторые ограничения. Дополнительные сведения о службе Office 365, предоставляемой компанией 21Vianet.

  • Осталось времени до завершения: 30 минут.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье «Федерация и сертификаты» запись разрешений в разделе Разрешения инфраструктуры Exchange и командной консоли .

  • К домену, используемому для установки доверия федерации, должен быть доступ из Интернета. Это необходимо для того, чтобы зарегистрировать домен с помощью регистратора доменов и разместить зону DNS для этого домена на DNS-сервере, доступном из Интернета. Если организация получает электронную почту Интернета для данного домена, эти требования уже выполнены.

  • Вам будет нужно добавить запись TXT для публичной системы DNS. Просмотрите требования по добавлению TXT-записи вместе с организацией, в которой размещены общедоступные DNS-записи.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

  • Обе организации Exchange, связанные отношением федеративного общего доступа, должны использовать одну и ту же систему проверки подлинности Azure AD для доверия федерации. Это требование применяется при настройке федеративного общего доступа между двумя локальными организациями Exchange или между локальной организацией Exchange и организацией Exchange, расположенными в Office 365.

  • При создании доверия федерации с помощью системы проверки подлинности Azure AD для вашей организации Exchange 2013 доверие федерации будет использовать бизнес-экземпляр системы проверки подлинности Azure AD. Тем не менее другие федеративные организации Exchange с Exchange предыдущих версий и существующие доверительные отношения федерации могут использовать бизнес-экземпляр или пользовательский экземпляр системы проверки подлинности Azure AD.

    Перечисленные ниже организации Exchange по умолчанию используют бизнес-экземпляр системы проверки подлинности Azure AD.

    • Организации Exchange 2013 с помощью мастера включения доверия федерации и самозаверяющих сертификатов для доверия федерации.

    • Организации Exchange 2010 с пакетом обновления 1 (SP1) или последующих версий с использованием мастера создания доверия федерации и самозаверяющих сертификатов для доверия федерации.

    • Организации Exchange, размещенные в Office 365, например Exchange Online.

    Перечисленные ниже организации Exchange по умолчанию используют пользовательский экземпляр системы проверки подлинности Azure AD.

    • Организации RTM-версии Exchange 2010, использующие сертификаты, выданные сторонними центрами сертификации.

    Рекомендуется, чтобы все организации Exchange использовали бизнес-экземпляр системы проверки подлинности Azure AD для доверия федерации. Перед настройкой федеративного общего доступа необходимо проверить, какой экземпляр системы проверки подлинности Azure AD используется каждой организацией Exchange для существующих доверий федерации. Чтобы определить экземпляр системы проверки подлинности Azure AD, используемый организацией Exchange для существующего доверия федерации, выполните следующую команду командной консоли.

    Get-FederationInformation -DomainName <hosted Exchange domain namespace>
    

    Бизнес-экземпляр возвращает значение <uri:federation:MicrosoftOnline> для параметра TokenIssuerURIs.

    Потребительский экземпляр возвращает значение <uri:WindowsLiveID> для параметра TokenIssuerURIs.

    Чтобы настроить федеративный общий доступ для организации Exchange, которая имеет существующее доверие федерации, с помощью бизнес-экземпляр системы проверки подлинности Azure AD, выполните действия, описанные в этом разделе. Перечисленные ниже действия, необходимо выполнить для создания доверия федерации, которые можно использовать для включения федеративного общего доступа между организациями Exchange 2013 или Exchange 2013 организации и организации Exchange 2010, которая уже используется бизнес-экземпляр системы проверки подлинности Azure AD.

    Чтобы настроить федеративный общий доступ между организацией Exchange 2013 и организацией Exchange с существующим доверием федерации, использующим потребительский экземпляр системы проверки подлинности Azure AD, организация Exchange, использующая потребительский экземпляр, должна установить Exchange 2010 с пакетом обновления 2 (SP2) или более поздней версии или обновиться до Exchange 2013. Если решено установить Exchange 2010 SP2 или более поздней версии, используйте мастер создания доверия федерации , чтобы удалить и создать заново существующие федеративные домены и доверия федерации. После повторного создания отношений доверия федерации будет использоваться бизнес-экземпляр системы проверки подлинности Azure AD.

  1. На сервере Exchange 2013 в локальной организации последовательно выберите пункты Организация > Общий доступ.

  2. Щелкните Включить для запуска мастера включения доверия федерации.

  3. После успешного завершения работы с мастером нажмите кнопку Закрыть.

  4. В разделе Доверие федерации вкладки Общий доступ щелкните Изменить.

  5. В разделе Домены с включенным общим доступом рядом с пунктом Шаг 1 щелкните Обзор.

  6. В разделе Выберите обслуживаемые домены выберите основной общий домен в списке, а затем нажмите кнопку ОК.

    ПримечаниеПримечание.
    Домен, который вы выберете, используется для настройки OrgID доверия федерации. Дополнительные сведения об OrgID см. в разделе Федерация.
  7. Запишите обоснования федеративного домена, созданного для основной общий домен. Эта строка используется для создания записи TXT на общедоступных DNS-сервера.

    ВажноВажно!
    Эксперимент федеративного домена — это строка буквенно-цифровых символов. Чтобы избежать ошибок ввода, мы рекомендуем Скопируйте строку в центре администрирования Exchange и вставьте его в текстовый редактор, например "Блокнот". Скопируйте его в редакторе текста в буфер обмена и вставьте его в текстовое поле при создании записи TXT. Если запись TXT создается с помощью неверный федеративного домена проверки строки, системы проверки подлинности Azure AD не сможет проверка проверки факта владения доменом и не сможет добавить его в идентификатора федеративной организации.
  8. В шаге 2 нажмите кнопку ДобавитьЗначок добавления для добавления дополнительных доменов в доверие федерации для адресов электронной почты, которые будут использоваться пользователями, которые требуют функций федеративного общего доступа. К примеру Если у вас есть пользователи, использующие дочернего домена в свой адрес электронной почты, например sales.contoso.com, будет добавить домен sales.contoso.com доверия федерации.

    ПримечаниеПримечание.
    Строка подтверждения федеративного домена будет создана для всех дополнительных доменов, которые вы выберете. Нужно создать отдельные записи TXT в общедоступной системе DNS для каждого дополнительного домена.
  9. Используя строки подтверждений федеративных доменов, созданные для каждого домена, создайте записи TXT для этих доменов на общем сервере DNS. В зависимости от расписания обновления общедоступного узла DNS для репликации изменений DNS может понадобиться 15 минут или более.

  10. После того, как записи TXT создаются и реплицируются, нажмите Обновить.

  1. Выполните следующую команду, чтобы создать уникальный идентификатор ключа субъекта для сертификата доверия федерации.

    $ski = [System.Guid]::NewGuid().ToString("N")
    
  2. Чтобы создать самозаверяющий сертификат для доверия федерации, используйте следующий синтаксис:

    New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    

    В этом примере создается самозаверяющий сертификат для доверия федерации с системой проверки подлинности Azure AD. Сертификат использует значение понятное имя федеративного общего доступа к Exchange, а значение домена извлекается из переменной среды USERDNSDOMAIN .

    New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
    
  3. Создание доверия федерации и автоматическое развертывание самозаверяющий сертификат, созданный на предыдущем шаге, к серверам Exchange в вашей организации, используйте следующий синтаксис:

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
    

    В этом примере создается доверие федерации с именем проверка подлинности Azure AD и развертывает самозаверяющего сертификата с именем федеративного общего доступа к Exchange.

    Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
    
  4. Используйте следующий синтаксис для возврата проверки факта владения доменом запись TXT, необходимые для любого домена, который вы настроите для доверия федерации.

    Get-FederatedDomainProof -DomainName <domain>
    

    В этом примере возвращается проверки факта владения доменом запись TXT, необходимые для основной общий домен contoso.com.

    Get-FederatedDomainProof -DomainName contoso.com
    

    Примечания.

    • Каждый домен или дочерний домен, настроенный для доверия федерации требует проверки факта владения доменом запись TXT, поэтому может понадобиться для запуска этой команды несколько раз с помощью различных DomainName значений.

    • Рекомендуется скопировать строки проверки домена, щелкнув правой кнопкой мыши в командной консоли Exchange, выбирая знак, при выборе значения обоснования и затем нажмите клавишу ВВОД, поэтому его можно использовать при создании записи TXT. При создании записи TXT проверки строкой неправильные федеративного домена, системы проверки подлинности Azure AD не удается проверить ваше прав владельца домена и не сможет добавить его в идентификатора федеративной организации.

  5. С помощью сведений из предыдущего шага, создайте записи TXT на общедоступных DNS-сервера для каждого домена, который будет включен в доверии федерации. В зависимости от расписание обновления общедоступных узлов DNS, репликации изменений DNS может потребоваться 15 минут или больше. Продолжайте после проверки, что доступны новые записи TXT.

  6. Выполните следующую команду для извлечения метаданных и сертификат из Azure AD.

    Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
    
  7. Используйте следующий синтаксис для настройки основного общего домена для доверия федерации, созданной на шаге 3. Домен, который указан будет использоваться для настройки идентификатор организации (OrgID) для доверия федерации. Дополнительные сведения о OrgID можно Федеративный идентификатор организации.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
    

    В этом примере показана настройка обслуживаемого домена contoso.com как основной общий домен для доверия федерации с именем проверка подлинности Azure AD.

    Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
    
  8. Чтобы добавить других доменов для доверия федерации, используйте следующий синтаксис:

    Add-FederatedDomain -DomainName <AdditionalDomain>
    

    В этом примере показано добавление дочернего домена sales.contoso.com в доверие федерации так как пользователи с адресами электронной почты в домене sales.contoso.com требуют функций федеративного общего доступа.

    Add-FederatedDomain -DomainName sales.contoso.com
    

    Помните, что любой домен или дочерний домен, добавленные в доверии федерации требует проверки факта владения доменом запись TXT

Подробный синтаксис и сведений о параметрах в разделе New-ExchangeCertificate, New-FederationTrust, Get-FederatedDomainProof, Set-FederationTrust, Set-FederatedOrganizationIdentifierи Add-FederatedDomain.

Успешное завершение мастеров включения доверия федерации и доменов с включенным общим доступом является первым указанием на то, что доверие федерации настроено должным образом.

Для дополнительной проверки того, что вы успешно создали и настроили доверие федерации, выполните следующие действия:

  1. Чтобы проверить сведения о доверии федерации, выполните следующую команду командной консоли Exchange.

    Get-FederationTrust | Format-List
    
  2. Замените <PrimarySharedDomain> вашего основного общего домена и выполните следующую команду командной консоли, чтобы убедиться, что сведения о федерации можно извлечь из вашей организации.

    Get-FederationInformation -DomainName <PrimarySharedDomain>
    

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-FederationTrust и Get-FederationInformation.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.
 
Показ: