Управление доверием федерации

Область применения: Exchange Server 2013 г.

Доверие федерации устанавливает отношения доверия между организацией Microsoft Exchange 2013 и системой проверки подлинности Microsoft Entra и поддерживает федеративный общий доступ с другими федеративными организациями Exchange. Обычно не требуется контролировать или изменять доверие федерации после его создания. Однако могут быть ситуации, в которых необходимо добавить или удалить федеративные домены или сбросить домен, используемый для настройки идентификатора организации (OrgID) для доверия федерации.

Примечание.

Изменение существующего доверия федерации, особенно основного общего домена, используемого для определения OrgID, может нарушить федеративный общий доступ между федеративными организациями Exchange или для гибридных развертываний с Microsoft 365 или Office 365 организациями.

Дополнительные задачи управления, связанные с федерацией, см. в разделе Процедуры федерации.

Важно!

Эта функция Exchange Server 2013 не полностью совместима с Office 365, эксплуатируемой компанией 21Vianet в Китае, и могут применяться некоторые ограничения. Дополнительные сведения см. в статье Сведения о Office 365, управляемых 21Vianet.

Что нужно знать перед началом работы

  • Осталось времени до завершения: 30 минут.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи Разрешения федерации и сертификатов в разделе Разрешения инфраструктуры Exchange и оболочки .

  • Вам потребуется добавить запись TXT в общедоступную систему DNS для каждого нового федеративного домена, добавленное в доверие федерации. Просмотрите требования по добавлению TXT-записи вместе с организацией, в которой размещены общедоступные DNS-записи.

  • В целях этого раздела существующее доверие федерации было настроено со следующими параметрами:

    • Contoso.com является основным общим доменом для доверия федерации. (Этот домен не изменятся.)

    • Федеративные домены service.contoso.com и sales.contoso.com включаются в существующее доверие федерации.

    • Marketing.contoso.com является обслуживаемым доменом в организации Exchange.

  • В этом разделе также описываются другие задачи управления федерацией, такие как просмотр сертификатов, используемых для доверия федерации, и управление ими, а также просмотр сведений о параметрах доверия федерации в командной консоли.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

Использование центра администрирования Exchange для управления доверием федерации

  1. На сервере Exchange 2013 в локальной организации перейдите к разделуОбщий доступ к организации>.

  2. В разделе Доверие федерации нажмите кнопку Изменить.

  3. В окне Общие домены пропустите Шаг 1, так как основной общий домен не изменяется.

  4. На шаге 2 выберите домен service.contoso.com и нажмите кнопку Удалитьзначок удаления. , чтобы удалить домен из федеративного доверия.

  5. На шаге 2 щелкните Добавитьзначок добавления..

  6. В окне Выбор обслуживаемых доменов выберите marketing.contoso.com из списка обслуживаемых доменов и нажмите кнопку ОК, чтобы добавить домен в доверие федерации.

    Важно!

    Для домена marketing.contoso.com будет создана строка подтверждения федеративного домена. Вы должны создать отдельную запись TXT для этого домена в общедоступной системе DNS.

  7. С использованием строки подтверждения федеративного домена, созданной для домена marketing.contoso.com, создайте запись TXT на общедоступном сервере DNS. В зависимости от расписания обновления общедоступного узла DNS для репликации изменений DNS может понадобиться 15 минут или более.

  8. После того, как запись TXT создается и реплицируется, нажмите кнопку Обновить.

Использование командной консоли Exchange для управления доверием федерации

  1. Этот пример удаляет домен service.contoso.com из доверия федерации.

    Remove-FederatedDomain -DomainName service.contoso.com
    
  2. В этом примере домен marketing.contoso.com добавляется к доверию федерации.

    Add-FederatedDomain -DomainName marketing.contoso.com
    

Дополнительные сведения о синтаксисе и параметрах см. в разделах Remove-FederatedDomain и Add-FederatedDomain.

Выполните следующие команды консоли для управления другими аспектами доверия федерации:

  1. Просмотр федеративных OrgID и федеративных доменов

    Этот пример отображает федеративный OrgID организации Exchange и связанные сведения, в том числе федеративные домены и состояние.

    Get-FederatedOrganizationIdentifier
    
  2. Просмотр сертификатов доверия федерации

    В этом примере отображаются предыдущие, текущие и следующие сертификаты, используемые доверием федерации "Microsoft Entra проверки подлинности".

    Get-FederationTrust "Azure AD authentication" | Select Org*certificate
    
  3. Проверка состояния сертификатов федерации

    В этом примере показано состояние сертификатов федерации на всех серверах почтовых ящиков и клиентского доступа в организации.

    Test-FederationTrustCertificate
    
  4. Настройка доверия федерации для использования сертификата в качестве следующего сертификата

    В этом примере настраивается доверие федерации "Microsoft Entra проверка подлинности", чтобы использовать сертификат с предоставленным отпечатком в качестве следующего сертификата. После развертывания сертификата на всех серверах Exchange в организации можно использовать параметр PublishCertificate , чтобы настроить доверие федерации для использования этого сертификата в качестве текущего сертификата.

    Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
    
  5. Настройка использования доверием федерации следующего сертификата в качестве текущего сертификата

    В этом примере настраивается Microsoft Entra проверки подлинности Microsoft Entra федерации для использования следующего сертификата в качестве текущего сертификата и его публикация в системе проверки подлинности Microsoft Entra.

    Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
    

    Предупреждение

    Прежде чем настраивать для доверия федерации использование следующего сертификата в качестве текущего сертификата федерации, убедитесь, что этот сертификат развернут на всех серверах Exchange в организации. Используйте командлет Test-FederationTrustCertificate для проверки состояния развертывания сертификата.

  6. Обновление метаданных федерации и сертификата из системы проверки подлинности Microsoft Entra

    В этом примере обновляются метаданные федерации и сертификат системы проверки подлинности Microsoft Entra для Microsoft Entra проверки подлинности федерации.

    Set-FederationTrust "Azure AD authentication" -RefreshMetadata
    

Подробные сведения о синтаксисе и параметрах см. в следующих разделах:

Примечание.

Существуют дополнительные рекомендации, если клиент размещен в Office 365 среде GCC High или DoD для государственных организаций США. В этих средах необходимо выполнить командлет Set-FederationTrust в локальной среде Exchange с другим значением параметра MetadataUrl . Дополнительные сведения см. в разделе Set-FederationTrust .

Как проверить, все ли получилось?

Первым признаком правильной настройки доверия федерации будет успешное завершение мастера общих доменов.

Для дальнейшей проверки выполните следующее:

  1. Чтобы проверить сведения о доверии федерации, выполните следующую команду командной консоли Exchange.

    Get-FederationTrust | format-list
    
  2. Чтобы убедиться, что сведения о федерации можно извлечь из организации, выполните следующую команду командной консоли Exchange. Например, убедитесь, что домены sales.contoso.com и marketing.contoso.com возвращаются в параметре DomainNames .

    Get-FederationInformation -DomainName <your primary sharing domain>
    

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Server.