Данная статья переведена с помощью средств машинного перевода. Чтобы просмотреть ее на английском языке, установите флажок Английский. Вы также можете просматривать английский текст во всплывающем окне, наводя указатель мыши на переведенный текст.
Перевод
Английский

Управление доверием федерации

Exchange 2013
 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2015-01-01

Отношение доверия федерации создает связь доверия между организацией Microsoft Exchange 2013 и системой проверки подлинности Azure Active Directory, а также поддерживает федеративный общий доступ с другими федеративными организациями Exchange. Обычно не требуется контролировать или изменять доверие федерации после его создания. Однако могут быть ситуации, в которых необходимо добавить или удалить федеративные домены или сбросить домен, используемый для настройки идентификатора организации (OrgID) для доверия федерации.

ПримечаниеПримечание.
Изменение существующего доверия федерации, особенно основного общего домена, используемого для определения OrgID, может нарушить федеративный общий доступ между федеративными организациями Exchange или гибридными развертываниями с организациями Office 365.

Дополнительные сведения об управленческих задачах, связанных с федерацией, см. в разделе Процедуры федерации.

ВажноВажно!
Эта возможность Exchange Server 2013 не совместима полностью со службой Office 365, предоставляемой компанией 21Vianet в Китае. Кроме того, возможны некоторые ограничения. Дополнительные сведения о службе Office 365, предоставляемой компанией 21Vianet.

  • Осталось времени до завершения: 30 минут.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Federation and certificates запись о разрешениях в разделе Разрешения инфраструктуры Exchange и командной консоли.

  • Вам потребуется добавить запись TXT в общедоступную систему DNS для каждого нового федеративного домена, добавленное в доверие федерации. Просмотрите требования по добавлению TXT-записи вместе с организацией, в которой размещены общедоступные DNS-записи.

  • В целях этого раздела существующее доверие федерации было настроено со следующими параметрами:

    • Contoso.com является основным общим доменом для доверия федерации. (Этот домен не изменятся.)

    • Федеративные домены service.contoso.com и sales.contoso.com включаются в существующее доверие федерации.

    • Marketing.contoso.com является обслуживаемым доменом в организации Exchange.

  • В этом разделе также описываются другие задачи управления федерацией, такие как просмотр сертификатов, используемых для доверия федерации, и управление ими, а также просмотр сведений о параметрах доверия федерации в командной консоли.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

  1. На сервере Exchange 2013 в локальной организации последовательно выберите пункты Организация > Общий доступ.

  2. В разделе Доверие федерации нажмите кнопку Изменить.

  3. В окне Общие домены пропустите Шаг 1, так как основной общий домен не изменяется.

  4. В окне Шаг 2 выберите домен service.contoso.com и нажмите кнопку УдалитьЗначок "Удалить", чтобы удалить домен из доверия федерации.

  5. В разделе Шаг 2 нажмите кнопку ДобавитьЗначок добавления.

  6. В окне Выбор обслуживаемых доменов выберите marketing.contoso.com из списка обслуживаемых доменов и нажмите кнопку ОК, чтобы добавить домен в доверие федерации.

    ВажноВажно!
    Для домена marketing.contoso.com будет создана строка подтверждения федеративного домена. Вы должны создать отдельную запись TXT для этого домена в общедоступной системе DNS.
  7. С использованием строки подтверждения федеративного домена, созданной для домена marketing.contoso.com, создайте запись TXT на общедоступном сервере DNS. В зависимости от расписания обновления общедоступного узла DNS для репликации изменений DNS может понадобиться 15 минут или более.

  8. После того, как запись TXT создается и реплицируется, нажмите кнопку Обновить.

  1. Этот пример удаляет домен service.contoso.com из доверия федерации.

    Remove-FederatedDomain -DomainName service.contoso.com
    
  2. В этом примере домен marketing.contoso.com добавляется к доверию федерации.

    Add-FederatedDomain -DomainName marketing.contoso.com
    

Дополнительные сведения о синтаксисе и параметрах см. в разделах Remove-FederatedDomain и Add-FederatedDomain.

Выполните следующие команды консоли для управления другими аспектами доверия федерации:

  1. Просмотр федеративных OrgID и федеративных доменов

    Этот пример отображает федеративный OrgID организации Exchange и связанные сведения, в том числе федеративные домены и состояние.

    Get-FederatedOrganizationIdentifier
    
    
  2. Просмотр сертификатов доверия федерации

    В этом примере показаны предыдущий, текущий и следующий сертификаты, используемые доверием федерации "Проверка подлинности Azure AD".

    Get-FederationTrust "Azure AD authentication" | Select Org*certificate
    
  3. Проверка состояния сертификатов федерации

    В этом примере показано состояние сертификатов федерации на всех серверах почтовых ящиков и клиентского доступа в организации.

    Test-FederationTrustCertificate
    
  4. Настройка доверия федерации для использования сертификата в качестве следующего сертификата

    В этом примере настраивается использование доверием федерации "Проверка подлинности Azure AD" сертификата с отпечатком в качестве следующего сертификата. После развертывания сертификата на всех серверах Exchange в организации можно настроить использование этого сертификата в качестве текущего сертификата с помощью переключателя PublishCertificate.

    Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
    
  5. Настройка использования доверием федерации следующего сертификата в качестве текущего сертификата

    В этом примере для доверия федерации "Проверка подлинности Azure AD" настраивается использование следующего сертификата в качестве текущего сертификата, который затем публикуется в системе проверки подлинности Azure AD.

    Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
    
    Внимание!Внимание!
    Прежде чем настраивать для доверия федерации использование следующего сертификата в качестве текущего сертификата федерации, убедитесь, что этот сертификат развернут на всех серверах Exchange в организации. Используйте командлет Test-FederationTrustCertificate для проверки состояния развертывания сертификата.
  6. Обновление метаданных федерации и сертификата из системы проверки подлинности Azure AD

    В этом примере обновляются метаданные федерации и сертификат из системы проверки подлинности Azure AD для доверия федерации "Проверка подлинности Azure AD".

    Set-FederationTrust "Azure AD authentication" -RefreshMetadata
    

Подробные сведения о синтаксисе и параметрах см. в следующих разделах:

Первым признаком правильной настройки доверия федерации будет успешное завершение мастера общих доменов.

Для дальнейшей проверки выполните следующее:

  1. Чтобы проверить сведения о доверии федерации, выполните следующую команду командной консоли Exchange.

    Get-FederationTrust | format-list
    
  2. Чтобы убедиться, что сведения о федерации можно извлечь из организации, выполните следующую команду командной консоли Exchange. Например, проверьте, возвращаются ли домены sales.contoso.com и marketing.contoso.com в параметре DomainNames.

    Get-FederationInformation -DomainName <your primary sharing domain>
    
СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.
 
Показ: