Verwenden der anspruchsbasierten AD FS-Authentifizierung mit Outlook im InternetUse AD FS claims-based authentication with Outlook on the web

Wenn Sie Active Directory Verbunddienste (AD FS) in Exchange Server Organisationen installieren und konfigurieren, können Clients die AD FS-anspruchsbasierte Authentifizierung verwenden, um eine Verbindung mit Outlook im Internet (früher bekannt als Outlook Web App) und der Exchange-Verwaltungskonsole (EAC ).Installing and configuring Active Directory Federation Services (AD FS) in Exchange Server organizations allows clients to use AD FS claims-based authentication to connect to Outlook on the web (formerly known as Outlook Web App) and the Exchange admin center (EAC). Anspruchsbasierte Identität ist ein weiterer Authentifizierungs Ansatz, bei dem die Authentifizierungs Verwaltung aus der Anwendung entfernt wird und das Verwalten von Konten durch Zentralisieren der Authentifizierung erleichtert wird.Claims-based identity is another approach to authentication that removes authentication management from the application, and makes it easier for you to manage accounts by centralizing authentication. Wenn die anspruchsbasierte Authentifizierung aktiviert ist, sind Outlook im Internet und die Exchange-Verwaltungskonsole nicht für die Authentifizierung von Benutzern, das Speichern von Benutzerkonten und Kennwörtern, das Suchen nach Benutzer Identitätsdetails oder die Integration in andere Identitätssysteme verantwortlich.When claims-based authentication is enabled, Outlook on the web and the EAC aren't responsible for authenticating users, storing user accounts and passwords, looking up user identity details, or integrating with other identity systems. Die Zentralisierung der Authentifizierung erleichtert das Upgrade von Authentifizierungsmethoden in Zukunft.Centralizing authentication helps make it easier to upgrade authentication methods in the future.

Die anspruchsbasierte AD FS-Authentifizierung ersetzt die herkömmlichen Authentifizierungsmethoden, die für Outlook im Internet und in der Exchange-Verwaltungskonsole verfügbar sind.AD FS claims-based authentication replaces the traditional authentication methods that are available for Outlook on the web and the EAC. Zum Beispiel:For example:

  • Active Directory-Authentifizierung mit ClientzertifikatenActive Directory client certificate authentication

  • StandardauthentifizierungBasic authentication

  • DigestauthentifizierungDigest authentication

  • Formularbasierte AuthentifizierungForms authentication

  • Windows-AuthentifizierungWindows authentication

Das Einrichten der anspruchsbasierten AD FS-Authentifizierung für Outlook im Internet und in der Exchange-Verwaltungskonsole in Exchange Server umfasst die folgenden zusätzlichen Server:Setting up AD FS claims-based authentication for Outlook on the web and the EAC in Exchange Server involves the following additional servers:

  • Ein Windows Server 2012 oder höherer Domänencontroller (Active Directory-Domänendienste Server Rolle).A Windows Server 2012 or later domain controller (Active Directory Domain Services server role).

  • Ein Windows Server 2012 oder höherer AD FS-Server (Active Directory Verbunddienste-Serverrolle).A Windows Server 2012 or later AD FS server (Active Directory Federation Services server role). Windows Server 2012 verwendet AD FS 2,1, und Windows Server 2012 R2 verwendet AD FS 3,0.Windows Server 2012 uses AD FS 2.1, and Windows Server 2012 R2 uses AD FS 3.0. Sie müssen Mitglied der Sicherheitsgruppe "Domänen-Admins", "Organisations-Admins" oder "lokale Administratoren" sein, um AD FS zu installieren und die erforderlichen Vertrauensstellungen und Anspruchsregeln auf dem AD FS-Server zu erstellen.You need to be a member of the Domain Admins, Enterprise Admins, or local Administrators security group to install AD FS, and to create the required relying party trusts and claim rules on the AD FS server.

  • Optional ein Windows Server 2012 R2 oder höher Webanwendungs Proxy Server (RAS-Serverrolle, Rollendienst für Webanwendungs Proxy).Optionally, a Windows Server 2012 R2 or later Web Application Proxy server (Remote Access server role, Web Application Proxy role service).

    • Der Webanwendungs Proxy ist ein Reverse-Proxy Server für Webanwendungen, die sich innerhalb des Unternehmensnetzwerks befinden.Web Application Proxy is a reverse proxy server for web applications that are inside the corporate network. Webanwendungs Proxy ermöglicht Benutzern auf vielen Geräten den Zugriff auf veröffentlichte Webanwendungen von außerhalb des Unternehmensnetzwerks.Web Application Proxy allows users on many devices to access published web applications from outside the corporate network. Weitere Informationen finden Sie unter Installieren und Konfigurieren von Webanwendungs Proxys für die Veröffentlichung interner Anwendungen.For more information, see Installing and Configuring Web Application Proxy for Publishing Internal Applications.

    • Obwohl Webanwendungs Proxy normalerweise empfohlen wird, wenn AD FS für externe Clients zugänglich ist, wird der Offlinezugriff in Outlook im Internet bei Verwendung der AD FS-Authentifizierung über den Webanwendungs Proxy nicht unterstützt.Although Web Application Proxy is typically recommended when AD FS is accessible to external clients, offline access in Outlook on the web isn't supported when using AD FS authentication through Web Application Proxy.

    • Für die Installation des Webanwendungs Proxys auf einem Windows Server 2012 R2-Server sind lokale Administratorberechtigungen erforderlich.Installing Web Application Proxy on a Windows Server 2012 R2 server requires local administrator permissions.

    • Sie müssen den AD FS-Server bereitstellen und konfigurieren, bevor Sie den Webanwendungs Proxy Server konfigurieren, und Sie können den Webanwendungs Proxy nicht auf demselben Server installieren, auf dem AD FS installiert ist.You need to deploy and configure the AD FS server before you configure the Web Application Proxy server, and you can't install Web Application Proxy on the same server where AD FS is installed.

Was sollten Sie wissen, bevor Sie beginnen?What do you need to know before you begin?

  • Geschätzte Zeit bis zum Abschließen dieses Verfahrens: 45 Minuten.Estimated time to complete this procedure: 45 minutes.

  • Die Verfahren in diesem Thema basieren auf Windows Server 2012 R2.The procedures in this topic are based on Windows Server 2012 R2.

  • Outlook im Web für Geräte bietet keine Unterstützung für anspruchsbasierte AD FS-Authentifizierung.Outlook on the web for devices doesn't support AD FS claims-based authentication.

  • Für die Verfahren in der Exchange-Organisation benötigen Sie Berechtigungen für die Organisationsverwaltung.For the procedures in the Exchange organization, you need to have Organization Management permissions.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Tipp

Sie haben Probleme? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at: Exchange Server, Exchange Online, or Exchange Online Protection.

Schritt 1: Überprüfen der Zertifikatanforderungen für AD FSStep 1: Review the certificate requirements for AD FS

AD FS erfordert zwei grundlegende Zertifikattypen:AD FS requires two basic types of certificates:

  • Ein SSL-Zertifikat (Secure Sockets Layer) der Dienst Kommunikation für verschlüsselten Webdienste-Datenverkehr zwischen dem AD FS-Server, Clients, Exchange-Servern und dem optionalen Webanwendungs-Proxy Server.A service communication Secure Sockets Layer (SSL) certificate for encrypted web services traffic between the AD FS server, clients, Exchange servers, and the optional Web Application Proxy server. Es wird empfohlen, ein Zertifikat zu verwenden, das von einer internen oder kommerziellen Zertifizierungsstelle ausgestellt wird, da alle Clients diesem Zertifikat vertrauen müssen.We recommend that you use a certificate that's issued by an internal or commercial certification authority (CA), because all clients need to trust this certificate.

  • Ein Token-Signing-Zertifikat für die verschlüsselte Kommunikation und Authentifizierung zwischen dem AD FS-Server, Active Directory Domänencontrollern und Exchange-Servern.A token-signing certificate for encrypted communication and authentication between the AD FS server, Active Directory domain controllers, and Exchange servers. Es wird empfohlen, das standardmäßige selbstsignierte AD FS-Token-Signaturzertifikat zu verwenden.We recommend that you use the default self-signed AD FS token signing certificate.

Weitere Informationen zum Erstellen und Importieren von SSL-Zertifikaten in Windows finden Sie unter Server Certificates.For more information about creating and importing SSL certificates in Windows, see Server Certificates.

Im folgenden finden Sie eine Zusammenfassung der Zertifikate, die wir in diesem Szenario verwenden werden:Here's a summary of the certificates that we'll be using in this scenario:


Allgemeiner Name (CN) im Zertifikat (Betreff, alternativer Antragstellername oder Platzhalterzertifikat Übereinstimmung)Common name (CN) in the certificate (in the Subject, Subject Alternative Name, or a wildcard certificate match) TypType Erforderlich auf ServernRequired on servers KommentareComments
adfs.contoso.com Ausgestellt von einer ZertifizierungsstelleIssued by a CA AD FS-ServerAD FS server
Webanwendungs-Proxy ServerWeb Application Proxy server
Dies ist der Hostname, der für Clients sichtbar ist, sodass Clients dem Aussteller dieses Zertifikats vertrauen müssen.This is the host name that's visible to clients, so clients need to trust the issuer of this certificate.
ADFS Signing - adfs.contoso.com Selbst signiertSelf-signed AD FS-ServerAD FS server
Exchange-ServerExchange servers
Webanwendungs-Proxy ServerWeb Application Proxy server
Das standardmäßige selbstsignierte Zertifikat wird während der Konfiguration des optionalen Webanwendungs-Proxy Servers automatisch kopiert, Sie müssen es jedoch manuell in den vertrauenswürdigen Stammzertifikatspeicher auf allen Exchange-Servern in Ihrer Organisation importieren.The default self-signed certificate is automatically copied over during the configuration of the optional Web Application Proxy server, but you'll need to manually import it into the Trusted Root Certificate store on all Exchange servers in your organization.
Standardmäßig sind die selbstsignierten Token signierenden Zertifikate für ein Jahr gültig.By default, the self-signed token-signing certificates are valid for one year. Der AD FS-Server ist so konfiguriert, dass er seine selbstsignierten Zertifikate automatisch erneuert (ersetzt), bevor er abläuft, aber Sie müssen das Zertifikat auf den Exchange-Servern erneut importieren.The AD FS server is configured to automatically renew (replace) its self-signed certificates before they expire, but you'll need to re-import the certificate on the Exchange servers.
Sie können den Standardablaufzeitraum des Zertifikats verlängern, indem Sie diesen Befehl in Windows PowerShell auf dem AD FS Set-AdfsProperties -CertificateDuration <Days> -Server ausführen: (der Standardwert lautet 365).You can increase the default certificate expiration period by running this command in Windows PowerShell on the AD FS server: Set-AdfsProperties -CertificateDuration <Days> (the default value is 365). Weitere Informationen finden Sie unter Sets-AdfsProperties.For more information, see Set-AdfsProperties.
Um das Zertifikat aus der AD FS-Verwaltungskonsole zu exportieren, wählen Sie Dienst > Zertifikate > mit der rechten Maustaste auf das > Token signieren Zertifikat auswählen Ansichts Zertifikat > klicken Sie auf Details Tab > klicken Sie auf in Datei kopieren.To export the certificate from the AD FS Management console, select Service > Certificates > right-click on the token-signing certificate > select View Certificate > click the Details tab > click Copy to File.
mail.contoso.com Ausgestellt von einer ZertifizierungsstelleIssued by a CA Exchange-ServerExchange servers
Webanwendungs-Proxy ServerWeb Application Proxy server
Dies ist das typische Zertifikat, das zum Verschlüsseln externer Clientverbindungen mit Outlook im Internet verwendet wird (und wahrscheinlich auch für andere Exchange IIS-Dienste).This is the typical certificate that's used to encrypt external client connections to Outlook on the web (and likely other Exchange IIS services). Weitere Informationen finden Sie unter Zertifikatanforderungen für Exchange-Dienste.For more information, see Certificate requirements for Exchange services.

Weitere Informationen finden Sie im Abschnitt "Zertifikatanforderungen" unter Überprüfen der Anforderungen für die Bereitstellung von AD FS.For more information, see the "Certificate requirements" section in Review the requirements for deploying AD FS.

Hinweis

Secure Sockets Layer (SSL) wird durch Transport Layer Security (TLS) als Protokoll ersetzt, das zum Verschlüsseln von Daten verwendet wird, die zwischen Computersystemen gesendet werden. Da die Begriffe „SSL" und „TLS" (ohne Versionen) so eng im Zusammenhang stehen, werden sie häufig synonym verwendet. Aufgrund dieser Ähnlichkeit wurden Verweise auf „SSL" in Exchange-Themen, Exchange-Verwaltungskonsole und Exchange-Verwaltungsshell häufig so verwendet, dass sowohl die SSL- als auch die TLS-Protokolle enthalten sind. „SSL" bezieht sich in der Regel nur dann auf das eigentliche SSL-Protokoll, wenn auch eine Version angegeben wird (z. B. SSL 3.0). Um zu erfahren, warum Sie das SSL-Protokoll deaktivieren und auf TLS umsteigen sollten, lesen Sie Schutz vor der Sicherheitsanfälligkeit von SSL 3.0.Secure Sockets Layer (SSL) is being replaced by Transport Layer Security (TLS) as the protocol that's used to encrypt data sent between computer systems. They're so closely related that the terms "SSL" and "TLS" (without versions) are often used interchangeably. Because of this similarity, references to "SSL" in Exchange topics, the Exchange admin center, and the Exchange Management Shell have often been used to encompass both the SSL and TLS protocols. Typically, "SSL" refers to the actual SSL protocol only when a version is also provided (for example, SSL 3.0). To find out why you should disable the SSL protocol and switch to TLS, check out Protecting you against the SSL 3.0 vulnerability.

Schritt 2: Bereitstellen eines AD FS-ServersStep 2: Deploy an AD FS server

Sie können den Server-Manager oder Windows PowerShell verwenden, um den Active Directory-Verbunddienste-Rollendienst auf dem Ziel Server zu installieren.You can use Server Manager or Windows PowerShell to install the Active Directory Federation Services role service on the target server.

Führen Sie die folgenden Schritte aus, um den Server-Manager zum Installieren von AD FS zu verwenden:To use Server Manager to install AD FS, follow these steps:

  1. Öffnen Sie auf dem Zielserver den Server-Manager, klicken Sie auf Verwalten, und wählen Sie dann Rollen und Features hinzufügenaus.On the target server, open Server Manager, click Manage, and then select Add Roles and Features.

    Klicken Sie im Server-Manager auf verwalten, um zum Hinzufügen von Rollen und Features zu gelangen.

  2. Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet.The Add Roles and Features Wizard opens. Sie beginnen auf der Seite bevor Sie beginnen , es sei denn, Sie haben zuvor die Option Diese Seite standardmäßig übersprungen.You'll start on the Before you begin page unless you previously selected Skip this page by default. Klicken Sie auf Weiter.Click Next.

    Die Seite "bevor Sie beginnen" im Assistenten zum Hinzufügen von Rollen und Features

  3. Überprüfen Sie auf der Seite Installationstyp auswählen , ob die rollenbasierte oder Feature-basierte Installation ausgewählt ist, und klicken Sie dann auf weiter.On the Select installation type page, verify that Role-based or feature-based installation is selected, and then click Next.

    Die Seite "Zielserver auswählen" im Assistenten zum Hinzufügen von Rollen und Features

  4. Überprüfen Sie auf der Seite Zielserver auswählen die Serverauswahl, und klicken Sie dann auf weiter.On the Select destination server page, verify the server selection, and then click Next.

    Die Seite "Zielserver auswählen" im Assistenten zum Hinzufügen von Rollen und Features

  5. Wählen Sie auf der Seite Serverrollen auswählen in der Liste Active Directory Verbunddienste aus, und klicken Sie dann auf weiter.On the Select server roles page, select Active Directory Federation Services from the list, and then click Next.

    Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features auf der Seite "Serverrollen auswählen" die Option "Active Directory Verbunddienste" aus.

  6. Klicken Sie auf der Seite Features auswählen auf weiter (akzeptieren Sie die Standardauswahl für Features).On the Select features page, click Next (accept the default feature selections).

    Die Seite "Features auswählen" im Assistenten zum Hinzufügen von Rollen und Features.

  7. Klicken Sie auf der Seite Active Directory Verbunddienste (AD FS) auf weiter.On the Active Directory Federation Services (AD FS) page, click Next.

    Die Seite "Active Directory Verbunddienste" im Assistenten zum Hinzufügen von Rollen und Features.

  8. Nur Windows Server 2012: Klicken Sie auf der Seite Rollendienste auswählen auf weiter (akzeptieren Sie die Standardauswahl für den Rollendienst).Windows Server 2012 only: On the Select role services page, click Next (accept the default role service selections).

  9. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.On the Confirm installation selections page, click Install.

    Die Seite "Installationsauswahl bestätigen" im Assistenten zum Hinzufügen von Rollen und Features.

  10. Auf der Seite Installationsstatus können Sie die Statusanzeige überprüfen, um sicherzustellen, dass die Installation erfolgreich war.On the Installation progress page, you can watch the progress bar to verify that the installation was successful. Wenn die Installation abgeschlossen ist, lassen Sie den Assistenten geöffnet, damit Sie in Schritt 3B: Konfigurieren des AD FS-Servers auf dem Verbunddienst auf diesem Server konfigurieren können.When the installation is finished, leave the wizard open so you can click Configure the federation service on this server in Step 3b: Configure the AD FS server.

    Die Seite "Installationsfortschritt" im Assistenten zum Hinzufügen von Rollen und Features.

Führen Sie den folgenden Befehl aus, um Windows PowerShell zum Installieren von AD FS zu verwenden:To use Windows PowerShell to install AD FS, run the following command:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Schritt 3: Konfigurieren und Testen des AD FS-ServersStep 3: Configure and test the AD FS server

Sie können sich auch auf diese Prüfliste für die Konfiguration von AD FS: Prüfliste: Einrichten eines Verbundserversstützen.You can also refer to this checklist to help you configure AD FS: Checklist: Setting Up a Federation Server.

Schritt 3a: Erstellen eines gMSA auf einem DomänencontrollerStep 3a: Create a gMSA on a domain controller

Bevor Sie den AD FS-Server konfigurieren, müssen Sie ein Gruppen verwaltetes Dienstkonto (gMSA) auf einem Domänencontroller Windows Server 2012 oder höher erstellen.Before you configure the AD FS server, you need to create a group Managed Service Account (gMSA) on a Windows Server 2012 or later domain controller. Dies erfolgt in einem erhöhten Windows PowerShell Fenster auf dem Domänencontroller (ein Windows PowerShell Fenster, das Sie durch Auswählen von als Administrator ausführenöffnen).You do this in an elevated Windows PowerShell window on the domain controller (a Windows PowerShell window you open by selecting Run as administrator).

  1. Führen Sie den folgenden Befehl aus:Run the following command:
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
<span data-ttu-id="6851c-205">Wenn der Befehl erfolgreich ist, wird ein GUID-Wert zurückgegeben.</span><span class="sxs-lookup"><span data-stu-id="6851c-205">If the command is successful, a GUID value is returned.</span></span> <span data-ttu-id="6851c-206">Zum Beispiel:</span><span class="sxs-lookup"><span data-stu-id="6851c-206">For example:</span></span>

`Guid`

`----`

`2570034b-ab50-461d-eb80-04e73ecf142b`
  1. Verwenden Sie die folgende Syntax, um ein neues gMSA-Konto für den AD FS-Server zu erstellen:To create a new gMSA account for the AD FS server, use the following syntax:
New-ADServiceAccount -Name <AccountName> -DnsHostName <FederationServiceName> -ServicePrincipalNames http/<FederationServiceName>
<span data-ttu-id="6851c-208">In diesem Beispiel wird ein neues gMSA-Kontonamens "FSgMSA" für den Verbunddienst namens "ADFS.contoso.com" erstellt.</span><span class="sxs-lookup"><span data-stu-id="6851c-208">This example creates a new gMSA account named FSgMSA for the Federation Service named adfs.contoso.com.</span></span> <span data-ttu-id="6851c-209">Der verbunddienstname ist der Wert, der für Clients sichtbar ist.</span><span class="sxs-lookup"><span data-stu-id="6851c-209">The Federation Service name is the value that's visible to clients.</span></span>
New-ADServiceAccount -Name FSgMSA -DnsHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com

Schritt 3B: Konfigurieren des AD FS-ServersStep 3b: Configure the AD FS server

Zum Konfigurieren des AD FS-Servers können Sie den Server-Manager oder Windows PowerShell verwenden.To configure the AD FS server, you can use Server Manager or Windows PowerShell.

Führen Sie die folgenden Schritte aus, um den Server-Manager zu verwenden:To use Server Manager, following these steps:

  1. Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features auf dem AD FS-Server aus Schritt 2: Bereitstellen eines AD FS-Serversgeöffnet gelassen haben, können Sie auf der Seite Installationsstatus auf den Link Verbunddienst auf diesem Server konfigurieren klicken.If you left the Add Roles and Features Wizard open on the AD FS server from Step 2: Deploy an AD FS server, you can click the Configure the federation service on this server link on the Installation progress page.

    Die Seite "Installationsfortschritt" im Assistenten zum Hinzufügen von Rollen und Features.

    Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features geschlossen haben oder Windows PowerShell zur Installation von AD FS verwendet haben, können Sie im Server-Manager an dieselbe Stelle gelangen, indem Sie auf Benachrichtigungenklicken und dann auf Verbunddienst auf diesem Server konfigurieren klicken. in der Konfigurationswarnung nach der Bereitstellung .If you closed the Add Roles and Features Wizard or you used Windows PowerShell to install AD FS, you can get to the same place in Server Manager by clicking Notifications, and then clicking Configure the federation service on this server in the Post-deployment Configuration warning.

    Klicken Sie im Server-Manager auf Benachrichtigungen, um die Warnung anzuzeigen, die den Link zum Konfigurieren des Verbund-Diensts auf diesem Server enthält.

  2. Der Assistent für die Active Directory Verbunddienste wird geöffnet.The Active Directory Federation Services Wizard opens. Überprüfen Sie auf der Willkommens Seite, dass der erste Verbundserver in einer Verbundserverfarm erstellen ausgewählt ist, und klicken Sie dann auf weiter.On the Welcome page, verify Create the first federation server in a federation server farm is selected, and then click Next.

    Die Willkommensseite im Assistenten zum Konfigurieren von Active Directory Verbunddiensten

  3. Wählen Sie auf der Seite Verbindung mit Active Directory Verbunddienste herstellen in der Domäne, in der sich der AD FS-Server befindet, ein Domänenadministratorkonto aus (Ihre aktuellen Anmeldeinformationen sind standardmäßig aktiviert).On the Connect to Active Directory Federation Services page, select a domain administrator account in the domain where the AD FS server resides (your current credentials are selected by default). Wenn Sie einen anderen Benutzer auswählen wollen, klicken Sie auf Ändern.If you need to select a different user, click Change. Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

    Seite "mit AD DS verbinden" im Assistenten zum Konfigurieren von Active Directory-Verbunddiensten

  4. Konfigurieren Sie auf der Seite Diensteigenschaften angeben die folgenden Einstellungen:On the Specify Service Properties page, configure the following settings:

  • SSL-Zertifikat: Importieren oder wählen Sie das SSL-Zertifikat aus, das den Verbunddienst Namen enthält, den Sie in Schritt 3a: Erstellen eines gMSA auf einem Domänencontroller konfiguriert haben (beispielsweise adfs.contoso.com).SSL Certificate: Import or select the SSL certificate that contains the federation service name that you configured in Step 3a: Create a gMSA on a domain controller (for example adfs.contoso.com). Wenn Sie ein Zertifikat importieren, das noch nicht auf dem Server installiert ist, müssen Sie eine PFX-Datei (wahrscheinlich eine kennwortgeschützte Datei mit dem privaten Schlüssel des Zertifikats) importieren.When you import a certificate that isn't already installed on the server, you need to import a .pfx file (likely, a password-protected file that contains the certificate's private key). Der Wert für den allgemeinen Namen (CN) im Feld Subject des Zertifikats wird hier angezeigt.The common name (CN) value in the certificate's Subject field is displayed here.

  • Verbunddienst Name: Dieses Feld wird automatisch basierend auf dem Typ des SSL-Zertifikats aufgefüllt, das Sie auswählen oder importieren:Federation Service Name: This field is automatically populated based on the type of SSL certificate that you select or import:

  • Einzelnes Antragstellerzertifikat: der CN-Wert des Betreff-Felds des Zertifikats wird angezeigt, und Sie können es nicht ändern adfs.contoso.com(beispielsweise).Single subject certificate: The CN value of the certificate's Subject field is displayed, and you can't change it (for example, adfs.contoso.com).

  • San-Zertifikat: Wenn das Zertifikat den erforderlichen Verbunddienst Namen enthält, wird dieser Wert angezeigt (beispielsweise adfs.contoso.com).SAN certificate: If the certificate contains the required federation service name, that value is displayed (for example, adfs.contoso.com). Sie können die Dropdownliste verwenden, um andere CN-Werte im Zertifikat anzuzeigen.You can use the drop down list to see other CN values in the certificate.

  • Platzhalterzertifikat: der CN-Wert des Betreff-Felds des Zertifikats wird angezeigt (Beispiels *.contoso.comWeise), Sie müssen ihn jedoch in den erforderlichen Verbunddienst Namen ändern (beispielsweise adfs.contoso.com).Wildcard certificate: The CN value of the certificate's Subject field is displayed (for example, *.contoso.com), but you need to change it to the required federation service name (for example, adfs.contoso.com).

    Hinweis: Wenn das ausgewählte Zertifikat nicht den erforderlichen Verbunddienst Namen enthält (das Feld verbunddienstname enthält nicht den erforderlichen Wert), wird die folgende Fehlermeldung angezeigt:Note: If the certificate you select doesn't contain the required federation service name (the Federation Service Name field doesn't contain the required value), you'll receive the following error:

    The federation service name does not match any of the subject names found in the certificate.

  • Anzeigename des Verbunddiensts: Geben Sie den Namen Ihrer Organisation ein.Federation Service Display Name: Enter the name of your organization. Beispiel: contoso, Ltd..For example, Contoso, Ltd..

    Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

    Die Seite "Diensteigenschaften angeben" im Assistenten zum Konfigurieren von Active Directory Verbunddiensten

  1. Konfigurieren Sie auf der Seite Dienstkonto angeben die folgenden Einstellungen:On the Specify Service Account page, configure the following settings:
  • Wählen Sie vorhandenes Domänenbenutzerkonto oder Gruppen verwaltetes Dienstkonto verwendenaus.Select Use an existing domain user account or group Managed Service Account.

  • Kontoname: Klicken Sie auf auswählen , und geben Sie das gMSA-Konto ein, das Sie in Schritt 3a: Erstellen eines gMSA auf einem Domänencontroller erstellt haben (beispielsweise FSgMSA).Account Name: Click Select and enter the gMSA account that you created in Step 3a: Create a gMSA on a domain controller (for example, FSgMSA). Beachten Sie, dass nach der Auswahl der Wert angezeigt wird <Domain>\<gMSAAccountName>$ (beispielsweise CONTOSO\FSgMSA$).Note that after you select it, the value that's displayed is <Domain>\<gMSAAccountName>$ (for example, CONTOSO\FSgMSA$).

    Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

    Die Seite "Dienstkonto angeben" im Assistenten zum Konfigurieren von Active Directory Verbunddiensten

  1. Überprüfen Sie auf der Seite Konfigurationsdatenbank angeben , dass die Option Datenbank auf diesem Server mit der internen Windows-Datenbank erstellen ausgewählt ist, und klicken Sie dann auf weiter.On the Specify Configuration Database page, verify that Create a database on this server using Windows Internal Database is selected, and then click Next.

    Die Seite "Konfigurationsdatenbank angeben" im Assistenten zum Konfigurieren von Active Directory Verbunddiensten

  2. Überprüfen Sie auf der Seite Überprüfungs Optionen Ihre Auswahl.On the Review Options page, verify your selections. Sie können auf Skriptschaltfläche anzeigen klicken, um die Windows PowerShell Entsprechung der Auswahl zu kopieren, die Sie für die zukünftige Verwendung vorgenommen haben.You can click View Script button to copy the Windows PowerShell equivalent of the selections that you made for future use. Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

    Die Seite "Überprüfungsoptionen" im Assistenten zum Konfigurieren von Active Directory Verbunddiensten

  3. Überprüfen Sie auf der Seite voraus setzungen, ob alle erforderlichen Prüfungen erfolgreich abgeschlossen wurden, und klicken Sie dann auf Konfigurieren.On the Pre-requisite Checks page, verify that all the prerequisite checks were successfully completed, and then click Configure.

    Die Seite "Voraussetzung für die Überprüfung" im Assistenten zum Konfigurieren von Active Directory Verbunddiensten

  4. Überprüfen Sie auf der Seite Ergebnisse die Ergebnisse, stellen Sie sicher, dass die Konfiguration erfolgreich abgeschlossen wurde.On the Results page, review the results, verify that the configuration completed successfully. Sie können auf die nächsten Schritte zum Abschließen der Verbunddienst Bereitstellung klicken, wenn Sie mehr über die nächsten Schritte erfahren möchten (beispielsweise das Konfigurieren von DNS).You can click Next steps required for completing your federation service deployment if you want to read about the next steps (for example, configuring DNS). Wenn Sie fertig sind, klicken Sie auf Schließen.When you're finished, click Close.

    Die Ergebnisseite im Assistenten zum Konfigurieren von Active Directory Verbunddiensten

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Konfigurieren von AD FS zu verwenden:To use Windows PowerShell to configure AD FS, follow these steps:

  1. Führen Sie den folgenden Befehl auf dem AD FS-Server aus, um den Fingerabdruckwert des installierten adfs.contoso.comZertifikats zu finden, das Folgendes enthält:Run the following command on the AD FS server to find the thumbprint value of the installed certificate that contains adfs.contoso.com:
Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
  1. Führen Sie den folgenden Befehl aus:Run the following command:
Import-Module ADFS
  1. Verwenden Sie folgende Syntax:Use the following syntax:
Install-AdfsFarm -CertificateThumbprint <ThumbprintValue> -FederationServiceName <FederationServiceName> -FederationServiceDisplayName <FederationServiceDisplayName> -GroupServiceAccountIdentifier <gMSA>

In diesem Beispiel wird AD FS mit den folgenden Einstellungen konfiguriert:This example configures AD FS with the following settings:

  • ADFS.contoso.com-Zertifikat Fingerabdruck: das *.contoso.com Zertifikat mit dem Finger 5AE82C737900B29C2BAC3AB6D8C44D249EE05609Abdruck Wert.adfs.contoso.com certificate thumbprint: The *.contoso.com certificate that has the thumbprint value 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

  • Verbunddienstname:adfs.contoso.comFederation service name: adfs.contoso.com

  • Anzeigename des Verbunddiensts:Contoso, Ltd.Federation service display name: Contoso, Ltd.

  • Konto Name und Domäne des Verbund gMSA Sam: für das in der FSgMSA contoso.com Domäne genannte gMSA-Konto ist contoso\FSgMSA$der erforderliche Wert beispielsweise.Federation gMSA SAM account name and domain: For example, for the gMSA account named FSgMSA in the contoso.com domain, the required value is contoso\FSgMSA$.

Install-AdfsFarm -CertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -FederationServiceName adfs.contoso.com -FederationServiceDisplayName "Contoso, Ltd." -GroupServiceAccountIdentifier "contoso\FSgMSA`$"

Hinweise:Notes:

  • Wenn Sie die gMSA erstellen, $ wird automatisch der Name -Wert angefügt, um den sAMAccountName -Wert zu erstellen, der hier erforderlich ist.When you create the gMSA, the $ is automatically appended to the Name value to create the SamAccountName value, which is required here.

  • Das Escape-Zeichen (' ' ') ist für die $ in der sAMAccountNameerforderlich.The escape character (```) is required for the $ in the SamAccountName.

Weitere Informationen und die Syntax finden Sie unter Install-AdfsFarm.For details and syntax, see Install-AdfsFarm.

Schritt 3C: Testen des AD FS-ServersStep 3c: Test the AD FS server

Nachdem Sie AD FS konfiguriert haben, können Sie die Installation auf dem AD FS-Server überprüfen, indem Sie die URL der Verbundmetadaten in einem Webbrowser erfolgreich öffnen.After you configure AD FS, you can verify the installation on the AD FS server by successfully opening the URL of the federation metadata in a web browser. Die URL verwendet die Syntax https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml.The URL uses the syntax https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml. Beispiel: https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.For example, https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

Schritt 4: Erstellen einer Vertrauensstellung der vertrauenden Seite und der benutzerdefinierten Anspruchsregeln in AD FS für Outlook im Internet und in der Exchange-VerwaltungskonsoleStep 4: Create a relying party trust and custom claim rules in AD FS for Outlook on the web and the EAC

  • Auf dem Exchange-Server verwendet Outlook im Internet das virtuelle Verzeichnis mit dem owa Namen, und das EAC verwendet das virtuelle ecpVerzeichnis namens.On the Exchange server, Outlook on the web uses the virtual directory named owa and the EAC uses the virtual directory named ecp.

  • Der nachstehende Schrägstrich/(), der im Outlook im Internet und in den EAC-URL-Werten verwendet wird, ist beabsichtigt.The trailing slash (/) that's used in the Outlook on the web and EAC URL values is intentional. Es ist wichtig, dass die AD FS-Vertrauensstellungen der vertrauenden Seite und die Exchange-Benutzergruppen-URI identisch sind.It's important that the AD FS relying party trusts and Exchange Audience URI's are identical. Beide müssen über oder beide müssen die nachfolgenden Schrägstriche in ihren URLs weglassen. ****They both must have or both must omit the trailing slashes in their URLs. Die Beispiele in diesem Abschnitt enthalten die nachfolgenden Schrägstriche nach den OWA-und ECPowa/ - ecp/URLs (und).The examples in this section contain the trailing slashes after the owa and ecp URLs (owa/ and ecp/).

  • In Organisationen mit mehreren Active Directory-Websites, die separate Namespaces verwenden (Beispiels eu.contoso.com Weise na.contoso.comund), müssen Sie Vertrauensstellungen der vertrauenden Seite für jeden Namespace sowohl für Outlook im Internet als auch für die Exchange-Verwaltungskonsole konfigurieren.In organizations with multiple Active Directory sites that use separate namespaces (for example, eu.contoso.com and na.contoso.com), you need to configure relying party trusts for each namespace for both Outlook on the web and the EAC.

Schritt 4a: Erstellen von Vertrauensstellungen der vertrauenden Seite in AD FS für Outlook im Internet und in der Exchange-VerwaltungskonsoleStep 4a: Create relying party trusts in AD FS for Outlook on the web and the EAC

Zum Erstellen der Vertrauensstellungen der vertrauenden Seite auf dem AD FS-Server können Sie die AD FS-Verwaltungskonsole oder Windows PowerShell verwenden.To create the relying party trusts on the AD FS server, you can use the AD FS Management console or Windows PowerShell.

Führen Sie die folgenden Schritte aus, um die AD FS-Verwaltungskonsole zum Erstellen der Vertrauensstellungen der vertrauenden Seite zu verwenden:To use the AD FS Management console to create the relying party trusts, follow these steps:

Hinweis: Sie müssen diese Schritte zweimal durchgehen: einmal für Outlook im Internet und einmal für die Exchange-Verwaltungskonsole.Note: You need to go through these steps twice: once for Outlook on the web, and once for the EAC. Der einzige Unterschied sind die Werte, die Sie in den Schritten 5 und 8 eingeben (im Assistenten die Seiten " Anzeige Name " und " URL konfigurieren " angeben).The only difference is the values that you enter in steps 5 and 8 (the Specify Display Name and Configure URL pages in the wizard).

  1. Klicken Sie in Server-Manager auf Tools und wählen Sie anschließend AD FS-Verwaltung aus.In Server Manager, click Tools, and then select AD FS Management.

    Wählen Sie im Server-Manager > die Option Tools AD FS Management aus.

  2. Erweitern Sie in der AD FS-Verwaltungskonsole Vertrauens Stellungen, und wählen Sie Vertrauensstellungen für vertrauende Seiteaus.In the AD FS Management console, expand Trust Relationships and then select Relying Party Trusts. Wählen Sie im Bereich Aktionen die Option Vertrauen der vertrauenden Seite hinzufügenaus.In the Actions pane, select Add Relying Party Trust.

    Erweitern Sie in der AD FS-Verwaltungskonsole Vertrauensstellungen, und klicken Sie im Aktionsbereich auf Vertrauensstellung der vertrauenden Seite hinzufügen.

  3. Der Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite wird geöffnet.The Add Relying Party Trust Wizard opens. Klicken Sie auf der Begrüßungsseite auf Start.On the Welcome page, click Start.

    Die Willkommensseite im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

  4. Wählen Sie auf der Seite Datenquelleauswählen die Option Daten zur vertrauenden Seite manuell eingebenaus, und klicken Sie dann auf weiter.On the Select Data Source page, select Enter data about the relying party manually, and then click Next.

    Details für Outlook im Internet auf der Seite Datenquelleauswählen im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

  5. Konfigurieren Sie auf der Seite Anzeige Name angeben die folgenden Einstellungen:On the Specify Display Name page, configure the following settings:

  • Für Outlook im Internet:For Outlook on the web:

  • Anzeige Name: Geben Sie Outlook im Internet ein.Display Name: Type Outlook on the web.

  • Hinweise: Geben Sie eine Beschreibung ein.Notes: Enter a description. Dies ist beispielsweise eine Vertrauensstellung für https://mail.contoso.com/owa/.For example, This is a trust for https://mail.contoso.com/owa/.

    Die Seite Anzeigenamen angeben im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

  • Für die Exchange-Verwaltungskonsole:For the EAC:

  • Anzeige Name: Geben Sie EAC ein.Display Name: Type EAC.

  • Hinweise: Geben Sie eine Beschreibung ein.Notes: Enter a description. Dies ist beispielsweise eine Vertrauensstellung für https://mail.contoso.com/ecp/.For example, This is a trust for https://mail.contoso.com/ecp/.

    Details für die Exchange-Verwaltungskonsole auf der Seite Datenquelleauswählen im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

    Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

  1. Überprüfen Sie auf der Seite Profil auswählen , dass AD FS-Profil ausgewählt ist, und klicken Sie dann auf weiter.On the Choose Profile page, verify AD FS profile is selected, and then click Next.

    Die Seite Profil auswählen im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite

  2. Klicken Sie auf der Seite Zertifikat konfigurieren auf weiter (geben Sie kein optionales Token-Verschlüsselungszertifikat an).On the Configure Certificate page, click Next (don't specify an optional token encryption certificate).

    Die Seite "Zertifikat konfigurieren" im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

  3. Wählen Sie auf der Seite URL konfigurieren die Option Unterstützung für das passive WS-Verbund Protokoll aktivierenaus, und geben Sie in der passiven WS-Verbund Protokoll-URLder vertrauenden Seite die folgenden Informationen ein:On the Configure URL page, select Enable support for the WS-Federation Passive protocol, and in Relying party WS-Federation Passive protocol URL, enter the following information:

  1. Klicken Sie auf der Seite " Bezeichner konfigurieren " auf weiter (die URL aus dem vorherigen Schritt ist in vertrauenswürdigen IDs der vertrauenden Seiteaufgeführt).On the Configure Identifiers page, click Next (the URL from the previous step is listed in Relying party trust identifiers).

    Die Einstellungen für Outlook im Internet auf der Seite "Bezeichner konfigurieren" im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

  2. Überprüfen Sie auf der Seite mehrstufige Authentifizierung jetzt konfigurieren? , dass ich keine mehrstufigen Authentifizierungseinstellungen für diese Vertrauensstellung der vertrauenden Seite konfigurieren möchte, und klicken Sie dann auf weiter.On the Configure Multi-factor Authentication Now? page, verify that I do not want to configure multi-factor authentication settings for this relying party trust at this time is selected, and then click Next.

    Die mehrstufige Authentifizierung jetzt konfigurieren? im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

  3. Überprüfen Sie auf der Seite Ausstellungs Autorisierungsregeln auswählen , dass alle Benutzer Zugriff auf diese vertrauende Seite zulassen ausgewählt ist, und klicken Sie dann auf weiter.On the Choose Issuance Authorization Rules page, verify Permit all users to access this relying party is selected, and then click Next.

    Die Seite Ausstellungs Autorisierungsregeln auswählen im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

  4. Auf der Seite Vertrauensstellung kann hinzugefügt werden prüfen Sie die Einstellungen und klicken dann auf Weiter, um die Daten der Vertrauensstellung zu speichern.On the Ready to Add Trust page, review the settings, and then click Next to save your relying party trust information.

    Die Seite zum Hinzufügen vertrauenswürdiger Seiten im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

  5. Deaktivieren Sie auf der Seite Fertig stellen das Kontrollkästchen Dialogfeld Anspruchsregeln bearbeiten für die Vertrauensstellung der vertrauenden Seite öffnen, wenn der Assistent geschlossenwird, und klicken Sie dann auf Schließen.On the Finish page, uncheck Open the Edit Claim Rules dialog for this relying party trust when the wizard closes, and then click Close.

    Die Seite "Fertig stellen" im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite.

Führen Sie die folgenden Schritte aus, um Windows PowerShell Aufforderung zum Erstellen der Vertrauensstellungen der vertrauenden Seite zu verwenden:To use Windows PowerShell prompt to create the relying party trusts, follow these steps:

  1. Führen Sie in einem Fenster mit erhöhten Windows PowerShell den folgenden Befehl aus:In an elevated Windows PowerShell window, run the following command:
Import-Module ADFS
  1. Verwenden Sie die folgende Syntax:Use the following syntax:
Add-AdfsRelyingPartyTrust -Name <"Outlook on the web" | EAC> -Notes "This is a trust for <OotwURL | EACURL>" -Identifier <OotwURL |  EACURL> -WSFedEndpoint <OotwURL |  EACURL> -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule"  => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

In diesem Beispiel wird eine Vertrauensstellung der vertrauenden Seite für Outlook im Internet mit den folgenden Werten erstellt:This example creates a relying party trust for Outlook on the web using the following values:

Add-AdfsRelyingPartyTrust -Name "Outlook on the web" -Notes "This is a trust for https://mail.contoso.com/owa/" -Identifier https://mail.contoso.com/owa/ -WSFedEndpoint https://mail.contoso.com/owa/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule"  => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

In diesem Beispiel wird eine Vertrauensstellung der vertrauenden Seite für die Exchange-Verwaltungskonsole mit den folgenden Werten erstellt:This example creates a relying party trust for the EAC using the following values:

Add-AdfsRelyingPartyTrust -Name EAC -Notes "This is a trust for https://mail.contoso.com/ecp/" -Identifier https://mail.contoso.com/ecp/ -WSFedEndpoint https://mail.contoso.com/ecp/ -IssuanceAuthorizationRules '@RuleTemplate = "AllowAllAuthzRule"  => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");' -IssueOAuthRefreshTokensTo NoDevice

Schritt 4B: Erstellen von benutzerdefinierten Anspruchsregeln in AD FS für Outlook im Internet und in der Exchange-VerwaltungskonsoleStep 4b: Create custom claim rules in AD FS for Outlook on the web and the EAC

Für Outlook im Internet und für die Exchange-Verwaltungskonsole müssen Sie zwei Anspruchsregeln erstellen:For both Outlook on the web and the EAC, you need to create two claim rules:

  • Active Directory-Benutzer-SIDActive Directory user SID

  • Active Directory UPNActive Directory UPN

Zum Erstellen der Anspruchsregeln auf dem AD FS-Server können Sie die AD FS-Verwaltungskonsole oder Windows PowerShell verwenden.To create the claim rules on the AD FS server, you can use the AD FS Management console or Windows PowerShell.

Führen Sie die folgenden Schritte aus, um die AD FS-Verwaltungskonsole zum Erstellen der Anspruchsregeln zu verwenden:To use the AD FS Management console to create the claim rules, follow these steps:

Hinweis: Sie müssen diese Schritte zweimal durchgehen: einmal für Outlook im Internet und einmal für EAC.Note: You need to go through these steps twice: once for Outlook on the web, and once for EAC. Der einzige Unterschied ist die Vertrauensstellung der vertrauenden Seite, die Sie im ersten Schritt auswählen.The only difference is the relying party trust that you select in the first step. Alle anderen Werte in der Prozedur sind identisch.All other values in the procedure are identical.

So fügen Sie die erforderlichen Anspruchsregeln hinzu:To add the required claims rules:

  1. Erweitern Sie in der AD FS-Verwaltungs **** Konsole die Option Vertrauensstellungen der vertrauenswürdigen Partnerauswählen, und wählen Sie dann die Vertrauensstellung der vertrauenden Seite für Outlook im Internet oder EAC aus.In the AD FS Management console, expand Trust Relationships select Relying Party Trusts, and then select the Outlook on the web or EAC relying party trust. Wählen Sie im Bereich Aktionen die Option Anspruchsregeln bearbeitenaus.In the Actions pane, select Edit Claim Rules.

    Erweitern Sie in der AD FS-Verwaltungskonsole Vertrauensstellungen, wählen Sie Vertrauensstellungen für vertrauende Seite aus, wählen Sie die Vertrauensstellung der vertrauenden Seite aus, und klicken Sie im Aktionsbereich auf Anspruchsregeln bearbeiten.

  2. Überprüfen Sie im daraufhin geöffneten Fenster Bearbeitungs> Anspruchsregeln für <Regelname , ob die Registerkarte ausstellungstransformationsregeln ausgewählt ist, und klicken Sie dann auf Regel hinzufügen.In the Edit Claim Rules for <RuleName> window that opens, verify that the Issuance Transform Rules tab is selected, and then click Add Rule.

    Wählen Sie im Fenster Anspruchsregeln bearbeiten auf der Registerkarte ausstellungstransformationsregeln die Option Regel hinzufügen aus.

  3. Der Assistent zum Hinzufügen einer Transformations anspruchsregel wird geöffnet.The Add Transform Claim Rule Wizard opens. Klicken Sie auf der Seite Regelvorlage auswählen auf die Dropdownliste anspruchsregel Vorlage , und wählen Sie dann Ansprüche mit einer benutzerdefinierten Regel sendenaus.On the Select Rule Template page, click the Claim rule template drop down, and then select Send Claims Using a Custom Rule. Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

    Wählen Sie auf der Seite Regelvorlage auswählen im Assistenten zum Hinzufügen einer Transformations anspruchsregel die Option Ansprüche mit einer benutzerdefinierten Regel senden aus.

  4. Geben Sie auf der Seite Regel konfigurieren die folgenden Informationen ein:On the Configure Rule page, enter the following information:

  • Name der anspruchsregel: Geben Sie einen beschreibenden Namen für die Forderungs Regel ein.Claim rule name: Enter a descriptive name for the claim rule. Beispiel: ActiveDirectoryUserSID.For example, ActiveDirectoryUserSID.

  • Benutzerdefinierte Regel: Kopieren Sie den folgenden Text, und fügen Sie ihn ein:Custom rule: Copy and paste the following text:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
    

    Konfigurieren Sie auf der Seite Regel konfigurieren im Assistenten zum Hinzufügen einer Transformations anspruchsregel die anspruchsregel Einstellungen für die Active Directory Benutzer-SID.

    Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.When you're finished, click Finish.

  1. Stellen Sie im Fenster Anspruchsregeln für <Regelname> bearbeiten sicher, dass die Registerkarte ausstellungstransformationsregeln ausgewählt ist, und klicken Sie dann auf Regel hinzufügen.Back on the Edit Claim Rules for <RuleName> window, verify that the Issuance Transform Rules tab is selected, and then click Add Rule.

    Wählen Sie im Fenster Anspruchsregeln bearbeiten auf der Registerkarte ausstellungstransformationsregeln die Option Regel hinzufügen aus.

  2. Der Assistent zum Hinzufügen einer Transformations anspruchsregel wird geöffnet.The Add Transform Claim Rule Wizard opens. Klicken Sie auf der Seite Regelvorlage auswählen auf die Dropdownliste anspruchsregel Vorlage , und wählen Sie dann Ansprüche mit einer benutzerdefinierten Regel sendenaus.On the Select Rule Template page, click the Claim rule template drop down, and then select Send Claims Using a Custom Rule. Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

    Wählen Sie auf der Seite Regelvorlage auswählen im Assistenten zum Hinzufügen einer Transformations anspruchsregel die Option Ansprüche mit einer benutzerdefinierten Regel senden aus.

  3. Geben Sie auf der Seite Regel konfigurieren die folgenden Informationen ein:On the Configure Rule page, enter the following information:

  • Name der anspruchsregel: Geben Sie einen beschreibenden Namen für die Forderungs Regel ein.Claim rule name: Enter a descriptive name for the claim rule. Beispiel: ActiveDirectoryUPN.For example, ActiveDirectoryUPN.

  • Benutzerdefinierte Regel: Kopieren Sie den folgenden Text, und fügen Sie ihn ein:Custom rule: Copy and paste the following text:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
    

    Konfigurieren Sie auf der Seite Regel konfigurieren im Assistenten zum Hinzufügen einer Transformations anspruchsregel die anspruchsregel Einstellungen für den Active Directory UPN.

    Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.When you're finished, click Finish.

  1. Klicken Sie im Fenster " Anspruchsregeln <für Regelname> bearbeiten " erneut auf OK.Back on the Edit Claim Rules for <RuleName> window, click OK.

    Wenn Sie das Hinzufügen von Anspruchsregeln abgeschlossen haben, klicken Sie auf OK.

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Erstellen der benutzerdefinierten Anspruchsregeln zu verwenden:To use Windows PowerShell to create the custom claim rules, follow these steps:

  1. Öffnen Sie ein erweitertes Windows PowerShell Fenster, und führen Sie den folgenden Befehl aus:Open an elevated Windows PowerShell window, and run the following command:

    Import-Module ADFS
    
  2. Verwenden Sie die folgende Syntax:Use the following syntax:

    Set-AdfsRelyingPartyTrust -TargetName <OotwRelyingPartyTrust | EACRelyingPartyTrust> -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);   @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'
    

Führen Sie den folgenden Befehl aus, um die benutzerdefinierten Anspruchsregeln in der vorhandenen Vertrauensstellung der vertrauenden Seite mit dem Namen Outlook im Internet zu erstellen:To create the custom claim rules in the existing relying party trust named Outlook on the web, run the following command:

Set-AdfsRelyingPartyTrust -TargetName "Outlook on the web" -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);   @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Führen Sie den folgenden Befehl aus, um die benutzerdefinierten Anspruchsregeln in der vorhandenen Vertrauensstellung der vertrauenden Seite mit dem Namen EAC zu erstellen:To create the custom claim rules in the existing relying party trust named EAC, run the following command:

Set-AdfsRelyingPartyTrust -TargetName EAC -IssuanceTransformRules '@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);   @RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);'

Schritt 5: (optional) bereitstellen und Konfigurieren eines Windows Server 2012 R2-Webanwendungs-Proxy ServersStep 5: (Optional) Deploy and configure a Windows Server 2012 R2 Web Application Proxy server

Die Schritte in diesem Abschnitt sind nur erforderlich, wenn Sie Outlook im Internet und in der Exchange-Verwaltungskonsole mithilfe des Webanwendungs Proxys veröffentlichen möchten und der Webanwendungs Proxy die AD FS-Authentifizierung ausführen soll.The steps in this section are required only if you want to publish Outlook on the web and the EAC using Web Application Proxy, and you want Web Application Proxy perform the AD FS authentication. Zur Erinnerung:Remember:

  • Sie können den Offlinezugriff in Outlook im Internet nicht verwenden, wenn Sie die AD FS-Authentifizierung über den Webanwendungs Proxy verwenden.You can't use offline access in Outlook on the web if you use AD FS authentication through Web Application Proxy.

  • Sie können den Webanwendungs Proxy nicht auf demselben Server installieren, auf dem AD FS installiert ist.You can't install Web Application Proxy on the same server where AD FS is installed.

Wenn Sie keinen Webanwendungs Proxy verwenden, fahren Sie mit Schritt 6 fort.If you aren't going to use Web Application Proxy, skip to Step 6.

Schritt 5a: Installieren des Webanwendungs-ProxysStep 5a: Install Web Application Proxy

Führen Sie die folgenden Schritte aus, um den Server-Manager zum Installieren des Webanwendungs Proxys zu verwenden:To use Server Manager to install Web Application Proxy, follow these steps:

  1. Öffnen Sie auf dem Zielserver den Server-Manager, klicken Sie auf Verwalten, und wählen Sie dann Rollen und Features hinzufügenaus.On the target server, open Server Manager, click Manage, and then select Add Roles and Features.

    Klicken Sie im Server-Manager auf verwalten, um zum Hinzufügen von Rollen und Features zu gelangen.

  2. Der Assistent zum Hinzufügen von Rollen und Features wird geöffnet.The Add Roles and Features Wizard opens. Sie beginnen auf der Seite bevor Sie beginnen , es sei denn, Sie haben zuvor die Option Diese Seite standardmäßig übersprungen.You'll start on the Before you begin page unless you previously selected Skip this page by default. Klicken Sie auf Weiter.Click Next.

    Die Seite "bevor Sie beginnen" im Assistenten zum Hinzufügen von Rollen und Features

  3. Überprüfen Sie auf der Seite Installationstyp auswählen , ob die rollenbasierte oder Feature-basierte Installation ausgewählt ist, und klicken Sie dann auf weiter.On the Select installation type page, verify that Role-based or feature-based installation is selected, and then click Next.

    Die Seite "Zielserver auswählen" im Assistenten zum Hinzufügen von Rollen und Features

  4. Überprüfen Sie auf der Seite Zielserver auswählen die Serverauswahl, und klicken Sie dann auf weiter.On the Select destination server page, verify the server selection, and then click Next.

    Die Seite "Zielserver auswählen" im Assistenten zum Hinzufügen von Rollen und Features

  5. Wählen Sie auf der Seite Serverrollen auswählen in der Liste der Rollen den Remote Zugriff aus, und klicken Sie dann auf weiter.On the Select server roles page, select Remote Access in the list of roles, and then click Next.

    Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features auf der Seite "Serverrollen auswählen" die Option "Remote Zugriff" aus.

  6. Klicken Sie auf der Seite Features auf weiter (akzeptieren Sie die Standardauswahl für Features).On the Features page, click Next (accept the default feature selections).

    Die Seite "Features auswählen" im Assistenten zum Hinzufügen von Rollen und Features.

  7. Lesen Sie auf der Seite Remotezugriff die Informationen und klicken Sie dann auf Weiter.On the Remote Access page, read the information, and then click Next.

    Die Seite "Remote Zugriff" im Assistenten zum Hinzufügen von Rollen und Features.

  8. Wählen Sie auf der Seite Rollendienste auswählen den Link Webanwendungs Proxyaus.On the Select role services page, select Web Application Proxy. Klicken Sie im daraufhin geöffneten Dialogfeld Features hinzufügen auf Features hinzufügen , um die Standardwerte zu übernehmen, und schließen Sie das Dialogfeld.In the add features dialog box that opens, click Add Features to accept the default values and close the dialog box. Klicken Sie zurück auf der Seite Rollendienste auswählen auf weiter.Back on the Select role services page, click Next.

    Nachdem Sie den Webanwendungs Proxy ausgewählt haben, werden die Features hinzugefügt, die für den entfernt-Proxy erforderlich sind.

    Wählen Sie auf der Seite "Rollendienste auswählen" den Webanwendungs Proxy aus.

  9. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.On the Confirm installation selections page, click Install.

    x

  10. Überprüfen Sie auf der Seite Installationsstatus die Statusleiste, um sicherzustellen, dass die Installation erfolgreich war.On the Installation progress page, watch the progress bar to verify that the installation was successful. Wenn die Installation abgeschlossen ist, lassen Sie den Assistenten geöffnet, damit Sie im nächsten Schritt (5B) auf den Webanwendungs-Proxy-Assistenten öffnen können.When the installation is finished, leave the wizard open so you can click Open the Web Application Proxy Wizard in the next step (5b).

    Die Seite "Installationsfortschritt" im Assistenten zum Hinzufügen von Rollen und Features.

Um Windows PowerShell zum Installieren des Webanwendungs Proxys zu verwenden, führen Sie den folgenden Befehl aus:To use Windows PowerShell to install Web Application Proxy, run the following command:

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Schritt 5B: Konfigurieren des Webanwendungs-Proxy ServersStep 5b: Configure the Web Application Proxy server

Nachdem Sie den Webanwendungs-Proxy Server bereitgestellt haben, müssen Sie die folgenden Webanwendungs-Proxyeinstellungen konfigurieren:After you deploy the Web Application Proxy server, you need to configure the following Web Application Proxy settings:

  • Verbunddienstname: beispielsweise adfs.contoso.com.Federation service name: For example, adfs.contoso.com.

  • Anmeldeinformationen für Verbunddienst Vertrauensstellung: der Benutzername und das Kennwort eines lokalen Administratorkontos auf dem AD FS-Server.Federation service trust credential: The username and password of a local administrator account on the AD FS server.

  • AD FS-Proxy Zertifikat: ein Zertifikat, das auf dem Webanwendungs-Proxy Server installiert ist und den Server für Clients als Proxy für den Verbunddienst identifiziert und daher den Verbunddienst Namen enthält (Beispiels adfs.contoso.comWeise).AD FS Proxy Certificate: A certificate that's installed on the Web Application Proxy server that identifies the server to clients as a proxy for the Federation Service, and therefore contains the federation service name (for example, adfs.contoso.com). Außerdem muss der verbunddienstname für den Webanwendungs-Proxy Server (aufgelöst in DNS) zugänglich sein.Also, the federation service name must be accessible to the Web Application Proxy server (resolvable in DNS).

Sie können den Server-Manager oder Windows PowerShell verwenden, um den Webanwendungs-Proxy Server zu konfigurieren.You can use Server Manager or Windows PowerShell to configure the Web Application Proxy server.

Führen Sie die folgenden Schritte aus, um den Server-Manager zum Konfigurieren des Webanwendungs Proxys zu verwenden:To use Server Manager to configure Web Application Proxy, follow these steps:

  1. Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features im vorherigen Schritt auf dem Webanwendungs-Proxy Server geöffnet gelassen haben, können Sie auf der Seite Installationsstatus auf den Link Webanwendungs -Proxy öffnen klicken.If you left the Add Roles and Features Wizard open on the Web Application Proxy server from the previous step, you can click the Open the Web Application Proxy Wizard link on the Installation progress page.

    Die Seite "Installationsfortschritt" im Assistenten zum Hinzufügen von Rollen und Features.

    Wenn Sie den Assistenten zum Hinzufügen von Rollen und Features geschlossen haben oder Windows PowerShell zum Installieren des Webanwendungs Proxys verwendet haben, können Sie an dieselbe Stelle gelangen, indem Sie auf Benachrichtigungenund dann auf den Webanwendungs -Proxy-Assistenten öffnen in der Liste ** Konfigurationswarnung nach der Bereitstellung** .If you closed the Add Roles and Features Wizard or you used Windows PowerShell to install Web Application Proxy, you can get to the same place by clicking Notifications, and then clicking Open the Web Application Proxy Wizard in the Post-deployment Configuration warning.

    Klicken Sie im Server-Manager auf Benachrichtigungen, um die Warnung anzuzeigen, die den Link zum Öffnen des Webanwendungs-Proxy-Assistenten enthält.

  2. Der Assistent für die Webanwendungs Proxy Konfiguration wird geöffnet.The Web Application Proxy Configuration Wizard opens. Klicken Sie auf der Seite Willkommen auf Weiter.On the Welcome page, click Next.

    Die Willkommensseite im Assistenten für die Webanwendungs Proxy-Konfiguration

  3. Geben Sie auf der Seite Verbund Server die folgenden Informationen ein:On the Federation Server page, enter the following information:

  • Verbunddienstname: beispielsweise adfs.contoso.com.Federation service name: For example, adfs.contoso.com.

  • Benutzername und Kennwort: Geben Sie die Anmeldeinformationen eines lokalen Administratorkontos auf dem AD FS-Server ein.User name and Password: Type the credentials of a local administrator account on the AD FS server.

    Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

    Geben Sie die Anmeldeinformationen für den AD FS-Server auf der Seite Verbundserver im Assistenten für die Webanwendungs Proxy Konfiguration ein.

  1. Wählen Sie auf der Seite AD FS-Proxy Zertifikat ein installiertes Zertifikat aus, das den Namen des Verbund adfs.contoso.comDiensts enthält (beispielsweise).On the AD FS Proxy Certificate page, select an installed certificate that contains the federation service name (for example adfs.contoso.com). Sie können in der Dropdownliste ein Zertifikat auswählen und dann auf Details anzeigen > klicken, um weitere Informationen zum Zertifikat anzuzeigen.You can select a certificate in the drop down list, and then click View > Details to see more information about the certificate. Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

    Wählen Sie das AD FS-Proxy Zertifikat auf der Seite AD FS-Proxy Zertifikat im Assistenten für die AD FS-Proxykonfiguration aus.

  2. Überprüfen Sie auf der Seite Bestätigung die Einstellungen.On the Confirmation page, review the settings. Sie können den Befehl Windows PowerShell kopieren, um zusätzliche Installationen zu automatisieren (insbesondere den Fingerabdruckwert des Zertifikats).You can copy the Windows PowerShell command to automate additional installations (in particular, the certificate thumbprint value). Wenn Sie fertig sind, klicken Sie auf Konfigurieren.When you're finished, click Configure.

    Die Bestätigungsseite im Assistenten für die Webanwendungs Proxy-Konfiguration

  3. Überprüfen Sie auf der Seite Ergebnisse , ob die Konfiguration erfolgreich war, und klicken Sie dann auf Schließen.On the Results page, verify that the configuration was successful, and then click Close.

    Die Ergebnisseite im Assistenten für die Webanwendungs Proxy-Konfiguration

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Konfigurieren des Webanwendungs Proxys zu verwenden:To use Windows PowerShell to configure Web Application Proxy, follow these steps:

  1. Führen Sie den folgenden Befehl auf dem Webanwendungs-Proxy Server aus, um den Fingerabdruckwert des adfs.contoso.cominstallierten Zertifikats zu finden, das Folgendes enthält:Run the following command on the Web Application Proxy server to find the thumbprint value of the installed certificate that contains adfs.contoso.com:

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Führen Sie den folgenden Befehl aus, und geben Sie den Benutzernamen und das Kennwort eines lokalen Administratorkontos auf dem AD FS-Server ein.Run the following command, and enter the username and password of a local administrator account on the AD FS server.

    $ADFSServerCred = Get-Credential
    
  3. Verwenden Sie die folgende Syntax:Use the following syntax:

    Install-WebApplicationProxy -FederationServiceName <FederationServiceName> -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint <ADFSCertThumbprint>
    

    In diesem Beispiel wird der Webanwendungs-Proxy Server mit den folgenden Einstellungen konfiguriert:This example configure the Web Application Proxy server with the following settings:

    • Verbunddienstname:adfs.contoso.comFederation service name: adfs.contoso.com

    • AD FS-SSL-Zertifikat Fingerabdruck: das *.contoso.com Zertifikat mit dem 5AE82C737900B29C2BAC3AB6D8C44D249EE05609Fingerabdruckwert.AD FS SSL certificate thumbprint: The *.contoso.com certificate that has the thumbprint value 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

    Install-WebApplicationProxy -FederationServiceName adfs.contoso.com -FederationServiceTrustCredential $ADFSServerCred -CertificateThumprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609
    

Schritt 5C: Veröffentlichen der Vertrauensstellungen der Ansprüche vertrauenden Seite für Outlook im Internet und die Exchange-Verwaltungskonsole im Webanwendungs ProxyStep 5c: Publish the claims relying party trusts for Outlook on the web and the EAC in Web Application Proxy

Zum Veröffentlichen der Vertrauensstellungen der vertrauenden Seite im Webanwendungs Proxy können Sie die RAS-Verwaltungskonsole oder Windows PowerShell verwenden.To publish the relying party trusts in Web Application Proxy, you can use the Remote Access Management console or Windows PowerShell.

Führen Sie die folgenden Schritte aus, um die Remote Zugriffs-Verwaltungskonsole zu verwenden:To use the Remote Access Management console, follow these steps:

Hinweis: Sie müssen diese Schritte zweimal durchgehen: einmal für Outlook im Internet und einmal für EAC.Note: You need to go through these steps twice: once for Outlook on the web, and once for EAC. Die erforderlichen Einstellungen werden in der Prozedur beschrieben.The required settings are described in the procedure.

  1. Öffnen Sie die RAS-Verwaltungskonsole auf dem Webanwendungs Proxy Server: Klicken Sie im Server-Manager auf Remotezugriffsverwaltungfür Tools > .Open the Remote Access Management console on the Web Application Proxy server: in Server Manager, click Tools > Remote Access Management.

  2. Klicken Sie in der Remote Zugriffs-Verwaltungskonsole unter Konfigurationauf Webanwendungs Proxy, und klicken Sie dann im Aufgaben Bereich auf veröffentlichen.In the Remote Access Management console, under Configuration, click Web Application Proxy, and then in the Tasks pane, click Publish.

    Wählen Sie im Aufgabenbereich in der Remote Zugriffs Verwaltungskonsole veröffentlichen aus.

  3. Der Assistent zum Veröffentlichen einer neuen Anwendung wird geöffnet.The Publish New Application Wizard opens. Klicken Sie auf der Seite Willkommen auf Weiter.On the Welcome page, click Next.

    Die Willkommensseite im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungs-Proxy Server.

  4. Überprüfen **** Sie auf der Seite Vorauthentifizierung Active Directory Verbunddienste (AD FS) ausgewählt ist, und klicken Sie dann auf weiter.On the Preauthentication page, verify Active Directory Federation Services (AD FS) is selected, and then click Next.

    Die Seite "Vorauthentifizierung" im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungs-Proxy Server.

  5. Wählen Sie **** auf der Seite der vertrauenden Seite die vertrauende Seite aus, die Sie auf dem AD FS-Server in Schritt 4: Erstellen einer Vertrauensstellung für vertrauende Seite und benutzerdefinierte Anspruchsregeln in AD FS für Outlook im Internet und in der Exchange-Verwaltungskonsoleerstellt haben:On the Relying Party page, select the relying party that you created on the AD FS server in Step 4: Create a relying party trust and custom claim rules in AD FS for Outlook on the web and the EAC:

    Wählen Sie die vertrauende Seite auf der Seite der vertrauenden Seite im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungs-Proxy Server aus.

  • Für Outlook im Internet: Wählen Sie Outlook im Internet aus.For Outlook on the web: Select Outlook on the web.

  • Für die Exchange-Verwaltungskonsole: SELECT EAC.For the EAC: Select EAC.

    Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

  1. Geben Sie auf der Seite Veröffentlichungseinstellungen die folgenden Informationen ein:On the Publishing Settings page, enter the following information:
  • Für Outlook im WebFor Outlook on the web

    • Name: beispielsweise Outlook on the web.Name: For example, Outlook on the web. Dieser Name ist nur in der Remote Zugriffs-Verwaltungskonsole sichtbar.This name is only visible in the Remote Access Management console.

    • Externe URL: beispielsweise https://mail.contoso.com/owa/.External URL: For example, https://mail.contoso.com/owa/.

    • Externes Zertifikat: Wählen Sie ein installiertes Zertifikat aus, das den Hostnamen der externen URL für Outlook im Internet enthält (Beispiels mail.contoso.comWeise).External certificate: Select an installed certificate that contains the host name of the external URL for Outlook on the web (for example, mail.contoso.com). Sie können in der Dropdownliste ein Zertifikat auswählen und dann auf Details anzeigen > klicken, um weitere Informationen zum Zertifikat anzuzeigen.You can select a certificate in the drop down list, and then click View > Details to see more information about the certificate.

    • Back-End-Server-URL: dieser Wert wird automatisch von der externen URLaufgefüllt.Backend server URL: This value is automatically populated by the External URL. Sie müssen Sie nur ändern, wenn sich die Back-End-Server-URL von der externen URL unterscheidet.You only need to change it if the backend server URL is different from the external URL. Beispiel: https://server01.contoso.com/owa/.For example, https://server01.contoso.com/owa/. Beachten Sie, dass die Pfade in der externen URL und der URL des Back/owa/-End-Servers übereinstimmen müssen (), aber die Hostnamens mail.contoso.com Werte server01.contoso.comkönnen unterschiedlich sein (beispielsweise und).Note that the paths in the external URL and backend server URL must match (/owa/), but the host name values can be different (for example, mail.contoso.com and server01.contoso.com).

    Veröffentlichungseinstellungen für Outlook im Internet auf der Seite der vertrauenden Seite im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungs-Proxy Server.

  • Für die Exchange-VerwaltungskonsoleFor the EAC

    • Name: beispielsweise EAC.Name: For example, EAC. Dieser Name ist nur in der Remote Zugriffs-Verwaltungskonsole sichtbar.This name is only visible in the Remote Access Management console.

    • Externe URL: die externe URL für die Exchange-Verwaltungskonsole.External URL: The external URL for the EAC. Beispiel: https://mail.contoso.com/ecp/.For example, https://mail.contoso.com/ecp/.

    • Externes Zertifikat: Wählen Sie ein installiertes Zertifikat aus, das den Hostnamen der externen URL für die Exchange-Verwaltungs mail.contoso.comKonsole enthält (beispielsweise).External certificate: Select an installed certificate that contains the host name of the external URL for the EAC (for example, mail.contoso.com). Das Zertifikat ist wahrscheinlich ein Platzhalterzertifikat oder ein San-Zertifikat.The certificate is likely a wildcard certificate or SAN certificate. Sie können in der Dropdownliste ein Zertifikat auswählen und dann auf Details anzeigen > klicken, um weitere Informationen zum Zertifikat anzuzeigen.You can select a certificate in the drop down list, and then click View > Details to see more information about the certificate.

    • Back-End-Server-URL: dieser Wert wird automatisch von der externen URLaufgefüllt.Backend server URL: This value is automatically populated by the External URL. Sie müssen Sie nur ändern, wenn sich die Back-End-Server-URL von der externen URL unterscheidet.You only need to change it if the backend server URL is different from the external URL. Beispiel: https://server01.contoso.com/ecp/.For example, https://server01.contoso.com/ecp/. Beachten Sie, dass die Pfade in der externen URL und der URL des Back/ecp/-End-Servers übereinstimmen müssen (), aber die Hostnamens mail.contoso.com Werte server01.contoso.comkönnen unterschiedlich sein (beispielsweise und).Note that the paths in the external URL and backend server URL must match (/ecp/), but the host name values can be different (for example, mail.contoso.com and server01.contoso.com).

    Klicken Sie nach Abschluss des Vorgangs auf Weiter.When you're finished, click Next.

    Veröffentlichungseinstellungen für die Exchange-Verwaltungskonsole auf der Seite der vertrauenden Seite im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungs-Proxy Server.

  1. Überprüfen Sie auf der Seite Bestätigung die Einstellungen.On the Confirmation page, review the settings. Sie können den Befehl Windows PowerShell kopieren, um zusätzliche Installationen zu automatisieren (insbesondere den Fingerabdruckwert des Zertifikats).You can copy the Windows PowerShell command to automate additional installations (in particular, the certificate thumbprint value). Wenn Sie fertig sind, klicken Sie auf veröffentlichen.When you're finished, click Publish.

    Die Bestätigungsseite im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungs-Proxy Server.

  2. Überprüfen Sie auf der Seite Ergebnisse , ob die Anwendung erfolgreich veröffentlicht wurde, und klicken Sie dann auf Schließen.On the Results page, verify that the application published successfully, and then click Close.

    Die Ergebnisseite im Assistenten zum Veröffentlichen neuer Anwendungen auf dem Webanwendungs-Proxy Server.

Führen Sie die folgenden Schritte aus, um Windows PowerShell zum Veröffentlichen der Vertrauensstellungen der vertrauenden Seite zu verwenden:To use Windows PowerShell to publish the relying party trusts, follow these steps:

  1. Führen Sie den folgenden Befehl auf dem Webanwendungs Proxy Server aus, um den Fingerabdruck des installierten Zertifikats zu finden, das den Hostnamen des Outlook im Internet und der EAC- mail.contoso.comURLs enthält (beispielsweise):Run the following command on the Web Application Proxy server to find the thumbprint of the installed certificate that contains the host name of the Outlook on the web and EAC URLs (for example, mail.contoso.com):

    Set-Location Cert:\LocalMachine\My; Get-ChildItem | Format-List FriendlyName,Subject,Thumbprint
    
  2. Verwenden Sie die folgende Syntax:Use the following syntax:

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName <OotwRelyingParty | EACRelyingParty> -Name "<Outlook on the web  | EAC>" -ExternalUrl <OotwURL | EACURL> -ExternalCertificateThumbprint <Thumbprint> -BackendServerUrl <OotwURL | EACURL>
    

    In diesem Beispiel wird Outlook im Internet im Webanwendungs Proxy mit den folgenden Einstellungen veröffentlicht:This example publishes Outlook on the web in Web Application Proxy with the following settings:

    • AD FS-vertrauende Seite: Outlook im InternetAD FS relying party: Outlook on the web

    • Name: Outlook im InternetName: Outlook on the web

    • Externe URL:https://mail.contoso.com/owa/External URL: https://mail.contoso.com/owa/

    • Fingerabdruck des externen Zertifikats: das *.contoso.com Zertifikat mit dem Finger 5AE82C737900B29C2BAC3AB6D8C44D249EE05609Abdruck Wert.External certificate thumbprint: The *.contoso.com certificate that has the thumbprint value 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

    • Back-End-Server-URL:https://mail.contoso.com/owa/Backend server URL: https://mail.contoso.com/owa/

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName "Outlook on the web" -Name "Outlook on the web" -ExternalUrl https://mail.contoso.com/owa/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE056093 -BackendServerUrl https://mail.contoso.com/owa/
    

    In diesem Beispiel wird die Exchange-Verwaltungskonsole im Webanwendungs Proxy mit den folgenden Einstellungen veröffentlicht:This example publishes the EAC in Web Application Proxy with the following settings:

    • Name: EACName: EAC

    • Externe URL:https://external.contoso.com/ecp/External URL: https://external.contoso.com/ecp/

    • Fingerabdruck des externen Zertifikats: das *.contoso.com Zertifikat mit dem Finger 5AE82C737900B29C2BAC3AB6D8C44D249EE05609Abdruck Wert.External certificate thumbprint: The *.contoso.com certificate that has the thumbprint value 5AE82C737900B29C2BAC3AB6D8C44D249EE05609.

    • Back-End-Server-URL:https://mail.contoso.com/ecp/Backend server URL: https://mail.contoso.com/ecp/

    Add-WebApplicationProxyApplication -ExternalPreAuthentication ADFS -ADFSRelyingPartyName EAC -Name EAC -ExternalUrl https://external.contoso.com/ecp/ -ExternalCertificateThumbprint 5AE82C737900B29C2BAC3AB6D8C44D249EE05609 -BackendServerUrl https://mail.contoso.com/ecp/
    

Hinweis: alle AD FS-Endpunkte, die Sie über den Webanwendungs Proxy veröffentlichen möchten, müssen Proxy fähig sein.Note: All AD FS endpoints that you want to publish through Web Application Proxy need to be proxy enabled. Dies erfolgt in der AD FS-Verwaltungskonsole bei Dienst > **** Endpunkten (stellen Sie sicher, dass der Proxy aktiviert für den angegebenen Endpunkt Ja ist).You do this in the AD FS Management console at Service > Endpoints (verify that Proxy Enabled is Yes for the specified endpoint).

Schritt 6: Konfigurieren der Exchange-Organisation für die Verwendung der AD FS-AuthentifizierungStep 6: Configure the Exchange organization to use AD FS authentication

Um die Exchange-Organisation für die Verwendung der AD FS-Authentifizierung zu konfigurieren, müssen Sie die Exchange-Verwaltungsshell verwenden.To configure the Exchange organization to use AD FS authentication, you need to use the Exchange Management Shell. Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.To learn how to open the Exchange Management Shell in your on-premises Exchange organization, see Open the Exchange Management Shell.

  1. Führen Sie den folgenden Befehl aus, um den Fingerabdruckwert des importierten AD FS-Token-Signaturzertifikats zu finden:Run the following command to find the thumbprint value of the imported AD FS token signing certificate:

    Set-Location Cert:\LocalMachine\Root; Get-ChildItem | Sort-Object Subject
    

    Suchen Sie nach dem Antragstellerwert CN=ADFS Signing - <FederationServiceName> ( CN=ADFS Signing - adfs.contoso.combeispielsweise).Look for the Subject value CN=ADFS Signing - <FederationServiceName> (for example, CN=ADFS Signing - adfs.contoso.com).

    Sie können diesen Fingerabdruckwert auf dem AD FS-Server in einem erhöhten Windows PowerShell Fenster bestätigen, indem Import-Module ADFSSie den Befehl ausführen und dann Get-AdfsCertificate -CertificateType Token-Signingden Befehl ausführen.You can confirm this thumbprint value on the AD FS server in an elevated Windows PowerShell window by running the command Import-Module ADFS, and then running the command Get-AdfsCertificate -CertificateType Token-Signing.

  2. Verwenden Sie die folgende Syntax:Use the following syntax:

    Set-OrganizationConfig -AdfsIssuer https://<FederationServiceName>/adfs/ls/ -AdfsAudienceUris "<OotwURL>","<EACURL>" -AdfsSignCertificateThumbprint "<Thumbprint>"
    

    In diesem Beispiel werden die folgenden Werte verwendet:This example uses the following values:

    • AD FS-URL:https://adfs.contoso.com/adfs/ls/AD FS URL: https://adfs.contoso.com/adfs/ls/

    • Outlook im Internet-URL:https://mail.contoso.com/owa/Outlook on the web URL: https://mail.contoso.com/owa/

    • EAC-URL:https://mail.contoso.com/ecp/EAC URL: https://mail.contoso.com/ecp/

    • AD FS-Token Signaturzertifikat Fingerabdruck: ADFS Signing - adfs.contoso.com das Zertifikat mit dem Fingerabdruck 88970C64278A15D642934DC2961D9CCA5E28DA6BWert.AD FS token-signing certificate thumbprint: The ADFS Signing - adfs.contoso.com certificate that has the thumbprint value 88970C64278A15D642934DC2961D9CCA5E28DA6B.

    Set-OrganizationConfig -AdfsIssuer https://adfs.contoso.com/adfs/ls/ -AdfsAudienceUris "https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/" -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"
    

    Hinweis: der Parameter AdfsEncryptCertificateThumbprint wird in diesen Szenarien nicht unterstützt.Note: The AdfsEncryptCertificateThumbprint parameter isn't supported in these scenarios.

Schritt 7: Konfigurieren der AD FS-Authentifizierung für die virtuellen Verzeichnisse "Outlook im Internet" und "Exchange-Verwaltungskonsole"Step 7: Configure AD FS authentication on the Outlook on the web and EAC virtual directories

Für die virtuellen Verzeichnisse in Outlook im Internet und in der Exchange-Verwaltungskonsole müssen Sie die AD FS-Authentifizierung als die einzige verfügbare Authentifizierungsmethode konfigurieren, indem Sie alle anderen Authentifizierungsmethoden deaktivieren.For the Outlook on the web and EAC virtual directories, you need to configure AD FS authentication as the only available authentication method by disabling all other authentication methods.

  • Sie müssen das virtuelle Verzeichnis für die Exchange-Verwaltungskonsole konfigurieren, bevor Sie das virtuelle Outlook im virtuellen Verzeichnis konfigurieren.You need to configure the EAC virtual directory before you configure the Outlook on the web virtual directory.

  • Wahrscheinlich möchten Sie die AD FS-Authentifizierung nur auf Exchange-Servern mit dem Internet konfigurieren, mit denen Clients eine Verbindung mit Outlook im Web und der Exchange-Verwaltungskonsole herstellen.You'll likely want to configure AD FS authentication only on Internet-facing Exchange servers that clients use to connect to Outlook on the web and the EAC.

  • Standardmäßig sind nur die Standard-und Formularauthentifizierung für die virtuellen Verzeichnisse Outlook im Internet und Exchange-Verwaltungskonsole aktiviert.By default, only Basic and Forms authentication are enabled for the Outlook on the web and EAC virtual directories.

Verwenden Sie die folgende Syntax, um die Exchange-Verwaltungsshell zum Konfigurieren einer Exchange-Verwaltungskonsole oder eines virtuellen Verzeichnisses in Outlook im Webverzeichnis zu verwenden, um die AD FS-Authentifizierung nur zu akzeptieren:To use the Exchange Management Shell to configure an EAC or Outlook on the web virtual directory to only accept AD FS authentication, use the following syntax:

Set-EcpVirtualDirectory -Identity <VirtualDirectoryIdentity> -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

In diesem Beispiel wird das virtuelle EAC-Verzeichnis in der Standardwebsite auf dem Server mit dem Namen Bezeichnung Mailbox01 konfiguriert:This example configures the EAC virtual directory in the default web site on the server named Mailbox01:

Set-EcpVirtualDirectory -Identity "Mailbox01\ecp (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

In diesem Beispiel wird das virtuelle Outlook im Web-Verzeichnis in der standardmäßigen Website "wir" auf dem Server mit dem Namen "Bezeichnung Mailbox01" konfiguriert:This example configures the Outlook on the web virtual directory in the default we site on the server named Mailbox01:

Set-OwaVirtualDirectory -Identity "Mailbox01\owa (Default Web Site)" -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Hinweis: führen Sie die folgenden Befehle aus, um alle Exchange-Verwaltungskonsole und Outlook im virtuellen Verzeichnis auf jedem Exchange-Server in Ihrer Organisation zu konfigurieren:Note: To configure all EAC and Outlook on the web virtual directories on every Exchange server in your organization, run the following commands:

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false
Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -OAuthAuthentication $false -WindowsAuthentication $false

Schritt 8: Neustarten von IIS auf dem Exchange-ServerStep 8: Restart IIS on the Exchange server

  1. Öffnen Sie IIS-Manager auf dem Exchange-Server. Eine einfache Möglichkeit hierzu in Windows Server 2012 oder höher ist das Drücken der Windows-Taste + Q, Eingeben von inetmgr und Auswählen von Internetinformationsdienste-Manager (IIS) in den Ergebnissen.Open IIS Manager on the Exchange server. An easy way to do this in Windows Server 2012 or later is to press Windows key + Q, type inetmgr, and select Internet Information Services (IIS) Manager in the results.

  2. Wählen Sie in IIS-Manager den Server aus.In IIS Manager, select the server.

  3. Klicken Sie im Bereich Aktionen auf Neustart.In the Actions pane, click Restart.

    Wählen Sie in IIS-Manager den Server aus, und klicken Sie im Aktionsbereich auf „Neustart'.

Hinweis: um dieses Verfahren in der Befehlszeile auszuführen, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Exchange-Server (ein Eingabeaufforderungsfenster, das Sie durch Auswählen von als Administrator ausführenöffnen), und führen Sie die folgenden Befehle aus:Note: To perform this procedure on the command line, open an elevated command prompt on the Exchange server (a Command Prompt window you open by selecting Run as administrator) and run the following commands:

net stop was /y
net start w3svc

Woher wissen Sie, dass dieses Verfahren erfolgreich war?How do you know this worked?

So testen Sie die AD FS-Ansprüche für Outlook im Internet:To test the AD FS claims for Outlook on the web:

  1. Öffnen Sie in einem Webbrowser Outlook im Internet (beispielsweise https://mail.contoso.com/owa).In a web browser, open Outlook on the web (for example, https://mail.contoso.com/owa).

  2. Wenn Sie im Webbrowser einen Zertifikat Fehler erhalten, fahren Sie einfach mit der Outlook-Website fort.If you get a certificate error in the web browser, just continue on to the Outlook on the web site. Sie sollten zur AD FS-Anmeldeseite oder zur AD FS-Eingabeaufforderung für Anmeldeinformationen umgeleitet werden.You should be redirected to the AD FS sign-in page or the AD FS prompt for credentials.

  3. Geben Sie Ihren Benutzernamen (Domäne\Benutzer) und das Kennwort ein, und klicken Sie auf Anmelden.Type your user name (domain\user) and password, and then click Sign in.

  4. Outlook im Internet wird in das fensterladen.Outlook on the web will load in the window.

So testen Sie die AD FS-Ansprüche für die Exchange-Verwaltungskonsole:To test the AD FS claims for EAC:

  1. Öffnen Sie in einem Webbrowser die Exchange-Verwaltungskonsole ( https://mail.contoso.com/ecp)beispielsweise.In a web browser, open EAC (for example, https://mail.contoso.com/ecp).

  2. Wenn Sie im Webbrowser einen Zertifikat Fehler erhalten, fahren Sie einfach mit der EAC-Website fort.If you get a certificate error in the web browser, just continue on to the EAC web site. Sie sollten zur AD FS-Anmeldeseite oder zur AD FS-Eingabeaufforderung für Anmeldeinformationen umgeleitet werden.You should be redirected to the AD FS sign-in page or the AD FS prompt for credentials.

  3. Geben Sie Ihren Benutzernamen (Domäne\Benutzer) und das Kennwort ein, und klicken Sie auf Anmelden.Type your user name (domain\user) and password, and then click Sign in.

  4. EAC wird im fensterladen.EAC will load in the window.

Zusätzliche ÜberlegungenAdditional considerations

Mehrstufige AuthentifizierungMultifactor authentication

Durch die Bereitstellung und Konfiguration von AD FS für die anspruchsbasierte Authentifizierung können Outlook im Internet und die Exchange-Verwaltungskonsole die mehrstufige Authentifizierung wie zertifikatbasierte Authentifizierung, Authentifizierung oder Sicherheitstoken und Fingerabdruckauthentifizierung unterstützen.Deploying and configuring AD FS for claims-based authentication allows Outlook on the web and the EAC to support multifactor authentication, such as certificate-based authentication, authentication or security tokens, and fingerprint authentication. Die mehrstufige Authentifizierung erfordert zwei dieser drei Authentifizierungs Faktoren:Multifactor authentication requires two of these three authentication factors:

  • Etwas, das nur der Benutzer kennt (beispielsweise das Kennwort, die PIN oder das Muster).Something only the user knows (for example, the password, PIN, or pattern).

  • Etwas, das nur der Benutzer hat (beispielsweise eine ATM-Karte, ein Sicherheitstoken, eine Smartcard oder ein Mobiltelefon).Something only the user has (for example, an ATM card, security token, smart card, or mobile phone).

  • Etwas, das nur der Benutzer ist (beispielsweise ein biometrisches Merkmal, beispielsweise ein Fingerabdruck).Something only the user is (for example, a biometric characteristic, such as a fingerprint).

Beispielsweise ein Kennwort und ein Sicherheitscode, die an ein Mobiltelefon gesendet werden, oder eine PIN und ein Fingerabdruck.For example, a password and a security code that's sent to a mobile phone, or a PIN and a fingerprint.

Weitere Informationen zur mehrstufigen Authentifizierung in Windows Server 2012 R2 finden Sie unter Übersicht: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen und Handbuch mit exemplarischer Vorgehensweise: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen.For details on multifactor authentication in Windows Server 2012 R2, see Overview: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications and Walkthrough Guide: Manage Risk with Additional Multi-Factor Authentication for Sensitive Applications.

Auf dem AD FS-Server fungiert der Verbunddienst als Sicherheitstokendienst und stellt die Sicherheitstoken bereit, die mit Ansprüchen verwendet werden.On the AD FS server, the federation service functions as a security token service, and provides the security tokens that are used with claims. Der Verbunddienst stellt Token auf Grundlage der angegebenen Anmeldeinformationen aus.The federation service issues tokens based on the credentials that are presented. Nachdem der Kontospeicher die Anmeldeinformationen eines Benutzers überprüft hat, werden die Ansprüche für den Benutzer entsprechend den Regeln der Vertrauensrichtlinie erstellt und anschließend einem Sicherheitstoken hinzugefügt, das an den Client ausgegeben wird.After the account store verifies a user's credentials, the claims for the user are generated according to the rules of the trust policy and then added to a security token that is issued to the client. Weitere Informationen zu Ansprüchen finden Sie unter Grundlegendes zu Ansprüchen.For more information about claims, see Understanding Claims.

Koexistenz mit anderen Versionen von ExchangeCo-existence with other versions of Exchange

Sie können die AD FS-Authentifizierung für Outlook im Internet und in der Exchange-Verwaltungskonsole verwenden, wenn mehr als eine Version von Exchange in Ihrer Organisation bereitgestellt ist.You can use AD FS authentication for Outlook on the web and the EAC when you have more than one version of Exchange deployed in your organization. Dieses Szenario wird nur unterstützt, wenn alle Clients über Exchange-Server eine Verbindung herstellen und alle diese Server für die AD FS-Authentifizierung konfiguriert wurden.This scenario is supported only if all clients are connecting through Exchange servers, and all of those servers have been configured for AD FS authentication.

In Exchange 2016-Organisationen können Benutzer mit Postfächern auf Exchange 2010 Servern über einen Exchange 2016-Server, der für die AD FS-Authentifizierung konfiguriert ist, auf ihre Postfächer zugreifen.In Exchange 2016 organizations, users with mailboxes on Exchange 2010 servers can access their mailboxes through an Exchange 2016 server that's configured for AD FS authentication. Die anfängliche Clientverbindung mit dem oder Exchange 2016-Server verwendet die AD FS-Authentifizierung.The initial client connection to the or Exchange 2016 server uses AD FS authentication. Die Proxyverbindung mit Exchange 2010 verwendet jedoch Kerberos.However, the proxied connection to Exchange 2010 uses Kerberos. Es gibt keine unterstützte Methode zum Konfigurieren von Exchange 2010 für die direkte AD FS-Authentifizierung.There's no supported way to configure Exchange 2010 for direct AD FS authentication.