ФедерацияFederation

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Информационные работники часто необходимо взаимодействовать с внешним получателям, поставщиков, партнерами и клиентами и общий доступ к своим сведениям о доступности (также известной как доступность календаря). С помощью этих совместная работа помогает федерации в Microsoft Exchange Server 2013. Федерация относится к базовой инфраструктуре доверия, поддерживающего федеративного общего доступа, простой метод пользователи могут обмениваться данными календарей с получателями в других внешних федеративными организациями. Чтобы узнать больше о федеративного общего доступа, обратитесь к разделу общий доступ.Information workers frequently need to collaborate with external recipients, vendors, partners, and customers and share their free/busy (also known as calendar availability) information. Federation in Microsoft Exchange Server 2013 helps with these collaboration efforts. Federation refers to the underlying trust infrastructure that supports federated sharing, an easy method for users to share calendar information with recipients in other external federated organizations. To learn more about federated sharing, see Sharing.

Важно!

Средство Exchange Server 2013 не полностью совместимы с Office 365, которой с 21Vianet в Китае, могут относиться некоторые ограничения. Для получения дополнительных сведений см. Дополнительные сведения об Office 365, которой с 21Vianet.This feature of Exchange Server 2013 isn’t fully compatible with Office 365 operated by 21Vianet in China and some feature limitations may apply. For more information, see Learn about Office 365 operated by 21Vianet.

СодержаниеContents

Основные терминыKey terminology

Система проверки подлинности Azure ADAzure AD authentication system

Доверие федерацииFederation trust

Идентификатор федеративной организацииFederated organization identifier

Пример федерацииFederation example

Требования к сертификатам для федерацииCertificate requirements for Federation

Переход на новый сертификатTransitioning to a new certificate

Рекомендации относительно брандмауэра для федерацииFirewall Considerations for Federation

Основные терминыKey terminology

В следующей таблице определяются основные компоненты, связанные с федерацией в системе Exchange 2013.The following table defines the core components associated with federation in Exchange 2013.

  • идентификатор приложения (AppID)application identifier (AppID)
    Уникальный номер, сгенерированный системой проверки подлинности Azure Active Directory для идентификации организаций Exchange. AppID автоматически создается при создании отношения доверия федерации с системой проверки подлинности Azure Active Directory.A unique number generated by the Azure Active Directory authentication system to identify Exchange organizations. The AppID is automatically generated when you create a federation trust with the Azure Active Directory authentication system.
  • маркер делегированияdelegation token
    Это маркер SAML (Security Assertion Markup Language), выдаваемый системой проверки подлинности Azure Active Directory, который позволяет пользователям из одной федеративной организации получать доверие от другой федеративной организации. Маркер делегирования содержит адрес электронной почты пользователя, неизменяемый идентификатор и сведения, связанные с предложением, по которому для действия выпускается маркер.A Security Assertion Markup Language (SAML) token issued by the Azure Active Directory authentication system that allows users from one federated organization to be trusted by another federated organization. A delegation token contains the user's email address, an immutable identifier, and information associated with the offer for which the token is issued for action.
  • внешняя федеративная организацияexternal federated organization
    Внешняя организация Exchange, которая установила доверие федерации с системой проверки подлинности Azure Active Directory.An external Exchange organization that's established a federation trust with the Azure Active Directory authentication system.
  • федеративный общий доступfederated sharing
    Группа функций Exchange, позволяющая отношению доверия с системой проверки подлинности Azure Active Directory работать в различных организациях Exchange, включая нелокальное развертывание Exchange. Совокупность таких функций применяется для создания проверенных на подлинность запросов между серверами от имени пользователей по нескольким организациям Exchange.A group of Exchange features that leverage a federation trust with the Azure Active Directory authentication system to work across Exchange organizations, including cross-premises Exchange deployments. Together, these features are used to make authenticated requests between servers on behalf of users across multiple Exchange organizations.
  • федеративный доменfederated domain
    Обслуживаемый уполномоченный домен, который добавляется к идентификатору организации (OrgID) для организации Exchange.An accepted authoritative domain that's added to the organization identifier (OrgID) for an Exchange organization.
  • строка шифрования для подтверждения права собственности на доменdomain proof encryption string
    Криптографически стойкая строка, используемая организацией Exchange для доказательства того, что данная организация владеет доменом, используемым с системой проверки подлинности Azure Active Directory. Эта строка создается автоматически при использовании мастера включения доверия федерации. Также ее можно создать с помощью командлета Get-FederatedDomainProof.A cryptographically secure string used by an Exchange organization to provide proof that the organization owns the domain used with the Azure Active Directory authentication system. The string is generated automatically when using the Enable federation trust wizard or can be generated by using the Get-FederatedDomainProof cmdlet.
  • политика федеративного общего доступаfederated sharing policy
    Политика на уровне организации, согласно которой выполняется включение устанавливаемого пользователями прямого обмена между сотрудниками данными календаря, а также управление этим процессом.An organization-level policy that enables and controls user-established, person-to-person sharing of calendar information.
  • федерацияfederation
    Соглашение на основе доверия между двумя организациями Exchange для достижения общей цели. При наличии федерации для каждой организации необходимо, чтобы утверждения проверки подлинности от одной организации распознавались другой организацией.A trust-based agreement between two Exchange organizations to achieve a common purpose. With federation, both organizations want authentication assertions from one organization to be recognized by the other.
  • доверие федерацииfederation trust
    Связь с системой проверки подлинности Azure Active Directory, которая определяет следующие компоненты для организации Exchange:A relationship with the Azure Active Directory authentication system that defines the following components for your Exchange organization:

    • пространство имен учетных записей;Account namespace

    • идентификатор приложения (AppID);Application identifier (AppID)

    • идентификатор организации (OrgID);Organization identifier (OrgID)

    • федеративные домены.Federated domains

    Для настройки федеративного общего доступа с другими федеративными организациями Exchange, следует создать отношение доверия федерации с системой проверки подлинности Azure Active Directory.To configure federated sharing with other federated Exchange organizations, a federation trust must be established with the Azure Active Directory authentication system.

  • нефедеративная организацияnon-federated organization
    Организация, которая не имеет доверия федерации, установленного с системой проверки подлинности Azure Active Directory.Organizations that don't have a federation trust established with the Azure Active Directory authentication system.
  • идентификатор организации (OrgID)organization identifier (OrgID)
    Определяет, какой из доверенных обслуживаемых доменов, настроенных в организации включены для федерации. Только получателям, адреса электронной почты с федеративные домены, настроенные в идентификатор OrgID распознаются системой проверки подлинности Azure Active Directory и федеративный доступ функций, могут использовать. Идентификатор OrgID представляет собой комбинацию предварительно заданные строки и первого обслуживаемого домена, выбранного для федерации в окне мастера включения доверия федерации . Например если указать федеративного домена contoso.com в качестве основного домена SMTP вашей организации, пространства имен учетной записи FYDIBOHF25SPDLT.contoso.com автоматически создается как OrgID для доверия федерации.Defines which of the authoritative accepted domains configured in an organization are enabled for federation. Only recipients that have e-mail addresses with federated domains configured in the OrgID are recognized by the Azure Active Directory authentication system and are able to use federated sharing features. The OrgID is a combination of a pre-defined string and the first accepted domain selected for federation in the Enable federation trust wizard. For example, if you specify the federated domain contoso.com as your organization’s primary SMTP domain, the account namespace FYDIBOHF25SPDLT.contoso.com will be automatically created as the OrgID for the federation trust.
  • связь организацииorganization relationship
    Отношение "один к одному" между двумя федеративными организациями Exchange, которое позволяет получателям обмениваться сведениями о доступности (доступности календаря). Связь организации требует доверия федерации с системой проверки подлинности Azure Active Directory и устраняет необходимость в использовании леса Active Directory или доверия федерации между организациями Exchange.A one-to-one relationship between two federated Exchange organizations that allows recipients to share free/busy (calendar availability) information. An organization relationship requires a federation trust with the Azure Active Directory authentication system and replaces the need to use Active Directory forest or domain trusts between Exchange organizations.
  • Azure Active Directory система проверки подлинностиAzure Active Directory authentication system
    Бесплатная облачная служба идентификации, действующая в качестве брокера отношений доверия между федеративными организациями Microsoft Exchange. Он отвечает за выдачу маркеров делегирования получателям Exchange, когда они запрашивают информацию от получателей в других федеративных организациях Exchange. Дополнительные сведения см. в статье Azure Active Directory.A free, cloud-based identity service that acts as the trust broker between federated Microsoft Exchange organizations. It's responsible for issuing delegation tokens to Exchange recipients when they request information from recipients in other federated Exchange organizations. To learn more, see Azure Active Directory.

Система проверки подлинности Azure ADAzure AD authentication system

Система проверки подлинности Azure Active Directory, бесплатную облачная служба осуществляемый корпорацией Майкрософт, действует как брокер доверия между локальной организации Exchange 2013 и других федеративных Exchange 2010 и Exchange 2013 организаций. Если вы хотите настроить федерации в организации Exchange, необходимо установить отношение доверия одноразовый федерации с системой проверки подлинности Azure Active Directory, таким образом, чтобы он может стать партнером федерации с вашей организации. С этим отношением доверия на месте пользователям, прошедшим проверку подлинности с Active Directory (известную как Поставщики удостоверений) выдаются маркеры делегирования разметки языка SAML (Security Assertion) с системой проверки подлинности Azure AD. Эти маркеры делегирования разрешить пользователей из одного федеративной организации Exchange в надежного с другой федеративной организации Exchange. С системой проверки подлинности Azure AD, действующие в качестве брокер доверия, организациям не требуется установить несколько отдельных доверительные отношения с другими организациями, и пользователи могут доступ к внешним ресурсам, с помощью интерфейса единого входа (SSO). Для получения дополнительных сведений см Azure Active Directory.The Azure Active Directory authentication system, a free cloud-based service offered by Microsoft, acts as the trust broker between your on-premises Exchange 2013 organization and other federated Exchange 2010 and Exchange 2013 organizations. If you want to configure federation in your Exchange organization, you must establish a one-time federation trust with the Azure Active Directory authentication system, so that it can become a federation partner with your organization. With this trust in place, users authenticated by Active Directory (known as identity providers) are issued Security Assertion Markup Language (SAML) delegation tokens by the Azure AD authentication system. These delegation tokens allow users from one federated Exchange organization to be trusted by another federated Exchange organization. With the Azure AD authentication system acting as the trust broker, organizations aren't required to establish multiple individual trust relationships with other organizations, and users can access external resources using a single sign-on (SSO) experience. For more information, see Azure Active Directory.

В началоReturn to top

Доверие федерацииFederation trust

Для использования функций Exchange 2013 федеративного общего доступа, необходимо установить доверие федерации между организацией Exchange 2013 и системой проверки подлинности Azure AD. Установка доверия федерации с системой проверки подлинности Azure AD обменивается сертификат цифровой безопасности вашей организации с системой проверки подлинности Azure AD и извлекает Azure AD метаданных сертификатов и федерации в системе проверки подлинности. Можно установить доверие федерации с помощью мастера включения доверия федерации в центре администрирования Exchange (EAC) или командлет New-FederationTrust в командной консоли Exchange. Самозаверяющий сертификат автоматически создается с помощью мастера включения доверия федерации и используется для подписания и шифрования маркеры делегирования из системы проверки подлинности Azure AD, которые пользователи могут быть доверенным издателем внешних федеративными организациями . Для получения дополнительных сведений о требованиях к сертификатам содержатся требования к сертификатам для федерации в этот раздел.To use Exchange 2013 federated sharing features, you must establish a federation trust between your Exchange 2013 organization and the Azure AD authentication system. Establishing a federation trust with the Azure AD authentication system exchanges your organization's digital security certificate with the Azure AD authentication system and retrieves the Azure AD authentication system certificate and federation metadata. You can establish a federation trust by using the Enable federation trust wizard in the Exchange Administration Center (EAC) or the New-FederationTrust cmdlet in the Exchange Management Shell. A self-signed certificate is automatically created by the Enable federation trust wizard and is used for signing and encrypting delegation tokens from the Azure AD authentication system that allow users to be trusted by external federated organizations. For details about certificate requirements, see Certificate Requirements for Federation later in this topic.

При создании доверия федерации с системой проверки подлинности Azure AD идентификатор приложения (AppID) автоматически создается для организации Exchange и в выходные данные командлета Get-FederationTrust . Значение AppID используется с системой проверки подлинности Azure AD для уникальной идентификации организации Exchange. Он также используется в организации Exchange для подтверждения, что ваша организация несет ответственность за домена для использования с системой проверки подлинности Azure AD. Это делается путем создания записи текст (TXT) в зоне имен (DNS) общедоступного домена для каждого федеративного домена.When you create a federation trust with the Azure AD authentication system, an application identifier (AppID) is automatically generated for your Exchange organization and provided in the output of the Get-FederationTrust cmdlet. The AppID is used by the Azure AD authentication system to uniquely identify your Exchange organization. It's also used by the Exchange organization to provide proof that your organization owns the domain for use with the Azure AD authentication system. This is done by creating a text (TXT) record in the public Domain Name System (DNS) zone for each federated domain.

В началоReturn to top

Идентификатор федеративной организацииFederated organization identifier

Федеративные идентификатор организации (OrgID) определяет, какой из доверенных обслуживаемых доменов, настроенных в организации включены для федерации. Только получателям, адреса электронной почты с помощью обслуживаемых доменов, настроенных в идентификатор OrgID распознаются системой проверки подлинности Azure AD и, могут использовать федеративных функции общего доступа. При создании нового отношения доверия федерации с системой проверки подлинности Azure AD автоматически создается OrgID. В этом OrgID состоит из предварительно заданные строки и обслуживаемый домен, выбранный в качестве основного общего домена в мастере. Например в мастере Edit Sharing-Enabled домены при указании федеративного домена contoso.com как основной общий домен в вашей организации, пространство имен учетных записей FYDIBOHF25SPDLT.contoso.com будут создаваться автоматически как Идентификатор OrgID для доверия федерации для организации Exchange.The federated organization identifier (OrgID) defines which of the authoritative accepted domains configured in your organization are enabled for federation. Only recipients that have e-mail addresses with accepted domains configured in the OrgID are recognized by the Azure AD authentication system and are able to use federated sharing features. When you create a new federation trust, an OrgID is automatically created with the Azure AD authentication system. This OrgID is a combination of a pre-defined string and the accepted domain selected as the primary shared domain in the wizard. For example, in the Edit Sharing-Enabled Domains wizard, if you specify the federated domain contoso.com as the primary shared domain in your organization, the FYDIBOHF25SPDLT.contoso.com account namespace will be automatically created as the OrgID for the federation trust for your Exchange organization.

Хотя обычно основного домена SMTP для организации Exchange, в этом домене не должен быть обслуживаемым доменом в организации Exchange и не требует доменных имен (DNS) подтверждения права собственности владения запись TXT. Единственное требование — это, что обслуживаемые домены, установите флажок, чтобы быть федеративных не более 32 знаков. Этот дочерний домен только предназначен для использования в качестве федеративных пространство имен для системы проверки подлинности Azure AD для поддержки уникальных идентификаторов для получателей этого запроса делегирования маркеров SAML. Дополнительные сведения о маркерах SAML можно маркеров SAML и утвержденияAlthough typically the primary SMTP domain for the Exchange organization, this domain doesn’t have to be an accepted domain in your Exchange organization and doesn’t require a domain name system (DNS) proof of ownership TXT record. The only requirement is that accepted domains selected to be federated are limited to a maximum of 32 characters. The only purpose of this subdomain is to serve as the federated namespace for the Azure AD authentication system to maintain unique identifiers for recipients that request SAML delegation tokens. For more information about SAML tokens, see SAML Tokens and Claims

Вы можете добавлять и удалять обслуживаемые домены в доверии федерации в любое время. Чтобы включить или выключить все функции федеративного общего доступа в организации, достаточно включить или выключить OrgID для доверия федерации.You can add or remove accepted domains from the federation trust at any time. If you want to enable or disable all federation sharing features in your organization, all you have to do is enable or disable the OrgID for the federation trust.

Важно!

При изменении OrgID, обслуживаемых доменов или AppID, используемых для доверия федерации затрагиваются все функции федеративного общего доступа в вашей федерации. Изменения также затрагивают внешние федеративные организации Exchange, включая Exchange Online и гибридные развертывания. Рекомендуется уведомлять всех внешних федеративных партнеров о всех изменениях в параметрах конфигурации доверия федерации.If you change the OrgID, accepted domains, or the AppID used for the federation trust, all federation sharing features are affected in your organization. This also affects any external federated Exchange organizations, including Exchange Online and hybrid deployment configurations. We recommend that you notify all external federated partners of any changes to these federation trust configuration settings.

В началоReturn to top

Пример федерацииFederation example

Две организации Exchange, Contoso, Ltd. и Fabrikam, Inc., хотят, чтобы их пользователи могли обмениваться сведениями о доступности из календарей. В каждой организации создано доверие федерации с системой проверки подлинности Azure AD и настроено пространство имен учетных записей, включающее в себя домен адресов электронной почты пользователей.Two Exchange organizations, Contoso, Ltd. and Fabrikam, Inc., want their users to be able to share calendar free/busy information with each other. Each organization creates a federation trust with the Azure AD authentication system and configures its account namespace to include the domain used for its user's e-mail address domain.

Сотрудники Contoso используют один из следующих доменов адресов электронной почты: contoso.com, contoso.co.uk или contoso.ca. Сотрудники компании Fabrikam используют один из следующих доменов адресов электронной почты: fabrikam.com, fabrikam.org или fabrikam.net. В обеих организациях все обслуживаемые домены электронной почты включены в пространство имен учетных записей для создания доверия федерации с системой проверки подлинности Azure AD. Вместо настройки сложного леса Active Directory или доверия доменов организации создают между собой связь организаций для обмена сведениями о доступности.Contoso employees use one of the following e-mail address domains: contoso.com, contoso.co.uk, or contoso.ca. Fabrikam employees use one of the following e-mail address domains: fabrikam.com, fabrikam.org, or fabrikam.net. Both organizations make sure that all accepted e-mail domains are included in the account namespace for their federation trust with the Azure AD authentication system. Rather than requiring a complex Active Directory forest or domain trust configuration between the two organizations, both organizations configure an organization relationship with each other to enable calendar free/busy sharing.

На следующем рисунке показана конфигурация федерации между компаниями Contoso, Ltd. и Fabrikam, Inc.The following figure illustrates the federation configuration between Contoso, Ltd. and Fabrikam, Inc.

Пример федеративного общего доступаFederated sharing example

![Доверие федерации и федеративный доступ] (images/Dd335047.310f0698-b67d-4b0e-91e4-231c6e9db952(EXCHG.150).gif "Доверие федерации и федеративный доступ")Federation Trusts and Federated Sharing

Требования к сертификатам для федерацииCertificate requirements for Federation

Чтобы установить доверие федерации с системой проверки подлинности Azure AD, необходимо создать самозаверяющий сертификат или сертификат X.509, подписанный центром сертификации, и установить его на сервере Exchange 2013, использованном для создания доверия. Настоятельно рекомендуется использовать самозаверяющий сертификат, автоматически создаваемый и устанавливаемый мастером включения доверия федерации в EAC. Он используется только для подписывания и шифрования маркеров делегирования, используемый при федеративном общем доступе. Для доверия федерации достаточно одного сертификата. Exchange 2013 автоматически распространяет сертификат на всех прочих серверах Exchange 2013 в организации.To establish a federation trust with the Azure AD authentication system, either a self-signed certificate or an X.509 certificate signed by a certification authority (CA) must be created and installed on the Exchange 2013 server used to create the trust. We strongly recommend using a self-signed certificate, which is automatically created and installed using the Enable federation trust wizard in the EAC. This certificate is used only to sign and encrypt delegation tokens used for federated sharing and only one certificate is required for the federation trust. Exchange 2013 automatically distributes the certificate to all other Exchange 2013 servers in the organization.

Для использования сертификата X.509, подписанного внешним центром сертификации, он должен отвечать следующим требованиям.If you want to use an X.509 certificate signed by an external CA, the certificate must meet the following requirements:

  • Доверенные ЦС Если это возможно сертификат X.509 Secure Sockets Layer (SSL) должен быть выдан центром сертификации, доверяет Windows Live. Тем не менее можно использовать сертификатам, выданным центром сертификации, которые не в настоящее время сертифицированных Майкрософт. Текущий список доверенных ЦС в разделе Доверенные корневые центры сертификации для доверия федерации.Trusted CA If possible, the X.509 Secure Sockets Layer (SSL) certificate should be issued from a CA trusted by Windows Live. However, you can use certificates issued by CAs that aren't currently certified by Microsoft. For a current list of trusted CAs, see Trusted root certification authorities for federation trusts.

  • Идентификатор ключа субъекта Сертификат должен иметь поле Идентификатор ключа субъекта. Большинство X.509 сертификаты, выданные коммерческие сервера клиентского доступа у этого идентификатора.Subject key identifier The certificate must have a subject key identifier field. Most X.509 certificates issued by commercial CAs have this identifier.

  • CryptoAPI поставщика служб шифрования (CSP) Сертификат необходимо использовать CryptoAPI CSP. Сертификаты, использующие API криптографии: поставщики следующего поколения (CNG) не поддерживаются для федерации. Если вы используете Exchange для создания запроса на сертификат, используется поставщик CryptoAPI. Дополнительные сведения можно API криптографии: следующего поколения.CryptoAPI cryptographic service provider (CSP) The certificate must use a CryptoAPI CSP. Certificates that use Cryptography API: Next Generation (CNG) providers aren't supported for federation. If you use Exchange to create a certificate request, a CryptoAPI provider is used. For more information, see Cryptography API: Next Generation.

  • Алгоритм подписи RSA Сертификат необходимо использовать в качестве алгоритма подписи RSA.RSA signature algorithm The certificate must use RSA as the signature algorithm.

  • Экспортируемый закрытый ключ Закрытый ключ, используемый для создания сертификат должен поддерживать экспорт. Можно указать, что закрытый ключ поддерживать экспорт, при создании запроса на сертификат с помощью мастера сертификатов новой версии Exchange в центре администрирования Exchange или командлета New-ExchangeCertificate в командной консоли Exchange.Exportable private key The private key used to generate the certificate must be exportable. You can specify that the private key be exportable when you create the certificate request using the New Exchange certificate wizard in the EAC or the New-ExchangeCertificate cmdlet in the Shell.

  • Текущий сертификат Сертификат должен быть текущей. Просроченные или отозванного сертификата нельзя использовать для создания доверия федерации.Current certificate The certificate must be current. You can't use an expired or revoked certificate to create a federation trust.

  • Расширенное использование ключа   В сертификат должен быть включен тип расширенного использования ключа (EKU) Проверка подлинности клиента (1.3.6.1.5.5.7.3.2). Этот тип использования предназначен для подтверждения идентификатора на удаленном компьютере. Если для создания запроса на сертификат используется EAC или командная консоль, то этот тип использования включается по умолчанию.Enhanced key usage The certificate must include the enhanced key usage (EKU) type Client Authentication (1.3.6.1.5.5.7.3.2). This usage type is used to prove your identity to a remote computer. If you use the EAC or the Shell to generate a certificate request, this usage type is included by default.

Примечание

Так как данный сертификат не используется для проверки подлинности, то для него отсутствуют требования к имени субъекта или альтернативному имени субъекта. Можно использовать сертификат с именем субъекта, которое совпадает с именем узла, доменным или любым другим именем.Because the certificate isn't used for authentication, it doesn't have any subject name or subject alternative name requirements. You can use a certificate with a subject name that's the same as the host name, the domain name, or any other name.

В началоReturn to top

Переход на новый сертификатTransitioning to a new certificate

Сертификат, используемый для создания доверия федерации, обозначается в качестве текущего. Однако для доверия федерации может потребоваться периодическая установка и использование нового сертификата. Например, новый сертификат может потребоваться, когда истекает срок действия текущего сертификата или необходимо выполнение требований к ведению бизнеса или обеспечению безопасности. Чтобы обеспечить плавное переключение на новый сертификат, необходимо установить его на сервер Exchange 2013 и настроить доверие федерации для обозначения этого сертификата в качестве нового. Exchange 2013 автоматически распространяет следующий сертификат на другие серверы Exchange 2013 в организации. В зависимости от топологии Active Directory, распространение сертификата может занять некоторое время. Проверить состояние сертификата можно с помощью командлета Test-FederationTrustCertificate в командной консоли.The certificate used to create the federation trust is designated as the current certificate. However, you may need to install and use a new certificate for the federation trust periodically. For example, you may need to use a new certificate if the current certificate expires or to meet a new business or security requirement. To ensure a seamless transition to a new certificate, you must install the new certificate on your Exchange 2013 server and configure the federation trust to designate it as the new certificate. Exchange 2013 automatically distributes the new certificate to all other Exchange 2013 servers in the organization. Depending on your Active Directory topology, distribution of the certificate may take a while. You can verify the certificate status using the Test-FederationTrustCertificate cmdlet in the Shell.

После проверки состояния распространения сертификата можно настроить доверие для переключения на следующий сертификат. Когда это произойдет, текущий сертификат будет обозначен как предыдущий, а новый — как текущий. Новый сертификат публикуется в системе проверки подлинности Azure AD, а все новые маркеры, которыми выполнен обмен с системой проверки подлинности Azure AD, шифруются с помощью нового сертификата.After you verify the certificate's distribution status, you can configure the trust to use the new certificate. After switching certificates, the current certificate is designated as the previous certificate, and the new certificate is designated as the current certificate. The new certificate is published to the Azure AD authentication system, and all new tokens exchanged with the Azure AD authentication system are encrypted using the new certificate.

Примечание

Этот процесс перехода на новый сертификат используется только в федерации. Если этот же сертификат используется в других компонентах Exchange 2013, применяющих сертификаты, необходимо учитывать требования этих компонентов при планировании получения и установки нового сертификата, а также перехода на новый сертификат.This certificate transition process is used only by federation. If you use the same certificate for other Exchange 2013 features that require certificates, you must take the feature requirements into consideration when planning to procure, install, or transition to a new certificate.

В началоReturn to top

Рекомендации относительно брандмауэра для федерацииFirewall Considerations for Federation

Чтобы использовать функции федерации, необходимо настроить для серверов почтовых ящиков и клиентского доступа в организации доступ к Интернету по протоколу HTTPS. Необходимо разрешить доступ по протоколу HTTPS (порт 443 для TCP) для всех серверов почтовых ящиков и клиентского доступа Exchange 2013 в организации.Federation features require that the Mailbox and Client Access servers in your organization have outbound access to the Internet by using HTTPS. You must allow outbound HTTPS access (port 443 for TCP) from all Exchange 2013 Mailbox and Client Access servers in the organization.

Чтобы разрешить внешней организации получать доступ к сведениям о доступности пользователей вашей организации, необходимо опубликовать один сервер клиентского доступа в Интернете. Для этого требуется настройка для сервера клиентского доступа исходящего доступа в Интернет с помощью протокола HTTPS. Серверы клиентского доступа на сайтах Active Directory, на которых не опубликован сервер клиентского доступа в Интернете, могут использовать серверы клиентского доступа на других сайтах Active Directory, которые доступны в Интернете. Серверы клиентского доступа, которые не опубликованы в Интернете, должны иметь внешний URL-адрес виртуального каталога веб-служб, настроенного с помощью URL-адреса, отображаемого для внешних организаций.For an external organization to access your organization's free/busy information, you must publish one Client Access server to the Internet. This requires inbound HTTPS access from the Internet to the Client Access server. Client Access servers in Active Directory sites that don't have a Client Access server published to the Internet can use Client Access servers in other Active Directory sites that are accessible from the Internet. The Client Access servers that aren't published to the Internet must have the external URL of the Web services virtual directory set with the URL that's visible to external organizations.

Return to topReturn to top