Управление доверием федерацииManage a federation trust

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Доверие федерации устанавливает отношение доверия между организацией Microsoft Exchange 2013 и системой проверки подлинности Azure Active Directory и поддержка федеративного общего доступа с другими федеративными организациями Exchange. Как правило не требуется, управление или изменение доверия федерации, после его создания. Тем не менее может быть условиях, которым требуется добавлять или удалять федеративных доменов или сброс домен, используемый для настройки идентификатор организации (OrgID) для доверия федерации.A federation trust establishes a trust relationship between a Microsoft Exchange 2013 organization and the Azure Active Directory authentication system and supports federated sharing with other federated Exchange organizations. Normally, you shouldn’t have to manage or modify the federation trust after it’s created. However, there may be circumstances that require adding or removing federated domains or resetting the domain used to configure the organization identifier (OrgID) for the federation trust.

Примечание

Изменение существующего доверия федерации, особенно основного общего домена, используемого для определения OrgID, может нарушить федеративный общий доступ между федеративными организациями Exchange или гибридными развертываниями с организациями Office 365.Modifying an existing federation trust, especially the primary shared domain used to define the OrgID, can disrupt federated sharing between federated Exchange organizations or for hybrid deployments with Office 365 organizations.

Дополнительное управление задач, связанных с федерацией содержатся в разделе процедуры федерации.For additional management tasks related to Federation, see Federation procedures.

Важно!

Средство Exchange Server 2013 не полностью совместимы с Office 365, которой с 21Vianet в Китае, могут относиться некоторые ограничения. Для получения дополнительных сведений см. Дополнительные сведения об Office 365, которой с 21Vianet.This feature of Exchange Server 2013 isn’t fully compatible with Office 365 operated by 21Vianet in China and some feature limitations may apply. For more information, see Learn about Office 365 operated by 21Vianet.

Что нужно знать перед началом работы?What do you need to know before you begin?

  • Осталось времени до завершения: 30 минут.Estimated time to complete: 30 minutes.

  • Вы должны быть назначены разрешения, перед выполнением этой процедуры или процедуры. Чтобы увидеть, какие нужны разрешения, видеть запись разрешения Федерация и сертификаты в разделе Exchange and Shell infrastructure permissions .You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the Federation and certificates permissions entry in the Exchange and Shell infrastructure permissions topic.

  • Вам потребуется добавить запись TXT в общедоступную систему DNS для каждого нового федеративного домена, добавленное в доверие федерации. Просмотрите требования по добавлению TXT-записи вместе с организацией, в которой размещены общедоступные DNS-записи.You will need to add a TXT record to your public DNS for each new federated domain added to the federation trust. Review the requirements for adding a TXT record with the organization that hosts your public DNS records.

  • В целях этого раздела существующее доверие федерации было настроено со следующими параметрами:For the purposes of this topic, an existing federation trust was configured with the following settings:

    • Contoso.com является основным общим доменом для доверия федерации. (Этот домен не изменятся.)Contoso.com is the primary shared domain for the federation trust. (This domain will not be changed.)

    • Федеративные домены service.contoso.com и sales.contoso.com включаются в существующее доверие федерации.The federated domains service.contoso.com and sales.contoso.com are included in the existing federation trust.

    • Marketing.contoso.com является обслуживаемым доменом в организации Exchange.Marketing.contoso.com is an accepted domain in the Exchange organization.

  • В этом разделе также описываются другие задачи управления федерацией, такие как просмотр сертификатов, используемых для доверия федерации, и управление ими, а также просмотр сведений о параметрах доверия федерации в командной консоли.This topic also covers other federation management tasks, such as viewing and managing certificates used for the federation trust and viewing federation trust parameter information in the Shell.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Что необходимо сделать?What do you want to do?

Использование центра администрирования Exchange для управления доверием федерацииUse the EAC to manage a federation trust

  1. На сервере Exchange 2013 в локальной организации последовательно выберите пункты Организация > Общий доступ.On an Exchange 2013 server in your on-premises organization, navigate to the Organization > Sharing.

  2. В разделе Доверие федерации нажмите кнопку Изменить.In the Federation Trust section, click Modify.

  3. В Окне Общие доменыпропустите Шаг 1 , так как основной общий домен не изменяется.In Sharing-Enabled Domains, skip Step 1 because the primary sharing domain isn’t changing.

  4. В шаге 2выберите домен service.contoso.com и нажмите кнопку Удалить значок «Удалить» для удаления домена из доверия федерации.In Step 2, select the service.contoso.com domain and then click Remove Remove icon to remove the domain from the federated trust.

  5. В шаге 2нажмите кнопку ![Добавить значок] Добавить (images/JJ218640.c1e75329-d6d7-4073-a27d-498590bbb558(EXCHG.150).gif "Значок "Добавить"").In Step 2, click Add Add Icon.

  6. В окне Выбор обслуживаемых доменов выберите marketing.contoso.com из списка обслуживаемых доменов и нажмите кнопку ОК, чтобы добавить домен в доверие федерации.In Select Accepted Domains, select marketing.contoso.com from the list of accepted domains, and then click OK to add the domain to the federated trust.

    Важно!

    Для домена marketing.contoso.com будет создана строка подтверждения федеративного домена. Вы должны создать отдельную запись TXT для этого домена в общедоступной системе DNS.A federated domain proof string will be created for the marketing.contoso.com domain. You must create separate TXT record on your public DNS for this domain.

  7. С использованием строки подтверждения федеративного домена, созданной для домена marketing.contoso.com, создайте запись TXT на общедоступном сервере DNS. В зависимости от расписания обновления общедоступного узла DNS для репликации изменений DNS может понадобиться 15 минут или более.Using the federated domain proof string created for the marketing.contoso.com domain, create a TXT record on your public DNS server. Depending on the update schedule of your public DNS host, replication of DNS changes may take 15 minutes or longer.

  8. После того, как запись TXT создается и реплицируется, нажмите кнопку Обновить.After the TXT record is created and replicated, click Update.

Использование командной консоли Exchange для управления доверием федерацииUse the Shell to manage a federation trust

  1. Этот пример удаляет домен service.contoso.com из доверия федерации.This example removes the service.contoso.com domain from the federation trust.

    Remove-FederatedDomain -DomainName service.contoso.com
    
  2. В этом примере домен marketing.contoso.com добавляется к доверию федерации.This example adds the marketing.contoso.com domain to the federation trust.

    Add-FederatedDomain -DomainName marketing.contoso.com
    

Дополнительные сведения о синтаксисе и параметрах см. в разделах Remove-FederatedDomain и Add-FederatedDomain.For detailed syntax and parameter information, see Remove-FederatedDomain and Add-FederatedDomain.

Выполните следующие команды консоли для управления другими аспектами доверия федерации:Run the following Shell commands to manage other aspects of a federation trust:

  1. Просмотр федеративных OrgID и федеративных доменовView the federated OrgID and federated domains

    Этот пример отображает федеративный OrgID организации Exchange и связанные сведения, в том числе федеративные домены и состояние.This example displays the Exchange organization's federated OrgID and related information, including federated domains and status.

    Get-FederatedOrganizationIdentifier
    
  2. Просмотр сертификатов доверия федерацииView federation trust certificates

    В этом примере показаны предыдущий, текущий и следующий сертификаты, используемые доверием федерации "Проверка подлинности Azure AD".This example displays the previous, current, and next certificates used by the federation trust ”Azure AD authentication”.

        Get-FederationTrust "Azure AD authentication" | Select Org*certificate
    
  3. Проверка состояния сертификатов федерацииCheck federation certificates status

    В этом примере показано состояние сертификатов федерации на всех серверах почтовых ящиков и клиентского доступа в организации.This example displays the state of federation certificates on all Mailbox and Client Access servers in the organization.

    Test-FederationTrustCertificate
    
  4. Настройка доверия федерации для использования сертификата в качестве следующего сертификатаConfigure the federation trust to use a certificate as the next certificate

    В этом примере показана настройка доверия федерации «Проверка подлинности Azure AD» для использования с указанным отпечатком сертификата в качестве следующего сертификата. После сертификат развертывается на всех серверах Exchange в организации, можно использовать переключатель PublishCertificate для настройки доверия федерации для использования этого сертификата в качестве текущего сертификата.This example configures the federation trust ”Azure AD authentication” to use the certificate with the provided thumbprint as the next certificate. After the certificate is deployed to all Exchange servers in the organization, you can use the PublishCertificate switch to configure the federation trust to use this certificate as the current certificate.

    Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
    
  5. Настройка использования доверием федерации следующего сертификата в качестве текущего сертификатаConfigure the federation trust to use the next certificate as the current certificate

    В этом примере для доверия федерации "Проверка подлинности Azure AD" настраивается использование следующего сертификата в качестве текущего сертификата, который затем публикуется в системе проверки подлинности Azure AD.This example configures the federation trust Azure AD authentication to use the next certificate as the current certificate and publishes it to the Azure AD authentication system.

    Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
    

    Предупреждение

    Прежде чем настраивать для доверия федерации использование следующего сертификата в качестве текущего сертификата федерации, убедитесь, что этот сертификат развернут на всех серверах Exchange в организации. Используйте командлет Test-FederationTrustCertificate для проверки состояния развертывания сертификата.Before configuring the federation trust to use the next certificate as the current federation certificate, make sure that the certificate is deployed on all Exchange servers in your organization. Use the Test-FederationTrustCertificate cmdlet to check the deployment status of the certificate.

  6. Обновление метаданных федерации и сертификата из системы проверки подлинности Azure ADRefresh federation metadata and certificate from the Azure AD authentication system

    В этом примере обновляются метаданные федерации и сертификат из системы проверки подлинности Azure AD для доверия федерации "Проверка подлинности Azure AD".This example refreshes the federation metadata and certificate of the Azure AD authentication system for the federation trust Azure AD authentication.

    Set-FederationTrust "Azure AD authentication" -RefreshMetadata
    

Подробные сведения о синтаксисе и параметрах см. в следующих разделах:For detailed syntax and parameter information, see the following topics:

Как проверить, что все получилось?How do you know this worked?

Первым признаком правильной настройки доверия федерации будет успешное завершение мастера общих доменов.The successful completion of the Sharing-enabled domains wizard is your first indication that you configured the federation trust as expected.

Для дальнейшей проверки выполните следующее:To further verify success, do the following:

  1. Чтобы проверить сведения о доверии федерации, выполните следующую команду командной консоли Exchange.Run the following Shell command to verify the federation trust information.

    Get-FederationTrust | format-list
    
  2. Выполните следующую команду командной консоли, чтобы убедиться, что сведения о федерации можно извлечь из вашей организации. К примеру убедитесь, что sales.contoso.com и marketing.contoso.com домены возвращаются в параметре DomainNames .Run the following Shell command to verify that federation information can be retrieved from your organization. For example, verify that the sales.contoso.com and marketing.contoso.com domains are returned in the DomainNames parameter.

    Get-FederationInformation -DomainName <your primary sharing domain>
    

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.