建立同盟信任

  • 發行項

 

適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間: 2016-11-28

同盟信任會在 Microsoft Exchange Server 2010 組織和 Microsoft Federation Gateway 之間建立信任關係。

注意事項附註:
建立同盟信任是在 Exchange 組織中設定同盟委派的數個步驟之一。 若要檢閱所有步驟,請參閱設定同盟委派

要尋找與同盟相關的其他管理工作嗎? 請參閱管理同盟

必要條件

  • 用於建立同盟信任的網域應該要能夠從網際網路進行解析。 若要這麼做,必須向網域註冊機構註冊該網域,並將網域的網域名稱系統 (DNS) 區域存放在可從網際網路存取的 DNS 伺服器上。 如果組織可以接收該網域的網際網路電子郵件,表示已符合這些需求。

  • 同盟委派關係中的兩個 Exchange 組織必須使用相同的 Microsoft Federation Gateway 執行個體來建立同盟信任。 此需求適用於下列情況:在兩個內部部署 Exchange 組織之間設定同盟委派,或在內部部署 Exchange 組織和由 Microsoft Online ServicesMicrosoft Live@edu 主控的 Exchange 組織之間設定同盟委派。

    當您使用 Microsoft Federation Gateway 為 Exchange 組織建立同盟信任時,同盟信任將使用 Microsoft Federation Gateway 的商務或用戶執行個體。

    下列 Exchange 組織預設使用 Microsoft Federation Gateway 的商務執行個體:

    • 使用自行簽署的憑證建立同盟信任的 Exchange 2010 Service Pack 2 (SP2) 組織

    • 由 Microsoft Online Services (例如 Microsoft Business Productivity Online Standard Suite 提供的 Exchange 線上服務) 主控的 Exchange 組織

    下列 Exchange 組織預設使用 Microsoft Federation Gateway 的用戶執行個體:

    • 使用協力廠商憑證授權單位所發憑證的量產發行版 (RTM) Exchange 2010 組織。

    • 由 Microsoft Live@edu 主控的 Exchange 組織

    建議所有 Exchange 組織使用 Microsoft Federation Gateway 的商務執行個體來建立同盟信任。 在兩個組織間設定同盟委派之前,您需要確認每個 Exchange 組織使用的 Microsoft Federation Gateway 執行個體是否有現有同盟信任。 若要判斷 Exchange 組織使用的 Microsoft Federation Gateway 執行個體是否有現有同盟信任,請執行下列命令介面命令。

    Get-FederationInformation -DomainName <the hosted Exchange domain namespace>

    商務執行個體會傳回 TokenIssuerURIs 參數值 <uri:federation:MicrosoftOnline>

    用戶執行個體會傳回 TokenIssuerURIs 參數值 <uri:WindowsLiveID>

    若要為具有現有同盟信任並使用 Microsoft Federation Gateway 商務執行個體的 Exchange 組織設定同盟委派,請遵循本主題的使用 EMC 來建立同盟信任或使用命令介面來建立同盟信任中的步驟。 您只需要執行這些步驟,即可建立可用來啟用兩個 Exchange 2010 SP2 組織之間的同盟委派的同盟信任。

    若要在 Exchange 2010 SP2 組織和具有現有同盟信任並使用 Microsoft Federation Gateway 用戶執行個體的 Exchange 組織之間設定同盟委派,請從以下選取方法:

    • 建議方法   使用 Microsoft 同盟閘道用戶執行個體的 Exchange 組織應安裝 Exchange 2010 SP2。 安裝 SP2 後,現有同盟網域和網域信任應使用 EMC 移除並重新建立。 重新建立同盟信任時,將會使用 Microsoft Federation Gateway 的商務執行個體。 您也應該測試所有現有組織關係,以確認這些關係正常運作。 如需如何移除同盟信任的相關資訊,請參閱移除同盟信任

    • 替代方法   若要使用 Microsoft 同盟閘道的用戶執行個體建立同盟信任,Exchange 2010 SP2 組織可使用這個程序:使用命令介面來建立使用 Microsoft Federation Gateway 用戶執行個體的同盟信任。 只有在需要為無法安裝 Exchange SP2 的其他 Exchange 2010 組織啟用同盟委派時,才應使用此方法。

您想要做什麼?

  • 使用 EMC 來建立同盟信任

  • 使用命令介面來建立同盟信任

  • 使用命令介面來建立使用 Microsoft Federation Gateway 用戶執行個體的同盟信任

使用 EMC 來建立同盟信任

您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱Exchange 及命令介面基礎結構權限主題中的「同盟信任」項目。

  1. 在主控台樹狀目錄中,按一下 [組織組態]。

  2. 在執行窗格中,按一下 [新增同盟信任]。

  3. 在 [新增同盟信任] 頁面上,按一下 [新增]。 這樣會使用 Microsoft Federation Gateway 自動對同盟建立自我簽署憑證,並將自我簽署憑證部署到組織中的 Exchange 伺服器。 新同盟信任的預設名稱是 Microsoft Federation Gateway

  4. 在 [完成] 頁面上,檢閱下列項目,然後按一下 [完成] 來關閉精靈:

    - \[已完成\] 的狀態表示精靈已順利完成工作。

- \[失敗\] 狀態表示工作未完成。如果工作失敗,請檢閱摘要以取得說明,然後按 \[上一步\] 進行任何組態變更。
注意事項附註:
[同盟信任] 索引標籤上會出現新的同盟信任。
注意事項附註:
若要完成同盟組態,您必須針對要用作帳戶命名空間的網域,以及要新增為 Microsoft Federation Gateway 上的同盟網域的其他網域,在 DNS 中新增文字 (TXT) 記錄。 可以在 DNS 中使用 TXT 記錄之後,請使用 EMC 中的 [管理同盟] 精靈或命令介面中的 Set-FederatedOrganizationIdentifier 指令程式,來完成同盟信任組態。 如需詳細資訊,請參閱建立同盟的 TXT 記錄管理同盟

使用命令介面來建立同盟信任

您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱Exchange 及命令介面基礎結構權限主題中的「同盟信任」項目。

  1. 此範例會建立要與憑證搭配使用的唯一主體金鑰識別碼。

    $ski = [System.Guid]::NewGuid().ToString("N")

  2. 此範例會使用 Microsoft Federation Gateway 對同盟信任建立自行簽署的憑證。

    New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

  3. 此範例會擷取自行簽署的憑證並建立同盟信任 "Microsoft Federation Gateway"。 這樣會自動將自我簽署憑證部署到組織中的 Exchange 伺服器。

    Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"

如需詳細的語法及參數資訊,請參閱下列主題:

使用命令介面來建立使用 Microsoft Federation Gateway 用戶執行個體的同盟信任

您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱Exchange 及命令介面基礎結構權限主題中的「同盟信任」項目。

注意事項附註:
您無法使用 EMC 來建立使用 Microsoft Federation Gateway 用戶執行個體的同盟信任。

必要條件

若要建立使用 Microsoft Federation Gateway 用戶執行個體的同盟信任,您需要符合同盟信任需求的有效 X.509 憑證。 該憑證必須是由 Microsoft 同盟閘道所信任的憑證授權單位 (CA) 所發行。 此憑證將會自動部署到所有可由同盟信任工作存取的 Client Access Server 和 Hub Transport Server。 如需詳細資訊,請參閱同盟信任之信任的根憑證授權

  1. 此範例會取得憑證及其指紋的清單。

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List

    WhereWhere-Object 指令程式的別名。 它還可以由別名 ? (問號) 來取代。 若要取得命令介面中可用的所有別名清單,請使用 Get-Alias 指令程式。

    如果伺服器上只有一個非自行簽署的憑證,您可以將此步驟的命令與下一個步驟的命令結合來簡化此工作。 您可以將 Get-ExchangeCertificate 指令程式的結果透過管線傳送到 New-FederationTrust 指令程式,如以下範例所示。

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService

  2. 此範例會建立同盟信任 Microsoft Federation Gateway。

    New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService
    重要事項重要事項:
    建立同盟信任後,設定同盟委派的下一個步驟是在 DNS 區域中,為同盟委派子網域及您希望加入同盟的每個主要電子郵件或 SMTP Proxy 網域建立單獨的文字 (TXT) 記錄。 由於您已建立使用 Microsoft Federation Gateway 用戶執行個體的同盟信任,因此必須遵循建立同盟的 TXT 記錄主題的 Exchange 2010 RTM 版本中所述的步驟。 可以在 DNS 中使用 TXT 記錄之後,請使用 EMC 中的 [管理同盟] 精靈或命令介面中的 Set-FederatedOrganizationIdentifier 指令程式,來完成同盟信任組態。

如需詳細的語法及參數資訊,請參閱 Get-ExchangeCertificateNew-FederationTrust

其他工作

建立同盟信任之後,您可能還想要:

 © 2010 Microsoft Corporation. 著作權所有,並保留一切權利。