Partnerverbund

Gilt für: Exchange Server 2013

Information-Worker müssen häufig mit externen Empfängern, Lieferanten, Partnern und Kunden zusammenarbeiten und ihre Frei/Gebucht-Informationen (die sogenannte "Kalenderverfügbarkeit") freigeben. Die Verbundfunktion von Microsoft Exchange Server 2013 unterstützt die Zusammenarbeit in diesem Bereich. Verbundfunktion bezieht sich auf die zugrunde liegende Vertrauensstellungsinfrastruktur, die die Verbundfreigabe unterstützt, eine einfache Methode für Benutzer, die Kalenderinformationen für Empfänger in anderen externen Verbundorganisationen freigeben möchten. Weitere Informationen zu Verbundfreigaben finden Sie unter Freigabe.

Wichtig

Dieses Feature von Exchange Server 2013 ist nicht vollständig kompatibel mit Office 365, die von 21Vianet in China betrieben werden, und einige Featurebeschränkungen können gelten. Weitere Informationen finden Sie unter Office 365 Operated by 21Vianet.

Wichtige Terminologie

In der folgenden Liste werden die Kernkomponenten definiert, die dem Partnerverbund in Exchange 2013 zugeordnet sind.

  • Anwendungs-ID (AppID): Eine eindeutige Nummer, die vom Azure Active Directory-Authentifizierungssystem generiert wird, um Exchange-Organisationen zu identifizieren. Die AppID wird automatisch generiert, wenn Sie eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem erstellen.

  • Delegierungstoken: Ein SAML-Token (Security Assertion Markup Language), das vom Azure Active Directory-Authentifizierungssystem ausgestellt wurde, das es Benutzern aus einer Verbundorganisation ermöglicht, von einer anderen Verbundorganisation als vertrauenswürdig eingestuft zu werden. Ein Delegierungstoken enthält die E-Mail-Adresse des Benutzers, eine nicht änderbare ID sowie Informationen, die zu dem Angebot gehören, für das das Token zur Aktion ausgegeben wurde.

  • Externe Verbundorganisation: Eine externe Exchange-Organisation, die eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem eingerichtet hat.

  • Verbundfreigabe: Eine Gruppe von Exchange-Features, die eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem nutzen, um exchange-organisationsübergreifend zu arbeiten, einschließlich standortübergreifender Exchange-Bereitstellungen. Diese Funktionen werden zusammen verwendet, um im Namen von Benutzern über mehrere Exchange-Organisationen hinweg authentifizierte Anforderungen zwischen Servern zu stellen.

  • Verbunddomäne: Eine akzeptierte autoritative Domäne, die der Organisations-ID (OrgID) für eine Exchange-Organisation hinzugefügt wird.

  • Verschlüsselungszeichenfolge für Domänennachweise: Eine kryptografisch sichere Zeichenfolge, die von einer Exchange-Organisation verwendet wird, um den Nachweis zu erbringen, dass die Organisation besitzer der Domäne ist, die mit dem Azure Active Directory-Authentifizierungssystem verwendet wird. The string is generated automatically when using the Enable federation trust wizard or can be generated by using the Get-FederatedDomainProof cmdlet.

  • Verbundfreigaberichtlinie: Eine Richtlinie auf Organisationsebene, die die benutzerdefinierte Freigabe von Kalenderinformationen von Person zu Person ermöglicht und steuert.

  • Verbund: Eine vertrauensbasierte Vereinbarung zwischen zwei Exchange-Organisationen, um einen gemeinsamen Zweck zu erreichen. Mit dem Partnerverbund möchten beide Organisationen, dass die Authentifizierungserklärungen einer Organisation von der jeweils anderen anerkannt werden.

  • Verbundvertrauensstellung: Eine Beziehung mit dem Azure Active Directory-Authentifizierungssystem, die die folgenden Komponenten für Ihre Exchange-Organisation definiert:

    • Kontonamespace

    • Anwendungs-ID (AppID)

    • Organisations-ID (OrgID)

    • Verbunddomänen

    Zum Konfigurieren einer Verbundfreigabe mit anderen Exchange-Verbundorganisationen muss eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem eingerichtet sein.

  • Nicht-Verbundorganisation: Organisationen, die keine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem eingerichtet haben.

  • Organisations-ID (OrgID): Definiert, welche der autoritativen akzeptierten Domänen, die in einer Organisation konfiguriert sind, für den Partnerverbund aktiviert sind. Nur Empfänger, die über E-Mail-Adressen mit Verbunddomänen verfügen, die in der OrgID konfiguriert sind, werden vom Azure Active Directory-Authentifizierungssystem erkannt und können die Verbundfreigabefunktionen nutzen. Diese Organisations-ID ist eine Kombination aus einer vordefinierten Zeichenfolge und der ersten akzeptierten Domäne, die im Assistenten zum Aktivieren von Verbundvertrauensstellungen für den Verbund ausgewählt wurde. Wenn Sie beispielsweise die Verbunddomäne contoso.com als primäre SMTP-Domäne Ihrer Organisation angeben, wird der Kontonamespace FYDIBOHF25SPDLT.contoso.com automatisch als Organisations-ID für die Verbundvertrauensstellung erstellt.

  • Organisationsbeziehung: Eine 1:1-Beziehung zwischen zwei Exchange-Verbundorganisationen, die es Empfängern ermöglicht, Frei/Gebucht-Informationen (Kalenderverfügbarkeit) freizugeben. Eine Organisationsbeziehung erfordert eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem und macht die Nutzung von Active Directory-Gesamtstruktur- oder Domänenvertrauensstellungen zwischen Exchange-Organisationen überflüssig.

  • Azure Active Directory-Authentifizierungssystem: Ein kostenloser, cloudbasierter Identitätsdienst, der als Vertrauensbroker zwischen Microsoft Exchange-Verbundorganisationen fungiert. Der Dienst ist für die Ausgabe von Delegierungstoken an Exchange-Empfänger verantwortlich, wenn diese Informationen von Empfängern anfordern, die zu anderen Exchange-Verbundorganisationen gehören. Weitere Informationen finden Sie unter Azure Active Directory.

Azure AD-Authentifizierungssystem

Das Azure Active Directory-Authentifizierungssystem, ein kostenloser cloudbasierter Dienst von Microsoft, fungiert als Vertrauensbroker zwischen der lokalen Exchange 2013-Organisation und anderen Exchange 2010- und Exchange 2013-Verbundorganisationen. Wenn Sie in Ihrer Exchange-Organisation die Verbundfunktion konfigurieren möchten, müssen Sie einmalig eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem einrichten, damit dieses System als Verbundpartner Ihrer Organisation definiert wird. Mit dieser Vertrauensstellung werden Benutzer, die von Active Directory authentifiziert wurden (als Identitätsanbieter bezeichnet), vom Azure AD-Authentifizierungssystem ausgestellte SAML-Delegierungstoken (Security Assertion Markup Language). Anhand dieser Delegierungstoken werden Benutzer einer Exchange-Verbundorganisation von einer anderen Exchange-Verbundorganisation als vertrauenswürdig eingestuft. Durch die Funktion des Azure AD-Authentifizierungssystem als Vertrauensbroker brauchen Organisationen nicht mehr mehrere einzelne Vertrauensstellungen zu anderen Organisationen zu erstellen, und die Benutzer können über eine einmalige Anmeldung auf externe Ressourcen zugreifen. Weitere Informationen finden Sie unter Azure Active Directory.

Verbundvertrauensstellung

To use Exchange 2013 federated sharing features, you must establish a federation trust between your Exchange 2013 organization and the Azure AD authentication system. Establishing a federation trust with the Azure AD authentication system exchanges your organization's digital security certificate with the Azure AD authentication system and retrieves the Azure AD authentication system certificate and federation metadata. Sie können eine Verbundvertrauensstellung einrichten, indem Sie den Assistenten zum Aktivieren der Verbundvertrauensstellung im Exchange Admin Center (EAC) oder das Cmdlet "New-FederationTrust " in der Exchange-Verwaltungsshell verwenden. A self-signed certificate is automatically created by the Enable federation trust wizard and is used for signing and encrypting delegation tokens from the Azure AD authentication system that allow users to be trusted by external federated organizations. Ausführliche Informationen zu Zertifikatanforderungen finden Sie weiter unten in diesem Thema unter Zertifikatanforderungen für den Verbund.

Wenn Sie eine Verbundvertrauensstellung mit dem Azure AD-Authentifizierungssystem erstellen, wird automatisch eine Anwendungs-ID (AppID) für Ihre Exchange-Organisation generiert und in der Ausgabe des Cmdlets "Get-FederationTrust " bereitgestellt. Anhand der Anwendungs-ID kann das Azure AD-Authentifizierungssystem Ihre Exchange-Organisation eindeutig identifizieren. Sie wird auch von der Exchange-Organisation als Nachweis verwendet, dass Ihre Organisation Eigentümer der Domäne ist, die mit dem Azure AD-Authentifizierungssystem verwendet wird. Dazu wird in der öffentlichen DNS-Zone (Domain Name System) für jede Verbunddomäne ein TXT-Eintrag erstellt.

Verbundorganisations-ID

Anhand der Verbundorganisations-ID (OrgID) wird definiert, welche der autoritativen akzeptierten Domänen, die in Ihrer Organisation konfiguriert sind, für die Verbundfunktion aktiviert sind. Nur Empfänger, die über E-Mail-Adressen mit akzeptierten Domänen verfügen, die in der OrgID konfiguriert sind, werden vom Azure AD-Authentifizierungssystem erkannt und können die Verbundfreigabefunktionen nutzen. Beim Erstellen einer neuen Verbundvertrauensstellung wird mit dem Azure AD-Authentifizierungssystem automatisch eine Verbundorganisations-ID (OrgID) erstellt. Diese Verbundorganisations-ID ist eine Kombination aus einer vordefinierten Zeichenfolge und der akzeptierten Domäne, die im Assistenten als primäre freigegebene Domäne ausgewählt wurde. Wenn Sie im Assistenten zum Bearbeiten von freigabeaktivierten Domänen beispielsweise die Verbunddomäne contoso.com als primäre freigegebene Domäne in Ihrer Organisation angeben, wird der Kontonamespace FYDIBOHF25SPDLT.contoso.com automatisch als Organisations-ID für die Verbundvertrauensstellung für Ihre Exchange-Organisation erstellt.

Wenngleich dies typischerweise die primäre SMTP-Domäne für die Exchange-Organisation ist, muss es sich nicht um eine akzeptierte Domäne in Ihrer Exchange-Organisation handeln. Außerdem ist kein Texteintrag (TXT-Eintrag) in DNS (Domain Name System) erforderlich, um den Besitz nachzuweisen. Die einzige Voraussetzung ist, dass die für den Verbund ausgewählten akzeptierten Domänen höchstens 32 Zeichen enthalten. Diese Unterdomäne dient ausschließlich dem Zweck, als Verbundnamespace für das Azure AD-Authentifizierungssystem zu fungieren und für Empfänger, die SAML-Delegierungstoken (Security Assertion Markup Language) anfordern, eindeutige IDs bereitzustellen. Weitere Informationen zu SAML-Token finden Sie unter SAML-Token und SAML-Ansprüche

Sie können akzeptierte Domänen jederzeit zur Vertrauensstellung hinzufügen oder aus dieser entfernen. Wenn alle Verbundfreigabefunktionen in Ihrer Organisation aktiviert bzw. deaktiviert werden sollen, müssen Sie lediglich die Organisations-ID für die Verbundvertrauensstellung aktivieren bzw. deaktivieren.

Wichtig

Eine Änderung der Verbundorganisations-ID (OrgID), der akzeptierten Domänen oder der Anwendungs-ID (AppID) für die Verbundvertrauensstellung wirkt sich auf alle Verbundfreigabefunktionen in Ihrer Organisation aus. Und damit auch auf alle externen Exchange-Verbundorganisationen, einschließlich Exchange Online- und Hybridbereitstellungskonfigurationen. Es ist empfehlenswert, alle externen Verbundpartner über Änderungen an diesen Konfigurationseinstellungen für die Verbundvertrauensstellung zu informieren.

Beispiel für einen Verbund

Zwei Exchange-Organisationen, Contoso, Ltd. und Fabrikam, Inc., möchten es ihren Benutzern ermöglichen, Frei/Gebucht-Kalenderinformationen miteinander auszutauschen. Jede Organisation erstellt eine Verbundvertrauensstellung mit dem Azure AD-Authentifizierungssystem und konfiguriert ihren Kontonamespace so, dass er die Domäne enthält, die für die E-Mail-Adressen der Benutzer verwendet wird.

Die Mitarbeiter von Contoso verwenden eine der folgenden E-Mail-Adressendomänen: contoso.com, contoso.co.uk oder contoso.ca. Die Mitarbeiter von Fabrikam verwenden eine der folgenden E-Mail-Adressendomänen: fabrikam.com, fabrikam.org oder fabrikam.net. Beide Organisationen stellen sicher, dass alle akzeptierten E-Mail-Domänen im Kontonamespace für die Verbundvertrauensstellung mit dem Azure AD-Authentifizierungssystem enthalten sind. Statt einer komplexen Active Directory-Grundstruktur oder Domänenvertrauensstellung zwischen den Organisationen konfigurieren beide Organisationen eine Organisationsbeziehung zueinander, um die Freigabe von Frei/Gebucht-Kalenderinformationen zu ermöglichen.

Die folgende Abbildung zeigt die Verbundkonfiguration zwischen Contoso, Ltd. und Fabrikam, Inc.

Beispiel für eine Verbundfreigabe

Verbundvertrauensstellungen und Verbundfreigabe.

Zertifikatanforderungen für den Verbund

To establish a federation trust with the Azure AD authentication system, either a self-signed certificate or an X.509 certificate signed by a certification authority (CA) must be created and installed on the Exchange 2013 server used to create the trust. We strongly recommend using a self-signed certificate, which is automatically created and installed using the Enable federation trust wizard in the EAC. This certificate is used only to sign and encrypt delegation tokens used for federated sharing and only one certificate is required for the federation trust. Exchange 2013 automatically distributes the certificate to all other Exchange 2013 servers in the organization.

Soll ein von einer externen Zertifizierungsstelle signiertes X.509-Zertifikat verwendet werden, muss dieses die folgenden Anforderungen erfüllen:

  • Vertrauenswürdige Zertifizierungsstelle: Wenn möglich, sollte das SSL-Zertifikat (X.509 Secure Sockets Layer) von einer Zertifizierungsstelle ausgestellt werden, die Windows Live vertraut. Sie können jedoch auch Zertifikate von Zertifizierungsstellen verwenden, die derzeit noch nicht von Microsoft zertifiziert sind. Eine aktuelle Liste der vertrauenswürdigen Zertifizierungsstellen finden Sie unter Vertrauenswürdige Stammzertifizierungsstellen für Verbundvertrauensstellungen.

  • Betreffschlüsselbezeichner: Das Zertifikat muss über ein Feld mit einem Betreffschlüssel-Bezeichner verfügen. Die meisten, von kommerziellen Zertifizierungsstellen ausgestellten X.509-Zertifikate enthalten diese ID.

  • CryptoAPI-Kryptografiedienstanbieter (CryptoAPI Cryptographic Service Provider, CSP): Das Zertifikat muss einen CryptoAPI-CSP verwenden. Zertifikate von CNG-Anbietern: (Cryptography API: Next Generation) werden für die Verbundfunktion nicht unterstützt. Beim Erstellen einer Zertifikatanforderung mit Exchange wird ein CryptoAPI-Anbieter verwendet. Weitere Informationen finden Sie unter Cryptography API: Next Generation.

  • RSA-Signaturalgorithmus: Das Zertifikat muss RSA als Signaturalgorithmus verwenden.

  • Exportierbarer privater Schlüssel: Der private Schlüssel, der zum Generieren des Zertifikats verwendet wird, muss exportierbar sein. You can specify that the private key be exportable when you create the certificate request using the New Exchange certificate wizard in the EAC or the New-ExchangeCertificate cmdlet in the Shell.

  • Aktuelles Zertifikat: Das Zertifikat muss aktuell sein. Eine Verbundvertrauensstellung kann nicht mit einem abgelaufenen oder gesperrten Zertifikat erstellt werden.

  • Erweiterte Schlüsselnutzung: Das Zertifikat muss die Clientauthentifizierung vom Typ "Erweiterte Schlüsselverwendung" (Enhanced Key Usage, EKU) enthalten (1.3.6.1.5.5.7.3.2). Dieser Verwendungstyp dient auf einem Remotecomputer zum Nachweis Ihrer Identität. Wenn Sie die Zertifikatanforderung über die Exchange-Verwaltungskonsole oder die Verwaltungsshell generieren, ist dieser Verwendungstyp standardmäßig enthalten.

Hinweis

Da das Zertifikat nicht für die Authentifizierung verwendet wird, bestehen dafür auch keine Anforderungen in Bezug auf einen Antragstellernamen oder einen alternativen Antragstellernamen. Sie können für das Zertifikat den Hostnamen, den Domänennamen oder einen beliebigen anderen Namen als Antragstellernamen verwenden.

Wechseln zu einem neuen Zertifikat

Das zum Erstellen der Verbundvertrauensstellung verwendete Zertifikat wird als aktuelles Zertifikat festgelegt. Sie müssen für die Verbundvertrauensstellung jedoch u. U. von Zeit zu Zeit ein neues Zertifikat installieren und verwenden. Sie müssen beispielsweise ein neues Zertifikat verwenden, wenn die Gültigkeitsdauer des aktuellen Zertifikats abläuft oder neue Geschäfts- oder Sicherheitsanforderungen zu erfüllen sind. Um einen nahtlosen Übergang zu einem neuen Zertifikat zu gewährleisten, müssen Sie das neue Zertifikat auf Ihrem Exchange 2013-Server speichern und die Verbundvertrauensstellung konfigurieren, um es als neues Zertifikat auszuweisen. Exchange 2013 verteilt das neue Zertifikat automatisch an die anderen Exchange 2013-Server in der Organisation. Je nach Active Directory-Topologie nimmt die Verteilung des Zertifikats einige Zeit in Anspruch. Sie können den Zertifikatstatus mit dem Cmdlet Test-FederationTrustCertificate in der Shell überprüfen.

Nachdem Sie den Verteilstatus des Zertifikats überprüft haben, können Sie die Vertrauensstellung für die Verwendung des neuen Zertifikats konfigurieren. Nach dem Austausch der Zertifikate wird das aktuelle Zertifikat als vorheriges Zertifikat und das neue Zertifikat als aktuelles Zertifikat ausgewiesen. Das neue Zertifikat wird auf dem Azure AD-Authentifizierungssystem veröffentlicht, und alle neuen, mit dem Azure AD-Authentifizierungssystem ausgetauschten Token werden unter Verwendung des neuen Zertifikats verschlüsselt.

Hinweis

Dieser Zertifikatswechsel wird nur vom Verbund verwendet. Wenn Sie für andere Exchange 2013-Funktionen, die Zertifikate erfordern, dasselbe Zertifikat verwenden, müssen Sie beim Beschaffen und Installieren eines neuen Zertifikats bzw. beim Zertifikatswechsel die Anforderungen dieser Funktionen berücksichtigen.

Überlegungen zur Firewall bei Verbund

Für Verbundfunktionen müssen die Postfach- und Clientzugriffsserver in Ihrer Organisation ausgehenden HTTPS-Zugriff auf das Internet haben. Sie müssen für alle Exchange 2013-Postfach- und Clientzugriffsserver in der Organisation ausgehenden HTTPS-Zugriff einrichten (Port 443 für TCP).

Damit eine externe Organisation auf die Frei/Gebucht-Informationen Ihrer Organisation zugreifen kann, müssen Sie einen Clientzugriffsserver im Internet veröffentlichen. Hierzu ist eingehender HTTPS-Zugriff aus dem Internet auf den Clientzugriffsserver erforderlich. Clientzugriffsserver an Active Directory-Standorten, die nicht über einen im Internet veröffentlichten Clientzugriffsserver verfügen, können Clientzugriffsserver an anderen Active Directory-Standorten verwenden, auf die über das Internet zugegriffen werden kann. Für nicht im Internet veröffentlichte Clientzugriffsserver muss die externe URL des virtuellen Verzeichnisses der Webdienste auf die URL festgelegt sein, die für externe Organisationen sichtbar ist.