Grundlegendes zum Verbund
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2016-11-28
Information-Worker müssen häufig mit externen Empfängern, Lieferanten, Partnern und Kunden zusammenarbeiten und ihre Frei/Gebucht-Informationen (die sogenannte "Kalenderverfügbarkeit") bzw. Kontaktinformationen freigeben. Die Verbundfunktion von Microsoft Exchange Server 2010 unterstützt die Zusammenarbeit in diesem Bereich. Verbundfunktion bezieht sich auf die zugrundeliegende Vertrauensstellungsinfrastruktur, die die Verbunddelegierung unterstützt, eine einfache Methode für Benutzer, die Kalender- und Kontaktinformationen für Empfänger in anderen externen Verbundorganisationen freigeben möchten. Weitere Informationen zur Verbunddelegierung finden Sie unter Grundlegendes zur Verbunddelegierung.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit der Verbundfunktion gibt? Weitere Informationen finden Sie hier: Verwalten des Verbunds.
Inhalt
Microsoft Federation Gateway
Verbundvertrauensstellung
Verbundorganisations-ID
Beispiel für einen Verbund
Zertifikatsanforderungen für den Verbund
Wechseln zu einem neuen Zertifikat
Microsoft Federation Gateway
Microsoft Federation Gateway, ein kostenloser cloudbasierter Dienst von Microsoft, fungiert als Vertrauensbroker zwischen der lokalen Exchange 2010-Organisation und anderen Exchange 2010-Verbundorganisationen. Wenn Sie in Ihrer Exchange-Organisation die Verbundfunktion konfigurieren möchten, müssen Sie einmalig eine Verbundvertrauensstellung mit Microsoft Federation Gateway einrichten, damit dieses Gateway als Verbundpartner Ihrer Organisation definiert wird. Nach Einrichtung dieser Vertrauensstellung stellt Microsoft Federation Gateway für die über Active Directory authentifizierten Benutzer (die sogenannten Identitätsanbieter) SAML-Delegierungstoken (Security Assertion Markup Language) aus. Anhand dieser Delegierungstokens werden Benutzer einer Verbundorganisation von einer anderen Verbundorganisation als vertrauenswürdig identifiziert. Durch die Funktion von Microsoft Federation Gateway als Vertrauensbroker brauchen Organisationen nicht mehr mehrere einzelne Vertrauensstellungen zu anderen Organisationen zu erstellen, und die Benutzer können über eine einmalige Anmeldung auf externe Ressourcen zugreifen. Weitere Informationen finden Sie unter Grundlegendes zu Microsoft Federation Gateway (möglicherweise in englischer Sprache).
Zurück zum Seitenanfang
Verbundvertrauensstellung
Sollen die Verbunddelegierungsfunktionen von Exchange 2010 genutzt werden, müssen Sie zwischen Ihrer Exchange 2010-Organisation und Microsoft Federation Gateway eine Verbundvertrauensstellung einrichten. Bei der Einrichtung einer Verbundvertrauensstellung mit Microsoft Federation Gateway wird das digitale Sicherheitszertifikat Ihrer Organisation mit Microsoft Federation Gateway ausgetauscht, und das Zertifikat von Microsoft Federation Gateway sowie Verbundmetadaten werden abgerufen. Wenn Sie eine Verbundvertrauensstellung herstellen möchten, können Sie den Assistenten für neue Verbundvertrauensstellung in der Exchange-Verwaltungskonsole (Exchange Management Console, EMC) oder das Cmdlet New-FederationTrust in der Exchange-Verwaltungsshell verwenden. Vom Assistenten für neue Verbundvertrauensstellungen wird automatisch ein selbstsigniertes Zertifikat erstellt, das zum Signieren und Verschlüsseln von Delegierungstoken verwendet wird, anhand denen externe Verbundorganisationen die Benutzer als vertrauenswürdig identifizieren können. Ausführliche Informationen zu Zertifikatsanforderungen finden Sie unter Zertifikatsanforderungen für den Verbund weiter unten in diesem Thema.
Ausführliche Informationen zum Erstellen einer Verbundvertrauensstellung finden Sie unter Erstellen einer Verbundvertrauensstellung.
Beim Erstellen einer Verbundvertrauensstellung mit Microsoft Federation Gateway wird für Ihre Exchange-Organisation automatisch eine Anwendungs-ID (AppID) generiert und in der Ausgabe des Assistenten für neue Verbundvertrauensstellungen oder des Cmdlets New-FederationTrust bereitgestellt. Anhand der Anwendungs-ID kann Microsoft Federation Gateway Ihre Exchange-Organisation eindeutig identifizieren. Sie wird auch von der Exchange-Organisation als Nachweis verwendet, dass Ihre Organisation Eigentümer der Domäne ist, die mit Microsoft Federation Gateway verwendet wird. Dazu wird in der DNS-Zone (Domain Name System) jeder Verbunddomäne ein TXT-Eintrag erstellt.
Ausführliche Informationen zum Erstellen eines TXT-Eintrags finden Sie unter Erstellen eines TXT-Eintrags für den Verbund.
Zurück zum Seitenanfang
Verbundorganisations-ID
Anhand der Verbundorganisations-ID (OrgID) wird definiert, welche der autoritativen akzeptierten Domänen, die in Ihrer Organisation konfiguriert sind, für die Verbundfunktion aktiviert sind. Nur Empfänger, die über E-Mail-Adressen mit akzeptierten Domänen verfügen, die in der Verbundorganisations-ID konfiguriert sind, werden von Microsoft Federation Gateway erkannt, und auch nur diese können die Verbunddelegierungsfunktionen nutzen. Beim Erstellen einer neuen Verbundvertrauensstellung wird mit Microsoft Federation Gateway automatisch eine Verbundorganisations-ID (OrgID) erstellt. Diese Verbundorganisations-ID ist eine Kombination aus einer vordefinierten Zeichenfolge und der ersten akzeptierten Domäne, die im Assistenten für den Verbund ausgewählt wurde. Wenn Sie beispielsweise im Assistenten für verwalteten Verbund die Verbunddomäne contoso.com als primäre SMTP-Domäne Ihrer Organisation ausgewählt haben, wird der Kontonamespace FYDIBOHF25SPDLT.contoso.com automatisch als Verbundorganisations-ID für die Verbundvertrauensstellung erstellt.
Bei dieser Unterdomäne muss es sich nicht zwangsläufig um eine akzeptierte Domäne in Ihrer Exchange-Organisation handeln, und es ist kein Texteintrag (TXT-Eintrag) in DNS (Domain Name System) erforderlich, um den Besitz nachzuweisen. Die einzige Voraussetzung ist, dass die für den Verbund ausgewählten akzeptierten Domänen höchstens 32 Zeichen enthalten. Wenn Sie darüber hinaus den Assistenten zum Verwalten von Hybridbereitstellungen für das Erstellen einer Verbundvertrauensstellung in Zusammenhang mit der Konfiguration einer Hybridbereitstellung zwischen Ihrer lokalen Organisation und einer Exchange Online-Organisation verwenden, wird auch die Verbundorganisations-ID für die Verbundvertrauensstellung automatisch mit dem automatischen Namespace konfiguriert. Diese Unterdomäne dient ausschließlich dem Zweck, als Verbundnamespace für Microsoft Federation Gateway zu fungieren und für Empfänger, die SAML-Delegierungstoken (Security Assertion Markup Language) anfordern, eindeutige IDs bereitzustellen. Weitere Informationen zu SAML-Token finden Sie unter SAML-Token und SAML-Ansprüche.
Sie können akzeptierte Domänen jederzeit hinzufügen oder entfernen. Wenn alle Verbundfunktionen in Ihrer Organisation aktiviert bzw. deaktiviert werden sollen, brauchen Sie nur die Verbundorganisations-ID zu aktivieren bzw. deaktivieren.
Wichtig
Eine Änderung der Verbundorganisations-ID (OrgID), der akzeptierten Domänen oder der Anwendungs-ID (AppID) wirkt sich auf alle Verbundfunktionen in Ihrer Organisation aus. Und damit auch auf alle externen Verbundorganisationen, einschließlich Office 365- und Hybridbereitstellungskonfigurationen. Es ist empfehlenswert, alle externen Verbundpartner über Änderungen an diesen Konfigurationseinstellungen zu informieren.
Weitere Informationen zum Konfigurieren der Verbundorganisations-ID (OrgID) finden Sie in den folgenden Themen:
Zurück zum Seitenanfang
Beispiel für einen Verbund
Zwei Exchange-Organisationen, Contoso, Ltd. und Fabrikam, Inc., möchten ihren Benutzern ermöglichen, Frei/Gebucht-Informationen miteinander auszutauschen. Jede Organisation erstellt eine Verbundvertrauensstellung mit Microsoft Federation Gateway und konfiguriert ihren Kontonamespace so, dass er die Domäne enthält, die für die E-Mail-Adressen der Benutzer verwendet wird.
Die Mitarbeiter von Contoso verwenden eine der folgenden E-Mail-Adressendomänen: contoso.com, contoso.co.uk oder contoso.ca. Die Mitarbeiter von Fabrikam verwenden eine der folgenden E-Mail-Adressendomänen: fabrikam.com, fabrikam.org oder fabrikam.net. Beide Organisationen stellen sicher, dass alle akzeptierten E-Mail-Domänen im Kontonamespace für die Verbundvertrauensstellung mit Microsoft Federation Gateway enthalten sind. Statt einer komplexen Active Directory-Grundstruktur oder Domänenvertrauensstellung zwischen den Organisationen konfigurieren beide Organisationen eine Organisationsbeziehung zueinander, um die Freigabe von Frei/Gebucht-Informationen zu ermöglichen.
Die folgende Abbildung zeigt die Verbundkonfiguration zwischen Contoso, Ltd. und Fabrikam, Inc.
Beispiel für Verbunddelegierung
Zertifikatsanforderungen für den Verbund
Zum Einrichten einer Verbundvertrauensstellung mit Microsoft Federation Gateway muss entweder ein selbstsigniertes Zertifikat oder ein von einer Zertifizierungsstelle signiertes X.509-Zertifikat erstellt und auf dem Exchange 2010-Server installiert werden, der zum Erstellen der Vertrauensstellung verwendet wird. Es wird empfohlen, ein selbstsigniertes Zertifikat zu verwenden, das automatisch mit dem Assistenten für neue Verbundvertrauensstellungen in der Exchange-Verwaltungskonsole erstellt und installiert werden kann. Dieses Zertifikat wird ausschließlich zum Signieren und Verschlüsseln von Delegierungstoken verwendet, die für die Verbunddelegierung genutzt werden. Für die Verbundvertrauensstellung wird nur ein Zertifikat benötigt. Exchange 2010 verteilt das Zertifikat automatisch an andere Exchange 2010-Server in der Organisation.
Soll ein von einer externen Zertifizierungsstelle signiertes X.509-Zertifikat verwendet werden, muss dieses die folgenden Anforderungen erfüllen:
Vertrauenswürdige Zertifizierungsstelle Das X.509-SSL-Zertifikat (Secure Sockets Layer) sollte nach Möglichkeit von einer Zertifizierungsstelle ausgestellt werden, die von Windows Live als vertrauenswürdig eingestuft wird. Sie können jedoch auch Zertifikate von Zertifizierungsstellen verwenden, die derzeit noch nicht von Microsoft zertifiziert sind. Eine aktuelle Liste der vertrauenswürdigen Zertifizierungsstellen finden Sie unter Vertrauenswürdige Stammzertifizierungsstellen für Verbundvertrauensstellungen.
Schlüssel-ID des Antragstellers Das Zertifikat muss über ein Feld mit der Schlüssel-ID des Antragstellers verfügen. Die meisten, von kommerziellen Zertifizierungsstellen ausgestellten X.509-Zertifikate enthalten diese ID.
CryptoAPI-Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) Das Zertifikat muss einen CryptoAPI-CSP verwenden. Zertifikate von CNG-Anbietern (Cryptography API: Next Generation) werden für die Verbundfunktion nicht unterstützt. Beim Erstellen einer Zertifikatsanforderung mit Exchange wird ein CryptoAPI-Anbieter verwendet. Weitere Informationen finden Sie unter Cryptography API: Next Generation.
RSA-Signaturalgorithmus Das Zertifikat muss RSA als Signaturalgorithmus verwenden.
Exportierbarer privater Schlüssel Der zum Generieren des Zertifikats verwendete private Schlüssel muss exportiert werden können. Beim Erstellen der Zertifikatsanforderung mit dem Assistenten für ein neues Exchange-Zertifikat in der Exchange-Verwaltungskonsole oder dem Cmdlet New-ExchangeCertificate in der Verwaltungsshell können Sie angeben, dass der private Schlüssel exportierbar sein muss.
Aktuelles Zertifikat Das Zertifikat muss aktuell sein. Eine Verbundvertrauensstellung kann nicht mit einem abgelaufenen oder gesperrten Zertifikat erstellt werden.
Erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) Das Zertifikat muss den EKU-Typ Clientauthentifizierung (1.3.6.1.5.5.7.3.2) enthalten. Dieser Verwendungstyp dient auf einem Remotecomputer zum Nachweis Ihrer Identität. Wenn Sie die Zertifikatsanforderung über die Exchange-Verwaltungskonsole oder die Verwaltungsshell generieren, ist dieser Verwendungstyp standardmäßig enthalten.
Hinweis
Da das Zertifikat nicht für die Authentifizierung verwendet wird, bestehen dafür auch keine Anforderungen in Bezug auf einen Antragstellernamen oder einen alternativen Antragstellernamen. Sie können für das Zertifikat den Hostnamen, den Domänennamen oder einen beliebigen anderen Namen als Antragstellernamen verwenden.
Zurück zum Seitenanfang
Wechseln zu einem neuen Zertifikat
Das zum Erstellen der Verbundvertrauensstellung verwendete Zertifikat wird als aktuelles Zertifikat festgelegt. Sie müssen für die Verbundvertrauensstellung jedoch u. U. von Zeit zu Zeit ein neues Zertifikat installieren und verwenden. Sie müssen beispielsweise ein neues Zertifikat verwenden, wenn die Gültigkeitsdauer des aktuellen Zertifikats abläuft oder neue Geschäfts- oder Sicherheitsanforderungen zu erfüllen sind. Um einen nahtlosen Übergang zu einem neuen Zertifikat zu gewährleisten, müssen Sie das neue Zertifikat auf Ihrem Exchange 2010-Server speichern und die Verbundvertrauensstellung konfigurieren, um es als nächstes Zertifikat auszuweisen. Exchange 2010 verteilt automatisch das nächste Zertifikat an die anderen Exchange 2010-Server in der Organisation. Je nach Active Directory-Topologie nimmt die Verteilung des Zertifikats einige Zeit in Anspruch. Mithilfe des Assistenten für verwalteten Verbund in der Exchange-Verwaltungkonsole oder des Cmdlets Test-FederationTrustCertificate in der Verwaltungsshell können Sie den Status des Zertifikats überprüfen.
Nachdem Sie den Verteilstatus des Zertifikats überprüft haben, können Sie die Vertrauensstellung für die Verwendung des nächsten Zertifikats konfigurieren. Nach dem Austausch der Zertifikate wird das aktuelle Zertifikat als vorheriges Zertifikat und das nächste Zertifikat als aktuelles Zertifikat ausgewiesen. Das neue Zertifikat wird auf Microsoft Federation Gateway veröffentlicht, und alle neuen, mit Microsoft Federation Gateway ausgetauschten Token werden unter Verwendung des neuen Zertifikats verschlüsselt. In der folgenden Abbildung wird gezeigt, wie Sie mit dem Assistenten für verwalteten Verbund diesen Wechsel konfigurieren können.
Zertifikatwechsel
Weitere Informationen zum Zertifikatswechsel finden Sie unter Verbundverwaltung.
Hinweis
Dieser Zertifikatswechsel wird nur vom Verbund verwendet. Wenn Sie für andere Exchange 2010-Funktionen, die Zertifikate erfordern, dasselbe Zertifikat verwenden, müssen Sie beim Beschaffen und Installieren eines neuen Zertifikats bzw. beim Zertifikatswechsel die Anforderungen dieser Funktionen berücksichtigen.
Zurück zum Seitenanfang
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.