通过

了解联合字符串

  • 项目

**适用于:**Exchange Server 2010

**上一次修改主题:**2010-01-21

信息工作人员经常需要与合作伙伴、客户、供应商或 Exchange 组织外部的其他联系人进行协作。为了进行有效的协作,您的用户可能需要共享其用于安排会议的可用性(忙/闲)信息,或根据业务关系的性质共享更详细的日历信息。同样,用户可能还需要与这些外部收件人共享他们的联系人。在 Microsoft Exchange Server 2010 中,联合共享有助于实现这些目标。

若要了解与联合共享相关的管理任务,请参阅管理联合字符串

目录

Exchange 2010 之前的协作和联合共享

联合共享

联合共享的防火墙注意事项

与 Exchange 2007 共存

建立组织关系和共享策略

Exchange 2010 之前的协作和联合共享

早期版本的 Exchange 具有有限的共享功能,且需要复杂的设置和持续的维护。例如,要与另一个 Exchange 组织中的用户共享可用性信息,您必须在各 Exchange 组织间使用组织间复制工具复制公用文件夹。此过程需要在两个组织之间创建 Active Directory 信任,以及管理服务帐户凭据。

许多组织使用不同的工具(如 GALSync)将某个组织的收件人与其他组织同步,使得 Exchange 地址列表中的收件人可见。建立信任、管理凭据以及复制多个外部组织的操作都十分繁琐。在创建 Active Directory 林或域信任及凭据管理中也存在安全隐患。还需要在两个组织间的防火墙上开放其他端口或建立虚拟专用网络 (VPN)。

引入 Exchange Web 服务、可用性服务以及 Exchange Server 2007 中的客户端访问服务器角色后,便不再需要复制公用文件夹的忙/闲数据。但是,信任或凭据信息以及全局地址列表 (GAL) 同步对于外部组织获取忙/闲信息来说仍是十分必要的。有关详细信息,请参阅如何跨林拓扑配置可用性服务

对“日历”文件夹或“联系人”文件夹的共享涉及到为受信任的组织中的用户分配访问文件夹的权限。实现此共享的唯一方法是在两个组织间创建 Active Directory 信任,而其中存在安全隐患。

返回顶部

联合共享

使用 Exchange 2010 中的联合共享,用户可以通过在两个 Exchange 2010 组织间创建组织关系或使用共享策略支持用户基于个人创建共享关系,从而与外部联合组织中的收件人共享信息。联合共享使用 Microsoft 联合网关(即 Microsoft 提供的云服务)作为两个联合组织间的信任经纪人。想要共享信息的组织必须只能与 Microsoft 联合网关建立一次信任。有关详细信息,请参阅Microsoft 联合网关

重要

如果禁用了您所在 Exchange 2010 组织的联合组织标识符,则您所在组织的所有联合功能都将被禁用。

有关联合身份验证信任的信息,请参阅了解联合身份验证。有关如何创建联合身份验证信任的详细信息,请参阅创建联合身份验证信任。有关如何配置联合组织标识符的详细信息,请参阅管理联合身份验证

联合共享提供了两种与外部组织中的收件人共享信息的方法:组织关系和共享策略。

组织关系

出于共享可用性(忙/闲)信息或启用电子邮件联合传递的目的,使用组织关系可与其他联合组织建立联合共享关系。组织关系为两个组织之间一对一的关系。两个组织只需要与 Microsoft 联合网关建立单个联合身份验证信任并配置联合组织标识符,而不需要在两者之间进行复杂的 Active Directory 林或域信任配置(该配置可能还需要在两个组织的防火墙上打开多个端口或需要建立一个 VPN)。

对组织关系的要求

组织关系需要满足以下要求:

  • Exchange 组织中存在一个 Exchange 2010 客户端访问服务器。
  • 已创建联合身份验证信任。
  • 已配置联合组织标识符。用于生成用户的电子邮件地址的域已添加到组织标识符中。
  • 每个相应的组织中存在组织关系。
  • Office Outlook 2007 用户无法指定外部收件人的 SMTP 地址来显示可用性信息。必须从 GAL 中选取收件人,这需要让 GAL 与外部组织同步。拥有 Exchange 2007 Service Pack 2 (SP2) 邮箱服务器上的邮箱的 Outlook 2007 用户可以使用 Exchange 2007 SP2 客户端访问服务器上的 Office Outlook Web Access。

创建组织关系

与外部组织创建组织关系时,外部组织中的用户可以访问您的用户的可用性信息。这有助于外部用户安排与您的用户的会议。不需要复制 GAL 信息。有了此配置,Outlook 2010 和 Office Outlook Web App 用户在安排会议时,只需输入外部收件人的 SMTP 地址。

外部组织中的管理员必须与您的组织创建组织关系,以便您所在组织中的用户能够访问外部用户的可用性信息或允许与外部组织单向共享其可用性信息。但在他们创建组织关系时,外部管理员可指定不与您所在组织中的用户共享其用户的可用性信息(例如,用户希望此关系只用于联合传递)。

备注

如果用户不希望与其他用户共享其忙/闲信息,可修改 Outlook 中的“默认”权限条目。为此,用户应导航到“日历属性”>“权限”选项卡,选择“默认”权限,然后从“权限级别”列表中选择“无”。忙/闲信息对内部或外部用户不可见,即使和外部组织存在组织关系。组织关系接受用户设置的权限。

与外部组织创建组织关系时,可指定您希望将可用性信息暴露给外部组织的用户。例如,如果您的财务部门中的用户需要与外部组织中的用户进行协作,可选择财务通讯组。作为所选通讯组成员的用户的可用性信息将对外部组织中的所有用户可见。同样,外部组织也能够与您所在的组织创建组织关系,并指定哪个用户的可用性信息应该对您的用户可见。

创建组织关系时,Exchange 2010 将连接到外部组织发布的 Autodiscover Web 服务,以获得可用性服务终结点。也可在创建关系时手动指定外部组织的可用性服务终结点。

若要与外部组织创建组织关系,可使用 Exchange 管理控制台 (EMC) 中的新建组织关系向导,或使用 Exchange 命令行管理程序中的 New-OrganizationRelationship cmdlet。

有关如何创建组织关系的详细说明,请参阅创建组织关系

共享策略

共享策略允许用户与外部联合组织中的用户共享日历和联系人信息。共享策略可视为一项由用户建立的互助策略。用户可指定他们希望能与之进行协作的外部收件人。使用 Outlook 2010 或 Outlook Web App,用户可邀请外部收件人共享其“日历”或“联系人”文件夹。使用共享策略可控制您的用户共享信息时使用的域,以及用户可共享的信息量。如有必要,还可禁用用户或组的共享策略。

为邮箱用户分配共享策略。应用于用户的默认共享策略允许与所有的外部域共享可用性信息。与 Microsoft 联合网关创建联合身份验证信任并配置联合组织标识符后,用户可发送邀请,与任何外部组织中的用户共享他们的可用性信息。

重要

若要参与联合共享过程,外部用户所在的组织还必须拥有与 Microsoft 联合网关建立的联合身份验证信任,联合组织标识符也必须进行配置。

共享策略包括多对域名以及允许来自该域的用户进行的共享操作。如下图所示,可指定以下操作应用于共享策略中指定的外部域:

  • 仅包含忙/闲信息的日历共享
  • 包含忙/闲信息以及主题和位置的日历共享
  • 包含忙/闲信息以及主题、位置和正文的日历共享
  • 联系人共享
  • 仅包含忙/闲信息的日历共享,联系人共享
  • 包含忙/闲信息以及主题和位置的日历共享,联系人共享
  • 包含忙/闲信息以及主题、位置和正文的日历共享,联系人共享

日历共享操作
创建共享策略

创建共享邀请时,您的用户可选择想要共享的信息,只要用户的共享策略允许此操作。例如,假设您创建的共享策略具有以下设置:

  • “包含忙/闲信息以及主题和位置的日历共享”适用于 Fabrikam.com 中的外部用户
  • “仅包含忙/闲信息的日历共享”****适用于其他所有域(通过星号 [*] 符号表示)的外部用户

如果邀请了来自 Fabrikam.com 的用户,则应用了此策略的用户既可以仅共享其可用性信息,也可以共享有限的详细信息。

有关如何创建共享策略的详细信息,请参阅创建共享策略

有关如何将共享策略应用于用户的详细信息,请参阅将共享策略应用于邮箱

对共享策略的要求

共享策略需要满足以下要求:

  • Exchange 组织中存在一个 Exchange 2010 客户端访问服务器。
  • 已创建联合身份验证信任。
  • 已配置联合组织标识符。用于生成用户的电子邮件地址的域已添加到组织标识符中。
  • 用户邮箱位于 Exchange 2010 邮箱服务器上。
  • 仅 Outlook 2010 和 Outlook Web App 用户可创建共享邀请。

比较组织关系和共享策略

尽管组织关系和共享策略都允许与外部用户共享可用性信息,但它们适合于不同的方案。创建组织关系是为了与外部组织进行协作,组织关系包括在两个组织之间启用电子邮件联合传递的能力。共享策略决定了您的用户与外部组织(包括不存在组织关系的组织)中的用户能够共享的信息内容。

下表说明了组织关系和共享策略之间的不同之处。

组织关系与共享策略

功能 组织关系 共享策略

您的组织是否需要联合身份验证信任

是否建议联合外部域

是否允许为所有用户或一组用户与外部组织共享可用性信息(包括主题和位置)

是否允许共享包含可用性信息的“日历”文件夹

是否允许共享包含可用性信息(包括主题和正文)的“日历”文件夹

是否允许共享联系人

是否需要用户向外部收件人发送共享邀请

是否允许联合传递

是否提供了访问方法

内部客户端访问服务器可访问外部组织的客户端访问服务器,并在请求时检索外部用户的可用性信息。

客户端访问服务器可访问外部组织的客户端访问服务器,并订阅外部用户的日历或联系人。

是否应用于所有外部域

否(两个 Exchange 2010 组织之间存在的一对一关系)

是否为用户提供了与外部收件人之间的多种共享体验

是,这基于应用的共享策略

是否对某些用户禁用共享

是,通过为组织关系指定安全通讯组禁用共享

是,通过禁用应用的共享策略禁用共享

是否需要邮箱驻留在 Exchange 2010 邮箱服务器上

返回顶部

联合共享的防火墙注意事项

联合共享功能需要您所在组织中的客户端访问服务器使用 HTTPS 出站访问 Internet。必须允许出站 HTTPS 访问(TCP 的端口是 443)该组织中的所有 Exchange 2010 客户端访问服务器。

为了使外部组织能够访问您所在组织的可用性信息,必须将一个客户端访问服务器发布到 Internet 上。这需要在 Internet 上通过入站 HTTPS 访问客户端访问服务器。Active Directory 站点(该站点未将客户端访问服务器发布到 Internet 上)中的客户端访问服务器可使用能够从 Internet 访问的其他 Active Directory 站点中的客户端访问服务器。未发布到 Internet 上的客户端访问服务器必须将 Web 服务虚拟目录的外部 URL 设置为对外部组织可见的 URL。

返回顶部

与 Exchange 2007 共存

在包含 Exchange 2010 和 Exchange 2007 服务器的组织中,在 Exchange 2007 邮箱服务器上拥有邮箱的用户可以使用组织关系。该邮箱服务器必须安装 Exchange 2007 SP2,且在 Exchange 组织中,必须包含至少一个 Exchange 2010 客户端访问服务器。通过在组织中引入单个 Exchange 2010 客户端访问服务器即可使用组织关系,这提供了一个比同步可用性信息且需要 GAL 同步的解决方案更强大的解决方案。

在 Exchange 2007 服务器上使用 Outlook 2010 或 Outlook Web Access 安排会议时,在 Exchange 2007 服务器上拥有邮箱的用户可以看见外部组织中的用户的可用性信息。Exchange 2007 邮箱的可用性信息对外部组织中的收件人是可见的。

为 Exchange 2010 邮箱用户分配共享策略。若要使用共享策略,邮箱必须位于 Exchange 2010 邮箱服务器上。只有 Outlook 2010 和 Outlook Web App 客户端可用于生成或响应共享邀请。

返回顶部

建立组织关系和共享策略

在此示例中,您将成为 Contoso, Ltd. 的管理员。您所在的组织已经与 Fabrikam, Inc. 达成了协议,以开发一项将由两个组织联合营销和销售的产品。若要在两个组织间启用协作,两个组织的营销和工程部门的用户需要互相访问对方的可用性信息。用户只需要很少的努力或无需费力就可以实现这种协作。

Contoso 还与 Litware, Inc. 进行协作。这种协作只限于一小部分用户。来自两个组织的用户应该能够相互建立共享关系。应该允许共享联系人和日历可用性信息。其他日历信息则不应共享。

最后,应该不必执行以下操作就可以建立共享:

  • 创建任何 Active Directory 林或域信任。
  • 在组织间交换凭据。
  • 在组织间建立 VPN。

若要实现这一点,您必须执行以下步骤:

  1. 与 Microsoft 联合网关创建联合身份验证信任(如果尚未创建信任)。此一次性过程需要使用 Exchange 2010 联合功能完成。此过程需要由 Microsoft 联合网关信任的证书颁发机构颁发的 X.509 证书。有关详细信息,请参阅创建联合身份验证信任
  2. 配置联合组织标识符(如果尚未配置配置此标识符)。此过程需要将该组织要启用联合身份验证的接受域添加到组织标识符。此一次性过程需要使用 Exchange 2010 联合功能完成。有关详细信息,请参阅管理联合身份验证
  3. 与 Fabrikam, Inc. 创建组织关系。有关详细信息,请参阅创建组织关系。请执行以下操作:
    • 使用 Get-FederationInformation cmdlet 确定 Fabrikam 组织是否已建立联合身份验证。
    • 选择包含营销和工程部门的成员的通讯组。这些用户的可用性信息将对 Fabrikam 用户可见。
  4. 若要允许两个组织中的用户能够看见对方的可用性信息,Fabrikam, Inc. 的管理员还必须与您所在的组织创建组织关系。
  5. 为需要与 Litware.com 域中的用户协作的用户创建共享策略。有关详细信息,请参阅创建共享策略。请执行以下操作:
    • 将 Litware.com 域添加到共享策略。
    • 为该策略选择“仅包含忙/闲信息的日历共享,联系人共享”操作。
    • 将策略分配给您所在组织中需要与来自 Litware 的用户协作的用户。有关详细信息,请参阅将共享策略应用于邮箱

与 Fabrikam, Inc. 创建组织关系并为 Litware, Inc. 创建共享策略后,将会实现以下功能:

  • 所有用户都将能够看见 Fabrikam 的营销和工程部门中的用户的可用性信息。
  • 您所在组织中已应用新共享策略的用户将能够向来自 Litware, Inc. 的用户发送共享邀请。

返回顶部