配置 Exchange 2010 混合部署的联合委派

 

适用于: Exchange Server 2010 SP1

上一次修改主题: 2015-03-09

估计完成时间:15 分钟

联合委派是在内部部署组织与基于云的服务(该服务使用与 Microsoft 联合身份验证网关的联合身份验证信任)之间建立的关系。配置集中式邮件传递和许多邮箱管理功能时需要使用联合委派。此外,结合配置 Exchange 组织之间的组织关系时,联合委派可确保两个组织的用户能共享彼此的日历可用性(忙/闲)信息。邮件提示、邮件跟踪和多邮箱搜索等其他丰富的邮件功能也需要使用联合委派。

为内部部署组织配置联合委派时需要执行以下多个步骤:

  1. 为内部部署组织创建与 Microsoft 联合身份验证网关之间的联合身份验证信任。(创建基于云的服务帐户时,自动为基于云的组织创建与网关之间的联合身份验证信任。)

  2. 为要用作帐户命名空间的域以及要添加为 Microsoft 联合身份验证网关中的联合域的任何其他域创建域证明。建议您将某个域命名空间用于联盟帐户命名空间,该命名空间与您用作主 SMTP 域的域不同。为了区分此子域是用于联合委派功能的,建议您创建单独的子域“exchangedelegation”。例如,联合委派子域可以是 exchangedelegation.contoso.com。

  3. 在每个要联合的接受域的域名系统 (DNS) 区域中创建文本 (TXT) 记录。TXT 记录包含上一个步骤中生成的联合域证明加密字符串。

  4. 配置用于委派的域。

可在以下位置了解详细信息:了解联合委派

警告

本主题应作为 Microsoft Exchange Server 2010 与 Office 365 混合部署检查列表的一部分进行阅读。本主题中的信息或过程可能依赖于检查列表中先前的主题中所配置的先决条件。若要查看检查列表,请参阅检查表 - Exchange 2010 和 Office 365 混合部署

如何创建与 Microsoft 联合身份验证网关之间的联合身份验证信任?

您必须先获得权限,然后才能执行此过程。要查看需要什么权限,请参阅 Exchange 和命令行管理程序基础结构权限中的“联合身份验证信任”条目。

您可以使用混合服务器上的 Exchange 管理控制台 (EMC) 中的新建联合身份验证信任向导为内部部署组织创建与 Microsoft 联合身份验证网关之间的联合身份验证信任。

  1. 在控制台树中,单击内部部署 Exchange 林的“组织配置”。

  2. 在操作窗格中,单击“新建联合身份验证信任”。

  3. 在“新建联合身份验证信任”页上,单击“新建”。

    备注

    这会自动为与网关之间的联合身份验证信任创建自签名证书,并将自签名证书部署到组织中的 Exchange 服务器。新联合身份验证信任的默认名称是“Microsoft 联合身份验证网关”。

  4. 在“完成”页上,单击“完成”关闭此向导。

如何创建联合域的域证明?

您必须先获得权限,然后才能执行此过程。要查看需要什么权限,请参阅 Exchange 和命令行管理程序基础结构权限中的“联合身份验证信任”条目。

您必须使用 Exchange 命令行管理程序为联合域和主 SMTP 域创建域证明。对这两个域运行 Get-FederatedDomainProof cmdlet。

该示例为联合委派域 exchangedelegation.contoso.com 和主 SMTP 域 contoso.com 生成用于 TXT 记录的域证明字符串。

Get-FederatedDomainProof -DomainName exchangedelegation.contoso.com
Get-FederatedDomainProof -DomainName contoso.com

保存 Proof 字段中返回的输出值,因为您将在下一步中需要使用这些值。将输出值粘贴到文本编辑器(比如记事本)中,这样您可以从文本编辑器中复制输出值并将其粘贴到 TXT 记录属性的“文本”字段中。

如何在 DNS 中为接受域创建 TXT 记录?

现在,您必须为 exchangedelegation.contoso.com 域和 contoso.com 域添加 TXT 记录。每个 TXT 记录必须包含在上一步中运行 Get-FederatedDomainProof cmdlet 时生成的域证明字符串。例如,如果联合域是 exchangedelegation.contoso.com,主 SMTP 域是 contoso.com,则 TXT 记录将类似于以下内容:

DNS 记录类型 文本

exchangedelegation.contoso.com

TXT

7Zyr2i/fE/M/T3AwCpitDbF30Fk/TdzXME6f7d1lDaKGthPdoS+UF94t43D2nU5hLNnIAP+5A3jJR2ik9HDPgg==

contoso.com

TXT

Eh/po5qT098GMPklJU2DShrYO9mPseTn5i9wWKOKebmceLPuLCpaejYj83W53H/YcuzPy2VSo621BHO4DNS7jg==

请参考 DNS 主机的帮助,了解有关如何将 TXT 记录添加到 DNS 区域的信息。

如何配置用于联合的域?

您必须先获得权限,然后才能执行此过程。要查看需要什么权限,请参阅 Exchange 和命令行管理程序基础结构权限中的“联合身份验证信任”条目。

您可以使用混合服务器上的 EMC 中的管理联合身份验证向导配置用于接受域的联合:

  1. 在控制台树中,导航至内部部署 Exchange 林的“组织配置”,然后选择“Microsoft 联合身份验证网关联合身份验证信任”。

  2. 在操作窗格中,单击“管理联合”。

  3. 在“管理联合身份验证证书”页上,将显示用于联合身份验证信任的证书的信息。这包括有关当前证书、下一个证书以及上一个证书的信息。选择当前的证书并确保已选中“联系 Microsoft 联合身份验证网关获取其证书和联合身份验证元数据”复选框。单击“下一步”继续。

    备注

    证书的“分发状态”在“管理联合身份验证证书”列表中显示为“未知”属于正常现象。要更新分发状态,请单击“显示分发状态”。

  4. 在“管理联合域”页上,单击“添加”,首先以联合域的形式添加联合委派域。通过首先选择联合委派域,可将其自动指定为联合身份验证信任的帐户命名空间。“选择接受域”对话框将显示 Exchange 2010 组织中的所有接受域。例如,选择 exchangedelegation.contoso.com 域可将此域设置为帐户命名空间。

  5. 在“管理联合域”页上,单击“添加”将主 SMTP 域也添加为联合域。例如,选择 contoso.com 域。

  6. 验证是否以粗体格式显示该联合委派域。此粗体格式指示将其指定为联合身份验证信任的帐户命名空间。如果未将其指定为帐户命名空间,则选择该联合委派域,然后单击“设置为帐户命名空间”,将其指定为帐户命名空间。

    备注

    域的“状态”在“管理联合域”列表中显示为“未知”属于正常现象。

  7. 在“组织联系人的电子邮件地址”对话框中,输入要进行联合身份验证的指定组织联系人的电子邮件地址。该电子邮件地址仅用作联系人地址,没有任何联合委派配置属性。

  8. 选中“启用联合身份验证”复选框以启用联合身份验证。此外,您还可以根据需要使用该复选框禁用 Exchange 组织的联合身份验证。单击“下一步”继续。

  9. 在“管理联合身份验证”页上,查看“配置摘要”,然后单击“管理”执行更改。

  10. 在“完成”页上,单击“完成”关闭此向导。

我如何知道这有效?

能否成功完成对内部部署组织的联合委派过程,要取决于几个单独的配置设置。因此,您应验证是否已正确配置每个组成部分。

  • 联合身份验证信任   成功完成新建联合身份验证信任向导初步表示联合身份验证信任创建过程按预期完成。要验证是否已成功创建联合身份验证信任,请打开 EMC 并选择“组织配置”节点。单击“联合身份验证信任”选项卡以显示与 Microsoft 联合身份验证网关建立的联合身份验证信任的属性。

    要进一步验证是否已成功创建联合身份验证信任,可以在 Exchange 命令行管理程序中运行 Get-FederationTrustGet-FederationInformation cmdlet。这些 cmdlet 可输出已经为您的内部部署组织配置的联合身份验证信任的属性。

    还应使用位于 <ExchangeInstallPath>\Scripts 中的 New-TestCasConnectivity User.ps1 脚本创建测试用户帐户,然后在 EMC 中运行 Test-FederationTrust cmdlet 以验证能否从 Microsoft 联合身份验证网关正确接收委派令牌。

  • TXT 记录   您可以通过在 DNS 管理工具中查看 TXT 记录属性或使用 Nslookup 命令行工具验证 TXT 记录是否配置正确。

是否有任何疑问?在 Office 365 论坛中寻求帮助。若要访问论坛,您需要使用已授予对基于云的服务的管理员访问权的帐户进行登录。请访问该论坛:Office 365 论坛

 © 2010 Microsoft Corporation。保留所有权利。