Exchange delegation federation для чего нужен
Отключение или повторное включение федеративного общего доступа для организации Exchange
Применяется к: Exchange Server 2013 г.
В некоторых случаях может понадобиться временно отключить для организации федеративный общий доступ. Вместо того чтобы удалять существующее доверие федерации или связи организации и политики общего доступа, которые могут понадобиться в будущем, можно просто отключить идентификатор организации (OrgID) для доверия федерации.
Для гибридных развертывания с Microsoft 365 или Office 365, отключение доверия федерации для локального сервера также отключит гибридные функции, такие как общие сведения о свободном или загруженном календаре, mailTips и отслеживание сообщений. Однако служба безопасного транспорта почты не будет отключена в гибридном развертывании, если доверие федерации отключено для локальной организации.
Дополнительные сведения о доверии федерации см. в разделе Федерация. Дополнительные сведения о федеративном общем доступе см. в разделе Совместное использование.
Дополнительные задачи управления, связанные с федерадным обменом, см. в разделе Процедуры Федерации.
Эта функция Exchange Server 2013 не полностью совместима с Office 365 21Vianet в Китае, и некоторые ограничения могут применяться. Дополнительные сведения см. в Office 365 21Vianet.
Что нужно знать перед началом работы
Предполагаемое время для завершения: 5 минут.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Чтобы узнать, какие разрешения вам нужны, см. в разделе Разрешения федерации и сертификатов в разделе разрешения инфраструктуры Exchange и Shell.
Существующие связи организации и политики общего доступа для других федеративных организаций Exchange не будут изменены и не будут функционировать. Политики общего доступа, настроенные для предоставления Интернет-получателям доступа к данным календаря, затронуты не будут.
Нельзя использовать центр администрирования Exchange (EAC) для отключения или включаем orgID для доверия федерации. Необходимо использовать командную консоль.
Использование командной консоли для отключения или повторного включения федеративного общего доступа
В этом примере отключаются идентификатор OrgID, федерация и федеративный общий доступ для организации Exchange.
В этом примере включается идентификатор OrgID и повторно включаются федерация и федеративный общий доступ для организации Exchange.
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-FederatedOrganizationIdentifier.
Как убедиться, что все получилось?
Успешное завершение командлета Set-OrganizationIdentifier это первое свидетельство того, что идентификатор OrgID отключен или включен.
Для дальнейшей проверки успешности запустите следующую команду Shell и убедитесь в значении, возвращенном для параметра Enabled
Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующей ссылке: Exchange Server.
Обновление сертификатов федерации
В этой статье описано, как обновить самозаверяющий сертификат, используемый в доверии федерации:
Если срок действия сертификата федерации не истек, выполните действия, описанные в разделе Обновление рабочего сертификата федерации.
Если срок действия сертификата федерации истек, выполните действия, описанные в разделе Замена сертификата федерации с истекшим сроком действия.
По проекту после обновления сертификата просроченный сертификат, связанный с доверием федерации, не может быть удален из объекта доверия федерации.
Дополнительные сведения о довериях федерации и федерации см. в статье Федерация.
Что нужно знать перед началом работы
Предполагаемое время выполнения: 10 минут.
Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Запись «Федерация и сертификаты» в разделе Разрешения инфраструктуры Exchange и командной консоли.
В этой статье используется командная консоль Exchange. Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Shell.
Чтобы узнать, истек ли срок действия сертификата федерации, выполните следующую команду в командной консоли Exchange:
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующей ссылке: Exchange Server.
Обновление рабочего сертификата федерации
Если срок действия сертификата федерации не истек, вы можете обновить его.
Шаг 1. Создание сертификата федерации
Выполните следующую команду в командной консоли Exchange, чтобы создать сертификат федерации:
Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ExchangeCertificate.
В результате вы получите значение отпечатка нового сертификата. Скопируйте его из окна командной консоли Exchange. Оно понадобится вам позже.
Щелкните правой кнопкой мыши в окне командной консоли Exchange и выберите Пометить в появившемся диалоговом окне.
Выберите значение отпечатка и нажмите клавишу ВВОД.
Шаг 2. Настройка нового сертификата как сертификата федерации
Чтобы настроить новый сертификат как сертификат федерации с помощью командной консоли Exchange, используйте следующий синтаксис:
В этом примере используется значение отпечатка пальца 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73 сертификата из шага 1.
Дополнительные сведения о синтаксисе и параметрах см. в статье Set-FederationTrust.
Примечание: Вывод команды содержит предупреждение о необходимости обновления подтверждения записи TXT владения доменом в DNS. Вы сделаете это на следующем шаге.
Шаг 3. Обновление TXT-записи о принадлежности домена во внешней DNS
Вы можете спокойно выполнить это действие сейчас, так как TXT-запись проверяется только во время активации (шаг 5). Но чтобы обновленная TXT-запись распространилась по серверам, потребуется некоторое время (в зависимости от срока жизни DNS-записи). Подождите, прежде чем переходить к следующему шагу.
Найдите нужные значения для необходимых TXT-записей, выполнив следующую команду в командной консоли Exchange:
Например, если федеративным является домен contoso.com, выполните следующую команду:
Команда возвращает такие сведения:
Обратите внимание, команда возвращает сведения о двух записях: для нового сертификата и текущего сертификата, который вы заменяете. Определить, какие сведения относятся к какому сертификату, можно по значению отпечатка и текстовому значению хэша, настроенному в текущей TXT-записи о принадлежности домена во внешней (общедоступной) DNS.
Обновите TXT-запись о принадлежности домена во внешней DNS. Инструкции зависят от поставщика услуг DNS, но вы можете изменить текущую TXT-запись, чтобы заменить текущее текстовое значение хэша на новое. Дополнительные сведения см. в разделе, посвященном Exchange Online, в статье Внешние записи DNS для Office 365.
Шаг 4. Проверка распространения нового сертификата федерации по всем серверам Exchange
Exchange автоматически распространяет новый сертификат федерации по всем серверам.
Чтобы проверить распространение нового сертификата федерации с помощью командной консоли Exchange, выполните следующую команду:
Примечание: В Exchange 2010 г. вывод комлета Test-FederationCertificate содержит имена серверов. Выход этого комлета в Exchange 2013 или более поздней части не включает имена серверов.
Шаг 5. Активация нового сертификата федерации
Чтобы активировать новый сертификат федерации с помощью командной консоли Exchange, выполните следующую команду:
Дополнительные сведения о синтаксисе и параметрах см. в статье Set-FederationTrust.
Примечание: Вывод команды содержит предупреждение о необходимости обновления подтверждения записи TXT владения доменом в DNS (что вы уже сделали в шаге 3).
Как проверить, что все получилось?
Чтобы убедиться, что вы обновили сертификат федерации, выполните следующие действия:
В Командная консоль Exchange выполните указанную ниже команду, чтобы убедиться, что используется новый сертификат.
Свойство OrgPrivCertificate должно содержать отпечаток нового сертификата федерации.
Свойство OrgPrevPrivCertificate должно содержать отпечаток старого (замененного) сертификата федерации.
В командной Exchange замените адрес электронной почты пользователя в вашей организации и запустите следующую команду, чтобы убедиться, что доверие федерации работает:
Замена сертификата федерации с истекшим сроком действия
Если срок действия сертификата федерации уже истек, вам нужно удалить все федеративные домены из доверия федерации, а затем удалить и заново создать доверие федерации.
Если у вас несколько федеративных доменов, основной общий домен необходимо удалить в последнюю очередь. Чтобы определить основной общий домен и все федеративные домены с помощью командной консоли Exchange, выполните следующую команду:
Значение свойства AccountNamespace содержит основной общий домен в формате FYDIBOHF25SPDLT
. Например, в значении FYDIBOHF25SPDLT.contoso.com contoso.com является основным общим доменом.
Удалите все федеративные домены, кроме общего основного домена, выполнив следующую команду в командной консоли Exchange:
После этого удалите общий основной домен, выполнив следующую команду в командной консоли Exchange:
Удалите доверие федерации, выполнив следующую команду в командной консоли Exchange:
Создайте доверие федерации заново. Инструкции см. в перенастройке доверия федерации.
Настройка доверия федерации
Применяется к: Exchange Server 2013 г.
Доверие федерации устанавливает доверительные отношения между организацией Microsoft Exchange 2013 и системой проверки подлинности Azure Active Directory. Настроив доверие федерации, вы можете внедрить федеративный общий доступ с другими федеративными организациями Exchange, чтобы совместно использовать сведения о доступности в календаре между получателями. Федеративный общий доступ можно настроить между двумя федеративными организациями Exchange 2013 или между федеративной организацией Exchange 2013 и несколькими федеративными организациями Exchange 2010. Вы также можете настроить общий доступ к Microsoft 365 или Office 365 организации.
Создание доверия федерации один из этапов настройки федеративного делегирования в организации Exchange. Анализ всех шагов см. в разделе Настройка общего федеративного доступа.
Дополнительные задачи управления, связанные с федерацией, см. в дополнительных процедурах Федерации.
Эта функция Exchange Server 2013 не полностью совместима с Office 365 21Vianet в Китае, и некоторые ограничения могут применяться. Дополнительные сведения см. в Office 365 21Vianet.
Что нужно знать перед началом работы?
Осталось времени до завершения: 30 минут.
Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Элемент разрешений «Федерация и сертификаты» в разделе Разрешения инфраструктуры Exchange и командной консоли.
К домену, используемому для установки доверия федерации, должен быть доступ из Интернета. Это необходимо для того, чтобы зарегистрировать домен с помощью регистратора доменов и разместить зону DNS для этого домена на DNS-сервере, доступном из Интернета. Если организация получает электронную почту Интернета для данного домена, эти требования уже выполнены.
Вам будет нужно добавить запись TXT для публичной системы DNS. Просмотрите требования по добавлению TXT-записи вместе с организацией, в которой размещены общедоступные DNS-записи.
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Обе организации Exchange, связанные отношением федеративного общего доступа, должны использовать одну и ту же систему проверки подлинности Azure AD для доверия федерации. Это требование применяется при настройке федеращего обмена между двумя локальной Exchange организациями или между локальной Exchange организацией и организацией Exchange, Microsoft 365 или Office 365.
При создании доверия федерации с помощью системы проверки подлинности Azure AD для вашей организации Exchange 2013 доверие федерации будет использовать бизнес-экземпляр системы проверки подлинности Azure AD. Тем не менее другие федеративные организации Exchange с Exchange предыдущих версий и существующие доверительные отношения федерации могут использовать бизнес-экземпляр или пользовательский экземпляр системы проверки подлинности Azure AD.
Перечисленные ниже организации Exchange по умолчанию используют бизнес-экземпляр системы проверки подлинности Azure AD.
Организации Exchange 2013 с помощью мастера включения доверия федерации и самозаверяющих сертификатов для доверия федерации.
Организации Exchange 2010 с пакетом обновления 1 (SP1) или последующих версий с использованием мастера создания доверия федерации и самозаверяющих сертификатов для доверия федерации.
Exchange организаций, Microsoft 365 и Office 365.
Перечисленные ниже организации Exchange по умолчанию используют пользовательский экземпляр системы проверки подлинности Azure AD.
Организации RTM-версии Exchange 2010, использующие сертификаты, выданные сторонними центрами сертификации.
Рекомендуется, чтобы все организации Exchange использовали бизнес-экземпляр системы проверки подлинности Azure AD для доверия федерации. Перед настройкой федеративного общего доступа необходимо проверить, какой экземпляр системы проверки подлинности Azure AD используется каждой организацией Exchange для существующих доверий федерации. Чтобы определить экземпляр системы проверки подлинности Azure AD, используемый организацией Exchange для существующего доверия федерации, выполните следующую команду командной консоли.
Бизнес-экземпляр возвращает значение для параметра TokenIssuerURIs.
Экземпляр потребителя возвращает значение параметра TokenIssuerURIs.
Для настройки федеративного общего доступа с использованием организации Exchange, которая имеет существующее доверие федерации, использующее бизнес-экземпляр системы проверки подлинности Azure AD, выполните действия из этого раздела. Эти шаги позволяют создать отношения доверия федерации, которые могут быть использованы для включения федеративного общего доступа между двумя организациями Exchange 2013 или между организацией Exchange 2013 и организацией Exchange 2010, уже использующей бизнес-экземпляр системы проверки подлинности Azure AD.
Чтобы настроить федеративный общий доступ между организацией Exchange 2013 и организацией Exchange с существующим доверием федерации, использующим потребительский экземпляр системы проверки подлинности Azure AD, организация Exchange, использующая потребительский экземпляр, должна установить Exchange 2010 с пакетом обновления 2 (SP2) или более поздней версии или обновиться до Exchange 2013. Если решено установить Exchange 2010 SP2 или более поздней версии, используйте мастер создания доверия федерации, чтобы удалить и создать заново существующие федеративные домены и доверия федерации. После повторного создания отношений доверия федерации будет использоваться бизнес-экземпляр системы проверки подлинности Azure AD.
Использование EAC для создания и настройки доверия федерации
На сервере Exchange 2013 в локальной организации последовательно выберите пункты Организация > Общий доступ.
Щелкните Включить для запуска мастера включения доверия федерации.
После успешного завершения работы с мастером нажмите кнопку Закрыть.
В разделе Доверие федерации вкладки Общий доступ щелкните Изменить.
В разделе Домены с включенным общим доступом рядом с пунктом Шаг 1 щелкните Обзор.
В разделе Выберите обслуживаемые домены выберите основной общий домен в списке, а затем нажмите кнопку ОК.
Домен, который вы выберете, используется для настройки OrgID доверия федерации. Дополнительные сведения об OrgID см. в разделе Федерация.
Запишите подтверждение федеративного домена, созданное для основного общего домена. Эта строка используется, чтобы создать запись TXT для общего сервера DNS.
Подтверждение права собственности на федеративный домен это строка алфавитно-цифровых символов. Чтобы избежать ошибок ввода, рекомендуется скопировать строку из EAC и ввести ее в текстовый редактор, например Блокнот. Вы можете скопировать ее из текстового редактора в буфер обмена, а затем вставить ее в поле Текст при создании записи TXT. Если TXT-запись создается с помощью неправильной строки для подтверждения права собственности на федеративный домен, то система проверки подлинности Azure AD не сможет проверить это подтверждение, и его добавление к идентификатору федеративной организации будет невозможно.
На шаге 2 нажмите кнопку Добавить значок .gif "Exchange delegation federation для чего нужен. Смотреть фото Exchange delegation federation для чего нужен. Смотреть картинку Exchange delegation federation для чего нужен. Картинка про Exchange delegation federation для чего нужен. Фото Exchange delegation federation для чего нужен")
добавление дополнительных доменов в федератное доверие для адресов электронной почты, которые будут использоваться пользователями в организации, которые требуют федератных функций общего доступа. Например, если у вас есть пользователи, которые используют поддомен в своем электронном адресе, например sales.contoso.com, можно добавить домен sales.contoso.com в доверие федерации.
Строка подтверждения федеративного домена будет создана для всех дополнительных доменов, которые вы выберете. Нужно создать отдельные записи TXT в общедоступной системе DNS для каждого дополнительного домена.
Используя строки подтверждений федеративных доменов, созданные для каждого домена, создайте записи TXT для этих доменов на общем сервере DNS. В зависимости от расписания обновления общедоступного узла DNS для репликации изменений DNS может понадобиться 15 минут или более.
После того, как записи TXT создаются и реплицируются, нажмите Обновить.
Использование командной консоли для создания и настройки доверия федерации
Запустите эту команду, чтобы создать уникальный идентификатор ключа субъекта для сертификата доверия федерации:
Используйте этот синтаксис для создания самозаверяемого сертификата доверия федерации:
В данном примере создается самозаверяющий сертификат для доверия федерации с системой проверки подлинности Azure AD. В сертификате используется удобное значение имени Exchange Federated Sharing, а значение домена извлекается из переменной среды USERDNSDOMAIN.
Чтобы создать доверие федерации и автоматически развернуть самозаверяемый сертификат, созданный на предыдущем шаге, на серверы Exchange организации, используйте этот синтаксис:
В этом примере создается доверие федерации с именем аутентификация Azure AD и развертывается самозаверяется сертификат с именем Exchange Federated Sharing.
Используйте этот синтаксис, чтобы вернуть доказательство записи TXT владения доменом, которая необходима для любого домена, который будет настроен для доверия федерации.
В этом примере возвращается доказательство записи TXT собственности домена, которая необходима для основного общего домена contoso.com.
Примечания:
Для каждого домена или поддомена, настроенного для доверия федерации, требуется доказательство записи TXT-записи владения доменом, поэтому может потребоваться выполнить эту команду несколько раз с помощью различных значений DomainName.
Рекомендуется скопировать строку доказательства домена правой кнопкой мыши в оболочке, выбрать Метку, выбрать значение Proof и нажать кнопку Ввод, чтобы можно было использовать ее при создании записи TXT. При создании записи TXT с неправильной федеративной строкой проверки подлинности домена система проверки подлинности Azure AD не может проверить право собственности на домен, и вы не сможете добавить ее в идентификатор федеративную организацию.
Используя данные предыдущего шага, создайте записи TXT на вашем публичном DNS-сервере в каждом домене, который будет включен в доверие федерации. В зависимости от расписания обновления общедоступного узла DNS для репликации изменений DNS может понадобиться 15 минут или более. Продолжить после проверки доступных новых записей TXT.
Запись TXT должна быть создана для каждого домена, который является федературой или общим. Если это гибридная среда, то все принятые домены, проверенные в Exchange Online должны иметь записи TXT.
Запустите эту команду, чтобы получить метаданные и сертификат из Azure AD:
Используйте этот синтаксис для настройки основного общего домена для доверия федерации, созданного в шаге 3. Домен, который вы указываете, будет использоваться для настройки идентификатора организации (OrgID) для доверия федерации. Дополнительные сведения о orgID см. в федератовом идентификаторе организации.
В этом примере допустимый домен contoso.com как основной общий домен для доверия федерации с именем аутентификация Azure AD.
Чтобы добавить другие домены в доверие федерации, используйте этот синтаксис:
В этом примере поддомен добавляется sales.contoso.com федератовского доверия, так как пользователям с электронными адресами в домене sales.contoso.com федерательные функции совместного доступа.
Помните, что для любого домена или субдомена, добавляемого в доверие федерации, требуется подтверждение записи TXT владения доменом,
Как проверить, что все получилось?
Успешное завершение мастеров включения доверия федерации и доменов с включенным общим доступом является первым указанием на то, что доверие федерации настроено должным образом.
Для дополнительной проверки того, что вы успешно создали и настроили доверие федерации, выполните следующие действия:
Чтобы проверить сведения о доверии федерации, выполните следующую команду командной консоли Exchange.
Замените основной общий домен и запустите следующую команду Shell, чтобы убедиться, что сведения о федерации можно получить
Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-FederationTrust и Get-FederationInformation.
Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующей ссылке: Exchange Server.
Exchange delegation federation для чего нужен
Вопрос
Не нашёл ответа в сети. Решил написать сюда.
Заканчивается сертификат «Exchange Delegation Federation» на Exchange 2013. Пытаюсь его обновить по этой инструкции: https://docs.microsoft.com/ru-ru/exchange/renew-the-federation-certificate-exchange-2013-help
Подскажите куда копать по возможности. Опыта работы с exchange мало.
Ответы
Ошибка, как мы уже выяснили, связана с тем, что, судя по всем признакам, настройка федеративного доверия так и не была завершена. А судя по тому, что вы написали, у вас федеративное доверие вообще не используется. Я бы это ошибку, как минимум, игнорировал. Или вообще бы удалил следы федеративного доверия (через EAC или EMS: Remove-FederationTrust).
Все ответы
Для начала покажите, как у вас настроено федеративное доверие:
RunspaceId : b4df4e43-6061-420e-b94b-342cf3807ffa
ApplicationIdentifier :
ApplicationUri :
OrgCertificate : [Subject]
CN=Federation
[Not Before]
21.10.2014 12:34:05
[Not After]
21.10.2019 11:34:05
OrgNextCertificate :
OrgPrevCertificate :
OrgPrivCertificate : CCA2F380717110597A220FC002AAC597CB04E6EA
OrgNextPrivCertificate :
OrgPrevPrivCertificate :
TokenIssuerCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Not Before]
07.12.2016 1:06:29
[Not After]
06.12.2021 1:06:29
TokenIssuerPrevCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Not Before]
18.06.2019 3:00:00
[Not After]
18.06.2021 3:00:00
PolicyReferenceUri : EX_MBI_FED_SSL
TokenIssuerMetadataEpr : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval : 1.00:00:00
TokenIssuerType : LiveId
TokenIssuerUri : urn:federation:MicrosoftOnline
TokenIssuerEpr : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr : https://login.microsoftonline.com/login.srf
MetadataEpr :
MetadataPutEpr :
TokenIssuerCertReference : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner : LiveDomainServices2
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
Name : Microsoft Federation Gateway
DistinguishedName : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=********,CN=Microsoft Exchange,
CN=Services,CN=Configuration,DC=********,DC=net
Identity : Microsoft Federation Gateway
Guid : e756cd97-c497-48fd-8794-32072836af9f
ObjectCategory : ********.***/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass :
WhenChanged : 18.07.2019 3:50:27
WhenCreated : 21.10.2014 12:34:07
WhenChangedUTC : 18.07.2019 0:50:27
WhenCreatedUTC : 21.10.2014 8:34:07
OrganizationId :
Id : Microsoft Federation Gateway
OriginatingServer : ****.********.***
IsValid : True
ObjectState : Unchanged
Ещё «интересная» штука. OWA перестала работать из вне. И телефоны.
Хотя старый сертификат на месте.
Ещё «интересная» штука. OWA перестала работать из вне. И телефоны.
Хотя старый сертификат на месте.
Странно это. Предыдущая ошибка выглядит так, будто у вас проблемы с федеративным доверием.
Для проверки федеративного доверия и его сертификатов есть командлеты:
OWA вообще-то никак не должен быть на федеративное доверие завязан, с телефонами сложнее: если там стоит мобильный Outlook, то он через облако в реальности работает. Но могут быть проблемы и с другими сертификатами. Так что рекомендую проверить внешний доступ через Remote Connectivity Analyzer.