Exchange 2013

Verbundvertrauensstellungen erstellen und verwalten

| Autor / Redakteur: Thomas Joos / Thomas Joos

Verbundvertrauensstellungen erstellen und verwalten
Verbundvertrauensstellungen erstellen und verwalten (Thomas Joos)

Um eine Vertrauensstellung zwischen Exchange-Organisationen zu erstellen, können Sie den Assistenten in der Exchange-Verwaltungskonsole verwenden. Anpassen können Sie die Optionen dann ebenfalls in der Verwaltungskonsole oder der Verwaltungsshell.

Um eine Vertrauensstellung zwischen Exchange-Organisationen zu erstellen, können Sie den Assistenten in der Exchange-Verwaltungskonsole verwenden. Anpassen können Sie die Optionen dann ebenfalls in der Verwaltungskonsole oder der Verwaltungsshell.

Bevor Sie jedoch eine solche Vertrauensstellung installieren, müssen Sie dem Exchange-Server ein Zertifikat von einer Zertifizierungsstelle zuweisen, der alle verbundenen Exchange-Organisationen vertrauen. Erstellen Sie die Vertrauensstellung ohne Zertifikat, verwendet der Assistent ein selbst signiertes Zertifikat.

Wollen Sie die Aufgabe in der Exchange-Verwaltungsshell durchführen, wählen Sie zuerst eine Liste der Zertifikate mit folgendem Befehl aus:

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | fl

Sie können die Ausgabe von Get-ExchangeCertificate auch direkt an das Cmdlet New-FederationTrust weiterleiten:

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Verbundvertrauensstellung"

Verbundvertrauensstellungen erstellen

Klicken Sie in der Exchange-Verwaltungskonsole auf Organisation/Freigabe und dann auf Aktivieren.

Die Domäne, die Sie zum Erstellen einer Verbundvertrauensstellung verwenden, muss aus dem Internet aufgelöst werden können. Die beiden Exchange-Organisationen in einer Verbundfreigabebeziehung müssen die gleiche Microsoft Federation Gateway-Instanz für ihre Verbundvertrauensstellungen verwenden

Nachdem die Verbundvertrauensstellung eingerichtet ist, können Sie jederzeit Anpassungen vornehmen und auch neue Domänen hinzufügen oder Domänen entfernen. Eine der akzeptierten Domänen in der Organisation wird die primäre Domäne für den Verbund. Auch das können Sie in der Exchange-Verwaltungskonsole anpassen.

Die primäre Domäne des Verbundes wird auch als Namensraum (OrgID) des Verbundes verwendet. Dazu wird ein Präfix wie FYDIBOHF25SPDLT angehängt, sodass die OrgID zum Beispiel FYDIBOHF25SPDLT.contoso.com lautet.

Zum Überprüfen, welche Microsoft Federation Gateway-Instanz eine Exchange-Organisation für eine vorhandene Verbundvertrauensstellung verwendet, rufen Sie den folgenden Befehl in der Exchange-Verwaltungsshell auf:

Get-FederationInformation -DomainName <DNS-Namensraum>

Sie können die Einstellungen der Verbundvertrauensstellung jederzeit in diesem Bereich ändern und zum Beispiel weitere Domänen hinzufügen. Klicken Sie in Freigabeaktivierte Domänen auf Durchsuchen. Wählen Sie in Akzeptierte Domänen auswählen die primäre freigegebene Domäne aus, und klicken Sie auf OK. Die ausgewählte Domäne wird zur Konfiguration der Organisations-ID für die Verbundvertrauensstellung verwendet. Sie benötigen diese Zeichenfolge, um einen TXT-Eintrag auf Ihrem öffentlichen DNS-Server zu erstellen. Die Zeichenfolge des Nachweises für die Verbunddomäne besteht aus alphanumerischen Zeichen.

Mit Get-FederationTrust | fl listen Sie Daten der Vertrauensstellung in der Verwaltungsshell auf.

Der folgende Befehl zeigt ebenfalls Informationen an:

Get-FederationInformation -DomainName <Erste Domäne>

Sie können Verwaltungsaufgaben für Verbundvertrauensstellungen auch in der Exchange-Verwaltungsshell konfigurieren. Sie können zum Beispiel einzelne Domänen entfernen:

Remove-FederatedDomain -DomainName berlin.contoso.com

Auch das Hinzufügen von Domänen ist möglich:

Add-FederatedDomain -DomainName stuttgart.contoso.com

In folgendem Beispiel zeigen Sie die Verbundorganisations-ID und die Verbunddomänen sowie den Status für die Exchange-Organisation an:

Get-FederatedOrganizationIdentifier

Um sich den Status von Verbundzertifikaten auf allen Postfach- und Clientzugriffsservern in der Organisation anzuzeigen, verwenden Sie das Cmdlet Test-FederationTrustCertificate.

Wichtig sind auch die verwendeten Zertifikate. Auch für diese lassen sich Informationen anzeigen:

Get-FederationTrust "Microsoft Federation Gateway" | Select Org*certificate