• К домену, используемому для установки доверия федерации, должен быть доступ из Интернета. Это необходимо для того, чтобы зарегистрировать домен с помощью регистратора доменов и разместить зону DNS для этого домена на DNS-сервере, доступном из Интернета. Если организация получает электронную почту Интернета для данного домена, эти требования уже выполнены.
  
  

  Примечание.

  Чтобы настроить федеративное делегирование для локальной организации Microsoft Exchange 2010 после создания доверия федерации с шлюзом Microsoft Federation Gateway, следует использовать для организационного идентификатора федеративного делегирования пространство имен доменов, отличное от домена, используемого в качестве основного домена SMTP. Чтобы отличать поддомен, используемый для делегирования в Exchange, рекомендуется создать поддомен федеративного делегирования «exchangedelegation». Дополнительные сведения см. в разделе Настройка федеративного делегирования.

• Обе организации Exchange, связанные отношением федеративного делегирования, должны использовать один и тот же экземпляр шлюза Microsoft Federation Gateway для доверия федерации. Это требование действует при настройке федеративного делегирования между двумя локальными организациями Exchange или между локальной организацией Exchange и организацией Exchange, расположенной в службах Microsoft Online Services или Microsoft Live@edu.
  
  При создании для организации Exchange доверия федерации с шлюзом Microsoft Federation Gateway доверие федерации будет использовать бизнес-экземпляр или пользовательский экземпляр Microsoft Federation Gateway.
  
  Перечисленные ниже организации Exchange по умолчанию используют бизнес-экземпляр Microsoft Federation Gateway.
  
  
  • Организации Exchange 2010 с пакетом обновления 1 (SP1), использующие для доверия федерации самозаверяющие сертификаты
    
    
  • Организации Exchange, которые располагаются в службах Microsoft Online Services, таких как служба Exchange Online, входящая в пакет Microsoft Business Productivity Online Standard Suite
    
    
  Перечисленные ниже организации Exchange по умолчанию используют пользовательский экземпляр Microsoft Federation Gateway.
  
  
  • Организации Exchange 2010 в окончательной первоначальной версии (RTM), использующие сертификаты, выданные сторонними центрами сертификации
    
    
  • Организации Exchange, которые располагаются в службе Microsoft Live@edu
    
    
  Рекомендуется, чтобы все организации Exchange использовали бизнес-экземпляр Microsoft Federation Gateway для доверия федерации. Перед настройкой федеративного делегирования между двумя организациями необходимо проверить, какой экземпляр Microsoft Federation Gateway использует каждая организация Exchange для всех существующих отношений доверия федерации. Для этого выполните следующую команду консоли:
  
  

  	Скопировать код
  Get-FederationInformation -DomainName <the hosted Exchange domain namespace>

  Бизнес-экземпляр возвращает значение <uri:federation:MicrosoftOnline> для параметра TokenIssuerURIs.
  
  Пользовательский экземпляр возвращает значение <uri:WindowsLiveID> для параметра TokenIssuerURIs.
  
  Чтобы настроить федеративное делегирование для организации Exchange с существующим доверием федерации, в котором используется бизнес-экземпляр Microsoft Federation Gateway, выполните действия, описанные в подразделах Использование консоли управления Exchange для создания доверия федерации или Использование командной консоли Exchange для создания доверия федерации в данном разделе. Выполнение только этих шагов позволит создать доверие федерации, которое обеспечит федеративное делегирование между двумя организациями Exchange 2010 SP1.
  
  Чтобы настроить федеративное делегирование между организацией Exchange 2010 SP1 и организацией Exchange с существующим доверием федерации, в котором используется пользовательский экземпляр Microsoft Federation Gateway, выберите один из следующих методов.
  
  
  • Рекомендуемый метод   Организация Exchange, использующая пользовательский экземпляр Microsoft Federation Gateway, должна установить Exchange 2010 SP1. После установки SP1 существующие федеративные домены и отношения доверия федерации необходимо удалить и заново создать при помощи консоли управления Exchange. После повторного создания отношений доверия федерации будет использоваться бизнес-экземпляр Microsoft Federation Gateway. Необходимо также проверить, правильно ли функционируют все существующие отношения между организациями. Подробные сведения об удалении отношений доверия федерации см. в разделе Удаление доверия федерации.
    
    
  • Альтернативный метод   Чтобы создать доверие федерации с пользовательским экземпляром Microsoft Federation Gateway, организация Exchange 2010 SP1 может использовать процедуру Использование командной консоли для создания доверия федерации с пользовательским экземпляром Microsoft Federation Gateway. Этот метод следует применять, только когда нужно установить федеративное делегирование с другой организацией Exchange, которая не может установить Exchange 2010 SP1.
    
    

• Использование консоли управления Exchange для создания доверия федерации
  
  
• Использование командной консоли Exchange для создания доверия федерации
  
  
• Использование командной консоли для создания доверия федерации с пользовательским экземпляром Microsoft Federation Gateway
  
  

Запись «Доверие федерации» в разделе Разрешения инфраструктуры Exchange и командной консоли.

1. В дереве консоли щелкните узел Конфигурация организации.
   
   
2. В области действий щелкните Создать доверие федерации.
   
   
3. На странице Создание доверия федерации нажмите кнопку Создать. Автоматически будет создан самозаверяющий сертификат для доверия федерации с шлюзом Microsoft Federation Gateway. Затем этот сертификат будет развернут на серверах Exchange в организации. По умолчанию имя нового доверия федерации — Шлюз Microsoft Federation Gateway.
   
   
4. На странице Завершение просмотрите следующие сведения и нажмите кнопку Готово, чтобы закрыть мастер.
   
   
   • Состояние Завершено означает, что мастер успешно выполнил задачу.
     
     
   • Состояние Сбой означает, что не удалось выполнить задачу. Если задача не выполнена, просмотрите сводные данные, чтобы выяснить, почему это произошло, а затем нажмите кнопку Назад, чтобы внести изменения в конфигурацию.
     
     

Примечание.
Новое доверие федерации появится на вкладке Доверие федерации.

Примечание.

Чтобы завершить настройку федерации, необходимо добавить текстовую запись в DNS для домена, который будет использоваться в качестве пространства имен учетных записей, и для любого другого домена, который будет добавлен в качестве федеративного домена в шлюз Microsoft Federation Gateway. После того, как текстовые записи будут доступны в DNS, завершите настройку доверия федерации с помощью мастера управления федерацией в консоли управления Exchange или с помощью командлета Set-FederatedOrganizationIdentifier в командной консоли. Дополнительные сведения см. в разделе Создание TXT-записи для федерации или Управление федерацией.

Запись «Доверие федерации» в разделе Разрешения инфраструктуры Exchange и командной консоли.

1. В данном примере создается уникальный идентификатор ключа субъекта, который будет использоваться с сертификатом.
   
   

   	Скопировать код
   $ski = [System.Guid]::NewGuid().ToString("N")

2. В данном примере создается самозаверяющий сертификат для доверия федерации с шлюзом Microsoft Federation Gateway.
   
   

   	Скопировать код
   New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

3. В данном примере после получения самозаверяющего сертификата создается доверие федерации Microsoft Federation Gateway. Это приводит к автоматическому развертыванию самозаверяющего сертификата на серверах Exchange в организации.
   
   

   	Скопировать код
   Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"

Подробные сведения о синтаксисе и параметрах см. в следующих разделах:

• New-ExchangeCertificate
  
  
• Get-ExchangeCertificate
  
  
• New-FederationTrust
  
  

Подраздел «Отношения доверия федерации» в разделе Разрешения инфраструктуры Exchange и командной консоли.

Примечание.
Использовать консоль управления Exchange для создания доверия федерации с пользовательским экземпляром Microsoft Federation Gateway нельзя.

Предварительные требования

Чтобы создать доверие федерации с пользовательским экземпляром Microsoft Federation Gateway, нужен действующий сертификат X.509, который соответствует требованиям для доверия федерации. Сертификат должен быть выпущен центром сертификации, которому доверяет шлюз Microsoft Federation Gateway. Этот сертификат будет автоматически развернут на всех серверах клиентского доступа и транспортных серверах-концентраторах, доступных для задачи доверия федерации. Дополнительные сведения см. в разделе Доверенные корневые центры сертификации для доверия федерации.

1. В данном примере выполняется получение списка сертификатов и их отпечатков.
   
   

   	Скопировать код
   Get-ExchangeCertificate | where {$ .IsSelfSigned -eq $false} | Format-List

   Where — это псевдоним командлета Where-Object. Его также можно заменить псевдонимом ? (знак вопроса). Просмотреть список псевдонимов, доступных в командной консоли, можно с помощью командлета Get-Alias.
   
   Если на сервере имеется только один несамозаверяющий сертификат, эту задачу можно упростить, объединив команды, используемые на данном и следующем шагах. Результаты работы командлета Get-ExchangeCertificate можно передать по конвейеру в командлет New-FederationTrust, как показано в следующем примере.
   
   

   	Скопировать код
   Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService

2. В этом примере создается шлюз Microsoft Federation Gateway доверия федерации.
   
   

   	Скопировать код
   New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService

   Важно!

   Следующий шаг в настройке федеративного делегирования после создания доверия федерации — создание в зоне DNS отдельных текстовых записей для поддомена федеративного делегирования и для каждого основного домена электронной почты или домена SMTP прокси-сервера, который необходимо включить в федерацию. Поскольку созданное доверие федерации использует пользовательский экземпляр Microsoft Federation Gateway, необходимо следовать процедуре для RTM-версии Exchange 2010, изложенной в разделе Создание текстовой записи для федерации. После того, как текстовые записи будут доступны в DNS, завершите настройку доверия федерации с помощью мастера управления федерацией в консоли управления Exchange или с помощью командлета Set-FederatedOrganizationIdentifier в командной консоли.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-ExchangeCertificate или New-FederationTrust.

После создания доверия федерации можно выполнить другие действия:

• Создание TXT-записи для федерации
  
  
• Создание организационного отношения
  
  
• Создание политики общего доступа