設定 Exchange 2010 混合部署的同盟委派
適用版本: Exchange Server 2010 SP1
上次修改主題的時間: 2015-03-09
預估完成時間:15 分鐘
同盟委派是在內部部署組織與雲端式服務之間建立的關係,此關係使用與 Microsoft Federation Gateway 的同盟信任。同盟委派是設定集中式郵件傳遞及許多信箱管理功能之所需。此外,再搭配設定 Exchange 組織之間的組織關係,將可讓兩個組織中的使用者彼此共用行事曆可用性 (空閒/忙碌) 資訊。同盟委派也是其他多種訊息功能 (如郵件提示、郵件追蹤及多信箱搜尋) 之所需。
若要為內部部署組織設定同盟委派,需要執行數個步驟:
為內部部署組織建立與 Microsoft Federation Gateway 的同盟信任 (當您建立雲端式服務帳戶時,會自動為雲端式組織建立與該閘道的同盟信任)。
為要用作帳戶命名空間的網域,以及要在 Microsoft Federation Gateway 上新增為同盟網域的任何其他網域,建立網域證明。建議您,用於同盟帳戶命名空間的網域命名空間,最好不同於目前當作主要 SMTP 網域的網域。建議您另外建立 "exchangedelegation" 子網域,以突顯這個子網域是用於同盟委派功能。同盟委派子網域的範例是 exchangedelegation.contoso.com。
在每個要同盟之公認網域的網域名稱系統 (DNS) 區域中,建立文字 (TXT) 記錄。TXT 記錄包含在前一個步驟中產生的同盟網域證明加密字串。
設定網域以進行同盟。
若要深入了解,請參閱:了解同盟委派
注意
可將本主題視為「Microsoft Exchange Server 2010 與 Office 365 混合部署」檢查清單的一部分加以閱讀。本主題中的資訊或程序可能會因為先前在檢查清單的主題中設定的先決條件而有所不同。若要檢視檢查清單,請參閱檢查清單 - Exchange 2010 與 Office 365 混合部署。
如何建立與 Microsoft Federation Gateway 的同盟信任?
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱 Exchange 及命令介面基礎結構權限中的「同盟信任」項目。
您可以在混合伺服器上使用 Exchange 管理主控台 (EMC) 的 [新增同盟信任] 精靈,為內部部署組織建立與 Microsoft 同盟閘道的同盟信任。
在主控台樹狀目錄中,按一下內部部署 Exchange 樹系的 [組織組態]。
在執行窗格中,按一下 [新增同盟信任]。
在 [新增同盟信任] 頁面上,按一下 [新增]。
注意
這樣會自動建立與該閘道的同盟信任所用的自我簽署憑證,並將自我簽署憑證部署至組織中的 Exchange 伺服器。新同盟信任的預設名稱是 Microsoft Federation Gateway。
在 [完成] 頁面上,按一下 [完成] 以關閉精靈。
如何建立同盟網域的網域證明?
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱 Exchange 及命令介面基礎結構權限中的「同盟信任」項目。
您必須使用 Exchange 管理命令介面,建立同盟網域及主要 SMTP 網域的網域證明。請分別針對這兩個網域執行 Get-FederatedDomainProof Cmdlet。
此範例會產生同盟委派網域 exchangedelegation.contoso.com 及主要 SMTP 網域 contoso.com 的 TXT 記錄中所使用的網域證明字串。
Get-FederatedDomainProof -DomainName exchangedelegation.contoso.com
Get-FederatedDomainProof -DomainName contoso.com
請儲存 Proof 欄位中所傳回的輸出值,因為下一個步驟需要用到它們。將輸出值貼至文字編輯器 (例如記事本),以便從文字編輯器中將該輸出值複製並貼至 TXT 記錄內容的 Text 欄位。
如何在公認的網域 DNS 中建立 TXT 記錄?
現在,您必須新增 exchangedelegation.contoso.com 網域及 contoso.com 網域的 TXT 記錄。每筆 TXT 記錄都必須包含前一個步驟中執行 Get-FederatedDomainProof Cmdlet 時所產生的網域證明字串。例如,如果同盟網域是 exchangedelegation.contoso.com,而您的主要 SMTP 網域是 contoso.com,則 TXT 記錄類似如下:
| 網域 | DNS 記錄類型 | 文字 |
|---|---|---|
exchangedelegation.contoso.com |
TXT |
7Zyr2i/fE/M/T3AwCpitDbF30Fk/TdzXME6f7d1lDaKGthPdoS+UF94t43D2nU5hLNnIAP+5A3jJR2ik9HDPgg== |
contoso.com |
TXT |
Eh/po5qT098GMPklJU2DShrYO9mPseTn5i9wWKOKebmceLPuLCpaejYj83W53H/YcuzPy2VSo621BHO4DNS7jg== |
如需如何將 TXT 記錄新增至 DNS 區域的相關資訊,請參閱您 DNS 主機的 [說明]。
如何設定網域以進行同盟?
您必須已獲指派權限,才能執行此程序。若要查看您需要的權限,請參閱 Exchange 及命令介面基礎結構權限中的「同盟信任」項目。
您可以在混合伺服器上使用 EMC 的 [管理同盟] 精靈,設定公認網域的同盟:
在主控台樹狀目錄中,瀏覽至內部部署 Exchange 樹系的 [組織組態],然後選取 Microsoft Federation Gateway 同盟信任。
在執行窗格中,按一下 [管理同盟]。
[管理同盟憑證] 頁面上會顯示用於同盟信任之憑證的資訊。包括目前憑證、下一個憑證及前一個憑證的資訊。選取目前的憑證,並確定已選取 [正在連絡 Microsoft Federation Gateway 以取得其憑證和同盟中繼資料] 核取方塊。按 [下一步] 繼續。
注意
憑證的 [散佈狀態] 在 [管理同盟憑證] 清單中顯示為 [未知] 是正常情形。若要更新散佈狀態,請按一下 [顯示通訊群組狀態]。
在 [管理同盟網域] 頁面上按一下 [新增],將同盟委派網域新增為第一個同盟網域。選取第一個同盟委派網域可使其自動指定為同盟信任的帳戶命名空間。[選取公認的網域] 對話方塊會顯示 Exchange 2010 組織中的所有公認網域。例如,選取 exchangedelegation.contoso.com 網域,以將此網域設定為 [帳戶命名空間]。
在 [管理同盟網域] 頁面上按一下 [新增],將主要 SMTP 網域也新增為同盟網域。例如,選取 contoso.com 網域。
確認同盟委派網域以粗體格式顯示。粗體格式表示該同盟委派網域已指定為同盟信任的帳戶命名空間。如果同盟委派網域未被指定為帳戶命名空間,請選取同盟委派網域並按一下 [設定為帳戶命名空間],將其指定為帳戶命名空間。
注意
網域 [狀態] 在 [管理同盟網域] 清單中顯示為 [未知] 是正常情形。
在 [組織連絡人的電子郵件地址] 方塊中,輸入所指定組織連絡人的電子郵件地址進行同盟。此電子郵件地址只會當成聯絡人地址使用,並沒有任何同盟委派組態內容。
選取 [啟用同盟] 核取方塊以啟用同盟。需要時,您也可以使用此核取方塊停用 Exchange 組織的同盟。按 [下一步] 繼續。
在 [管理同盟] 頁面上檢閱 [組態摘要],然後按一下 [管理] 執行變更。
在 [完成] 頁面上,按一下 [完成] 以關閉精靈。
如何才能了解這是否正常運作?
是否成功完成內部部署組織的同盟委派程序,取決於數個不同的組態設定。因此,您應該確認已正確設定每個元件區域。
同盟信任 成功完成 [新增同盟信任] 精靈,首先表明同盟信任建立程序如預期般運作。若要確認已順利建立同盟信任,請開啟 EMC 並選取 [組織組態] 節點。按一下 [同盟信任] 索引標籤,以顯示與 Microsoft Federation Gateway 之同盟信任的內容。
若要進一步確認已順利建立同盟信任,您可以在 Exchange 管理命令介面中執行 Get-FederationTrust 及 Get-FederationInformation 指令程式。這些指令程式會輸出已針對內部部署組織設定之同盟信任的內容。
您也應該使用位於 <ExchangeInstallPath>\Scripts 中的 New-TestCasConnectivity User.ps1 指令碼來建立測試使用者帳戶,然後在 EMC 中執行 Test-FederationTrust 指令程式,來確認可以從 Microsoft Federation Gateway 正確地接收委派 Token。
TXT 記錄 您可以檢視 DNS 管理工具中的記錄內容或使用 Nslookup 命令列工具,確認已正確設定 TXT 記錄。
有問題嗎?在 Office 365 論壇中尋求協助。若要存取此論壇,您需要以具有雲端架構服務系統管理員存取權的帳戶登入。此論壇的網址為:Office 365 論壇
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。