Как да конфигурирате сървър на Exchange локално да използвате хибридни модерен удостоверяване

Важно : Тази статия е преведена машинно – вижте отказа от отговорност. Английската версия на тази статия за справка можете да намерите тук .

Хибридни модерен удостоверяване (HMA), е метод за управление на идентичност, която предлага по-защитено удостоверяване на потребителя и разрешение и е достъпен за хибридни разполагания на Exchange server локално.

ВАША ИНФОРМАЦИЯ

Преди да започнем, мога да се обадя:

  • Хибридни модерен удостоверяване > HMA

  • Exchange локално > EXCH

  • Exchange Online > EXO

Също така, Ако графика в тази статия съдържа обект, който има "сив" или "недостъпно", това означава, че елементът показва в сиво не е включен в HMA специфична конфигурация.

Разрешаването на хибридна модерен удостоверяване

Включването HMA означава:

  1. Се уверете, че отговаряте prereqs, преди да започнете.

    1. Тъй като много необходими условия са общи за Skype за бизнеса и Exchange, вижте общ преглед статия за вашия предварително req контролен списък. Направете това, преди да започнете някоя от стъпките в тази статия.

  2. Добавяне на локални URL адреси на уеб услуга като главни имена на услуги (SPNs) в Azure AD.

  3. Проверка дали всички виртуални директории са разрешени за HMA

  4. Проверка за EvoSTS Auth сървър обект

  5. Разрешаването на HMA в обменни

Бележка  Поддържа ли вашата версия на Office на лентата на Excel? Проверете тук.

Уверете се, че отговаряте на всички предварително-изисквания към за

Тъй като много предпоставки са общи за Skype за бизнеса и Exchange, вижте общ преглед статия за вашия предварително req контролен списък. Направете това преди да започнете някоя от стъпките в тази статия.

Добавяне на локално уеб услуга URL адреси като SPNs в Azure AD

Изпълнение на командите, които присвояване на вашия локален уеб услуга URL адреси, като Azure AD SPNs. SPNs се използват от клиентски машини и устройства по време на удостоверяване и разрешение. Всички URL адреси, които може да се използва за свързване от локално Azure Active Directory (пад) трябва да бъдат регистрирани в ЗСУ (това включва вътрешни и външни пространства от имена).

Първо Съберете всички URL адреси, които трябва да добавите в ЗСУ. Изпълнете следните команди локално:

  • Get-MapiVirtualDirectory | FL сървър, * URL адрес *

  • Get-WebServicesVirtualDirectory | FL сървър, * URL адрес *

  • Get-OABVirtualDirectory | FL сървър, * URL адрес *

Уверете се, URL адреси на клиентите могат да се свързват със са посочени като HTTPS услугата основните имена в ЗСУ.

  1. Първо свързване със ЗСУ с тези инструкции.

  2. За вашия Exchange свързани URL адреси, въведете следната команда:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Изберете - ExpandProperty ServicePrincipalNames

Се под внимание (и екрана за по-късно сравнение) изход от тази команда, която трябва да включва https://автоматично откриване. Вашият домейн.com и https://mail.yourdomain.com URL адрес, но най-вече се състои от SPNs, които започват с 00000002-0000-0ff1-ce00-000000000000 /. Ако има https:// URL адреси от вашата локална липсващите ние ще трябва да добавите тези записи към този списък.

3. Ако не виждате вашите вътрешни и външни MAPI/HTTP, EWS, OAB и автоматично откриване на записи в този списък, трябва да добавите тях с помощта на командата по-долу (например URL адресите са "mail.corp.contoso.com" и "owa.contoso.com", но сте имали заместване URL адресите на пример с вашия собствен):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • Set-MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Проверете вашите нови записи са били добавени от изпълнението на командата Get-MsolServicePrincipal от стъпка 2 отново и търси чрез изход. Сравняване на списъка / екранна снимка от преди за новия списък с SPNs (можете също така да екранна снимка на нов списък за вашите записи). Ако сте били успешно, ще видите две нови URL адресите в списъка. Ще от нашия пример, списъкът на SPNs сега ще включва определени URL адреси https://mail.corp.contoso.com и https://owa.contoso.com.

Проверете дали виртуални директории са конфигурирани правилно

Сега проверете OAuth е правилно активиран в Exchange на всички виртуални директории Outlook може да използвате като изпълните следните команди;

  • Get-MapiVirtualDirectory | FL сървър, * URL адрес *, * auth *

  • Get-WebServicesVirtualDirectory | FL сървър, * URL адрес *, * oauth *

  • Get-OABVirtualDirectory | FL сървър, * URL адрес *, * oauth *

  • Get-AutoDiscoverVirtualDirectory | FL сървър, * oauth *

Проверете изхода да се уверете, че OAuth е разрешена във всеки от тези VDirs, тя ще изглежда по подобен начин (и ключът е да разгледаме е "OAuth");

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | FL сървър, * URL адрес *, * auth *

Сървър: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, Договорете}

InternalAuthenticationMethods: {Ntlm, OAuth, Договорете}

ExternalAuthenticationMethods: {Ntlm, OAuth, Договорете}

Ако липсва OAuth от всеки сървър и някой от четири виртуални директории трябва да я използвате на съответните команди, преди да продължите.

Потвърдете EvoSTS Auth сървър обектът е представяне

Върнете се в обвивката за управление на локален Exchange за тази последната команда. Сега можете да проверите дали вашите локални има запис за evoSTS доставчик на удостоверяване:

  • Get-AuthServer | където {$_. Име - еквивалент "EvoSts"}

Изходен ви трябва да показват AuthServer на името EvoSts и състоянието на "Разрешен" трябва да е True. Ако не виждате това, можете да изтеглите и да работите с най-новата версия на съветника за конфигуриране на хибридно разполагане.

Важно  Ако използвате Exchange 2010 във вашата среда, няма да се създаде EvoSTS удостоверяване доставчик.

Разрешаване на HMA

Изпълнете следната команда на обвивката за управление на Exchange, локално

  • Set-AuthServer-самоличност EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

„Потвърди“

След като разрешите HMA, клиент следващото влизане ще използва нов auth поток. Обърнете внимание, че само включване на HMA няма да активира повторно удостоверяване за всеки клиент. Клиенти повторно удостоверяване въз основа на жизнения цикъл на маркери за удостоверяване и/или сертификати имат.

Можете също така трябва да задръжте натиснат клавиша CTRL в същото време можете щракнете с десния бутон върху иконата за клиент на Outlook (също и в прозорец съобщаване табла) и щракнете върху състояние на връзката. Потърсете SMTP адрес на клиента срещу "Authn" тип "Носител *", която представлява носител маркер, използвани в OAuth.

Бележка  Трябва да конфигурирате Skype за бизнеса с HMA? Ще трябва две статии: такава, която изброява поддържани топологиии такава, която показва как да направите конфигурацията.

Връзка обратно към общ преглед на модерен удостоверяване.

Забележка : Отказ от отговорност за машинен превод: Тази статия е преведена от компютърна система без човешка намеса. Microsoft предлага тези машинни преводи, за да помогне на потребителите, които не говорят английски, да се възползват от съдържанието за продукти, услуги и технологии на Microsoft. Тъй като статията е преведена машинно, е възможно да съдържа грешки в речника, синтаксиса и граматиката.

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към участниците в Office Insider

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×