Konfigurácia servera Exchange lokálne používať hybridné moderné overovania

Poznámka:  Radi by sme vám čo najrýchlejšie poskytovali najaktuálnejší obsah Pomocníka vo vašom vlastnom jazyku. Táto stránka bola preložená automaticky a môže obsahovať gramatické chyby alebo nepresnosti. Naším cieľom je, aby bol tento obsah pre vás užitočný. Dali by ste nám v dolnej časti tejto stránky vedieť, či boli pre vás tieto informácie užitočné? Tu nájdete anglický článok pre jednoduchú referenciu.

Moderné hybridnom overovanie (systém), je spôsob správy identít, ktorý ponúka bezpečnejšie overovanie používateľov a autorizáciu, a je k dispozícii pre hybridné nasadenia Exchange servera s lokálnym.

PRE INFORMÁCIU

Skôr než začneme, môžem volať:

  • Moderné overovania hybridné > systém

  • Exchange lokálne > EXCH

  • Exchange Online > EXO

Aj Ak grafický objekt v v tomto článku obsahuje objekt, ktorý obsahuje "sivou out" alebo "neaktívne" to znamená, že daný prvok zobrazujú sivou farbou nie je zahrnutý v konfigurácii špecifické pre systém.

Moderné overenie hybridné nasadenie

Zapnutie systém prostriedkov:

  1. Sa, či spĺňate prereqs skôr než začnete.

    1. Od mnohých predpoklady sú spoločné pre obe Skypu for Business a Exchange, nájdete v článku Prehľad zoznam vašich vopred req. Skôr než začnete niektorý z krokov v tomto článku, postupujte takto.

  2. Pridanie lokálnych URL adresy webovej služby ako hlavné názvy služieb (SPNs) v službe Azure AD.

  3. Zabezpečiť, aby všetky virtuálne adresáre sú povolené pre systém

  4. Kontrola EvoSTS Auth Server objektu

  5. Povolenie systém v ďalšej meny

Poznámka:  Podporuje vaša verzia balíka Office MA? Skontrolujte tu.

Skontrolujte, či spĺňate všetky vopred požiadavkách

Keďže mnohé predpoklady sú spoločné pre obe Skypu for Business a Exchange, nájdete v článku Prehľad zoznam vašich vopred req. V tomto pred začatím práce niektorý z krokov v tomto článku.

Pridanie lokálneho webovej služby URL adresy ako hlavných názvov služieb Azure AD

Spustite príkazy, ktoré priradiť svojho lokálneho webovej služby URL adresy ako pri overovanie a povolenia sa používajú v klientskych počítačoch a zariadeniach hlavných názvov služieb Azure AD hlavných názvov služieb.. Všetky adresy URL, ktoré možno použiť na lokálne pripojenie k Azure Active Directory (AAD) musí byť registrovaný v AAD (vrátane interných a externých názvov).

Najprv Zhromaždite všetky URL adresy, ktoré je potrebné pridať v AAD. Spustite nasledujúce príkazy lokálne:

  • Get-MapiVirtualDirectory | V časti server FL * URL adresu *

  • Get-WebServicesVirtualDirectory | V časti server FL * URL adresu *

  • Get-ActiveSyncVirtualDirectory | V časti server FL * URL adresu *

  • Get-OABVirtualDirectory | V časti server FL * URL adresu *

Skontrolujte, či URL adresy klientov sa môžu pripojiť k sú uvedené ako HTTPS hlavných názvov služieb v AAD.

  1. Najprv pripojiť k AAD podľa týchtopokynov.

  2. Pre Exchange súvisiace URL zadajte nasledujúci príkaz:

  • Get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | Vyberte - ExpandProperty ServicePrincipalNames

Pozrite si (a screenshot pre porovnanie) výstup tohto príkazu, ktoré by mali obsahovať https://autodiscover. vasadomena.com a https://mail.yourdomain.com URL adresy, no väčšinou obsahujú hlavných názvov služieb, ktoré sa začínajú 00000002-0000-0ff1-ce00-000000000000 /. Ak existujú https:// URL adresy z lokálneho chýbajúcich potrebujeme pridať tieto konkrétnych záznamov do tohto zoznamu.

3. Ak sa nezobrazuje interným a externým rozhranie MAPI/HTTP, EWS, ActiveSync, možnosť a Autodiscover záznamy v tomto zozname, musíte pridať ich pomocou príkazu nižšie (príklad URL adresy sú "mail.corp.contoso.com" a "owa.contoso.com", ale ak chcete nahradiť príklad URL adresy s vašou vlastnou):

  • $x = get-MsolServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • Nastavenie MSOLServicePrincipal - AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4. Overte, či boli pridané nové záznamy tak, že znova spustiť príkaz Get-MsolServicePrincipal v kroku 2, a pozrieť výstup. Porovnanie zoznamu / screenshot z pred nový zoznam hlavných názvov služieb (môžete tiež snímka nového zoznamu na vytvorenie záznamov). Ak ste boli úspešné, uvidíte dva nové URL v zozname. Chystáte sa našom príklade, zoznam hlavných názvov služieb teraz obsahuje konkrétne URL adresy https://mail.corp.contoso.com a https://owa.contoso.com.

Overte, či virtuálne adresáre sú správne nakonfigurované

Teraz skontrolujte OAuth správne je zapnutá v Exchange na všetky virtuálne adresáre Outlooku používajúceho spustením nasledujúce príkazy;

  • Get-MapiVirtualDirectory | V časti server FL * url * * auth *

  • Get-WebServicesVirtualDirectory | V časti server FL * url * * oauth *

  • Get-OABVirtualDirectory | V časti server FL * url * * oauth *

  • Get-AutoDiscoverVirtualDirectory | V časti server FL * oauth *

Pozrite si výstup na Skontrolujte, či OAuth zapnutá v každej z týchto VDirs, bude vyzerať približne takto (a pohľad na kľúčové vec je "OAuth");

[PS] C:\Windows\System32 > Get-MapiVirtualDirectory | v časti server FL * url * * auth *

Server: v1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm, OAuth, Rokujte o o použití}

InternalAuthenticationMethods: {Ntlm, OAuth, Rokujte o o použití}

ExternalAuthenticationMethods: {Ntlm, OAuth, Rokujte o o použití}

Ak chýba OAuth z akéhokoľvek servera a všetky štyri virtuálne adresáre, musíte pridať pomocou príslušnej príkazy pred začatím.

Potvrďte EvoSTS Auth Server objekt je prezentovať

Vráťte sa do lokálneho servera Exchange Management Shell tohto posledného príkazu. Teraz si môžete overiť, či lokálnych má vstupu pre evoSTS poskytovateľa overovania:

  • Get-AuthServer | kde {$_. Zadajte názov - eq "EvoSts"}

Výstup by mali zobrazovať AuthServer EvoSts meno a "Povolené" štát by mal mať hodnotu True. Ak sa to nezobrazuje, je potrebné stiahnuť a spustiť najnovšiu verziu doplnku Sprievodca hybridnou konfiguráciou.

Dôležité  Ak používate Exchange 2010 vo svojom prostredí, sa nevytvoria EvoSTS poskytovateľa overovania.

Povoliť systém

Spustite tento príkaz v lokálneho servera Exchange Management Shell

  • Súbor AuthServer-Identity EvoSTS - IsDefaultAuthorizationEndpoint $true

  • Set-OrganizationConfig-OAuth2ClientProfileEnabled $true

Overiť

Po zapnutí systém sa klienta ďalšie prihlásenie sa použije nový tok auth. Všimnite si, že stačí zapnúť systém nespustia opätovné overenie pre každého klienta. Klienti znova overiť na základe trvania auth tokenov a/alebo certs majú.

Treba tiež podržte stlačený kláves CTRL zároveň pravým tlačidlom kliknite na ikonu pre klienta programu Outlook (aj na paneli oznámení systému Windows) a kliknite na položku "Stavu pripojenia". Vyhľadajte SMTP adresa klienta proti "Authn" typ "Držiteľ *", čo predstavuje držiteľ tokenu použitých v OAuth.

Poznámka:  Je potrebné nakonfigurovať systém Skype for Business? Budete potrebovať dva články: ten, ktorý obsahuje zoznam podporovaných topológiía ten, ktorý vám ukáže, ako používať túto konfiguráciu.

Odkaz späť na prehľad moderné overovania.

Rozšírte svoje zručnosti práce s balíkom Office
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pridajte sa k insiderom pre Office

Boli tieto informácie užitočné?

Ďakujeme za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×