Partager via

Configurer la délégation fédérée pour un déploiement hybride Exchange 2007

  • Article

 

S’applique à : Exchange Server 2010 SP1

Dernière rubrique modifiée : 2015-03-09

Durée d’exécution estimée : 15 minutes

La délégation fédérée est une relation établie entre votre organisation locale et le service en nuage qui utilise une approbation de fédération avec Microsoft Federation Gateway. La délégation fédérée est une exigence pour la configuration de la remise centralisée du courrier et pour un grand nombre de fonctionnalités de gestion des boîtes aux lettres. De plus, lorsqu’elle est associée à la configuration d’une relation d’organisation entre les organisations Exchange, elle permet aux utilisateurs des deux organisations de partager leurs informations sur la disponibilité du calendrier (disponible/occupé). La délégation fédérée est donc indispensable pour d’autres fonctionnalités de messagerie enrichies, notamment les Infos-courrier, le suivi de messages et la recherche dans plusieurs boîtes aux lettres.

La configuration de la délégation fédérée pour votre organisation locale nécessite plusieurs étapes :

  1. Créez une approbation de fédération avec Microsoft Federation Gateway pour votre organisation locale. (Une approbation de fédération avec la passerelle pour l’organisation en nuage est automatiquement créée lorsque vous créez le compte de service en nuage.)

  2. Créez des preuves de domaine pour le domaine que vous voulez utiliser comme espace de noms de compte et pour tout autre domaine que vous voulez ajouter comme domaine fédéré sur Microsoft Federation Gateway. Nous vous recommandons d’utiliser un espace de noms de domaine différent du domaine utilisé comme domaine SMTP principal pour l’espace de noms de compte fédéré. Pour mettre en évidence le fait que ce sous-domaine est utilisé pour la délégation fédérée, nous vous recommandons de créer un sous-domaine séparé de « exchangedelegation ».  « exchangedelegation.contoso.com » est un exemple de sous-domaine de délégation fédérée.

  3. Créez un enregistrement de texte (TXT) dans la zone DNS (Domain Name System) de chaque domaine accepté que vous voulez fédérer. L’enregistrement TXT contient la chaîne de chiffrement de preuve du domaine fédéré générée lors de l’étape précédente.

  4. Configurez les domaines pour la fédération.

Pour plus d’informations, voir : Présentation de la délégation fédérée

AttentionAttention :
Cette rubrique est censée être lue comme faisant partie de la liste de contrôle de déploiement hybride Microsoft Exchange Server 2007 et Office 365. Les informations ou les procédures contenues dans cette rubrique dépendent des conditions préalables configurées dans les rubriques préalablement dans la liste de contrôle. Pour afficher la liste de contrôle, voir Liste de contrôle - Déploiement hybride Exchange 2007 et Office 365

Comment créer une approbation de fédération avec Microsoft Federation Gateway ?

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Approbations de fédération » dans la rubrique Autorisation d’infrastructure Exchange et Shell.

Vous pouvez utiliser l’Assistant Nouvelle approbation de fédération dans la console de gestion Exchange (EMC) sur le serveur hybride pour créer l’approbation de fédération avec Microsoft Federation Gateway pour l’organisation locale.

  1. Dans l’arborescence de la console, cliquez sur le nœud Configuration de l’organisation de la forêt Exchange locale.

  2. Dans le volet Actions, cliquez sur Nouvelle approbation de fédération.

  3. Sur la page Nouvelle approbation de fédération, cliquez sur Nouveau.

    RemarqueRemarque :
    Ceci crée automatiquement un certificat auto-signé pour l’approbation de fédération avec la passerelle et déploie le certificat auto-signé sur les serveurs Exchange de votre organisation. Le nom par défaut de la nouvelle approbation de fédération est Microsoft Federation Gateway.

  4. Dans la page Achèvement, cliquez sur Terminer pour fermer l’assistant.

Comment créer des preuves de domaine pour les domaines fédérés ?

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Approbations de fédération » dans la rubrique Autorisation d’infrastructure Exchange et Shell.

Vous devez utiliser l’environnement de ligne de commande Exchange Management Shell pour créer les preuves de domaine pour votre domaine de fédération et votre domaine SMTP principal. Exécutez la cmdlet Get-FederatedDomainProof pour ces deux domaines.

Cet exemple génère la chaîne de preuve de domaine utilisée pour l’enregistrement TXT pour le domaine de délégation fédérée exchangedelegation.contoso.com et pour le domaine SMTP principal contoso.com.

Get-FederatedDomainProof -DomainName exchangedelegation.contoso.com
Get-FederatedDomainProof -DomainName contoso.com

Enregistrez les valeurs de sortie retournées dans le champ Proof car vous en aurez besoin lors de l’étape suivante. Collez les valeurs de sortie dans un éditeur de texte (par exemple, le Bloc-notes) de manière à pouvoir les copier depuis l’éditeur de texte dans le champ Texte de l’enregistrement TXT.

Comment créer un enregistrement TXT dans DNS pour les domaines acceptés ?

Vous devez maintenant ajouter des enregistrements TXT pour les domaines exchangedelegation.contoso.com et contoso.com. Chaque enregistrement TXT doit comprendre la chaîne de preuve de domaine générée au moment d’exécuter la cmdlet Get-FederatedDomainProof lors de l’étape précédente. Par exemple, si le domaine fédéré est exchangedelegation.contoso.com et que votre domaine SMTP principal est contoso.com, les enregistrements TXT ressembleraient à ce qui suit :

Domaine Type d’enregistrement DNS Texte

exchangedelegation.contoso.com

TXT

7Zyr2i/fE/M/T3AwCpitDbF30Fk/TdzXME6f7d1lDaKGthPdoS+UF94t43D2nU5hLNnIAP+5A3jJR2ik9HDPgg==

contoso.com.

TXT

Eh/po5qT098GMPklJU2DShrYO9mPseTn5i9wWKOKebmceLPuLCpaejYj83W53H/YcuzPy2VSo621BHO4DNS7jg==

Reportez-vous à l’aide de l’hôte DNS pour plus d’informations sur l’ajout d’un enregistrement TXT à votre zone DNS.

Comment configurer les domaines pour la fédération ?

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Approbations de fédération » dans la rubrique Autorisation d’infrastructure Exchange et Shell.

Vous pouvez utiliser l’Assistant Gérer la fédération dans la console de gestion Exchange sur le serveur hybride pour configurer la fédération pour les domaines acceptés :

  1. Dans l’arborescence de la console, accédez à Configuration de l’organisation pour la forêt Exchange locale, puis sélectionnez l’approbation de fédération Microsoft Federation Gateway.

  2. Dans le volet Actions, cliquez sur Gérer la fédération.

  3. Les informations des certificats utilisés pour l’approbation de la fédération s’affichent sur la page Gérer le certificat de fédération. Cela comprend les informations du certificat actuel, du prochain certificat et du certificat précédent. Sélectionnez le certificat actuel et vérifiez que la case à cocher Contact de Microsoft Federation Gateway pour obtenir ses métadonnées de certificat et de fédération est activée. Cliquez sur Suivant pour continuer.

    RemarqueRemarque :
    Le certificat Statut de distribution est normalement affiché comme « Inconnu » dans la liste Gérer le certificat de fédération. Pour mettre à jour le statut de distribution, cliquez sur Afficher l’état de distribution.

  4. Dans la page Gérer des domaines fédérés, cliquez sur Ajouter pour ajouter le domaine de délégation fédérée en tant que domaine fédéré. Si vous sélectionnez le domaine de délégation fédérée, il est automatiquement désigné comme espace de noms de compte pour l’approbation de fédération. La boîte de dialogue Sélectionner le domaine accepté affiche tous les domaines acceptés dans l’organisation Exchange 2010. Par exemple, sélectionnez le domaine exchangedelegation.contoso.com pour définir ce domaine en tant qu’espace de noms de compte.

  5. Dans la page Gérer des domaines fédérés, cliquez sur Ajouter pour ajouter également le domaine SMTP principal en tant que domaine fédéré. Par exemple, sélectionnez le domaine contoso.com.

  6. Vérifiez que le texte du domaine de délégation fédérée est affiché en gras. Cela indique qu’il est désigné en tant qu’espace de noms de compte pour l’approbation de fédération. Dans le cas contraire, sélectionnez le domaine de délégation fédérée puis cliquez sur Définir en tant qu’espace de noms de compte pour le désigner comme tel.

    RemarqueRemarque :
    L’État du domaine est normalement affiché comme « Inconnu » dans la liste Gérer les domaines fédérés.

  7. Dans la zone Adresse de messagerie du contact de l’organisation, entrez l’adresse de messagerie du contact désigné de l’organisation pour la fédération. Cette adresse de messagerie est utilisée uniquement comme adresse de contact et n’a aucune propriété de configuration de délégation fédérée.

  8. Activez la case à cocher Activer la fédération pour activer la fédération. Si nécessaire, vous pouvez également utiliser cette case à cocher pour désactiver la fédération pour l’organisation Exchange. Cliquez sur Suivant pour continuer.

  9. Dans la page Gérer la fédération, examinez les informations dans Résumé de la configuration, puis cliquez sur Gérer pour exécuter les modifications.

  10. Dans la page Achèvement, cliquez sur Terminer pour fermer l’assistant.

Comment savoir si cela a fonctionné ?

L’exécution en bonne et due forme du processus de délégation fédérée pour votre organisation locale dépend de plusieurs paramètres de configuration distincts. Ainsi, vous devez vérifier que chaque zone de composant a été correctement configurée.

  • Approbation de fédération   L’exécution réussie de l’Assistant Nouvelle approbation de fédération constitue la première indication que le processus de création de l’approbation de fédération a fonctionné comme prévu. Pour vérifier que l’approbation de fédération a été créée avec succès, ouvrez la console de gestion Exchange et sélectionnez le nœud Configuration de l’organisation. Cliquez sur l’onglet Approbation de fédération pour afficher les propriétés de l’approbation de fédération avec Microsoft Federation Gateway.

    Pour vérifier que l’approbation de fédération a été créée avec succès, vous pouvez également exécuter les cmdlets Get-FederationTrust et Get-FederationInformation dans l’environnement de ligne de commande Exchange Management Shell. Les cmdlets génèrent les propriétés de l’approbation de fédération qui ont été configurées pour votre organisation locale.

    Vous devez également créer un compte utilisateur test à l’aide du script New-TestCasConnectivity User.ps1 qui se trouve dans %ExchangeInstallPath%\Scripts, puis exécuter la cmdlet Test-FederationTrust dans la console de gestion Exchange pour vérifier que les jetons de délégation peuvent être correctement reçus de Microsoft Federation Gateway.

  • Enregistrements TXT   Vous pouvez vérifier que les enregistrements TXT sont correctement configurés en affichant les propriétés des enregistrements dans vos outils de gestion de DNS ou en utilisant l’outil de ligne de commande Nslookup.

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Office 365. Pour accéder à ces forums, vous devez vous connecter en utilisant un compte disposant de l’accès administrateur au service informatique en nuage. Visitez le forum à l’adresse : Forums Office 365

 © 2010 Microsoft Corporation. Tous droits réservés.