Okay quindi ... tutto è iniziato durante la nostra installazione di Office 365. Secondo Microsoft, è necessario eliminare il trust della federazione locale da Exchange, verificare il dominio, quindi aggiungerlo nuovamente ... altrimenti viene visualizzato un messaggio di errore oscuro durante la convalida del nome di dominio.
Così ho fatto questo ... tranne ora che la fiducia della federazione è rotta. Ricevo il seguente messaggio da "Test-FederationTrust -Verbose":
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)
Che diamine significa? Non ci sono password in un trust federato! Ho tentato di ricreare la fiducia più volte senza alcun risultato. Ho anche tentato di riutilizzare il certificato con cui la fiducia funzionava prima ma che non funzionava neanche.
Ciò interrompe anche le relazioni organizzative con lo stesso messaggio. Ho chiesto al nostro MSP e non hanno idea di cosa non vada. Prima di rilasciare i soldi su un ticket di supporto per Microsoft stessi ... qualcuno ha già visto questo messaggio di errore?
Di seguito ho anche pubblicato il mio output Get-FederationTrust (ovviamente per motivi di sicurezza):
RunspaceId : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier : 000000004804FA68
ApplicationUri : mydomain.com
OrgCertificate : [Subject]
CN=Federation
[Issuer]
CN=Federation
[Serial Number]
<snip>
[Not Before]
10/27/2017 11:58:27 AM
[Not After]
10/27/2022 11:58:27 AM
[Thumbprint]
<snip>
OrgNextCertificate :
OrgPrevCertificate :
OrgPrivCertificate : <snip>
OrgNextPrivCertificate :
OrgPrevPrivCertificate :
TokenIssuerCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
12/6/2016 5:06:29 PM
[Not After]
12/5/2021 5:06:29 PM
[Thumbprint]
<snip>
TokenIssuerPrevCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
7/18/2014 3:53:40 PM
[Not After]
7/17/2019 3:53:40 PM
[Thumbprint]
<snip>
PolicyReferenceUri : EX_MBI_FED_SSL
TokenIssuerMetadataEpr : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval : 1.00:00:00
TokenIssuerType : LiveId
TokenIssuerUri : urn:federation:MicrosoftOnline
TokenIssuerEpr : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr : https://login.microsoftonline.com/login.srf
MetadataEpr :
MetadataPutEpr :
TokenIssuerCertReference : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner : LiveDomainServices2
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
Name : Microsoft Federation Gateway
DistinguishedName : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity : Microsoft Federation Gateway
Guid : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass : {top, msExchFedTrust}
WhenChanged : 10/27/2017 12:13:31 PM
WhenCreated : 10/27/2017 11:58:29 AM
WhenChangedUTC : 10/27/2017 4:13:31 PM
WhenCreatedUTC : 10/27/2017 3:58:29 PM
OrganizationId :
OriginatingServer : dc.mydomain.com
IsValid : True
1
"Secondo Microsoft, è necessario eliminare il trust della federazione locale da Exchange, verificare il dominio, quindi aggiungerlo nuovamente." Ho fatto tre migrazioni di coesistenza ibrida e non l'ho mai fatto. Sospetto che sia stato in qualche modo un fraintendimento o un errore. Spero che tu possa mitigarlo. L'abbonamento a Office 365 include il supporto. È possibile che non supporteranno problemi che sembrano essersi verificati con Exchange locale ma vale la pena tentare. Almeno puoi verificare come impostare la federazione.
—
Todd Wilcox,
Forse, ma non sono stato in grado di verificare il mio dominio con O365 (ho generato un generico "si è verificato un errore, riprova più tardi" e mi è stato detto dal supporto Microsoft di abbandonare la fiducia della federazione per farlo funzionare.
—
Nathan C
Interessante. Forse puoi riaprire quel biglietto per farti aiutare ad affrontare il fallout?
—
Todd Wilcox,
No, non me lo permettono. Inoltre, non riesco più a utilizzare il supporto di Azure perché non gestiscono i problemi di Exchange. La mia unica scelta è quella di presentare un ticket di supporto tecnico direttamente a Microsoft (a $ 499 fantastici), quindi spero che qualcuno da qualche parte lo abbia già visto.
—
Nathan C
@ToddWilcox Posso confermare che un trust federativo può impedire la verifica o365, poiché ho trascorso una settimana con il supporto O365 quando uno ha bloccato la verifica del mio dominio . Non so perché sia necessario solo in alcuni casi (ovviamente, non tutti ne avranno creato uno ...). Per me, era una vecchia fiducia che non si era mai effettivamente utilizzata, quindi non ho dovuto aggiungerlo di nuovo in seguito, quindi non ho visto quel lato del problema. Ti auguro buona fortuna per questo Nathan C, pensieri positivi.
—
Joshua McKinnon,