Ufność zaufania Microsoft Exchange Federation po weryfikacji w Office 365

11

Okej, więc ... wszystko zaczęło się podczas naszej instalacji Office 365. Według Microsoftu musisz usunąć lokalne zaufanie federacyjne z Exchange, zweryfikować domenę, a następnie dodać ją z powrotem ... w przeciwnym razie pojawi się niejasny komunikat o błędzie podczas sprawdzania poprawności nazwy domeny.

Więc zrobiłem to ... tyle że teraz zaufanie federacji jest zepsute. Otrzymuję następujący komunikat od „Test-FederationTrust -Verbose”:

VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
 https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
   at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
   at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
   at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)

Co to do cholery znaczy? W federacyjnym zaufaniu nie ma haseł! Próbowałem odtworzyć zaufanie wiele razy, ale bezskutecznie. Próbowałem również ponownie użyć certyfikatu, z którym wcześniej współpracowało zaufanie, ale to też nie działało.

To również zrywa relacje organizacyjne z tym samym komunikatem. Zapytałem naszego MSP i nie mają pojęcia, co jest nie tak. Zanim wyrzucę pieniądze na bilet pomocy technicznej do Microsoftu ... czy ktoś wcześniej widział ten komunikat o błędzie?

Poniżej opublikowałem również dane wyjściowe Get-FederationTrust (oczywiście oczyszczone ze względów bezpieczeństwa):

RunspaceId                   : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier        : 000000004804FA68
ApplicationUri               : mydomain.com
OrgCertificate               : [Subject]
                                 CN=Federation

                               [Issuer]
                                 CN=Federation

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 10/27/2017 11:58:27 AM

                               [Not After]
                                 10/27/2022 11:58:27 AM

                               [Thumbprint]
                                 <snip>

OrgNextCertificate           :
OrgPrevCertificate           :
OrgPrivCertificate           : <snip>
OrgNextPrivCertificate       :
OrgPrevPrivCertificate       :
TokenIssuerCertificate       : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 12/6/2016 5:06:29 PM

                               [Not After]
                                 12/5/2021 5:06:29 PM

                               [Thumbprint]
                                 <snip>

TokenIssuerPrevCertificate   : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 7/18/2014 3:53:40 PM

                               [Not After]
                                 7/17/2019 3:53:40 PM

                               [Thumbprint]
                                 <snip>

PolicyReferenceUri           : EX_MBI_FED_SSL
TokenIssuerMetadataEpr       : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval         : 1.00:00:00
TokenIssuerType              : LiveId
TokenIssuerUri               : urn:federation:MicrosoftOnline
TokenIssuerEpr               : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr      : https://login.microsoftonline.com/login.srf
MetadataEpr                  :
MetadataPutEpr               :
TokenIssuerCertReference     : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner         : LiveDomainServices2
AdminDisplayName             :
ExchangeVersion              : 0.10 (14.0.100.0)
Name                         : Microsoft Federation Gateway
DistinguishedName            : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
                               crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity                     : Microsoft Federation Gateway
Guid                         : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory               : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass                  : {top, msExchFedTrust}
WhenChanged                  : 10/27/2017 12:13:31 PM
WhenCreated                  : 10/27/2017 11:58:29 AM
WhenChangedUTC               : 10/27/2017 4:13:31 PM
WhenCreatedUTC               : 10/27/2017 3:58:29 PM
OrganizationId               :
OriginatingServer            : dc.mydomain.com
IsValid                      : True
Nathan C.
źródło
1
„Według Microsoftu musisz usunąć zaufanie federacyjne On-Premises z Exchange, zweryfikować domenę, a następnie dodać ją ponownie.” Zrobiłem trzy migracje hybrydowego współistnienia i nigdy tego nie zrobiłem. Podejrzewam, że było to nieporozumienie lub błąd. Mam nadzieję, że możesz to złagodzić. Twoja subskrypcja Office 365 obejmuje wsparcie. Istnieje szansa, że ​​nie będą w stanie obsłużyć problemów, które wydają się być związane z wymianą przedpremierową, ale warto spróbować. Przynajmniej możesz zweryfikować, jak należy skonfigurować federację.
Todd Wilcox,
Być może, ale nie byłem w stanie zweryfikować swojej domeny za pomocą O365 (rzuciłem ogólny komunikat „wystąpił błąd, spróbuj ponownie później”), a wsparcie Microsoft powiedziało mi, aby zrezygnować z zaufania federacji, aby działało.
Nathan C
Ciekawy. Być może możesz ponownie otworzyć ten bilet, aby pomóc im w rozwiązaniu problemu?
Todd Wilcox,
Nie, nie pozwolą mi. Nie mogę również ponownie złożyć wniosku przy użyciu obsługi platformy Azure, ponieważ nie rozwiązują problemów z programem Exchange. Moim jedynym wyborem jest złożenie zgłoszenia do pomocy technicznej bezpośrednio w firmie Microsoft (za 499 USD), więc mam nadzieję, że ktoś gdzieś już to widział.
Nathan C
@ToddWilcox Mogę potwierdzić, że zaufanie federacji może zapobiec weryfikacji o365, ponieważ spędziłem tydzień z obsługą O365, gdy zablokowałem weryfikację domeny . Nie jestem jednak pewien, dlaczego jest to potrzebne tylko w niektórych przypadkach (oczywiście nie wszyscy go stworzą ...). Dla mnie było to stare zaufanie, które tak naprawdę nigdy się nie przydało, więc nie musiałem go później dodawać, więc nie widziałem tej strony problemu. Życzę powodzenia w tym Nathan C. Pozytywne myśli.
Joshua McKinnon

Odpowiedzi:

0

Skończyło się to na samodzielnym rozwiązaniu, ponieważ druga strona zaufania przeszła również na O365. Nie była to odpowiedź, na którą liczyłem, ale nie jest to już istotne.

Nathan C.
źródło