Microsoft Exchange Federation Trust Rusak Setelah Memverifikasi di Office 365

11

Oke jadi ... ini semua dimulai saat penyetelan Office 365 kami. Menurut Microsoft, Anda harus menghapus kepercayaan federasi di tempat Anda dari Exchange, memverifikasi domain, lalu menambahkannya kembali ... jika tidak Anda mendapatkan pesan kesalahan yang tidak jelas saat memvalidasi nama domain.

Jadi saya melakukan ini ... kecuali sekarang kepercayaan federasi rusak. Saya mendapatkan pesan berikut dari "Test-FederationTrust -Verbose":

VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
 https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
   at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
   at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
   at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)

Apa artinya ini? Tidak ada kata sandi dalam kepercayaan gabungan! Saya telah mencoba untuk membuat ulang kepercayaan beberapa kali tetapi tidak berhasil. Saya juga mencoba menggunakan kembali sertifikat yang dipercayai sebelumnya, tetapi itu juga tidak berhasil.

Ini juga memutus hubungan organisasi dengan pesan yang sama. Saya sudah bertanya kepada MSP kami dan mereka tidak tahu apa yang salah. Sebelum saya mengirim uang dengan tiket dukungan ke Microsoft sendiri ... adakah yang pernah melihat pesan kesalahan ini sebelumnya?

Saya juga telah memposting keluaran Get-FederationTrust saya di bawah ini (jelas untuk tujuan keamanan,):

RunspaceId                   : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier        : 000000004804FA68
ApplicationUri               : mydomain.com
OrgCertificate               : [Subject]
                                 CN=Federation

                               [Issuer]
                                 CN=Federation

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 10/27/2017 11:58:27 AM

                               [Not After]
                                 10/27/2022 11:58:27 AM

                               [Thumbprint]
                                 <snip>

OrgNextCertificate           :
OrgPrevCertificate           :
OrgPrivCertificate           : <snip>
OrgNextPrivCertificate       :
OrgPrevPrivCertificate       :
TokenIssuerCertificate       : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 12/6/2016 5:06:29 PM

                               [Not After]
                                 12/5/2021 5:06:29 PM

                               [Thumbprint]
                                 <snip>

TokenIssuerPrevCertificate   : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 7/18/2014 3:53:40 PM

                               [Not After]
                                 7/17/2019 3:53:40 PM

                               [Thumbprint]
                                 <snip>

PolicyReferenceUri           : EX_MBI_FED_SSL
TokenIssuerMetadataEpr       : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval         : 1.00:00:00
TokenIssuerType              : LiveId
TokenIssuerUri               : urn:federation:MicrosoftOnline
TokenIssuerEpr               : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr      : https://login.microsoftonline.com/login.srf
MetadataEpr                  :
MetadataPutEpr               :
TokenIssuerCertReference     : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner         : LiveDomainServices2
AdminDisplayName             :
ExchangeVersion              : 0.10 (14.0.100.0)
Name                         : Microsoft Federation Gateway
DistinguishedName            : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
                               crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity                     : Microsoft Federation Gateway
Guid                         : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory               : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass                  : {top, msExchFedTrust}
WhenChanged                  : 10/27/2017 12:13:31 PM
WhenCreated                  : 10/27/2017 11:58:29 AM
WhenChangedUTC               : 10/27/2017 4:13:31 PM
WhenCreatedUTC               : 10/27/2017 3:58:29 PM
OrganizationId               :
OriginatingServer            : dc.mydomain.com
IsValid                      : True
Nathan C
sumber
1
"Menurut Microsoft, Anda harus menghapus kepercayaan federasi On-Premises Anda dari Exchange, memverifikasi domain, lalu menambahkannya kembali." Saya telah melakukan tiga migrasi koeksistensi hybrid dan saya tidak pernah melakukan ini. Saya menduga itu entah bagaimana kesalahpahaman atau kesalahan. Semoga Anda bisa mengurangi itu. Langganan Office 365 Anda mencakup dukungan. Ada kemungkinan mereka tidak akan mendukung masalah yang tampaknya terjadi dengan Exchange di tempat tetapi itu layak dicoba. Setidaknya Anda dapat memverifikasi bagaimana federasi harus diatur.
Todd Wilcox
Mungkin, tetapi saya tidak dapat memverifikasi domain saya dengan O365 (melemparkan generik "kesalahan terjadi, coba lagi nanti" dan saya diberitahu oleh Microsoft untuk menghentikan kepercayaan federasi agar berfungsi dengan baik.
Nathan C
Menarik. Mungkin Anda bisa membuka kembali tiket itu agar mereka membantu Anda mengatasi kejatuhan itu?
Todd Wilcox
Tidak, mereka tidak akan membiarkan saya. Saya juga tidak bisa mengajukan lagi menggunakan dukungan Azure karena mereka tidak berurusan dengan masalah Exchange. Satu-satunya pilihan saya adalah mengajukan tiket dukungan teknis langsung ke Microsoft (dengan harga $ 499), jadi saya berharap seseorang di suatu tempat melihat ini sebelumnya.
Nathan C
@ToddWilcox Saya dapat mengonfirmasi kepercayaan federasi dapat mencegah verifikasi o365, karena saya menghabiskan satu minggu dengan dukungan O365 ketika seseorang memblokir verifikasi domain saya . Tidak yakin mengapa itu hanya diperlukan dalam beberapa kasus (tentu saja, tidak semua orang akan membuat satu ...). Bagi saya, itu adalah kepercayaan lama yang tidak pernah benar-benar digunakan sehingga saya tidak perlu menambahkannya lagi setelah itu, jadi saya belum melihat sisi masalahnya. Saya berharap Anda beruntung pada Nathan C ini, Pikiran positif.
Joshua McKinnon

Jawaban:

0

Ini akhirnya menyelesaikan sendiri karena sisi lain dari kepercayaan itu juga beralih ke O365. Bukan jawaban yang saya harapkan, tetapi ini tidak lagi relevan.

Nathan C
sumber