Approbation de la fédération Microsoft Exchange rompue après vérification dans Office 365

11

Bon alors ... tout a commencé lors de notre installation d'Office 365. Selon Microsoft, vous devez supprimer votre approbation de fédération locale d'Exchange, vérifier le domaine, puis l'ajouter à nouveau ... sinon vous obtenez un message d'erreur obscur lors de la validation du nom de domaine.

Alors j'ai fait ça ... sauf que maintenant la confiance de la fédération est rompue. Je reçois le message suivant de "Test-FederationTrust -Verbose":

VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
 https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
   at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
   at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
   at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)

Qu'est-ce que cela signifie? Il n'y a pas de mot de passe dans une fiducie fédérée! J'ai tenté de recréer la confiance plusieurs fois en vain. J'ai également essayé de réutiliser le certificat avec lequel la fiducie travaillait auparavant, mais cela ne fonctionnait pas non plus.

Cela rompt également les relations organisationnelles avec le même message. J'ai demandé à notre MSP et ils n'ont aucune idée de ce qui ne va pas. Avant de déposer l'argent sur un ticket de support pour Microsoft eux-mêmes ... quelqu'un a-t-il déjà vu ce message d'erreur?

J'ai également posté ma sortie Get-FederationTrust ci-dessous (nettoyée pour des raisons de sécurité, évidemment):

RunspaceId                   : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier        : 000000004804FA68
ApplicationUri               : mydomain.com
OrgCertificate               : [Subject]
                                 CN=Federation

                               [Issuer]
                                 CN=Federation

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 10/27/2017 11:58:27 AM

                               [Not After]
                                 10/27/2022 11:58:27 AM

                               [Thumbprint]
                                 <snip>

OrgNextCertificate           :
OrgPrevCertificate           :
OrgPrivCertificate           : <snip>
OrgNextPrivCertificate       :
OrgPrevPrivCertificate       :
TokenIssuerCertificate       : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 12/6/2016 5:06:29 PM

                               [Not After]
                                 12/5/2021 5:06:29 PM

                               [Thumbprint]
                                 <snip>

TokenIssuerPrevCertificate   : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 7/18/2014 3:53:40 PM

                               [Not After]
                                 7/17/2019 3:53:40 PM

                               [Thumbprint]
                                 <snip>

PolicyReferenceUri           : EX_MBI_FED_SSL
TokenIssuerMetadataEpr       : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval         : 1.00:00:00
TokenIssuerType              : LiveId
TokenIssuerUri               : urn:federation:MicrosoftOnline
TokenIssuerEpr               : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr      : https://login.microsoftonline.com/login.srf
MetadataEpr                  :
MetadataPutEpr               :
TokenIssuerCertReference     : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner         : LiveDomainServices2
AdminDisplayName             :
ExchangeVersion              : 0.10 (14.0.100.0)
Name                         : Microsoft Federation Gateway
DistinguishedName            : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
                               crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity                     : Microsoft Federation Gateway
Guid                         : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory               : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass                  : {top, msExchFedTrust}
WhenChanged                  : 10/27/2017 12:13:31 PM
WhenCreated                  : 10/27/2017 11:58:29 AM
WhenChangedUTC               : 10/27/2017 4:13:31 PM
WhenCreatedUTC               : 10/27/2017 3:58:29 PM
OrganizationId               :
OriginatingServer            : dc.mydomain.com
IsValid                      : True
microsoft-office-365 adfs saml office365 exchange-server Nathan C
la source
1
"Selon Microsoft, vous devez supprimer votre approbation de fédération sur site d'Exchange, vérifier le domaine, puis l'ajouter à nouveau." J'ai fait trois migrations de coexistence hybride et je ne l'ai jamais fait. Je soupçonne que c'était en quelque sorte un malentendu ou une erreur. J'espère que vous pourrez l'atténuer. Votre abonnement Office 365 inclut la prise en charge. Il est possible qu'ils ne prennent pas en charge les problèmes qui semblent être liés à Exchange sur site, mais cela en vaut la peine. Vous pouvez au moins vérifier comment la fédération doit être configurée.
Todd Wilcox
Peut-être, mais je n'ai pas pu vérifier mon domaine avec O365 (a lancé un générique "une erreur s'est produite, réessayez plus tard") et le support Microsoft m'a dit de supprimer l'approbation de la fédération pour que cela fonctionne.
Nathan C
Intéressant. Peut-être pouvez-vous rouvrir ce ticket pour les aider à faire face aux retombées?
Todd Wilcox
Non, ils ne me laisseront pas. Je ne peux pas non plus déposer à nouveau à l'aide de la prise en charge Azure, car ils ne traitent pas des problèmes Exchange. Mon seul choix est de déposer un ticket de support technique directement auprès de Microsoft (à 499 $), j'espère donc que quelqu'un quelque part l'a déjà vu.
Nathan C
@ToddWilcox Je peux confirmer qu'une approbation de fédération peut empêcher la vérification o365, car j'ai passé une semaine avec le support O365 quand on a bloqué ma vérification de domaine . Je ne sais pas pourquoi cela n'est nécessaire que dans certains cas (bien sûr, tout le monde n'en aura pas créé un ...). Pour moi, c'était une ancienne fiducie qui n'a jamais été utilisée, donc je n'ai pas eu à la rajouter par la suite, donc je n'ai pas vu ce côté du problème. Je vous souhaite bonne chance sur ce Nathan C, pensées positives.
Joshua McKinnon

Réponses:

0

Cela a fini par se résoudre de lui-même puisque l'autre côté de la fiducie est également passé à O365. Pas la réponse que j'espérais obtenir, mais ce n'est plus pertinent.

Nathan C
la source