Microsoft Exchange Federation Trust ไม่สามารถใช้งานได้หลังจากตรวจสอบใน Office 365


11

โอเค ... ทั้งหมดนี้เริ่มต้นขึ้นในระหว่างการตั้งค่า Office 365 ของเรา ตาม Microsoft คุณต้องลบความไว้วางใจสหพันธรัฐในสถานที่ของคุณจากการแลกเปลี่ยนตรวจสอบโดเมนแล้วเพิ่มกลับ ... มิฉะนั้นคุณจะได้รับข้อความแสดงข้อผิดพลาดชัดเจนเมื่อตรวจสอบชื่อโดเมน

ดังนั้นฉันจึงทำเช่นนี้ ... ยกเว้นตอนนี้ความเชื่อมั่นของสหพันธรัฐจะพัง ฉันได้รับข้อความต่อไปนี้จาก "Test-FederationTrust -Verbose":

VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
 https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
   at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
   at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
   at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)

สิ่งนี้หมายความว่าห่า ไม่มีรหัสผ่านในความเชื่อถือแบบรวม! ฉันพยายามสร้างความเชื่อถือซ้ำหลายครั้งเพื่อไม่เกิดประโยชน์ ฉันพยายามที่จะใช้ใบรับรองที่เชื่อว่าใช้งานมาก่อน แต่ก็ไม่ได้ผลเช่นกัน

สิ่งนี้ยังทำลายความสัมพันธ์ขององค์กรด้วยข้อความเดียวกัน ฉันถาม MSP ของเราแล้วและพวกเขาไม่รู้ว่าเกิดอะไรขึ้น ก่อนที่ฉันจะลดเงินในตั๋วสนับสนุนให้กับ Microsoft ด้วยตนเอง ... มีใครเคยเห็นข้อความแสดงข้อผิดพลาดนี้มาก่อนหรือไม่

ฉันยังโพสต์ผลลัพธ์ Get-FederationTrust ด้านล่างของฉัน (ถูกขัดเพื่อความปลอดภัยอย่างชัดเจน):

RunspaceId                   : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier        : 000000004804FA68
ApplicationUri               : mydomain.com
OrgCertificate               : [Subject]
                                 CN=Federation

                               [Issuer]
                                 CN=Federation

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 10/27/2017 11:58:27 AM

                               [Not After]
                                 10/27/2022 11:58:27 AM

                               [Thumbprint]
                                 <snip>

OrgNextCertificate           :
OrgPrevCertificate           :
OrgPrivCertificate           : <snip>
OrgNextPrivCertificate       :
OrgPrevPrivCertificate       :
TokenIssuerCertificate       : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 12/6/2016 5:06:29 PM

                               [Not After]
                                 12/5/2021 5:06:29 PM

                               [Thumbprint]
                                 <snip>

TokenIssuerPrevCertificate   : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 7/18/2014 3:53:40 PM

                               [Not After]
                                 7/17/2019 3:53:40 PM

                               [Thumbprint]
                                 <snip>

PolicyReferenceUri           : EX_MBI_FED_SSL
TokenIssuerMetadataEpr       : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval         : 1.00:00:00
TokenIssuerType              : LiveId
TokenIssuerUri               : urn:federation:MicrosoftOnline
TokenIssuerEpr               : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr      : https://login.microsoftonline.com/login.srf
MetadataEpr                  :
MetadataPutEpr               :
TokenIssuerCertReference     : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner         : LiveDomainServices2
AdminDisplayName             :
ExchangeVersion              : 0.10 (14.0.100.0)
Name                         : Microsoft Federation Gateway
DistinguishedName            : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
                               crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity                     : Microsoft Federation Gateway
Guid                         : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory               : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass                  : {top, msExchFedTrust}
WhenChanged                  : 10/27/2017 12:13:31 PM
WhenCreated                  : 10/27/2017 11:58:29 AM
WhenChangedUTC               : 10/27/2017 4:13:31 PM
WhenCreatedUTC               : 10/27/2017 3:58:29 PM
OrganizationId               :
OriginatingServer            : dc.mydomain.com
IsValid                      : True

1
"ตาม Microsoft คุณต้องลบความเชื่อถือสหพันธรัฐในสถานที่ของคุณจาก Exchange ตรวจสอบโดเมนแล้วเพิ่มกลับ" ฉันได้ทำการย้ายระบบการอยู่ร่วมกันแบบไฮบริดสามครั้งและไม่เคยทำสิ่งนี้มาก่อน ฉันสงสัยว่ามันเป็นความเข้าใจผิดหรือความผิดพลาดอย่างใด หวังว่าคุณจะสามารถลดได้ การสมัครใช้งาน Office 365 ของคุณรวมถึงการสนับสนุน มีโอกาสที่พวกเขาจะไม่สนับสนุนปัญหาที่ดูเหมือนว่าจะเกิดขึ้นกับการแลกเปลี่ยนในสถานที่ แต่ก็คุ้มค่ากับการยิง อย่างน้อยคุณสามารถตรวจสอบได้ว่าควรตั้งค่าสหพันธรัฐอย่างไร
ทอดด์วิลค็อกซ์

บางทีอาจจะเป็น แต่ผมก็ไม่สามารถที่จะตรวจสอบโดเมนของฉันกับ O365 (โยนทั่วไป "เกิดข้อผิดพลาดลองอีกครั้งในภายหลัง" และฉันก็บอกโดยการสนับสนุนของ Microsoft ที่จะลดความน่าเชื่อถือสหพันธรัฐเพื่อให้งานที่ทำ.
นาธาน C

น่าสนใจ บางทีคุณสามารถเปิดตั๋วอีกครั้งเพื่อให้พวกเขาช่วยคุณจัดการกับผลกระทบที่เกิดขึ้นได้?
ทอดด์วิลค็อกซ์

ไม่พวกเขาจะไม่ให้ฉัน ฉันยังไม่สามารถยื่นอีกครั้งโดยใช้การสนับสนุน Azure เพราะพวกเขาไม่ได้จัดการกับปัญหาการแลกเปลี่ยน ทางเลือกเดียวของฉันคือยื่นตั๋วฝ่ายสนับสนุนด้านเทคนิคโดยตรงกับ Microsoft (ราคา $ 499 ที่ยอดเยี่ยม) ดังนั้นฉันจึงหวังว่าจะมีใครบางคนได้เห็นสิ่งนี้มาก่อน
นาธาน C

@ToddWilcox ฉันสามารถยืนยันความน่าเชื่อถือสหพันธรัฐสามารถป้องกัน O365 ตรวจสอบที่ผมใช้เวลาหนึ่งสัปดาห์กับ O365 สนับสนุนเมื่อหนึ่งถูกปิดกั้นการตรวจสอบโดเมนของฉัน ไม่แน่ใจว่าทำไมมันจำเป็นในบางกรณีเท่านั้น (แน่นอนไม่ใช่ทุกคนจะสร้างได้ ... ) สำหรับฉันมันเป็นความไว้วางใจแบบเก่าที่ไม่เคยใช้จริงดังนั้นฉันจึงไม่จำเป็นต้องเพิ่มอีกครั้งในภายหลังดังนั้นจึงไม่เห็นด้านข้างของปัญหา ฉันขอให้คุณโชคดีกับ Nathan C ความคิดเชิงบวก
Joshua McKinnon

คำตอบ:


0

เรื่องนี้จบลงด้วยการแก้ไขด้วยตัวเองเพราะอีกด้านหนึ่งของความไว้วางใจก็เปลี่ยนเป็น O365 ไม่ใช่คำตอบที่ฉันหวังว่าจะได้รับ แต่นี่ไม่เกี่ยวข้องอีกต่อไป

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.