Okay, also ... alles begann während unseres Office 365-Setups. Laut Microsoft müssen Sie Ihre lokale Verbundvertrauensstellung aus Exchange löschen, die Domäne überprüfen und dann wieder hinzufügen. Andernfalls wird beim Überprüfen des Domänennamens eine unklare Fehlermeldung angezeigt.
Also habe ich das getan ... außer jetzt ist das Vertrauen der Föderation gebrochen. Ich erhalte die folgende Nachricht von "Test-FederationTrust -Verbose":
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)
Was zum Teufel bedeutet das? In einem Verbundverband gibt es keine Passwörter! Ich habe mehrmals erfolglos versucht, das Vertrauen wiederherzustellen. Ich habe auch versucht, das Zertifikat, mit dem die Vertrauensstellung zuvor gearbeitet hat, wiederzuverwenden, aber das hat auch nicht funktioniert.
Dies unterbricht auch die organisatorischen Beziehungen mit derselben Nachricht. Ich habe unseren MSP gefragt und sie haben keine Ahnung, was los ist. Bevor ich das Geld für ein Support-Ticket an Microsoft selbst fallen lasse ... hat jemand diese Fehlermeldung schon einmal gesehen?
Ich habe auch meine Get-FederationTrust-Ausgabe unten veröffentlicht (natürlich aus Sicherheitsgründen gesäubert):
RunspaceId : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier : 000000004804FA68
ApplicationUri : mydomain.com
OrgCertificate : [Subject]
CN=Federation
[Issuer]
CN=Federation
[Serial Number]
<snip>
[Not Before]
10/27/2017 11:58:27 AM
[Not After]
10/27/2022 11:58:27 AM
[Thumbprint]
<snip>
OrgNextCertificate :
OrgPrevCertificate :
OrgPrivCertificate : <snip>
OrgNextPrivCertificate :
OrgPrevPrivCertificate :
TokenIssuerCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
12/6/2016 5:06:29 PM
[Not After]
12/5/2021 5:06:29 PM
[Thumbprint]
<snip>
TokenIssuerPrevCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
7/18/2014 3:53:40 PM
[Not After]
7/17/2019 3:53:40 PM
[Thumbprint]
<snip>
PolicyReferenceUri : EX_MBI_FED_SSL
TokenIssuerMetadataEpr : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval : 1.00:00:00
TokenIssuerType : LiveId
TokenIssuerUri : urn:federation:MicrosoftOnline
TokenIssuerEpr : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr : https://login.microsoftonline.com/login.srf
MetadataEpr :
MetadataPutEpr :
TokenIssuerCertReference : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner : LiveDomainServices2
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
Name : Microsoft Federation Gateway
DistinguishedName : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity : Microsoft Federation Gateway
Guid : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass : {top, msExchFedTrust}
WhenChanged : 10/27/2017 12:13:31 PM
WhenCreated : 10/27/2017 11:58:29 AM
WhenChangedUTC : 10/27/2017 4:13:31 PM
WhenCreatedUTC : 10/27/2017 3:58:29 PM
OrganizationId :
OriginatingServer : dc.mydomain.com
IsValid : True
1
"Laut Microsoft müssen Sie Ihre On-Premises-Verbundvertrauensstellung aus Exchange löschen, die Domäne überprüfen und dann wieder hinzufügen." Ich habe drei hybride Koexistenzmigrationen durchgeführt und dies nie getan. Ich vermute, das war irgendwie ein Missverständnis oder ein Fehler. Hoffentlich können Sie es mildern. Ihr Office 365-Abonnement enthält Unterstützung. Es besteht die Möglichkeit, dass sie Probleme, die mit On-Prem Exchange zu tun haben, nicht unterstützen, aber es ist einen Versuch wert. Zumindest können Sie überprüfen, wie der Verband eingerichtet werden soll.
—
Todd Wilcox
Vielleicht, aber ich konnte meine Domain nicht mit O365 verifizieren (warf ein generisches "ein Fehler ist aufgetreten, versuchen Sie es später erneut" und ich wurde vom Microsoft-Support angewiesen, das Verbundvertrauen zu löschen, damit es funktioniert, was funktioniert.
—
Nathan C
Interessant. Vielleicht können Sie das Ticket erneut öffnen, damit sie Ihnen helfen, den Fallout zu beheben?
—
Todd Wilcox
Nein, sie lassen mich nicht. Ich kann mit der Azure-Unterstützung auch keine weiteren Dateien erstellen, da sie sich nicht mit Exchange-Problemen befassen. Meine einzige Wahl ist es, ein Ticket für den technischen Support direkt bei Microsoft einzureichen (zu einem günstigen Preis von 499 US-Dollar). Ich hoffe, dass jemand dies schon einmal gesehen hat.
—
Nathan C
@ToddWilcox Ich kann bestätigen, dass eine Verbundvertrauensstellung die Überprüfung von o365 verhindern kann, da ich eine Woche mit O365-Unterstützung verbracht habe, als eine meine Domänenüberprüfung blockiert hat . Ich bin mir nicht sicher, warum es nur in einigen Fällen benötigt wird (natürlich hat nicht jeder einen erstellt ...). Für mich war es ein altes Vertrauen, das nie wirklich benutzt wurde, so dass ich es danach nicht erneut hinzufügen musste, also habe ich diese Seite des Problems nicht gesehen. Ich wünsche Ihnen viel Glück bei diesem Nathan C, Positive Gedanken.
—
Joshua McKinnon