Office 365'te Doğrulamadan Sonra Microsoft Exchange Federasyon Güveni Bozuldu

Tamam ... hepsi Office 365 kurulumumuzda başladı. Microsoft'a göre, şirket içi federasyon güveninizi Exchange'den silmeniz, etki alanını doğrulamanız ve sonra geri eklemeniz gerekir ... aksi halde etki alanı adını doğrularken belirsiz bir hata iletisi alırsınız.

Bunu yaptım ... ancak şimdi federasyon güveni kırıldı. "Test-FederationTrust -Verbose" den aşağıdaki iletiyi alıyorum:

VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
 https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
   at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
   at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
   at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)

Bu ne anlama geliyor? Birleşik güvende şifre yok! Güveni pek çok kez boşuna yeniden yaratmaya çalıştım. Ayrıca, güvenin daha önce çalıştığı sertifikayı yeniden kullanmaya çalıştım ama bu da işe yaramıyordu.

Bu aynı mesajla örgütsel ilişkileri de bozar. MSP'ye sordum ve neyin yanlış olduğunu bilmiyorlar. Parayı Microsoft'a bir destek biletine bırakmadan önce ... daha önce bu hata mesajını gören var mı?

Ayrıca Get-FederationTrust çıktımı aşağıya gönderdim (açıkçası güvenlik nedeniyle temizlendi):

RunspaceId                   : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier        : 000000004804FA68
ApplicationUri               : mydomain.com
OrgCertificate               : [Subject]
                                 CN=Federation

                               [Issuer]
                                 CN=Federation

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 10/27/2017 11:58:27 AM

                               [Not After]
                                 10/27/2022 11:58:27 AM

                               [Thumbprint]
                                 <snip>

OrgNextCertificate           :
OrgPrevCertificate           :
OrgPrivCertificate           : <snip>
OrgNextPrivCertificate       :
OrgPrevPrivCertificate       :
TokenIssuerCertificate       : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 12/6/2016 5:06:29 PM

                               [Not After]
                                 12/5/2021 5:06:29 PM

                               [Thumbprint]
                                 <snip>

TokenIssuerPrevCertificate   : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 7/18/2014 3:53:40 PM

                               [Not After]
                                 7/17/2019 3:53:40 PM

                               [Thumbprint]
                                 <snip>

PolicyReferenceUri           : EX_MBI_FED_SSL
TokenIssuerMetadataEpr       : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval         : 1.00:00:00
TokenIssuerType              : LiveId
TokenIssuerUri               : urn:federation:MicrosoftOnline
TokenIssuerEpr               : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr      : https://login.microsoftonline.com/login.srf
MetadataEpr                  :
MetadataPutEpr               :
TokenIssuerCertReference     : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner         : LiveDomainServices2
AdminDisplayName             :
ExchangeVersion              : 0.10 (14.0.100.0)
Name                         : Microsoft Federation Gateway
DistinguishedName            : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
                               crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity                     : Microsoft Federation Gateway
Guid                         : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory               : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass                  : {top, msExchFedTrust}
WhenChanged                  : 10/27/2017 12:13:31 PM
WhenCreated                  : 10/27/2017 11:58:29 AM
WhenChangedUTC               : 10/27/2017 4:13:31 PM
WhenCreatedUTC               : 10/27/2017 3:58:29 PM
OrganizationId               :
OriginatingServer            : dc.mydomain.com
IsValid                      : True

— Nathan C
kaynak

"Microsoft'a göre Kurum İçi federasyon güveninizi Exchange'den silmeniz, etki alanını doğrulamanız ve sonra tekrar eklemeniz gerekiyor." Üç hibrit bir arada var olma göçü yaptım ve bunu hiç yapmadım. Bunun bir şekilde yanlış anlaşılma veya yanlışlık olduğundan şüpheleniyorum. Umarım hafifletebilirsin. Office 365 aboneliğiniz destek içerir. Şirket içi Exchange ile ilgili görünen sorunları desteklememe şansı var, ancak denemeye değer. En azından federasyonun nasıl kurulması gerektiğini doğrulayabilirsiniz.

— Todd Wilcox

Belki de, ancak alan adımı O365 ile doğrulayamadım (genel bir "hata oluştu, daha sonra tekrar deneyin" ve Microsoft desteğinden, işe yaraması için federasyon güvenini bırakmam söylendi.

— Nathan C

İlginç. Belki de serpinti için size yardımcı olması için bu bileti yeniden açabilirsiniz?

— Todd Wilcox

Hayır, izin vermiyorlar. Exchange sorunları ile ilgilenmedikleri için Azure desteğini kullanarak da tekrar dosya yapamıyorum. Benim tek seçimim doğrudan Microsoft ile bir teknik destek bilet dosya (serin 499 $) bu yüzden bir yerde daha önce görmüş biri umuyorum.

— Nathan C

@ToddWilcox Bir alan adı doğrulamamı engellediğinde O365 desteğiyle bir hafta geçirdim, bir federasyon güveninin o365 doğrulamasını engelleyebileceğini doğrulayabilirim . Neden sadece bazı durumlarda gerekli olduğundan emin değilim (elbette, herkes bir tane yaratmayacak ...). Benim için, aslında hiç kullanılmayan eski bir güvendi, bu yüzden daha sonra tekrar eklemek zorunda kalmadım, bu yüzden sorunun o tarafını görmedim. Bu Nathan C'ye şans diliyorum, Olumlu düşünceler.

— Joshua McKinnon

Güvenin diğer tarafı da O365'e geçtiğinden, bu durum kendi kendine çözüldü. Almayı umduğum cevap değil, ama bu artık geçerli değil.

— Nathan C
kaynak