Confianza de la Federación de Microsoft Exchange rota después de verificar en Office 365

11

Bien, entonces ... todo esto comenzó durante nuestra configuración de Office 365. Según Microsoft, debe eliminar su confianza de federación local de Exchange, verificar el dominio y luego volver a agregarlo ... de lo contrario, recibirá un oscuro mensaje de error al validar el nombre de dominio.

Así que hice esto ... excepto que ahora la confianza de la federación está rota. Recibo el siguiente mensaje de "Test-FederationTrust -Verbose":

VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
 https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
   at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
   at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
   at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)

¿Que rayos significa esto? ¡No hay contraseñas en un fideicomiso federado! He intentado recrear la confianza varias veces en vano. También intenté reutilizar el certificado con el que la confianza estaba trabajando antes pero que tampoco funcionaba.

Esto también rompe las relaciones organizacionales con el mismo mensaje. Le pregunté a nuestro MSP y no tienen idea de lo que está mal. Antes de depositar el dinero en un ticket de soporte para Microsoft ... ¿alguien ha visto este mensaje de error antes?

También he publicado mi salida Get-FederationTrust a continuación (borrada por motivos de seguridad, obviamente):

RunspaceId                   : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier        : 000000004804FA68
ApplicationUri               : mydomain.com
OrgCertificate               : [Subject]
                                 CN=Federation

                               [Issuer]
                                 CN=Federation

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 10/27/2017 11:58:27 AM

                               [Not After]
                                 10/27/2022 11:58:27 AM

                               [Thumbprint]
                                 <snip>

OrgNextCertificate           :
OrgPrevCertificate           :
OrgPrivCertificate           : <snip>
OrgNextPrivCertificate       :
OrgPrevPrivCertificate       :
TokenIssuerCertificate       : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 12/6/2016 5:06:29 PM

                               [Not After]
                                 12/5/2021 5:06:29 PM

                               [Thumbprint]
                                 <snip>

TokenIssuerPrevCertificate   : [Subject]
                                 CN=Live ID STS Signing Public Key

                               [Issuer]
                                 CN=Live ID STS Signing Public Key

                               [Serial Number]
                                 <snip>

                               [Not Before]
                                 7/18/2014 3:53:40 PM

                               [Not After]
                                 7/17/2019 3:53:40 PM

                               [Thumbprint]
                                 <snip>

PolicyReferenceUri           : EX_MBI_FED_SSL
TokenIssuerMetadataEpr       : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval         : 1.00:00:00
TokenIssuerType              : LiveId
TokenIssuerUri               : urn:federation:MicrosoftOnline
TokenIssuerEpr               : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr      : https://login.microsoftonline.com/login.srf
MetadataEpr                  :
MetadataPutEpr               :
TokenIssuerCertReference     : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner         : LiveDomainServices2
AdminDisplayName             :
ExchangeVersion              : 0.10 (14.0.100.0)
Name                         : Microsoft Federation Gateway
DistinguishedName            : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
                               crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity                     : Microsoft Federation Gateway
Guid                         : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory               : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass                  : {top, msExchFedTrust}
WhenChanged                  : 10/27/2017 12:13:31 PM
WhenCreated                  : 10/27/2017 11:58:29 AM
WhenChangedUTC               : 10/27/2017 4:13:31 PM
WhenCreatedUTC               : 10/27/2017 3:58:29 PM
OrganizationId               :
OriginatingServer            : dc.mydomain.com
IsValid                      : True
Nathan C
fuente
1
"Según Microsoft, debe eliminar su confianza de federación local de Exchange, verificar el dominio y luego volver a agregarlo". He realizado tres migraciones de coexistencia híbrida y nunca he hecho esto. Sospecho que de alguna manera fue un malentendido o error. Ojalá puedas mitigarlo. Su suscripción a Office 365 incluye soporte. Existe la posibilidad de que no admitan problemas que parecen estar en Exchange local, pero vale la pena intentarlo. Al menos puede verificar cómo se debe configurar la federación.
Todd Wilcox
Tal vez, pero no pude verificar mi dominio con O365 (arrojó un error genérico "ocurrió un error, inténtelo más tarde" y el soporte de Microsoft me dijo que abandonara la confianza de la federación para que funcionara.
Nathan C
Interesante. ¿Quizás pueda volver a abrir ese boleto para que lo ayuden a abordar las consecuencias?
Todd Wilcox
No, no me dejan. Tampoco puedo volver a presentar archivos con el soporte de Azure porque no tratan con problemas de Exchange. Mi única opción es presentar un ticket de soporte técnico directamente con Microsoft (a $ 499), así que espero que alguien en algún lugar haya visto esto antes.
Nathan C
@ToddWilcox Puedo confirmar que una confianza de federación puede evitar la verificación de o365, ya que pasé una semana con el soporte de O365 cuando uno bloqueó la verificación de mi dominio . Sin embargo, no estoy seguro de por qué solo se necesita en algunos casos (por supuesto, no todos habrán creado uno ...). Para mí, era una vieja confianza que en realidad nunca se usó, así que no tuve que volver a agregarla después, así que no he visto ese lado del problema. Le deseo suerte en este Nathan C, pensamientos positivos.
Joshua McKinnon

Respuestas:

0

Esto terminó resolviéndose por sí solo ya que el otro lado de la confianza también cambió a O365. No es la respuesta que esperaba obtener, pero esto ya no es relevante.

Nathan C
fuente