Гаразд ... все це почалося під час налаштування Office 365. За даними Microsoft, ви повинні видалити локальну довіру федерації з Exchange, перевірити домен, а потім додати його назад ... інакше ви отримаєте незрозуміле повідомлення про помилку під час перевірки імені домену.
Тому я це зробив ... за винятком того, що довіра федерації порушена. Я отримую таке повідомлення від "Test-FederationTrust -Verbose":
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)
Що, чорт, це означає? У федеральному тресті немає паролів! Я кілька разів намагався відтворити довіру безрезультатно. Я також намагався повторно використати сертифікат, з яким працював трест раніше, але і це не працювало.
Це також розриває організаційні відносини тим же повідомленням. Я запитав нашого МСП, і вони не мають поняття, що не так. Перш ніж я скинув гроші на квиток на підтримку Microsoft сам ... хтось раніше бачив це повідомлення про помилку?
Я також розмістив свій результат Get-FederationTrust нижче (очевидно, для очищення):
RunspaceId : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier : 000000004804FA68
ApplicationUri : mydomain.com
OrgCertificate : [Subject]
CN=Federation
[Issuer]
CN=Federation
[Serial Number]
<snip>
[Not Before]
10/27/2017 11:58:27 AM
[Not After]
10/27/2022 11:58:27 AM
[Thumbprint]
<snip>
OrgNextCertificate :
OrgPrevCertificate :
OrgPrivCertificate : <snip>
OrgNextPrivCertificate :
OrgPrevPrivCertificate :
TokenIssuerCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
12/6/2016 5:06:29 PM
[Not After]
12/5/2021 5:06:29 PM
[Thumbprint]
<snip>
TokenIssuerPrevCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
7/18/2014 3:53:40 PM
[Not After]
7/17/2019 3:53:40 PM
[Thumbprint]
<snip>
PolicyReferenceUri : EX_MBI_FED_SSL
TokenIssuerMetadataEpr : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval : 1.00:00:00
TokenIssuerType : LiveId
TokenIssuerUri : urn:federation:MicrosoftOnline
TokenIssuerEpr : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr : https://login.microsoftonline.com/login.srf
MetadataEpr :
MetadataPutEpr :
TokenIssuerCertReference : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner : LiveDomainServices2
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
Name : Microsoft Federation Gateway
DistinguishedName : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity : Microsoft Federation Gateway
Guid : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass : {top, msExchFedTrust}
WhenChanged : 10/27/2017 12:13:31 PM
WhenCreated : 10/27/2017 11:58:29 AM
WhenChangedUTC : 10/27/2017 4:13:31 PM
WhenCreatedUTC : 10/27/2017 3:58:29 PM
OrganizationId :
OriginatingServer : dc.mydomain.com
IsValid : True
1
"За даними Microsoft, ви повинні видалити довіру федерації On-Premises з Exchange, підтвердити домен, а потім додати його назад." Я здійснив три гібридні міграції співіснування, і ніколи цього не робив. Я підозрюю, що це було якось непорозумінням чи помилкою. Сподіваємось, ви зможете це пом'якшити. Ваша підписка на Office 365 включає підтримку. Існує ймовірність, що вони не підтримають проблем, які, здається, є на попередній біржі, але варто спробувати. Принаймні, ви можете перевірити, як повинна бути створена федерація.
—
Тодд Вілкокс
Можливо, але мені не вдалося перевірити свій домен за допомогою O365 (кинув загальну "сталася помилка. Повторіть спробу пізніше", і мені сказала підтримка Microsoft, щоб скинути довіру федерації, щоб вона працювала.
—
Nathan C
Цікаво. Можливо, ви можете знову відкрити цей квиток, щоб вони допомогли вам вирішити випадання?
—
Тодд Вількокс
Ні, вони мене не пустять. Я також не можу подати файл знову за допомогою служби Azure, оскільки вони не мають проблем з Exchange. Мій єдиний вибір - подати квиток на технічну підтримку безпосередньо у Microsoft (за класних $ 499), тому я сподіваюся, що хтось десь бачив це раніше.
—
Натан C
@ToddWilcox Я можу підтвердити, що довіра федерації може запобігти підтвердженню o365, оскільки я провів тиждень із підтримкою O365, коли один заблокував підтвердження мого домену . Не впевнений, навіщо це потрібно лише в деяких випадках (звичайно, не кожен створив би один ...). Для мене це був старий довіра, який ніколи насправді не використовувався, тому мені не довелося його знову додавати, тому не бачив такої сторони проблеми. Бажаю вам удачі в цьому Натані С, Позитивні думки.
—
Джошуа МакКіннон