好的,这一切都是在我们的Office 365安装过程中开始的。根据Microsoft的说法,您必须从Exchange删除本地联合身份验证信任,验证域,然后再将其添加回...否则,在验证域名时会收到模糊的错误消息。
所以我这样做了……除了现在联邦信任被打破了。我从“ Test-FederationTrust -Verbose”中收到以下消息:
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)
这到底是什么意思?联合信任中没有密码!我尝试多次重新创建信任,但无济于事。我还尝试重新使用该信任之前使用的证书,但是该证书也不起作用。
这也会破坏具有相同消息的组织关系。我问过我们的MSP,他们不知道出了什么问题。在我花钱买微软的支持票之前...之前是否有人看过此错误消息?
我还在下面发布了我的Get-FederationTrust输出(显然出于安全目的而进行了清理):
RunspaceId : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier : 000000004804FA68
ApplicationUri : mydomain.com
OrgCertificate : [Subject]
CN=Federation
[Issuer]
CN=Federation
[Serial Number]
<snip>
[Not Before]
10/27/2017 11:58:27 AM
[Not After]
10/27/2022 11:58:27 AM
[Thumbprint]
<snip>
OrgNextCertificate :
OrgPrevCertificate :
OrgPrivCertificate : <snip>
OrgNextPrivCertificate :
OrgPrevPrivCertificate :
TokenIssuerCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
12/6/2016 5:06:29 PM
[Not After]
12/5/2021 5:06:29 PM
[Thumbprint]
<snip>
TokenIssuerPrevCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
7/18/2014 3:53:40 PM
[Not After]
7/17/2019 3:53:40 PM
[Thumbprint]
<snip>
PolicyReferenceUri : EX_MBI_FED_SSL
TokenIssuerMetadataEpr : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval : 1.00:00:00
TokenIssuerType : LiveId
TokenIssuerUri : urn:federation:MicrosoftOnline
TokenIssuerEpr : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr : https://login.microsoftonline.com/login.srf
MetadataEpr :
MetadataPutEpr :
TokenIssuerCertReference : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner : LiveDomainServices2
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
Name : Microsoft Federation Gateway
DistinguishedName : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity : Microsoft Federation Gateway
Guid : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass : {top, msExchFedTrust}
WhenChanged : 10/27/2017 12:13:31 PM
WhenCreated : 10/27/2017 11:58:29 AM
WhenChangedUTC : 10/27/2017 4:13:31 PM
WhenCreatedUTC : 10/27/2017 3:58:29 PM
OrganizationId :
OriginatingServer : dc.mydomain.com
IsValid : True
1
“根据Microsoft,您必须从Exchange删除本地联合身份验证信任,验证域,然后将其重新添加。” 我已经完成了三个混合共存迁移,但从未做到过。我怀疑这是一种误解或错误。希望您可以减轻它。您的Office 365订阅包括支持。他们有可能不支持本地Exchange似乎存在的问题,但值得一试。至少您可以验证应如何建立联盟。
—
托德·威尔科克斯
也许吧,但是我无法用O365验证我的域(引发了一个通用的“发生错误,请稍后再试”,并且Microsoft告知我放弃联邦信任以使其工作。)
—
Nathan C
有趣。也许您可以重新打开票证,让他们帮助您解决影响?
—
Todd Wilcox
不,他们不会让我。我也无法使用Azure支持再次提交文件,因为它们不处理Exchange问题。我唯一的选择是直接向Microsoft提交技术支持票(价格很低,为499美元),所以我希望有人以前见过此事。
—
内森(Nathan C)
@ToddWilcox我可以确认联盟信任可以阻止o365验证,因为当一个人阻止我的域验证时,我花了一周的时间在O365支持下。尽管不确定为什么仅在某些情况下才需要(当然,并不是每个人都会创建一个……)。对我来说,这是一个古老的信任,从未真正使用过,因此我以后不必再重新添加,因此也没有看到问题的这一方面。祝您在Nathan C的积极思考中好运。
—
约书亚·麦金农