Được rồi vì vậy ... tất cả điều này bắt đầu trong quá trình thiết lập Office 365 của chúng tôi. Theo Microsoft, bạn phải xóa ủy thác liên kết tại chỗ của mình khỏi Exchange, xác minh tên miền, sau đó thêm lại ... nếu không bạn sẽ nhận được thông báo lỗi khó hiểu khi xác thực tên miền.
Vì vậy, tôi đã làm điều này ... ngoại trừ bây giờ niềm tin của liên đoàn bị phá vỡ. Tôi nhận được thông báo sau từ "Test-FederationTrust -Verbose":
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
https://login.microsoftonline.com/login.srf.
VERBOSE: [19:43:14.912 GMT] Test-FederationTrust : Failed to request delegation token. Reason: <S:Fault
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuth
entication</S:Value></S:Subcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication
Failure</S:Text></S:Reason><S:Detail><psf:error
xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internal
error><psf:code>0x80041012</psf:code><psf:text>The entered and stored passwords do not match.
</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault>
Microsoft.Exchange.Net.WSTrust.SoapFaultException: Soap fault exception received.
at Microsoft.Exchange.Net.WSTrust.SoapClient.Invoke(IEnumerable`1 headers, XmlElement bodyContent)
at Microsoft.Exchange.Net.WSTrust.SecurityTokenService.IssueToken(DelegationTokenRequest request)
at Microsoft.Exchange.Management.SystemConfigurationTasks.TestFederationTrust.GetDelegationToken(ADUser user, Uri
target, SecurityTokenService securityTokenService)
cái quái này có nghĩa là gì? Không có mật khẩu trong một ủy thác liên kết! Tôi đã cố gắng tạo lại niềm tin nhiều lần nhưng không có kết quả. Tôi cũng đã cố gắng sử dụng lại chứng chỉ mà ủy thác đã làm việc trước đó nhưng điều đó cũng không hiệu quả.
Điều này cũng phá vỡ các mối quan hệ tổ chức với cùng một thông điệp. Tôi đã hỏi MSP của chúng tôi và họ không biết điều gì sai. Trước khi tôi bỏ tiền vào một vé hỗ trợ cho chính Microsoft ... có ai đã thấy thông báo lỗi này trước đây chưa?
Tôi cũng đã đăng sản lượng Get-LienTrust của mình bên dưới (rõ ràng là vì mục đích bảo mật):
RunspaceId : 5de750d3-a3c9-4502-a108-8b1f12d77fda
ApplicationIdentifier : 000000004804FA68
ApplicationUri : mydomain.com
OrgCertificate : [Subject]
CN=Federation
[Issuer]
CN=Federation
[Serial Number]
<snip>
[Not Before]
10/27/2017 11:58:27 AM
[Not After]
10/27/2022 11:58:27 AM
[Thumbprint]
<snip>
OrgNextCertificate :
OrgPrevCertificate :
OrgPrivCertificate : <snip>
OrgNextPrivCertificate :
OrgPrevPrivCertificate :
TokenIssuerCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
12/6/2016 5:06:29 PM
[Not After]
12/5/2021 5:06:29 PM
[Thumbprint]
<snip>
TokenIssuerPrevCertificate : [Subject]
CN=Live ID STS Signing Public Key
[Issuer]
CN=Live ID STS Signing Public Key
[Serial Number]
<snip>
[Not Before]
7/18/2014 3:53:40 PM
[Not After]
7/17/2019 3:53:40 PM
[Thumbprint]
<snip>
PolicyReferenceUri : EX_MBI_FED_SSL
TokenIssuerMetadataEpr : https://nexus.microsoftonline-p.com/FederationMetadata/2006-12/FederationMetadata.xml
MetadataPollInterval : 1.00:00:00
TokenIssuerType : LiveId
TokenIssuerUri : urn:federation:MicrosoftOnline
TokenIssuerEpr : https://login.microsoftonline.com/extSTS.srf
WebRequestorRedirectEpr : https://login.microsoftonline.com/login.srf
MetadataEpr :
MetadataPutEpr :
TokenIssuerCertReference : stscer
TokenIssuerPrevCertReference : stsbcer
NamespaceProvisioner : LiveDomainServices2
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
Name : Microsoft Federation Gateway
DistinguishedName : CN=Microsoft Federation Gateway,CN=Federation Trusts,CN=<my CN>,CN=Mi
crosoft Exchange,CN=Services,CN=Configuration,DC=mydomain,DC=com
Identity : Microsoft Federation Gateway
Guid : fa98ab67-228f-4b8a-9f94-69b1d1609ec9
ObjectCategory : Divcom.com/Configuration/Schema/ms-Exch-Fed-Trust
ObjectClass : {top, msExchFedTrust}
WhenChanged : 10/27/2017 12:13:31 PM
WhenCreated : 10/27/2017 11:58:29 AM
WhenChangedUTC : 10/27/2017 4:13:31 PM
WhenCreatedUTC : 10/27/2017 3:58:29 PM
OrganizationId :
OriginatingServer : dc.mydomain.com
IsValid : True
1
"Theo Microsoft, bạn phải xóa ủy thác liên kết tại chỗ của mình khỏi Exchange, xác minh tên miền, sau đó thêm lại." Tôi đã thực hiện ba lần di chuyển cùng tồn tại lai và tôi chưa bao giờ thực hiện điều này. Tôi nghi ngờ đó là một sự hiểu lầm hoặc sai lầm. Hy vọng bạn có thể giảm thiểu nó. Đăng ký Office 365 của bạn bao gồm hỗ trợ. Có một cơ hội họ sẽ không hỗ trợ các vấn đề dường như xảy ra với Sàn giao dịch tại chỗ nhưng nó đáng để thử. Ít nhất bạn có thể xác minh cách liên kết nên được thiết lập.
—
Todd Wilcox
Có lẽ, nhưng tôi không thể xác minh tên miền của mình bằng O365 (đã đưa ra một "lỗi chung xảy ra, thử lại sau" và tôi được Microsoft hỗ trợ để từ bỏ sự tin tưởng của liên đoàn để làm cho nó hoạt động.
—
Nathan C
Hấp dẫn. Có lẽ bạn có thể mở lại vé đó để nhờ họ giúp bạn giải quyết bụi phóng xạ?
—
Todd Wilcox
Không, họ sẽ không cho tôi. Tôi cũng không thể gửi lại bằng cách sử dụng hỗ trợ Azure vì họ không giải quyết các vấn đề về Exchange. Lựa chọn duy nhất của tôi là nộp một vé hỗ trợ kỹ thuật trực tiếp với Microsoft (với mức giá $ 499), vì vậy tôi hy vọng ai đó đã nhìn thấy điều này trước đây.
—
Nathan C
@ToddWilcox Tôi có thể xác nhận ủy thác liên kết có thể ngăn xác minh o365, vì tôi đã dành một tuần với hỗ trợ O365 khi một người chặn xác minh tên miền của tôi . Không chắc chắn tại sao nó chỉ cần thiết trong một số trường hợp (tất nhiên, không phải ai cũng sẽ tạo ra một ...). Đối với tôi, đó là một sự tin tưởng cũ không bao giờ thực sự được sử dụng vì vậy tôi đã không phải thêm lại nó sau đó, vì vậy đã không nhìn thấy khía cạnh của vấn đề. Tôi chúc bạn may mắn trên Nathan C này, những suy nghĩ tích cực.
—
Joshua McKinnon