Get-FederationInfo mislukt

Tijdens een implementatie van een rich coexistence koppeling van Office 365 is een van de test die uitgevoerd kan worden het opvragen van de Federation Info. Dit kan gedaan worden door gebruik te maken van het cmdlet Get-FederationInfo.

Dit cmdlet dient zowel op de On-Premises als Office 365 omgeving uitgevoerd te worden. In veel gevallen zal de test aan de On-Premises kant wel lukken. Echter kan het voorkomen wanneer de test vanuit Office 365 wordt uitgevoerd deze mislukt:

In bovenstaand geval is hiervan een voorbeeld te zien. De foutmelding geeft aan dat er geen contact gemaakt kan worden met de Office 365 server.

Om dit probleem te onderzoeken zal dus gekeken moeten worden naar de On-Premises omgeving. In de meeste gevallen wordt er een reverse proxy gebruikt om Exchange te publiceren richting het internet. Hiervoor kan gebruik gemaakt worden van TMG. TMG heeft de optie Publish Exchange Web Client Access waarmee de diverse web services kunnen worden gepubliceerd.

Om dit probleem te troubleshooten dient dus tijdelijk logging ingeschakeld te worden op de TMG/reverse proxy. In ons voorbeeld gebruiken we de TMG. De TMG is lid van het domein en Exchange is gepubliceerd d.m.v. deze whitepaper. Daar zien we het volgende terug:

 

Zoals te zien is in bovenstaande screenshot wordt geprobeerd connectie te maken naar /autodiscover/autodiscover.svc. Office 365 gebruikt autodiscover namelijk om te kijken welke configuratie er gebruikt moet worden voor de organizational trust.

Zoals te zien is wordt dit zonder authenticatie gedaan. Hier zit ook direct het probleem. TMG zal het namelijk niet toestaan om deze directory te benaderen. Opgemerkt dient te worden dat dit niet het geval is als de authenticatie rechtstreeks wordt doorgestuurd naar Exchange en niet wordt afgehandeld door TMG.

Om dit probleem op te lossen dient dus een specifieke regel aangemaakt te worden. Naast de autodiscover.svc zullen de volgende lokaties hieraan toegevoegd moeten worden autodiscover/autodiscover.svc/WSSecurity en /ews/exchange.asmx/WSSecurity.

Deze regel kan aangemaakt worden m.b.v. de Publish Web Sites optie. We bespreken hier niet de complete regel maar alleen de configuratie items waar je op moet letten.

Als eerste het Path hierbij moeten we een restrictie maken zodat alleen de eerder genoemde lokaties bereikbaar zijn. In bovenstaande voorbeeld gebruiken we /ews/exchange.asmx/WSSecurity. Later worden de additionele lokaties toegevoegd.

Het volgende waar je op moet letten is op de Authentication Delegation pagina. Hier moet ingesteld worden dat er direct op de Exchange Server geauthentiseerd moet worden.

Als laatste stap dient de User Set aangepast te worden van Authenticated Users naar All Users

 

Hiermee voorkomen we dat de anonymous user wordt geblokkeerd. Er zal echter wel een waarschuwing verschijnen wanneer de regel aangemaakt wordt:

Op de Web Listeren staat namelijk geconfigureerd dat gebruikers wel degelijk moeten authentiseren. Dit is echter alleen het geval als de optie Require all users to authenticate aanstaat op de web listener. Indien dit het geval is zal deze optie uitgeschakeld moeten worden. Standaard staat deze optie niet aan.

 Nadat de regel is aangemaakt dient deze nog aangepast te worden.

Als eerst moet op de Public Name tab de autodiscover.domein.com toegevoegd te worden. Doen we dit niet dan zal autodiscover niet werken en kan de informatie nog steeds niet opgehaald worden.

De tweede stap is het toevoegen van de lokaties op de Paths tab

Op deze tab zal alleen de eerder geconfigureerde lokatie /ews/exchange.asmx/WSSecurity terug te vinden zijn.

Voeg hier de volgende twee aan toe:

  • /autodiscover/autodiscover.svc
  • /autodiscover/autodiscover.svc/WSSecurity

Nu de regel goed geconfigureerd staat dient gecontroleerd te worden op welke plek de regel is geplaatst. Het is namelijk van belang dat deze boven de regel staat die gebruikt wordt om de overige Exchange Web Services te publiceren. Doen we dit niet dan zal de connectie nog steeds geblokkeerd worden.

Als de regel op de correcte lokatie staat en de configuratie is geactiveerd is het tijd om het nogmaals te proberen.

Zoals nu te zien is kan de federation information nu wel correct opgehaald worden. De /ews/exchange.asmx/WSSecurity zal pas gebruikt worden indien een gebruiker met een mailbox in Office 365 de free/busy informatie controleerd van een On-Premises mailbox gebruiker.

Free subscription



You may also like...

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *