Старый «шлюз Microsoft Federation Gateway» Exchange препятствует проверке домена в Office 365?
Я нахожусь 5 дней в процессе проверки домена, который я контролирую в Office 365, поэтому я могу начать гибридное сосуществование и полную миграцию. Я уже 4 дня работаю со службой поддержки Microsoft, но это был невероятно медленный процесс.
Сообщение, которое я получил (только один раз, я даже не хочу упоминать, сколько неудачных попыток проверки DNS и электронной почты w / и без поддержки, да, с правильным распространением DNS каждый раз) было:
Мы не можем проверить (ВАШ-ДОМЕН) .com, потому что он связан с другой службой, размещенной на сервере Microsoft. Домен может быть связан только с одной службой. Чтобы использовать этот домен, сначала удалите его из другой службы, а затем попробуйте еще раз подтвердить домен. Если вы по-прежнему не можете подтвердить домен, обратитесь в службу поддержки Microsoft Online Services для решения проблемы. Попросите кого-нибудь помочь вам.
На этой странице указано, что это либо служба Microsoft Online, либо федерация с Microsoft Exchange Online.
У кого-нибудь еще был предыдущий «шлюз Microsoft Federation Gateway» в Exchange (2010 или другой), препятствовавший проверке домена для Office 365, и как вы это разрешили? Есть ли какие-нибудь очевидные услуги или вещи, которые я могу проверить? Я фактически не использовал шлюз и уже удалил его, но это не помогло. У меня был единственный контроль DNS в течение десяти лет, и я даже не вспомнил, что у нас есть это, пока я не нашел его в своей системе продажи билетов. Я знаю, что никакой другой предшественник не смог бы подтвердить и зарегистрировать нас для учетной записи в другом месте, так что это случай меня против моей собственной памяти.
Я спрашиваю здесь, потому что я ' м уже 4 рабочих дня в поддержке без ответа. Я разрешаю распространение DNS - это не наша проблема.
Я ищу все возможные решения или вещи, которые я могу попробовать самостоятельно, помимо продолжения ожидания поддержки.
Проблема решена
Расширение поддержки Office 365, наконец, подтвердило, что мою проверку блокировало доверие федерации. Я указал на это в службу поддержки в первый день, когда увидел сообщение и проявил должную осмотрительность, подтвердив, что оно у меня есть (и удалил его). Мое первоначальное удаление доверия федерации было неполным, вероятно, из-за истекшего срока действия моего сертификата федерации.
Как только служба поддержки Microsoft попросила кого-то проверить причину, решить эту проблему было несложно.
- Подтвердите право собственности еще раз так, как просит поддержка. Это состояло в том, чтобы показать мой DNS, чтобы исключить ошибку пользователя, а также добавить еще одну ручную запись TXT для проверки и позволить ей распространяться (это хорошо - они не собираются удалять чье-то доверие федерации, пока они не будут вне всяких сомнений уверены, что вы владеют доменом)
- Служба поддержки Майкрософт удаляет старое доверие федерации на своей стороне
- Повторный запуск Confirm-MsolDomain -DomainName и отображение приятного, приятного текста
Домен успешно подтвержден для вашей учетной записи.
После того, как служба поддержки рассмотрела и подтвердила, что блокирует мою проверку, шаги 1-3 заняли всего час. Чтобы перейти к шагу 1, потребовалось 7 дней звонков, писем и эскалаций. : (
Вещи, которые я пробовал, но которые не работали
Удаление моего исходного шлюза федерации с помощью этого руководства:
Не выполняйте шаги в приведенной ниже ссылке, в которой упоминается -Force. - Я отправил ссылку для обратной связи, которая использует -Сила, возможно, была очень плохим советом https://support.microsoft.com/en-us/help/3215278/-1007-accessdenied-error-when-you-try-to-delete-the-federation- trust-i
Повторное добавление и удаление шлюза Microsoft Federation Gateway (после обращения в службу поддержки, нормально ли я это сделаю). Этот процесс прошел нормально и без ошибок, но не решил исходное неправильное / неполное удаление Об этом может позаботиться только служба поддержки Microsoft. Я надеялся, что старые остатки могут либо заблокировать повторное создание (еще раз подтверждая проблему), либо повторно подключиться к старому и удалить его. Не так, по крайней мере, для меня. Возможно Если я обновил и повторно использовал свой старый сертификат (это самоподписанные шаги доверия федерации сертификатов, которые вы создали, а не ваш основной обмен SAN)? Это останется открытым вопросом.
Многочисленные попытки проверки по запросу службы поддержки.
Уроки / Руководство
Если вы тоже обнаружите, что у вас на сервере Exchange есть старый, забытый «шлюз Microsoft Federation Gateway», который, как вы уверены, не используется активно и имеет истек сертификат федерации, обновите сертификат перед удалением! Я использовал -Force (согласно документации, при обнаружении ошибки, которая у меня была), и это могло вызвать мою проблему. Упор на может , но я думаю, что это вероятно, поскольку у меня нет другого объяснения. Служба поддержки подтвердила, что это БЫЛО доверие федерации, блокирующее мою проверку, но не указала окончательно, почему он все еще был там - подозрение связано с истекшим сертификатом при удалении, и это кажется наиболее вероятным.
Документируйте все. Хорошая дисциплина с журналами, сообщениями об ошибках и скриншотами - вот как я увидел эту ошибку. Сообщение об ошибке, указывающее на мою истинную проблему, отображалось только ОДИН РАЗ из десятка попыток с поддержкой. Каждый раз это было обычное сообщение «Проверка не удалась. Обратитесь в службу поддержки». Если бы я не задокументировал это, не выполнил поиск и не прочитал, что доверие может блокировать это, я бы не указывал на поддержку в этом направлении, и, возможно, я застрял бы в попытках решить эту проблему гораздо дольше.
Поддержка Office 365 предоставляется медленный. Я не ожидал, что это будет быстро, но я ожидал, что решение проблемы с блокировщиком развертывания будет намного быстрее, чем за 7 дней. Подтвердите свои домены ПУТЬ, прежде чем они вам понадобятся, на случай непредвиденной проблемы.