Couldn’t resolve the user or group


Ошибка древняя, встречается еще с 2010, при инсталляции SP. И доставляет радости при обновлении современных 2013 😦

В 2013 вывод сбоя установки будет вот такой:

Add-MailboxPermission $dismbx -User $dmRoleGroup.Identity -AccessRights FullAccess -DomainController $RoleDomainController -WarningAction SilentlyContinue;
}
}
}
}
” was run: “Couldn’t resolve the user or group “domain.local/Microsoft Exchange Security Groups/Discovery Management.” If the user or group is a foreign forest principal, you must have either a two-way trust or an outgoing trust.”.

The trust relationship between the primary domain and the trusted domain failed.

Казалось бы, все пропало.

Ан нет, вариантов лечения будет сегодня два, на выбор:

  1. Отключить ящик Discovery Search mailbox  и заново включить его, после запуска установщика.
    Disable-Mailbox “DiscoverySearchMailbox {D919BA05-46A6-415f-80AD-7E09334BB852}”
    Устанавливаем Exchange
    Enable-Mailbox “DiscoverySearchMailbox {D919BA05-46A6-415f-80AD-7E09334BB852}” -Arbitration
    Add-MailboxPermission -Identity:”domain.local/Users/DiscoverySearchMailbox {D919BA05-46A6-415f-80AD-7E09334BB852}” -User:”Discovery Management” -AccessRights:”FullAccess”
  2.   Вариант второй, предпочтительный на мой взгляд. Удаляем пользователя DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852} Устанавливаем Exchnage. Пересоздаем ящик командой setup /PrepareAD /IAcceptExchangeServerLicenseTerms
Реклама

Office 365 tips


продолжаем мини серию багов и фиксов, собранных на выходных:

The call to mrsproxy.svc failed. The HTTP request was forbidden

При перемещении ящика в облако может вылезти такая вот ошибка:

The call to ‘https://mail.rsystems.com/EWS/mrsproxy.svc’ failed. Error details: The HTTP request was forbidden
with client authentication scheme ‘Negotiate’. —> The remote server returned an error: (403) Forbidden..
+ CategoryInfo          : NotSpecified: (:) [New-MoveRequest], RemoteTransientException
+ FullyQualifiedErrorId : [Server=SN1PR12MB0608,RequestId=0895aa91-b882-4d70-a283-1aa230ea4edb,TimeStamp=1/23/2016
7:27:37 PM] [FailureCategory=Cmdlet-RemoteTransientException] 27785875,Microsoft.Exchange.Management.Migration.Ma
ilboxReplication.MoveRequest.NewMoveRequest
+ PSComputerName        : outlook.office365.com

Из нее внимательным взглядом видно, что облаку что-то не нравится в настройках MRS Proxy.

Проверим, стоит ли в настройках аутентификации то, что нравится ЕХО- basic.

Get-WebServicesVirtualDirectory | select *auth*

Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory –BasicAuthentication $TRUE

Если не стоит, поставим, и повторим запрос на перемещение, теперь все пройдет без проблем.

fix it для office 365


Когда приходится иметь дело с устранением неполадок в облаке, неплохо помнить про набор инструментов для этого, который может помочь в исправлении проблемы.

Набор этот живет по ссылке https://configure.office.com , и представляет собой сборник мастеров по исправлению неполадок в облачных или гибридных средах. Лично мне оказался полезен при проблеме недоступности free busy между облачной и земной инфраструктурами, так что  его можно положить в закладки и доставать, когда настанет час Х.

Немного про сертификаты… или как починить постоянный redirect owa в Exchnage


ssl

Не все знают, что мощные и современные продукты, такие, как S4B/Lync, Exchnage 2013/16, ADFS 2012R2, и даже другие продукты (например, VMware View) не поддерживают сертификаты CNG.

Screenshot_4

В Lync ошибка может быть при назначении сертификатов Error: An error occurred: “System.Security.Cryptography.CryptographicException” “The buffer supplied to a function was to small””

В TMG при назначении сертификата на листнер, можете получить ошибку “Incorrect key type”

В Exchange мы получим бесконечный редирект в OWA и ECP при использовании FBA.

Но, как показала практика, администраторы серверов и слыхом не слыхивали, что вместо FBA можно использовать SSO.

VMware Horizon View тоже откажется пускать пользователей после смены сертификата на новый, v3.

Как же проверить, все ли с сертификатом в порядке, особенно, если запрашивали его не Вы, а другой человечек, который мог что-нибудь напутать при создании CSR.

Проверяем вывод команды Certutil.exe -v -store my <thumbprint>, и берем отпечаток нашего сертификата.

Смотрим вывод строки Provider. Если вывод «Provider = Microsoft Software Key Storage Provider», то это плохо. И работать такой сертификат не будет.

Должно быть “Microsoft Enhanced Cryptographic Provider v1.0” либо “Microsoft RSA SChannel Cryptographic Provider”.

Рассмотрим варианты, как бороть проблему. Вариант первый- читать гайды по запросу сертификатов для продукта, где указывается, КАК и почему надо делать. Например, в гайдах Exchnage или Lync администратору зачем-то дают готовый шаблон, который остается скопировать в записную книжку, и администратор этой проблемы если он не боится powershell даже не увидит. Сделайте выводы, если у вас есть проблема с сертификатами, подумайте о ее первопричинах. Возможно, не во всем виноват проклятый Майкрософт, который не поддерживает в данных продуктах CNG, а использует legacy CryptoAPI, работающий на старых добрых Cryptographic Service Providers (CSP). Поэтому- просто ПРАВИЛЬНО перезапросите сертификат, используя предложенную документацию.

Вариант второй, когда не хочется или не можется по какой-либо причине делать повторный запрос CSR.

Ну, например, это не бесплатно, и это не наш метод!

Наш метод такой: Качаем openssl и экспортируем наш проблемный сертификат в pfx , либо берем готовый.

Открываем командную строку с повышенными привилегиями, переходим в каталог \openssl\bin.

Конвертируем наш .pfx в .pem
openssl.exe pkcs12 -in certificate.pfx -out certificate.pem -nodes

Затем конвертируем обратно из .pem в  .pfx
openssl.exe pkcs12 -export -in certificate.pem -out new_certificate.pfx

Cамые внимательные читатели знают, что можно использовать еще и certutil:

certutil -csp «Microsoft RSA SChannel Cryptographic Provider» -importpfx <CertificateFilename>

На сегодня все, любите powershell, читайте документацию по продуктам.

Ссылки по теме:

https://blogs.perficient.com/microsoft/2013/12/lync-support-for-cryptoaping-certificates/

https://anotherexchangeblog.wordpress.com/tag/importpfx-command-failed-0x80090029/

http://blogs.technet.com/b/jasonsla/archive/2015/01/15/the-owa-and-ecp-fba-redirect-loop.aspx

http://blog.vaglid.net/?p=4

Логи, логи, логи…


Когда мне сообщают, что все пропало, я обычно спрашиваю- окей, а в журналах-то что?

И в 99 процентах случаев мне отвечают: эээммммм, щас посмотрим!!!!!

Я решил написать короткий и универсальный пост, прямой, как палка.

ЕСЛИ аутлук ведет себя противно, и отказывается сотрудничать со следствием, то включите журналирование, и посмотрите, что происходит на стороне клиента.

Очень советую потратить несколько часов на анализ нормальных логов, чтобы понимать что и как.

Еще больше времени можно потратить, поломав что-то в демо среде, и поглядеть. опять же в журналы, но уже не сервера а опять, в клиентские. Про которые удивительная масса людей, знающих про правый клик с контролом= тест коннекшн, просто не ведают.

Берегите себя.

Add-ADFSAttributeStore и его друзья


Небольшой баг или фича с powershell ADFS.

Если добавить хранилище атрибутов, используя командлет Add-ADFSAttributeStore, оно не будет работать в примере

Add-ADFSAttributeStore -name ‘My Ldap Store’ -StoreType ‘LDAP’ -Configuration @{«Connection» = «LDAP://fab.com/dc=fab,dc=com»}

Если мы выполним команду выше, то она успешно отработает, и создаст хранилище атрибутов, однако последнее не будет жизнеспособным. Если Вы поэкспериментируете с созданием хранилищ через графический интерфейс, а затем посмотрите на результат через Get-ADFSAttributeStore, то заметите что

хранилища SQL будут иметь строку, начинающуюся с заглавной буквы, «Connection», а LDAP  будет со строчной.

Добавим хранилище еще раз, на этот раз используем строчную: Add-ADFSAttributeStore -name ‘My Ldap Store’ -StoreType ‘LDAP’ -Configuration @{«connection» = «LDAP://fab.com/dc=fab,dc=com»}