Office 365 – часто встречающиеся проблемы при планировании и внедрении гибридной конфигурации

в 9:36, , рубрики: ADFS, NLB, office 365, Блог компании Ти Ай Системс, гибридная конфигурация, метки:

1. Проблема планирования ADFS & NLB & DC

Официальный HELP Office 365 рекомендует применение NLB кластеров с использованием существующих домен-контроллеров для уменьшения количества новых серверов при конфигурации до 1000 пользователей.

Из-за использования техническими писателями понятия NLB в официальной справке при планировании возникает множество вопросов. Корректней было бы использовать аббревиатуру HLB, что не вызвало бы столько вопросов на форумах техподдержки Office 365. Еще бы! Как бы вы поняли данный отрезок справки — For the federation servers, use two existing Active Directory domain controllers (DCs) and configure them both for the federation server role. For NLB, configure an existing NLB host or obtain a dedicated server and then install the NLB server role on it and then configure the NLB server(Привожу фразы из первоисточника, т.е. на английском). Во первых NLB – это фича, а не роль. Во вторых, если мы говорим о WNLB, то отдельно хост для балансировки мы использовать не можем. В третьих, если кто-то и попытается поставить WNLB на существующих домен-котроллерах и настроить кластер, то наверняка столкнется с проблемами репликации. Остается лишь догадываться, почему здесь явным образом не указать на HLB или хотя бы сделать расшифровку.

Далее, кстати, как я понял, справка все-таки говорит об WNLB в пункте про ADFS Proxy — For the federation servers, obtain two dedicated servers, and then ….Install the NLB server role on one of the federation servers or configure an existing NLB host. Во первых, еще раз – Install the NLB server role on one of the federation servers –здесь уж точно имеется ввиду WNLB, так как мы говорим об Win2008 R2, но опять же это фича, а не роль. Во вторых, configure an existing NLB host – как можно настроить отдельно сервер WNLB, я не понимаю, все равно ставить WNLB надо на все сервера в кластере.

В общем, запутали окончательно.

Как на самом деле? Поскольку во многих компаниях HLB нет, то для общего случая при построении гибрида до 1000 пользователей необходимо 5 (3 — нерекомендуемый минимум для тестовых конфигураций, если не использовать NLB) отдельных серверов. Все они поддерживают виртуализацию и, с недавних пор, Windows 2008 R2:

• ADFS (2 в NLB кластере) в локальной сети
• ADFS Proxy (2 в NLB кластере) в DMZ
• DirSync -1 сервер в локальной сети

2. Часто после установки федерации не работает Free-Busy, а также полностью не проходит тест Test-FederationTrust

В частности может не проходить тест TokenRequest с ошибкой Failed to request delegation token.

Решение:

Сперва гуглим (некоторые могут побингить) решение, пробуем, пытаемся и чаще всего ничего не помогает. Проще всего пересоздать федерацию повторно по пункту «Configure federated delegation for a hybrid deployment” по следующей инструкции.

После этого возникает ошибка проверки сертификата, если вы заменили сертификат,(Certificate referenced by property OrgPrivCertificate in the FederationTrust object is expired) в команде Test-FederationTrust. Как вы думаете, что помогает? В любом случае, неправильно думаете. Необходимо подождать 1 день (как это не смешно, но 3 раза было именно так – ошибка исправляется сама на следующий день). Как я понимаю, сервер подкачает CRL и федерация заработает.

3. После установки DirSync не запускается FIM сервис или его зависимые сервисы

Такое часто случается, если DirSync устанавливается под аккаунтом с недостаточными привилегиями.

Решение:

Здесь всё напоминает установку Sharepoint и дальнейшую настройку службы синхронизации профилей. Сервис FIM достаточно капризен и требует изначально правильной инсталляции – иначе проблем не избежать. Рекомендуется полностью удалить все установленные компоненты и инсталлировать повторно из под учетной записи с правами Enterprise Admin.

4. Не открываются архивные ящики, расположенные в облаке у пользователей, основные ящики которых расположены на локальном сервере

Эта проблема относится только к Outlook Web Access и диагностируется ошибкой в логе Application на CAS серверах:
Archive mailbox access failed. User: «Domainuser», Exception: «Microsoft.Exchange.Clients.Owa.Core.OwaArchiveNotAvailableException: Не удалось открыть сеанс почтового ящика для архивного почтового ящика 6c2b44b3-2be3-4043-8a13-d8570cdcb48c ---> Microsoft.Exchange.Data.Storage.MailboxOfflineException: Can't access user's mailbox because it's located on a remote server

Решение:

Выполнить команду Get-OrganizationRelationship | fl TargetOWAUrl, ArchiveAccessEnabled
Если ArchiveAccessEnabled установлен в false(по умолчанию именно так), выполнить команду:
Get-OrganizationRelationship | Set-OrganizationRelationship -ArchiveAccessEnabled $true

5. Chrome и FireFox не входят через ADFS

Обновить браузеры до последней версии. Выполнить рекомендации, описанные
здесь.

6. Не работает голосовой почтовый ящик, после его переноса в облако

В логах Lync сервера возникает ошибка «Failed to route to Exchange Server”; source=”<lync front-end>“;dialplan=”Hosted__exap.um.outlook.com__domain“;

В инструкции по настройке указано, что параметр Organization командлета New-CsHostedVoicemailPolicy принимает множественные значения. Однако! При настройке политики для Office 365 возможно указать только 1 значение в данном поле. И здесь многие указывают основной обслуживаемый домен domain.com. В этом и ошибка.

Решение:

В команде New-CsHostedVoicemailPolicy необходимо указывать в поле organization сервисный домен типа service.domain.com или company.onmicrosoft.com, который авторитативен для Office 365, а не domain.com.

7. Во время создания запроса на перемещение ящика в облако возникает ошибка «Exception has been thrown by the target of an invocation»

Решение:

1. Проверить наличие привязанной Exchange лицензии пользователю
2. Указывать на первом шаге визарда учетные данные в явном виде локального администратора Exchange
3. Проверить наличие ошибок в IIS по этой статье
4. Если Exchange опубликован через TMG, настроить Flood Mitigation по следующей статье

Надеемся, Вам помогло!

Автор: Allterrika


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js