Exchange-Federation: Free/Busy Zugriffsprobleme auf andere Organisation (“Fehler beim Verarbeiten der Sicherheitstoken in der Nachricht”)

Zwei Exchange 2010 basierende Organisationen sind per Exchange-Federation und einer Exchange-Organisationsbeziehung miteinander “verknüpft”, damit die Anwender der Organisationen die Free/Busy-Zeiten von Anwendern der jeweils anderen Organisation einsehen können. Diese Konfiguration funktionierte etwa 2 Jahre lang, bis Organisation A plötzlich nicht mehr die Free/Busy Zeiten der Organisation B abrufen konnte. Die Outlook-Fehlermeldung beim Öffnungsversuch eines anderen Kalenders lautete: “konnte nicht aktualisiert werden”:
OutlookError

Im Ereignisprotokoll des Exchange-Servers der Organisation A wurde bei jedem vergeblichen Free/Busy Versuch ein Error (MSAxchange Availability, Error 4001, Availability Service) eingetragen; in den Details dieser Fehlermeldung fand sich dieser Hinweis:

“Process Microsoft.Exchange.InfoWorker.Common.Delayed`1[System.String]: <vs@b.com>SMTP:vs@b.com failed. Exception returned is Microsoft.Exchange.InfoWorker.Common.Availability.AutoDiscoverFailedException: Autodiscover failed for e-mail address <vs@b.com>SMTP:vs@b.com with exception System.Web.Services.Protocols.SoapHeaderException: Fehler beim Verarbeiten der Sicherheitstoken in der Nachricht.”

Beim Exchange Server der Organisation B wurden zum gleichen Zeitpunkt keine sachdienlichen Ereignisse protokolliert. Eine Erhöhung des Diagnostic Levels brachte keine weiteren Erkenntnisse.

Ein “Test-FederationTrust” beim Exchange Server A ergab ein “Succes”, die Federation (zum Microsoft Federation Gateway, kurz MFG) schien in Ordnung zu sein. Aber der Event-Hinweis “Fehler beim Verarbeiten der Sicherheitstoken in der Nachricht” (Original: An error occurred when processing the security tokens in the message) deutete auf ein Problem mit dem Sicherheitstoken hin das vom MFG empfangen wurde. Lösung dieses Problems war, die Metadaten der Federation zu erneuern. Hierzu ist auf beiden beteiligten Exchange Servern (A und B) eine administrative Exchange-PowerShell zu öffnen und den Refresh auszuführen (im Erfolgsfall gibt das nachfolgende Cmdlet nichts aus):

Get-Federationtrust|Set-Federationtrust -RefreshmetadataRefreshMetadata

Nach einiger Zeit (in unserem Fall etwa eine Stunde nach dem beidseitigen Ausführen des o.g. Cmdlets) funktionierten die Free/Busy Abfragen von Organisation-B Mailboxen wieder.

Details hierzu siehe auch: http://johanveldhuis.nl/en/tag/federation/

Advertisements

Neuigkeiten von KEMP Technologies

clip_image002

Neuigkeiten gibt es bei unserem Partner für Loadbalancer – KEMP Technologies. Zum einen sind neue Produkte erschienen, der Einstiegs-Loadbalancer KEMP LoadMaster 2400 hat mehr Leistung als sein Vorgänger und verfügt nun serienmäßig über das ESP-Package, zudem wurde sein Preis gesenkt.

Der VLM-200 (virtuelle Appliance) sowie der LM-2400 (Hardware Appliance) verfügen seit dem 1.4.2014 standardmäßig über das Edge Security Pack (ESP). Das ESP bietet viele der bekannten Merkmale des abgekündigten Microsoft TMG 2010 Servers und schützt mit seiner Reverse Proxy Funktion vor Sicherheitslücken. Einige der ESP-Features sind:

  • Preauthentifizierung
  • Logging und Reporting für Clientzugriffe
  • LDAP Authentifizierung über KEMP LoadMaster und Active Directory
  • Basic und NTLM Authentifizierung zwischen Client und LoadMaster

Das KEMP Edge Security Pack (ESP) ist Bestandteil der LoadMaster Software und in fast allen Appliances verfügbar.

Der LoadMaster LM-2400 ist mit 1000 SSL-TPS das Multicore-Einstiegsgerät und ausgelegt für einen steigenden HTTPS-Verbindungsbedarf. Der LM-2400 wurde zum 1.4.2014 im Preis gesenkt, der neue Listenpreis beträgt 1.990 EUR. clip_image003