Exchange-Federation: Free/Busy Zugriffsprobleme auf andere Organisation (“Fehler beim Verarbeiten der Sicherheitstoken in der Nachricht”)

Zwei Exchange 2010 basierende Organisationen sind per Exchange-Federation und einer Exchange-Organisationsbeziehung miteinander “verknüpft”, damit die Anwender der Organisationen die Free/Busy-Zeiten von Anwendern der jeweils anderen Organisation einsehen können. Diese Konfiguration funktionierte etwa 2 Jahre lang, bis Organisation A plötzlich nicht mehr die Free/Busy Zeiten der Organisation B abrufen konnte. Die Outlook-Fehlermeldung beim Öffnungsversuch eines anderen Kalenders lautete: “konnte nicht aktualisiert werden”:
OutlookError

Im Ereignisprotokoll des Exchange-Servers der Organisation A wurde bei jedem vergeblichen Free/Busy Versuch ein Error (MSAxchange Availability, Error 4001, Availability Service) eingetragen; in den Details dieser Fehlermeldung fand sich dieser Hinweis:

“Process Microsoft.Exchange.InfoWorker.Common.Delayed`1[System.String]: <vs@b.com>SMTP:vs@b.com failed. Exception returned is Microsoft.Exchange.InfoWorker.Common.Availability.AutoDiscoverFailedException: Autodiscover failed for e-mail address <vs@b.com>SMTP:vs@b.com with exception System.Web.Services.Protocols.SoapHeaderException: Fehler beim Verarbeiten der Sicherheitstoken in der Nachricht.”

Beim Exchange Server der Organisation B wurden zum gleichen Zeitpunkt keine sachdienlichen Ereignisse protokolliert. Eine Erhöhung des Diagnostic Levels brachte keine weiteren Erkenntnisse.

Ein “Test-FederationTrust” beim Exchange Server A ergab ein “Succes”, die Federation (zum Microsoft Federation Gateway, kurz MFG) schien in Ordnung zu sein. Aber der Event-Hinweis “Fehler beim Verarbeiten der Sicherheitstoken in der Nachricht” (Original: An error occurred when processing the security tokens in the message) deutete auf ein Problem mit dem Sicherheitstoken hin das vom MFG empfangen wurde. Lösung dieses Problems war, die Metadaten der Federation zu erneuern. Hierzu ist auf beiden beteiligten Exchange Servern (A und B) eine administrative Exchange-PowerShell zu öffnen und den Refresh auszuführen (im Erfolgsfall gibt das nachfolgende Cmdlet nichts aus):

Get-Federationtrust|Set-Federationtrust -RefreshmetadataRefreshMetadata

Nach einiger Zeit (in unserem Fall etwa eine Stunde nach dem beidseitigen Ausführen des o.g. Cmdlets) funktionierten die Free/Busy Abfragen von Organisation-B Mailboxen wieder.

Details hierzu siehe auch: http://johanveldhuis.nl/en/tag/federation/