mercredi 25 février 2015

[Exchange/Office365] Hybride et Oauth - PartnerApplication "Exchange Online" manquant...

** Mise à jour **

La création d'un nouveau Partner Application comme décrit précédemment n'est pas suffisant.
En effet bien que la configuration s'effectue correctement via l'assistant, en usage, les plages de disponibilité (Free/Busy) ne fonctionnent pas.
Depuis Online vers OnPrem, la connexion est refusée et une erreur 500 est renvoyée au client.


Erreur lors du test Oauth (Test-OauthConnectivity)

Après quelques recherche, un élément est manquant dans la configuration du Partner Application.


Il suffit alors de rajouter le LinkedAccount manquant:



Set-PartnetApplication -LinkedAccount "rootdomain/users/Exchange Online-ApplicationAccount"

*******************************************************************************


J'ai voulu faire quelques tests sur mon environnement hybride Exchange Server 2013 et Exchange Online et pour cela je me suis amusé à tout retirer !

J'ai aussi bien supprimé la relation d'organisation que les différentes configurations relativies à l'Oauth...

Voulant ensuite relancer l'assistant, j'ai été confronté à un message d'erreur très explicite :


En effet, en voulant décommissionner mon déploiement hybride, j'ai malencontreusement supprimé le PartnerApplication "Exchange Online" créé lors de l'installation d'Exchange !

Pour le recréer il suffit simplement de lancer la cmdlet qui suit:

New-PartnerApplication -Name "Exchange Online" -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000




Ensuite relancer l'assistant HCW et le tour est joué ;-)


Pour tester que c'est bien configuré

Test-OauthConnectivity -TargetUri https://outlook.office365.com/ews/exchange.asmx -Service EWS -Mailbox name@domain.com


Cheers

mardi 24 février 2015

[Exchange/Office365] Hybrid Troubleshooter

Hier, Microsoft a annoncé la mise à disposition de l'outil de dépannage des déploiement hybride "Hybrid Troubleshooter": http://blogs.technet.com/b/exchange/archive/2015/02/23/automated-hybrid-troubleshooting-experience.aspx

Cet outil permet de vous aider à comprendre comment fonctionne le déploiement hybride mais surtout doit vous aider à le dépanner.

Il n'est pas rare dans un environnement de production d'être confronté, par exemple, à des contraintes des sécurités comme le filtrage d'IP....ici l'outil scanne les accès à ces adresses IP pour vous !

Bien plus qu'un check de "pourquoi ça ne marche pas", il vérifie aussi l'état du serveur, les mises à jour installées...comme le bon vieux ExBPA ;-)

Enfin un scan des logs de déploiement s'effectue aussi sur le serveur où est executé l'outil, afin de "traduire en langage clair" les défaillances possibles lors du lancement de l'assistant (HCW).

Important, l'outil doit être lancé sur un serveur Exchange où le déploiement hybride a été mis en place.

L'outil est présent à cette adresse : http://aka.ms/HCWCheck

Ci dessous un petit exemple de son utilisation:

1/ S'authentifier sur le tenant Office 365



2/ Lancer l'outil


3/ Installer l'application


4/ Exécution du diag...


5/ Résultats : Par défaut l'outil présente l'onglet "All issues".


L'ensemble des "choses à corriger" sont listés sur cette page, et un lien est proposé pour aider l'administrateur à corriger le problème éventuel.
Ici on peut voir par exemple:
- Mon serveur ne semble pas pouvoir accéder aux IP des différents services Office 365
- Le dernier fix de sécurité n'est pas présent sur mon serveur...
- Aucun SPF n'est présent pour les domaines déclarés sur mon tenant...

6/ Il est possible d'exporter le résultat au format XML et ensuite le pousser au Support pour assistance.

Aussi, une fois avoir corrigé le problème détecté, il est possible de relancer l'outil une nouvelle fois pour vérifier la correction.

7/ Pour voir tout les résultat il suffit de cliquer sur "All results"



En conclusion: Je trouve cet outil fort utile, surtout lorsqu'on effectue des déploiements hybrides dans des environnements qui ont "vécu", en nous aidant à faire un état des lieux du serveurs et services en place. Bien sûr cet outil ne sera pas le remède ultime, dépannant pour vous les éventuels problèmes détectés, mais donne un fil conducteur pouvant être présenté au client ;-)

PS: En environnement full Microsoft Exchange Server 2013, l'assistant a tout de même détecté qu'un serveur Exchange Server 2010 était à jour... :-)



Cheers



samedi 21 février 2015

[Office 365] Comment se connecte le client Outlook (ADFS...)

Une question m'a récemment été posée sur le fonctionnement du client Outlook à Exchange Online (Office 365) avec ADFS.

Peu d'informations en français circule à ce sujet sur Internet. Après quelques tests et une recherche fructueuse, la réponse a été trouvée :)

En effet contrairement à OWA où il y a du SSO, Outlook n'a qu'une information qui est "l'emplacement de la boite aux lettres", soit Exchange Online (outlook.office365.com)

Lors du lancement d'Outlook, le client va contacter EXO avec l'identité de la boite aux lettres (login et mot de passe) et EXO joue ensuite le rôle d'intermédiaire pour envoyer cette identité au serveur Proxy ADFS qui se charge ensuite de l'authentification.

Source de l'image: https://blogs.technet.microsoft.com/askpfeplat/2014/08/24/adfs-deep-dive-primer/

Ce qui signifie que, bien que le client soit interne, Outlook ne cherche pas à contacter le serveur ADFS local comme le ferait OWA.

Dans cette configuration les serveurs Proxy ADFS sont encore plus critiques car en cas de non accessibilité, le client Outlook ne pourra pas initier de nouvelle connexion.

Exchange ActiveSync fonctionne de la même manière que le client Outlook ;-)

Microsoft promet qu'avec la prochaine version d'Outlook associée à la connexion MAPI over HTTP d'EXO permettra enfin du vrai SSO :)

Pour plus d'informations: https://blogs.technet.microsoft.com/askpfeplat/2014/08/24/adfs-deep-dive-primer/

Un autre lien très utile : http://maso.dk/2011/06/01/how-does-adfs-work-with-office-365/