Consulta de información de disponibilidad en entornos híbridos

Hola blogger@s!

En el artículo de hoy nos gustaría compartir con vosotros cómo funcionan las consultas de información de disponibilidad en entornos híbridos:

1-      El usuario A solicita la información de disponibilidad del usuario B
2-      Se obtiene la dirección de destino/servicio del usuario B
3-      Verificamos la existencia de una “Organization Relationship” para la dirección de destino
4-      Consultamos el MFG para obtener el token y poder autentificarnos
5-      Se obtiene el token
6-      Se envía la solicitud a Office 365
7-      Se valida el token
8-      Comprobamos la “Organization Relationship”
9-      Consultamos la información de disponibilidad del buzón de destino
10-   Se envía al servidor CAS de onpremise
11-   Finalmente se entrega la información al usuario B

Uno de los problemas típicos está originado por cambios en los certificados del Microsoft Federation Gateway. A continuación os detallamos los pasos a llevar a cabo para identificar este comportamiento y prevenirlo:

Ejecutamos en primer lugar el siguiente cmdlet:
Test-FederationTrust -useridentity useralias

En la salida veremos los siguientes errores:

 

RunspaceId : 191b09cd-5e9e-413a-b28b-49f781743124
Id : FederationTrustConfiguration
Type : Success
Message : FederationTrust object in ActiveDirectory is valid.

RunspaceId : 191b09cd-5e9e-413a-b28b-49f781743124
Id : FederationMetadata
Type : Error
Message : The federation trust doesn't contain the same certificates published by the security token service in its federation metadata.

RunspaceId : 191b09cd-5e9e-413a-b28b-49f781743124
Id : StsCertificate
Type : Success
Message : Valid certificate referenced by property TokenIssuerCertificate in the FederationTrust object.

RunspaceId : 191b09cd-5e9e-413a-b28b-49f781743124
Id : StsPreviousCertificate
Type : Success
Message : Valid certificate referenced by property TokenIssuerPrevCertificate in the FederationTrust object.

RunspaceId : 191b09cd-5e9e-413a-b28b-49f781743124
Id : OrganizationCertificate
Type : Success
Message : Valid certificate referenced by property OrgPrivCertificate in the FederationTrust object.

RunspaceId : 191b09cd-5e9e-413a-b28b-49f781743124
Id : TokenRequest
Type : Success
Message : Request for delegation token succeeded.

RunspaceId : 191b09cd-5e9e-413a-b28b-49f781743124
Id : TokenValidation
Type : Error
Message : Failed to validate delegation token.

Ejecutamos el siguiente comando para refrescar la información de Federación:

Get-FederationTrust | Set-FederationTrust –RefreshMetadata

Tras esto se ejecuta nuevamente el test devolviendo Success. Realizamos pruebas desde OWA y Outlook y conseguimos ver la información de disponibilidad de forma correcta.

En el siguiente artículo del blog del grupo de producto disponemos de información relativa a la causa del comportamiento indicado:

Keep your Federation Trust up-to-date
https://blogs.technet.com/b/exchange/archive/2014/09/10/keep-your-federation-trust-up-to-date.aspx

Es importante remarcar el punto donde se hace referencia a la recomendación de crear una tarea programada para ejecutar el proceso de actualización de forma periódica, con el fin de mantener el Federation Trust actualizado de forma constante, lo cual podemos llevar a cabo mediante la ejecución del siguiente comando:

Schtasks /create /sc Daily /tn FedRefresh /tr "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -version 2.0 -command Add-PSSnapIn Microsoft.Exchange.Management.PowerShell.E2010;$fedTrust = Get-FederationTrust;Set-FederationTrust -Identity $fedTrust.Name -RefreshMetadata" /ru System

En el siguiente enlace tenéis más información:

Free/busy lookups stop working in a cross-premises environment or in an Exchange hybrid deployment
https://support.microsoft.com/kb/2928514

Esperamos como siempre que este post os sirva de utilidad.

Saludos!
Pedro Moreno / Pablo García