:strip_icc():strip_exif()/u/4003/e-class.jpg?f=community)
Onze Exchange 2013 omgeving draait in een resource forest en alle gebruikers zitten in een user forest waarin ook alle andere infrastructuur zit waaronder een ADFS 2019 omgeving.
Nu wil ik graag de exchange omgeving koppelen aan de ADFS omgeving zoals beschreven in o.a. https://docs.microsoft.co...nd-eac-exchange-2013-help. Alle stappen zijn doorlopen en na het tackelen van de standaardproblemen zoals het signing certificaat in de trusted root store zetten gaat het inloggen in OWA ook prima. Waar ik echter niet uit kom is het starten van de ECP. Deze geeft een error 403 zodra je deze probeert te benaderen vanuit OWA of rechtstreeks. Met een extensie zie ik dat er netjes een wsfed token wordt gemaakt met daarin de UPN en SID.
In de HTTP proxy logging haal ik dat er een 403 plaats vindt als het verzoek naar de backend wordt gestuurd en ook in die logging zie ik 403 fouten voorbij komen. De webverzoeken worden gedaan met ADFS als authenticatiemethode. Voor de zekerheid heb ik alles op 1 server gezet om alle logging centraal te houden maar ook op andere servers zie ik dit probleem. (Logging even niet bij de hand, zal ik later toevoegen)
De foutmelding komt overeen met wat je hier ziet: https://rakhesh.com/windo...h-exchange-owa-ecp-contd/ maar met de aangegeven workaround of de alternateloginid beschreven in het latere artikel krijg ik het nog steeds niet werkend. Het probleem lijkt um echter wel te zitten in dat de ECP iets anders (het SID van het disabled account?) verwacht dan OWA.
Iemand met ervaringen en denkrichtingen waarin ik kan zoeken?
Alle Exchange nodes draaien op Windows Server 2012 R2, Exchange Server 2013 CU22 en alles op virtuele machines. De ADFS omgeving is server 2019 in een 2012 r2 domein. De ADFS omgeving wordt succesvol gebruikt icm Office 365 federatie en allerlei saas apps en staat dus in het zelfde domein/forest als de gebruikers. Tussen de twee forests ligt een forest trust.
Nu wil ik graag de exchange omgeving koppelen aan de ADFS omgeving zoals beschreven in o.a. https://docs.microsoft.co...nd-eac-exchange-2013-help. Alle stappen zijn doorlopen en na het tackelen van de standaardproblemen zoals het signing certificaat in de trusted root store zetten gaat het inloggen in OWA ook prima. Waar ik echter niet uit kom is het starten van de ECP. Deze geeft een error 403 zodra je deze probeert te benaderen vanuit OWA of rechtstreeks. Met een extensie zie ik dat er netjes een wsfed token wordt gemaakt met daarin de UPN en SID.
In de HTTP proxy logging haal ik dat er een 403 plaats vindt als het verzoek naar de backend wordt gestuurd en ook in die logging zie ik 403 fouten voorbij komen. De webverzoeken worden gedaan met ADFS als authenticatiemethode. Voor de zekerheid heb ik alles op 1 server gezet om alle logging centraal te houden maar ook op andere servers zie ik dit probleem. (Logging even niet bij de hand, zal ik later toevoegen)
De foutmelding komt overeen met wat je hier ziet: https://rakhesh.com/windo...h-exchange-owa-ecp-contd/ maar met de aangegeven workaround of de alternateloginid beschreven in het latere artikel krijg ik het nog steeds niet werkend. Het probleem lijkt um echter wel te zitten in dat de ECP iets anders (het SID van het disabled account?) verwacht dan OWA.
Iemand met ervaringen en denkrichtingen waarin ik kan zoeken?
Alle Exchange nodes draaien op Windows Server 2012 R2, Exchange Server 2013 CU22 en alles op virtuele machines. De ADFS omgeving is server 2019 in een 2012 r2 domein. De ADFS omgeving wordt succesvol gebruikt icm Office 365 federatie en allerlei saas apps en staat dus in het zelfde domein/forest als de gebruikers. Tussen de twee forests ligt een forest trust.