O que fazer – meus usuários não conseguem se conectar no Outlook (parte 3)
By: César Hara e Caio Ribeiro César
Após um alto número de hits para o blog post de ADFS com Outlook Connectivity e a abertura de chamados para os problemas conhecidos, decidimos trazer mais alguns cenários comuns de suporte.
O artigo de falha de conectividade para ambientes híbridos também será escrito posteriormente.
1) Outlook Connectivity falha com Multi Factor Authentication (MFA).
Outlook pede credencial de senha múltiplas vezes quando tentamos nos autenticar com o Exchange Online. Um cenário comum para este comportamento é quando possuímos MFA habilitado e o usuário final não adiciona a senha de "App Password".
Após habilitar MFA no O365, quando o usuário efetuar o logon no portal, ele é solicitado para a criação de MFA. Neste processo, o "App Password" é criado (ou o usuário final pode acessar a URL abaixo para esta criação):
https://account.activedirectory.windowsazure.com/AppPasswords.aspx
O usuário final também pode efetuar a alteração desta senha pelo portal do O365 (Account settings>Security and Privacy).
Isto ocorre devido ao fato de que o protocolo de App Password é necessário para que o MFA funcione caso outros métodos de validação de autenticação sejam configurados como mandatórios (SMS, Ligação Telefônica, Aplicativos) então o ADAL deve estar habilitado.
Office 2013 (requer alteração no registro) Office 2016 (nenhuma configuração adicional).
https://blogs.office.com/2014/11/12/office-2013-updated-authentication-enabling-multi-factor-authentication-saml-identity-providers/
2) Outlook Connectivity falha com “LiveIdBasicAuth:FederatedStsUnreachable” 403 forbidden.
Outlook falha para conectar em um ambiente federado. O Autodiscover falha com o erro abaixo:
X-AutoDiscovery-Error: LiveIdBasicAuth:FederatedStsUnreachable:<X-forwarded-for:>
<FederatedSTSFailure>System.Net.WebException: The remote server returned an error: (403) Forbidden. at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)
Isso pode acontecer caso você possua problemas de trust em um cenário de WAP<>ADFS: o servidor ADFS terá alguns eventos no EventViewer (EventID 276 The federation server proxy is not trusted by the Federation Service).
Solução: restabelecer o trust entre o ADFS e WAP pelo comando "Install-WebApplicationProxy", ou efetuando o run do wizard novamente.
Após esta ação, teremos o comportamento de EventID 245 (The federation server proxy successfully retrieved its configuration from the Federation Service) e EventID 396 (The trust between the federation proxy and the Federation Service was renewed successfully).
3) Outlook Connectivity falha com “LiveIdBasicAuth:FederatedStsUnreachable”, 503 ServiceUnavailable - Unable to connect to the remote server
Outlook falha para conectar em um ambiente federado. O Autodiscover falha com o erro abaixo:
“Web exception occurred because an HTTP 503 - ServiceUnavailable response was received from Unknown. HTTP Response Headers: Retry-After: 30 request-id: X-CalculatedBETarget: X-AutoDiscovery-Error: LiveIdBasicAuth:FederatedStsUnreachable:<X-forwarded-for:Ip-Address ><FederatedSTSFailure>System.Net.WebException: Unable to connect to the remote server”
Isto pode acontecer caso a sua rede bloqueie o request de STS token do Datacenter da Microsoft. Valide com o time de network (com uma análise de trace para esta comunicação) os requests e respostas para os ranges de IP do O365 (+root domain names).
* Caso não seja encontrado pela equipe de network da sua organização, efetue a abertura de um chamado para que o time de suporte possa informar qual range exato pode estar sendo bloqueado.
EXRCA para análise inicial: https://testconnectivity.microsoft.com/
Maiores informações: https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2?ui=en-US\&rs=en-US\&ad=US
XML com os ranges: https://support.content.office.net/en-us/static/O365IPAddresses.xml
RSS que é atualizado com novos endereços: https://go.microsoft.com/fwlink/p/?linkid=236301
Comments
- Anonymous
August 26, 2016
Faltou o link do ExRCA onde se podem obter esses erros:https://testconnectivity.microsoft.com/ Acho o erro 3 o mais complicado, pois nem sempre a culpa é do WAP. Já lutei com SonicWALL e TMG também, no entanto o erro é o mesmo (um pouco misleading).- Anonymous
August 29, 2016
Obrigado pelo link do EXRCA! Adicionamos no post.O número 3) na realidade é um bloqueio de rede, por exemplo: para um mailbox server ou maibox servers. Consequentemente a comunicação irá falhar para os usuários que estiverem nas databases espeficicas. Acionando o time de suporte podemos filtrar o range específico ou o ip específico que está sendo bloqueado. Bom lembrar também que o 503 não é específico somente para este cenário, podemos ter outros problemas relacionados. Valeu Luís, abc!!
- Anonymous
- Anonymous
August 28, 2016
tnx