Operation Migration

Het migreren van de Shared mailbox Voorraadbeheer ging niet zonder slag of stoot. Het was een tijdje geleden dat ik mijn laatste mailbox had gemigreerd. Het aanmaken van de “migration batch” ging eenvoudig genoeg, maar faalde met deze error:

Error: MrsHttpUnauthorizedException: The Mailbox Replication Service was unable to connect to the remote server using the credentials provided. Please check the credentials and try again. The call to 'https://autodiscover.domein.nl/EWS/mrsproxy.svc' failed. Error details: The HTTP request is unauthorized with client authentication scheme 'Negotiate'. The authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote server returned an error: (401) Unauthorized.. --> The HTTP request is unauthorized with client authentication scheme 'Negotiate'. The authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote server returned an error: (401) Unauthorized. --> The call to 'https://autodiscover.domein.nl/EWS/mrsproxy.svc' failed. Error details: The HTTP request is unauthorized with client authentication scheme 'Negotiate'. The authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote server returned an error: (401) Unauthorized.. --> The HTTP request is unauthorized with client authentication scheme 'Negotiate'. The authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote server returned an error: (401) Unauthorized.

Het lijkt een probleem met authenticatie, waarbij het proces niet om kon gaan met de setting “negotiate” en in plaats daarvan bijv. NTLM wilde. Dit zou dan aan de on premise kant moeten zijn, in IIS daar. Hier wordt beschreven wat er zou kunnen spelen, uiteindelijk wás dit het niet. Ik beschrijf het toch even, omdat het gevaarlijk is om te proberen. Onderstaande is te vinden door in IIS op de website te klikken, dan op “Authentication”.


Bij ons stond Negotiate boven aan, het ontbrak niet. Maar, omdat we recent certificaten hadden vervangen.. wellicht was het iets met caching van credentials. Wat ik toen eerst heb gedaan is een IIS reset. Op beide mailservers. Dit werkte niet. Ik heb daarna de Negotiate verwijdert. IIS Reset. Negotiate toegevoegd. IIS Reset. Op beide mailservers. Error bleef. Wat overbleef was NTLM  als enige provider laten staan, maar ik kon dat niet onderbouwen. Het nadeel van NTLM is dat voor élke bewerking een akkoord nodig is. Het is een overhead intensief protocol. Ik zou het kunnen doen, testen, het werkt, maar dan de dag erop in de problemen komen als de belasting omhoog ging. Ik besloot het hier even te laten zitten en verder te zoeken.

Uiteindelijk kwam ik via deze discussie op het idee om een nieuw Migration Endpoint te gebruiken. Een optie daarvoor wordt geboden tijdens het aanmaken van de Migration Batch. Na het invullen van een naam voor het nieuwe endpoint, domein\gebruiker en password zet ik het schuifje op “Gebruik Autodiscover” en vul mijn e-mailadres in.

If at first you don’t succeed. Fail again.

Hierna liep de migratie verder. Maar faalde weer, nu met volgende:

Error: TargetDeliveryDomainMismatchPermanentException: The target mailbox doesn't have an SMTP proxy matching 'domeinnl.mail.onmicrosoft.com'.

Maar natuurlijk. De shared mailboxes hebben niet de standaard e-mail policy toegepast gekregen; dus missen ze allemaal hun @'domeinnl.mail.onmicrosoft.com e-mailadres. Dit kan ik met de hand aanpassen, maar omdat het account nu al gesynchroniseerd is, besluit ik het eerst weer ‘weg te syncen’. Ik verplaatst het naar een nadere OU en synchroniseer. Het account is nu verwijdert uit Azure, middels een softdelete. Via MSOL powershell verwijder ik het account permanent uit het limbo.

Remove-MsolUser -UserPrincipalName mailbox@domein.nl-RemoveFromRecycleBin

Daarna synchroniseer ik weer opnieuw na het on premise account met de hand van een @'domeinnl.mail.onmicrosoft.com adres te hebben voor zien. Dit werkt. We kunnen weer een migratie poging ondernemen.

The value "f55e9ffa-3e67-49cf-a790-a2fdb8f47ee9" of property "ArchiveGuid" is used by another recipient object. Please specify a unique value.

Sure. Wat nu weer. Nagekeken. Het betekend dat er naast een object in Azure en MSOL ook een object in Exchange Online is aangemaakt, al is de migratie elke keer mislukt. Die in a fire. User account weer weggesynced, daarna:

Remove-Mailbox -Identity mailbox@domein.nl–PermanentlyDelete

Nu het user account weer terug gesynced en gecontroleerd; geen errors. In de tussentijd heb ik mijn admin wachtwoord gewijzigd dus ik kreeg bij de eerste poging weer:

Error: MrsHttpUnauthorizedException: The Mailbox Replication Service was unable to connect to the remote server using the credentials provided. Please check the credentials and try again. The call to 'https://autodiscover.domein.nl/EWS/mrsproxy.svc' failed. Error details: The HTTP request is unauthorized with client authentication scheme 'Negotiate'. The authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote server returned an error: (401) Unauthorized.. --> The HTTP request is unauthorized with client authentication scheme 'Negotiate'. The authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote server returned an error: (401) Unauthorized. --> The call to 'https://autodiscover.domein.nl/EWS/mrsproxy.svc' failed. Error details: The HTTP request is unauthorized with client authentication scheme 'Negotiate'. The authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote server returned an error: (401) Unauthorized.. --> The HTTP request is unauthorized with client authentication scheme 'Negotiate'. The authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote server returned an error: (401) Unauthorized.

Dit kwam door een password wissel kort voor de migratie. De oplossing hier zou een nieuw migration endpoint kunnen zijn, echter, ik heb ondertussen door hoe je een wachtwoord kunt wijzigen op zo’n endpoint.





Na dit geüpdate te hebben, weer een migratie poging gedaan.

Error: TargetDeliveryDomainMismatchPermanentException: The target mailbox doesn't have an SMTP proxy matching 'domeinnl.mail.onmicrosoft.com'.

Grmbl. Nu de policy toegepast. Opnieuw gesynced. Nieuwe migratie batch. Duurt langer. En jawel. De batch items beginnen op te lopen. 10 niet gesynced. 1234 wel. Ik zie het in plukjes naar 30.000 items gaan. Kruipen naar 60.000. Uiteindelijk 140k items gesynced. De migratie is gelukt!

Ik zie nog wel “Needs approval” op de migration batch. Dat is schijnbaar een restantje van de 14 bestanden die niet gesynced zijn vanwege $reden. Ik laat het erbij. Na testen met mailen naar interne en externe boxen meld ik hem gereed.

Reacties

Populaire posts van deze blog

Breaking: Tailwind Traders acquiers Northwind!

The signal came from inside the house

My definition of plagiarism