Operation Migration
Het migreren van de Shared mailbox Voorraadbeheer ging niet zonder slag of stoot. Het was een tijdje geleden dat ik mijn laatste mailbox had gemigreerd. Het aanmaken van de “migration batch” ging eenvoudig genoeg, maar faalde met deze error:
Error: MrsHttpUnauthorizedException: The Mailbox Replication
Service was unable to connect to the remote server using the credentials
provided. Please check the credentials and try again. The call to
'https://autodiscover.domein.nl/EWS/mrsproxy.svc' failed. Error details: The
HTTP request is unauthorized with client authentication scheme 'Negotiate'. The
authentication header received from the server was 'Basic
realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote
server returned an error: (401) Unauthorized.. --> The HTTP request is
unauthorized with client authentication scheme 'Negotiate'. The authentication
header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'.
--> The remote server returned an error: (401) Unauthorized. --> The call
to 'https://autodiscover.domein.nl/EWS/mrsproxy.svc' failed. Error details: The
HTTP request is unauthorized with client authentication scheme 'Negotiate'. The
authentication header received from the server was 'Basic
realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote
server returned an error: (401) Unauthorized.. --> The HTTP request is
unauthorized with client authentication scheme 'Negotiate'. The authentication
header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'.
--> The remote server returned an error: (401) Unauthorized.
Het lijkt een probleem met authenticatie, waarbij het proces niet
om kon gaan met de setting “negotiate” en in plaats daarvan bijv. NTLM wilde.
Dit zou dan aan de on premise kant moeten zijn, in IIS daar. Hier wordt
beschreven wat er zou kunnen spelen, uiteindelijk wás dit het niet. Ik
beschrijf het toch even, omdat het gevaarlijk is om te proberen. Onderstaande
is te vinden door in IIS op de website te klikken, dan op “Authentication”.
Bij ons stond Negotiate boven aan, het ontbrak niet. Maar, omdat
we recent certificaten hadden vervangen.. wellicht was het iets met caching van
credentials. Wat ik toen eerst heb gedaan is een IIS reset. Op beide
mailservers. Dit werkte niet. Ik heb daarna de Negotiate verwijdert. IIS Reset.
Negotiate toegevoegd. IIS Reset. Op beide mailservers. Error bleef. Wat
overbleef was NTLM als enige provider
laten staan, maar ik kon dat niet onderbouwen. Het nadeel van NTLM is dat voor
élke bewerking een akkoord nodig is. Het is een overhead intensief protocol. Ik
zou het kunnen doen, testen, het werkt, maar dan de dag erop in de problemen
komen als de belasting omhoog ging. Ik besloot het hier even te laten zitten en
verder te zoeken.
Uiteindelijk kwam ik via deze discussie op het idee om een nieuw
Migration Endpoint te gebruiken. Een optie daarvoor wordt geboden tijdens het
aanmaken van de Migration Batch. Na het invullen van een naam voor het nieuwe
endpoint, domein\gebruiker en password zet ik het schuifje op “Gebruik
Autodiscover” en vul mijn e-mailadres in.
If at first you don’t succeed. Fail again.
Hierna liep de migratie verder. Maar faalde weer, nu met volgende:
Error: TargetDeliveryDomainMismatchPermanentException: The
target mailbox doesn't have an SMTP proxy matching 'domeinnl.mail.onmicrosoft.com'.
Maar natuurlijk. De shared mailboxes hebben niet de standaard
e-mail policy toegepast gekregen; dus missen ze allemaal hun @'domeinnl.mail.onmicrosoft.com
e-mailadres. Dit kan ik met de hand aanpassen, maar omdat het account nu al
gesynchroniseerd is, besluit ik het eerst weer ‘weg te syncen’. Ik verplaatst
het naar een nadere OU en synchroniseer. Het account is nu verwijdert uit
Azure, middels een softdelete. Via MSOL powershell verwijder ik het account
permanent uit het limbo.
Remove-MsolUser -UserPrincipalName mailbox@domein.nl-RemoveFromRecycleBin
Daarna synchroniseer ik weer opnieuw na het on premise account met
de hand van een @'domeinnl.mail.onmicrosoft.com adres te hebben voor zien. Dit
werkt. We kunnen weer een migratie poging ondernemen.
The value
"f55e9ffa-3e67-49cf-a790-a2fdb8f47ee9" of property
"ArchiveGuid" is used by another recipient object. Please specify a
unique value.
Sure. Wat nu weer. Nagekeken. Het
betekend dat er naast een object in Azure en MSOL ook een object in Exchange
Online is aangemaakt, al is de migratie elke keer mislukt. Die in a fire. User
account weer weggesynced, daarna:
Remove-Mailbox -Identity mailbox@domein.nl–PermanentlyDelete
Nu het user account weer terug gesynced en gecontroleerd; geen
errors. In de tussentijd heb ik mijn admin wachtwoord gewijzigd dus ik kreeg
bij de eerste poging weer:
Error: MrsHttpUnauthorizedException: The Mailbox Replication
Service was unable to connect to the remote server using the credentials
provided. Please check the credentials and try again. The call to
'https://autodiscover.domein.nl/EWS/mrsproxy.svc' failed. Error details: The
HTTP request is unauthorized with client authentication scheme 'Negotiate'. The
authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'.
--> The remote server returned an error: (401) Unauthorized.. --> The
HTTP request is unauthorized with client authentication scheme 'Negotiate'. The
authentication header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'.
--> The remote server returned an error: (401) Unauthorized. --> The call
to 'https://autodiscover.domein.nl/EWS/mrsproxy.svc' failed. Error details: The
HTTP request is unauthorized with client authentication scheme 'Negotiate'. The
authentication header received from the server was 'Basic
realm="autodiscover.domein.nl",Negotiate,NTLM'. --> The remote
server returned an error: (401) Unauthorized.. --> The HTTP request is
unauthorized with client authentication scheme 'Negotiate'. The authentication
header received from the server was 'Basic realm="autodiscover.domein.nl",Negotiate,NTLM'.
--> The remote server returned an error: (401) Unauthorized.
Dit kwam door een password wissel kort voor de migratie. De
oplossing hier zou een nieuw migration endpoint kunnen zijn, echter, ik heb
ondertussen door hoe je een wachtwoord kunt wijzigen op zo’n endpoint.
Na dit geüpdate te hebben, weer een migratie poging gedaan.
Error: TargetDeliveryDomainMismatchPermanentException: The
target mailbox doesn't have an SMTP proxy matching 'domeinnl.mail.onmicrosoft.com'.
Grmbl. Nu de policy toegepast. Opnieuw gesynced. Nieuwe migratie
batch. Duurt langer. En jawel. De batch items beginnen op te lopen. 10 niet
gesynced. 1234 wel. Ik zie het in plukjes naar 30.000 items gaan. Kruipen naar
60.000. Uiteindelijk 140k items gesynced. De migratie is gelukt!
Ik zie nog wel “Needs approval” op de migration batch. Dat is schijnbaar
een restantje van de 14 bestanden die niet gesynced zijn vanwege $reden. Ik
laat het erbij. Na testen met mailen naar interne en externe boxen meld ik hem
gereed.
Reacties
Een reactie posten