mythofechelon's questions

Por volta de fevereiro de 2023, somente quando nossa solução de proxy da Web de encaminhamento está habilitada, entrar em uma conta da Microsoft (pessoal/consumidor) funciona bem em geral (por exemplo, em https://login.live.com/ ), exceto para o Microsoft Learn e Enterprise Skills Initiative (ESI), que não reconhece que a conta está conectada e a tentativa de login na página parece funcionar, mas na verdade não funciona, e a seguinte mensagem de erro é registrada em algum lugar em segundo plano :

{"error":"invalid_grant","error_description":"AADSTS500021: Acesso negado ao locatário 'Contas da Microsoft'.

Com as restrições de locatário do Office 365 em vigor, o acesso ao locatário do Office 365 do Microsoft Learn Sandbox (usado por cursos como https://docs.microsoft.com/en-gb/learn/modules/azure-architecture-fundamentals/exercise-create -site ) está bloqueado:

Mensagem: AADSTS500021: O acesso ao locatário 'Microsoft Learn Sandbox' foi negado.

Não parece haver nada na documentação da Microsoft para isso e uma pesquisa no Google Access to 'Microsoft Learn Sandbox' tenant is denied.não retorna absolutamente nada, daí este post.

Por enquanto, concedemos acesso usando o ID do diretório, 604c1504-c6a3-4080-81aa-b33091104187, do URL, mas isso não é ideal, pois não é legível por humanos.

Alguém sabe qual é o AAD FQDN padrão do locatário ( <something>.onmicrosoft.com)?

Eu adivinhei microsoftlearnsandbox.onmicrosoft.come existe de acordo com https://login.microsoftonline.com/microsoftlearnsandbox.onmicrosoft.com/v2.0/.well-known/openid-configuration mas não funcionou aqui.

Editar (2022/03/16 15:36): Ao usar o Microsoft Learn Sandbox, encontrei um UPN chamado <username>@ triplecrownlabs.onmicrosoft.com que está de acordo com o que Bobbert disse/encontrou.

Alguém tem alguma idéia de por que o certificado CA raiz está completamente ausente (não apenas presente, mas não confiável) da cadeia HTTPS, mas apenas no Internet Explorer?

O certificado é instalado como uma CA raiz confiável, o Google Chrome funciona bem e o IE e o Chrome compartilham o mesmo armazenamento de certificados.

As capturas de pacotes do Wireshark não revelaram nada incomum - independentemente de a conexão HTTPS ter funcionado corretamente ou não, nenhuma das cadeias de certificados TLS inclui o certificado CA raiz, então isso parece ser normal e sugere que cabe aos navegadores da Web concluir o corrente.

Não consegui encontrar nada online, por isso este post.

Temos uma exportação SQL do nosso antigo sistema PSA e precisamos extrair algumas credenciais dele. Por algum motivo, a execução de um subconjunto da consulta de exibição interna mostra os campos de senha como NULL(compreensivelmente) ou simplesmente em branco, mas nenhuma das outras 144 colunas tem esse problema e, até onde sei, os dados devem ser lá.

Eu sei pouco sobre SQL, mas isso parece não estar mascarando, pelo menos, pois exibe xs.

Este é um cenário difícil de pesquisar porque todo mundo quer poder ocultar senhas, enquanto eu estou tentando recuperá-las.

Usamos o agente MARS (Microsoft Azure Recovery Services) para fazer backup do estado do sistema de um servidor Windows Server 2012 R2.

Esses backups começaram a falhar com os seguintes erros:

Unable to perform the operation as Windows Server Backup job failed with error message: None of the items included in backup were backed up.
 Detailed error: Copy of the files failed.
 HResult:80780049 DetailedHResult:8078010E

Não encontrei nada relevante online para esses erros específicos, daí este post.

Eu tenho:

1. Encontrado https://support.microsoft.com/en-gb/help/4053355/microsoft-azure-recovery-services-agent-system-state-backup-failure que diz para revisar os logs de falha do WSB, mas essa opção não está presente por algum motivo.
2. Descobriu que vssadmin list writersestá relatando que todos os gravadores VSS estão estáveis.
3. Descobri que C: tinha 23,3 GB livres de 99,6 GB.
4. Tentei aumentar o limite de Shadow Copy em C: de 8156 MB para 20480 MB (20% do total) mas isso não fez diferença.
5. Encontrou eventos registrados volsnapna época dos backups dizendoThe oldest shadow copy of volume C: was deleted to keep disk space usage for shadow copies of volume C: below the user defined limit.
6. Tentei aumentar o limite de cópia de sombra em C: novamente de 20480 MB para 30720 MB, mas isso também não fez diferença.

Pagamos $ 150 à Autotask (agora Datto) por um backup / exportação de nossos dados de PSA que eles forneceram no formato de um .BAKarquivo que é um banco de dados SQL.

Precisamos extrair dados dos campos definidos pelo usuário (UDFs) dos ativos do Autotask PSA, portanto, em uma VM descartável, tenho:

1. Instalou o Microsoft SQL Server 2017 Express (mais recente) e o Microsoft SQL Server Management Studio (SSMS).
2. Restaurou o banco de dados usando o arquivo BAK.
3. Determinado que os dados que precisamos podem ser recuperados usando a view dbo.wh_installed_product_udf.
4. Descobriu que a execução da consulta select * from wh_installed_product_udf/ select * from dbo.wh_installed_product_udffalha com as seguintes mensagens de erro:

Msg 4121, Level 16, State 1, Procedure wh_installed_product_udf, Line 1 [Batch Start Line 0]
Cannot find either column "dbo" or the user-defined function or aggregate "dbo.fnSafeNumericConvert", or the name is ambiguous.

Msg 4413, Level 16, State 1, Line 1
Could not use view or function 'wh_installed_product_udf' because of binding errors.

Não consegui encontrar uma solução para isso on-line, por isso este post.

Como posso usar uma conta do Azure AD para autenticar remotamente no Windows associado ao Azure AD?

Eu tenho:

1. Tentei autenticar remotamente usando contas do Azure AD e todos os formatos de entrada que conheço (listados abaixo), mas todos resultam em mensagem de erro The user name or password is incorrecte evento de falha de auditoria com ID 4625, status 0xC000006De substatus, 0xC0000064o que significa que o usuário não existe .
   • %UPN%.
     Por exemplo, [email protected].
   • AzureAD\%UPN%.
     Por exemplo, AzureAD\[email protected].
   • AzureAD\%username%.
     Por exemplo, AzureAD\username.admin.
   • AzureAD\%securityID%.
     Por exemplo, AzureAD\UsernameAdmin. Este parece ser o nome de exibição com espaços removidos.
   • %NetBIOSDomainName%\%securityID%.
     Por exemplo, EXAMPLE\UsernameAdmin. É assim que o Windows o exibe em Gerenciamento do Computador → Usuários e Grupos Locais → Grupos → Administradores.
2. Tentei usar o PsGetSid localmente e descobri que ele pode resolver os seguintes formatos de entrada do Azure AD:
   • %UPN%(somente se a conta de usuário tiver feito login anteriormente).
   • AzureAD\%UPN%(independentemente de a conta de usuário ter feito login anteriormente).
   • AzureAD\%securityID%.

3. Tentei autenticar localmente usando contas do Azure AD e os formatos de entrada mencionados acima e descobri que o Run As local pode lidar com o seguinte:

   • %UPN%.
   • AzureAD\%UPN%.
   • AzureAD\%securityID%.

4. Tentei autenticar remotamente usando contas de administrador local e descobri que elas funcionam bem.

Portanto, parece que o Windows pode lidar com as contas do Azure AD, mas apenas localmente e não remotamente, ao contrário das contas do AD DS.

Tudo o que encontrei online não é para esse cenário específico ou são apenas outras pessoas que estão enfrentando o mesmo problema.

Isso é mesmo possível?

Eu criei um GPO configurado para "atribuir" \\<AD DNS domain name>\NETLOGON\<file name>.msie verifiquei que ele está se aplicando ao PC com Windows 10 v1809, mas a instalação real falha consistentemente.

RSoP relata o seguinte:

20 June 2019 14:10:23

Software Installation failed due to the error listed below.
Not enough memory resources are available to complete this operation.

O Visualizador de Eventos relata o seguinte:

Log Name:      System
Source:        Microsoft-Windows-GroupPolicy
Date:          20/06/2019 14:48:10
Event ID:      1085
Task Category: None
Level:         Warning
Keywords:      
User:          SYSTEM
Computer:      <PC FQDN>
Description:
Windows failed to apply the Software Installation settings. Software Installation settings might have its own log file. Please click on the "More information" link.

Log Name:      System
Source:        Application Management Group Policy
Date:          20/06/2019 14:10:23
Event ID:      108
Task Category: None
Level:         Error
Keywords:      Classic
User:          SYSTEM
Computer:      <PC FQDN>
Description:
Failed to apply changes to software installation settings. Software changes could not be applied. A previous log entry with details should exist. The error was: %%14

Eu tenho:

1. Descobri que o erro %%14não parece estar documentado online, daí o meu principal motivo para postar isso.
2. Verificou-se que a Diretiva de Grupo já está configurada conforme recomendado para esses cenários ( Specify startup policy processing wait timedefinido como 60 segundos e Always wait for the network at computer startup and logondefinido como habilitado).
3. Verificado que a conexão entre o PC e o DC é de 1 Gbps
4. Descobri que executar manualmente o MSI do NETLOGON no PC funciona bem.

Atualização: 26/06/2019 09:29

Eu tenho:

5. Descobriu que esse mesmo GPO se aplica com êxito em 2 outros PCs com Windows 10 v1809.
6. Tentei implantar o MSI do 7-Zip no PC afetado, mas ele falhou com os mesmos erros.
7. Encontrou alguns eventos que sugeriam uma inicialização lenta do DNS, então removeu temporariamente o DNS Protection Agent do Webroot SecureAnywhere, mas descobriu que isso não fazia diferença.

Atualização: 26/06/2019 14:08

Eu tenho:

8. Habilitado o log do Windows Installer conforme https://support.microsoft.com/en-gb/help/223300/how-to-enable-windows-installer-logging , mas não consegui encontrar nada relevante em %tmp%ou C:\Windows\System32\config\systemprofile\AppData\Local.

Clicar em um link para um arquivo PY no Google Chrome faz o download conforme desejado, mas fazê-lo no Microsoft Edge e no Internet Explorer simplesmente o visualiza.

Isso é um problema com os navegadores da web ou com o servidor da web? Se for o último, como o IIS 10 pode ser configurado para sempre forçar downloads de arquivos PY?

Eu tentei o seguinte, mas nada fez a diferença:

1. Conforme https://www.jamf.com/jamf-nation/articles/309/using-iis-to-enable-http-downloads-on-a-windows-server-2008-or-2012-file-share- distribution-point , adicionando os tipos MIME abaixo para a extensão .py:
   1a. application/octet-stream
   1b. file/download
   1c. application/x-python-code
   1d.text/x-python
2. De acordo com https://stackoverflow.com/questions/19404770/force-file-download-in-iis7 , adicionando uma regra de reescrita de saída que resultou nos seguintes valores no arquivo web.config:

<outboundRules>
    <rule name="PY_ForceDownload" preCondition="PY_Precondition">
        <match serverVariable="RESPONSE_Content-Disposition" pattern=".*" />
        <conditions>
            <add input="{REQUEST_FILENAME}" pattern="(.*)\\([^/]+)\.py$" />
        </conditions>
        <action type="Rewrite" value="attachment; filename={C:2}.py" />
    </rule>
    <preConditions>
        <preCondition name="PY_Precondition">
            <add input="{REQUEST_FILENAME}" pattern="\.py$" />
        </preCondition>
    </preConditions>
</outboundRules>

No Windows autônomo (não associado ao domínio), é possível usar o PowerShell para verificar se uma determinada conta de usuário local tem uma senha definida/uma senha em branco?

De acordo com https://gallery.technet.microsoft.com/scriptcenter/How-to-check-if-a-local-870ab031 e https://blogs.technet.microsoft.com/heyscriptingguy/2005/10/06/ how-can-i-verify-that-none-of-my-local-user-accounts-have-a-blank-password/ , isso é possível com o VBScript, mas apenas porque ChangePasswordexige que você forneça a senha original enquanto os comandos do PowerShell não parece.

Eu li em algum lugar que você pode verificar uma senha executando um processo como usuário com suas credenciais e anotando o resultado, mas, aparentemente, você não pode usar uma string vazia como credenciais.

Um domínio AD DS internal.example.co.uké composto por servidores DC EX-SRV-WIN-01e arquivos EX-SRV-WIN-02.

Navegando para \\EX-SRV-WIN-01, \\EX-SRV-WIN-01.internal.example.co.uk, \\EX-SRV-WIN-02, e é bem- \\EX-SRV-WIN-02.internal.example.co.uksucedido.

Falha na navegação \\internal.example.co.ukcom erro Access is denied- este prompt rejeita todas as credenciais fornecidas, incluindo administrador de domínio.

O ping internal.example.co.uké resolvido corretamente para o endereço IP de um dos controladores de domínio para que o DNS funcione corretamente.

Forçar uma atualização de Diretiva de Grupo é concluída com êxito.

Portanto, esse problema parece estar limitado ao SMB, mas afeta todos os PCs (Windows 7 e Windows 10.

A partir de ~2018/07/10, tentar entrar em https://outlook.office365.com usando qualquer conta O365 sincronizada com AD e MFA e qualquer navegador da Web em qualquer dispositivo em qualquer rede não solicita o TOTP e, em vez disso, falha com a seguinte mensagem de erro:

:-(
Something went wrong
We can't get that information right now. Please try again later.
X-ClientId: E69D5A6642C242AC9C337AF8EC04AC95
request-id 19bf2ff2-1040-4772-b207-487b71b0adef
X-Auth-Error OpenIdConnect Microsoft.Exchange.Security.OpenIdConnect.OpenIdConnectIdpException
X-OWA-Version 15.20.973.23
X-FEServer DB6PR04CA0014
X-BEServer CWXP265MB0983
Date:27/07/2018 13:59:39

Uma exceção a isso é que, em PCs com Windows, os navegadores da Web da Microsoft (Internet Explorer e Microsoft Edge) oferecem opções de login "Conectado ao Windows" que funcionam bem, presumivelmente porque pulam a etapa MFA / TOTP devido a uma operação anterior bem-sucedida e Entrada registrada no Windows.

As contas do O365 na nuvem com aplicação de MFA não são afetadas.

A integridade do serviço do Office 365 Admin Center e o Synchronization Service Manager do Azure AD Connect não relatam problemas/erros.

Os aplicativos (Microsoft Outlook, Skype for Business etc.) conectados às contas do O365 afetadas continuam funcionando, mas a tentativa de entrar em novos simplesmente solicita novamente a senha.

Literalmente, as únicas coisas que consegui encontrar on-line são as seguintes, nenhuma das quais foi útil, daí este post:

1. https://answers.microsoft.com/en-us/msoffice/forum/msoffice_o365admin-mso_dirservices-mso_o365b/issue-with-office-365-azure-login/a8509ab6-201c-49dc-8112-9f574072482a
2. https://www.erroraway.com/Questions-and-Discussions/201804/12/a8509ab6-201c-49dc-8112-9f574072482a.html / https://www.dllrepairfree.com/201805/31/a8509ab6-201c- 49dc-8112-9f574072482a.html
3. https://twitter.com/alnsportsmouth/status/983615870915100672

Estou configurando um dispositivo virtual Sophos XG no Hyper-V Server 2016 (Core) em uma rede VLAN-ed para que os modos de VLAN das VNICs precisem ser configurados para que a interface LAN seja uma porta de tronco e a interface WAN será desmarcado.

Get-VMNetworkAdapterVlanA saída padrão de sugere granularidade:

VMName                      VMNetworkAdapterName Mode     VlanList
------                      -------------------- ----     --------
Sophos XG Virtual Appliance LAN                  Trunk    1000,1000-1090
Sophos XG Virtual Appliance WAN                  Trunk    1000,1000-1090

No entanto, de acordo com https://docs.microsoft.com/en-us/powershell/module/hyper-v/set-vmnetworkadaptervlan?view=win10-ps e minha experiência e pesquisa, Set-VMNetworkAdapterVlansimplesmente só pode ser usado para definir a VLAN modo de todas as VNICs em uma VM, em vez de uma específica.

A partir de algumas semanas atrás, em intervalos aparentemente aleatórios, 3 de 5 PCs ficarão atrasados ​​ao mesmo tempo por alguns segundos, na medida em que a entrada do mouse e do teclado é atrasada e as chamadas VoIP são interrompidas.

Depois de descartar algumas causas potenciais, suspeitei que algo na rede estava causando isso.

Então, algumas vezes, executei uma captura constante do Wireshark, esperei que o problema se repetisse e descobri que um grande número (~ 1.500) dos seguintes pacotes foram transmitidos em ~ 5 segundos e ao mesmo tempo que os PCs estavam atrasados:

No. Date    Time    Source  Destination Protocol    Length  Info
1361246 13:11.3 16889.25912 172.16.100.29   224.0.0.251 MDNS    [427 | 442 | 475]   Standard query response 0x0000 PTR Chromecast-1440b1ad27c2e70400c69c7c7900ee49._googlecast._tcp.local TXT, cache flush SRV, cache flush 0 0 8009 1440b1ad-27c2-e704-00c6-9c7c7900ee49.local A, cache flush 172.16.100.29

Temos um Chromecast conectado a uma TV e um laptop (um dos PCs afetados) transmite BBC News para ele o dia todo, mas estamos fazendo isso há meses sem problemas.

Alguém pode aconselhar?

Estou ciente de que existem problemas conhecidos com os Chromecasts que diminuem a velocidade das redes no momento ( https://www.theverge.com/2018/1/16/16897426/wi-fi-google-home-chromecast-archer-router , https://9to5google.com/2018/01/15/google-chromecast-home-wifi-outage/ ), mas os cenários não correspondem exatamente, mesmo porque nosso Chromecast está em uso quando os problemas se repetem.

No Office 365, 9 de ~130 contas de usuário recebem a licença Office 365 Enterprise E3 que, de acordo com https://technet.microsoft.com/en-GB/library/exchange-online-limits.aspx#StorageLimits , deve atribuir de armazenamento de 100 GB para as caixas de correio de usuário correspondentes, mas na verdade está atribuindo uma cota de armazenamento de 2 GB.

Não encontrei nada relevante online, por isso este post.

O seguinte domínio do AD DS foi configurado recentemente:

• Nome de domínio DNS, FLZ e apenas sufixo DNS:internal.example.co.uk
• SOs DC: Windows Server 2016 Standard
• Servidores DNS DC nº 1: 172.16.233.2, 127.0.0.1
• Servidores DNS DC nº 2: 172.16.233.1, 127.0.0.1
• Encaminhadores de DNS: 8.8.8.8, 208.67.222.222

Por todas as contas, o domínio e o DNS estão funcionando corretamente.

No entanto, nslookupse comporta de forma muito estranha:

• nslookup <any FQDN> <any DC server>funciona incorretamente, anexando example.co.uk(não internal.example.co.uk) e resolve para o mesmo endereço IP público desconhecido.
• nslookup <any FQDN>. <any DC server>funciona corretamente.

Eu determinei que o roteamento, o arquivo hosts, o serviço do Windows DNS Server, etc não eram relevantes e não existia nenhum DNS PTR RR para o endereço IP público desconhecido.

Eu sei que você deveria adicionar um sufixo .a um FQDN, mas eu nunca precisei e nunca vi isso se comportar assim antes.

Não consegui encontrar uma resolução adequada on-line, por isso este post.

A saída anônima do Prompt de Comando a seguir demonstra isso:

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

C:\Users\username>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : DC2
Primary Dns Suffix . . . . . . . : internal.example.co.uk
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : internal.example.co.uk

Ethernet adapter Ethernet 2:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Hyper-V Network Adapter #2
Physical Address. . . . . . . . . : 00-15-5D-9E-13-07
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::45fd:755c:e86d:eed3%14(Preferred)
IPv4 Address. . . . . . . . . . . : 172.16.233.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 172.16.233.254
DHCPv6 IAID . . . . . . . . . . . : 100668765
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-42-DF-91-00-15-5D-9E-13-05
DNS Servers . . . . . . . . . . . : ::1
172.16.233.1
127.0.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{DEFCF64F-0919-47F6-8206-DA42E6828191}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

C:\Users\username>ping internal.example.co.uk

Pinging internal.example.co.uk [172.16.233.2] with 32 bytes of data:
Reply from 172.16.233.2: bytes=32 time<1ms TTL=128
Reply from 172.16.233.2: bytes=32 time<1ms TTL=128
Reply from 172.16.233.2: bytes=32 time<1ms TTL=128
Reply from 172.16.233.2: bytes=32 time<1ms TTL=128

Ping statistics for 172.16.233.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

C:\Users\username>nslookup internal.example.co.uk 127.0.0.1
Server: localhost
Address: 127.0.0.1

Non-authoritative answer:
Name: internal.example.co.uk.example.co.uk
Address: <unknown public IP address>


C:\Users\username>nslookup internal.example.co.uk. 127.0.0.1
Server:  localhost
Address:  127.0.0.1

Name:    internal.example.co.uk
Addresses:  172.16.233.1
          172.16.233.2


C:\Users\username>ping DC1

Pinging DC1.internal.example.co.uk [172.16.233.1] with 32 bytes of data:
Reply from 172.16.233.1: bytes=32 time=1ms TTL=128
Reply from 172.16.233.1: bytes=32 time<1ms TTL=128
Reply from 172.16.233.1: bytes=32 time<1ms TTL=128
Reply from 172.16.233.1: bytes=32 time<1ms TTL=128

Ping statistics for 172.16.233.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms

C:\Users\username>nslookup DC1 127.0.0.1
Server: localhost
Address: 127.0.0.1

Name: DC1.internal.example.co.uk
Address: 172.16.233.1


C:\Users\username>ping google.co.uk

Pinging google.co.uk [74.125.133.94] with 32 bytes of data:
Reply from 74.125.133.94: bytes=32 time=11ms TTL=49
Reply from 74.125.133.94: bytes=32 time=11ms TTL=49
Reply from 74.125.133.94: bytes=32 time=11ms TTL=49
Reply from 74.125.133.94: bytes=32 time=15ms TTL=49

Ping statistics for 74.125.133.94:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 15ms, Average = 12ms

C:\Users\username>nslookup google.co.uk 127.0.0.1
Server: localhost
Address: 127.0.0.1

Non-authoritative answer:
Name: google.co.uk.example.co.uk
Address: <unknown public IP address>


C:\Users\username>nslookup google.co.uk. 127.0.0.1
Server:  localhost
Address:  127.0.0.1

Non-authoritative answer:
Name:    google.co.uk
Addresses:  2a00:1450:4007:80e::2003
          216.58.208.227


C:\Users\username>

Uma organização está usando os Serviços de Domínio Active Directory e o Office 365, mas sem sincronização, portanto, há um grande número de discrepâncias entre as contas de usuário (diferentes grafias de nomes, cargos desatualizados, UPNs errados etc.).

A organização está planejando migrar para um novo AD DS, manter o mesmo Office 365 e usar a sincronização via Azure AD Connect (leia: é importante que as contas de usuário estejam corretas no novo domínio do AD).

Eu exportei as contas de usuário AD e AAD / O365 para CSVs e reconciliei as discrepâncias, então agora preciso importar o CSV para o AD, mas os proxyAddresses delimitados por ponto e vírgula estão provando ser um problema porque está importando os dados como um valor, em vez de múltiplo.

Não consegui encontrar uma resolução adequada on-line, por isso este post.

Em um domínio do Active Directory e ambiente de rede simples , executando o Hyper-V Manager como a mesma conta de usuário administrativo :

1. Em pelo menos 2 PCs com Windows 10 e tentando se conectar a:
   1a. Qualquer um dos 10 servidores Hyper-V Server 2012 R2 falha com o erro RPC server unavailable. Unable to establish communication between '<Hyper-V server FQDN>' and '<client PC hostname>'.
   1b. Qualquer um dos 2 servidores Hyper-V Server 2016 é bem-sucedido.
2. Em um servidor de controlador de domínio do Windows Server 2012 R2 (eu sei, eu sei) e tentando se conectar a:
   1a. Qualquer um dos 10 servidores Hyper-V Server 2012 R2 é bem-sucedido.
   1b. Qualquer um dos 2 servidores Hyper-V Server 2016 é bem-sucedido.

Portanto, a causa raiz parece ser a conectividade entre os clientes e servidores afetados.

O comando elevado cscript "<path>\hvremote.wsf" /show /target:%affectedServer% /overrideproduziu o seguinte (anônimo):

Microsoft (R) Windows Script Host Version 5.812
Copyright (C) Microsoft Corporation. All rights reserved.


Hyper-V Remote Management Configuration & Checkup Utility
John Howard, Hyper-V Team, Microsoft Corporation.
http://blogs.technet.com/jhoward
Version 1.08 9th Sept 2013

INFO: Computername is %affectedClient%
INFO: Computer is in domain %ADDNSDomainName%
INFO: Current user is %ADNetBIOSDomainName%\ben.hooper
INFO: OS is 10.0.16299 64-bit Microsoft Windows 10 Enterprise
INFO: Assuming /mode:client as the Hyper-V role is not installed
WARN: User override to assume Windows 8.1/Windows Server 2012 R2 behaviour
INFO: Hyper-V Tools are enabled

-------------------------------------------------------------------------------
DACL for COM Security Access Permissions
-------------------------------------------------------------------------------

\Everyone    (S-1-1-0)
     Allow: LocalLaunch RemoteLaunch (7)

NT AUTHORITY\ANONYMOUS LOGON    (S-1-5-7)
     Allow: LocalLaunch (3)

BUILTIN\Distributed COM Users    (S-1-5-32-562)
     Allow: LocalLaunch RemoteLaunch (7)

BUILTIN\Performance Log Users    (S-1-5-32-559)
     Allow: LocalLaunch RemoteLaunch (7)

APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES    (S-1-15-2-1)
     Allow: LocalLaunch (3)

\    (S-1-15-3-1024-2405443489-874036122-4286035555-1823921565-1746547431-2453885448-3625952902-991631256)
     Allow: LocalLaunch (3)

-------------------------------------------------------------------------------
ANONYMOUS LOGON Machine DCOM Access
-------------------------------------------------------------------------------

ANONYMOUS LOGON does not have remote access

  This setting should only be enabled if required as security on this
  machine will be lowered. This computer is in a domain. It is not
  required if the server(s) being managed are in the same or trusted
  domains.

  Use hvremote /mode:client /anondcom:grant to turn on if required

  Both computers are in domain %ADDNSDomainName%


-------------------------------------------------------------------------------
Firewall Settings for Hyper-V Management Clients
-------------------------------------------------------------------------------

Domain Firewall Profile is active
Public Firewall Profile is active


-------------------------------------------------------------------------------
IP Configuration
-------------------------------------------------------------------------------


%IPConfig%


-------------------------------------------------------------------------------
Stored Credentials
-------------------------------------------------------------------------------


%storedCredentials%



-------------------------------------------------------------------------------
Testing connectivity to server:%affectedServer%
-------------------------------------------------------------------------------

1: - Remote computer network configuration
     PASS - Found one or more network adapters

     Network adapter 1 of 1
       - Hyper-V Virtual Ethernet Adapter #2
       - Host Name:%affectedServer%
       - IP Addresses: 172.16.100.111 fe80::3cb0:1dda:7e90:c948
       - IP Subnets: 255.255.255.0 64

2: - Remote computer general information
     PASS - Queries succeeded

     - Name: %affectedServer%
     - Domain: %ADDNSDomainName%
     - OS: 6.3.9600 64-bit Microsoft Hyper-V Server 2012 R2
     - OS Type: Server

3: - Ping and resolve name of remote computer
     PASS - Server found
          - Protocol Address:             172.16.100.111
          - Protocol Address resolved:    172.16.100.111

     The name could not be resolved using WMI. A regular ping will be done
     to see if name resolution is working. This is not a sign of an issue.

4: - Ping %affectedServer% using IPv4

     A timeout is OK, but if you get an error that %affectedServer%
     could not be found, you need to fix DNS or edit
     \windows\system32\drivers\etc\hosts.

     >
     > Pinging %affectedServer%.%ADDNSDomainName% [172.16.100.111] with 32 bytes of data:
     > Reply from 172.16.100.111: bytes=32 time=2ms TTL=128
     >
     > Ping statistics for 172.16.100.111:
     >     Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
     > Approximate round trip times in milli-seconds:
     >     Minimum = 2ms, Maximum = 2ms, Average = 2ms
     >


5: - Ping %affectedServer% using IPv6

     A timeout is OK, but if you get an error that %affectedServer%
     could not be found, you need to fix DNS or edit
     \windows\system32\drivers\etc\hosts.

     > Ping request could not find host %affectedServer%. Please check the name and try again.
     >


6: - Connect to root\cimv2 WMI namespace
     PASS - Connection established

7: - Connect to root\virtualization\v2 WMI namespace
     PASS - Connection established

8: - Simple query to root\cimv2 WMI namespace
     PASS - Simple query succeeded

9: - Simple query to root\virtualization\v2 WMI namespace
     PASS - Simple query succeeded
          - 3 computer system(s) located

10: - Async notification query to root\virtualization\v2 WMI namespace
     FAIL - Notification query failed The RPC server is unavailable.

There may be a DNS issue and the server cannot locate this machine.
You should check this by performing a ping test from the server to
this machine verifying that the IP address the server is trying to
reach matches the IP address of this machine shown in the output above.
Note that it does not matter if the ping succeeds or fails, just that
the IP address is correct.

  Run on %affectedServer%: ping -4 %affectedClient%

Note that if you do not have DNS in your infrastructure, you can edit
the \windows\system32\drivers\etc\hosts file on the server to add an
entry for %affectedClient%

If you do have DNS in your infrastructure, you may want to try flushing
the DNS cache on the server, and re-registering against DNS on the client

 Run on %affectedServer%: ipconfig /flushdns
 Run on %affectedClient%: ipconfig /registerdns

If you are connected over a VPN, see %StackExchange-bannedURL% for
information about another likely cause.

If the server is in an untrusted domain to this client, you need to
enable anonymous logon access to DCOM on this machine:

  Run 'hvremote.wsf /mode:client /anondcom:grant' and retry.

If this machine has IPSec policy enforced on it, and the server is in a
workgroup or untrusted domain from this computer, inbound connections
to the client may be blocked by your administrator. You may be able to
temporarily work around this by running net stop bfe on this machine,
but you may lose access to some network services while that service
is stopped. However, this may be against the policy of your administrator.

If the server is behind a router/firewall from the client, WMI/DCOM
calls may be being blocked. This will likely be the case if the server
is, for example, on a public IP directly to the Internet. In this
situation, some solutions to consider are:
 - VPN to tunnel traffic
 - Publish Hyper-V Manager through a TS/RD Gateway
 - Access the server through RDP and perform 'local' management
 - Run a management machine (physical or virtual) and RDP to that

There have been several instances of third party firewalls and/or
anti-virus software having adverse effects on remote management.
In some cases, disabling that software has not been sufficient to
resolve the issue, and it has been necessary to completely remove
the program.



INFO: Are running the latest version

-------------------------------------------------------------------------------
3 warnings or errors were found in the configuration. Review the
detailed output above to determine whether you need to take further action.
Summary is below.

1: Running on a later OS than tested on. User override given
2: Cannot perform async WMI query. See detailed resolution steps above.
3: Some tests were not run due to prior failures

-------------------------------------------------------------------------------
INFO: HVRemote complete

Pesquisei minuciosamente esse erro e ninguém tem esse problema / ambiente exato, mas, em qualquer caso, não há correções recomendadas (verificar se as relações de confiança do domínio estão íntegras, verificar se o DNS está funcionando corretamente em ambas as extremidades, verificar permissões administrativas locais, verificar local permitindo redirecionamentos ICMPv4, etc) funcionaram, daí este post.

Observações importantes :

1. Isso costumava funcionar até as alterações relacionadas ao Cyber ​​Essentials Plus.
2. Os objetos de computador dos servidores Hyper-V 2012 R2 e 2016 estão na mesma UO, portanto, os mesmos GPOs são aplicados.

Atualização: 22/12/2017 08:47:

De acordo com https://social.technet.microsoft.com/Forums/en-US/268cd630-7fa3-49c8-a98e-21c458c7b7bb/win10-1709-update-broke-hyperv?forum=win10itprovirt , isto é:

• Causado pelo Windows 10 v1709. Isso se encaixa com o que eu vi.
• Pode ser resolvido permitindo conexões de entrada WMI no Firewall do Windows do servidor Hyper-V. Eu ainda não pude testar isso, mas atualizarei isso quando tiver.

Atualização: 27/12/2017 14:15:

Criei um GPO para reconfigurar as regras de criação do Firewall do Windows para permitir conexões WMI de entrada e verifiquei se ele foi aplicado com sucesso por:

1. Executando gpresult /ve verificando a saída.
2. Conectando regedite verificando a chave do registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules.

No entanto, o problema permanece, mesmo depois de desabilitar completamente o Firewall do Windows do servidor em todos os perfis.

A instalação do Azure AD Connect 1.1.647.0 no modo expresso ou personalizado falha com o seguinte erro:

The password does not meet the password policy requirements. Check the minimum password length, password complexity and password history requirements. (Exception from HRESULT: 0x800708C5)

Este erro avisa quando o instalador do AADC tenta criar sua conta de serviço.

Configurar

Todas as 23 filiais têm:

1. Uma mistura de conexões de Internet ADSL e VDSL.
2. Cyberoam CR10iNGs.
3. Uma VPN IPsec site a site para a sede Cyberoam CR35iNG.
4. Uma VPN IPsec site a site para o data center Cyberoam CR50iNG.

Mudanças

3 filiais diferentes tiveram suas conexões de Internet atualizadas de ADSL para FTTC e, como tal, seus modems atualizados de ZyXEL P-660R-D1s para ZyXEL VMG1312-B10As (um modem VDSL aprovado pela BT / OpenReach, pois a BT não fornece mais modems VDSL ) e as interfaces WAN dos Cyberoam CR10iNGs foram reconfiguradas para usar PPPoE.

Sintomas

Desde então:

• Todas as VPNs IPsec se conectam com sucesso.
• A tentativa de acessar recursos (RDWeb via HTTPS, servidor RDSH via RDP, etc) na VPN IPsec carrega uma pequena quantidade de dados (fundo azul e título da página da Web para RDWeb, certificado para servidor RDSH, etc), mas eventualmente expira.
• A tentativa de acessar os mesmos recursos pela Internet (vantagens do domínio AD DS ser um subdomínio de um domínio da Web) carrega perfeitamente.
• Todo o tráfego vinculado à VPN IPsec (IKE, ESP, HTTPS, RDP etc.) é roteado e permitido em ambas as extremidades corretamente.