主页 / server / 问题 / 923830
Accepted
mythofechelon
Asked: 2018-07-28 06:20:48 +0800 CST

OWA 错误“OpenIdConnectIdpException”

  • 772

从 ~2018/07/10 开始,尝试使用任何 MFA 强制、AD 同步的 O365 帐户和任何网络上任何设备上的任何 Web 浏览器登录https://outlook.office365.com都不会提示输入TOTP,而是失败并显示以下错误消息:

:-(
Something went wrong
We can't get that information right now. Please try again later.
X-ClientId: E69D5A6642C242AC9C337AF8EC04AC95
request-id 19bf2ff2-1040-4772-b207-487b71b0adef
X-Auth-Error OpenIdConnect Microsoft.Exchange.Security.OpenIdConnect.OpenIdConnectIdpException
X-OWA-Version 15.20.973.23
X-FEServer DB6PR04CA0014
X-BEServer CWXP265MB0983
Date:27/07/2018 13:59:39

在此处输入图像描述

一个例外是,在 Windows PC 上,Microsoft 的 Web 浏览器(Internet Explorer 和 Microsoft Edge)提供“连接到 Windows”的登录选项,这些选项运行良好,可能是因为它们跳过了 MFA / TOTP 步骤,因为之前的成功和Windows 注册登录。

在此处输入图像描述

MFA 实施的云端 O365 帐户不受影响。

Office 365 管理中心的服务运行状况和 Azure AD Connect 的同步服务管理器均未报告任何问题/错误。

连接到受影响的 O365 帐户的应用程序(Microsoft Outlook、Skype for Business 等)继续工作,但尝试登录新帐户只会重新提示输入密码。

从字面上看,我设法在网上找到的唯一东西是以下这些都没有帮助,因此这篇文章:

  1. https://answers.microsoft.com/en-us/msoffice/forum/msoffice_o365admin-mso_dirservices-mso_o365b/issue-with-office-365-azure-login/a8509ab6-201c-49dc-8112-9f574072482a
  2. https://www.erroraway.com/Questions-and-Discussions/201804/12/a8509ab6-201c-49dc-8112-9f574072482a.html / https://www.dllrepairfree.com/201805/31/a8509ab6-201c- 49dc-8112-9f574072482a.html
  3. https://twitter.com/alnsportsmouth/status/983615870915100672
microsoft-office-365

3 个回答

  1. Best Answer

    根据我对@maweeras 的评论,我重新配置了 Azure AD Connect,将用户登录模式从直通身份验证(我们不需要它)更改为密码哈希同步,从而立即解决了问题。

     

    更新:2018/08/01 15:00

    今天早上,出于好奇,我重新配置了 Azure AD Connect,将用户登录模式从密码哈希同步更改回直通身份验证,并完成了以下状态消息:

    直通身份验证已成功启用,但您的网络似乎阻止了该功能正常运行所需的某些端口。我们检测到以下端口可能在您的网络上被阻止:443

    在此处输入图像描述

    根据https://social.msdn.microsoft.com/Forums/en-US/81673e69-1220-4231-a9c0-0753f4aa3455/azure-ad-connect-443-may-be-blocked?forum=WindowsAzureAD的建议,在在服务器上,我浏览到https://aadap-portcheck.connectorporttest.msappproxy.net/加载正常并且所有测试都通过了。

    在此处输入图像描述

    无论如何,我现在可以使用相同的受影响 Office 365 用户帐户登录到 Office 365,因此我不知道最初的问题是什么。

    • 1

  2. 我有几个用户无法登录他们的邮箱,我们最近使用了混合 AD,这些用户一直处于非活动状态。当他们回来时,他们无法登录他们的 Outlook 应用程序和 Exchange Online,登录 Exchange Online 时出现此消息。

    ClientId:50327C95XXX14F30236CXXX9D request-id 0XXXXXXXXXXX X-Auth-Error OpenIdConnect Microsoft.Exchange.Clients.Security.AccountTerminationException X-OWA-Version 15.20.3021.29 X-FEServer DM3XXXXA0099 X-BEServer DM6PXXXX2666 日期:26/05/2020 15:59:13

    错误信息 Exchange Online

    选择有问题的用户时,管理中心也出现错误,它说明存档 GUID 不匹配。

    O365 管理中心中的 ArchiveGUID 错误

    我们尝试了几件事来修复它,一个是将这些用户移出 Azure AD Connect 同步,方法是将它们移动到设置为不在本地 AD 中同步的 OU 中,但这会导致云帐户在恢复后被删除将再次被删除,即使帐户处于活动状态,错误仍然存​​在,我无法让这些用户正常工作。

    我在网上一无所获,并且在开票后没有与 Microsoft 支持人员联系。过了一会儿,我发现一些有用的东西给了我一个想法,我这样做是为了解决问题:

    我在本地 AD 的 ADSI Edit 中为两个用户替换了“MsExchArchiveGUID”。为此,我从管理中心的错误中获取了云 GUID,并通过下面的 power shell 命令运行以将它们转换为十六进制。在我这样做之后,我等待更改同步到云,然后我不得不删除其中一个用户的许可证几分钟,然后将其添加回来,然后它就可以工作了,另一个它马上就可以工作了同步后。

    powershell 中用于转换云 GUID 以在本地 AD 中替换它的命令:

    • [system.guid]$guid = "云存档 GUID"
    • ($Guid.ToByteArray() | foreach { $_.ToString('x2') }) -Join ''
    • 1

  3. 我使用遇到此错误的帐户执行了以下步骤,并且似乎已经解决了问题(我不确定是哪一步):

    1. 将邮箱转换为 Exchange 365 中的共享邮箱
    2. 将邮箱转换回 Exchange 365 中的用户邮箱
    3. 在 Exchange 365 中删除并重新添加了许可证
    4. 在 Exchange 365 和“编辑邮箱窗口”中编辑邮箱,我禁用并重新启用了“电子邮件连接 | Outlook 网页版”
    5. 在“帐户”选项卡上用户帐户的本地 AD 属性中,“登录到... ”被配置为登录到特定的工作站。我删除了所有工作站并切换了单选按钮“所有计算机”并保存了 AD 帐户

    然后我可以再次登录邮箱。希望这对某人有帮助!

    • 0

相关问题