我们有混合网络,75% 的用户在加入 O365 时可用,25% 的用户仍在使用本地活动目录和交换电子邮件。随着covid大流行,所有员工都在家工作。我们需要启用自助服务密码重置。因为许多用户在家时被锁定并忘记了密码。
- 我可以对本地用户和 O365 用户使用 Azure 密码重置自助服务吗?
- 用户在本地时有什么限制?
我们所有的用户都有 Windows 10 客户端操作系统和用于邮件发送的 Exchange 服务器。
我已配置 ADFS 密码身份验证。现在我有疑问,如果 ADFS 因任何原因出现故障,我该如何应对这种情况?我需要哪些步骤添加其他密码验证服务作为 ADFS 的备份?
在 Windows Server 2016 课程中,我们在实验室内创建了域并设置了 AD Connect。不幸的是,该实验室已被清除,现在我每天都会收到有关广告同步问题的电子邮件。有没有办法让我在无法访问“本地”DC 的情况下删除 AD Connect?我不介意保留我的 Azure 订阅,因为我计划进一步研究它。
提前喝彩。
干杯,
卢克。
我有一个奇怪的 ADSync 错误,指出我的本地活动目录包含两个具有相同 ProxyAddress 属性的对象。其中一个帐户是用户名@domain.tld(这是正确的),第二个是用户名@domain.onmicrosoft.com(我认为在 AD 中不存在) - 根据 DirSync 错误报告,它们都包含相同的冲突的 ProxyAddress用户名@domain.tld。AzureAD 显示这两个帐户都来自本地 Active Directory。关键是有人可以在几年前创建 *onmicrosoft.com 帐户来测试 office365。
到目前为止,我已经检查了两件事:
- 用于测试本地 AD 中相同代理地址的小型 powershell 脚本:
Get-ADUser -Filter * -Properties proxyAddresses | foreach {
foreach($address in $_.proxyAddresses) {
if ($address -eq 'smtp:username@domain.tld') {
Write-Host $address
}
}
}
- 检查冲突帐户的不可变 ID:
$user = Get-ADUser legit_account
$immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())
$immutableid #shows the same as legit account in DirSync report
$badImmutableID = 'base64 copied from bad account DirSync error report=='
$users = get-aduser -Filter *
foreach ($usr in $users) {
$currImmutableID = [System.Convert]::ToBase64String($usr.ObjectGUID.tobytearray())
if ($currImmutableID -eq $badImmutableID) {
$usr
}
}
此脚本不提供具有错误 immutableID 的输出(但可与其他脚本一起使用)。
我实际上被困在这一点上 - AzureAD 不会让我删除坏帐户来解决冲突,说我必须在本地 AD 中解决它,而没有这样的帐户。任何想法将不胜感激。
我们有一个使用 Windows Server 2016 域控制器的客户。这是一家小型企业,因此他们的服务器基础架构由 Hyper-V 主机和此 DC 组成。DC 托管文件共享和 Azure AD Connect,用于将身份与 Office 365 同步。
我们监控事件 ID 4625 并设置警报阈值,以帮助我们识别针对网络的潜在暴力攻击。
去年 10 月,我们开始收到超出登录失败警报阈值的警报。经调查,我们对问题的描述如下:
- 每当我们的 VSS (Datto) 备份运行或 AADC 同步时,登录失败事件都会自然发生
- 备份成功,AADC 正常同步,没有错误
- 有两个账号登录失败:
- SERVERNAME$(例如 SYSTEM 帐户)每当备份运行时
- AAD_* 每当 AADC 运行时
- 事件状态为 0xC000006D - 用户名或密码失败
- 事件 SUB STATUS 为 0x0 - 状态正常
- 系统登录失败可以通过运行轻松复制
vssadmin list writers
过去几个月的故障排除清单很长。这不是一个完整的列表:
- 卸载 RRAS 和 WID(包括删除 WID 文件夹以确保在重新安装角色时正确设置权限)
- 清除 SYSTEM 凭证缓存(使用 psexec &
rundll32 keymgr.dll,KRShowKeyMgr- 没有缓存凭证) - 使用 SQL Server Management Studio 登录 WID 并验证数据库权限(对于 LOCALSERVICE 和 NETWORKSERVICE 帐户)
- 调整各种注册表项的权限(这确实消除了应用程序事件日志中不相关的 CAPI2 和 WIDWRITER 错误)
- 运行 DCDIAG 并查看应用程序事件日志并清除任何错误和警告(包括 DNS 警告、添加 SPN 和重新注册 AD DNS 条目,以及运行 DFSR 的 D4 权威恢复以清除来自服务器迁移的警告)
- 使用 sysinternals ProcessMonitor 进行监控以识别任何拒绝访问或其他错误(这让我开始调整文件夹和注册表项的权限,以确保 LOCALSERVICE 和 NETWORKSERVICE(运行 WIDWRITER 和其他 VSS 服务的服务帐户)都可以访问)
- 验证 VSS 服务和编写器、AADC 等的服务启动类型和登录帐户。
- 停止服务并运行测试(停止 AADC 同步服务可解决所有登录失败问题。这就是我将其缩小到 AADC 的方式)
- 卸载 AADC
- 在 SQL Express 本地数据库上运行修复
- 使用我们的 MS 合作伙伴支持合同致电 Microsoft 支持 - 谁说“没有功能损失,并且您没有无法登录的实际用户,所以我们无法帮助您,注册高级支持!” (不好意思,SYSTEM不算重要用户吗???)
- 把我的头撞在几堵墙上和许多其他东西上
在所有这些过程中学到的有用的东西
- 卸载和重新安装 AADC 时,
vssadmin list writers在安装过程中持续运行,错误在安装SQL 组件后立即开始,甚至在安装程序完成运行之前。 - 安装 SSMS 并登录数据库后,我也会收到登录时使用的 dom 管理员帐户的登录失败事件,尽管我的 SSMS 会话似乎不受影响。
该问题显然与 AADC 有关,因为我可以停止 AAD 同步服务或卸载 AADC,并且所有失败的登录事件都会消失。但是卸载 AADC 并删除 AADC 文件夹并清除 AADC 用户帐户并清除 AADC 注册表项以尝试获得真正的全新安装没有任何效果,当我重新安装 AADC 时错误会立即返回。
在这一点上,我束手无策,我不知道还能做什么,甚至不知道还能去哪里看。我希望以太中的某个人比我知道的更多(可能),或者以前经历过这种情况并找到了解决办法。
最后一点 - 服务器的 DNS 名称长度为 9 个字符,这意味着它与其 NETBIOS 名称不匹配。我不认为这是原因,但如有必要,我可以重命名服务器。对于生产中的 DC 和文件服务器来说,这只是一件令人头疼的事情。
微软有一个公告称他们将准备 LDAP/SSL (LDAPS)。https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
虽然 Microsoft 没有专门列出为 Azure AD Connect 设置 LDAP/SSL 的说明,但在文章中引用了 LDAP/SSL (LDAPS):https ://docs.microsoft.com/en-us/azure/active-directory /混合/参考连接端口
- 有没有办法验证 Azure AD Connect 是否已经在使用 LDAP/SSL?
- 有没有办法将 Azure AD Connect 配置为仅使用 LDAP/SSL?
谢谢