Microsoft Azure AD Connect - синхронизация паролей для доверенного домена
Цель
Разрешить пользователям входить в Office 365, используя свое имя пользователя и пароль Active Directory.
Подробности
AD: Один локальный домен (2012 R2) и один доверенный (2003).
AD Connect: синхронизирует пользователей из обоих доменов, но пароли синхронизируются только из локального домена.
Я проверил, что в доверенном домене пользователи создаются как iNetOrgPerson, а не как пользовательский тип, как в локальном домен. У меня есть сервер Windows 2008, который является DC и AD. Домен - thiscompany.com. Вплоть до прошлой недели у нас была собственная биржа. ...
Довольно странный сценарий, но, может быть, это странно только для меня.
У меня есть сервер Windows 2008, который является DC и AD. Домен - thiscompany.com.
До прошлой недели у нас была собственная биржа. В пятницу я перенес всю нашу электронную почту на удаленный хост. Мы воссоздали все учетные записи на новом хосте, просто перенесли самое необходимое (электронная почта, календари, контакты). Никаких забавных дел, просто хотел выкинуть это из волос. Очевидно, тогда я просто удалил все профили Outlook на машинах и повторно запустил автообнаружение после перемещения записей mx и т. Д. Целый шебанг. Электронная почта работает нормально.
Вот где это становится хитрым. С тех пор, каждый пользователь регистрировал почти ровно 1 попытку ввода неверного пароля каждую минуту, даже если они уже вошли в систему (трудно сказать, но я думаю, что это может быть только , когда они вошли в систему). Поскольку наш порог входа был равен 10, их профили блокировались каждый раз, когда они выходили из системы.
Я проверил журналы событий на отдельных машинах, и я не нашел ничего забавного, хотя сервер делает регистрировать события для попыток ввода неверного пароля (я не находил их вручную, я использовал AD Audit Plus от ManageEngine, чтобы отслеживать их по мере их поступления. Неверный вход в систему определенно происходит с их компьютеров, а не с мобильного телефона со старым логином или что нибудь.
Есть идеи, что может быть причиной этого?
Ключевой вопрос здесь в том, что случилось со старым сервером Exchange? Запускать Autodiscover на клиентах, чтобы указать на новый сервер, недостаточно - Autodiscover - это не одноразовая вещь. Клиент будет часто опрашивать Autodiscover, и первое, что он будет опрашивать, это локальный домен, членом которого он является. Вероятно, именно это здесь и происходит.
Исправление будет зависеть от того, что случилось со старым Exchange-сервером. Если он все еще жив, то изменение внутренней записи Autodiscover для указания на удаленный сайт должно быть всем, что требуется. Если Exchange был удален, то вы смотрите на некоторые рекламные работы по удалению SCP для Autodiscover из домена.