none
нет синхронизации паролей в Azure AD Connect RRS feed

  • Вопрос

  • После некоторых танцев с бубном завел Azure AD Connect на другом сервере (на старом не удалось восстановить). Вроде показывает, что все синхронизуется нормально (через Syncronization Server Manager), однако конечный результат - если изменить пароль в AD, в O365 так и остается старый пароль тем не менее. 
    Вдумчиво прочитал статейку вот эту:
    https://docs.microsoft.com/en-us/azure/active-directory/hybrid/tshoot-connect-password-hash-synchronization

    сделал все так, как там говорится - не находит вообще никаких ошибок, все хорошо. Даже не знаю, куда еще метнуться и что проверить....

    27 ноября 2020 г. 10:57

Ответы

Все ответы

  • если после смены пароля выполнить на сервере с Azure AD Connect:

    Import-Module ADSync
    Start-ADSyncSyncCycle

    27 ноября 2020 г. 11:15
  • Пишет, что ОК:

    Start-ADSyncSyncCycle

    Result
     ------
    Success

    Пароль остается старый.
    • Изменено Ivan Dx 27 ноября 2020 г. 11:38
    27 ноября 2020 г. 11:37
  • попробуйте зайти в браузере в режиме инкогнито
    27 ноября 2020 г. 11:46
  • Разбираясь по вышеуказанной методичке с одним конкретным юзером, выяснил, что у него стоит аттрибут
    cloudFiltered = true, чего быть не должно. Там же показывает, что статус PasswordSyncConnection = NoTargetConnection.

    В терминологии MS это есть "Attribute Filtering", но я такого не делал. Фильтрация сделана по группе, и, по идее должна работать, хотя MS и пишет, что она только для "pilot deployment"

    27 ноября 2020 г. 12:37
  • А если так выполнить

    Start-ADSyncSyncCycle -PolicyType Initial


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    27 ноября 2020 г. 12:37
    Модератор
  • После общения с суппортом MS и переустановки несколько раз, заработало. Как я понял, не любит нынешняя версия фильтрации по группам, пусть даже и в пилотном режиме.
    2 декабря 2020 г. 14:22
  • что значит в "пилотном режиме"?
    2 декабря 2020 г. 15:37
  • что значит в "пилотном режиме"?

    Согласно документации MS:

    https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-configure-filtering#group-based-filtering

    3 декабря 2020 г. 9:01
  • там не написано, что "не любит нынешняя версия фильтрации по группам". Мы используем синхронизацию по членству в группе уже несколько лет, так как не хотим синхронизовать всё подряд. Так же там написано, что эта группа должна быть в OU, которая тоже синхронизируется. У вас синхронизируется весь домен или только некоторые OU?

    И там нет про "пилотный режим", а "пилотное развёртывание", которое отличается только настройками и поставленными задачами.

    3 декабря 2020 г. 10:45
  • Синхронизируется только одно OU.

    Так а вроде там же написано, что "It's not supported to use group-based filtering in a custom configuration". Об этом мне сказала также девочка из суппорта Microsoft, только другими словами, что-то типа "ни в коем случае нельзя использовать фильтрацию по группам, это not supported".

    3 декабря 2020 г. 12:11
  • а дальше написано: it's only supported to configure this feature by using the installation wizard. Не знаю, на моей прошлой работе 4 года назад настроили - работало.

    А если это было бы "неподдерживаемое решение" - его бы просто не было бы.

    3 декабря 2020 г. 12:25
  • Ну то же самое было и у нас - 4 или около того года настроили, все работало без проблем. Сейчас что-то у Microsoft изменилось получается. И всплыла новая проблема, которой также раньше не было - если удалить юзера из группы, из O365 он не удаляется автоматически :(
    22 декабря 2020 г. 7:13
  • даже через 30 минут?
    22 декабря 2020 г. 8:19
  • Вообще никак, даже если принудительно синхронизировать. Индус из MS посмотрел, сказал "странно, должно работать".
    22 декабря 2020 г. 10:05
  • и как тогда удаляется? вручную? А группа тогда точно синхронизирована? а то вдруг это чисто облачная группа.
    22 декабря 2020 г. 10:16
  • Вручную можно удалить, но это как-то ненормально. В старой инсталляции удалялось автоматически. Группа синхронизируется, т.к. если в AD юзера добавить или пароль сменить, то в O365 появляется.
    23 декабря 2020 г. 12:36
  • если удаляется вручную - группа несинхронизирована. Синхронизированные группы нельзя менять в MS365:

    Какой значёк стоит напротив группы:

    23 декабря 2020 г. 13:33