Ошибка OWA «OpenIdConnectIdpException»
Начиная с ~ 2018/07/10, попытка входа в https://outlook.office365.com использование любых учетных записей O365 с принудительной MFA, синхронизацией с AD и любого веб-браузера на любом устройстве в любой сети не запрашивает TOTP и вместо этого выдает следующее сообщение об ошибке:
:-(
Something went wrong
We can't get that information right now. Please try again later.
X-ClientId: E69D5A6642C242AC9C337AF8EC04AC95
request-id 19bf2ff2-1040-4772-b207-487b71b0adef
X-Auth-Error OpenIdConnect Microsoft.Exchange.Security.OpenIdConnect.OpenIdConnectIdpException
X-OWA-Version 15.20.973.23
X-FEServer DB6PR04CA0014
X-BEServer CWXP265MB0983
Date:27/07/2018 13:59:39
Исключением является то, что на ПК с Windows веб-браузеры Microsoft (Internet Explorer и Microsoft Edge) предлагают параметры входа «Подключен к Windows», которые работают нормально, предположительно потому, что они пропускают этап MFA / TOTP из-за предыдущего успешного и Вход с регистрацией в Windows.
На облачные учетные записи O365 с применением MFA это не повлияет.
Состояние службы центра администрирования Office 365 и диспетчер службы синхронизации Azure AD Connect не сообщают о проблемах / ошибках.
Приложения (Microsoft Outlook, Skype для бизнеса и т. Д.), Подключенные к затронутым учетным записям O365, продолжают работать, но при попытке войти в новые просто повторно запрашивают пароль.
Буквально единственное, что мне удалось найти в Интернете, - это следующие, ни одна из которых не была полезной, отсюда и этот пост:
- https://answers.microsoft.com/en-us/msoffice/forum/msoffice_o365admin-mso_dirservices-mso_o365b/issue-with-office-365-azure-login/a8509ab6-201c-49dc-8112-9f574072482a
- https://www.erroraway.com/Questions-and-Discussions/201804/12/a8509ab6-201c-49dc-8112-9f574072482a.html / https://www.dllrepairfree.com/201805/31/a8509ab6-201c-49dc-8112-9f574072482a.html
- https://twitter.com/alnsportsmouth/status/983615870915100672
У меня была пара пользователей, которые не могли войти в свои почтовые ящики, недавно мы перешли на гибридную AD, и они были неактивны. Когда они вернулись, им не удалось войти в свое приложение Outlook и в Exchange Online, это сообщение было при входе в Exchange Online.
ClientId: 50327C95XXX14F30236CXXX9D идентификатор запроса 0XXXXXXXXXXX X-Auth-Error OpenIdConnect Microsoft.Exchange.Clients.Security.AccountTerminationException X-OWA-Version 15.20.3021.29 X-FEServer DM3X699-XXXXXXXX-FEServer 26/06/12/6/12/6/2/6/6/2/5/6/5/5
Сообщение об ошибке Exchange Online
Также была ошибка в центре администрирования при выборе рассматриваемых пользователей, что-то говорилось о несоответствии GUID архива.
Ошибка ArchiveGUID в центре администрирования O365
Мы попробовали несколько вещей, чтобы исправить это, одна из них заключалась в том, чтобы вывести этих пользователей из синхронизации Azure AD Connect, переместив их в подразделение, настроенное на отсутствие синхронизации в локальном AD, но это привело к удалению облачных учетных записей после их восстановления. будет снова удален, даже когда учетные записи были активны, ошибки все равно были, и я не мог заставить этих пользователей работать.
Я ничего не нашел в Интернете, и после открытия заявки на меня не связались сотрудники службы поддержки Microsoft. Через некоторое время я нашел кое-что полезное, что дало мне идею, и сделал это, чтобы исправить проблемы:
Я заменил «MsExchArchiveGUID» для обоих пользователей в ADSI Edit в локальной AD. Для этого я взял облачный GUID из ошибки в центре администрирования и запустил приведенные ниже команды оболочки питания, чтобы преобразовать их в шестнадцатеричный формат. После того, как я это сделал, я дождался, пока изменения будут синхронизированы с облаком, затем мне пришлось удалить лицензии одного из пользователей на несколько минут и добавить их обратно, и тогда это сработало, для другого это сработало сразу после синхронизации.
Команды в PowerShell для преобразования облачного GUID, чтобы заменить его в локальном AD:
- [system.guid] $ guid = "GUID облачного архива"
- ($ Guid.ToByteArray () | foreach {$ _. ToString ('x2')}) -Join ''
Следуя своим комментариям с @maweeras, я перенастроил Azure AD Connect, изменив режим входа пользователя с сквозной аутентификации (нам она не нужна) на синхронизацию хэша паролей, что сразу устранило проблему.
Обновление: 2018/08/01 15:00
Сегодня утром из любопытства я перенастроил Azure AD Connect, изменив режим входа пользователя с синхронизации хэша паролей обратно на сквозную аутентификацию, которая завершилась следующим сообщением о состоянии:
Сквозная проверка подлинности была успешно включена, но похоже, что ваша сеть может блокировать определенные порты, необходимые для правильной работы функции. Мы обнаружили, что в вашей сети могут быть заблокированы следующие порты: 443
По совету https://social.msdn.microsoft.com/Forums/en-US/81673e69-1220-4231-a9c0-0753f4aa3455/azure-ad-connect-443-may-be-blocked?forum=WindowsAzureAD, на сервере я перешел к https://aadap-portcheck.connectorporttest.msappproxy.net/ который загрузился нормально, и все тесты прошли.
В любом случае теперь я могу войти в Office 365, используя те же учетные записи пользователей Office 365, поэтому я не знаю, в чем заключалась исходная проблема.
Я выполнил следующие шаги, указанные ниже, с учетной записью, с которой я получал эту ошибку, и, похоже, проблема была решена (с каким шагом, я не уверен):
- Преобразовал почтовый ящик в общий почтовый ящик в Exchange 365
- Преобразовал почтовый ящик обратно в почтовый ящик пользователя в Exchange 365
- Удалена и повторно добавлена лицензия в Exchange 365
- Отредактируйте почтовый ящик в Exchange 365 и в «Окне редактирования почтового ящика» я отключил и снова включил «Подключение к электронной почте | Outlook в Интернете»
- В свойствах локальной AD учетной записи пользователя на странице "учетная запись"вкладка"Войти на..."был настроен для входа на определенные рабочие станции. Я удалил все рабочие станции и переключил переключатель"Все компьютеры"и сохранили учетную запись AD
Затем я снова смог войти в почтовый ящик. Надеюсь, это кому-то поможет!