我目前正在尝试使用AD同步工具将我的内部部署Active Directory(托管在Windows Server 2012 R2上)与Azure的AD同步。但是,我无法通过“Windows Azure Active Directory凭据”步骤。
我有两个帐户(为了这篇文章,我们称之为A和B),这两个帐户都是Azure上的全局管理员。当我输入帐户A的凭据时,同步工具会坚持“用户名或密码不正确”,即使我可以在浏览器上使用这些确切的凭据登录Azure门户。值得注意的是,帐户A无需额外验证即可登录。
帐户B有额外的安全验证,因此我为同步工具创建了应用密码(此功能在帐户A中不存在,因为它不需要验证)。每当我使用生成的应用程序密码时,我都会遇到配置错误:“无法建立与身份验证服务的连接。请联系技术支持。”密码字段中的任何其他内容将返回“用户名或密码不正确”,让我假设应用程序密码有效,但我的请求没有通过。
使用帐户B和应用程序密码进行的每次登录尝试都会在我的服务器管理器日志中生成以下错误:
System.Management.Automation.CmdletInvocationException: Unable to establish a connection to the authentication service. Contact Technical Support. ---> Microsoft.Online.DirSync.Common.DirectorySyncConfigurationException: Unable to establish a connection to the authentication service. Contact Technical Support.
at System.Management.Automation.MshCommandRuntime.ThrowTerminatingError(ErrorRecord errorRecord)
--- End of inner exception stack trace ---
at System.Management.Automation.Runspaces.PipelineBase.Invoke(IEnumerable input)
at Microsoft.Online.DirSync.PowerShellAdapter.PowerShellCommand.ExecuteCommand(Command command, Boolean refreshPath)
Unable to establish a connection to the authentication service. Contact Technical Support.
Unable to establish a connection to the authentication service. Contact Technical Support. AuthIdentityToService() failed for adminwebservice.microsoftonline.com site with MBI_SSL policy. HResult:-2147186590. Contact Technical Support. (0x80048862)
到目前为止,我已经尝试过:
如果有人能帮我解释错误甚至为我提供可能的解决方案,我将不胜感激!
答案 0 :(得分:0)
Azure AD Sync(和DirSync)使用的端点不允许使用应用密码。只能接受用户名/密码组合,并且必须是全局管理员。如果您按照我们的指导为"帐户B"创建一个强密码,您基本上创建了与应用密码相同的内容。
/ Andreas Kjellman 微软,身份和访问管理高级项目经理,同步服务