截至 2018 年 7 月 10 日,尝试登录https://outlook.office365.com使用任何 MFA 强制实施、AD 同步的 O365 帐户以及任何网络上的任何设备上的任何 Web 浏览器都不会提示 TOTP,而是会失败并显示以下错误消息:
:-(
Something went wrong
We can't get that information right now. Please try again later.
X-ClientId: E69D5A6642C242AC9C337AF8EC04AC95
request-id 19bf2ff2-1040-4772-b207-487b71b0adef
X-Auth-Error OpenIdConnect Microsoft.Exchange.Security.OpenIdConnect.OpenIdConnectIdpException
X-OWA-Version 15.20.973.23
X-FEServer DB6PR04CA0014
X-BEServer CWXP265MB0983
Date:27/07/2018 13:59:39
一个例外是,在 Windows PC 上,微软的网络浏览器(Internet Explorer 和 Microsoft Edge)提供了“连接到 Windows”登录选项,这些选项可以正常工作,大概是因为它们由于之前成功且在 Windows 注册的登录而跳过了 MFA / TOTP 步骤。
受 MFA 强制执行的云内 O365 帐户不受影响。
Office 365 管理中心的服务运行状况和 Azure AD Connect 的同步服务管理器均报告没有问题/错误。
连接到受影响的 O365 帐户的应用程序(Microsoft Outlook、Skype for Business 等)继续运行,但尝试登录新帐户时只会重新提示输入密码。
实际上,我在网上能找到的唯一东西就是下面的这些,但都没有什么帮助,因此我写了这篇文章:
- https://answers.microsoft.com/en-us/msoffice/forum/msoffice_o365admin-mso_dirservices-mso_o365b/issue-with-office-365-azure-login/a8509ab6-201c-49dc-8112-9f574072482a
- https://www.erroraway.com/Questions-and-Discussions/201804/12/a8509ab6-201c-49dc-8112-9f574072482a.html/https://www.dllrepairfree.com/201805/31/a8509ab6-201c-49dc-8112-9f574072482a.html
- https://twitter.com/alnsportsmouth/status/983615870915100672
答案1
根据我对 @maweeras 的评论,我重新配置了 Azure AD Connect,将用户登录模式从直通身份验证(我们不需要它)更改为密码哈希同步,从而立即解决了问题。
更新时间:2018/08/01 15:00
今天早上,出于好奇,我重新配置了 Azure AD Connect,将用户登录模式从密码哈希同步更改回直通身份验证,并显示以下状态消息:
直通身份验证已成功启用,但您的网络似乎阻止了该功能正常运行所需的某些端口。我们检测到您的网络上的以下端口可能被阻止:443
根据建议https://social.msdn.microsoft.com/Forums/en-US/81673e69-1220-4231-a9c0-0753f4aa3455/azure-ad-connect-443-may-be-blocked?forum=WindowsAzureAD在服务器上,我浏览到https://aadap-portcheck.connectorporttest.msappproxy.net/加载正常,所有测试均通过。
无论如何,我现在能够使用相同受影响的 Office 365 用户帐户登录 Office 365,所以我不知道最初的问题是什么。
答案2
我有几个用户无法登录他们的邮箱,我们最近转到了混合 AD,这些邮箱一直处于非活动状态。当他们回来时,他们无法登录他们的 Outlook 应用程序和 Exchange Online,登录 Exchange Online 时出现此消息。
ClientId:50327C95XXX14F30236CXXX9D 请求 ID 0XXXXXXXXXXX X-Auth-Error OpenIdConnect Microsoft.Exchange.Clients.Security.AccountTerminationException X-OWA-Version 15.20.3021.29 X-FEServer DM3XXXXA0099 X-BEServer DM6PXXXX2666 日期:2020/05/26 15:59:13
在选择相关用户时,管理中心也出现错误,它说档案 GUID 不匹配。
我们尝试了几种方法来解决这个问题,一种方法是将这些用户移出 Azure AD Connect 同步,通过将它们移动到设置为在本地 AD 中不同步的 OU,但这会导致云帐户被删除,恢复后它们会再次被删除,即使帐户处于活动状态,错误仍然存在,我无法让这些用户启动并工作。
我在网上找不到任何信息,打开工单后微软支持也没有联系我。过了一会儿,我发现了一些有用的东西,给了我一个想法,我这样做来解决问题:
我在本地 AD 中的 ADSI Edit 中为两个用户替换了“MsExchArchiveGUID”。为此,我从管理中心的错误中获取了云 GUID,并通过下面的 power shell 命令将其转换为十六进制。完成此操作后,我等待更改同步到云,然后我不得不删除其中一个用户的许可证几分钟,然后将其添加回来,然后它就可以正常工作了,对于另一个用户,它在同步后立即起作用。
powershell 中的命令用于转换云 GUID 以便在本地 AD 中替换它:
- [system.guid]$guid = "云存档GUID"
- ($Guid.ToByteArray() | foreach { $_.ToString('x2') }) -加入' '
答案3
我使用出现此错误的帐户执行了以下步骤,似乎已经解决了该问题(我不确定是哪一步):
- 将邮箱转换为 Exchange 365 中的共享邮箱
- 将邮箱转换回 Exchange 365 中的用户邮箱
- 在 Exchange 365 中删除并重新添加许可证
- 在 Exchange 365 中编辑邮箱,并在“编辑邮箱窗口”中禁用并重新启用“电子邮件连接 | Web 上的 Outlook”
- 在“帐户“标签”,登录到...“已配置为登录到特定工作站。我删除了所有工作站并切换了单选按钮”所有计算机“并保存了 AD 帐户
然后我就能再次登录邮箱了。希望这对大家有帮助!