0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Рекомендации по синхронизации на стороне сервера

Рекомендации по синхронизации на стороне сервера

Учитывайте следующие рекомендации в этой теме при планировании и развертывании синхронизации на стороне сервера.

Чтобы выполнить настройки, описанные в следующих разделах, перейдите в раздел Параметры > Конфигурация электронной почты > Профили почтового сервера.

Настройте синхронизацию на стороне сервера для приложений взаимодействия с клиентами и Exchange Online

По умолчанию профиль сервера электронной почты Microsoft Exchange Online создается для приложений взаимодействия с клиентами (таких как Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Marketing, Dynamics 365 Field Service и Dynamics 365 Project Service Automation), и это следует выбрать в первую очередь. Если требуется использовать собственный профиль и вы используете приложения для взаимодействия с клиентами и Exchange Online, — и обе службы распложены в одном клиенте, — используйте следующие параметры в профиле сервера электронной почты.

НастройкиРекомендации
Имя.Введите имя для нового профиля сервера электронной почты
Расширенные параметры
Обработка сообщений электронной почты отУкажите дату и время, с которой вы хотите, чтобы новый профиль сервера электронной почты обрабатывал электронные письма.

Использование одного набора учетных данных для обработки сообщений электронной почты в Outlook или Exchange

Использовать одну учетную запись для обработки сообщений электронной почты, поступающих на все почтовые ящики, проще, но для этого требуется использовать учетную запись с доступом ко всем почтовым ящикам в Outlook или Exchange. Учетная запись должна иметься права олицетворения в Exchange. Если безопасность одной учетной записи будет нарушена, это распространяется на все почтовые ящики, использующие эту учетную запись. Вы можете настроить область олицетворения Exchange для ограничения того, какие почтовые ящики может олицетворять учетная запись. Дополнительные сведения: Настройка олицетворения

НастройкиРекомендации
Входящее подключение
Проверять подлинность с помощьюУчетные данные, указанные в профиле сервера электронной почты
Имя пользователяИмя пользователя с правами олицетворения в Exchange
ПарольПароль имени пользователя.
Использовать олицетворениеДа
Обратите внимание, что задание для параметра "Использовать олицетворение" значения "Нет" (делегирование) не поддерживается для синхронизации встреч, контактов и задач.
Использовать те же настройки для исходящегоДа
Расширенные параметры
Обработка сообщений электронной почты отУкажите дату и время, с которой вы хотите, чтобы новый профиль сервера электронной почты обрабатывал электронные письма.

Использование личных учетных данных для обработки сообщений электронной почты в Outlook или Exchange

Альтернативой использованию одной учетной записи для обработки сообщений электронной почты является использование личных учетных данных. Этот метод требует больше усилий по обслуживанию, но позволяет избежать фокуса безопасности на отдельную учетную запись. Если требуется, чтобы каждая учетная запись пользователя синхронизировалась с Outlook или Exchange без использования профиля сервера электронной почты Microsoft Exchange Online, используйте следующие параметры в профиле сервера электронной почты.

Изменение пароля учетной записи службы AD Sync

Если вы измените пароль учетной записи службы синхронизации AD Sync, эта служба не сможет правильно запуститься, пока вы не сбросите ключ шифрования и не выполните повторную инициализацию пароля.

При использовании Connect сборки за март 2017 года или более ранней не следует сбрасывать пароль учетной записи службы, так как после этого Windows удалит ключи шифрования из соображений безопасности. Не удается изменить учетную запись на любую другую учетную запись без повторной установки Azure AD Connect. Если происходит обновление до апрельской сборки 2017 г. или более поздней версии, то в ней поддерживается изменение пароля для учетной записи службы, но в то же время нельзя изменить используемую учетную запись.

Azure AD Connect входит в состав служб синхронизации. Она использует ключ шифрования для хранения паролей учетных записей соединителя AD DS и службы AD Sync. Эти учетные записи шифруются перед сохранением в базе данных.

Используемый ключ шифрования защищается с помощью защиты данных Windows (DPAPI). API защиты данных обеспечивает безопасность ключа шифрования с помощью учетной записи службы AD Sync.

Если вам нужно изменить пароль учетной записи службы, вы можете использовать инструкции из раздела Сброс ключа шифрования в учетной записи службы АD Sync. Эти процедуры вам пригодятся и в том случае, когда по какой-либо причине вам понадобится сбросить ключ шифрования.

Проблемы, которые возникают из-за смены пароля

Есть две вещи, которые необходимо выполнить при изменении пароля учетной записи службы.

Во-первых, нужно изменить пароль в диспетчере управления службами Windows. Пока вы не устраните эту проблему, будут появляться следующие ошибки.

  • Если попытаться запустить службу синхронизации, в диспетчере управления службами Windows возникает ошибка "Windows не может запустить службу синхронизации Microsoft Azure AD на локальном компьютере". Ошибка 1069. Служба не запущена из-за ошибки входа в систему".
  • В средстве просмотра событий Windows журнал системных событий содержит ошибку с идентификатором 7038 и текстом сообщения "Служба ADSync не может войти в систему с текущим паролем из-за следующей ошибки: неверное указано имя пользователя или пароль".

Во-вторых, при некоторых условиях служба синхронизации после изменения пароля не может получить ключ шифрования через DPAPI. Без ключа шифрования служба синхронизации не может расшифровать пароли, необходимые для синхронизации между локальным экземпляром AD и Azure AD. Вы этом случае вы увидите такие ошибки.

  • Если в диспетчере служб Windows вы попытаетесь запустите службу синхронизации, а она не сможет получить ключ шифрования, произойдет сбой с ошибкой Windows could not start the Microsoft Azure AD Sync on Local Computer. If this is a non-Microsoft service, contact the service vendor, and refer to service-specific error code -21451857952 (Windows не может запустить Microsoft Azure AD Sync на локальном компьютере. Дополнительные сведения см. в журнале системных событий. Если это не служба корпорации Майкрософт, обратитесь к поставщику службы и укажите код ошибки для этой службы -21451857952).
  • В средстве "Просмотр событий Windows" журнал системных событий содержит ошибку с идентификатором 6028 и сообщением Не удалось получить доступ к серверным ключам шифрования.

Чтобы избежать появления этих ошибок, при изменении пароля выполните инструкции, описанные в разделе Сброс ключа шифрования учетной записи службы AD Sync.

Сброс ключа шифрования учетной записи службы AD Sync

Следующие процедуры применимы только к Azure AD Connect с номером сборки 1.1.443.0 или более ранних версий. Этот параметр нельзя использовать для новых версий Azure AD Connect, так как при изменении пароля учетной записи службы AD Sync сброс ключа шифрования выполняет служба Azure AD Connect, и следующие шаги не нужны.

Изменение или обновление параметров учетной записи электронной почты в Outlook для Windows

Иногда нужно изменить параметры учетной записи электронной почты. Если у вас новый пароль, ваш поставщик услуг электронной почты попросил изменить параметры или при отправке и получении электронной почты возникают проблемы, вы можете изменить параметры учетной записи электронной почты через Почту на панели управления Windows или в Outlook.

Изменение параметров электронной почты на панели управления «Почта»

Вам необходимо знать тип учетной записи, имена серверов входящих и исходяющих сообщений, а также параметры SSL и порта для учетной записи электронной почты. Вы можете обратиться к поставщику услуг электронной почты или, если вы используете популярная служба электронной почты, эти параметры можно найти в параметрах электронной почты POP и IMAP для темы Outlook.

Не знаете, какой у вас поставщик? Просмотрите на свой адрес электронной почты. Сразу после символа @ обычно указывается поставщик услуг электронной почты.

Откройте панель управления.

Windows 10:в поле поиска на панели задач введите «Панель управления» и выберите «Панель управления».

Windows 8.1.Введите панель управления в поле поиска и выберите панель управления.

Windows 7:нажмите кнопку «Начните» и выберите «Панель управления».

На панели управления наищите и откройте значок «Почта».

В окне «Настройка почты» в Outlook выберите «Учетные записи электронной почты. «

В окне «Настройка учетных записей» выберите учетную запись, для устранения неполадок и выберите «Изменить».

В окне «Изменение учетной записи» проверьте параметры сервера «Входящие» и «Сервер исходящую почты» на основе параметров поставщика услуг электронной почты или справочной статьи. Если он отличается, обновив параметры.

В области «Сведения о длялоготипа» проверьте, правильно ли вы используете имя пользователя и пароль, связанные с вашей учетной записью электронной почты.

Примечание: Если поставщик услуг электронной почты требует двух коэффициентной проверки подлинности, введите созданный пароль вместо обычного пароля.

Нажмите кнопку «Дополнительные параметры. «

В окне «Параметры электронной почты Интернета» выберите вкладку «Дополнительные параметры».

В области «Номерапортов сервера» сравните номера серверов входящих сообщений (IMAP) и SMTP с номерами, предоставленными поставщиком услуг электронной почты, или из справочной статьи. Если они не совпадают, измените их вручную.

Кроме того, сравните типы шифрования (см. следующий тип шифрованного подключения)для серверов входящих и исходяющих сообщений и, если они не совпадают, вручную измените их.

Нажмите кнопку«ОК» и выберите «Проверить параметры учетной записи» в окне «Изменение учетной записи».

В окне «Тестовые параметры учетной записи» проверьте, есть ли у вас зеленые или красные маркеры.

Красный маркер указывает на то, что некоторые или все параметры неправильные. Проверьте параметры и снова проверьте их. Если проверка не проходит, обратитесь к поставщику услуг электронной почты для проверки данных.

Зеленая метка указывает на успешное тестирование. Нажмите кнопку«Закрыть», а затем в окне «Изменение учетной записи» нажмите кнопку «Далее» и «Готово». Ваша электронная почта должна быть настроена правильно.

Изменение параметров электронной почты в Outlook для Windows

Откройте Outlook и выберите «Файл».

Выберите учетную запись, которую вы хотите изменить, в конце в подменю «Сведения об учетной записи».

Выберите Настройки учетной записи.
У вас есть несколько типов параметров учетной записи, которые можно изменить в Outlook.

Выберите тип сведений, которые вы хотите изменить.

Параметры учетной записи позволяют добавлять и удалять учетные записи, изменять параметры сервера и делать много другое.

Параметры имени учетной записи и синхронизации позволяют обновить удобное имя учетной записи и решить, за сколько дней сообщений электронной почты вы хотите синхронизировать.

Параметры сервера позволяют изменять данные для входа, включая пароль, имя сервера, порт и параметры проверки подлинности.

Изменение профиля позволяет переключиться на новый профиль.

Управление профилями позволяет добавлять и удалять профили, а также изменять их параметры.

Чаще всего будут изменяться параметры сервера.
Выберите "Параметры сервера", чтобы изменить имя пользователя, пароль и параметры сервера.

Выберите «Входящие»или «Исходящая почта», чтобы изменить различные параметры сервера. Здесь также можно обновить пароль электронной почты (после изменения пароля в почтовой службе).

Бесшумная настройка учетных записей пользователей

Эта статья для ИТ-администраторов, которые хотели бы молча настроить учетные записи пользователей при развертывании нового приложения приложение синхронизации OneDrive (OneDrive.exe) для управляемых Windows компьютеров в их предприятии. Эта функция работает для компьютеров, которые присоединяются к Azure Active Directory (Azure AD).

Если включить эту функцию, OneDrive.exe будет пытаться молча (без взаимодействия с пользователем) войти в учетную запись пользователя работы или школы, которая была использована для Windows (известная как Windows Основная учетная запись). Эта Windows должна быть учетной записью Azure Active Directory AAD или быть подключена к учетной записи AAD с помощью гибридной конфигурации проверки подлинности (см. ниже Необходимые условия).

Перед OneDrive.exe синхронизации он проверит доступное пространство диска. Если синхронизация всего OneDrive пользователя приведет к тому, что доступное пространство опускается ниже 1 ГБ или если размер превышает установленный порог (на устройствах, не включенных в файле по требованию), OneDrive будет предложено пользователю выбрать папки для синхронизации. Сведения о том, как установить этот порог с помощью групповой политики, см. в статью Установите максимальный размер OneDrive пользователя, который можно скачать автоматически.

Если пользователь настроен в приложении синхронизации, если одна и та же учетная запись синхронизирует файлы с предыдущим приложением синхронизации OneDrive для бизнеса (Groove.exe), новое приложение синхронизации (OneDrive.exe) попытается взять на себя синхронизацию этих файлов.

Рекомендуется включить автоматическую настройку учетных записей при настройке приложения синхронизации. Ознакомьтесь со всеми нашими рекомендациями по настройке приложения синхронизации

Предварительные условия

Прежде чем включить бесшумную конфигурацию учетной записи, необходимо присоединиться к устройствам Azure AD. Вы можете присоединиться к устройствам, работающим Windows 10 и Windows Server 2016 непосредственно в Azure AD. Подробнее о том, как присоединиться к вашему устройству в сети организации, см. в статью Join your work device.

Если в локальной среде используется Active Directory, можно включить гибридные устройства Azure AD, которые присоединяются к устройствам в вашем домене, в Azure AD. Устройства должны запускать одну из следующих операционных систем:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

Если вы федератете локального Active Directory с помощью Azure AD, для этого необходимо использовать AD FS. Сведения об использовании Azure AD Подключение см. в Подключение Azure AD.

Дополнительные сведения см. в дополнительных сведениях онастройке гибридных Azure Active Directory устройств. Чтобы проверить состояние присоединиться и устранить проблемы, см. в статью Устранение неполадок гибридных устройств Azure AD-joined.

Включить бесшумную конфигурацию

Если компьютеры в сети присоединяются к локальной службе Active Directory, для настройки конфигурации учетной записи можно использовать политику группы доменов.

Использование групповой политики:

Необязательно укажите максимальный размер OneDrive, который будет автоматически скачивать в тихой конфигурации. Сведения см. в статью Установите максимальный размер OneDrive пользователя, который можно скачать автоматически. Если включить файлы по запросу, OneDrive будет игнорировать максимальное значение размера.

Необязательно установите расположение по умолчанию для OneDrive папки. Сведения см. в папке Set the default location for the OneDrive.

Ниже см. раздел Verify SilentAccountConfig для проверки и устранения неполадок конфигурации.

Автоматическая настройка учетной записи не поддерживается на устройствах пользователей, включивших многофакторную проверку подлинности. Выберите сторонних поставщиков удостоверений (идентификаторов) поддерживаются, но существуют оговорки. Дополнительные сведения можно найти в списке совместимости федерации Azure AD.

Если компьютеры в сети не подключены к локальной службе Active Directory, а только к Azure AD, рекомендуется использовать Intune и скрипт Microsoft PowerShell для настройки ключей реестра, необходимых для настройки бесшумной учетной записи. Убедитесь, что у вас есть автоматическая регистрация, настроенная для Windows 10 устройств.

Windows Требования к подготовке изображения

SilentAccountConfig создает запись реестра SilentBusinessConfigCompleted после успешного предоставления пользователю silentAccountConfig в OneDrive.exe. Это не позволяет SilentAccountConfig перераспределять пользователя в OneDrive.exe, если пользователь вручную прекращает синхронизацию.

Если SilentAccountConfig успешно завершена на компьютере, который вы собираетесь использовать в качестве мастера для создания образа развертывания Windows (например, SysPrep), необходимо убедиться, что этот ключ реестра удаляется перед подготовкой изображения. Это можно сделать, подав следующую команду:

Проверка SilentAccountConfig

Инструкции по SharePoint в Microsoft 365:

Отонкить все существующие экземпляры business в OneDrive.

Очистка реестра всех предыдущих успешных запусков Silent Business Config:

Установите запись реестра политик Silent Config (должна запускаться из окна CMD администратора):

Вычеркнуть Windows (Ctrl+Alt+Delete Sign out).

Во входе в Windows.

Вскоре в области уведомлений панели задач должен быть значок синего облака. Выбор значка должен показать всплывающее всплывающее представление центра действий, демонстрирующее текущую или недавнюю активность из первой синхронизации. Если да, то SilentAccountConfig работает правильно.

Если вместо этого вы видите экран "Настройка OneDrive", SilentAccountConfig не мог молча войти или не удалось по другой причине. Убедитесь, что вы правильно выполнили эти действия, повторив их снова. Следуйте шагам Verify Single Sign On (SSO) позднее в этой статье, чтобы убедиться, что SSO не является проблемой. Сбор журналов синхронизированных приложений для отправки в команду разработчиков для получения дополнительной помощи.

Инструкции по SharePoint Server 2019

Убедитесь, что приложение приложение синхронизации OneDrive вручную синхронизировать контент с локальной SharePoint Server 2019 перед началом работы. Сведения см. в приложении Configure sync для синхронизации с SharePoint Server.

Установите ключевое значение регулярки SharePointOnPremPrioritization до 1 (это гарантирует, что SharePoint Server будет иметь приоритет над SharePoint в Microsoft 365, удалив ключ реестра, чтобы вернуться к SharePoint в Microsoft 365):

Выполните шаги с 1 по 6 в предыдущей процедуре SharePoint в Microsoft 365.

Если вместо этого вы видите экран "Настройка OneDrive", SilentAccountConfig не смог безмолвно войти или не удалось по другой причине. Убедитесь, что вы правильно выполнили эти действия, повторив их снова. Сбор журналов синхронизированных приложений для отправки в команду разработчиков для получения дополнительной помощи.

Чтобы предотвратить Silent Business Config:

Убедитесь, что работает единый вход (SSO)

Наиболее распространенной причиной сбой SilentAccountConfig является то, что учетные данные недоступны для OneDrive.exe без взаимодействия с пользователем. Выполните следующие действия, чтобы определить, является ли это проблемой в вашем случае.

Если у вас есть компьютер, вы считаете, что следует работать с SilentAccountConfig, вы можете вручную убедиться, что SSO работает правильно, чтобы убедиться, что среда настроена правильно.

Временно привяжите ADAL к запуску этой команды:

Закрой все OneDrive.exe (убедитесь в вкладке Сведения о диспетчере задач — Ctrl+Shift+Esc).

меню — OneDrive, вы должны увидеть экран Set up OneDrive (если не отойти или не синхронизировать какие-либо учетные записи бизнеса и начать сначала).

Введите тот же адрес электронной почты, который пользователь использовал для входа в Windows (попробуйте alias@domain и формы domainalias).

Нажмите кнопку Войти.

Диалоговое окно должно перейти на страницу "Вход" с значоком вращающихся в течение нескольких секунд. Затем он должен продолжить работу в следующей части мастера, не запрашивая пароль.

Если запрос пароля не появится, среда auth настроена правильно и SilentAccountConfig должна работать для пользователей.

Если вы видите подсказку пароля, среда не настроена должным образом для бесшумной регистрации. Это может быть связано с проблемой присоединения компьютера к домену (например, проблемы отношений доверия), с конфигурацией ADFS, политикой условного доступа Azure AD, требующей взаимодействия с пользователем, вы не предоставили тот же адрес электронной почты пользователя, который использовался для Windows или по какой-либо другой причине. Вам потребуется устранить все, что блокирует бесшумный вход, прежде чем SilentAccountConfig будет работать для вас.

Удалите клавишу EnableADAL, добавленную в шаге 1:

При использовании SilentAccountConfig не нужно указывать EnableADAL=1. Это необходимо только при ручном тестировании SSO в вышеуказанных действиях, в которые мы внося вручную (вместо того, чтобы использовать SilentAccountConfig для входов). Однако если вы хотите, чтобы пользователи, которые вручную приложение синхронизации OneDrive, чтобы свести к минимуму количество синхронизированных паролей, можно развернуть клавишу EnableADAL на компьютерах пользователей.

Функция доступна для Windows Server 2008, которая позволяет синхронизировать пароль администратора DSRM с учетной записью пользователя домена.

На контроллере домена под управлением Windows может потребоваться синхронизация пароля администратора режима восстановления службы каталогов (DSRM) с учетной записью пользователя домена. В Windows Server 2003 этот параметр недоступен. В Windows Server 2008 доступна функция, позволяющая синхронизировать пароль администратора DSRM с учетной записью пользователя домена.

Дополнительная информация

Сведения об обновлении

Следующие файлы доступны для скачивания из центра загрузки Майкрософт:Download Скачайте пакет обновления для Windows Server 2008 (KB961320) прямо сейчас. Загрузить пакет обновления для Windows Server 2008 для 64-разрядной версии (KB961320) прямо сейчас. Download Загрузить пакет обновления для Windows Vista (KB961320) прямо сейчас. Download Загрузить пакет обновления для Windows Vista для 64-разрядных (KB961320) систем прямо сейчас. Download Для получения дополнительных сведений о том, как загрузить файлы поддержки Microsoft, щелкните следующий номер статьи базы знаний Майкрософт:

Как скачать файлы поддержки Майкрософт через веб-службыЭтот файл был проверен корпорацией Майкрософт на наличие вирусов. Корпорация Майкрософт использует самые последние на момент публикации файла версии антивирусного программного обеспечения. Файл хранится на защищенных серверах, что предотвращает его несанкционированное изменение.

Сведения о функциях

Поддерживаемая функция, изменяющая поведение продукта по умолчанию, теперь доступна в Microsoft. Однако она предназначена только для изменения поведения, описанного в этой статье. Применяйте его только для тех систем, которые специально требуют его. Эта функция может получать дополнительное тестирование. Таким образом, если эта функция не повлияет на систему, рекомендуем подождать, пока не будет установлено следующее обновление программного обеспечения, содержащее эту функцию. Чтобы немедленно получить эту функцию, обратитесь в службу поддержки пользователей корпорации Майкрософт. Полный список телефонов служб поддержки пользователей Майкрософт и сведения о стоимости поддержки можно найти на веб-сайте корпорации Майкрософт по следующему адресу:

Предварительные условия

Для использования этой функции на компьютере должна быть установлена операционная система Windows Server 2008.

Требование перезагрузки

После применения этой функции необходимо перезагрузить компьютер.

Сведения о замене функций

Эта функция не заменяет другие обновления.

Синхронизация пароля администратора DSRM на контроллере домена под управлением Windows Server 2008 с паролем учетной записи пользователя домена

После применения этой функции вы можете синхронизировать пароль администратора DSRM на контроллере домена под управлением Windows Server 2008 с паролем учетной записи пользователя домена. Для этого выполните на контроллере домена под управлением Windows Server 2008 следующую команду:

Ntdsutil «Настройка пароля DSRM» для синхронизации учетной записи домена <имя_учетной_записи>«q qПримечание. В этой команде <имя_учетной_записи> — это имя учетной записи пользователя домена, которую вы хотите использовать. Эта команда синхронизирует пароль администратора DSRM один раз. Если вы хотите выполнить другую синхронизацию, необходимо выполнить эту команду еще раз.

Сведения о файлах

Английская версия этой функции содержит атрибуты файлов (или более поздние версии), указанные в приведенной ниже таблице. Дата и время для файлов указаны в формате UTC. При просмотре сведений о файлах выполняется перевод соответствующих значений в местное время. Чтобы узнать разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента Дата и время панели управления.

Примечания для Windows Server 2008

Файлы. manifest и. mum, устанавливаемые в каждой среде, указаны отдельно в разделе «Дополнительные сведения о файлах для Windows Server 2008». Эти файлы и связанные файлы Cat (каталог безопасности) важны для поддержания состояния обновляемого компонента. CAT-файлы подписаны цифровой подписью Майкрософт. Атрибуты этих файлов безопасности не отображаются в списке.

голоса
Рейтинг статьи
Читайте так же:
Как регулировать высоту пластиковых окон
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector