MO
. After starting the hostcontrollerservice, no more errors on MSExchangeFastSearch
Size: a a a
2020 October 30
M
У кого-нибудь есть батлкард для продвижения PHS/PTA вместо ADFS под O365? У наших архитекторов/импортозаместителей пригорело от логина в Teams через AAD и они хотят испортить всем жизнь, чтобы "MS не украл их пароли"
D
Дмитрий Стародубцев
RejectReservedTopLevelRecipientDomains : False не помогает
Это запрещает прием писем для аддресов получателей такого формата: User@Domain . И для включения надо поставить его в $true
D
У кого-нибудь есть батлкард для продвижения PHS/PTA вместо ADFS под O365? У наших архитекторов/импортозаместителей пригорело от логина в Teams через AAD и они хотят испортить всем жизнь, чтобы "MS не украл их пароли"
ADFS же настраивается как раз для того, чтобы использовать локальный ADDS вместо AAD и не синкать пароли в облако
M
DMitriy
ADFS же настраивается как раз для того, чтобы использовать локальный ADDS вместо AAD и не синкать пароли в облако
PTA тоже не синкает пароли, но показывает облачную форму для реквизитов, которая им не нравится
ДС
DMitriy
Это запрещает прием писем для аддресов получателей такого формата: User@Domain . И для включения надо поставить его в $true
Не то скопировал. Не работает с RejectReservedTopLevelRecipientDomains, хотя вроде бы должно, если документация MS не врёт. У меня вообще все эти *rejected* в false
D
Дмитрий Стародубцев
Не то скопировал. Не работает с RejectReservedTopLevelRecipientDomains, хотя вроде бы должно, если документация MS не врёт. У меня вообще все эти *rejected* в false
если $false, то значит фильтрация отключена и никакой блокировки писем не будет. Результат какой нужен?
D
PTA тоже не синкает пароли, но показывает облачную форму для реквизитов, которая им не нравится
Ну там же только логин запрашивается
ДС
DMitriy
если $false, то значит фильтрация отключена и никакой блокировки писем не будет. Результат какой нужен?
Чтобы письма приходили. У меня тестовый домен в .test. Шлю письмо на ящики, которые находятся на серверах EXCH13 - всё гуд. Шлю на ящик, который мигрировал на 19 и получаю эту ошибку. Настройки reject идентичные на всех серверах.
D
Дмитрий Стародубцев
Чтобы письма приходили. У меня тестовый домен в .test. Шлю письмо на ящики, которые находятся на серверах EXCH13 - всё гуд. Шлю на ящик, который мигрировал на 19 и получаю эту ошибку. Настройки reject идентичные на всех серверах.
Надо будет проверить...
M
DMitriy
Ну там же только логин запрашивается
Это если сработал SSO, а без него спрашивает пароль и передаёт наземному агенту
ДС
https://social.technet.microsoft.com/Forums/en-US/5f9b814c-ada7-41a3-9f7b-755a9e058377/exchange-2016-failed-to-deliver-mail-after-a-new-installation?forum=Exch2016MFSM
Вот у человека такая же проблема и он в итоге домен пересоздал.
https://docs.microsoft.com/ru-ru/powershell/module/exchange/new-receiveconnector?view=exchange-ps
А вот тут MS пишут что настройка с пропусканием писем для .test, .example и т.д. должна работать для 2016-2019
Вот у человека такая же проблема и он в итоге домен пересоздал.
https://docs.microsoft.com/ru-ru/powershell/module/exchange/new-receiveconnector?view=exchange-ps
А вот тут MS пишут что настройка с пропусканием писем для .test, .example и т.д. должна работать для 2016-2019
D
Это если сработал SSO, а без него спрашивает пароль и передаёт наземному агенту
Ну да. В случае с ADFS форма аутентификации будет с вашего сервера ADFS Proxy
M
DMitriy
Ну да. В случае с ADFS форма аутентификации будет с вашего сервера ADFS Proxy
Вот я и хочу избежать его внедрения, потому что риски тут минимальные и неизвестно что отвалится в гибриде с такой конфигурацией
D
Вот я и хочу избежать его внедрения, потому что риски тут минимальные и неизвестно что отвалится в гибриде с такой конфигурацией
Не вижу тут каких-то особых проблем. К тому же через ADFS можно не только Azure с наземным AD дружить, но и кучу других сервисов.
M
DMitriy
Не вижу тут каких-то особых проблем. К тому же через ADFS можно не только Azure с наземным AD дружить, но и кучу других сервисов.
Сложно внедрять и сопровождать, а большинство пользователей и сервисов вне периметра сети при фактическом отсутствии ИБ
ДС
Сложно внедрять и сопровождать, а большинство пользователей и сервисов вне периметра сети при фактическом отсутствии ИБ
Один раз настроил и только сертификаты меняй
D
Сложно внедрять и сопровождать, а большинство пользователей и сервисов вне периметра сети при фактическом отсутствии ИБ
Ну у нас это заняло 1 рабочую неделю, при том что MS активно пытался помочь, а мы активно этому сопротивлялись :)
На сопровождение в среднем где-то 10 дней в год уходило.
На сопровождение в среднем где-то 10 дней в год уходило.
D
Хотя нет, там большая часть времени тратилась на изменение параметров синхронизации юзеров в AAD, а не на ADFS.
ДС
Ни у кого не было такого что после ребута сервера служба Microsoft Exchange Compliance Audit MSComplianceAudit сама не запускается? Вручную стартует без проблем