在進行了Office 365 的基礎AD同步之後,某天突然發現O365的AD同步不正常,如下圖,預設本地AD和Office365 AD同步時間為三小時,下圖中這種情況明顯是有狀況的。
<a href="http://s3.51cto.com/wyfs02/M02/7A/3F/wKiom1al7yLS2S0aAABX_z6TO68229.jpg" target="_blank"></a>
在對上述這種情況進行Troubleshooting的時候,我在用戶端要麼重新安裝同步工具 Azure AD Connect,要麼就手動運作Azure AD 同步指令。但是這樣隻是一次性的觸發一次同步,沒有徹底的解決問題。
但是這樣不是一個長久的解決辦法,那就從問題的根源開始找原因。
其實Azure AD的同步也是一次從Local AD 主動向O365 推送的一次同步,我們可以在計劃任務中找到這個計劃。
<a href="http://s3.51cto.com/wyfs02/M00/7A/3E/wKioL1al72eCdWtuAAHSi0fwNX4310.png" target="_blank"></a>
我們點進去詳細看一看
在這裡我看到一個非常奇怪的賬号,這個賬号從字面上了解應該是Office365 AD同步系統自動生成的一個賬号,結果最終問題就出在這裡,我們繼續往下看。
<a href="http://s3.51cto.com/wyfs02/M00/7A/3F/wKiom1al7yeiszhGAAEr07-OfKM441.jpg" target="_blank"></a>
在這個計劃任務的曆史記錄裡面,我找到了相關的報錯,一看多半就是賬号的問題。
<a href="http://s3.51cto.com/wyfs02/M02/7A/3F/wKiom1al7ymxQiNYAAD4xVIcppQ212.jpg" target="_blank"></a>
這個時候既然這個自動生成的賬号有問題,那麼自然而然會聯想到我的伺服器中負責 AD 同步的某一個 service是否也在跑這個賬号呢?
果然被我們不幸言中,就是他,不對,是很眼熟,但是貌似又不是!而且和上面一個賬号都是本機的一個本地賬号。
<a href="http://s3.51cto.com/wyfs02/M01/7A/3F/wKiom1al7yyRoormAAGRrjsu2tI356.jpg" target="_blank"></a>
繼續,我們再打開本機的賬号管理,終于找到了這兩個賬号!!
<a href="http://s3.51cto.com/wyfs02/M02/7A/3F/wKiom1al7y7yS4kPAACmwk5Vcc8383.jpg" target="_blank"></a>
我确定問題肯定是出在這裡。
通過微軟Office365KB的查找,結果發現,Office 365 在安裝AD同步工具的時候,會在本機自動建立一個叫做 AAD_ 的賬号,這個賬号是專門授權用來跑AD同步計劃的,并主導 Microsoft Azure AD Sync服務的。
但是我不清楚我這裡為什麼有兩個,難道和我重裝多次同步工具有關? 後續再來研究吧
以下是微軟資料中的截圖
唯一的 AAD_ 賬号
<a href="http://s3.51cto.com/wyfs02/M00/7A/3F/wKiom1al7zDSNj7sAAChV6MwAj8915.jpg" target="_blank"></a>
且這裡運作該計劃任務的賬号應該具有域管理者的權限,不然無法上傳AD屬性。我這裡的Author是我自己,是因為我在解決問題的時候修改過這個計劃任務,理論上應該是AAD_ 這個賬号哈,無所謂,但是下面的running賬号就非常重要了。
BTW:這裡大家不要學我用自己的管理者賬号,我還是強烈建議可以建立一個單獨的服務賬号,或者就利用這個AAD_賬号,保證密碼永不過期即可。
<a href="http://s3.51cto.com/wyfs02/M00/7A/3E/wKioL1al73WjoYeCAAFi8Hj5SkE235.png" target="_blank"></a>
修改完成之後,手動disable再enable一下這個計劃任務,run一下,可以發現同步成功,且Office365 AD也能成功同步。
<a href="http://s3.51cto.com/wyfs02/M01/7A/3E/wKioL1al73jjEFM-AAHrMmQVnJY346.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M01/7A/3E/wKioL1al73rCCU9nAABLCsIhJEY592.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M02/7A/3E/wKioL1al733QY8d-AAFzeEjcKKg573.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M02/7A/3E/wKioL1al74Dit_AOAAI7MqVKxsA733.png" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs02/M00/7A/3E/wKioL1al74LCpvoVAADWGbMmK8g482.png" target="_blank"></a>
本文轉自horse87 51CTO部落格,原文連結:http://blog.51cto.com/horse87/1738373,如需轉載請自行聯系原作者
![阿裡雲微服務引擎MSE網關功能,開啟微服務“大門”雲化時代[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)