【发布时间】:2014-03-18 08:01:32
【问题描述】:
我之前(成功地)创建了一个 Windows Azure Active Directory,添加了一个自定义域,并使用本地 ADFS2.0 服务器将其配置为单点登录和目录同步。到目前为止一切顺利。
意识到我应该将自定义域附加到现有的 WAAD 而不是新的,然后我决定删除新的。为确保不存在删除本地 AD 中任何对象的风险,我首先删除了本地 ADFS 服务器上的信任关系。
不幸的是,这让我现在无法使用 Azure Active Directory PowerShell cmdlet 来管理 WAAD - Connect-MSOLService 要么返回“Microsoft.Online.Administration.Automation.MicrosoftOnlineException 类型的异常” ’被抛出。”如果我使用订阅所有者的 Microsoft 帐户凭据(但电子邮件地址恰好与我添加的自定义域位于同一域中),或者“用户名或密码不正确。验证您的用户名,然后尝试再次”,如果我使用该目录的另一个全局管理员的凭据,其电子邮件地址不在自定义域中。
两组凭据都允许成功登录门户。
很遗憾,我现在无法删除 WAAD,因为它包含对象 - 如果没有 PowerShell 访问权限,我不相信我可以在删除之前批量删除从本地同步的约 500 个用户和组信任。
知道如何恢复信任关系、成功连接 PowerShell 或删除不需要的目录吗?
非常感谢!
【问题讨论】:
-
目前无法删除目录。因此,您现在可能只想将此不需要的目录重命名为某个名称,以便您知道不要使用它。我在订阅中使用“DELETE-ME-x”,其中 x 只是一个数字。至于连接,您应该仍然可以连接。您是否尝试使用以前的自定义域凭据进行连接?例如,admin@mydomain.com?如果是这样,请尝试使用您的 admin@mydomain.onmicrosoft.com 凭据,看看您是否可以通过这种方式连接。
-
@RickRainey - 谢谢。更重要的是删除用户和自定义域,而不是整个目录,所以我可以将自定义域添加到另一个目录。自定义域凭据将不再起作用,因为它们(始终)基于 SSO,并且 ADFS 服务器现在对 WAAD 一无所知。我也尝试过 ...onmicrosoft.com 的那些,但无济于事。
-
好的。因此,既然您能够登录门户,您应该能够转到您目录的“域”部分,突出显示您的自定义域,然后单击“删除”按钮以释放自定义域。然后,您可以再次通过该过程将该域注册到另一个目录。
-
@RickRainey 非常感谢您的输入 - 问题现已解决(以下已接受答案),但供其他人参考:您不能删除包含用户的自定义域,因为我已经管理一个 DIRSYNC,我有大约 800 个用户,你不能通过门户批量删除。我不喜欢手动多次单击删除按钮,因此对 PS 的渴望 :-)
标签: azure adfs azure-active-directory