标签: microsoft-office-365

从这个问题衍生出来：我真的需要 MS Active Directory 吗？2014年的新方向。

考虑到基本的 Windows 基础架构：

• 域控制器
• 交流 2007/2010/2013
• 共享点
• SQL
• 文件服务器/打印服务器
• AD集成DNS
• AD 认证的第 3 方设备（假设 802.1X 用于网络和一些内容过滤等）
• AD/LDAP 验证 IT 应用程序/硬件/等上的“管理”功能。
• 也许一些 KMS 的东西
• 如果你愿意，可以加入 CA
• 本土应用
• 第 3 方内部应用

现在，让我们把它全部撕掉，并决定我们要上云。我们已签约将 Exchange/Sharepoint/File Services 移至 Office 365。SQL 现在也将托管在 Azure 之类的设备上。我们已经摆脱了对 AD-DNS 的需求，只需通过一个简单的 Windows DNS 服务器即可运行所有内容。我们仍然需要 802.1X，如果可能的话，我们希望对我们的各种云应用程序进行 SSO。本土和 3rd 方内部应用程序可能会保留，但能够使用内部用户数据库而不是 AD 身份验证

问题是……我们真的需要 Active Directory 吗？

或者更确切地说，AD 内部部署或什至通过 Azure 或类似 (ADFS) 托管，或者通过 Azure 或类似工具在托管 VM 上运行 ADDS。我们可以/应该看看其他类似 3rd 方 SSO 选项的东西，例如http://www.onelogin.com/partners/app-partners/office-365/或类似的可以提供 SSO 功能的东西，即使它很简单每个用户的 LastPass …

TL; 博士

有没有办法通过脚本、powershell、reg delete、telekinesis 重置 Outlook 2013，就好像没有配置文件存在过一样，它是有史以来第一次运行？

仍在努力解决这个问题，但希望其他人有洞察力。

设想

这里的许多用户都有连接到本地 Exchange 服务器的现有 Outlook 配置文件。我们正在迁移到 Office 365。为了迁移用户的 Outlook，您必须在 Outlook 中创建新配置文件或完全删除旧配置文件，然后“重新开始”。

我们希望我们的用户重新开始，并为他们的邮件配置文件使用默认配置文件名称“Outlook”（而不是自定义或第二个配置文件，如“O365”）。这是因为我们的 ERP 系统会在 ERP 软件中查找此配置文件以发送电子邮件。

问题

问题是“重新开始”并不是真正开始新鲜。

如果我从Mail控制面板设置中手动删除默认配置文件“Outlook” ，则 Outlook 会在没有配置文件的情况下启动，但会提示输入配置文件名称：

如果我Outlook现在输入新的个人资料名称，我会得到：

如果我进入REGEDIT并查看：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles

我仍然将“Outlook”视为个人资料。

我尝试做一个Reg DELETE这个键和所有子键，虽然它说“成功删除”但它没有。

如果我手动删除此配置文件密钥，我可以再次启动 Outlook，当它提示输入新的配置文件名称时，我可以输入Outlook它并让我继续，就好像它是 Outlook 的新设置一样：

从 Outlook 2013（在这里找到）的命令行开关中，/cleanprofile 仍然存在。

底线问题

有没有办法通过脚本、powershell、reg delete、telekinesis 重置 Outlook 2013，就好像没有配置文件存在过一样，它是有史以来第一次运行？

我们最近开始将 Office 365 用于我们的电子邮件，这要求我们添加值为 的 DNS TXT 记录v=spf1 include:spf.protection.outlook.com -all。我们已经有一个SPF包含v=spf1 include:spf.mandrillapp.com ?allMandrill值的记录，我们也使用了一个 SMTP 发件人。

我担心这可能会引起一些冲突。我的担心是有效的还是对这两个 SPF 记录没问题？

在 Office 的批量许可版本（具有 MSI 部署的版本）中，您可以使用OCT创建一个包，该包将在部署新版本时删除以前版本的 Office。

Office 365 Pro Plus 仅支持即点即用，这意味着 OCT 无法使用它。ODT允许对 Office 365 Pro Plus 进行一些自定义，但似乎无法删除以前版本的 Office。

有没有办法在 Office 365 Pro Plus 部署中执行此操作，或者这是否真的涉及创建脚本来检查 Office 的每个可能版本以及卸载逻辑？

我想知道是否可以在 Office 365 上查看登录历史记录，以及最终的登录尝试？似乎 Outlook 的消费者版本有这个，但我在 365 上找不到类似的东西。

谢谢。

我们有一家小型企业，目前在我们的办公室内不需要域。我们有一个基本网络和一台运行 Windows Server 2008 R2 的服务器，其中包含一些文件共享和 3rd 方应用程序。

我们使用 Office 365 并拥有 Windows Azure 订阅。两者似乎很好地保持了我们组织的 Active Directory 同步。（即两个系统上的数据看起来相同）

我们在应用服务器上运行的所有第三方应用都支持 LDAP 作为身份提供者，但由于我们不运行域，因此我们必须让每个用户为这些服务创建新的登录名/密码。

理想情况下，我们希望此服务器从 Azure/Office 365 同步，然后允许用户使用他们的 Office365 凭据进行身份验证。

我发现的所有文献都讨论了从本地同步到 Azure，但我们更愿意从 Azure/Office 365 同步到我们的本地服务器。我猜我们的内部部署服务器成为我们 Office 365 目录的联合身份提供者...

这是可能的，还是我们需要一些可以联合来自 Azure 或 Office 365 的身份的 3rd 方 LDAP 提供商？

几天来，我们一直收到许多订阅客户的投诉，称他们没有收到每日警报邮件。我们在日志中检查了邮件已被服务器接受（MX 记录：）example.com.mail.protection.outlook.com，但所有订阅此服务的客户端都没有在他们的收件箱中收到我们的邮件。客户端邮件服务器无任何故障地接受邮件。

以下是来自我们的 sendmail 服务器的日志。注意：我们有有效的 SPF 记录。此外，我们的邮件服务器并未在任何地方列入黑名单。邮件包含有关我们客户订阅的服务的 HTML 嵌入信息。

to=<xxxx@xxxxx.co.za>, delay=00:00:08, xdelay=00:00:08, mailer=esmtp, pri=206583, relay=xxxxx-co-za.mail.p...ction.outlook.com. [xxx.xxx.154.23], dsn=2.0.0, stat=Sent (<VPOP31.4.0e.20140910113951.917.f85.2.34364a7d@CMS1> [InternalId=58007828300753, Hostname=xxxxxxx.eurprd03.prod.outlook.com] Queued mail for delivery)

我们应该怎么做才能解决这个问题？

由于一些非常荒谬的管理原因，我们在 Office365 上有一个带有一个邮箱的拆分域，这需要我们添加include:outlook.com到我们的 SPF 记录中。问题在于，仅该规则就需要9 次DNS 查找，最多 10 次。

说真的，这太可怕了。看看吧：

v=spf1
include:spf-a.outlook.com
include:spf-b.outlook.com
ip4:157.55.9.128/25
include:spfa.bigfish.com
include:spfb.bigfish.com
include:spfc.bigfish.com
include:spf-a.hotmail.com
include:_spf-ssg-b.microsoft.com
include:_spf-ssg-c.microsoft.com
~all

既然我们有我们自己的大十岁上下的邮件系统，我们需要有规则a，mx，include:_spf1.mydomain.com，和include:_spf2.mydomain.com这使我们在13 DNS查找其原因PERMERRORs的严格SPF验证，并与非严格/妥善执行验证完全不可靠/不可预测的验证.

是否有可能以某种方式include:从臃肿的 Outlook.com 记录中消除其中 3 条规则，但仍涵盖 O365 使用的服务器？

编辑：

评论者提到我们应该简单地使用较短的spf.protection.outlook.com记录。虽然这是新闻对我来说，这是更短，这只是一个记录短：

spf.protection.outlook.com
  include:spf-a.outlook.com
  include:spf-b.outlook.com
  include:spf-c.outlook.com
  include:spf.messaging.microsoft.com
    include:spfa.frontbridge.com
    include:spfb.frontbridge.com
    include:spfc.frontbridge.com

编辑²

我想我们可以在技术上将其缩减为：

v=spf1 a mx include:_spf1.mydomain.com include:_spf2.mydomain.com include:spf-a.outlook.com include:spf-b.outlook.com include:spf-c.outlook.com include:spfa.frontbridge.com include:spfb.frontbridge.com include:spfc.frontbridge.com ~all

但我看到的潜在问题是：

1. 我们需要及时了解父项spf.protection.outlook.com和 …

好的...这一切都是在我们的 Office 365 设置期间开始的。根据 Microsoft 的说法，您必须从 Exchange 中删除您的本地联合信任，验证域，然后将其添加回来……否则在验证域名时您会收到一条模糊的错误消息。

所以我这样做了……除了现在联邦信任被打破了。我从“Test-FederationTrust -Verbose”收到以下消息：

VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Uri from Federation Metadata:
urn:federation:MicrosoftOnline.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Certificate from Federation Metadata:
<snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer Previous Certificate from Federation
Metadata: <snip>.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Token Issuer End Point from Federation Metadata:
https://login.microsoftonline.com/extSTS.srf.
VERBOSE: [19:43:14.005 GMT] Test-FederationTrust : Retrieved Web Requestor Redirect End Point from Federation Metadata:
 https://login.microsoftonline.com/login.srf.
VERBOSE: …

我有理由怀疑用户可能正在使用 Microsoft Outlook（或可能是其他电子邮件客户端）的副本从个人设备访问他们的公司电子邮件，以进行数据泄露。我已经排除了他们使用 ActiveSync（Get-ActiveSyncDeviceStatistics -Mailbox [username] | ft DeviceType, DeviceUserAgent, LastSuccessSync在 powershell 中使用）访问他们的帐户的可能性，但我似乎找不到排除 Outlook 桌面应用程序的方法。

根据公司政策，此用户的 IMAP、POP3 和 OWA 被禁用，因此我也可以排除这些。

有没有办法告诉特定用户的哪些 MAPI 客户端正在或已经通过 Exchange 进行身份验证？（这是 Office 365 租户上的托管交换，我拥有完整的管理员权限。）