Pour afficher le bouton SSPR (Self-Service Password reset) sur l'écran d'ouverture de session Windows 10, il faut ajouter la clé de registre ci-dessous manuellement ou via GPO (sous réserve d'avoir SSPR déjà activé pour l'utilisateur et l'ordinateurs est joint à Azure AD en mode Hybride) :
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount]
"AllowPasswordReset"=dword:00000001
Dans certains cas, même après l'ajout de cette clé de registre, le bouton SSPR ne s'affiche pas sur l'écran d'ouverture de session.
En regardant sur Azure AD, l'état de la machine qui n'a pas fonctionné, nous avons constaté qu'elle est bien Hybrid Azure AD Joined mais le statut d'enregistrement est en Pending
Afin de résoudre ce problème, il faut forcer l'enregistrement de la machine à Azure AD en ajoutant les deux valeurs de la clé de registre ci-dessous :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD]
"TenantId"="<YourTenantId>"
"TenantName"="<YourCompany.com>"
Une fois ajoutés, redémarrez l'ordinateur et il sera enregistré dans Azure AD.
Sur l'écran d'ouverture de session, le bouton SSPR doit maintenant s'afficher.
Dans un environnement hybride, un utilisateur avait une boîte aux lettres Exchange Online. La BAL est marquée en tant que boîte aux lettres distante (visible sur Exchange Onpremise) mais la boîte aux lettres Office 365 n'était pas disponible. Dans ce cas, le GUID Exchange Onpremise doit être mis à jour.
Pour ce faire, les étapes ci-dessous ont été réalisées :
- Accéder à Exchange Management Shell (Onpremise) et sauvegarder les paramètres de la BAL via la commande suivante:
Get-Mailbox "affectedUser" | fl > mailboxinfo.txt
- Mettre à jour le GUID Exchange à Null sur la boîte aux lettres affectée via l'exécution de la commande:
Set-remotemailbox "affectedUser" -ExchangeGuid 00000000-0000-0000-0000-0000-0000000000000000000
- S’assurer que Exchange Guid se reflète correctement :
Get-RemoteMailbox "affectedUser" | Fl ExchangeGuid
Get-MailUser "affectedUser" | fl ExchangeGuid
- L’étape suivante consiste à supprimer la licence exchange Online, synchroniser, puis à ré ajouter la licence et vérifier l’état :
Get-Mailbox "affectedUser" | fl exchangeGuid,RecipientTypeDetails
- Récupérer la valeur d'ExchangeGuid
- Dans Exchange Management Shell (Onpremise), rétablir l’attribut Exchange Online GUID sur la boîte aux lettres distante Set-RemoteMailbox "affectedUser" -ExchangeGuid " ExchangeGuidRecupéré" Puis vérifier le paramètre via la commande: Get-RemoteMailbox "affectedUser" | Fl ExchangeGuid
- Dans la console Exchange Online, vérifier aussi que l'objet s'affiche en tant que boîte aux lettres utilisateur.
Contexte
Dans une architecture Exchange 2013 Hybride où les publications web sont faites par des boitiers KEMP vous ne pouvez pas faire de migration.
En effet vous obtenez l’erreur suivante The connection to the server ‘Exchange Server’ could not be completed.
Explications et solution
La première chose à valider est l’activation du proxy MRS sur les serveurs Exchange.
Pour cela depuis le centre d’administration Exchange, allez dans Serveurs puis Répertoires virtuels et vérifiez que sur l’ensemble des répertoires EWS l’option Activer le point de terminaison du proxy MRS est cochée.
Si c’est bien le cas, le problème peut venir de la configuration de la publication des services web d’Exchange sur le KEMP.
Depuis l’interface d’administration KEMP, allez dans System Configuration > Miscellaneous Options > L7 Configuration.
Modifiez la valeur du paramètre 100-Continue Handling pour RFC-7231 Compliant.
La modification de cette valeur va permettre au boitier KEMP de ne pas rejeter la demande de l’assistant de migration.
En essayant à nouveau de faire une migration, l’assistant passera à l’étape suivante.