Gu4rdi4n

Ich gebe zu, ich hab das Logfile gelesen, aber nicht kapiert, was der von mir wollte. Hatte irgendwie eine Denkblockade ;) Ich dachte, der will, dass ich das Konto in die MFA aufnehme. Ich muss aber auch sagen, eigentlich könnte Microsoft hier auch seine Requirements angeben. Wäre schön gewesen, wenn dort stehen würde "Deaktiviere MFA für Verzeichnissynchronisierungsrolle" oder so Ist bereits anonym :)

Also Problem ist behoben. Ich hatte vergessen die Verzeichnissynchronisierungs Rolle aus der MFA Richtlinie auszunehmen. Jetzt klappt das! :)

Eigentlich schon. Also jeder hat MFA aktiviert. Ich habe die Security Defaults aktiviert. Ich versuche mal das neu erstellte Konto in die MFA Ausnahme zu packen

Hi, ich habe ein Problem mit dem AADC. Das alte wurde ja eingestellt. Also habe ich das alte deinstalliert, und wollte das Neue auf einem neuen Server installieren. Gesagt, getan. Nur ist jetzt das Problem, dass die Installation beim letzten Schritt, wenn er das Synchronisierungsdienstkonto in Azure erstellen will, einen Fehler bringt. 09:45:15.276] [ 28] [WARN ] Failed to read ServicePrincipal registry key: Fehler beim Ausführen des Befehls "Get-ItemProperty". Die Eigenschaft ServicePrincipal ist im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect nicht vorhanden. [09:45:15.357] [ 28] [INFO ] Creating new azure service account for sync installation 6f3b00ccaaf1402b97c0b7f9725b639e using global tenant admin adminaccount@domain.de. [09:45:15.805] [ 28] [INFO ] GetServiceAccount: successfully created a service account (Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com). Sleeping an initial backoff time to facilitate account propagation. [09:45:31.228] [ 28] [WARN ] GetServiceAccount: service account authorization failed for Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com. Waiting for account to be provisioned. Details: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 35c0e470-e300-49c2-8fa0-b0bde6d93601 Correlation ID: 07065cf0-d944-41c2-9463-9461c9ff61d7 Timestamp: 2024-04-25 07:45:31Z --- Ende der internen Ausnahmestapelüberwachung --- bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier) bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext) bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText) [09:50:37.343] [ 28] [ERROR] ConfigureSyncEngineStage: Caught exception while creating azure service account. [09:50:37.344] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: AADConnectResult.Status=Failed [09:50:37.345] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: Error details: Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.AzureADServiceAccountException: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben. ---> Microsoft.Identity.Client.MsalUiRequiredException: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 658ebcf0-d308-4ced-9d3d-1ee121562301 Correlation ID: 07d214f7-d151-4af3-98db-b8412dae742d Timestamp: 2024-04-25 07:50:22Z bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService azureService, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode, String& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError) bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException, Boolean throwExceptionOnMFAError) bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException) bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& additionalDetail, Boolean throwOnException) bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken() bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.InitializeProvisionHelper() bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Initialize() bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.GetCompanyConfiguration(Boolean includeLicenseInformation) bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier) --- Ende der internen Ausnahmestapelüberwachung --- bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier) bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext) bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText) [09:50:37.345] [ 28] [ERROR] ExecuteADSyncConfiguration: configuration failed. Skipping export of synchronization policy. resultStatus=Failed [09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Fehler beim Erstellen des Synchronisierungsdienstkontos in Azure AD: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben. [09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben. Kann es sein, dass ich erst das alte Konto entfernen muss? Der alte Server ist leider nicht mehr verfügbar, also kann ich von dort keine Config mehr exportieren. Ich habe die Set-MsolDirSyncEnabled –EnableDirSync $false. Ich denke, mal, dass wenn ich den ausführe, konvertiert er alle Synced accounts in Cloud Only und danach müsste ich doch wieder einen neuen AADC verbinden können. Stimmt das soweit? Habe ich etwas nicht beachtet? Geht es einfacher? Ich hoffe, jemand hatte sowas schonmal :)

Weil ich alleine bin und gerade keine Zeit habe (ERP und Zeiterfassung upgrade) mich um eventuelle Fehler die Auftreten zu kümmern. Oder empfiehlst du einen 2012er DC mit der Windows upgrage funktion einfach hoch zu ziehen? Bisher hieß es immer neu installieren und rollen übertragen

Weil halt Ich wollte erstmal die Zeit jetzt fixen, weil die Replikation der DHCP server Probleme gemacht hat. Warum der PDCe damals verschoben wurde kann ich nicht mehr genau sagen ;) Aber die DCs werden sowieso bald mal geupgraded und in dem Zug dann die FSMO Rollen auf den Server übertragen, der jetzt den PDCe beherbergt

Ding Ding Ding Ding Dankeschön! Das war's :)

Hi @testperson Das weiß ich ehrlich gesagt nicht mehr so wirklich. Es gab damals ein Problem mit der Zeit und da hatte ich rum experimentiert und mit der Konfig lief es dann. Die GPO ist schon so konfiguriert wie in der Anleitung Ich hab das schon richtig verstanden, dass die Clients ihre Zeit vom DC bekommen, an dem sie sich anmelden, richtig? Deswegen steht bei meinem Client auch "ADSRV" und nicht "ADSRV3" beim query C:\windows\system32>w32tm /query /status Sprungindikator: 0(keine Warnung) Stratum: 2 (Sekundärreferenz - synchr. über (S)NTP) Präzision: -23 (119.209ns pro Tick) Stammverzögerung: 0.0019048s Stammabweichung: 11.0863704s Referenz-ID: 0x0A0A0A0A (Quell-IP: 10.10.10.10) Letzte erfolgr. Synchronisierungszeit: 20.02.2024 11:29:22 Quelle: ADSRV.EK.de Abrufintervall: 11 (2048s) Problem ist halt, dass ADSRV2 im Gegensatz zu ADSRV seine Zeit von ADSRV3 bezieht. @zahni Die NT5DS wird in der GPO bereits geliefert Was ich halt nicht verstehe ist, warum lässt sich ADSRV nicht auf den ADSRV3 umstellen, so wie der ADSRV2?

Hi, ich habe drei DCs. Zwei der drei sind aktuell Zeitsynchron und zeigen auch die korrekte Zeit an. Der Dritte im Bunde (bzw. der erste DC, der auch alle FSMO Rollen, außer dem PDC Emulator, inne hat) weicht ab PS C:\Users\administrator.EK> w32tm /monitor ADSRV.EK.de[10.10.10.10:123]: ICMP: 0ms Verzögerung NTP: -75.4066869s Offset von ADSRV3.EK.de RefID: 'LOCL' [0x4C434F4C] Stratum: 1 ADSRV3.EK.de *** PDC ***[[fe80::ebc5:59fd:70e4:29f%13]:123]: ICMP: 0ms Verzögerung NTP: +0.0000000s Offset von ADSRV3.EK.de RefID: time1.uni-paderborn.de [131.234.220.231] Stratum: 2 ADSRV2.EK.de[10.10.10.11:123]: ICMP: 0ms Verzögerung NTP: -0.0104353s Offset von ADSRV3.EK.de RefID: ADSRV3.EK.de [10.10.10.12] Stratum: 3 [Warnung] Die Reversenamenauflösung ist die beste Möglichkeit. Sie ist ggf. nicht korrekt, da sich das Ref-ID-Feld in Zeitpaketen im Bereich von NTP-Implementierungen unterscheidet und ggf. keine IP-Adressen verwendet. Ausgabe auf dem DC, der falsch läuft (ADSRV) PS C:\Users\Administrator> w32tm /query /status Sprungindikator: 0(keine Warnung) Stratum: 1 (Primärreferenz - synchron. über Funkuhr) Präzision: -6 (15.625ms pro Tick) Stammverzögerung: 0.0000000s Stammabweichung: 10.0000000s Referenz-ID: 0x4C4F434C (Quellname: "LOCL") Letzte erfolgr. Synchronisierungszeit: 20.02.2024 10:01:49 Quelle: Free-running System Clock Abrufintervall: 6 (64s) PS C:\Users\Administrator> w32tm /query /peers Anzahl Peers: 1 Peer: Status: Ausstehend Verbleibende Zeit: 684.6799506s Modus: 0 (Reserviert) Stratum: 0 (nicht angegeben) PeerAbrufintervall: 0 (nicht angegeben) HostAbrufintervall: 0 (nicht angegeben) Ausgabe auf dem PDCE PS C:\Users\administrator.EK> w32tm /query /status Sprungindikator: 0(keine Warnung) Stratum: 2 (Sekundärreferenz - synchr. über (S)NTP) Präzision: -23 (119.209ns pro Tick) Stammverzögerung: 0.0242381s Stammabweichung: 0.0153879s Referenz-ID: 0x83EADCE7 (Quell-IP: 131.234.220.231) Letzte erfolgr. Synchronisierungszeit: 20.02.2024 10:06:49 Quelle: de.pool.ntp.org Abrufintervall: 7 (128s) PS C:\Users\administrator.EK> w32tm /query /peers Anzahl Peers: 1 Peer: de.pool.ntp.org Status: Aktiv Verbleibende Zeit: 7.8532854s Modus: 1 (Symmetrisch aktiv) Stratum: 1 (Primärreferenz - synchron. über Funkuhr) PeerAbrufintervall: 7 (128s) HostAbrufintervall: 7 (128s) PS C:\Users\administrator.EK> Ich habe schon versucht folgenden Befehl zu setzen: w32tm /config /update /manualpeerlist:ADSRV3 /syncfromflags:manual /reliable:yes Das quittiert er auch mit ok, aber er ignoriert es dann einfach und bleibt weiterhin auf local Wie kann ich den DC dazu bringen die Zeit vom PDC zu ziehen?

Schau ich mir auch mal an! Danke :)

Hi, die Clients sind mit 1 GBit und die Server mit 10 GBit angebunden. Switche sind Unifi Aggregation und die 48 Port POE

Ok! Alles klar. Dann werde ich mir das mal zu Gemüte führen :)

Ich hab kein Teaming :) Auf dem Server gibt's nur eine 10gbit fiber karte oder muss man das auch machen wenn es nur eine Karte ist?

Sooooooooo!!!!(da muss ich mal die Rudeltiere auspacken) Danke auf jeden Fall für den vielen und grandiosen Input bisher! Ich habe folgendes gemacht: Bisher scheint es gut zu laufen. Ich werde es definitiv beobachten! Danke für den wertvollen Hinweis. Alles andere werde ich mir in meinen Notizen niederschreiben um es zur hand zu haben falls mal wieder sowas ist ;) Ich werde auf jeden Fall nochmal Rückmeldung geben, ob's das jetzt war. Danke nochmal <3

Die IP kann in beide Richtungen aufgelöst werden C:\Users\name>nslookup tisowaresrv Server: adsrv2.ek.de Address: 10.10.10.11 Name: tisowaresrv.EK.de Address: 10.10.10.30 C:\Users\name>nslookup 10.10.10.30 Server: adsrv2.ek.de Address: 10.10.10.11 Name: tisowaresrv.ek.de Address: 10.10.10.30 auch der Server kann die Clients problemlos auflösen ich habe auch schon geprüft, ob einer der DNS Server eine falsche Auflösung macht. Aber in Forward und Reverse Lookup zones sind die richtigen Zuordnungen vorhanden Ich kann ja auch auf SMB problemlos über den Namen zugreifen. Ich glaube aber, dass das Thema nicht weit davon entfernt sein kann. ein seltsames Phänomen bei den Verknüpfungen habe ich nämlich ebenfalls. Es gibt je nach Programm verschiedene Verknüpfungen (Kommen / Gehen Erfassung und Betriebsdatenerfassung) Alle Verknüpfungen Laufen auf "\\TisowareSRV\tisoware$\......" Eine der Verknüpfungen lädt aber das Icon nicht. Das bleibt weiß. Wenn ich dann den Servernamen zur IP ändere, wird das Icon angezeigt. Wenn ich es wieder zurück ändere ist es wieder weg Ich habe gerade auch mal die IP und den Servernamen in die Hosts Datei eingetragen. Programm lädt aber auch nicht schneller.