AADC Problem (und Lösung?)

[Gu4rdi4n 53]

Hi,

 

ich habe ein Problem mit dem AADC.

 

Das alte wurde ja eingestellt. Also habe ich das alte deinstalliert, und wollte das Neue auf einem neuen Server installieren.

Gesagt, getan.

 

Nur ist jetzt das Problem, dass die Installation beim letzten Schritt, wenn er das Synchronisierungsdienstkonto in Azure erstellen will, einen Fehler bringt.

 

09:45:15.276] [ 28] [WARN ] Failed to read ServicePrincipal registry key: Fehler beim Ausführen des Befehls "Get-ItemProperty". Die Eigenschaft ServicePrincipal ist im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect nicht vorhanden.
[09:45:15.357] [ 28] [INFO ] Creating new azure service account for sync installation 6f3b00ccaaf1402b97c0b7f9725b639e using global tenant admin adminaccount@domain.de.
[09:45:15.805] [ 28] [INFO ] GetServiceAccount: successfully created a service account (Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com).  Sleeping an initial backoff time to facilitate account propagation.
[09:45:31.228] [ 28] [WARN ] GetServiceAccount: service account authorization failed for Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com.  Waiting for account to be provisioned.  Details: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 35c0e470-e300-49c2-8fa0-b0bde6d93601 Correlation ID: 07065cf0-d944-41c2-9463-9461c9ff61d7 Timestamp: 2024-04-25 07:45:31Z

 

   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier)
   bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext)
   bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText)
[09:50:37.343] [ 28] [ERROR] ConfigureSyncEngineStage: Caught exception while creating azure service account.
[09:50:37.344] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: AADConnectResult.Status=Failed
[09:50:37.345] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: Error details: Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.AzureADServiceAccountException: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben.   ---> Microsoft.Identity.Client.MsalUiRequiredException: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 658ebcf0-d308-4ced-9d3d-1ee121562301 Correlation ID: 07d214f7-d151-4af3-98db-b8412dae742d Timestamp: 2024-04-25 07:50:22Z
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService azureService, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode, String& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& additionalDetail, Boolean throwOnException)
   bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.InitializeProvisionHelper()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Initialize()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.GetCompanyConfiguration(Boolean includeLicenseInformation)
   bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier)
   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier)
   bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext)
   bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText)
[09:50:37.345] [ 28] [ERROR] ExecuteADSyncConfiguration: configuration failed.  Skipping export of synchronization policy.  resultStatus=Failed
[09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Fehler beim Erstellen des Synchronisierungsdienstkontos in Azure AD: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben.  
[09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben.  

 

Kann es sein, dass ich erst das alte Konto entfernen muss?

Der alte Server ist leider nicht mehr verfügbar, also kann ich von dort keine Config mehr exportieren.

 

Ich habe die

Set-MsolDirSyncEnabled –EnableDirSync $false.

 

Ich denke, mal, dass wenn ich den ausführe, konvertiert er alle Synced accounts in Cloud Only und danach müsste ich doch wieder einen neuen AADC verbinden können.

 

Stimmt das soweit? Habe ich etwas nicht beachtet? Geht es einfacher?

 

Ich hoffe, jemand hatte sowas schonmal :)

 

 

 

bearbeitet 26. April von Gu4rdi4n

[NorbertFe 1.812]

Nein das ist egal, aber ich lese da was von mfa enrollment. Bist du da denn durch?

[Gu4rdi4n 53]

Eigentlich schon.

Also jeder hat MFA aktiviert. Ich habe die Security Defaults aktiviert.

 

Ich versuche mal das neu erstellte Konto in die MFA Ausnahme zu packen

[testperson 1.539]

@Gu4rdi4n: Ggfs. anonymisierst du den ersten Codeblock noch.

[Gu4rdi4n 53]

Also Problem ist behoben. 

 

Ich hatte vergessen die Verzeichnissynchronisierungs Rolle aus der MFA Richtlinie auszunehmen.

 

Jetzt klappt das! :)

[NorbertFe 1.812]

Muss man quasi nur mal die Logfiles lesen. Du solltest Jans Ratschlag oben beherzigen und dein Log anonymisieren.

[Gu4rdi4n 53]

Gerade eben schrieb NorbertFe:

Muss man quasi nur mal die Logfiles lesen. Du solltest Jans Ratschlag oben beherzigen und dein Log anonymisieren.

 

Ich gebe zu, ich hab das Logfile gelesen, aber nicht kapiert, was der von mir wollte. Hatte irgendwie eine Denkblockade ;)

Ich dachte, der will, dass ich das Konto in die MFA aufnehme. Ich muss aber auch sagen, eigentlich könnte Microsoft hier auch seine Requirements angeben.

Wäre schön gewesen, wenn dort stehen würde "Deaktiviere MFA für Verzeichnissynchronisierungsrolle" oder so 

 

Ist bereits anonym :)

[NorbertFe 1.812]

Die Domain ist nicht anonym:

using global tenant admin adminaccount@