AD Connect SSL Zertifikatstausch ADFS Admin login fehlgeschagen

0cool
Goto Top
Hey Zusammen,

ich muss im voraus sagen, dass das SSL Zertifikat das getauscht werden soll abgelaufen ist. Das dies nicht passieren darf ist mir klar.

Zu der Umgebung:

Ein onPrem AD, mit einem ADFS (Mitgliedsserver) mit m365 Federated Service und dem Sync per AD Connect.
ADDC und ADFS laufen auf zwei Windows 2019 Servern.

Normaler weise ist so ein SSL Tausch über das Tool AD Connect nicht kompliziert. In diesem Fall bekomme ich bei der Eingabe der ADFS Admin Zugangsdaten den Fehler "Failed to Connect to the Primary ADFS Server".
Der User mit dem ich versuche mich anzumelden ist ein Enterprise Administrator. Username und Passwort trage ich per Copy und Paste, aus einem PW Manager, in die Login Maske ein. Also Username und Passwort müssen stimmen

Im Event Protokoll hab ich keinen verwertbaren Eintrag gefunden.

Meine Google suchen brachten nicht den gewünschten Erfolg.

Gibt es eine Möglichkeit das SSL Zertifikat direct im microsoft365 Tenant zu tauschen? per Power Shell oder im Tenant direkt?

Hat einer von euch eine Idee woran es liegen kann?


Gruß

0cool

Content-Key: 1764183673

Url: https://administrator.de/contentid/1764183673

Ausgedruckt am: 24.05.2022 um 16:05 Uhr

Mitglied: 7Gizmo7
7Gizmo7 26.01.2022 um 19:13:49 Uhr
Goto Top
Mitglied: 0cool
0cool 27.01.2022 um 17:57:24 Uhr
Goto Top
Hey 7Gizmo7,

danke das Du geantwortet hast. Den Artikel hatte ich auch gefunden und abgearbeitet, soweit es ging.

Mir ist auch inzwischen aufgefallen, das egal bei welcher Aktion zum ADFS bei dem ich das lokle ADFS Admin Konto benötige komme ich nicht weiter, da er das Passwort für den User nicht akzeptiert.
Fehler: Fehler "Failed to Connect to the Primary ADFS Server"

Meine Idee war, das ich das Zertifikat auf den Microsoft Tenant direkt lade, da das neue Zertifikat auf dem ADFS Serve schon getauscht wurde und nach meinem Verständnis nur noch das Zertifikat in Tenant hinterlegt werden muss damit der Sync wieder funktioniert.

Leider weiß ich nicht wie man das Zertifikate direkt am Tenant ohne AD Connect tauscht.

Könnt Ihr mir bitte weiterhelfen?

Gruß

0cool
Mitglied: 7Gizmo7
7Gizmo7 28.01.2022 um 12:20:21 Uhr
Goto Top
Hi,

was meinst du denn mit lokalen ADFS Konto , Das Dienstkonto ist doch entweder ein Domänen Konto oder ein gMSA, oder redest du von einem lokalen Konto auf dem WAP Server.



Hast du denn mal eine RDP Verbindung mit dem Konto. ADFS kann man mit jedem Domänenadministzrator machen.
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-co ...

Beim letzten Punkt zum Verifizieren des ADFS Login , kommt ein Fehler ?

Mit freundlichen Grüßen
Mitglied: 0cool
0cool 31.01.2022 aktualisiert um 14:18:48 Uhr
Goto Top
Hey,

mit dem lokalen ADFS Konto meine ich ein AD Account mit dem ich bei der Einrichtung des ADFS verwendet hatte.

Ja ich bin per RDP mit dem Server verbunden.

Zu Deiner letzten Frage ja, genau an der stelle kommt der Fehler.
Z.B. dieser Pfad im AD Connect: Managed federation / Managed certificates / Managed tasks / Update SSL / Connect to ADFS

Unter "Managed tasks" hab ich den Punkt "Update SSL" ausgewählt.

Es spielt aber keine Rolle ob ich das Zertifikat tauschen möchte oder ein anderen Punkt auswähle. Es scheitert immer an der Stelle "Connect to ADFS".

Noch eins was mich aufgefallen ist und ich gerne fixen würde. Die interne Seiten des ADFS verwenden das neue SSL Zertifikat nur die externen Seiten noch da abgelaufene Zertifikat.

Wenn noch fragen offen sind, beantworte ich diese gerne :-) face-smile

Ich würde mich freuen, wenn Ihr mir weiterhelfen würdet :-) face-smile


Gruß

0cool
Mitglied: 0cool
0cool 11.02.2022 um 09:56:21 Uhr
Goto Top
Hey Zusammen,

die externen Webseiten des ADFS sind wieder mit dem aktuellen Zertifikat erreichbar. Was immer noch nicht funktioniert, ist der Login im AD Connect mit dem OnPrem Domain Account.

Hat Jemand noch eine Idee?

Gruß

0cool