samrein
Goto Top

Azure AD-Connect

Guten Morgen,

da wir mittlerweile relativ viele O365 User im Einsatz haben, wollte ich das SSO mit Azure verwenden.

Das hat soweit alles funktioniert, die Erstsyncronisierung war tadellos, und die Benutzer können ohne weitere Kennworteingabe die O365 Palette benutzen.

Aber leider funktioniert die Syncroniserierung nicht wirklich. Hierzu hab ich im www einen Eintrag gefunden bei dem

O365 Sync Link

Hier gab es das Problem das SyncCycleEnabled auf false gesetzt war nach der Installation. Jetzt wollte ich das bei mir mal prüfen und habe gemerkt das ich nicht mal

Get-ADSyncScheduler

ausführen kann ohne Fehlermeldung. Hier bekomme ich einen Authentification Fehler. Für den AD Connect hab ich einen eigenen User angelegt der Berechtigungen im AD hat. Leider finde ich im Moment nichts hilfreiches und frage einfach mal hier nach?

Folgende Meldung erhalte ich hier:
Get-ADSyncScheduler : MSAL.Desktop.4.5.1.0.MsalClientException:
        ErrorCode: parsing_wstrust_response_failed
Microsoft.Identity.Client.MsalClientException: Federated service at https://autologon.microsoftazuread-sso.com/XXX.on
microsoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1d064ae26a71 returned error:
Authentication Failure ---> Microsoft.Identity.Client.MsalServiceException: Federated service at https://autologon.micr
osoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1
d064ae26a71 returned error: Authentication Failure
   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<PerformWsTrustMexExchangeAsync>d__5.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei
Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<FetchAssertionFromWsTrustAsync>d__4.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<ExecuteAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.RequestBase.<RunAsync>d__14.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.ApiConfig.Executors.PublicClientExecutor.<ExecuteAsync>d__5.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService
azureService, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode,
String& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService
azureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status,
Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService
azureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean
throwOnException)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService
azureService, String& additionalDetail, Boolean throwOnException)
   bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Init
ializeProvisionHelper()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Init
ialize()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.GetC
ompanyConfiguration(Boolean includeLicenseInformation)
   bei Microsoft.Azure.ActiveDirectory.Synchronization.AADConfig.get_CloudEnforcedSyncSchedulerInterval()
   bei Microsoft.MetadirectoryServices.Scheduler.SchedulerSettingUtilities.get_CurrentSchedulerSettings()
   bei SchedulerUtils.GetCurrentSchedulerSettings(SchedulerUtils* , _ConfigAttrNode* pcanList, UInt32 ccanItems,
Char** syncSettingsSerialized, Char** errorString)
Inner Excception: MSAL.Desktop.4.5.1.0.MsalServiceException:
        ErrorCode: federated_service_returned_error
Microsoft.Identity.Client.MsalServiceException: Federated service at https://autologon.microsoftazuread-sso.com/XXX.o
nmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1d064ae26a71 returned error:
Authentication Failure
   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
        StatusCode: 400
        ResponseBody: <?xml version="1.0" encoding="utf-8"?><S:Envelope xmlns:wsa="http://www.w3.org/2005/08/addressing"  
xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"  
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"  
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:wst="http://schemas.xmlsoap.org/ws/2005/02/trust"  
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Header><psf:pp xmlns:psf="http://schemas.microsoft.com/Passport/So  
apServices/SOAPFault"><psf:serverVersion>1</psf:serverVersion><psf:authstate>0x80048800</psf:authstate><psf:reqstatus>0  
x80048821</psf:reqstatus><psf:serverInfo
ServerTime="2021-12-23T06:59:23.7311231Z">ESTS-PUB-WEULR2-AZ2-FD072-001.ProdSlices  
rid:c14f7184-3f75-4f36-addb-d331af4b6d00</psf:serverInfo></psf:pp></S:Header><S:Body xmlns:S="http://www.w3.org/2003/05  
/soap-envelope"><S:Fault><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuthentication</S:Value></S:S  
ubcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication Failure</S:Text></S:Reason><S:Detail><psf:error xmlns  
:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internalerror  
><psf:code>0x80048821</psf:code><psf:text>AADSTS50034: The user account {EmailHidden} does not exist in the
XXX.onmicrosoft.com directory. To sign into this application, the account must be added to the
directory.</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault></S:Body></S:Envelope>
        Headers: Pragma: no-cache
X-Content-Type-Options: nosniff
x-ms-request-id: c14f7184-3f75-4f36-addb-d331af4b6d00
x-ms-ests-server: 2.1.12261.17 - WEULR2 ProdSlices
Cache-Control: no-store, no-cache
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"  
Set-Cookie: fpc=ArgDa8fn0NpHuNVE1vs5iQCWZLtQAQAAAEsVVtkOAAAA; expires=Sat, 22-Jan-2022 06:59:23 GMT; path=/; secure;
HttpOnly; SameSite=None, x-ms-gateway-slice=estsfd; path=/; secure; httponly, stsservicecookie=estsfd; path=/; secure;
samesite=none; httponly
Date: Thu, 23 Dec 2021 06:59:23 GMT
In Zeile:1 Zeichen:1
+ Get-ADSyncScheduler
+ ~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (Microsoft.Ident...ADSyncScheduler:GetADSyncScheduler) [Get-ADSyncScheduler]
   , InvalidOperationException
    + FullyQualifiedErrorId : MSAL.Desktop.4.5.1.0.MsalClientException:
        ErrorCode: parsing_wstrust_response_failed
    Microsoft.Identity.Client.MsalClientException: Federated service at https://autologon.microsoftazuread-sso.com/qub
   us.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1d064ae26a71 returne
  d error: Authentication Failure ---> Microsoft.Identity.Client.MsalServiceException: Federated service at https://
 autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca01
99-aba4-466e-aa3d-1d064ae26a71 returned error: Authentication Failure
   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<PerformWsTrustMexExchangeAsync>d__5.MoveNext
   ()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       bei Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<FetchAssertionFromWsTrustAsync>d__4.Mo
   veNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<ExecuteAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.RequestBase.<RunAsync>d__14.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.ApiConfig.Executors.PublicClientExecutor.<ExecuteAsync>d__5.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService azure
   Service, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode, S
  tring& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError)
       bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService az
   ureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status, Bo
  olean throwOnException, Boolean throwExceptionOnMFAError)
       bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService az
   ureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnExcept
  ion)
       bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService az
   ureService, String& additionalDetail, Boolean throwOnException)
   bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken()
       bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter
   .InitializeProvisionHelper()
       bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter
   .Initialize()
       bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter
   .GetCompanyConfiguration(Boolean includeLicenseInformation)
   bei Microsoft.Azure.ActiveDirectory.Synchronization.AADConfig.get_CloudEnforcedSyncSchedulerInterval()
   bei Microsoft.MetadirectoryServices.Scheduler.SchedulerSettingUtilities.get_CurrentSchedulerSettings()
       bei SchedulerUtils.GetCurrentSchedulerSettings(SchedulerUtils* , _ConfigAttrNode* pcanList, UInt32 ccanItems, C
   har** syncSettingsSerialized, Char** errorString)
Inner Excception: MSAL.Desktop.4.5.1.0.MsalServiceException:
        ErrorCode: federated_service_returned_error
    Microsoft.Identity.Client.MsalServiceException: Federated service at https://autologon.microsoftazuread-sso.com/qu
   bus.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1d064ae26a71 return
  ed error: Authentication Failure
   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
        StatusCode: 400
        ResponseBody: <?xml version="1.0" encoding="utf-8"?><S:Envelope xmlns:wsa="http://www.w3.org/2005/08/addressing"  
   xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://d  
  ocs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:wsp="http://schemas.xmlsoap.org/  
 ws/2004/09/policy" xmlns:wst="http://schemas.xmlsoap.org/ws/2005/02/trust" xmlns:S="http://www.w3.org/2003/05/soap  
-envelope"><S:Header><psf:pp xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:serverV  
ersion>1</psf:serverVersion><psf:authstate>0x80048800</psf:authstate><psf:reqstatus>0x80048821</psf:reqstatus><psf
:serverInfo ServerTime="2021-12-23T06:59:23.7311231Z">ESTS-PUB-WEULR2-AZ2-FD072-001.ProdSlices rid:c14f7184-3f75-4  
f36-addb-d331af4b6d00</psf:serverInfo></psf:pp></S:Header><S:Body xmlns:S="http://www.w3.org/2003/05/soap-envelope  
"><S:Fault><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuthentication</S:Value></S:Subcode></  
S:Code><S:Reason><S:Text xml:lang="en-US">Authentication Failure</S:Text></S:Reason><S:Detail><psf:error xmlns:psf  
="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internalerro  
r><psf:code>0x80048821</psf:code><psf:text>AADSTS50034: The user account {EmailHidden} does not exist in the XXX
.onmicrosoft.com directory. To sign into this application, the account must be added to the directory.</psf:text><
/psf:internalerror></psf:error></S:Detail></S:Fault></S:Body></S:Envelope>
        Headers: Pragma: no-cache
X-Content-Type-Options: nosniff
x-ms-request-id: c14f7184-3f75-4f36-addb-d331af4b6d00
x-ms-ests-server: 2.1.12261.17 - WEULR2 ProdSlices
Cache-Control: no-store, no-cache
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"  
    Set-Cookie: fpc=ArgDa8fn0NpHuNVE1vs5iQCWZLtQAQAAAEsVVtkOAAAA; expires=Sat, 22-Jan-2022 06:59:23 GMT; path=/; secur
   e; HttpOnly; SameSite=None, x-ms-gateway-slice=estsfd; path=/; secure; httponly, stsservicecookie=estsfd; path=/;
  secure; samesite=none; httponly
Date: Thu, 23 Dec 2021 06:59:23 GMT
,Microsoft.IdentityManagement.PowerShell.Cmdlet.GetADSyncScheduler


Azure ist für mich Neuland, ich frage mich, an welche Stelle hier die Berechtigung fehlt?


Grüße
Stefan

Content-ID: 1650875419

Url: https://administrator.de/contentid/1650875419

Printed on: November 12, 2024 at 10:11 o'clock

NixVerstehen
NixVerstehen Dec 23, 2021 at 11:47:46 (UTC)
Goto Top
Hi Stefan,

eigentlich ist AAD Connect recht komfortabel einzurichten. Ich kann mich aber nicht erinnern, ein "Service"-Konto manuell angelegt zu haben. Das Setup von AAD-Connect legt das Konto im lokalen AD als auch im Azure-AD automatisch an. AAD-Connect sollte auch nicht auf einem DC installiert werden.

Welchen M365-Plan nutzt ihr denn? Beim Business Standard z.B. geht kein Self-Service Kennwort Reset und du musst die User, die in M365 hinzugefügt werden sollen, im lokalen AD anlegen. Den Sync in die Cloud macht dann AAD Connect. Anders herum geht glaube ich erst mit den E-Plänen.

Gruß NV
samrein
samrein Dec 23, 2021 at 12:21:32 (UTC)
Goto Top
Hey NV,

danke für Deine Nachricht.

Das Setup hat auch problemlos funktioniert, auch die Anmeldedaten zu Azure und meinem AD funktionieren. Die Erst Syncronisierung war auch fehlerfrei.

Ich nutze die Azure Free Lizenz, das lediglich für die SSO Anmeldung verwendet werden kann. Die Benutzer haben Office 365 im Einsatz.

Normalerweise, so hab ich es verstanden läuft aber nach der Einrichtung der Sycronisierungsdienst, der Änderungen in der ausgewälten OU nach Azure übermittel.

Wenn ich die GUI vom Syncronisierungsdienst öffne und die Sycroniserung manuell anstarte läuft diese ebenfalls fehlerfrei durch und zeigt mir meine getätigten Änderungen auch an. Allerdings überträgt er diese nicht zu Azure.

Deshalb bin ich ja auf die Idee gekommen per Powershell mal die Einstellungen auszulesen. Und hier scheiterts bei mir.

Get-ADSyncScheduler > funktioniert nicht

Das scheint ein Problem mit der Authentifzierung zu sein, im Windows Event Log finde ich noch folgende Einträge, die Google Suche und MS haben mir bislang nicht weitergeholfen.

GetSecurityToken: unable to retrieve a security token for the provisioning web service (AWS). Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=f8ad77dd-04cd-4efc-a2c4-c8a27f78f13a returned error: Authentication Failure | Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=f8ad77dd-04cd-4efc-a2c4-c8a27f78f13a returned error: Authentication Failure. extendedMessage: Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=f8ad77dd-04cd-4efc-a2c4-c8a27f78f13a returned error: Authentication Failure | Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=f8ad77dd-04cd-4efc-a2c4-c8a27f78f13a returned error: Authentication Failure

Authenticate-MSAL: unexpected authentication failure [parsing_wstrust_response_failed].  Restarting AADC with /InteractiveAuth may help resolve this issue.  extendedMessage: Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=f8ad77dd-04cd-4efc-a2c4-c8a27f78f13a returned error: Authentication Failure | Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=f8ad77dd-04cd-4efc-a2c4-c8a27f78f13a returned error: Authentication Failure.

MSAL: (False) MSAL 4.5.1.0 MSAL.Desktop Microsoft Windows NT 6.2.9200.0 [12/23/2021 12:18:16 - 826c49dc-3d67-4778-aa99-5d75ba7ea29e] (UnknownClient: 0.0.0.0) Exception type: Microsoft.Identity.Client.MsalClientException
, ErrorCode: parsing_wstrust_response_failed
---> Inner Exception Details
Exception type: Microsoft.Identity.Client.MsalServiceException
, ErrorCode: federated_service_returned_error
HTTP StatusCode 400
CorrelationId 

   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
=== End of inner exception stack trace ===

   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<PerformWsTrustMexExchangeAsync>d__5.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<FetchAssertionFromWsTrustAsync>d__4.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<ExecuteAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.RequestBase.<RunAsync>d__14.MoveNext()

Die von Microsoft angegeben Seiten hab ich per GPO eingetragen ins lokale Intranet.

Grüße
Stefan
7Gizmo7
7Gizmo7 Dec 23, 2021 at 15:19:58 (UTC)
Goto Top
Hi,

Kannst du nochmal den Konfigurationassisten durchlaufen lassen ? Firewall Richtung Office 365 ist offen ?

Mit freundlichen Grüßen
spaceman127
spaceman127 Dec 23, 2021 at 16:57:37 (UTC)
Goto Top
Moin,

was für einen Benutzer hast du verwendet, um dich mit dem Azure AD zu verbinden?

Viele Grüße
René
NixVerstehen
NixVerstehen Dec 27, 2021 at 10:30:49 (UTC)
Goto Top
Moin,

klapper am Besten mal das HowTo von MS Schritt für Schritt durch, auch die zusätzlichen Links in dem Dokument:

AAD Connect - Benutzerdefinierte Installation

Wie du oben schon richtig erwähnt hast, sync't der Kram vollständig automatisiert, wenn richtig eingerichtet.
Ich rate mal noch ins Blaue...Modern Authentication im M365-Admincenter ist aktiviert?

Gruß NV
samrein
samrein Dec 29, 2021 at 07:28:33 (UTC)
Goto Top
Hallo zusammen,

danke erstmal für Euere Rückmeldungen.

der Konfigurationsassistenz läuft fehlerfrei durch. Als Benutzer hatte ich hier den Azure Admin account verwendet also.... admin@FIRMA.onmicrosoft.com

Werde mir heute aber auch nochmal das Dokument von AAD Connect reinziehen, vielleicht habe ich was übersehen.. ich meld mich dazu nochmal...

Hoffe Ihr habt frei zwischen den Tagen face-smile

Grüße
Stefan
samrein
samrein Dec 29, 2021 at 08:59:22 (UTC)
Goto Top
Ich habe in meinem AAD Connect einige Einstellungen gar nicht.

Die Seite im Anhang sehe ich erst gar nicht, Azure AD sign-in.

Ich hatte bei der Auswahl am Anfang die Benutzeranmeldung konfiguriert, siehe Bild 2, mit der Kennwort-Hashsyncroniseriung.
azure_2
azure_1
7Gizmo7
Solution 7Gizmo7 Dec 29, 2021 at 18:13:19 (UTC)
Goto Top
Kannst du mal dein Azure AD Connect als Admin starten ! Hast du die Express-Konfiguration gewählt ? eigentlich ja nicht, da Dienstkotno für AD verwendet.

Hast du denn im ersten Bild Konfiguration ändern gemacht beim Assistenten ?
samrein
Solution samrein Dec 30, 2021 at 07:41:46 (UTC)
Goto Top
Ja ich hatte Konfiguration ändern gemacht gehabt.

Ich hatte bei der Installation die Express-Einstellungen verwendet. Nach meinen gemachten Änderungen von gestern ist auch die ErstSyncronisierung in Richtung Azure wieder durchgelaufen. Es scheint aber so, als hätte das Dienstkonto ein Problem sich bei Azure zu authentifzieren.


Die Frage ist warum... ich deinstalliere Azure nochmal komplett und versuche es nochmal ohne die Expresseinstellungen...


Authenticate-MSAL: unexpected authentication failure [parsing_wstrust_response_failed].  Restarting AADC with /InteractiveAuth may help resolve this issue.  extendedMessage: Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=8b5d4c7a-54d1-4057-a132-369f0fb92676 returned error: Authentication Failure | Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=8b5d4c7a-54d1-4057-a132-369f0fb92676 returned error: Authentication Failure.
samrein
Solution samrein Dec 30, 2021 at 08:47:05 (UTC)
Goto Top
So, es lag tatsächlich am Dienstkonto. Man kann entweder ein eigenes verwenden oder von Azure eines erstellen lassen. Ich hatte ein eigenes verwendet gehabt, das sich nicht mit Azure verbinden konnte, obwohl es eigentlich vorhanden war. Da hat aber das SSO scheinbar nicht funktioniert.

Nachdem ich bei der Neuinstalltion dann eines hab erstellen lassen, funktioniert die Syncronisierung.

Danke

Viele Grüße
Stefan