Azure AD Connect und Windows Server 2012 R2

[testperson 1.677]

Hi,

 

in verschiedenen Umgebungen läuft AD Connect Version 1.6.16.0 noch auf Server 2012 R2 (und es gibt keine neueren Server OS). Hier verabschiedet sich sporadisch nach Reboots AD Connect und synchronisiert nicht mehr. Das Ergebnis von "Start-ADSyncSyncCycle -PolicType Delta" oder "Get-ADSyncScheduler" hängt komplett im Transcript an. Hier nur ein Auszug:

Start-ADSyncSyncCycle -PolicyType Delta
>> TerminatingError(Start-ADSyncSyncCycle): "System.Management.Automation.CmdletInvocationException: BAIL: MMS(19316): ..\xparse.cpp(339): 0x80070057 (Falscher Parameter.)
BAIL: MMS(19316): ..\ECMARegistry.cpp(26): 0x80070057 (Falscher Parameter.)
BAIL: MMS(19316): ..\ECMARegistry.cpp(91): 0x80070057 (Falscher Parameter.)
BAIL: MMS(19316): ..\ECMARegistry.cpp(174): 0x80070057 (Falscher Parameter.)
BAIL: MMS(19316): ..\server.cpp(9773): 0x80070057 (Falscher Parameter.)
Azure AD Sync 1.6.16.0 ---> System.InvalidOperationException: BAIL: MMS(19316): ..\xparse.cpp(339): 0x80070057 (Falscher Parameter.)
BAIL: MMS(19316): ..\ECMARegistry.cpp(26): 0x80070057 (Falscher Parameter.)
BAIL: MMS(19316): ..\ECMARegistry.cpp(91): 0x80070057 (Falscher Parameter.)
BAIL: MMS(19316): ..\ECMARegistry.cpp(174): 0x80070057 (Falscher Parameter.)
BAIL: MMS(19316): ..\server.cpp(9773): 0x80070057 (Falscher Parameter.)
Azure AD Sync 1.6.16.0
   bei Microsoft.DirectoryServices.MetadirectoryServices.UI.WebServices.MMSWebService.GetSchedulerSettings(String& settingsDeserialized, String& errorString)
   bei Microsoft.IdentityManagement.PowerShell.Cmdlet.GetADSyncScheduler.ProcessRecord()

___________________________________________________________

Get-ADSyncScheduler
>> TerminatingError(Get-ADSyncScheduler): "BAIL: MMS(25732): ..\xparse.cpp(339): 0x80070057 (Falscher Parameter.)
BAIL: MMS(25732): ..\ECMARegistry.cpp(26): 0x80070057 (Falscher Parameter.)
BAIL: MMS(25732): ..\ECMARegistry.cpp(91): 0x80070057 (Falscher Parameter.)
BAIL: MMS(25732): ..\ECMARegistry.cpp(174): 0x80070057 (Falscher Parameter.)
BAIL: MMS(25732): ..\server.cpp(9773): 0x80070057 (Falscher Parameter.)
Azure AD Sync 1.6.16.0"
Get-ADSyncScheduler : BAIL: MMS(25732): ..\xparse.cpp(339): 0x80070057 (Falscher Parameter.)
BAIL: MMS(25732): ..\ECMARegistry.cpp(26): 0x80070057 (Falscher Parameter.)
BAIL: MMS(25732): ..\ECMARegistry.cpp(91): 0x80070057 (Falscher Parameter.)
BAIL: MMS(25732): ..\ECMARegistry.cpp(174): 0x80070057 (Falscher Parameter.)
BAIL: MMS(25732): ..\server.cpp(9773): 0x80070057 (Falscher Parameter.)

 

Repariert bekommt man das ganze derzeit durch De- und Neuinstallation von AD Connect. Hat das hier schonmal jemand gesehen und einen dauerhaften Fix? Ich habe irgendwie automatische Updates von AD Connect im Verdacht, finde allerdings in den Logs nichts zu Updates. Habe dennoch einmal in einer Umgebung AutoUpgrades deaktiviert (Set-ADSyncAutoUpgrade -AutoUpgradeState Disabled).

 

Der MS Support hält derzeit daran fest, dass AD Connect (v2) nicht auf Server 2012 R2 supported ist. Es geht allerdings um die (aktuellste) v1 Version 1.6.16.0.

 

Vielen Dank und Gruß

Jan

 

PoSh_Transcript.txt

[Gerber 15]

Hey,

 

vor 29 Minuten schrieb testperson:

Der MS Support hält derzeit daran fest, dass AD Connect (v2) nicht auf Server 2012 R2 supported ist.

ist definitiv leider so. Du bekommst auch direkt beider Installation eine Fehlermeldung.

 

Hast du die AD Connect Software mal auf einem zweiten Server getestet (falls zur Verfügung)?

 

Grüße

[NorbertFe 2.034]

Er schreibt doch aber, dass er v1 verwendet und der ist auf 2012R2 supported.

[Gerber 15]

Jo. Er schreibt aber auch, dass Microsoft daran fest hält, was ich einfach nur bestätigt habe .
Nicht mehr. Ich habe nicht gesagt, dass er v1 nutzen soll, weil er es ja bereits nutzt ...

 

 

[NorbertFe 2.034]

stating the obvious. :)

[Gerber 15]

Gerade eben schrieb NorbertFe:

stating the obvious.

 

🎉🎉🎉

[testperson 1.677]

Mit der v2 ist das soweit ja klar und i.O., dass die nicht unter Windows Server 2012 R2 läuft. Allerdings lese ich hier (Azure AD Connect: Version release history | Microsoft Docs), dass die 1.1.16.0 / eine aktuelle 1.x bis 08/2022 supported ist:

Zitat

This is an update release of Azure AD Connect. This version is intended to be used by customers who are running an older version of Windows Server and cannot upgrade their server to Windows Server 2016 or newer at this time. You cannot use this version to update an Azure AD Connect V2.0 server.

This release is not supported on Windows Server 2016 or newer. This release includes SQL Server 2012 components and will be retired on August 31st 2022. You will need to upgrade your Server OS and AADConnect version before that date.

 

Allerdings steht ein bisschen weiter oben auf der oben verlinkten Seite (leider) auch:

Zitat

You need to make sure you are running a recent version of Azure AD Connect to receive an optimal support experience.

If you run a retired version of Azure AD Connect it may unexpectedly stop working and you may not have the latest security fixes, performance improvements, troubleshooting and diagnostic tools and service enhancements. Moreover, if you require support we may not be able to provide you with the level of service your organization needs.

 

Wobei die 1.6.16.0 ja erst ab 31.08.2022 "retired" ist..

[Gerber 15]

Ich habe jetzt erst gelesen, dass du dieses Problem in verschiedenen Umgebungen hast. 🙄

 

Ich konnte dies noch nicht feststellen. 

Haben auch noch sehr viele mit der v1 Version auf 2012 in Betrieb... 🤔

 

 

[testperson 1.677]

Ich war gestern scheinbar blind und habe heute (in Ruhe) auf einem "defekten System" unter "%programdata%\AADConnect" Logs gefunden. Da fängt das Problem mit der Komponente "InstalledADSyncPowerShellHelper" an. Da läuft dann während der Installation "Get-ADSyncScheduler" in den o.g. Fehler und das Log endet mit

InstalledADSyncPowerShellHelper Information: 904 : InstalledADSyncPowerShellHelper: exit code: 97.

 

Im nächsten Log fallen weitere PowerShell Scripte auf die Nase und die Deinstallation wird getriggered, die dann scheinbar diesen "unkonsistenten Zustand" hinterlässt.

 

Des Weiteren scheinen hier nur Windows Server 2012 R2 Domain Controller betroffen zu sein. Auf 2012 R2 Memberservern mit AD Connect funktioniert das AD Connect und auch die Updates. In den funktionierenden Umgebungen finden sich unter "%programdata%\AADConnect" verschiedene PowerShell Scripte die scheinbar heruntergeladen und ausgeführt werden. In den kaputten sind diese nicht zu finden. Im Log einer funktionierenden Umgebung wird später noch "https://login.microsoftonline.com" aufgerufen und siehe da auf einem 2012 R2 DC gibt es damit (im IE) Probleme. Schauen wir mal in dieser Richtung weiter..

[testperson 1.677]

Es werden scheinbar diese beiden (vier?) Cipher benötigt (welche im IIS Crypto Best Practice auf W2012 R2 nicht enthalten sind):

 

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
(TLS_DHE_RSA_WITH_AES_256_CBC_SHA)
(TLS_DHE_RSA_WITH_AES_128_CBC_SHA)

 

Zumindest hat das Update danach auf die neueste Build funktioniert nachdem ich auf einem System die 1.6.4.0 installiert hatte.

 

Mal abwarten, was beim nächsten Update passiert..