Jump to content

AADC Problem (und Lösung?)

Gu4rdi4n

Von Gu4rdi4n
in Active Directory Forum

Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Gu4rdi4n Mentor

Gu4rdi4n   58

Geschrieben
Geschrieben (bearbeitet)

Hi,

 

ich habe ein Problem mit dem AADC.

 

Das alte wurde ja eingestellt. Also habe ich das alte deinstalliert, und wollte das Neue auf einem neuen Server installieren.

Gesagt, getan.

 

Nur ist jetzt das Problem, dass die Installation beim letzten Schritt, wenn er das Synchronisierungsdienstkonto in Azure erstellen will, einen Fehler bringt.

  

09:45:15.276] [ 28] [WARN ] Failed to read ServicePrincipal registry key: Fehler beim Ausführen des Befehls "Get-ItemProperty". Die Eigenschaft ServicePrincipal ist im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect nicht vorhanden.
[09:45:15.357] [ 28] [INFO ] Creating new azure service account for sync installation 6f3b00ccaaf1402b97c0b7f9725b639e using global tenant admin adminaccount@domain.de.
[09:45:15.805] [ 28] [INFO ] GetServiceAccount: successfully created a service account (Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com).  Sleeping an initial backoff time to facilitate account propagation.
[09:45:31.228] [ 28] [WARN ] GetServiceAccount: service account authorization failed for Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com.  Waiting for account to be provisioned.  Details: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 35c0e470-e300-49c2-8fa0-b0bde6d93601 Correlation ID: 07065cf0-d944-41c2-9463-9461c9ff61d7 Timestamp: 2024-04-25 07:45:31Z

  

   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier)
   bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext)
   bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText)
[09:50:37.343] [ 28] [ERROR] ConfigureSyncEngineStage: Caught exception while creating azure service account.
[09:50:37.344] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: AADConnectResult.Status=Failed
[09:50:37.345] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: Error details: Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.AzureADServiceAccountException: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben.   ---> Microsoft.Identity.Client.MsalUiRequiredException: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 658ebcf0-d308-4ced-9d3d-1ee121562301 Correlation ID: 07d214f7-d151-4af3-98db-b8412dae742d Timestamp: 2024-04-25 07:50:22Z
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService azureService, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode, String& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& additionalDetail, Boolean throwOnException)
   bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.InitializeProvisionHelper()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Initialize()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.GetCompanyConfiguration(Boolean includeLicenseInformation)
   bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier)
   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier)
   bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext)
   bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText)
[09:50:37.345] [ 28] [ERROR] ExecuteADSyncConfiguration: configuration failed.  Skipping export of synchronization policy.  resultStatus=Failed
[09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Fehler beim Erstellen des Synchronisierungsdienstkontos in Azure AD: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben.  
[09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben.

 

Kann es sein, dass ich erst das alte Konto entfernen muss?

Der alte Server ist leider nicht mehr verfügbar, also kann ich von dort keine Config mehr exportieren.

 

Ich habe die

Set-MsolDirSyncEnabled –EnableDirSync $false.

 

Ich denke, mal, dass wenn ich den ausführe, konvertiert er alle Synced accounts in Cloud Only und danach müsste ich doch wieder einen neuen AADC verbinden können.

 

Stimmt das soweit? Habe ich etwas nicht beachtet? Geht es einfacher?

 

Ich hoffe, jemand hatte sowas schonmal :)

 

 

 

bearbeitet von Gu4rdi4n
Link zu diesem Kommentar
Gu4rdi4n Mentor

Gu4rdi4n   58

Geschrieben
  • Autor
Geschrieben
Gerade eben schrieb NorbertFe:

Muss man quasi nur mal die Logfiles lesen. Du solltest Jans Ratschlag oben beherzigen und dein Log anonymisieren.

 

Ich gebe zu, ich hab das Logfile gelesen, aber nicht kapiert, was der von mir wollte. Hatte irgendwie eine Denkblockade ;)

Ich dachte, der will, dass ich das Konto in die MFA aufnehme. Ich muss aber auch sagen, eigentlich könnte Microsoft hier auch seine Requirements angeben.

Wäre schön gewesen, wenn dort stehen würde "Deaktiviere MFA für Verzeichnissynchronisierungsrolle" oder so 

 

Ist bereits anonym :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...