none
Fehler bei Testschritt bei Azure AD Connect Health-Agent für AD FS

    Frage

  • Hallo,

    ich habe die Version 3.0.68 von "Azure AD Connect Health-Agent für AD FS" auf Windows Server 2012 R2 installiert. Das Betriebssystem ist deutsch. Die Überwachung von AD FS funktioniert bis auf einen Testschritt auch. Bei Testschritt "TestAdfsRequestToken" kommt der Fehler "Latest Exception caught while requesting token: Der Benutzername oder das Kennwort ist falsch" (in "C:\ProgramData\Microsoft\AdHealthAgent\Adfs\DiagnosticsFiles\TestResults.xml") .

    In Ereignisprotokoll "Sicherheit" wird zeitgleich 5x der Anmeldeversuch von Anwendung "C:\Program Files\Azure Ad Connect Health Adfs Agent\Diagnostics\Microsoft.Identity.Health.Adfs.PshSurrogate.exe" aufgezeichnet. Allerdings wird wohl der Benutzername "NETWORK SERVICE" und "NT AUTHORITY" anstelle von "Netzwerkdienst" und "NT-AUTORITÄT" verwendet.

    Kennt jemand das Problem und gibt es dazu eine Lösung (außer die ADFS-Farm auf ein englisches Betriebssystem umzustellen)?

    Donnerstag, 17. August 2017 07:42

Antworten

  • Hallo Ivan,

    das Problem liegt wahrscheinlich beim Ausführungskontext der "Microsoft.Identity.Health.Adfs.SyntheticTransactions.dll" bei "Test-AdfsRequestTokenFromSelf".

    Ich habe in "ADFSDiagnostics.psm1" den Bereich rund um dieses Modul auskommentiert, so dass nur der Teil "Test-AdfsServerToken" verwendet wird. Dazu muss in Funktion "Test-AdfsServerToken" bei "Invoke-WebRequest" der Parameter "-UseBasicParsing" hinzugefügt werden. Jetzt laufen alle Tests erfolgreich durch und im Azure Portal werden die Active Directory Verbunddienste als "Healthy" angezeigt.

    Ich vermute, dass in der DLL die Lokalisierung des Betriebssystems nicht berücksichtigt wird.

    Mittwoch, 30. August 2017 10:38

Alle Antworten

  • Hallo Schloemer,

    Hast Du das Passwort für das globale Adminkonto in Microsoft Forefront Identity Manager neulich geändert? Wenn es eine Gesamtstruktur (Forest) gibt, kann es sein, dass die Credentials des Adminkontos Farm nicht eindeutig sind (d. h. es gibt ein gleichnamiges Adminkonto aus einer anderen Domäne und mit einem anderen Passwort unterscheidet)? Welche ID hat das Ereignis?

    Gruß,
    Dimitar


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 18. August 2017 07:26
    Moderator
  • Hallo Dimitar,

    das Kennwort wurde nicht geändert. Das Ereignis hat die ID 4625 (Anmelden).

    Montag, 21. August 2017 05:55
  • Hallo Schloemer,

    Bestimmte Browser oder Fiddler können nicht mit "erweitertem Schutz" arbeiten, es würde wiederholte Aufforderungen werfen, gefolgt von Zugriff verweigert. In diesem Fall hilft das Deaktivieren des "erweiterten Schutzes". Sieh Dir folgenden Blogeintrag an:
    Possible causes of Authentications failures for federated users in Office 365

    Gruß,

    Ivan Dragov


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 23. August 2017 13:17
    Moderator
  • Hallo Ivan,

    das Problem liegt wahrscheinlich beim Ausführungskontext der "Microsoft.Identity.Health.Adfs.SyntheticTransactions.dll" bei "Test-AdfsRequestTokenFromSelf".

    Ich habe in "ADFSDiagnostics.psm1" den Bereich rund um dieses Modul auskommentiert, so dass nur der Teil "Test-AdfsServerToken" verwendet wird. Dazu muss in Funktion "Test-AdfsServerToken" bei "Invoke-WebRequest" der Parameter "-UseBasicParsing" hinzugefügt werden. Jetzt laufen alle Tests erfolgreich durch und im Azure Portal werden die Active Directory Verbunddienste als "Healthy" angezeigt.

    Ich vermute, dass in der DLL die Lokalisierung des Betriebssystems nicht berücksichtigt wird.

    Mittwoch, 30. August 2017 10:38