Azure IT

Azure – Pass through Authentication with Azure AD Sync does not work

Problem

Azure AD Sync ist mit Password Hash Synchronisation konfiguriert und funktioniert soweit auch. Nun wird das Sign-In von PW Hash Sync auf Pass-through authentication gewechselt. Der Wirzard schliesst ohne Fehler ab. Im Azure AD Portal wird angzeigt das Pass-Throug aktiv ist.

Die Benutzer können sich aber nicht mehr an den Cloud Services anmelden. Nach Eingabe von User/Pw erscheint wieder das Login Fenster. Der Benutzer erhält keinen Error.

Im Azure Portal wird der Server, auf welchem der Azure Authentication Agent Service läuft gelistet, aber als Inaktiv markiert.
Auf dem Server selber im Eventlog unter AzureADConnect -> AuthenticationAgent gibt es diverse Error Events

Error 12019: The Connector stopped working because the client certificate is not valid. Uninstall the Connector and install it again. Request ID:xxxxx

Das entsprechende Zertifikat ist im Computer Zertifikats store vorhanden. (CN = HISconnectorRegistrationCA.msappproxy.net)

Im Trace log auf dem Server (Pfad %programdata%\Microsoft\Azure AD Connect Authentication Agent\Trace\) ist folgendes ersichtlich:

AzureADConnectAuthenticationAgentService.exe Error: 0 : Service bootstrap request failed with exception: ‘System.ServiceModel.Security.MessageSecurityException: The HTTP request was forbidden with client authentication scheme ‘Anonymous’. —> System.Net.WebException: The remote server returned an error: (403) Forbidden.

 

Lösung

Der Agent kann keine korrekte Verbindung in die MS Cloud aufnehmen. Hier versucht er über den Proxy ins internet zu verbinden, sollte den Proxy aber umgehen und direkt via Firewall Rule ins internet connecten. Die Proxy konfiguration wurde auf dem Server disabled (Internet Settings im Control Panel) und auch im WPAD file wurde die IP des Servers zur Ausnahme hinzugefügt. Trotzdem verbindet der Agent über den Proxy. Dies kann am einfachsten via Resource Monitor auf dem Server geprüft werden:

Damit der Agent nicht mehr über den Proxy verbindet, muss das entsprechende Config File angepasst werden. Für den Authentication Agent ist diese File hier zu finden

C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe.config

Das config file mit dem Editor öffnen und folgende Zeilen eintragen:

<?xml version=”1.0″ encoding=”utf-8″?>
<configuration>
<system.net>
<defaultProxy enabled=”false”></defaultProxy>
</system.net>
<runtime>
<gcServer enabled=”true”/>
</runtime>
<appSettings>
<add key=”TraceFilename” value=”AzureADConnectAuthenticationAgent.log”/>
</appSettings>
</configuration>

Nun den Service “AzureADConnectAuthenticationAgent” neu starten.

Im Eventlog werden die zuvor genannten Errors nicht mehr geloggt. Prüft man die TCP Connections, so sieht dies nun so aus:

Im Azure AD wird der Server nun auch als Active gelistet.