[English]Noch eine Kurzinformation, die mir die Tage im Blog unter die Augen gekommen ist. Microsoft löst Azure AD Sync zum September 2024 durch Microsoft Entra Connect (früher Entra AD Sync) ab. Wer diese Synchronisationssoftware ab v2.3.20.0 auf seinen Windows-Systemen installiert, sollte darauf achten, dass diese TLS 1.2 unterstützen. Andernfalls gibt es Probleme.
Anzeige
Microsoft Entra Connect ersetzt Azure AD Sync
Blog-Leser Stefan F. meldete sich mit diesem Kommentar zum Blog-Beitrag Microsoft Azure: Ab 15. Oktober 2024 MFA für Administratoren verpflichtend, aber "Aufschub" möglich. Dort teilte er mit, dass er im Microsoft Admin Center für Azure den Hinweis gesehen habe, dass Azure AD Sync bis zum September 2024 durch Entra AD Sync abgelöst werden soll.
Ein weiterer Hinweis aus dem MS Admin Center ist die Ablösung des Azure AD Sync durch Entra AD Sync zum September. Ohne im Augenblick direkten Zugriff zu haben frei aus dem Gedächnis:
"Es könnten einige Dinge nicht mehr richtig funktionieren, wenn Sie nicht auf die aktuelle Version aktualisieren."
Microsoft Entra Connect Sync ist der Nachfolger von DirSync und Azure AD Sync. Die Microsoft Entra Connect Synchronisationsdienste (Microsoft Entra Connect Sync) sind eine Hauptkomponente von Microsoft Entra Connect. Die Komponente kümmert sich um alle Vorgänge, die mit der Synchronisierung von Identitätsdaten zwischen einer lokalen Umgebung und Microsoft Entra ID verbunden sind, wie Microsoft im Supportbeitrag Microsoft Entra Connect Sync: Understand and customize synchronization schreibt.
Probleme mit Microsoft Entra Connect v2.3.20.0
Stefan hat nun in Vorbereitung zur oben erwähnten Azure AD Sync-Ablösung Microsoft Entra Connect 2.3.20.0 auf einem seiner Windows Server 2019-Systeme installiert und ist in Probleme gelaufen. Dazu schrieb er:
Wir hatten parallel mit unserem IT-Dienstleister am Freitag die aktuelle Version 2.3.20 eingespielt. Seitdem funktioniert die Sync nach AAD sowohl beim Dienstleister als auch bei uns nicht mehr.
Zum konkreten Fehler findet man auch wenig im Netz. Im Sync Manager wird irgendein Status, der auf einen dll-Fehler hinweisen könnte, geloggt. Im Eventlog findet sich eine Exception-Kaskade.
Die Netzwerkverbindung und auch die Authentifizierung konnte Stefan nach Tests als Fehlerursache ausschließen. Dienstleister und Stefan haben dann jeweils Tickets bei Microsoft zu obigem Problem eröffnet. Der Leser meinte zum Abschluss des Kommentars: "Kurzum: Ich würde aktuell davon abraten die Version 2.3.20.0 auszurollen."
Anzeige
Ursache: Es wird TLS 1.2 benötigt
In einem Folgekommentar hat Stefan sich erneut gemeldet, weil er inzwischen auf den Grund für die Probleme mit Microsoft Entra Connect v2.3.2 gestoßen ist. Dazu schrieb er: "Entra AD Connect benötigt zwingend TLS 1.2." Microsoft hat das zum 21. Juli 2024 im Supportbeitrag TLS 1.2 enforcement for Microsoft Entra Connect beschrieben. Dort heißt es zu Microsoft Entrag Connect:
Important: Version 2.3.20.0 or later requires TLS 1.2. Ensure that you have TLS 1.2 enabled before updating to this version.
Note: All versions of Windows Server that are supported for Microsoft Entra Connect V2.0 already default to TLS 1.2. If TLS 1.2 is not enabled on your server you will need to enable this before you can deploy Microsoft Entra Connect V2.0.
Bei Windows Server 2022 ist TLS 1.2 standardmäßig aktiviert. Aber bei dem von Stefan verwendeten Windows Server 2019 ist TLS 1.2 halt standardmäßig deaktiviert, und es gibt Probleme.
Anzeige
Hatten wir auch. Hier die Fehlerbehebung.
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-install-prerequisites#enable-tls-12-for-microsoft-entra-connect
Die hätten das mal besser in den Installer gepackt.
Hallo, wir hatten auch das Problem mit TLS auf einem 2016er Server. Die Fehlermeldung war nicht wirklich aussagekräftig (seitens Azure Update Tool) aber mithilfe des PowerShell Befehls "[Net.ServicePointManager]::SecurityProtocol" wurde schnell klar, dass wir eine alte Version von TLS einsetzen.
mithilfe von dem PowerShell Befehl "Invoke-WebRequest -Uri
https://adminwebservice.microsoftonline.com/ProvisioningService.svc" kann man herausfinden, ob er die Verbindung aufbauen kann. Falls hier ein Fehler zurückkommt, gehts nicht.
wir haben den einen Registry-Wert gesetzt und konnten (ohne Reboot) das Programmupdate durchführen. nun läuft wieder alles.
Soweit ich informiert bin, updatet sich das Tool selbstständig.
Hat jemand schon Erfahrungen ob es das in dem Versionssprung auch tut, vor allem auch, wenn kein TLS 1.2 aktiviert ist?
Dann stünde man nämlich plötzlich auch recht überrascht da.
Ich bin übrigens beim manuellen updaten in die selbe Falle mit TLS gelaufen. Man sucht ja nicht unbedingt nach dem Versionsverlauf sondern eigentlich nur nach der aktuellesten Setup Datei. Dort steht dann noch nichts von TLS dabei. Es folgt auch keine Vorab Prüfung dazu wenn man das Setup startet.
Hätte man schöner lösen können seitens MS.
so ist es
Die Fehlermeldung hatten wir in unserem Tenant nicht, jedoch ist die 2.3.20.0 nicht für das automatische Update freigegeben – was ich bei der TLS-Problematik auch verstehen kann.
TLS 1.2 hatten wir vor einiger Zeit auf dem Connect-Server aktiviert, weshalb das Update auf 2.3.20.0 ohne jegliche Probleme durchlief; Okay, mal von Perflib (Ereignis 1022) abgesehen, was uns jedoch nicht wirklich tangiert.
Aber egal, die Fehlermeldung wird erstmal ignoriert.
Interessant ist sicherlich folgender Link: https://learn.microsoft.com/de-de/entra/identity/hybrid/connect/reference-connect-version-history
Es erstaunt mich, das man in 2024 noch in die TLS-Problematik läuft.
Ich verstehe nicht, warum man nicht schon lange TLS 1.2 aktiviert hat und TLS 1.0/1.1 abgeschaltet hat!
Schon Server 2008/Windows Vista unterstützt TLS 1.2!
Hier gibt es seit vielen Jahren nur noch TLS 1.2, alles andere ist deaktiviert.
Auch unsichere Cipher und Hash-Algorithmen sollte man deaktiveren.
Als Cipher sollte nur noch AES128 und 256 aktiviert sein, nichts anderes!
Und bei den Hashes sollte z.B. MD5 deaktiviert sein und SHA 256/384/512 aktiviert sein.
HKLM\System\CurrentControlSet\Control\Security Providers\SCHANNEL
und besser auch nur GCM und kein CBC mehr
Ich verstehe so recht das Problem nicht?
TLS1.2 ist seit Windows 8/2012 non R2 per default aktiv.
Das heist, das ist sehr wahrscheinlich nicht das Ursprungsproblem.
Möglicherweise haben die betroffenen durch Überbleibsel in ihrer Umgebung irgendwo noch veraltete/falsche Settings drin stehen? Die dann durch irgendwelche GPOs oder verteilt gesetzte Registry Werte die default Settings überschreiben?
Es ist leider so, dass die Settings in der Registry per default gar nicht drin stehen – sprich man sieht erstmal nicht von außen was der Standard ist. Erst wenn man es rein schreibt wird erzwungen was man rein schreibt.
Weiterhin sollte man prüfen ob die TLS Settings auch für die .NET Komponenten stimmen. Auch hier ist meines Wissens nach seit 8/2012 TLS1.2 supportet.
Falls wer auch nen Exchange OnPrem nutzt und das Health Checker Script nutzt – ohne manuell gesetzte TLS Settings auf dem Exchange Host bspw. meckert das Script, dass da nix steht. Die default Einstellungen greifen hingegen dennoch. -> nicht dass hier einfach die betroffenen irgendwann mal irgendwas eingedreht haben und jetzt über nicht mehr aktuelle Settings stolpern?
Wer seit Vista/2008 bis 7 bis 2008R2 TLS1.2 wollte, musste es manuell aktivieren. Die Settings die damals üblich waren sind teilweise heute nicht mehr üblich bzw. nicht vollends kompatibel mit aktuellen Empfohlenen Dingen.
Auflistung bei MS direkt zu den Standard Einstellunge:
https://learn.microsoft.com/en-us/windows/win32/secauthn/protocols-in-tls-ssl–schannel-ssp-
Da muss ich mal etwas korrigieren. Nein, es ist sind keine Überbleibsel oder falsche Einstellungen aus der Vergangenheit. Man kann ein beliebiges Serverbetriebsystem (offensichtlich sogar bis 2022) out-of-the-box nehmen und man wird diese Einstellungen vorfinden.
Es ist auch keine Frage, ob TLS 1.2 unterstützt wird, sondern ob es als Standard genutzt wird. Die obige Liste zeigt eben nicht den Standard, sondern nur die unterstützten Versionen. Man könnte natürlich davon ausgehen, dass von MS geschriebene Software dann auch gezielt TLS 1.2 nutzt, und nicht den Standard des OS.
Wie hier auch schon jemand geschrieben hat, werden hier eigentlich nicht Einstellungen am OS verändert, sondern am .Net Framework. Inwiefern das auseinanderdividierbar ist, sei mal dahingestellt. Aber da wird auch der Grund für die, sagen wir mal freundlich ausgedrückt, konservativen Standardeinstellungen liegen. Möglicherweise man macht damit 3rd Party Software kaputt. Daher finde ich Vorschläge wie diese Einstellungen per GPO an eine bestehende Serverlandschaft zu schicken mindestens wagemutig. Es ist aber bestimmt eine gute Idee das für neue Servertemplates zu setzen.
Also ist das Problem eigentlich gar kein Problem, denn wenn man die aktuellen technischen Defaults nutzt funktioniert es auch.
Mich irritiert viel mehr der Bezeichnungsirrsinn.
Früher hatte ich hier
DirSync
mittlerweile ist es
Azure AD Connect (v2.3.6.0)
nun hatte ich ebenfalls die Hinweise auf Entra AD Connect gesehen, verstehe aber nicht ob hier etwas zu tun ist, denn einerseits aktualisiert sich das gute Ding selbstständig (zuletzt am 23.02.2024) und andererseits kann ich von Microsoft zwar die v2.3.20.0 herunterladen:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Diese trägt aber die nette Bezeichnung:
AzureADConnect.msi
Das ist ja bereits installiert.
Also heißt es nun offiziell von Microsoft einfach nur Entra statt Azure und der Syncservice ist einfach noch das identische Programm und es muss gar kein Upgrade oder eine Neukonfiguration stattfinden.
Grüße
ToWa
Eines der Dinge, die ich satt habe bei Microsoft, sind die ständigen Neu- bzw. Umbenennungen. Das ist so zum Kotzen. Das Geld der Qualitätssicherung ist komplett ins Marketing gegangen.
Ich sehe da auch nicht ganz durch – habe aber folgenden Absatz gefunden:
Alle Versionen, die älter als Microsoft Entra Connect V2 sind, sind derzeit veraltet. Weitere Informationen finden Sie unter Einführung in Microsoft Entra Connect V2. Derzeit kann ein Upgrade von einer beliebigen Microsoft Entra Connect-Version auf die aktuelle Version durchgeführt werden. Direkte Upgrades von DirSync oder ADSync werden nicht unterstützt, stattdessen ist eine Swingmigration erforderlich. Wenn Sie ein Upgrade von DirSync durchführen möchten, lesen Sie den Abschnitt Upgrade des Azure AD Sync-Tools (DirSync) oder den Abschnitt Swing-Migration.
Quelle: https://learn.microsoft.com/de-de/entra/identity/hybrid/connect/how-to-upgrade-previous-version