Azure AD Connect faalt - Principal ... was not found

Windows, Android, iOS, Linux, Chrome OS, ...
Plaats reactie
SpecialK
Elite Poster
Elite Poster
Berichten: 1374
Lid geworden op: 22 mei 2013, 09:04
Uitgedeelde bedankjes: 3 keer
Bedankt: 105 keer

Ik ben aan het proberen een lokale domaincontroller naar Azure AD te migreren.

De huidige domain controller is een Linux-machine met Samba 4.7 (Zentyal). Ik heb ondertussen een Windows 2008R2 als backup domain controller opgezet en de data van Samba geïmporteerd. Dat lijkt alvast gelukt; de reden waarom ik voor Windows 2008R2 gekozen heb is omdat hogere versies blijkbaar niet goed samenwerken met Samba als PDC. En ja, ik weet dat die EOL is, het is ook alleen maar voor de migratie.

Ik heb een Azure AD opgezet voor het domein in kwestie, voorlopig op domein.onmicrosoft.com. Ik ben Global administrator op die instance.
Ik heb Azure AD Connect geïnstalleerd op de Windows 2008 server. Ik heb mezelf lid gemaakt van de Enterprise Admins groep, want Samba kent dat concept niet en Azure AD Connect heeft dat nodig. Ik kan de wizard volledig doorlopen, maar bij het configureren faalt het proces met melding:
Unable to install the Synchronization Service. GetPrincipalBySamAccountName: Principal 'AAD_<key>' was not found.

Dan staat er de suggestie om de system & events logs te bekijken, maar daar staat niks relevants in. Er is online ook zeer weinig over te vinden. Enig idee waar ik moet gaan zoeken?
cyberbozzo
Premium Member
Premium Member
Berichten: 727
Lid geworden op: 27 sep 2007, 23:31
Uitgedeelde bedankjes: 23 keer
Bedankt: 25 keer

Waar staan uw FSMO rollen op (op de Zenytal of op de windows server)?
Op welke machine probeer je de AD Connect te installeren?

Ik zou iig zorgen dat de machine waarop je de aadconnect installeert, als logon server de Windows server gebruikt en niet de Zenytal (kan je bepalen door uw sites & services correct te installeren).

Voor de rest zou ik die Zenytal uitfaseren, en uw Windows DC als enige houden.
Wat is het domain functional level & forest functional level.

Probeer ook eens de credentials die je gebruikt om vanuit de AADConnect aan het domain te kunnen op een andere manier in te geven: [email protected] DOMAIN\adminuser of bijvoorbeeld domain.local\adminuser
SpecialK
Elite Poster
Elite Poster
Berichten: 1374
Lid geworden op: 22 mei 2013, 09:04
Uitgedeelde bedankjes: 3 keer
Bedankt: 105 keer

cyberbozzo schreef:Waar staan uw FSMO rollen op (op de Zenytal of op de windows server)?
Beiden ondertussen, in de Windows machine ben ik ook Enterprise admin, want die rol was er niet in Zentyal.
cyberbozzo schreef: Op welke machine probeer je de AD Connect te installeren?
Dat is op de Windows machine. Bij mijn weten is er geen AD Connect voor Zentyal. Als die er is, had ik mezelf een hoop tijd kunnen besparen door geen Windows DC te moeten opzetten :)
cyberbozzo schreef: Ik zou iig zorgen dat de machine waarop je de aadconnect installeert, als logon server de Windows server gebruikt en niet de Zenytal (kan je bepalen door uw sites & services correct te installeren).
Dat had ik ondertussen al eens aangepast, maar dat maakt blijkbaar geen verschil.
cyberbozzo schreef: Voor de rest zou ik die Zenytal uitfaseren, en uw Windows DC als enige houden.
Wat is het domain functional level & forest functional level.
Dat is het plan, al wil ik geen lokale Windows server meer maar wil ik Azure AD gebruiken. Als ik een Windows machine moet onderhouden kan ik evengoed die Zentyal blijven onderhouden :) Zowel domain als forest zijn ondertussen naar Windows 2008R2 geraised. Tot gisteren was Zentyal/Samba Windows 2003 functional level. Ook dat heeft niet geholpen.
cyberbozzo schreef: Probeer ook eens de credentials die je gebruikt om vanuit de AADConnect aan het domain te kunnen op een andere manier in te geven: [email protected] DOMAIN\adminuser of bijvoorbeeld domain.local\adminuser
[/quote]
Dat kan ik nog eens proberen, al betwijfel ik of het veel zal uithalen. AADConnect neemt beide usersnames (Azure en lokaal) correct aan. Toen ik nog geen member van Enterprise admin was weigerde de tool mijn credentials.
ITnetadmin
Elite Poster
Elite Poster
Berichten: 8445
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 164 keer
Bedankt: 618 keer

Iirc is Enterprise Admins gewoon een groep die domain admin rechten geeft maar zich repliceert over alle domains en subdomains in een forest.
Als je maar 1 domein hebt, zou dat dus niet veel mogen uitmaken.
Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 4854
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 153 keer
Bedankt: 332 keer
Contacteer:

Gebruik je tijdens de installatie misschien de standaard optie om een Managed Service account te gebruiken, want dat gaat niet. Met 2008R2 moet je je eigen service account op voorhand maken en opgeven tijdens de installatie. Tip, maak je abc account domain admin voor de install en kijk achteraf wat je moet geven.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
rpr
Pro Member
Pro Member
Berichten: 425
Lid geworden op: 03 jul 2008, 10:15
Uitgedeelde bedankjes: 4 keer
Bedankt: 9 keer

Op welk domain & forest functional level staat uw windows domein.
SpecialK
Elite Poster
Elite Poster
Berichten: 1374
Lid geworden op: 22 mei 2013, 09:04
Uitgedeelde bedankjes: 3 keer
Bedankt: 105 keer

Sasuke schreef:Gebruik je tijdens de installatie misschien de standaard optie om een Managed Service account te gebruiken, want dat gaat niet. Met 2008R2 moet je je eigen service account op voorhand maken en opgeven tijdens de installatie.
Euhm, wat? :) Bedoel je dan bij de installatie van Azure AD connect? DIe heeft wel wat gezeurd over Powershell 3.0, maar eenmaal alle dependencies geïnstalleerd waren installeerde die zonder enige hapering. Het is pas nadien dat het misloopt.
rpr schreef:Op welk domain & forest functional level staat uw windows domein.
Beiden Windows 2008R2.
Plaats reactie

Terug naar “Software en apps”