none
AD FS - Umstellung zweiter Domäne auf Federated - Login funktioniert nicht RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo, 

    in unserer Umgebung sind neben den zwei Standard Domänen in Office 365 noch zwei weitere Domänen vorhanden. Dabei handelt es sich um die Domänen t***.com und c***.de.

    User mit dem UPN Suffix *@t***.com werden zum Login in Office365 Produkte korrekt über unsere AD FS Farm geleitet. 

    Bei *@c***.de handelt es sich um kürzlich migrierte User aus einem anderen AD. Zur Migration der User wurde ein Trust von unserer zu der nicht mehr existierenden Domäne c***.local aufgebaut. Dieser Trust existiert nicht mehr. Der Login der User mit dem UPN Suffix *@c***.de erfolgt zurzeit via Azure Active Directory (nicht über AD FS). Dazu ist im AD Connect die Password Hash Synchronisierung aktiviert. 

    Der Trust zwischen der Quell- und Zieldomäne existiert nicht mehr. Alle User liegen in dem gleichen AD.

    Wir möchten den Login für alle User vereinheitlichen, dazu haben wir die Domäne c***.de via PowerShell von Managed auf Federated umgestellt.  Das gelang uns auch erfolgreich. Ebenso wurde die Password Hash Synchronisierung ausgeschaltet. Leider funktioniert der Login auf portal.office.com von Usern mit *@c***.de UPN Suffix danach nicht mehr. Nach der Eingabe des Usernamens mit @c***.de Adresse leitet die Webseite korrekt auf den AD FS Server weiter. Nach der Eingabe des korrekten Passwortes kommt allerdings die Fehlermeldung: Ihr Konto oder Kennwort ist nicht korrekt (siehe Screenshot). Der Login funktioniert nach mehreren AD Connect Synchronisierungen weiterhin nicht. Das User Objekt wurde überprüft aber keine Auffälligkeiten wurden festgestellt. 

    Damit die User wieder arbeiten können wurde die Domäne c***.de via PowerShell zurück auf Managed gestellt und die Passwort Synchronisierung angestoßen
    Wir haben bereits mit unserem Microsoft Partner gesprochen, der uns dazu geraten hat ein Microsoft Ticket zu öffnen.

    Ich freue mich über Hilfe.

    Viele Grüße!

    Dienstag, 30. Juli 2019 13:38
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Moin mawatm,

    Frage doch mal Deinen MS Partner, wie er ADFS damals eingerichtet hat? Für die Aktivierung einer Federation gibt es den switch -SupportMultipleDomains im Powershell Befehl. Wird dieser nicht verwendet, dann muss das erst korrigiert werden.

    Zusätzlich sind natürlich auch Änderungen am ADFS notwendig, damit er die zusätzlichen UPNs (der Domain c***.de) akzeptiert und die entsprechenden SAML Token ausstellt.

    In aktuellen AzureADConnect Versionen zusammen mit aktuellen ADFS Versionen kann man auch den Konfigurationsassistenten nutzen, dieser übernimmt auch die Anpassung des ADFS. Hier solltet Ihr aber vorsichtig sein, wenn Ihr spezielle Anpassungen am ADFS gemacht habt. (Manuelle Relaying Party Trusts, Conditional Access Einstellungen).

    Wenn man hier Fehler macht, dann kann man schnell den Zugriff auf alle Dienste abschalten.

    Viele Grüße Malte

    Donnerstag, 1. August 2019 06:53
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Malte,

    danke für deine Antwort. Der SupportMultipleDomains Switch wurde vorher durch den Update Befehl (Update-MsolFederatedDomain -DomainName t***.com -SupportMultipleDomain) gesetzt.

    Zusätzlich sind natürlich auch Änderungen am ADFS notwendig, damit er die zusätzlichen UPNs (der Domain c***.de) akzeptiert und die entsprechenden SAML Token ausstellt.

    Welche Änderungen meinst du genau?

    Ich habe mich an die Anleitung "ADFS mit mehreren UPN Domains" von msxfay gehalten. (Sorry leider darf ich noch keine Links oder Bilder posten, da mein Account noch nicht geprüft wurde).

    Danke und viele Grüße, 

    Marcel


    • Bearbeitet mawatm Donnerstag, 1. August 2019 13:48
    Donnerstag, 1. August 2019 13:45
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Moin,

    Frank schreibt in der Beschreibung "Ich hatte damit aber nicht immer erfolgt, da die ADFS-ClaimRules anscheinend nicht immer angepasst werden."

    Das bedeutet, die Änderung der MSOLDomain muss auch eine Anpassung der Claim Rules auf dem ADFS Server auslösen und umsetzen.

    Hast Du die Claim Rules vor der Umstellung der zweiten MSOLDomain auf Federation verglichen mit den Claim Rules nach der Umstellung?
    Das Konvertieren einer MSOLDomain, teilt den Cloud Services ja nur mit, dass für die Authentifizierung ein externes System zuständig ist.

    Welche AD FS Version habt Ihr im Einsatz? 

    2.0 / 3.0 ?

    Gruß Malte

    Freitag, 2. August 2019 07:36
    |