Ad-Azure Sync Authentificaton Error

Question

Good morning,

Since we now have a relatively large number of O365 users in use, I wanted to use the SSO with Azure.

So far everything has worked, the initial synchronization was flawless, and users can use the O365 palette without having to enter another password.

But unfortunately the synchronization doesn't really work.

Get-ADSyncScheduler

can run without error message. Here I get an authentication error. For the AD Connect I have created a separate user who has access rights in the AD. Unfortunately I can't find anything helpful at the moment and just ask here?

I get the following message here:

Get-ADSyncScheduler : MSAL.Desktop.4.5.1.0.MsalClientException:
        ErrorCode: parsing_wstrust_response_failed
Microsoft.Identity.Client.MsalClientException: Federated service at https://autologon.microsoftazuread-sso.com/XXX.on
microsoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1d064ae26a71 returned error:
Authentication Failure ---> Microsoft.Identity.Client.MsalServiceException: Federated service at https://autologon.micr
osoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1
d064ae26a71 returned error: Authentication Failure
   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<PerformWsTrustMexExchangeAsync>d__5.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei
Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<FetchAssertionFromWsTrustAsync>d__4.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<ExecuteAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.RequestBase.<RunAsync>d__14.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.ApiConfig.Executors.PublicClientExecutor.<ExecuteAsync>d__5.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService
azureService, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode,
String& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService
azureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status,
Boolean throwOnException, Boolean throwExceptionOnMFAError)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService
azureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean
throwOnException)
   bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService
azureService, String& additionalDetail, Boolean throwOnException)
   bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Init
ializeProvisionHelper()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Init
ialize()
   bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.GetC
ompanyConfiguration(Boolean includeLicenseInformation)
   bei Microsoft.Azure.ActiveDirectory.Synchronization.AADConfig.get_CloudEnforcedSyncSchedulerInterval()
   bei Microsoft.MetadirectoryServices.Scheduler.SchedulerSettingUtilities.get_CurrentSchedulerSettings()
   bei SchedulerUtils.GetCurrentSchedulerSettings(SchedulerUtils* , _ConfigAttrNode* pcanList, UInt32 ccanItems,
Char** syncSettingsSerialized, Char** errorString)
Inner Excception: MSAL.Desktop.4.5.1.0.MsalServiceException:
        ErrorCode: federated_service_returned_error
Microsoft.Identity.Client.MsalServiceException: Federated service at https://autologon.microsoftazuread-sso.com/XXX.o
nmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1d064ae26a71 returned error:
Authentication Failure
   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
        StatusCode: 400
        ResponseBody: <?xml version="1.0" encoding="utf-8"?><S:Envelope xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:wst="http://schemas.xmlsoap.org/ws/2005/02/trust"
xmlns:S="http://www.w3.org/2003/05/soap-envelope"><S:Header><psf:pp xmlns:psf="http://schemas.microsoft.com/Passport/So
apServices/SOAPFault"><psf:serverVersion>1</psf:serverVersion><psf:authstate>0x80048800</psf:authstate><psf:reqstatus>0
x80048821</psf:reqstatus><psf:serverInfo
ServerTime="2021-12-23T06:59:23.7311231Z">ESTS-PUB-WEULR2-AZ2-FD072-001.ProdSlices
rid:c14f7184-3f75-4f36-addb-d331af4b6d00</psf:serverInfo></psf:pp></S:Header><S:Body xmlns:S="http://www.w3.org/2003/05
/soap-envelope"><S:Fault><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuthentication</S:Value></S:S
ubcode></S:Code><S:Reason><S:Text xml:lang="en-US">Authentication Failure</S:Text></S:Reason><S:Detail><psf:error xmlns
:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internalerror
><psf:code>0x80048821</psf:code><psf:text>AADSTS50034: The user account {EmailHidden} does not exist in the

XXX.onmicrosoft.com directory. To sign into this application, the account must be added to the
directory.</psf:text></psf:internalerror></psf:error></S:Detail></S:Fault></S:Body></S:Envelope>
        Headers: Pragma: no-cache
X-Content-Type-Options: nosniff
x-ms-request-id: c14f7184-3f75-4f36-addb-d331af4b6d00
x-ms-ests-server: 2.1.12261.17 - WEULR2 ProdSlices
Cache-Control: no-store, no-cache
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"
Set-Cookie: fpc=ArgDa8fn0NpHuNVE1vs5iQCWZLtQAQAAAEsVVtkOAAAA; expires=Sat, 22-Jan-2022 06:59:23 GMT; path=/; secure;
HttpOnly; SameSite=None, x-ms-gateway-slice=estsfd; path=/; secure; httponly, stsservicecookie=estsfd; path=/; secure;
samesite=none; httponly
Date: Thu, 23 Dec 2021 06:59:23 GMT
In Zeile:1 Zeichen:1
+ Get-ADSyncScheduler
+ ~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (Microsoft.Ident...ADSyncScheduler:GetADSyncScheduler) [Get-ADSyncScheduler]
   , InvalidOperationException
    + FullyQualifiedErrorId : MSAL.Desktop.4.5.1.0.MsalClientException:
        ErrorCode: parsing_wstrust_response_failed
    Microsoft.Identity.Client.MsalClientException: Federated service at https://autologon.microsoftazuread-sso.com/qub
   us.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1d064ae26a71 returne
  d error: Authentication Failure ---> Microsoft.Identity.Client.MsalServiceException: Federated service at https://
 autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca01
99-aba4-466e-aa3d-1d064ae26a71 returned error: Authentication Failure
   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
   --- Ende der internen Ausnahmestapelüberwachung ---
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<PerformWsTrustMexExchangeAsync>d__5.MoveNext
   ()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       bei Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<FetchAssertionFromWsTrustAsync>d__4.Mo
   veNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.UsernamePasswordRequest.<ExecuteAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.Internal.Requests.RequestBase.<RunAsync>d__14.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.ApiConfig.Executors.PublicClientExecutor.<ExecuteAsync>d__5.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService azure
   Service, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode, S
  tring& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError)
       bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService az
   ureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status, Bo
  olean throwOnException, Boolean throwExceptionOnMFAError)
       bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService az
   ureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnExcept
  ion)
       bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService az
   ureService, String& additionalDetail, Boolean throwOnException)
   bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken()
       bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter
   .InitializeProvisionHelper()
       bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter
   .Initialize()
       bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter
   .GetCompanyConfiguration(Boolean includeLicenseInformation)
   bei Microsoft.Azure.ActiveDirectory.Synchronization.AADConfig.get_CloudEnforcedSyncSchedulerInterval()
   bei Microsoft.MetadirectoryServices.Scheduler.SchedulerSettingUtilities.get_CurrentSchedulerSettings()
       bei SchedulerUtils.GetCurrentSchedulerSettings(SchedulerUtils* , _ConfigAttrNode* pcanList, UInt32 ccanItems, C
   har** syncSettingsSerialized, Char** errorString)
Inner Excception: MSAL.Desktop.4.5.1.0.MsalServiceException:
        ErrorCode: federated_service_returned_error
    Microsoft.Identity.Client.MsalServiceException: Federated service at https://autologon.microsoftazuread-sso.com/qu
   bus.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=b8ca0199-aba4-466e-aa3d-1d064ae26a71 return
  ed error: Authentication Failure
   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()
        StatusCode: 400
        ResponseBody: <?xml version="1.0" encoding="utf-8"?><S:Envelope xmlns:wsa="http://www.w3.org/2005/08/addressing"
   xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://d
  ocs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:wsp="http://schemas.xmlsoap.org/
 ws/2004/09/policy" xmlns:wst="http://schemas.xmlsoap.org/ws/2005/02/trust" xmlns:S="http://www.w3.org/2003/05/soap
-envelope"><S:Header><psf:pp xmlns:psf="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:serverV
ersion>1</psf:serverVersion><psf:authstate>0x80048800</psf:authstate><psf:reqstatus>0x80048821</psf:reqstatus><psf
:serverInfo ServerTime="2021-12-23T06:59:23.7311231Z">ESTS-PUB-WEULR2-AZ2-FD072-001.ProdSlices rid:c14f7184-3f75-4
f36-addb-d331af4b6d00</psf:serverInfo></psf:pp></S:Header><S:Body xmlns:S="http://www.w3.org/2003/05/soap-envelope
"><S:Fault><S:Code><S:Value>S:Sender</S:Value><S:Subcode><S:Value>wst:FailedAuthentication</S:Value></S:Subcode></
S:Code><S:Reason><S:Text xml:lang="en-US">Authentication Failure</S:Text></S:Reason><S:Detail><psf:error xmlns:psf
="http://schemas.microsoft.com/Passport/SoapServices/SOAPFault"><psf:value>0x80048821</psf:value><psf:internalerro
r><psf:code>0x80048821</psf:code><psf:text>AADSTS50034: The user account {EmailHidden} does not exist in the XXX
.onmicrosoft.com directory. To sign into this application, the account must be added to the directory.</psf:text><
/psf:internalerror></psf:error></S:Detail></S:Fault></S:Body></S:Envelope>
        Headers: Pragma: no-cache
X-Content-Type-Options: nosniff
x-ms-request-id: c14f7184-3f75-4f36-addb-d331af4b6d00
x-ms-ests-server: 2.1.12261.17 - WEULR2 ProdSlices
Cache-Control: no-store, no-cache
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"
    Set-Cookie: fpc=ArgDa8fn0NpHuNVE1vs5iQCWZLtQAQAAAEsVVtkOAAAA; expires=Sat, 22-Jan-2022 06:59:23 GMT; path=/; secur
   e; HttpOnly; SameSite=None, x-ms-gateway-slice=estsfd; path=/; secure; httponly, stsservicecookie=estsfd; path=/;
  secure; samesite=none; httponly
Date: Thu, 23 Dec 2021 06:59:23 GMT
,Microsoft.IdentityManagement.PowerShell.Cmdlet.GetADSyncScheduler

Thank you
Regards
STefan

Answer 1

I have found the solution. I have reinstalled Azure Connect, and now it works fine.

Answer 2

Hello Alfredo,

i am using for AAD-Sync the ******@COMPANYonmicrosoft.com user. The fist sync works, but the time syncs gives me the error in event log.

The server encountered an unexpected error while processing a password change notification:

 "Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=d4f3dd52-5823-4f97-9e43-7386e6050de3 returned error: Authentication Failure

   bei InitializeAndGetTargetExtension(Object lockObject, TargetTaskScheduler taskScheduler, Dictionary`2 targetExtensions, ECMAInformation* ecmaInformation)
   bei TargetExtensionManager.ExportPasswords(TargetExtensionManager* , ECMAInformation* ecmaInformation, DynamicArray<ActiveDirectoryPasswordChange \*>* targetPasswordChanges, Char* forestInfo)


InnerException=>
Federated service at https://autologon.microsoftazuread-sso.com/XXX.onmicrosoft.com/winauth/trust/2005/usernamemixed?client-request-id=d4f3dd52-5823-4f97-9e43-7386e6050de3 returned error: Authentication Failure

   bei Microsoft.Identity.Client.WsTrust.WsTrustWebRequestManager.<GetWsTrustResponseAsync>d__3.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
   bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   bei Microsoft.Identity.Client.WsTrust.CommonNonInteractiveHandler.<GetWsTrustResponseAsync>d__6.MoveNext()


InnerException=>
none
"

Im see the authentification failure. But what is wrong. I am testing a new user, in AAD, the first syncronisation works fine, but all subsequent synchronizations do not work.

Yes, i am matching emails with upns. The SSO works fine for my users.