MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

ADSync Retiring

Im Januar 2026 habe ich in meinen VMs das erste mal eine Situation gesehen, die ich auf eine zu alte Version zurückführe, denn nach dem Update von EntraID-Connect funktionierte alles wieder.

Fehlerbild "stopped-server-down"

Aufgefallen ist es bei Kontrolle der ADSync-Logs. Hier sehe wir beim "Delta-Import" aus der Cloud einen Fehler "stopped-server-down" während der Export in die Cloud danach sofort funktioniert.

Es kann also nicht an einer Firewall oder Berechtigung hängen. Weitere Details zum Fehler hat mir Entra Connect hier aber nicht angezeigt.

Eventlog

Dafür lohnt sich dann der Blick ins Eventlog. Hier erscheinen zwei Fehler, die vorher nicht zu sehen waren.

Die Warnungen und Fehler wiederholten Sich immer wieder und beinhalten:

  • Eventid 6803 - Meldet einfach nur, das der Sync nicht erfolgreich war
Protokollname: Application
Quelle:        ADSync
Datum:         19.01.2026 10:44:34
Ereignis-ID:   6803
Aufgabenkategorie:Management Agent Run Profile
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      WIN2022DC-DEV.msxfaqdev.de
Beschreibung:
The management agent "msxfaqdev.onmicrosoft.com - AAD" failed on run profile "Delta Import" because the server encountered errors.
  • EventID 6110 - Meldet den Fehler beim "Delta Import", d.h. das Lesen aus Entra ID in den lokalen Connector Space
Protokollname: Application
Quelle:        ADSync
Datum:         19.01.2026 10:44:34
Ereignis-ID:   6110
Aufgabenkategorie:Management Agent Run Profile
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      WIN2022DC-DEV.msxfaqdev.de
Beschreibung:
The management agent "msxfaqdev.onmicrosoft.com - AAD" step execution completed on run profile "Delta Import" but the watermark was not saved.
 
 Additional Information
 Discovery Errors       : "0"
 Synchronization Errors : "0"
 Metaverse Retry Errors : "0"
 Export Errors          : "0"
 Warnings               : "0"
 
 User Action
 View the management agent run history for details.

Ich muss allerdings sagen, dass diese VM einige Zeit "offline" war und der letzte erfolgreiche Sync am 1. Dez 2024, also ca.13 Monate vorher erfolgt ist.

Entra ID Sign-ing logs

Ich habe dann im Azure-Portal kontrolliert, ob es eventuell an den Anmeldungen liegen könnte. Microsoft hat ja ADSync auf "Anmeldung mit Zertifikat" umgestellt. Aber auch hier habe ich während des Fehlers aber auch nach dem Update keine Probleme erkennen können:

Der "Delta Import"-Fehler hat also sicher nichts mit einer fehlerhaften Authentifizierung zu tun gehabt. Eine weitere Analyse habe ich hier aber abgebrochen, da die AD-Sync Version 2.3.8.0 schon relativ als war

Allgmeine Warnung im Portal

Wenn ich im Entra ID-Portal allerdings auf den Bereich "Microsoft Entra Connect" gehe, bekommen alle Administratoren anscheinend folgende Meldung zu sehen:


Quelle https://portal.azure.com/#view/Microsoft_AAD_Connect_Provisioning/AADConnectMenuBlade/~/GetStarted

Die beiden Links gehen zu.

Die Warnung kommt übrigens auch bei Tenants, die komplett aktuelle ADSync-Instanzen nutzen. Entweder kann Microsoft nicht zuverlässig erkennen, welche ADSync-Version der Kunde einsetzt oder es ist einfach nicht gewollt. Dabei wäre es sicher einfach, z.B. über den UserAgent des HTTP-Protokolls diese Unterschiede zu erkennen. Es gibt sogar einen ADSync Health Agent, der dies auch ermitteln könnte.

Aber auch hier scheint Microsoft keine gezielte Information der Tenant Administratoren vorzusehen.

Update

Wenn ich auf die Seite "Microsoft Entra Connect: Version release history" (https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/reference-connect-version-history ) gehe, dann schreibt Microsoft dort:


Quelle: https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/reference-connect-version-history#retiring-microsoft-entra-connect-2x-versions 

Die Versionen 1.x sind sowieso als "non functional" eingestuft. Die Version 2.3.8.0 war nach dem Status (Jan 2026) auch schon länger "Retired" und anscheinend nicht mehr kompatibel, zu einer neuen Sicherheitsfunktion:


Quelle: https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/reference-connect-version-history#retiring-microsoft-entra-connect-2x-versions

Auch die Warnung in Entra ID liefert:


Quelle: https://learn.microsoft.com/de-de/entra/identity/hybrid/connect/harden-update-ad-fs-pingfederate#expected-impacts

Es geht hier aber nicht um ein "sollten" sondern ein "müssen. Insofern habe ich mit die aktuellste Version (hier dann "AzureADConnect 2.5.190.0") aus dem Azure Portal bezogen und installiert

Problem gelöst

Das Update erfolgte problemlos und alles nachfolgenden Synchronisationen erfolgten ohne weitere Fehler.

Mit dem Update nutzt ADSync nun auch ein Zertifikat, um sich zu authentifizieren.

Entsprechend habe ich im Entra ID-Log danach die Anmeldungen mit Zertifikat gesehen. Das war aber nicht ursächlich für den Fehler beim "Delta Import". Dennoch auch hier der Hinweis. Ein Laborumgebungen sollte ADSync auch regelmäßig laufen, da sonst die Erneuerung des Zertifikats die nächste Herausforderung sein kann. Es ist nur 6 Monate gültig.

Zusammenfassung

Ich weiß nicht, ob Microsoft nun ernst macht, die zu alten ADSync-Instanzen zu blockieren. In meinem Fall hat der Export ja problemlos funktioniert nur der Reimport der Änderungen in Entra ID in das lokale AD konnte nicht durchgeführt werden. Für Bestandsbenutzer hat das keine merklichen Auswirkungen aber neue Benutzer könnten hier ein Problem bekommen, denn neue lokale AD-Benutzer werden so zwar in Entra ID angelegt aber das Rückschreiben des SourceAnchor funktioniert nur, wenn Entra ID Connect die "Immutable" aus Entra ID wieder auslesen und lokal in das Feld msds-ConsistencyGUID schreiben kann.

Sollte eine "veraltete Entra ID-Connect-"Version wirklich die Ursache gewesen sein, dann hat es mich gewundert, dass ich weder im MessageCenter, im Entra ID Portal noch per Mail darauf hingewiesen wurde. Da ja nur der "Delta-Import" nicht funktionierte aber der Export fehlerfrei erfolgte, war im Entra-Portal auch keine Meldung über einen "Ausgefallenen DirSync zu sehen. Der Status war immer auf "Weniger als eine Stunde". Auch in den weiteren Analysefunktionen im Azure-Portal zu Entra ID Connect konnte ich keine Fehler sehen.

Es bleibt also dabei: Als Administrator oder Dienstleister bleiben Sie in der Pflicht den aktuellen Stand von Entra ID Connect regelmäßig zu prüfen und ggfls. zu aktualisieren, wenn der AutoUpdate-Mechanismus nicht genutzt werden kann.
Bei "komischen Problemen" mit Identitäten sollten Sie immer zuerst einmal in das Entra ID Connect-Protokoll schauen.

Die Update-Zyklen von EntraID Cloud Sync sind weniger häufig und da hier die Cloud der "aktive Part" ist, kann dies durchaus eine Alternative darstellen.

Weitere Links