Archiv für den Monat: Oktober 2015

Nach erfolgreicher Anmeldung am ADFS Proxy erscheint AADSTS50008: SAML token is invalid.

Nach erfolgreicher Anmeldung am ADFS Proxy erscheint AADSTS50008: SAML token is invalid. screenshot-error-message

Beim Betrieb einer föderierten Domain, welche mittels ADFS / ADFS Proxy Benutzer via Single Sign On gegen Office 365 dienste authentifiziert erscheint ohne Change an den on premise Systemen plötzlich die Fehlermeldung:

  • Leider können wir Sie nicht anmelden.
  • Es wurde eine ungültige Anforderung empfangen.
  • Weitere technische Informationen:
  • Correlation ID: 99a6cc54-47f1-4936-a57c-59050600a8f8
  • Timestamp: 2015-10-23 05:12:39Z
  • AADSTS50008: SAML token is invalid.

Beim Studium von KB3015526 (https://support.microsoft.com/en-us/kb/3015526) erscheint der Hinweis, auf dem ADFS Server das Powershell-Kommando:

Update-MsolFederatedDomain -DomainName [verified domain]

abzusetzen, da es sich hierbei um einen bekannten Fehler handelt.

Gesagt getan – auf dem ADFS Server mit Hilfe der Microsoft Online Services Module auf dem ADFS Proxy und zwei Befehlen durchgeführt – leider ohne Erfolg.

PS C:\Windows\system32> connect-msolservice
WARNING: There is a newer version of the Microsoft Online Services Module. Your current version will still work as expected, however the latest version can be downloaded at https://portal.microsoftonline.com.
PS C:\Windows\system32> Update-MsolFederatedDomain -DomainName xyz.net
Successfully updated ‚xyz.net‘ domain.

Der Update-Befehl brachte in diesem Fall nicht die erwarteteLösung.

Beim weiteren Troubleshooting der Domaincontroller Logs fiel auf, dass aufgrund einer Firewallmigration die Zeit vom Zeitserver nicht mehr korrekt vom Internet synchronisiert wurde. Der gesamte Forrest ging 5 Minuten vor.

Lösung für AADSTS50008: SAML token is invalid bei Office 365 / Microsoft Azure Active Directory war in diesem Fall eine resynchronisation der Zeiten. Danach klappte es auch wieder mit der Anmeldung am Office 365 mittels ADFS / ADFS Proxy. In diesem Sinne – tempus fugit.

Entfernten Service mit Hilfe des Service Controllers durchstarten

Möchte man beispielsweise den Prozess w32time (Windows Zeitdienst) einmal durchstarten reicht die Eingabe des verketteten Befehls in einer cmd mit administrativen Rechten:

C:\Windows\system32>net stop w32time && net start w32time
The Windows Time service is stopping.
The Windows Time service was stopped successfully.

The Windows Time service is starting.
The Windows Time service was started successfully.

Soll dieses Durchstarten vom Prozess w32time beispielsweise auf einem entfernten Ziel-Server / PC ausgeführt werden hilft der Service Controller vom Windows:

C:\Windows\system32>sc \\vh01 stop w32time && sc \\vh01 startw32time

SERVICE_NAME: w32time
TYPE               : 20  WIN32_SHARE_PROCESS
STATE              : 3  STOP_PENDING
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x2
WAIT_HINT          : 0x3e8

SERVICE_NAME: w32time
TYPE               : 20  WIN32_SHARE_PROCESS
STATE              : 2  START_PENDING
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE    : 0  (0x0)
SERVICE_EXIT_CODE  : 0  (0x0)
CHECKPOINT         : 0x0
WAIT_HINT          : 0x7d0
PID                : 1000
FLAGS              :

Nähere Informationen zum SC gibt es hier: https://technet.microsoft.com/de-de/library/bb490995.aspx.

PS: Mit net time kann man sich auch die entfernte Zeit anzeigen lassen:

C:\Windows\system32>net time \\vh01
Current time at \\vh01 is 23.10.2015 19:48:12

The command completed successfully.