Microsoft Azure AD Connect Sync Fehler „permission-issue“ mit „Connected data source error code: 5“

Wir hatten einen spannenden AADConnect (Entra ID Connect) Fehler zu suchen. Manche Microsoft 365 Gruppen wurden nicht (mehr) korrekt in das lokale AD zurückgeschrieben. Der Fehler lautete, natürlich ohne weitere Details, „Zugriff verweigert“ (permission-issue). Der Hinweis der „Connected data source error code: 5“ ist zwar ein Indiz, aber keine Lösung.

Lösung

Was die Ursache dazu war, ist nicht bekannt. Aber es sind die AD-Berechtigungen für das Synchronisationskonto auf den betroffenen Objekten. In diesem Fall „Generisches Lesen/Schreiben“ von allen Attributen einer Objekttypgruppe (und von deren Unterobjekten).

Auf dem AADConnect-Server in einer PowerShell (als Administrator) ist der Fehler schnell behoben:

# AAD Connect PS-Modul importieren
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

# Sync-Account-Namen besorgen
Get-ADSyncADConnectorAccount
# (den "ADConnectorAccountName" kopieren)

# Berechtigungen schreiben
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName "<ADConnectorAccountName>" -ADConnectorAccountDomain EXAMPLE.LOCAL

Beispiel:

Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName "MSOL_1111aaaa1111" -ADConnectorAccountDomain mydomain.local

Windows Server 2025 und Windows 11 24H2 RDS/RDP Anmeldung bleibt bei getrennten Sitzungen im „Willkommen“ Bildschirm hängen

Problem

Seit Windows Server 2025 häufen sich „hängende“ RDS (RDP-) in erneuten Anmeldungen. Die Anmeldung hängt im „Willkommen“ Bildschirm fest. Das gilt ganz besonders für getrennte Sitzungen. Wenn der Administrator eine solche Session zurücksetzt, ist die Neuanmeldung aber sofort wieder möglich.

Meldet sich ein Benutzer an und trennt seine Sitzung, ist diese Sitzung (scheinbar) nicht mehr nutzbar. Die Anmeldung funktioniert fehlerfrei, aber das RDP-Fenster hängt im „Willkommen“ Bildschirm fest. Der Throbber rotiert nicht, die Sitzung ist „tot“. Das gab es früher schon, aber seit Windows Server 2025 tritt das Phänomen deutlich gehäufter auf.

Lösung

Es haben sich offensichtlich (schon wieder) neue Fehler in der „Verbindungszeiterkennung“ oder der „kontinuierlichen Netzwerkerkennung“ eingeschlichen. Schaltet man diese ab, verschwindet das Problem sofort und Sitzungen sind auch nach einer Trennung wieder zugänglich.

Registry Quick-Fix

Der DWORD-Wert SelectNetworkDetect sollte auf 2 gesetzt werden („Turn off Continuous Network Detect“)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"SelectNetworkDetect"=dword:00000002

Gruppen- oder lokale Richtlinie

Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopsitzungs-Host > Verbindungen > „Netzwerkerkennung auf dem Server auswählen“ aktivieren und auf „Fortlaufende Netzwerkerkennung deaktivieren“ stellen.

Akute Abhilfe am Client

Wenn das Problem gerade akut auftritt und man sich aber dringend verbinden möchte, hilft es auch in den Client-Einstellungen (mstsc.exe) die Verbindungsgeschwindigkeit auf dem Reiter Leistung fest einzustellen (z.B. auf LAN oder WAN):

mstsc.exe Verbindungsgeschwindigkeit/Übertragungsrate