Ändern des Kennworts für das ADSync-Dienstkonto

Wenn Sie das Kennwort für das ADSync-Dienstkonto ändern, kann der Synchronisierungsdienst nicht ordnungsgemäß gestartet werden, bis der Verschlüsselungsschlüssel verworfen und das Kennwort für das ADSync-Dienstkonto erneut initialisiert wurde.

Wichtig

Wenn Sie Connect mit einem Build von März 2017 und früher verwenden, setzen Sie das Kennwort für das Dienstkonto nicht zurück, da Windows die Verschlüsselungsschlüssel aus Sicherheitsgründen zerstört. Sie können das Konto nicht in ein anderes Konto ändern, ohne Microsoft Entra Connect neu zu installieren. Wenn Sie ein Upgrade auf einen Build von April 2017 oder höher durchführen, wird das Ändern des Kennworts für das Dienstkonto unterstützt. Sie können jedoch nicht das verwendete Konto ändern.

Microsoft Entra Connect verwendet als Teil der Synchronisierungsdienste einen Verschlüsselungsschlüssel zum Speichern der Kennwörter für das AD DS-Connectorkonto und das ADSync-Dienstkonto. Diese Konten werden verschlüsselt, bevor sie in der Datenbank gespeichert werden.

Der verwendete Verschlüsselungsschlüssel wird über Windows-Datenschutz (DPAPI) gesichert. DPAPI schützt den Verschlüsselungsschlüssel mithilfe des ADSync-Dienstkontos.

Wenn Sie das Kennwort des Dienstkontos ändern müssen, können Sie hierzu die Verfahren unter Verwerfen des Verschlüsselungsschlüssels für das ADSync-Dienstkonto verwenden. Diese Verfahren sollten auch verwendet werden, wenn Sie den Verschlüsselungsschlüssel aus irgendeinem Grund verwerfen müssen.

Durch das Ändern des Kennworts entstehende Probleme

Es gibt zwei Dinge, die beim Ändern des Kennwort für das Dienstkonto durchgeführt werden müssen.

Zunächst müssen Sie das Kennwort im Windows-Dienststeuerungs-Manager ändern. Bis dieses Problem behoben ist, werden Ihnen folgende Fehler angezeigt:

  • Wenn Sie versuchen, den Synchronisierungsdienst im Windows-Dienststeuerungs-Manager zu starten, erhalten Sie den Fehler „Windows konnte den Microsoft Entra ID-Synchronisierungsdienst auf dem lokalen Computer nicht starten“. Fehler 1069: Der Dienst wurde aufgrund eines Anmeldefehlers nicht gestartet.
  • In der Windows-Ereignisanzeige enthält das Systemereignisprotokoll einen Fehler mit der Ereignis-ID 7038 und die Meldung „Der ADSync-Dienst konnte sich mit dem aktuellen Kennwort aufgrund des folgenden Fehlers nicht anmelden: Der Benutzername oder das Kennwort ist falsch.

Zweitens kann der Synchronisierungsdienst unter bestimmten Bedingungen bei Aktualisierung des Kennworts nicht mehr über DPAPI auf den Verschlüsselungsschlüssel zugreifen. Ohne den Verschlüsselungsschlüssel kann der Synchronisierungsdienst die Kennwörter nicht entschlüsseln, die zum Synchronisieren nach/aus dem lokalen AD und Microsoft Entra ID erforderlich sind. Ihnen werden beispielsweise folgende Fehler angezeigt:

  • Wenn Sie versuchen, den Synchronisierungsdienst im Windows Dienststeuerungs-Manager zu starten und der Verschlüsselungsschlüssel nicht abgerufen werden kann, schlägt er mit dem folgenden Fehler fehl: „Windows konnte die Microsoft Entra ID-Synchronisierung auf dem lokalen Computer nicht starten. Weitere Informationen finden Sie im System-Ereignisprotokoll. Handelt es sich um einen Nicht-Microsoft-Dienst, wenden Sie sich an den Service-Anbietenden und geben Sie den folgenden Service-spezifischen Fehlercode an: -21451857952.“
  • In der Windows-Ereignisanzeige enthält das Anwendungsereignisprotokoll einen Fehler mit der Ereignis-ID 6028 und die Fehlermeldung „Auf den Serververschlüsselungsschlüssel kann nicht zugegriffen werden“ .

Um sicherzustellen, dass Sie diese Fehler nicht erhalten, führen Sie beim Ändern des Kennworts die Verfahren unter Verwerfen des Verschlüsselungsschlüssels für das ADSync-Dienstkonto aus.

Verwerfen des Verschlüsselungsschlüssels für das ADSync-Dienstkonto

Wichtig

Die folgenden Verfahren gelten nur für Microsoft Entra Connect-Build 1.1.443.0 oder älter. Sie können nicht für neuere Versionen von Microsoft Entra Connect verwendet werden, da das Verwerfen des Verschlüsselungsschlüssels durch Microsoft Entra Connect selbst erfolgt, wenn Sie das Kennwort des AD-Synchronisierungsdienstkontos ändern. Daher sind die folgenden Schritte in den neueren Versionen nicht erforderlich.

Verwenden Sie die folgenden Verfahren, um den Verschlüsselungsschlüssel zu verwerfen.

So verwerfen Sie den Verschlüsselungsschlüssel

Wenn Sie den Verschlüsselungsschlüssel verwerfen müssen, verwenden Sie dazu die folgenden Verfahren.

  1. Beenden des Synchronisierungsdiensts

  2. Verwerfen des vorhandenen Verschlüsselungsschlüssels

  3. Angeben des Kennworts für das AD DS-Connectorkonto

  4. Erneutes Initialisieren des Kennworts für das ADSync-Dienstkonto

  5. Starten des Synchronisierungsdiensts

Beenden des Synchronisierungsdiensts

Zunächst können Sie den Dienst im Dienststeuerungs-Manager von Windows beenden. Stellen Sie sicher, dass der Dienst nicht ausgeführt wird, wenn Sie versuchen, ihn zu beenden. Wenn er ausgeführt wird, warten Sie, bis er abgeschlossen ist, und beenden Sie ihn dann.

  1. Wechseln Sie zum Windows-Dienststeuerungs-Manager („START“ → „Dienste“).
  2. Wählen Sie Microsoft Entra ID-Synchronisierung aus, und klicken Sie auf „Beenden“.

Verwerfen des vorhandenen Verschlüsselungsschlüssels

Verwerfen Sie den vorhandenen Verschlüsselungsschlüssel, damit der neue Verschlüsselungsschlüssels erstellt werden kann:

  1. Melden Sie sich bei Ihrem Microsoft Entra Connect-Server als Administrator an.

  2. Starten Sie eine neue PowerShell-Sitzung.

  3. Navigieren Sie zum Ordner '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'.

  4. Führen Sie den folgenden Befehl aus: ./miiskmu.exe /a

Screenshot that shows PowerShell after running the command.

Angeben des Kennworts für das AD DS-Connectorkonto

Da die in der Datenbank gespeicherten vorhandenen Kennwörter nicht mehr entschlüsselt werden können, müssen Sie dem Synchronisierungsdienst das Kennwort des AD DS-Connectorkontos bereitstellen. Der Synchronisierungsdienst verschlüsselt die Kennwörter mithilfe des neuen Verschlüsselungsschlüssels:

  1. Starten Sie den Synchronization Service Manager („START“ > „Synchronisierungsdienst“).
    Sync Service Manager
  2. Wechseln Sie zur Registerkarte Connectors.
  3. Wählen Sie den AD-Connector aus, der Ihrem lokalen AD entspricht. Wenn Sie mehrere AD-Connectors verwenden, wiederholen Sie die folgenden Schritte für jeden von ihnen.
  4. Klicken Sie unter Aktionen auf Eigenschaften.
  5. Wählen Sie im Popupdialogfeld Mit Active Directory-Gesamtstruktur verbinden aus:
  6. Geben Sie das Kennwort des AD DS-Kontos im Textfeld Kennwort ein. Wenn Sie das Kennwort nicht kennen, müssen Sie es auf einen bekannten Wert festlegen, bevor Sie diesen Schritt ausführen.
  7. Klicken Sie auf OK, um das neue Kennwort zu speichern und das Popupdialogfeld zu schließen. Screenshot that shows the

Erneutes Initialisieren des Kennworts für das ADSync-Dienstkonto

Sie können dem Synchronisierungsdienst das Kennwort des Microsoft Entra-Dienstkontos nicht direkt bereitstellen. Stattdessen müssen Sie das Microsoft Entra-Dienstkonto über das Cmdlet Add-ADSyncAADServiceAccount erneut initialisieren. Das Cmdlet setzt das Kontokennwort zurück und stellt es dem Synchronisierungsdienst zur Verfügung:

  1. Melden Sie sich beim Microsoft Entra Connect-Synchronisierungsserver an, und öffnen Sie PowerShell.

  2. Führen Sie $credential = Get-Credential aus, um Microsoft Entra-Anmeldeinformationen als globaler Administrator bereitzustellen.

  3. Führen Sie das Cmdlet Add-ADSyncAADServiceAccount -AADCredential $credential aus.

    Wenn das Cmdlet erfolgreich ist, wird die PowerShell-Eingabeaufforderung angezeigt.

Das Cmdlet setzt das Kennwort für das Dienstkonto zurück und aktualisiert es sowohl in Microsoft Entra ID als auch im Synchronisierungsmodul.

Starten des Synchronisierungsdiensts

Der Synchronisierungsdienst besitzt jetzt Zugriff auf den Verschlüsselungsschlüssel und alle erforderlichen Kennwörter. Daher können Sie den Dienst im Windows-Dienststeuerungs-Manager neu starten:

  1. Wechseln Sie zum Windows-Dienststeuerungs-Manager („START“ → „Dienste“).
  2. Wählen Sie Microsoft Entra ID-Synchronisierung aus, und klicken Sie auf „Neu starten“.

Nächste Schritte

Übersichtsthemen