Modifier le mot de passe du compte de service ADSync
Si vous changez le mot de passe du compte de service ADSync, le service de synchronisation ne démarre pas correctement tant que vous n’abandonnez pas la clé de chiffrement et réinitialisez le mot de passe du compte de service ADSync.
Important
Si vous utilisez Connect avec une version de mars 2017 ou antérieure, vous ne devez pas réinitialiser le mot de passe du compte de service, sinon Windows détruit les clés de chiffrement pour des raisons de sécurité. Vous ne pouvez pas passer d’un compte à un autre sans réinstaller Microsoft Entra Connect. Si vous passez à la version d’avril 2017 ou ultérieure, vous pouvez changer le mot de passe du compte de service, mais vous ne pouvez pas changer le compte utilisé.
Microsoft Entra Connect, dans le cadre des services de synchronisation, utilise une clé de chiffrement pour stocker les mots de passe du compte de connecteur AD DS et du compte de service ADSync. Ces comptes sont chiffrés avant d’être stockés dans la base de données.
La clé de chiffrement utilisée est sécurisée à l’aide de l’API de protection des données Windows (DPAPI). DPAPI protège la clé de chiffrement à l’aide du compte de service ADSync.
Si vous devez modifier le mot de passe du compte de service, vous pouvez utiliser les procédures présentées dans Abandon de la clé de chiffrement du compte de service ADSync pour y parvenir. Ces procédures doivent également être utilisées si vous souhaitez abandonner la clé de chiffrement pour une raison quelconque.
Problèmes survenant lors de la modification du mot de passe
Vous devez faire deux choses lorsque vous modifiez le mot de passe du compte de service.
Tout d’abord, vous devez modifier le mot de passe sous le Gestionnaire de contrôle des services Windows. Tant que le problème n’est pas résolu, vous voyez les erreurs suivantes :
- Si vous essayez de démarrer le service de synchronisation dans le Gestionnaire de contrôle des services Windows, vous recevez l’erreur « Windows n’a pas pu démarrer le service Microsoft Entra ID Sync sur l’ordinateur local ». Erreur 1069 : Le service n’a pas démarré en raison d’un échec d’ouverture de session. »
- Dans l’observateur d’événements Windows, le journal des événements système contient une erreur avec l’ID d’événement 7038 et le message « Le service ADSync n’a pas pu se connecter avec le mot de passe actuellement configuré en raison de l’erreur suivante : Le nom d’utilisateur ou mot de passe est incorrect. »
Ensuite, sous certaines conditions, si le mot de passe est mis à jour, le service de synchronisation ne peut plus extraire la clé de chiffrement avec DPAPI. Sans la clé de chiffrement, le service de synchronisation ne peut pas déchiffrer les mots de passe nécessaires pour la synchronisation avec Microsoft Entra ID et l’annuaire AD local. Vous voyez des erreurs de type :
- Sous le Gestionnaire de contrôle des services Windows, si vous essayez de démarrer le service de synchronisation et qu’il ne peut pas récupérer la clé de chiffrement, il échoue avec l’erreur « Windows n’a pas pu démarrer la synchronisation Microsoft Entra ID sur l’ordinateur local. Pour plus d’informations, consultez le journal des événements système. S’il s’agit d’un service hors Microsoft, contactez le fournisseur de services et faites référence au code d’erreur propre au service -21451857952. »
- Dans l’observateur d’événements Windows, le journal des événements d’application contient une erreur avec l’ID d’événement 6028 et le message d’erreur « La clé de chiffrement du serveur n’est pas accessible ».
Pour ne pas recevoir ces erreurs, suivez les procédures décrites dans Abandon de la clé de chiffrement du compte de service ADSync quand vous changez le mot de passe.
Abandon de la clé de chiffrement du compte de service ADSync
Important
Les procédures suivantes s’appliquent uniquement à Microsoft Entra Connect build 1.1.443.0 ou antérieure. Elles ne peuvent pas être utilisées pour les versions plus récentes de Microsoft Entra Connect, car l’abandon de la clé de chiffrement est géré par Microsoft Entra Connect lui-même quand vous changez le mot de passe du compte de service de synchronisation AD. Les étapes suivantes ne sont donc pas nécessaires dans les versions plus récentes.
Utilisez les procédures suivantes pour abandonner la clé de chiffrement.
Que faire si vous souhaitez abandonner la clé de chiffrement
Si vous devez abandonner la clé de chiffrement, utilisez les procédures suivantes.
Arrêter le service de synchronisation
Tout d’abord, vous pouvez arrêter le service dans le Gestionnaire de contrôle des services Windows. Vérifiez que le service n’est pas en cours d’exécution quand vous tentez de l’arrêter. Dans le cas contraire, attendez qu’il finisse, puis arrêtez-le.
- Accédez au Gestionnaire de contrôle des services Windows (DÉMARRER → Services).
- Sélectionnez Microsoft Entra ID Sync et cliquez sur Arrêter.
Abandon de la clé de chiffrement existante
Abandonnez la clé de chiffrement existante pour que la nouvelle clé de chiffrement puisse être créée :
Connectez-vous à votre serveur Microsoft Entra Connect en tant qu’administrateur.
Démarrez une nouvelle session PowerShell.
Accédez au dossier
'$env:ProgramFiles\Microsoft Azure AD Sync\bin\'
Exécutez la commande
./miiskmu.exe /a
Fournir le mot de passe du compte de connecteur AD DS
Comme les mots de passe existants stockés dans la base de données ne peuvent plus être déchiffrés, vous devez fournir le mot de passe du compte de connecteur AD DS au service de synchronisation. Le service de synchronisation chiffre les mots de passe à l’aide de la nouvelle clé de chiffrement :
- Démarrez Synchronization Service Manager (DÉMARRER → Service de synchronisation).
- Accédez à l’onglet Connecteurs .
- Sélectionnez le connecteur AD qui correspond à votre Active Directory local. Si vous avez plusieurs connecteurs AD, répétez les étapes suivantes pour chacun d’entre eux.
- Sous Actions, sélectionnez Propriétés.
- Dans la boîte de dialogue contextuelle, sélectionnez Se connecter à la forêt Active Directory :
- Dans la zone de texte Mot de passe, tapez le mot de passe du compte AD DS. Si vous ne connaissez pas son mot de passe, vous devez le définir sur une valeur connue avant d’effectuer cette étape.
- Cliquez sur OK pour enregistrer le nouveau mot de passe et fermez la boîte de dialogue contextuelle.
Réinitialiser le mot de passe du compte du connecteur Entra ID
Vous ne pouvez pas directement fournir le mot de passe du compte de service Microsoft Entra au service de synchronisation. Au lieu de cela, vous devez utiliser l’applet de commande Add-ADSyncAADServiceAccount pour réinitialiser le compte de service Microsoft Entra. L’applet de commande réinitialise le mot de passe du compte et le rend disponible pour le service de synchronisation :
Connectez-vous au serveur Microsoft Entra Connect Sync et ouvrez PowerShell.
Pour obtenir les informations d’identification d’administrateur général Microsoft Entra, exécutez
$credential = Get-Credential
.Exécutez le cmdlet
Add-ADSyncAADServiceAccount -AADCredential $credential
.Si le cmdlet est réussi, l’invite de commande PowerShell s’affiche.
Cette applet de commande réinitialise le mot de passe du compte de service et l’actualise dans Microsoft Entra ID et le moteur de synchronisation.
Lancer le service de synchronisation
Maintenant que le service de synchronisation a accès à la clé de chiffrement et à tous les mots de passe dont il a besoin, vous pouvez redémarrer le service dans le Gestionnaire de contrôle des services Windows :
- Accédez au Gestionnaire de contrôle des services Windows (DÉMARRER → Services).
- Sélectionnez Microsoft Entra ID Sync et cliquez sur Redémarrer.
Étapes suivantes
Rubriques de présentation