Az ADSync szolgáltatásfiók jelszavának módosítása

  • Cikk

Ha módosítja az ADSync szolgáltatásfiók jelszavát, a szinkronizálási szolgáltatás nem fog tudni megfelelően elindulni, amíg el nem hagyta a titkosítási kulcsot, és újraindult az ADSync szolgáltatásfiók jelszava.

Fontos

Ha a Csatlakozás 2017. márciusi vagy korábbi buildtel használja, akkor nem szabad alaphelyzetbe állítania a jelszót a szolgáltatásfiókon, mivel a Windows biztonsági okokból megsemmisíti a titkosítási kulcsokat. A Microsoft Entra Csatlakozás újratelepítése nélkül nem módosíthatja a fiókot más fiókra. Ha 2017. áprilisi vagy újabb buildre frissít, akkor a szolgáltatásfiók jelszava módosítható, de a használt fiók nem módosítható.

A Microsoft Entra Csatlakozás a Szinkronizálási szolgáltatások részeként egy titkosítási kulccsal tárolja az AD DS Csatlakozás or-fiók és az ADSync szolgáltatásfiók jelszavát. Ezek a fiókok titkosítva vannak az adatbázisban való tárolás előtt.

A használt titkosítási kulcs védelme a Windows Data Protection (DPAPI) használatával történik. A DPAPI az ADSync szolgáltatásfiók használatával védi a titkosítási kulcsot.

Ha módosítania kell a szolgáltatásfiók jelszavát, ehhez használhatja az ADSync szolgáltatásfiók titkosítási kulcsának elhagyásával kapcsolatos eljárásokat. Ezeket az eljárásokat akkor is érdemes használni, ha bármilyen okból fel kell hagynia a titkosítási kulcsot.

A jelszó módosításából eredő problémák

A szolgáltatásfiók jelszavának módosításakor két dolgot kell elvégezni.

Először meg kell változtatnia a jelszót a Windows Service Control Manager alatt. A probléma megoldásáig a következő hibák jelennek meg:

  • Ha megpróbálja elindítani a Szinkronizálási szolgáltatást a Windows Service Control Managerben, a következő hibaüzenet jelenik meg: "A Windows nem tudta elindítani a Microsoft Entra ID Sync szolgáltatást a helyi számítógépen". 1069-s hiba: A szolgáltatás bejelentkezési hiba miatt nem indult el."
  • A Windows Eseménynapló rendszerben a rendszer eseménynaplója egy 7038-as eseményazonosítójú hibát tartalmaz, és a következő hibaüzenet jelenik meg: "Az ADSync szolgáltatás nem tudott bejelentkezni a jelenleg konfigurált jelszóhoz hasonlóan a következő hiba miatt: A felhasználónév vagy a jelszó helytelen."

Másodszor, adott feltételek mellett, ha a jelszó frissül, a szinkronizálási szolgáltatás már nem tudja lekérni a titkosítási kulcsot a DPAPI-n keresztül. A titkosítási kulcs nélkül a szinkronizálási szolgáltatás nem tudja visszafejteni a helyszíni AD-be és a Microsoft Entra-azonosítóba való szinkronizáláshoz szükséges jelszavakat. Olyan hibákat fog látni, mint például:

  • A Windows Service Control Managerben, ha megpróbálja elindítani a szinkronizálási szolgáltatást, és nem tudja lekérni a titkosítási kulcsot, a következő hibaüzenet jelenik meg: "A Windows nem tudta elindítani a Microsoft Entra ID Syncet a helyi számítógépen. További információkért tekintse át a rendszeresemény-naplót. Ha ez nem Microsoft-szolgáltatás, forduljon a szolgáltatás szállítójához, és tekintse meg a szolgáltatásspecifikus hibakódot –21451857952."
  • A Windows Eseménynapló alatt az alkalmazás eseménynaplója egy 6028-ás eseményazonosítójú hibát tartalmaz, és a következő hibaüzenetet tartalmazza: "A kiszolgáló titkosítási kulcsa nem érhető el".

Annak érdekében, hogy ezeket a hibákat ne kapja meg, kövesse az ADSync szolgáltatásfiók titkosítási kulcsának elhagyásával kapcsolatos eljárásokat a jelszó módosításakor.

Az ADSync szolgáltatásfiók titkosítási kulcsának elhagyása

Fontos

A következő eljárások csak a Microsoft Entra Csatlakozás 1.1.443.0-s vagy régebbi buildre vonatkoznak. Ez nem használható a Microsoft Entra Csatlakozás újabb verzióihoz, mert a titkosítási kulcs elhagyását a Microsoft Entra Csatlakozás kezeli, amikor módosítja az AD szinkronizálási szolgáltatásfiók jelszavát, így az újabb verziókban nincs szükség a következő lépésekre.

A titkosítási kulcs elhagyásához használja az alábbi eljárásokat.

Mi a teendő, ha fel kell hagynia a titkosítási kulcsot?

Ha fel kell hagynia a titkosítási kulccsal, ehhez használja az alábbi eljárásokat.

  1. A szinkronizálási szolgáltatás leállítása

  2. A meglévő titkosítási kulcs elhagyása

  3. Adja meg az AD DS Csatlakozás or-fiók jelszavát

  4. Az ADSync szolgáltatásfiók jelszavának újrainicializálása

  5. A szinkronizálási szolgáltatás indítása

A szinkronizálási szolgáltatás leállítása

Először leállíthatja a szolgáltatást a Windows Service Control Managerben. Győződjön meg arról, hogy a szolgáltatás nem fut, amikor megpróbálja leállítani. Ha igen, várjon, amíg befejeződik, majd állítsa le.

  1. Nyissa meg a Windows Service Control Managert (START → Services).
  2. Válassza a Microsoft Entra ID Sync lehetőséget , és kattintson a Leállítás gombra.

A meglévő titkosítási kulcs elhagyása

A meglévő titkosítási kulcs elhagyása új titkosítási kulcs létrehozásához:

  1. Jelentkezzen be a Microsoft Entra Csatlakozás-kiszolgálóra rendszergazdaként.

  2. Start a new PowerShell session.

  3. Lépjen a mappába: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Futtassa a következő parancsot: ./miiskmu.exe /a

Screenshot that shows PowerShell after running the command.

Adja meg az AD DS Csatlakozás or-fiók jelszavát

Mivel az adatbázisban tárolt meglévő jelszavak már nem fejthetők vissza, meg kell adnia a szinkronizálási szolgáltatást az AD DS Csatlakozás or-fiók jelszavával. A szinkronizálási szolgáltatás az új titkosítási kulccsal titkosítja a jelszavakat:

  1. Indítsa el a Szinkronizálási szolgáltatáskezelőt (START → Szinkronizálási szolgáltatás).
    Sync Service Manager
  2. Lépjen a Csatlakozás orok lapra.
  3. Válassza ki a helyszíni AD-nek megfelelő AD-Csatlakozás ort. Ha több AD-összekötővel rendelkezik, ismételje meg az alábbi lépéseket mindegyiknél.
  4. A Műveletek csoportban válassza a Tulajdonságok lehetőséget.
  5. Az előugró párbeszédpanelen válassza Csatlakozás az Active Directory-erdőbe:
  6. Írja be az AD DS-fiók jelszavát a Jelszó szövegmezőbe. Ha nem ismeri a jelszavát, a lépés végrehajtása előtt be kell állítania egy ismert értékre.
  7. Kattintson az OK gombra az új jelszó mentéséhez és az előugró párbeszédpanel bezárásához. Screenshot that shows the

Az ADSync szolgáltatásfiók jelszavának újrainicializálása

Közvetlenül nem adhatja meg a Microsoft Entra szolgáltatásfiók jelszavát a szinkronizálási szolgáltatásnak. Ehelyett az Add-ADSyncAADServiceAccount parancsmaggal kell újrainicializálnia a Microsoft Entra szolgáltatásfiókot. A parancsmag alaphelyzetbe állítja a fiók jelszavát, és elérhetővé teszi a szinkronizálási szolgáltatás számára:

  1. Jelentkezzen be a Microsoft Entra Csatlakozás Sync kiszolgálóra, és nyissa meg a PowerShellt.

  2. A Microsoft Entra Global Rendszergazda istrator hitelesítő adatainak megadásához futtassa a következőt$credential = Get-Credential: .

  3. Futtassa a parancsmagot Add-ADSyncAADServiceAccount -AADCredential $credential.

    Ha a parancsmag sikeres, megjelenik a PowerShell parancssora.

A parancsmag alaphelyzetbe állítja a szolgáltatásfiók jelszavát, és frissíti mind a Microsoft Entra-azonosítóban, mind a szinkronizálási motorban.

A szinkronizálási szolgáltatás indítása

Most, hogy a szinkronizálási szolgáltatás hozzáfér a titkosítási kulcshoz és az összes szükséges jelszóhoz, újraindíthatja a szolgáltatást a Windows Service Control Managerben:

  1. Nyissa meg a Windows Service Control Managert (START → Services).
  2. Válassza a Microsoft Entra ID Sync lehetőséget , majd kattintson az Újraindítás gombra.

További lépések

Áttekintési témakörök