Az ADSync szolgáltatásfiók jelszavának módosítása
Ha módosítja az ADSync szolgáltatásfiók jelszavát, a szinkronizálási szolgáltatás nem fog tudni megfelelően elindulni, amíg el nem hagyta a titkosítási kulcsot, és újraindult az ADSync szolgáltatásfiók jelszava.
Fontos
Ha a Csatlakozás 2017. márciusi vagy korábbi buildtel használja, akkor nem szabad alaphelyzetbe állítania a jelszót a szolgáltatásfiókon, mivel a Windows biztonsági okokból megsemmisíti a titkosítási kulcsokat. A Microsoft Entra Csatlakozás újratelepítése nélkül nem módosíthatja a fiókot más fiókra. Ha 2017. áprilisi vagy újabb buildre frissít, akkor a szolgáltatásfiók jelszava módosítható, de a használt fiók nem módosítható.
A Microsoft Entra Csatlakozás a Szinkronizálási szolgáltatások részeként egy titkosítási kulccsal tárolja az AD DS Csatlakozás or-fiók és az ADSync szolgáltatásfiók jelszavát. Ezek a fiókok titkosítva vannak az adatbázisban való tárolás előtt.
A használt titkosítási kulcs védelme a Windows Data Protection (DPAPI) használatával történik. A DPAPI az ADSync szolgáltatásfiók használatával védi a titkosítási kulcsot.
Ha módosítania kell a szolgáltatásfiók jelszavát, ehhez használhatja az ADSync szolgáltatásfiók titkosítási kulcsának elhagyásával kapcsolatos eljárásokat. Ezeket az eljárásokat akkor is érdemes használni, ha bármilyen okból fel kell hagynia a titkosítási kulcsot.
A jelszó módosításából eredő problémák
A szolgáltatásfiók jelszavának módosításakor két dolgot kell elvégezni.
Először meg kell változtatnia a jelszót a Windows Service Control Manager alatt. A probléma megoldásáig a következő hibák jelennek meg:
- Ha megpróbálja elindítani a Szinkronizálási szolgáltatást a Windows Service Control Managerben, a következő hibaüzenet jelenik meg: "A Windows nem tudta elindítani a Microsoft Entra ID Sync szolgáltatást a helyi számítógépen". 1069-s hiba: A szolgáltatás bejelentkezési hiba miatt nem indult el."
- A Windows Eseménynapló rendszerben a rendszer eseménynaplója egy 7038-as eseményazonosítójú hibát tartalmaz, és a következő hibaüzenet jelenik meg: "Az ADSync szolgáltatás nem tudott bejelentkezni a jelenleg konfigurált jelszóhoz hasonlóan a következő hiba miatt: A felhasználónév vagy a jelszó helytelen."
Másodszor, adott feltételek mellett, ha a jelszó frissül, a szinkronizálási szolgáltatás már nem tudja lekérni a titkosítási kulcsot a DPAPI-n keresztül. A titkosítási kulcs nélkül a szinkronizálási szolgáltatás nem tudja visszafejteni a helyszíni AD-be és a Microsoft Entra-azonosítóba való szinkronizáláshoz szükséges jelszavakat. Olyan hibákat fog látni, mint például:
- A Windows Service Control Managerben, ha megpróbálja elindítani a szinkronizálási szolgáltatást, és nem tudja lekérni a titkosítási kulcsot, a következő hibaüzenet jelenik meg: "A Windows nem tudta elindítani a Microsoft Entra ID Syncet a helyi számítógépen. További információkért tekintse át a rendszeresemény-naplót. Ha ez nem Microsoft-szolgáltatás, forduljon a szolgáltatás szállítójához, és tekintse meg a szolgáltatásspecifikus hibakódot –21451857952."
- A Windows Eseménynapló alatt az alkalmazás eseménynaplója egy 6028-ás eseményazonosítójú hibát tartalmaz, és a következő hibaüzenetet tartalmazza: "A kiszolgáló titkosítási kulcsa nem érhető el".
Annak érdekében, hogy ezeket a hibákat ne kapja meg, kövesse az ADSync szolgáltatásfiók titkosítási kulcsának elhagyásával kapcsolatos eljárásokat a jelszó módosításakor.
Az ADSync szolgáltatásfiók titkosítási kulcsának elhagyása
Fontos
A következő eljárások csak a Microsoft Entra Csatlakozás 1.1.443.0-s vagy régebbi buildre vonatkoznak. Ez nem használható a Microsoft Entra Csatlakozás újabb verzióihoz, mert a titkosítási kulcs elhagyását a Microsoft Entra Csatlakozás kezeli, amikor módosítja az AD szinkronizálási szolgáltatásfiók jelszavát, így az újabb verziókban nincs szükség a következő lépésekre.
A titkosítási kulcs elhagyásához használja az alábbi eljárásokat.
Mi a teendő, ha fel kell hagynia a titkosítási kulcsot?
Ha fel kell hagynia a titkosítási kulccsal, ehhez használja az alábbi eljárásokat.
A szinkronizálási szolgáltatás leállítása
Először leállíthatja a szolgáltatást a Windows Service Control Managerben. Győződjön meg arról, hogy a szolgáltatás nem fut, amikor megpróbálja leállítani. Ha igen, várjon, amíg befejeződik, majd állítsa le.
- Nyissa meg a Windows Service Control Managert (START → Services).
- Válassza a Microsoft Entra ID Sync lehetőséget , és kattintson a Leállítás gombra.
A meglévő titkosítási kulcs elhagyása
A meglévő titkosítási kulcs elhagyása új titkosítási kulcs létrehozásához:
Jelentkezzen be a Microsoft Entra Csatlakozás-kiszolgálóra rendszergazdaként.
Start a new PowerShell session.
Lépjen a mappába:
'$env:ProgramFiles\Microsoft Azure AD Sync\bin\'
Futtassa a következő parancsot:
./miiskmu.exe /a
Adja meg az AD DS Csatlakozás or-fiók jelszavát
Mivel az adatbázisban tárolt meglévő jelszavak már nem fejthetők vissza, meg kell adnia a szinkronizálási szolgáltatást az AD DS Csatlakozás or-fiók jelszavával. A szinkronizálási szolgáltatás az új titkosítási kulccsal titkosítja a jelszavakat:
- Indítsa el a Szinkronizálási szolgáltatáskezelőt (START → Szinkronizálási szolgáltatás).
- Lépjen a Csatlakozás orok lapra.
- Válassza ki a helyszíni AD-nek megfelelő AD-Csatlakozás ort. Ha több AD-összekötővel rendelkezik, ismételje meg az alábbi lépéseket mindegyiknél.
- A Műveletek csoportban válassza a Tulajdonságok lehetőséget.
- Az előugró párbeszédpanelen válassza Csatlakozás az Active Directory-erdőbe:
- Írja be az AD DS-fiók jelszavát a Jelszó szövegmezőbe. Ha nem ismeri a jelszavát, a lépés végrehajtása előtt be kell állítania egy ismert értékre.
- Kattintson az OK gombra az új jelszó mentéséhez és az előugró párbeszédpanel bezárásához.
Az ADSync szolgáltatásfiók jelszavának újrainicializálása
Közvetlenül nem adhatja meg a Microsoft Entra szolgáltatásfiók jelszavát a szinkronizálási szolgáltatásnak. Ehelyett az Add-ADSyncAADServiceAccount parancsmaggal kell újrainicializálnia a Microsoft Entra szolgáltatásfiókot. A parancsmag alaphelyzetbe állítja a fiók jelszavát, és elérhetővé teszi a szinkronizálási szolgáltatás számára:
Jelentkezzen be a Microsoft Entra Csatlakozás Sync kiszolgálóra, és nyissa meg a PowerShellt.
A Microsoft Entra Global Rendszergazda istrator hitelesítő adatainak megadásához futtassa a következőt
$credential = Get-Credential
: .Futtassa a parancsmagot
Add-ADSyncAADServiceAccount -AADCredential $credential
.Ha a parancsmag sikeres, megjelenik a PowerShell parancssora.
A parancsmag alaphelyzetbe állítja a szolgáltatásfiók jelszavát, és frissíti mind a Microsoft Entra-azonosítóban, mind a szinkronizálási motorban.
A szinkronizálási szolgáltatás indítása
Most, hogy a szinkronizálási szolgáltatás hozzáfér a titkosítási kulcshoz és az összes szükséges jelszóhoz, újraindíthatja a szolgáltatást a Windows Service Control Managerben:
- Nyissa meg a Windows Service Control Managert (START → Services).
- Válassza a Microsoft Entra ID Sync lehetőséget , majd kattintson az Újraindítás gombra.
További lépések
Áttekintési témakörök