Share via

Az ADSync szolgáltatásfiók jelszavának módosítása

  • Cikk

Ha módosítja az ADSync szolgáltatásfiók jelszavát, a szinkronizálási szolgáltatás nem indul el megfelelően, amíg fel nem adja a titkosítási kulcsot, és újraincializálja az ADSync szolgáltatásfiók jelszavát.

Fontos

Ha a Csatlakozás 2017. márciusi vagy korábbi buildtel használja, akkor nem szabad alaphelyzetbe állítania a jelszót a szolgáltatásfiókon, mivel a Windows biztonsági okokból megsemmisíti a titkosítási kulcsokat. A Microsoft Entra Csatlakozás újratelepítése nélkül nem módosíthatja a fiókot más fiókra. Ha 2017. áprilisi vagy újabb buildre frissít, akkor a szolgáltatásfiókon a jelszó módosítása támogatott, de a használt fiókot nem módosíthatja.

A Microsoft Entra Csatlakozás a Szinkronizálási szolgáltatások részeként egy titkosítási kulccsal tárolja az AD DS Csatlakozás or-fiók és az ADSync szolgáltatásfiók jelszavát. Ezek a fiókok titkosítva vannak az adatbázisban való tárolás előtt.

A használt titkosítási kulcs védelme a Windows Data Protection (DPAPI) használatával történik. A DPAPI az ADSync szolgáltatásfiók használatával védi a titkosítási kulcsot.

Ha módosítania kell a szolgáltatásfiók jelszavát, ehhez használhatja az ADSync szolgáltatásfiók titkosítási kulcsának elhagyásával kapcsolatos eljárásokat. Ezeket az eljárásokat akkor is érdemes használni, ha bármilyen okból fel kell hagynia a titkosítási kulcsot.

A jelszó módosításából eredő problémák

A szolgáltatásfiók jelszavának módosításakor két dolgot kell elvégezni.

Először meg kell változtatnia a jelszót a Windows Service Control Manager alatt. A probléma megoldásáig a következő problémák láthatók:

  • Ha megpróbálja elindítani a Szinkronizálási szolgáltatást a Windows Service Control Managerben, a következő hibaüzenet jelenik meg: "A Windows nem tudta elindítani a Microsoft Entra ID Sync szolgáltatást a helyi számítógépen". 1069-s hiba: A szolgáltatás bejelentkezési hiba miatt nem indult el."
  • A Windows Eseménynapló rendszerben a rendszer eseménynaplója egy 7038-as eseményazonosítójú hibát tartalmaz, és a következő hibaüzenet jelenik meg: "Az ADSync szolgáltatás nem tudott bejelentkezni a jelenleg konfigurált jelszóhoz hasonlóan a következő hiba miatt: A felhasználónév vagy a jelszó helytelen."

Másodszor, adott feltételek mellett, ha a jelszó frissül, a szinkronizálási szolgáltatás már nem tudja lekérni a titkosítási kulcsot a DPAPI-n keresztül. A titkosítási kulcs nélkül a szinkronizálási szolgáltatás nem tudja visszafejteni a helyszíni AD-be és a Microsoft Entra-azonosítóba való szinkronizáláshoz szükséges jelszavakat. Olyan hibák láthatók, mint például:

  • A Windows Service Control Managerben, ha megpróbálja elindítani a szinkronizálási szolgáltatást, és nem tudja lekérni a titkosítási kulcsot, a következő hibaüzenet jelenik meg: "A Windows nem tudta elindítani a Microsoft Entra ID Syncet helyi számítógépen. További információkért tekintse át a rendszeresemény-naplót. Ha ez nem Microsoft-szolgáltatás, forduljon a szolgáltatás szállítójához, és tekintse meg a szolgáltatásspecifikus hibakódot –21451857952."
  • A Windows Eseménynapló alatt az alkalmazás eseménynaplója egy 6028-at tartalmazó eseményazonosítójú hibát tartalmaz, és a "A kiszolgáló titkosítási kulcsa nem érhető el".

Annak érdekében, hogy ne kapja meg ezeket a hibákat, kövesse az ADSync szolgáltatásfiók titkosítási kulcsának elhagyásával kapcsolatos eljárásokat a jelszó módosításakor.

Az ADSync szolgáltatásfiók titkosítási kulcsának elhagyása

Fontos

A következő eljárások csak a Microsoft Entra Csatlakozás 1.1.443.0-s vagy régebbi buildre vonatkoznak. Ez nem használható a Microsoft Entra újabb verzióihoz Csatlakozás, mert a titkosítási kulcs elhagyását a Microsoft Entra Csatlakozás kezeli, amikor módosítja az AD szinkronizálási szolgáltatásfiók jelszavát, így az újabb verziókban nincs szükség a következő lépésekre.

A titkosítási kulcs elhagyásához használja az alábbi eljárásokat.

Mi a teendő, ha fel kell hagynia a titkosítási kulcsot?

Ha fel kell hagynia a titkosítási kulccsal, ezt az alábbi eljárásokkal végezheti el.

  1. A szinkronizálási szolgáltatás leállítása

  2. A meglévő titkosítási kulcs elhagyása

  3. Adja meg az AD DS Csatlakozás or-fiók jelszavát

  4. Az ADSync szolgáltatásfiók jelszavának újrainicializálása

  5. A szinkronizálási szolgáltatás indítása

A szinkronizálási szolgáltatás leállítása

Először leállíthatja a szolgáltatást a Windows Service Control Managerben. Győződjön meg arról, hogy a szolgáltatás nem fut, amikor megpróbálja leállítani. Ha igen, várjon, amíg befejeződik, majd állítsa le.

  1. Nyissa meg a Windows Service Control Managert (START → Services).
  2. Válassza a Microsoft Entra ID Sync lehetőséget , és kattintson a Leállítás gombra.

A meglévő titkosítási kulcs elhagyása

A meglévő titkosítási kulcs elhagyása új titkosítási kulcs létrehozásához:

  1. Jelentkezzen be a Microsoft Entra Csatlakozás-kiszolgálóra rendszergazdaként.

  2. Indítson egy új PowerShell-munkamenetet.

  3. Lépjen a mappába: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Futtassa a következő parancsot: ./miiskmu.exe /a

Képernyőkép a PowerShellről a parancs futtatása után.

Adja meg az AD DS Csatlakozás or-fiók jelszavát

Mivel az adatbázisban tárolt meglévő jelszavak már nem fejthetők vissza, meg kell adnia a szinkronizálási szolgáltatást az AD DS Csatlakozás or-fiók jelszavával. A szinkronizálási szolgáltatás az új titkosítási kulccsal titkosítja a jelszavakat:

  1. Indítsa el a Szinkronizálási szolgáltatáskezelőt (START → Szinkronizálási szolgáltatás).
    A Service Manager szinkronizálása
  2. Lépjen a Csatlakozás orok lapra.
  3. Válassza ki a helyszíni AD-nek megfelelő AD-Csatlakozás ort. Ha több AD-összekötővel rendelkezik, ismételje meg az alábbi lépéseket mindegyiknél.
  4. A Műveletek csoportban válassza a Tulajdonságok lehetőséget.
  5. Az előugró párbeszédpanelen válassza Csatlakozás az Active Directory-erdőbe:
  6. Írja be az AD DS-fiók jelszavát a Jelszó szövegmezőbe. Ha nem tudja a jelszavát, a lépés végrehajtása előtt be kell állítania egy ismert értékre.
  7. Kattintson az OK gombra az új jelszó mentéséhez és az előugró párbeszédpanel bezárásához. Képernyőkép a

Az Entra-azonosító Csatlakozás or-fiók jelszavának újrainicializálása

Közvetlenül nem adhatja meg a Microsoft Entra szolgáltatásfiók jelszavát a szinkronizálási szolgáltatásnak. Ehelyett az Add-ADSyncAADServiceAccount parancsmaggal kell újrainicializálnia a Microsoft Entra szolgáltatásfiókot. A parancsmag alaphelyzetbe állítja a fiók jelszavát, és elérhetővé teszi a szinkronizálási szolgáltatás számára:

  1. Jelentkezzen be a Microsoft Entra Csatlakozás Sync kiszolgálóra, és nyissa meg a PowerShellt.

  2. A Microsoft Entra Global Rendszergazda istrator hitelesítő adatainak megadásához futtassa a következőt$credential = Get-Credential: .

  3. Futtassa a parancsmagot Add-ADSyncAADServiceAccount -AADCredential $credential.

    Ha a parancsmag sikeres, megjelenik a PowerShell parancssora.

A parancsmag alaphelyzetbe állítja a szolgáltatásfiók jelszavát, és frissíti mind a Microsoft Entra-azonosítóban, mind a szinkronizálási motorban.

A szinkronizálási szolgáltatás indítása

Most, hogy a szinkronizálási szolgáltatás hozzáfér a titkosítási kulcshoz és az összes szükséges jelszóhoz, újraindíthatja a szolgáltatást a Windows Service Control Managerben:

  1. Nyissa meg a Windows Service Control Managert (START → Services).
  2. Válassza a Microsoft Entra ID Sync lehetőséget , majd kattintson az Újraindítás gombra.

Következő lépések

Áttekintési témakörök