Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Jika Anda mengubah kata sandi akun layanan SINKRONISASI AAD, Layanan Sinkronisasi tidak dimulai dengan benar sampai Anda meninggalkan kunci enkripsi dan menginisialisasi ulang kata sandi akun layanan Sinkronisasi AAD.
Penting
Jika Anda menggunakan Connect dengan build dari 2017 Maret atau versi lebih lama, maka Anda tidak boleh mengatur ulang kata sandi pada akun layanan karena Windows menghancurkan kunci enkripsi untuk alasan keamanan. Anda tidak dapat mengubah akun ke akun lain tanpa menginstal ulang Microsoft Entra Connect. Jika Anda meningkatkan ke build dari April 2017 atau yang lebih baru, maka Anda diperbolehkan mengubah kata sandi pada akun layanan, tetapi Anda tidak boleh mengubah akun yang sedang digunakan.
Microsoft Entra Connect, sebagai bagian dari Layanan Sinkronisasi menggunakan kunci enkripsi untuk menyimpan kata sandi akun Konektor AD DS dan akun layanan SINKRONISASI AAD. Akun-akun ini dienkripsi sebelum disimpan dalam database.
Kunci enkripsi yang digunakan aman menggunakan Windows Data Protection (DPAPI). DPAPI melindungi kunci enkripsi menggunakan akun layanan ADSync.
Jika perlu mengubah kata sandi akun layanan, Anda dapat menggunakan prosedur dalam Mengabaikan kunci enkripsi akun layanan ADSync untuk menyelesaikannya. Prosedur ini juga harus digunakan jika Anda perlu mengabaikan kunci enkripsi karena alasan apa pun.
Masalah yang muncul dari mengubah kata sandi
Ada dua hal yang perlu dilakukan ketika Anda mengubah kata sandi akun layanan.
Pertama, Anda perlu mengubah kata sandi di bawah Windows Service Control Manager. Hingga masalah ini teratasi, Anda akan melihat masalah berikut:
- Jika Anda mencoba memulai Layanan Sinkronisasi di Pengelola Kontrol Layanan Windows, Anda menerima kesalahan "Windows tidak dapat memulai layanan Sinkronisasi ID Microsoft Entra di Komputer Lokal". Kesalahan 1069: Layanan tidak dapat dimulai karena kegagalan masuk."
- Di bawah Pemantau Peristiwa Windows, log kejadian sistem berisi kesalahan dengan ID Peristiwa 7038 dan pesan "Layanan ADSync tidak dapat masuk dengan kata sandi yang saat ini dikonfigurasi karena kesalahan berikut: Nama pengguna atau kata sandi salah."
Kedua, dalam kondisi tertentu, jika kata sandi diperbarui, Layanan Sinkronisasi tidak dapat lagi mengambil kunci enkripsi melalui DPAPI. Tanpa kunci enkripsi, Layanan Sinkronisasi tidak dapat mendekripsi kata sandi yang diperlukan untuk menyinkronkan ke/dari AD lokal dan ID Microsoft Entra. Anda melihat kesalahan seperti:
- Di bawah Pengelola Kontrol Layanan Windows, jika Anda mencoba memulai Layanan Sinkronisasi dan tidak dapat mengambil kunci enkripsi, itu gagal dengan kesalahan "Windows tidak dapat memulai Sinkronisasi ID Microsoft Entra di Komputer Lokal. Untuk informasi selengkapnya, tinjau log Peristiwa Sistem. Jika ini adalah layanan non-Microsoft, hubungi vendor layanan, dan lihat kode kesalahan khusus layanan -21451857952."
- Di bawah Windows Pemantau Peristiwa, log peristiwa Aplikasi berisi kesalahan dengan ID Peristiwa 6028 dan pesan kesalahan "Kunci enkripsi server tidak dapat diakses."
Untuk memastikan bahwa Anda tidak menerima kesalahan ini, ikuti prosedur di Mengabaikan kunci enkripsi akun layanan Sinkronisasi AAD saat mengubah kata sandi.
Mengabaikan kunci enkripsi akun layanan ADSync
Penting
Prosedur berikut ini hanya berlaku untuk Microsoft Entra Connect build 1.1.443.0 atau yang lebih lama. Ini tidak dapat digunakan untuk versi Microsoft Entra Connect yang lebih baru karena meninggalkan kunci enkripsi ditangani oleh Microsoft Entra Connect itu sendiri saat Anda mengubah kata sandi akun layanan sinkronisasi AD sehingga langkah-langkah berikut tidak diperlukan dalam versi yang lebih baru.
Gunakan prosedur berikut untuk mengabaikan kunci enkripsi.
Apa yang harus dilakukan jika Anda perlu mengabaikan kunci enkripsi
Jika Anda perlu meninggalkan kunci enkripsi, gunakan prosedur berikut untuk mencapainya.
Menghentikan Layanan Sinkronisasi
Pertama, Anda dapat menghentikan layanan di Windows Service Control Manager. Pastikan bahwa layanan tidak berjalan saat mencoba menghentikannya. Jika memang berjalan, tunggu sampai selesai lalu hentikan.
- Buka Windows Service Control Manager (MULAI → Layanan).
- Pilih Microsoft Entra ID Sync dan klik Hentikan.
Abaikan kunci enkripsi yang ada
Abaikan kunci enkripsi yang ada agar kunci enkripsi baru bisa dibuat:
Masuk ke Microsoft Entra Connect Server Anda sebagai administrator.
Memulai sesi PowerShell baru.
Arahkan ke folder:
'$env:ProgramFiles\Microsoft Azure AD Sync\bin\'
Jalankan perintah:
./miiskmu.exe /a
Memberikan kata sandi akun AD DS Connector
Karena kata sandi yang ada yang disimpan di dalam database tidak lagi dapat didekripsi, Anda perlu menyediakan Layanan Sinkronisasi dengan kata sandi akun AD DS Connector. Layanan Sinkronisasi mengenkripsi kata sandi menggunakan kunci enkripsi baru:
- Memulai Synchronization Service Manager (MULAI → Layanan Sinkronisasi).
- Buka tab Konektor.
- Pilih AD Connector yang sesuai dengan AD lokal Anda. Jika Anda memiliki lebih dari satu konektor AD, ulangi langkah-langkah berikut untuk masing-masing konektor tersebut.
- Di bawah Tindakan, pilih Properti.
- Dalam dialog pop-up, pilih Sambungkan ke Active Directory Forest:
- Di kotak teks Kata Sandi, masukkan kata sandi akun AD DS. Jika Anda tidak mengetahui kata sandinya, Anda harus mengaturnya ke nilai yang diketahui sebelum melakukan langkah ini.
- Klik OK untuk menyimpan kata sandi baru dan menutup dialog pop-up.
Menginisialisasi ulang kata sandi akun Entra ID Connector
Anda tidak dapat langsung memberikan kata sandi akun layanan Microsoft Entra ke Layanan Sinkronisasi. Sebagai gantinya, Anda perlu menggunakan cmdlet Add-ADSyncAADServiceAccount untuk menginisialisasi ulang akun layanan Microsoft Entra. Cmdlet mengatur ulang kata sandi akun dan membuatnya tersedia untuk Layanan Sinkronisasi:
Masuk ke server Sinkronisasi Microsoft Entra Connect dan buka PowerShell.
Untuk memberikan kredensial Administrator Global Microsoft Entra, jalankan
$credential = Get-Credential
.Jalankan cmdlet
Add-ADSyncAADServiceAccount -AADCredential $credential
.Jika cmdlet berhasil, muncul prompt perintah PowerShell.
Cmdlet mengatur ulang kata sandi untuk akun layanan dan memperbaruinya baik di ID Microsoft Entra maupun mesin sinkronisasi.
Memulai Layanan Sinkronisasi
Setelah Layanan Sinkronisasi memiliki akses ke kunci enkripsi dan semua kata sandi yang dibutuhkannya, Anda dapat memulai ulang layanan di Windows Service Control Manager:
- Buka Windows Service Control Manager (MULAI → Layanan).
- Pilih Microsoft Entra ID Sync dan klik Mulai Ulang.
Langkah berikutnya
Topik ringkasan