ADSync サービス アカウントのパスワードの変更
ADSync サービス アカウントのパスワードを変更すると、暗号化キーを破棄し、ADSync サービス アカウントのパスワードを再初期化するまで、同期サービスを正常に開始できなくなります。
重要
2017 年 3 月以前のバージョンのビルドで Connect を使用した場合、Windows は、セキュリティ上の理由から暗号化キーを破棄するため、サービス アカウントのパスワードをリセットする必要はありません。 アカウントを他のアカウントに変更するには、Microsoft Entra Connect を再インストールする必要があります。 2017 年 4 月以降のビルドにアップグレードする場合、サービス アカウントのパスワードを変更することはできますが、使用されるアカウントを変更することはできません。
Microsoft Entra Connect は同期サービスの一部として、暗号化キーを使用して AD DS コネクタ アカウントと ADSync サービス アカウントのパスワードを保存します。 これらのアカウントは、データベースへの保存前に暗号化されます。
暗号化キーは、Windows データ保護 (DPAPI) を使用して保護されています。 DPAPI では、ADSync サービス アカウントを使用して暗号化キーを保護します。
サービス アカウントのパスワードを変更する必要がある場合は、「ADSync サービス アカウントの暗号化キーの破棄」の手順に従って変更します。 この手順は、なんらかの理由で暗号化キーを破棄する必要がある場合にも使用してください。
パスワードの変更により生じる問題
サービス アカウントのパスワードを変更する場合、2 つの手順を完了する必要があります。
最初に、Windows サービス コントロール マネージャーでパスワードを変更する必要があります。 この問題を解決するまで、次のエラーが表示されます。
- Windows サービス コントロール マネージャーで同期サービスを開始しようとすると、"ローカル コンピューターの Microsoft Azure AD Sync サービスを開始できませんでした"というエラーが表示されます。 エラー 1069:ログオンに失敗したため、サービスを開始できませんでした" というエラーが表示されます。
- Windows イベント ビューアーでは、システム イベント ログにイベント ID 7038 のエラーと、"現在構成されているパスワードでは、次のエラーにより ADSync サービスにログオンできませんでした:ユーザー名またはパスワードが正しくありません" というメッセージが記録されます。
次に、特定の条件下では、パスワードを更新すると同期サービスで DPAPI を使用して暗号化キーを取得できなくなります。 暗号化キーがないと、同期サービスはオンプレミスの AD および Microsoft Entra ID と同期するために必要なパスワードの暗号化を解除できません。 次のようなエラーが表示されます。
- Windows サービス コントロール マネージャーで同期サービスを開始しようとすると、暗号化キーを取得できないため、"ローカル コンピューターで Microsoft Entra ID Sync を開始できませんでした。詳細情報はシステム イベント ログを参照してください。これが Microsoft 以外のサービスである場合は、サービス ベンダーに問い合わせてください。その際、サービス固有のエラー コードが -21451857952 であることを伝えてください" というエラーが表示され失敗します。
- Windows イベント ビューアーでは、アプリケーション イベント ログにイベント ID 6028 のエラーと、 "The server encryption key cannot be accessed." (サーバー暗号化キーにアクセスできませんでした) というエラー メッセージが記録されます。
これらのエラーが表示されないようにするために、パスワードの変更時には「ADSync サービス アカウントの暗号化キーの破棄」の手順に従ってください。
ADSync サービス アカウントの暗号化キーの破棄
重要
次の手順は、ビルド 1.1.443.0 以前の Microsoft Entra Connect にのみ適用されます。 これは、新しいバージョンの Microsoft Entra Connect には使用できません。AD 同期サービス アカウントのパスワードを変更するときに、暗号化キーの破棄が Microsoft Entra Connect 自体によって処理されるためです。そのため、新しいバージョンでは次の手順は必要ありません。
暗号化キーを破棄するには、次の手順を実行します。
暗号化キーを破棄する必要がある場合の対処方法
暗号化キーを破棄する必要がある場合は、次の手順に従って破棄を行います。
同期サービスを停止する
まず、Windows サービス コントロール マネージャーでサービスを停止できます。 サービスを停止する場合は、そのサービスが実行されていないことを確認してください。 サービスが実行されている場合は、完了するまで待ってから停止します。
- Windows サービス コントロール マネージャーにアクセスします ([スタート]、[サービス] の順に移動します)。
- [Microsoft Entra ID Sync](Microsoft Entra ID 同期) を選択して [停止] をクリックします。
既存の暗号化キーを破棄する
新しい暗号化キーを作成できるように、既存の暗号化キーを破棄します。
管理者として Microsoft Entra Connect サーバーにサインインします。
新しい PowerShell セッションを開始します。
'$env:ProgramFiles\Microsoft Azure AD Sync\bin\'フォルダーに移動します。./miiskmu.exe /aコマンドを実行します
AD DS コネクタ アカウントのパスワードを入力する
データベース内に保存されている既存のパスワードの暗号化を解除できなくなるため、同期サービスに AD DS コネクタ アカウントのパスワードを入力する必要があります。 同期サービスでは、新しい暗号化キーを使用してこのパスワードを暗号化します。
- Synchronization Service Manager を起動します ([スタート]、[同期サービス] の順に移動します)。
- [コネクタ] タブに移動します。
- オンプレミス AD に対応する AD コネクタ を選択します。 AD コネクタが複数ある場合は、各コネクタについて次の手順を繰り返します。
- [アクション] の [プロパティ] を選択します。
- ポップアップ ダイアログで、 [Connect to Active Directory Forest] \(Active Directory フォレストに接続) を選択します。
- AD DS アカウントのパスワードを [パスワード] テキストボックスに入力します。 パスワードがわからない場合は、この手順を実行する前に既知の値に設定する必要があります。
- [OK] をクリックして新しいパスワードを保存し、ポップアップ ダイアログを閉じます。
ADSync サービス アカウントのパスワードを再初期化する
同期サービスに Microsoft Entra サービス アカウントのパスワードを直接指定することはできません。 代わりに、Add-ADSyncAADServiceAccount コマンドレットを使用して、Microsoft Entra サービス アカウントを再初期化する必要があります。 このコマンドレットによりアカウントのパスワードがリセットされ、同期サービスで利用できるようになります。
Microsoft Entra Connect 同期サーバーにサインインし、PowerShell を開きます。
Microsoft Entra グローバル管理者の資格情報を指定するには、
$credential = Get-Credentialを実行します。コマンドレット
Add-ADSyncAADServiceAccount -AADCredential $credentialを実行します。コマンドレットが成功すると、PowerShell コマンド プロンプトが表示されます。
このコマンドレットは、Microsoft Entra ID と同期エンジンの両方で、サービス アカウントのパスワードをリセットして更新します。
同期サービスを開始する
これで、同期サービスで必要な暗号化キーとすべてのパスワードにアクセスできるようになったので、Windows サービス コントロール マネージャーでサービスを再起動します。
- Windows サービス コントロール マネージャーにアクセスします ([スタート]、[サービス] の順に移動します)。
- [Microsoft Entra ID Sync](Microsoft Entra ID 同期) を選択して [再起動] をクリックします。
次のステップ
概要トピック