Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Program Microsoft Entra Connect instaluje usługę lokalną, która organizuje synchronizację między usługą Active Directory i identyfikatorem Entra firmy Microsoft. Usługa synchronizacji microsoft Entra ID Sync (ADSync) działa na serwerze w środowisku lokalnym. The credentials for the service are set by default in the Express installations but may be customized to meet your organizational security requirements. These credentials aren't used to connect to your on-premises forests or Microsoft Entra ID.
Wybranie konta usługi ADSync jest ważną decyzją planowania przed zainstalowaniem programu Microsoft Entra Connect. Każda próba zmiany poświadczeń po instalacji spowoduje, że uruchomienie usługi zakończy się niepowodzeniem, utratą dostępu do bazy danych synchronizacji i niepowodzeniem uwierzytelniania przy użyciu połączonych katalogów (Azure i AD DS). Synchronizacja nie następuje do momentu przywrócenia oryginalnych poświadczeń.
Usługa synchronizacji może działać na różnych kontach. Może działać w ramach konta usługi wirtualnej (VSA), zarządzanego konta usługi (gMSA/sMSA) lub zwykłego konta użytkownika. Obsługiwane opcje zostały zmienione wraz z wydaniem z kwietnia 2017 r. oraz marcowym wydaniem z 2021 r. programu Microsoft Entra Connect podczas nowej instalacji. W przypadku uaktualnienia z wcześniejszej wersji programu Microsoft Entra Connect te dodatkowe opcje nie są dostępne.
| Typ konta | Opcja instalacji | Opis |
|---|---|---|
| Konto usługi wirtualnej | Express and custom, 2017 April and later | Konto usługi wirtualnej jest używane dla wszystkich instalacji ekspresowych, z wyjątkiem instalacji na kontrolerze domeny. W przypadku korzystania z instalacji niestandardowej jest to opcja domyślna, chyba że zostanie użyta inna opcja. |
| Zarządzane konto usługi | Custom, 2017 April and later | Jeśli używasz zdalnego programu SQL Server, zalecamy użycie konta usługi zarządzanego przez grupę. |
| Zarządzane konto usługi | Express and custom, 2021 March and later | A standalone Managed Service Account prefixed with ADSyncMSA_ is created during installation for express installations when installed on a Domain Controller. W przypadku korzystania z instalacji niestandardowej jest to opcja domyślna, chyba że zostanie użyta inna opcja. |
| Konto użytkownika | Express i na zamówienie, od kwietnia 2017 do marca 2021. | Konto użytkownika z prefiksem AAD_ jest tworzone podczas szybkiej instalacji, gdy instalacja odbywa się na kontrolerze domeny. W przypadku korzystania z instalacji niestandardowej jest to opcja domyślna, chyba że zostanie użyta inna opcja. |
| Konto użytkownika | Express and custom, 2017 March and earlier | Konto użytkownika poprzedzone AAD_ jest tworzone podczas instalacji na potrzeby instalacji ekspresowej. W przypadku korzystania z instalacji niestandardowej można określić inne konto. |
Ważne
Jeśli używasz funkcji Connect z kompilacją z marca 2017 r. lub z wcześniejszej wersji, nie należy resetować hasła na koncie usługi, ponieważ system Windows usunie klucze szyfrowania ze względów bezpieczeństwa. Nie można zmienić konta na inne konto bez ponownej instalacji programu Microsoft Entra Connect. Jeśli uaktualnisz kompilację z kwietnia 2017 r. lub nowszą, będzie ona obsługiwana w celu zmiany hasła na koncie usługi, ale nie można zmienić użytego konta.
Ważne
Konto usługi można ustawić tylko podczas pierwszej instalacji. Zmiana konta usługi po zakończeniu instalacji nie jest obsługiwana. Jeśli musisz zmienić hasło konta usługi, jest to obsługiwane i instrukcje można znaleźć tutaj.
Poniżej przedstawiono tabelę opcji domyślnych, zalecanych i obsługiwanych dla konta usługi synchronizacji.
Legenda:
- Pogrubienie wskazuje opcję domyślną, a w większości przypadków zalecaną opcję.
- Italic indicates the recommended option when it's not the default option.
- Bez pogrubienia — opcja obsługiwana
- Konto lokalne — konto użytkownika lokalnego na serwerze
- Konto domeny — konto użytkownika domeny
- sMSA — autonomiczne konto usługi zarządzanej
- gMSA — konto usługi zarządzane przez grupę
| Typ maszyny |
LocalDB Express |
LocalDB/LocalSQL Custom |
Remote SQL Custom |
|---|---|---|---|
| maszyna przyłączona do domeny | VSA |
VSA sMSA gMSA Konto lokalne Konto domeny |
konto domeny gMSA |
| Kontroler domeny | sMSA |
sMSA gMSA Konto domeny |
konto domeny gMSA |
Konto usługi wirtualnej
Konto usługi wirtualnej to specjalny typ zarządzanego konta lokalnego, który nie ma hasła i jest automatycznie zarządzany przez system Windows.
Konto usługi wirtualnej ma być używane ze scenariuszami, w których aparat synchronizacji i program SQL znajdują się na tym samym serwerze. Jeśli używasz zdalnego programu SQL, zalecamy zamiast tego użycie konta usługi zarządzanego przez grupę.
Nie można używać konta usługi wirtualnej na kontrolerze domeny z powodu problemów z interfejsem API ochrony danych systemu Windows (DPAPI ).
Zarządzane konto usługi
Jeśli używasz zdalnego programu SQL Server, zalecamy użycie konta usługi zarządzanego przez grupę. Aby uzyskać więcej informacji na temat przygotowywania usługi Active Directory na potrzeby konta usługi zarządzanej przez grupę, zobacz Omówienie kont usług zarządzanych przez grupę.
Aby użyć tej opcji, na stronie Instalowanie wymaganych składników wybierz pozycję Użyj istniejącego konta usługi i wybierz pozycję Zarządzane konto usługi.
Również wspierane jest korzystanie z autonomicznego konta zarządzanej usługi. Można je jednak używać tylko na komputerze lokalnym i nie ma żadnych korzyści związanych z korzystaniem z nich za pośrednictwem domyślnego konta usługi wirtualnej.
Automatycznie generowane samodzielne konto zarządzanego serwisu
Jeśli zainstalujesz program Microsoft Entra Connect na kontrolerze domeny, autonomiczne zarządzane konto usługi zostanie utworzone przez kreatora instalacji (chyba że określisz konto do użycia w ustawieniach niestandardowych). The account is prefixed ADSyncMSA_ and used for the actual sync service to run as.
To konto jest kontem domeny zarządzanej, które nie ma hasła i jest automatycznie zarządzane przez system Windows.
To konto ma być używane w scenariuszach, w których silnik synchronizacji i SQL znajdują się na kontrolerze domeny.
Konto użytkownika
Kreator instalacji tworzy konto usługi lokalnej (chyba że określisz konto do użycia w ustawieniach niestandardowych). The account is prefixed AAD_ and used for the actual sync service to run as. Jeśli zainstalujesz program Microsoft Entra Connect na kontrolerze domeny, konto zostanie utworzone w domenie. Konto usługi AAD_ musi znajdować się w domenie, jeśli:
- Używasz serwera zdalnego z uruchomionym programem SQL Server
- Używasz serwera proxy, który wymaga uwierzytelniania
Konto jest tworzone z długim złożonym hasłem, które nie wygasa.
To konto służy do przechowywania haseł dla innych kont w bezpieczny sposób. Te inne hasła kont są przechowywane w bazie danych. The private keys for the encryption keys are protected with the cryptographic services secret-key encryption using Windows Data Protection API (DPAPI).
If you use a full SQL Server, then the service account is the DBO of the created database for the sync engine. The service won't function as intended with any other permission. Zostanie również utworzone logowanie SQL.
Konto ma również uprawnienia do plików, kluczy rejestru i innych obiektów związanych z silnikiem synchronizacji.
Następne kroki
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.