Alterar a palavra-passe da conta de serviço ADSync

Se você alterar a senha da conta de serviço ADSync, o Serviço de Sincronização não será iniciado corretamente até que você abandone a chave de criptografia e reinicialize a senha da conta de serviço ADSync.

Importante

Se você usar Connect with a build from 2017 March or anterior, não deverá redefinir a senha na conta de serviço, pois o Windows destrói as chaves de criptografia por motivos de segurança. Não é possível alterar a conta para qualquer outra conta sem reinstalar o Microsoft Entra Connect. Se você atualizar para uma compilação de abril de 2017 ou posterior, há suporte para alterar a senha na conta de serviço, mas não é possível alterar a conta usada.

O Microsoft Entra Connect, como parte dos Serviços de Sincronização, usa uma chave de criptografia para armazenar as senhas da conta do Conector AD DS e da conta do serviço ADSync. Essas contas são criptografadas antes de serem armazenadas no banco de dados.

A chave de criptografia usada é protegida usando o Windows Data Protection (DPAPI). O DPAPI protege a chave de criptografia usando a conta de serviço ADSync.

Se você precisar alterar a senha da conta de serviço, você pode usar os procedimentos em Abandonando a chave de criptografia da conta de serviço ADSync para fazer isso. Esses procedimentos também devem ser usados se você precisar abandonar a chave de criptografia por qualquer motivo.

Problemas decorrentes da alteração da palavra-passe

Há duas coisas que precisam ser feitas quando você altera a senha da conta de serviço.

Primeiro, você precisa alterar a senha no Gerenciador de Controle de Serviços do Windows. Até que esse problema seja resolvido, você verá os seguintes problemas:

• Se você tentar iniciar o serviço de sincronização no Gerenciador de controle de serviço do Windows, você receber o erro "O Windows não pôde iniciar o serviço de sincronização de ID do Microsoft Entra no computador local". Erro 1069: O serviço não foi iniciado devido a uma falha de logon."
• Em Visualizador de Eventos do Windows, o log de eventos do sistema contém um erro com a ID de Evento 7038 e a mensagem "O serviço ADSync não pôde fazer logon como com a senha configurada atualmente devido ao seguinte erro: O nome de usuário ou senha está incorreto."

Em segundo lugar, sob condições específicas, se a senha for atualizada, o Serviço de Sincronização não poderá mais recuperar a chave de criptografia via DPAPI. Sem a chave de criptografia, o Serviço de Sincronização não pode descriptografar as senhas necessárias para sincronizar de/para o AD local e o ID do Microsoft Entra. Você vê erros como:

• No Gerenciador de Controle de Serviços do Windows, se você tentar iniciar o Serviço de Sincronização e ele não conseguir recuperar a chave de criptografia, ele falhará com o erro "O Windows não pôde iniciar a Sincronização de ID do Microsoft Entra no Computador Local. Para obter mais informações, consulte o log de eventos do sistema. Se este for um serviço que não seja da Microsoft, entre em contato com o fornecedor do serviço e consulte o código de erro específico do serviço -21451857952."
• Em Visualizador de Eventos do Windows, o log de eventos do Aplicativo contém um erro com a ID de Evento 6028 e a mensagem de erro "A chave de criptografia do servidor não pode ser acessada".

Para garantir que você não receba esses erros, siga os procedimentos em Abandonando a chave de criptografia da conta de serviço ADSync ao alterar a senha.

Abandonando a chave de criptografia da conta de serviço ADSync

Importante

Os procedimentos a seguir só se aplicam ao Microsoft Entra Connect build 1.1.443.0 ou anterior. Isso não pode ser usado para versões mais recentes do Microsoft Entra Connect porque o abandono da chave de criptografia é tratado pelo próprio Microsoft Entra Connect quando você altera a senha da conta do serviço de sincronização do AD, portanto, as etapas a seguir não são necessárias nas versões mais recentes.

Use os procedimentos a seguir para abandonar a chave de criptografia.

O que fazer se precisar abandonar a chave de criptografia

Se você precisar abandonar a chave de criptografia, use os procedimentos a seguir para fazer isso.

1. Parar o Serviço de Sincronização

2. Abandonar a chave de criptografia existente

3. Forneça a senha da conta do AD DS Connector

4. Reinicializar a senha da conta de serviço ADSync

5. Iniciar o Serviço de Sincronização

Parar o Serviço de Sincronização

Primeiro, você pode parar o serviço no Gerenciador de Controle de Serviços do Windows. Certifique-se de que o serviço não está em execução ao tentar pará-lo. Se estiver, espere até que termine e, em seguida, pare-o.

1. Vá para o Gerenciador de Controle de Serviços do Windows (START → Services).
2. Selecione Microsoft Entra ID Sync e clique em Parar.

Abandonar a chave de criptografia existente

Abandone a chave de criptografia existente para que uma nova chave de criptografia possa ser criada:

1. Entre no seu Microsoft Entra Connect Server como administrador.

2. Inicie uma nova sessão do PowerShell.

3. Navegue até a pasta: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

4. Execute o comando: ./miiskmu.exe /a

Forneça a senha da conta do AD DS Connector

Como as senhas existentes armazenadas no banco de dados não podem mais ser descriptografadas, você precisa fornecer ao Serviço de Sincronização a senha da conta do Conector AD DS. O Serviço de Sincronização criptografa as senhas usando a nova chave de criptografia:

1. Inicie o Gerenciador de Serviço de Sincronização (START → Synchronization Service).
   
2. Vá para a guia Conectores .
3. Selecione o AD Connector que corresponde ao seu AD local. Se você tiver mais de um conector AD, repita as etapas a seguir para cada um deles.
4. Em Ações, selecione Propriedades.
5. Na caixa de diálogo pop-up, selecione Conectar à Floresta do Ative Directory:
6. Digite a senha da conta do AD DS na caixa de texto Senha . Se você não souber sua senha, deverá defini-la como um valor conhecido antes de executar esta etapa.
7. Clique em OK para salvar a nova senha e fechar a caixa de diálogo pop-up.

Reinicializar a senha da conta do Entra ID Connector

Não é possível fornecer diretamente a senha da conta de serviço do Microsoft Entra ao Serviço de Sincronização. Em vez disso, você precisa usar o cmdlet Add-ADSyncAADServiceAccount para reinicializar a conta de serviço do Microsoft Entra. O cmdlet redefine a senha da conta e a disponibiliza para o Serviço de Sincronização:

1. Entre no servidor Microsoft Entra Connect Sync e abra o PowerShell.

2. Para fornecer as credenciais de Administrador Global do Microsoft Entra, execute $credential = Get-Credential.

3. Execute o cmdlet Add-ADSyncAADServiceAccount -AADCredential $credential.

   Se o cmdlet for bem-sucedido, o prompt de comando do PowerShell será exibido.

O cmdlet redefine a senha da conta de serviço e a atualiza no ID do Microsoft Entra e no mecanismo de sincronização.

Iniciar o Serviço de Sincronização

Agora que o Serviço de Sincronização tem acesso à chave de criptografia e a todas as senhas necessárias, você pode reiniciar o serviço no Gerenciador de Controle de Serviços do Windows:

1. Vá para o Gerenciador de Controle de Serviços do Windows (START → Services).
2. Selecione Microsoft Entra ID Sync e clique em Reiniciar.

Próximos passos

Tópicos de visão geral

• Microsoft Entra Connect Sync: Compreender e personalizar a sincronização

• Integrando suas identidades locais com o Microsoft Entra ID