Поделиться через

Изменение пароля учетной записи службы AD Sync

  • Статья

Если изменить пароль учетной записи службы ADSync, служба синхронизации не запускается правильно, пока не будет отменен ключ шифрования и повторно инициализирован пароль учетной записи службы ADSync.

Внимание

При использовании Connect сборки за март 2017 года или более ранней не следует сбрасывать пароль учетной записи службы, так как после этого Windows удалит ключи шифрования из соображений безопасности. Вы не можете изменить учетную запись на любую другую учетную запись, не переустановив Подключение Microsoft Entra. При обновлении до сборки с апреля 2017 г. или более поздней версии поддерживается изменение пароля учетной записи службы, но не удается изменить используемую учетную запись.

Microsoft Entra Подключение в рамках служб синхронизации использует ключ шифрования для хранения паролей учетной записи Подключение or AD DS и учетной записи службы ADSync. Эти учетные записи шифруются перед их хранением в базе данных.

Используемый ключ шифрования защищается с помощью защиты данных Windows (DPAPI). API защиты данных обеспечивает безопасность ключа шифрования с помощью учетной записи службы AD Sync.

Если вам нужно изменить пароль учетной записи службы, вы можете использовать инструкции из раздела Сброс ключа шифрования в учетной записи службы АD Sync. Эти процедуры вам пригодятся и в том случае, когда по какой-либо причине вам понадобится сбросить ключ шифрования.

Проблемы, которые возникают из-за смены пароля

Есть две вещи, которые необходимо выполнить при изменении пароля учетной записи службы.

Во-первых, нужно изменить пароль в диспетчере управления службами Windows. До устранения этой проблемы вы увидите следующие проблемы:

  • Если вы попытаетесь запустить службу синхронизации в диспетчере управления службами Windows, появится сообщение об ошибке "Не удалось запустить службу синхронизации идентификаторов Microsoft Entra на локальном компьютере". Ошибка 1069. Служба не запущена из-за ошибки входа в систему".
  • В средстве просмотра событий Windows журнал системных событий содержит ошибку с идентификатором 7038 и текстом сообщения "Служба ADSync не может войти в систему с текущим паролем из-за следующей ошибки: неверное указано имя пользователя или пароль".

Во-вторых, при некоторых условиях служба синхронизации после изменения пароля не может получить ключ шифрования через DPAPI. Без ключа шифрования служба синхронизации не может расшифровать пароли, необходимые для синхронизации с локальным AD и идентификатором Microsoft Entra. Вы увидите такие ошибки, как:

  • В диспетчере управления службами Windows, если вы пытаетесь запустить службу синхронизации и не сможете получить ключ шифрования, она завершается ошибкой "Windows не удалось запустить синхронизацию идентификатора Microsoft Entra на локальном компьютере. Дополнительные сведения см. в журнале событий системы. Если это служба, не связанная с Корпорацией Майкрософт, обратитесь к поставщику услуг и обратитесь к коду ошибки для конкретной службы -21451857952".
  • В windows Просмотр событий журнал событий приложения содержит ошибку с идентификатором события 6028 и сообщением об ошибке "Ключ шифрования сервера не удается получить доступ".

Чтобы убедиться, что эти ошибки не возникают, следуйте инструкциям в разделе "Отказ от ключа шифрования учетной записи службы ADSync" при изменении пароля.

Сброс ключа шифрования учетной записи службы AD Sync

Внимание

Следующие процедуры применяются только к Microsoft Entra Подключение сборке 1.1.443.0 или более ранней версии. Это невозможно использовать для более новых версий Microsoft Entra Подключение, так как отказ от ключа шифрования обрабатывается microsoft Entra Подключение при изменении пароля учетной записи службы синхронизации AD, поэтому в более новых версиях не требуется выполнить следующие действия.

Используйте следующие процедуры для сброса ключа шифрования.

Что делать, если нужно сбросить ключ шифрования

Если необходимо отказаться от ключа шифрования, используйте следующие процедуры, чтобы выполнить это.

  1. Остановка работы службы синхронизации

  2. Сброс существующего ключа шифрования

  3. Настройка пароля учетной записи соединителя AD DS

  4. Повторная инициализация пароля учетной записи службы AD Sync

  5. Запуск службы синхронизации

Остановка работы службы синхронизации

Вы можете остановить службу в диспетчере управления службами Windows. Убедитесь, что служба не запущена при попытке остановить ее. Если служба запущена, дождитесь завершения работы и остановите ее.

  1. Перейдите к диспетчеру управления службами Windows ("Пуск" → "Службы").
  2. Выберите microsoft Entra ID Sync и нажмите кнопку "Остановить".

Сброс существующего ключа шифрования

Чтобы создать новый ключ шифрования, нужно сначала сбросить существующий ключ шифрования.

  1. Войдите на сервер Microsoft Entra Подключение от имени администратора.

  2. Запустите сеанс PowerShell.

  3. Перейдите в папку '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'.

  4. Выполните команду ./miiskmu.exe /a.

Снимок экрана: окно PowerShell после выполнения команды.

Настройка пароля учетной записи соединителя AD DS

Так как расшифровка существующих паролей, которые хранятся в базе данных, стала невозможной, необходимо предоставить службе синхронизации пароль для учетной записи соединителя AD DS. Служба синхронизации зашифрует пароли, с помощью нового ключа шифрования.

  1. Запустите Synchronization Service Manager ("Запуск" → "Служба синхронизации").
    Диспетчер службы синхронизации
  2. Перейдите на вкладку Соединители.
  3. Выберите соединитель AD, соответствующий локальному экземпляру AD. Если у вас несколько соединителей AD, выполните перечисленные ниже шаги для каждого из них.
  4. В разделе Действия выберите Свойства.
  5. Во всплывающем диалоговом окне выберите Подключиться к лесу Active Directory.
  6. В текстовом поле Пароль введите новый пароль для учетной записи AD DS. Если вы не знаете свой пароль, перед выполнением этого шага необходимо задать для него известное значение.
  7. Нажмите кнопку ОК, чтобы сохранить новый пароль и закрыть всплывающее диалоговое окно. Снимок экрана: страница подключения к лесу Active Directory в окне

Повторная инициализация пароля учетной записи идентификатора записи Подключение or

Вы не можете напрямую указать пароль учетной записи службы Microsoft Entra в службу синхронизации. Вместо этого необходимо использовать командлет Add-ADSyncAADServiceAccount для повторной инициализации учетной записи службы Microsoft Entra. Этот командлет сбрасывает пароль учетной записи и передает его в службу синхронизации.

  1. Войдите на сервер синхронизации Microsoft Entra Подключение и откройте PowerShell.

  2. Чтобы предоставить учетные данные глобального Администратор istrator Microsoft Entra, выполните команду$credential = Get-Credential.

  3. Запустите командлет Add-ADSyncAADServiceAccount -AADCredential $credential.

    Если командлет выполнен успешно, появится командная строка PowerShell.

Командлет сбрасывает пароль для учетной записи службы и обновляет его как в идентификаторе Microsoft Entra, так и в обработчике синхронизации.

Запуск службы синхронизации

Теперь, когда служба синхронизации получила доступ к ключу шифрования и всем нужным паролям, вы можете перезапустить службы с помощью диспетчера управления службами Windows.

  1. Перейдите к диспетчеру управления службами Windows ("Пуск" → "Службы").
  2. Выберите "Синхронизация идентификаторов Microsoft Entra" и нажмите кнопку "Перезапустить".

Следующие шаги

Обзорные статьи