Share via

Ändra lösenordet för ADSync-tjänstkontot

  • Artikel

Om du ändrar lösenordet för ADSync-tjänstkontot startar inte synkroniseringstjänsten korrekt förrän du överger krypteringsnyckeln och initierade lösenordet för ADSync-tjänstkontot igen.

Viktigt!

Om du använder Anslut med en version från mars 2017 eller tidigare bör du inte återställa lösenordet på tjänstkontot eftersom Windows förstör krypteringsnycklarna av säkerhetsskäl. Du kan inte ändra kontot till något annat konto utan att installera om Microsoft Entra Anslut. Om du uppgraderar till en version från april 2017 eller senare stöds det att ändra lösenordet för tjänstkontot, men du kan inte ändra det konto som används.

Microsoft Entra Anslut som en del av synkroniseringstjänsterna använder en krypteringsnyckel för att lagra lösenorden för AD DS-Anslut eller-kontot och ADSync-tjänstkontot. Dessa konton krypteras innan de lagras i databasen.

Krypteringsnyckeln som används skyddas med hjälp av Windows Data Protection (DPAPI). DPAPI skyddar krypteringsnyckeln med hjälp av ADSync-tjänstkontot.

Om du behöver ändra lösenordet för tjänstkontot kan du använda procedurerna i Att överge krypteringsnyckeln för ADSync-tjänstkontot för att åstadkomma detta. Dessa procedurer bör också användas om du behöver överge krypteringsnyckeln av någon anledning.

Problem som uppstår vid ändring av lösenordet

Det finns två saker som måste göras när du ändrar lösenordet för tjänstkontot.

Först måste du ändra lösenordet under Windows Service Control Manager. Tills det här problemet har lösts ser du följande problem:

  • Om du försöker starta synkroniseringstjänsten i Windows Service Control Manager får du felet "Windows kunde inte starta Synkroniseringstjänsten för Microsoft Entra-ID på den lokala datorn". Fel 1069: Tjänsten startade inte på grund av ett inloggningsfel."
  • Under Windows Loggboken innehåller systemhändelseloggen ett fel med händelse-ID 7038 och meddelandet "ADSync-tjänsten kunde inte logga in som med det för närvarande konfigurerade lösenordet på grund av följande fel: Användarnamnet eller lösenordet är felaktigt.".

För det andra kan synkroniseringstjänsten inte längre hämta krypteringsnyckeln via DPAPI om lösenordet uppdateras. Utan krypteringsnyckeln kan synkroniseringstjänsten inte dekryptera de lösenord som krävs för att synkronisera till/från lokal AD och Microsoft Entra-ID. Du ser fel som:

  • Om du försöker starta synkroniseringstjänsten under Windows Service Control Manager och den inte kan hämta krypteringsnyckeln misslyckas den med felet "Windows kunde inte starta Synkronisering av Microsoft Entra-ID på den lokala datorn. Mer information finns i systemhändelseloggen. Om det här är en tjänst som inte kommer från Microsoft kontaktar du tjänstleverantören och hänvisar till tjänstspecifik felkod 21451857952."
  • Under Windows Loggboken innehåller programhändelseloggen ett fel med händelse-ID 6028 och felmeddelandet "Det går inte att komma åt serverkrypteringsnyckeln".

För att säkerställa att du inte får dessa fel följer du procedurerna i Att överge krypteringsnyckeln för ADSync-tjänstkontot när du ändrar lösenordet.

Överge krypteringsnyckeln för ADSync-tjänstkontot

Viktigt!

Följande procedurer gäller endast för Microsoft Entra Anslut version 1.1.443.0 eller senare. Detta kan inte användas för nyare versioner av Microsoft Entra Anslut eftersom det hanteras av Microsoft Entra Anslut sig själv när du ändrar lösenordet för AD-synkroniseringstjänstkontot så att följande steg inte behövs i de nyare versionerna.

Använd följande procedurer för att överge krypteringsnyckeln.

Vad du ska göra om du behöver överge krypteringsnyckeln

Om du behöver överge krypteringsnyckeln använder du följande procedurer för att åstadkomma detta.

  1. Stoppa synkroniseringstjänsten

  2. Överge den befintliga krypteringsnyckeln

  3. Ange lösenordet för AD DS-Anslut eller-kontot

  4. Initiera lösenordet för ADSync-tjänstkontot igen

  5. Starta synkroniseringstjänsten

Stoppa synkroniseringstjänsten

Först kan du stoppa tjänsten i Windows Service Control Manager. Kontrollera att tjänsten inte körs när du försöker stoppa den. Om det är det väntar du tills det har slutförts och stoppar det sedan.

  1. Gå till Windows Service Control Manager (START → Services).
  2. Välj Microsoft Entra ID Sync och klicka på Stoppa.

Överge den befintliga krypteringsnyckeln

Överge den befintliga krypteringsnyckeln så att den nya krypteringsnyckeln kan skapas:

  1. Logga in på Microsoft Entra Anslut Server som administratör.

  2. Starta en ny PowerShell-session.

  3. Gå till mapp: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Kör kommandot: ./miiskmu.exe /a

Skärmbild som visar PowerShell när kommandot har körts.

Ange lösenordet för AD DS-Anslut eller-kontot

Eftersom befintliga lösenord som lagras i databasen inte längre kan dekrypteras måste du ange synkroniseringstjänsten med lösenordet för AD DS-Anslut eller-kontot. Synkroniseringstjänsten krypterar lösenorden med den nya krypteringsnyckeln:

  1. Starta Synkroniseringstjänsthanteraren (START → Synchronization Service).
    Sync Service Manager
  2. Gå till fliken Anslut orer.
  3. Välj den AD-Anslut eller som motsvarar din lokala AD. Om du har fler än en AD-anslutningsapp upprepar du följande steg för var och en av dem.
  4. Under Åtgärder väljer du Egenskaper.
  5. I popup-dialogrutan väljer du Anslut till Active Directory Forest:
  6. Ange lösenordet för AD DS-kontot i textrutan Lösenord . Om du inte känner till lösenordet måste du ange det till ett känt värde innan du utför det här steget.
  7. Klicka på OK för att spara det nya lösenordet och stäng popup-dialogrutan. Skärmbild som visar sidan

Initiera lösenordet för Etttra-ID:t Anslut eller-kontot igen

Du kan inte ange lösenordet för Microsoft Entra-tjänstkontot direkt till synkroniseringstjänsten. I stället måste du använda cmdleten Add-ADSyncAADServiceAccount för att initiera om Microsoft Entra-tjänstkontot. Cmdleten återställer kontolösenordet och gör det tillgängligt för synkroniseringstjänsten:

  1. Logga in på Microsoft Entra Anslut Sync-servern och öppna PowerShell.

  2. Om du vill ange autentiseringsuppgifterna för Microsoft Entra Global Administrator kör du $credential = Get-Credential.

  3. Kör cmdleten Add-ADSyncAADServiceAccount -AADCredential $credential.

    Om cmdleten lyckas visas PowerShell-kommandotolken.

Cmdleten återställer lösenordet för tjänstkontot och uppdaterar det både i Microsoft Entra-ID och synkroniseringsmotorn.

Starta synkroniseringstjänsten

Nu när synkroniseringstjänsten har åtkomst till krypteringsnyckeln och alla lösenord som behövs kan du starta om tjänsten i Windows Service Control Manager:

  1. Gå till Windows Service Control Manager (START → Services).
  2. Välj Microsoft Entra ID Sync och klicka på Starta om.

Nästa steg

Översiktsavsnitt