AD Eşitleme hizmet hesabı parolasını değiştirme

  • Makale

AD Eşitleme hizmet hesabı parolasını değiştirirseniz, şifreleme anahtarını bırakıp AD Eşitleme hizmet hesabı parolasını yeniden başlatana kadar Eşitleme Hizmeti düzgün başlatılamaz.

Önemli

Bağlan 2017 Mart veya önceki bir derlemeyle kullanıyorsanız, Windows şifreleme anahtarlarını güvenlik nedeniyle yok ettiğinden hizmet hesabındaki parolayı sıfırlamamalısınız. Microsoft Entra Bağlan yeniden yüklemeden hesabı başka bir hesapla değiştiremezsiniz. 2017 Nisan veya sonraki bir sürümden bir derlemeye yükseltirseniz, hizmet hesabındaki parolayı değiştirmek desteklenir, ancak kullanılan hesabı değiştiremezsiniz.

Microsoft Entra Bağlan, Eşitleme Hizmetleri kapsamında AD DS Bağlan or hesabının ve AD Eşitleme hizmet hesabının parolalarını depolamak için bir şifreleme anahtarı kullanır. Bu hesaplar veritabanında depolanmadan önce şifrelenir.

Kullanılan şifreleme anahtarının güvenliği Windows Veri Koruması (DPAPI) kullanılarak sağlanır. DPAPI, AD Eşitleme hizmet hesabını kullanarak şifreleme anahtarını korur.

Hizmet hesabı parolasını değiştirmeniz gerekiyorsa, bunu yapmak için AD Eşitleme hizmet hesabı şifreleme anahtarını bırakma bölümünde yer alan yordamları kullanabilirsiniz. Şifreleme anahtarını herhangi bir nedenle bırakmanız gerekiyorsa bu yordamlar da kullanılmalıdır.

Parolanın değiştirilmesinden kaynaklanan sorunlar

Hizmet hesabı parolasını değiştirdiğinizde yapmanız gereken iki şey vardır.

İlk olarak, Windows Hizmet Denetim Yöneticisi'nin altındaki parolayı değiştirmeniz gerekir. Bu sorun çözülene kadar aşağıdaki hataları görürsünüz:

  • Eşitleme Hizmeti'ni Windows Hizmet Denetim Yöneticisi'nde başlatmaya çalışırsanız, "Windows, Yerel Bilgisayarda Microsoft Entra ID Eşitleme hizmetini başlatamadı" hatasını alırsınız. Hata 1069: Hizmet bir oturum açma hatası nedeniyle başlatılmadı."
  • Windows Olay Görüntüleyicisi altında, sistem olay günlüğü Olay Kimliği 7038 ile bir hata ve "AD Eşitleme hizmeti şu anda yapılandırılmış olan parolada şu hata nedeniyle oturum açamadı: Kullanıcı adı veya parola yanlış".

İkinci olarak, parola güncelleştirilirse, Eşitleme Hizmeti artık DPAPI aracılığıyla şifreleme anahtarını alamaz. Şifreleme anahtarı olmadan, Eşitleme Hizmeti şirket içi AD ve Microsoft Entra Kimliği'ne eşitlemek için gereken parolaların şifresini çözemez. Şu gibi hatalar görürsünüz:

  • Windows Hizmet Denetim Yöneticisi altında, Eşitleme Hizmeti'ni başlatmaya çalışırsanız ve şifreleme anahtarını alamazsa, "Windows, Yerel Bilgisayarda Microsoft Entra ID Eşitlemesini başlatamadı. Daha fazla bilgi için Sistem Olay günlüğünü gözden geçirin. Bu Microsoft dışı bir hizmetse, hizmet satıcısına başvurun ve hizmete özgü hata kodu -21451857952 başvurun."
  • Windows Olay Görüntüleyicisi altında, uygulama olay günlüğü Olay Kimliği 6028 ile bir hata ve "Sunucu şifreleme anahtarına erişilemiyor" hata iletisi içeriyor.

Bu hataları almadığınızdan emin olmak için parolayı değiştirirken AD Eşitleme hizmet hesabı şifreleme anahtarını bırakma makalesindeki yordamları izleyin.

AD Eşitleme hizmet hesabı şifreleme anahtarını bırakma

Önemli

Aşağıdaki yordamlar yalnızca Microsoft Entra Bağlan derleme 1.1.443.0 veya üzeri için geçerlidir. Bu, Microsoft Entra Bağlan'nin daha yeni sürümleri için kullanılamaz çünkü ad eşitleme hizmeti hesabı parolasını değiştirdiğinizde şifreleme anahtarını bırakma işlemi Microsoft Entra Bağlan tarafından işlenir ve bu nedenle yeni sürümlerde aşağıdaki adımlar gerekli değildir.

Şifreleme anahtarını bırakmak için aşağıdaki yordamları kullanın.

Şifreleme anahtarını bırakmanız gerekiyorsa yapmanız gerekenler

Şifreleme anahtarını bırakmanız gerekiyorsa, bunu gerçekleştirmek için aşağıdaki yordamları kullanın.

  1. Eşitleme Hizmetini Durdurma

  2. Mevcut şifreleme anahtarını bırakma

  3. AD DS Bağlan or hesabının parolasını belirtin

  4. AD Eşitleme hizmet hesabının parolasını yeniden başlatma

  5. Eşitleme Hizmeti'ni başlatma

Eşitleme Hizmetini Durdurma

İlk olarak Windows Hizmet Denetim Yöneticisi'nde hizmeti durdurabilirsiniz. Hizmeti durdurmaya çalışırken hizmetin çalışmadığından emin olun. Öyleyse, tamamlanana kadar bekleyin ve ardından durdurun.

  1. Windows Hizmet Denetim Yöneticisi'ne (START → Services) gidin.
  2. Microsoft Entra ID Sync'i seçin ve Durdur'a tıklayın.

Mevcut şifreleme anahtarını bırakma

Yeni şifreleme anahtarının oluşturulabilmesi için mevcut şifreleme anahtarını bırakın:

  1. Microsoft Entra Bağlan Sunucunuzda yönetici olarak oturum açın.

  2. Yeni bir PowerShell oturumu başlatın.

  3. Klasöre gidin: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Komutunu çalıştırın: ./miiskmu.exe /a

Screenshot that shows PowerShell after running the command.

AD DS Bağlan or hesabının parolasını belirtin

Veritabanında depolanan mevcut parolaların şifresi artık çözülemediğinden, Eşitleme Hizmeti'ne AD DS Bağlan or hesabının parolasını sağlamanız gerekir. Eşitleme Hizmeti yeni şifreleme anahtarını kullanarak parolaları şifreler:

  1. Eşitleme Hizmeti Yöneticisi'ni başlatın (START → Eşitleme Hizmeti).
    Sync Service Manager
  2. Bağlan orlar sekmesine gidin.
  3. Şirket içi AD'nize karşılık gelen AD Bağlan veyasını seçin. Birden fazla AD bağlayıcınız varsa, her biri için aşağıdaki adımları yineleyin.
  4. Eylemler'in altında Özellikler'i seçin.
  5. Açılan iletişim kutusunda Active Directory Ormanı'na Bağlan'yi seçin:
  6. Ad DS hesabının parolasını Parola metin kutusuna girin. Parolasını bilmiyorsanız, bu adımı gerçekleştirmeden önce parolayı bilinen bir değere ayarlamanız gerekir.
  7. Yeni parolayı kaydetmek ve açılır iletişim kutusunu kapatmak için Tamam'a tıklayın. Screenshot that shows the

AD Eşitleme hizmet hesabının parolasını yeniden başlatma

Microsoft Entra hizmet hesabının parolasını Eşitleme Hizmeti'ne doğrudan sağlayamazsınız. Bunun yerine, Microsoft Entra hizmet hesabını yeniden etkinleştirmek için Add-AD Eşitleme AADServiceAccount cmdlet'ini kullanmanız gerekir. cmdlet'i hesap parolasını sıfırlar ve Eşitleme Hizmeti'nin kullanımına sağlar:

  1. Microsoft Entra Bağlan Eşitleme sunucusunda oturum açın ve PowerShell'i açın.

  2. Microsoft Entra Global Yönetici istrator kimlik bilgilerini sağlamak için komutunu çalıştırın$credential = Get-Credential.

  3. cmdlet'ini Add-ADSyncAADServiceAccount -AADCredential $credentialçalıştırın.

    Cmdlet başarılı olursa PowerShell komut istemi görüntülenir.

Cmdlet, hizmet hesabının parolasını sıfırlar ve hem Microsoft Entra Id'de hem de eşitleme altyapısında güncelleştirir.

Eşitleme Hizmeti'ni başlatma

Eşitleme Hizmeti'nin şifreleme anahtarına ve gereken tüm parolalara erişimi olduğuna göre, hizmeti Windows Hizmet Denetim Yöneticisi'nde yeniden başlatabilirsiniz:

  1. Windows Hizmet Denetim Yöneticisi'ne (START → Services) gidin.
  2. Microsoft Entra ID Sync'i seçin ve Yeniden Başlat'a tıklayın.

Sonraki adımlar

Genel bakış konuları