變更 ADSync 服務帳戶密碼

如果您變更 ADSync 服務帳戶密碼，則在放棄加密金鑰並重新初始化 ADSync 服務帳戶密碼之前，同步處理服務不會正確啟動。

重要

如果您使用的 Connect 所具有的組建來自 2017 年 3 月或更早版本，由於 Windows 基於安全性理由會摧毀加密金鑰，您不應該重設服務帳戶的密碼。 只有重新安裝 Microsoft Entra Connect，才能將帳戶變更為其他任何帳戶。 如果您升級為來自 2017 年 4 月或更新版本的組建，則系統支援變更服務帳戶的密碼，但是您無法變更所使用的帳戶。

Microsoft Entra Connect 是同步處理服務的一部分，會使用加密金鑰來儲存 AD DS 連接器帳戶和 ADSync 服務帳戶的密碼。 這些帳戶會先加密再儲存到資料庫中。

所使用的加密金鑰會使用 Windows 資料保護 (DPAPI) 來提供保護。 DPAPI 使用 ADSync 服務帳戶來保護加密金鑰。

如果您需要變更服務帳戶的密碼，您可以使用放棄 ADSync 服務帳戶加密金鑰中的程序來完成這項作業。 如果您基於任何原因而需要放棄加密金鑰，您也應該使用這些程序。

變更密碼而引發的問題

當您在變更服務帳戶的密碼時，有兩件事必須完成。

第一件事，您必須在 Windows 服務控制管理員底下變更密碼。 在解決此問題之前，您會看到下列問題：

• 如果您嘗試在 Windows 服務控制管理員中啟動同步處理服務，您會收到錯誤「Windows 無法在本機電腦上啟動 Microsoft Entra ID 同步處理服務」。 錯誤 1069︰由於登入失敗，此服務未啟動。」
• 在 Windows 事件檢視器底下，系統事件記錄包含事件識別碼為 7038 的錯誤和「ADSync 服務無法使用目前設定的密碼來登入，因為發生下列錯誤︰使用者名稱或密碼不正確」的訊息。

第二件事，若密碼在特定狀況下做了更新，同步處理服務將無法再透過 DPAPI 擷取加密金鑰。 沒有加密金鑰，同步處理服務就無法將密碼解密，以供用來在內部部署 AD 和 Microsoft Entra ID 進行同步處理。 您會看到如下錯誤︰

• 如果您嘗試在 Windows 服務控制管理員底下啟動同步處理服務，但此服務無法擷取加密金鑰，此啟動作業便會失敗，並出現錯誤 「Windows 無法在本機電腦上啟動 Microsoft Entra ID 同步。如需詳細資訊，請檢閱系統事件記錄。如果這是一項非 Microsoft 服務，請連絡該服務廠商，並參照服務特定錯誤碼 -21451857952]。
• Windows 事件檢視器底下的應用程式事件記錄包含事件識別碼 6028 的錯誤和錯誤訊息「無法存取伺服器加密金鑰」。

若要確保不會收到這些錯誤，請在變更密碼時遵循放棄 ADSync 服務帳戶加密金鑰中的程序。

放棄 ADSync 服務帳戶加密金鑰

重要

下列程序只適用於 Microsoft Entra Connect 組建 1.1.443.0 或更舊版本。 這無法用於較新版本的 Microsoft Entra Connect，因為當您變更 AD 同步處理服務帳戶密碼時，放棄加密金鑰是由 Microsoft Entra Connect 自己處理，因此在較新版本中不需要進行下列步驟。

使用下列程序來放棄加密金鑰。

需要放棄加密金鑰時的作法

如果您需要放棄加密金鑰，請使用下列程序來完成此作業。

1. 停止同步處理服務

2. 放棄現有的加密金鑰

3. 提供 AD DS 連接器帳戶的密碼

4. 重新初始化 ADSync 服務帳戶的密碼

5. 啟動同步處理服務

停止同步處理服務

首先，您可以在 Windows 服務控制管理員中停止服務。 請確定在您嘗試停止服務時，服務未執行。 如果服務在執行中，請等候服務執行完成，再停止服務。

1. 移至 Windows 服務控制管理員 ([開始] → [服務])。
2. 選取 [Microsoft Entra ID 同步處理]，然後按一下 [停止]。

放棄現有的加密金鑰

放棄現有的加密金鑰，以便能夠建立新的加密金鑰︰

1. 以系統管理員身分登入您的 Microsoft Entra Connect 伺服器。

2. 啟動新的 PowerShell 工作階段。

3. 瀏覽至資料夾：'$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

4. 執行命令：./miiskmu.exe /a

提供 AD DS 連接器帳戶的密碼

因為儲存在資料庫內的現有密碼無法再解密，您必須為同步處理服務提供 AD DS 連接器帳戶的密碼。 同步處理服務會使用新的加密金鑰來將密碼加密︰

1. 啟動同步處理服務管理員 ([開始] → [同步處理服務])。
   
2. 移至 [連接器] 索引標籤。
3. 選取與內部部署 AD 對應的 [AD 連接器]。 如果您有多個 AD 連接器，請為每個連接器重複下列步驟。
4. 選取 [動作] 下方的 [屬性]。
5. 在快顯對話方塊中，選取 [連線至 Active Directory 樹系]：
6. 在 [密碼] 文字方塊中輸入 AD DS 帳戶的密碼。 如果您不知道該帳戶的密碼，您必須先將密碼設定為您知道的值，再執行此步驟。
7. 按一下 [確定] 以儲存新密碼，然後關閉快顯對話方塊。

重新初始化 Entra ID 連接器帳戶的密碼

您無法將 Microsoft Entra 服務帳戶的密碼直接提供給同步處理服務。 相反地，您必須使用 Add-ADSyncAADServiceAccount Cmdlet 來重新初始化 Microsoft Entra 服務帳戶。 此 Cmdlet 會重設帳戶密碼，並將密碼提供給同步處理服務︰

1. 登入 Microsoft Entra Connect 同步伺服器，並開啟 PowerShell。

2. 如要提供 Microsoft Entra 全域系統管理員認證，請執行 $credential = Get-Credential。

3. Add-ADSyncAADServiceAccount -AADCredential $credential執行 Cmdlet。

   如果 Cmdlet 成功，則會顯示 PowerShell 命令提示字元。

這個 Cmdlet 會重設服務帳戶的密碼，並更新 Microsoft Entra ID 和同步處理引擎的密碼。

啟動同步處理服務

由於同步處理服務已可存取所需要的加密金鑰和所有密碼，您可以在 Windows 服務控制管理員中重新啟動該服務︰

1. 移至 Windows 服務控制管理員 ([開始] → [服務])。
2. 選取 [Microsoft Entra ID 同步處理]，然後按一下 [重新啟動]。

下一步

概觀主題

• Microsoft Entra Connect 同步：瞭解和自訂同步處理

• 整合內部部署身分識別與 Microsoft Entra ID