Sdílet prostřednictvím

Změna hesla účtu služby ADSync

  • Článek

Pokud změníte heslo účtu služby ADSync, synchronizační služba se nespustí správně, dokud neopustíte šifrovací klíč a znovu inicializujete heslo účtu služby ADSync.

Důležité

Pokud používáte connect s buildem z března 2017 nebo starším, neměli byste resetovat heslo k účtu služby, protože Systém Windows z bezpečnostních důvodů zničí šifrovací klíče. Účet nemůžete změnit na žádný jiný účet bez přeinstalace microsoft Entra Connect. Pokud upgradujete na build z dubna 2017 nebo novějšího, podporuje se změna hesla pro účet služby, ale použitý účet nemůžete změnit.

Microsoft Entra Connect v rámci synchronizačních služeb používá šifrovací klíč k ukládání hesel účtu konektoru AD DS a účtu služby ADSync. Tyto účty jsou před uložením v databázi zašifrované.

Použitý šifrovací klíč je zabezpečený pomocí rozhraní DPAPI (Windows Data Protection). Rozhraní DPAPI chrání šifrovací klíč pomocí účtu služby ADSync.

Pokud potřebujete změnit heslo účtu služby, můžete k tomu použít postupy při opuštění šifrovacího klíče účtu služby ADSync. Tyto postupy by se také měly použít, pokud potřebujete šifrovací klíč z nějakého důvodu opustit.

Problémy, ke kterým dochází při změně hesla

Při změně hesla účtu služby je potřeba provést dvě věci.

Nejprve je nutné změnit heslo ve Správci řízení služeb systému Windows. Dokud se tento problém nevyřeší, zobrazí se následující problémy:

  • Pokud se pokusíte spustit synchronizační službu ve Správci řízení služeb systému Windows, zobrazí se chybová zpráva "Systém Windows nemohl spustit službu Synchronizace ID Společnosti Microsoft v místním počítači". Chyba 1069: Služba se nespustí kvůli chybě přihlášení."
  • V části Windows Prohlížeč událostí obsahuje protokol událostí chybu s ID události 7038 a zpráva "Služba ADSync se nemohla přihlásit jako s aktuálně nakonfigurovaným heslem kvůli následující chybě: Uživatelské jméno nebo heslo není správné".

Za určitých podmínek, pokud je heslo aktualizováno, synchronizační služba už nemůže načíst šifrovací klíč přes ROZHRANÍ DPAPI. Bez šifrovacího klíče nemůže synchronizační služba dešifrovat hesla potřebná k synchronizaci s místní službou AD a MICROSOFT Entra ID. Zobrazí se například tyto chyby:

  • Pokud se v části Správce řízení služeb systému Windows pokusíte spustit synchronizační službu a nemůže načíst šifrovací klíč, selže s chybou "Systém Windows nemohl spustit synchronizaci ID Microsoft Entra v místním počítači. Další informace najdete v protokolu událostí systému. Pokud se jedná o službu, která není společností Microsoft, obraťte se na dodavatele služby a obraťte se na kód chyby specifický pro službu -21451857952."
  • V části Windows Prohlížeč událostí obsahuje protokol událostí aplikace chybu s ID události 6028 a chybovou zprávou "Šifrovací klíč serveru nelze získat přístup.".

Pokud chcete zajistit, že se tyto chyby nezobrazí, postupujte podle pokynů v části Opuštění šifrovacího klíče účtu služby ADSync při změně hesla.

Opuštění šifrovacího klíče účtu služby ADSync

Důležité

Následující postupy platí pouze pro build Microsoft Entra Connect 1.1.443.0 nebo starší. Tuto možnost nelze použít pro novější verze služby Microsoft Entra Connect, protože opuštění šifrovacího klíče zpracovává samotný Microsoft Entra Connect, když změníte heslo účtu synchronizační služby AD, takže v novějších verzích nejsou potřeba následující kroky.

K opuštění šifrovacího klíče použijte následující postupy.

Co dělat, když potřebujete šifrovací klíč opustit

Pokud potřebujete šifrovací klíč opustit, použijte k tomu následující postupy.

  1. Zastavení synchronizační služby

  2. Opuštění existujícího šifrovacího klíče

  3. Zadejte heslo účtu konektoru služby AD DS.

  4. Opětovné inicializace hesla účtu služby ADSync

  5. Spuštění synchronizační služby

Zastavení synchronizační služby

Nejprve můžete službu zastavit ve Správci řízení služeb systému Windows. Při pokusu o zastavení se ujistěte, že služba není spuštěná. Pokud ano, počkejte, až se dokončí, a pak ho zastavte.

  1. Přejděte do Správce řízení služeb systému Windows (START → Services).
  2. Vyberte Synchronizaci ID Microsoft Entra a klikněte na Zastavit.

Opuštění existujícího šifrovacího klíče

Opuštění existujícího šifrovacího klíče tak, aby bylo možné vytvořit nový šifrovací klíč:

  1. Přihlaste se ke svému serveru Microsoft Entra Connect jako správce.

  2. Spusťte novou relaci PowerShellu.

  3. Přejděte do složky: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Spusťte příkaz: ./miiskmu.exe /a

Snímek obrazovky znázorňující PowerShell po spuštění příkazu

Zadejte heslo účtu konektoru služby AD DS.

Vzhledem k tomu, že stávající hesla uložená v databázi už nejde dešifrovat, musíte službě synchronizace poskytnout heslo účtu konektoru služby AD DS. Synchronizační služba šifruje hesla pomocí nového šifrovacího klíče:

  1. Spusťte Synchronizační službu Service Manager (START → Synchronization Service).
    Synchronizace Service Manageru
  2. Přejděte na kartu Konektory .
  3. Vyberte konektor AD, který odpovídá vaší místní službě AD. Pokud máte více než jeden konektor AD, opakujte pro každý z nich následující postup.
  4. V části Akce vyberte Vlastnosti.
  5. V automaticky otevíraných dialogech vyberte Připojit k doménové struktuře služby Active Directory:
  6. Do textového pole Heslo zadejte heslo účtu SLUŽBY AD DS. Pokud heslo neznáte, musíte ho před provedením tohoto kroku nastavit na známou hodnotu.
  7. Kliknutím na ok uložte nové heslo a zavřete automaticky otevírané dialogové okno. Snímek obrazovky znázorňující stránku Připojit k doménové struktuře služby Active Directory v okně Vlastnosti

Opětovná inicializace hesla účtu konektoru Entra ID

Synchronizační službě nemůžete přímo zadat heslo účtu služby Microsoft Entra. Místo toho musíte k opětovné inicializaci účtu služby Microsoft Entra použít rutinu Add-ADSyncAADServiceAccount . Rutina resetuje heslo účtu a zpřístupní ho synchronizační službě:

  1. Přihlaste se k serveru Microsoft Entra Connect Sync a otevřete PowerShell.

  2. Pokud chcete zadat přihlašovací údaje globálního správce Microsoft Entra, spusťte $credential = Get-Credentialpříkaz .

  3. Spusťte rutinu Add-ADSyncAADServiceAccount -AADCredential $credential.

    Pokud je rutina úspěšná, zobrazí se příkazový řádek PowerShellu.

Rutina resetuje heslo pro účet služby a aktualizuje ho jak v Microsoft Entra ID, tak v synchronizačním modulu.

Spuštění synchronizační služby

Teď, když má synchronizační služba přístup k šifrovacímu klíči a všem heslům, která potřebuje, můžete službu restartovat ve Správci řízení služeb systému Windows:

  1. Přejděte do Správce řízení služeb systému Windows (START → Services).
  2. Vyberte Microsoft Entra ID Sync a klikněte na Restartovat.

Další kroky

Témata s přehledem