Cambiar la contraseña de la cuenta de servicio de ADSync
Si cambia la contraseña de la cuenta de servicio de ADSync, el servicio de sincronización no se inicia correctamente hasta que abandone la clave de cifrado y reinicialice la contraseña de la cuenta de servicio de ADSync.
Importante
Si utiliza Connect con una compilación de marzo de 2017 o anterior, no debe restablecer la contraseña en la cuenta de servicio, ya que Windows destruye las claves de cifrado por motivos de seguridad. No puede cambiar la cuenta por ninguna otra sin reinstalar Microsoft Entra Connect. Si se actualiza a una compilación de abril de 2017 o posterior, se permite cambiar la contraseña de la cuenta de servicio, pero no puede cambiar la cuenta utilizada.
Microsoft Entra Connect, como parte de los servicios de sincronización, utiliza una clave de cifrado para almacenar las contraseñas de la cuenta del conector AD DS y de la cuenta del servicio ADSync. Estas cuentas se cifran antes de almacenarse en la base de datos.
La clave de cifrado usada se protege mediante la API de protección de datos de Windows (DPAPI). Para proteger la clave de cifrado, DPAPI usa la cuenta de servicio ADSync.
Si tiene que cambiar la contraseña de la cuenta de servicio, puede seguir para ello los procedimientos descritos en Abandonar la clave de cifrado de la cuenta de servicio de ADSync. También debe seguir estos procedimientos si por algún motivo tiene que abandonar la clave de cifrado.
Problemas que surgen al cambiar la contraseña
Es preciso hacer dos cosas al cambiar la contraseña de la cuenta del servicio.
En primer lugar, tiene que cambiar la contraseña en el Administrador de control de servicios de Windows. Hasta que se solucione este problema, verá los siguientes errores:
- Si intenta iniciar el Servicio de sincronización en el Administrador de control de servicios de Windows, recibirá el error "Windows no pudo iniciar el servicio Microsoft Entra ID Sync en el ordenador local". Error 1069: No se puede iniciar el servicio debido a un error en el inicio de sesión. "
- En el Visor de eventos de Windows, el registro de eventos del sistema contiene un error con el identificador de evento 7038 y el mensaje "The ADSync service was unable to log on as with the currently configured password due to the following error: The user name or password is incorrect. " (El servicio ADSync no puede iniciar sesión con la contraseña configurada actualmente debido al siguiente error: El nombre de usuario o la contraseña es incorrecto).
En segundo lugar, en determinadas condiciones, si la contraseña se actualiza, el servicio de sincronización ya no podrá recuperar la clave de cifrado a través de DPAPI. Sin la clave de cifrado, el servicio de sincronización no puede descifrar las contraseñas necesarias para realizar la sincronización a o desde AD local y Microsoft Entra ID. Verá errores como los siguientes:
- En el Administrador de control de servicios de Windows, si intenta iniciar el servicio de sincronización y este no puede recuperar la clave de cifrado, se produce el error "Windows no pudo iniciar el servicio Sincronización de Microsoft Entra ID en el equipo local. Para más información, revise el registro de eventos del sistema. Si este no es un servicio de Microsoft, póngase en contacto con el proveedor del servicio y haga referencia al código de error específico del servicio -21451857952”.
- En el Visor de eventos de Windows, el registro de eventos de la aplicación contiene un error con el id. de evento 6028 y el mensaje de error "No se puede acceder a la clave de cifrado del servidor".
Para asegurarse de que no se producen estos errores, siga los procedimientos descritos en Abandono de la clave de cifrado de la cuenta de servicio de ADSync al cambiar la contraseña.
Abandonar la clave de cifrado de la cuenta de servicio ADSync
Importante
Los siguientes procedimientos solo se aplican a Microsoft Entra Connect build 1.1.443.0 o anterior. Esto no se puede usar para las versiones más recientes de Microsoft Entra Connect porque el abandono de la clave de cifrado lo administra el propio Microsoft Entra Connect cuando se cambia la contraseña de la cuenta de servicio de sincronización de AD, de modo que los pasos siguientes no son necesarios en las versiones más recientes.
Use los procedimientos siguientes para abandonar la clave de cifrado.
Qué hacer si tiene que abandonar la clave de cifrado
Si tiene que abandonar la clave de cifrado, use para ello los procedimientos siguientes.
Detener el servicio de sincronización
En primer lugar, puede detener el servicio en el Administrador de control de servicios de Windows. Asegúrese de que el servicio no esté en ejecución cuando intente detenerlo. Si lo está, espere a que termine y después deténgalo.
- Vaya a Administrador de control de servicios de Windows (INICIO → Servicios).
- Seleccione Sincronización de Microsoft Entra ID y haga clic en Detener.
Abandonar la clave de cifrado existente
Abandone la clave de cifrado existente para poder crear otra clave de cifrado:
Inicie sesión en Microsoft Entra Connect Server como administrador.
Inicie una nueva sesión de PowerShell.
Acceda a la carpeta:
'$env:ProgramFiles\Microsoft Azure AD Sync\bin\'
Ejecute el comando:
./miiskmu.exe /a
Especificar la contraseña de la cuenta de conector de AD DS
Cuando las contraseñas existentes almacenadas en la base de datos ya no se pueden descifrar, tiene que proporcionar el servicio de sincronización con la contraseña de la cuenta de conector de AD DS. El servicio de sincronización cifra las contraseñas con la nueva clave de cifrado:
- Inicie el Synchronization Service Manager (INICIO → Synchronization Service).
- Vaya a la pestaña Conectores.
- Seleccione el AD Connector (conector de AD) que corresponda a su AD local. Si tiene más de un conector de AD, repita los pasos siguientes para cada uno de ellos.
- En Acciones, seleccione Propiedades.
- En el cuadro de diálogo emergente, seleccione Connect to Active Directory Forest (Conectar con el bosque de Active Directory):
- Escriba la contraseña de la cuenta de AD DS en el cuadro de texto Contraseña. Si no conoce la contraseña, debe establecerla en un valor conocido antes de realizar este paso.
- Haga clic en OK (Aceptar) para guardar la nueva contraseña y cerrar el cuadro de diálogo emergente.
Reinicio de la contraseña de la cuenta del Conector de Entra ID
No puede proporcionar directamente la contraseña de la cuenta de servicio de Microsoft Entra al servicio de sincronización. En su lugar, debe utilizar el cmdlet Add-ADSyncAADServiceAccount para reinicializar la cuenta de servicio de Microsoft Entra. El cmdlet restablece la contraseña de la cuenta y la pone a disposición de servicio de sincronización:
Inicie sesión en el servidor Microsoft Entra Connect Sync y abra PowerShell.
Para proporcionar las credenciales de administrador global de Microsoft Entra, ejecute
$credential = Get-Credential
.Ejecute el cmdlet
Add-ADSyncAADServiceAccount -AADCredential $credential
.Si el cmdlet se ejecuta correctamente, aparece el símbolo del sistema de PowerShell.
El cmdlet restablece la contraseña de la cuenta de servicio y la actualiza tanto en Microsoft Entra ID como en el motor de sincronización.
Iniciar el servicio de sincronización
Ahora que el servicio de sincronización tiene acceso a la clave de cifrado y a todas las contraseñas que necesita, puede reiniciar el servicio en el Administrador de control de servicios de Windows:
- Vaya a Administrador de control de servicios de Windows (INICIO → Servicios).
- Seleccione Sincronización de Microsoft Entra ID y haga clic en Reiniciar.
Pasos siguientes
Temas de introducción