Delen via

Wachtwoord van het ADSync-serviceaccount wijzigen

  • Artikel

Als u het wachtwoord van het ADSync-serviceaccount wijzigt, wordt de synchronisatieservice pas correct gestart nadat u de versleutelingssleutel hebt verlaten en het wachtwoord van het ADSync-serviceaccount opnieuw hebt geïnitialiseerd.

Belangrijk

Als u Azure AD Connect gebruikt met een build van maart 2017 of eerder, mag u het wachtwoord voor het serviceaccount niet opnieuw instellen, omdat Windows in dat geval de versleutelingssleutels om veiligheidsredenen vernietigd. U kunt het account niet wijzigen in een ander account zonder Microsoft Entra Connect opnieuw te installeren. Als u een upgrade uitvoert naar een build vanaf 2017 april of hoger, wordt het ondersteund om het wachtwoord voor het serviceaccount te wijzigen, maar u kunt het gebruikte account niet wijzigen.

Microsoft Entra Connect, als onderdeel van de Synchronisatieservices, gebruikt een versleutelingssleutel om de wachtwoorden van het AD DS Connector-account en het ADSync-serviceaccount op te slaan. Deze accounts worden versleuteld voordat ze worden opgeslagen in de database.

De gebruikte versleutelingssleutel wordt beveiligd met Windows Data Protection (DPAPI). DPAPI beveiligt de versleutelingssleutel met behulp van het ADSync-serviceaccount.

Als u het wachtwoord voor het serviceaccount wilt wijzigen, kunt u hiervoor de volgende procedures gebruiken: Afstand doen van de versleutelingssleutel van het ADSync-serviceaccount. U dient deze procedures ook te volgen als u om welke reden dan ook afstand wilt doen van de versleutelingssleutel.

Problemen die ontstaan als het wachtwoord wordt gewijzigd

Als u het wachtwoord voor het serviceaccount wijzigt, moet u twee dingen doen.

Eerst moet u het wachtwoord wijzigen onder Windows Service Control Manager. Totdat dit probleem is opgelost, ziet u de volgende problemen:

  • Als u de synchronisatieservice probeert te starten in Windows Service Control Manager, krijgt u de foutmelding 'Windows kan de Microsoft Entra ID Sync-service niet starten op lokale computer'. Fout 1069: de service is niet gestart vanwege een aanmeldingsfout.
  • Onder Windows Logboeken bevat het systeemgebeurtenislogboek een fout met gebeurtenis-id 7038 en het bericht De ADSync-service kan zich niet aanmelden met het huidige geconfigureerde wachtwoord vanwege de volgende fout: de gebruikersnaam of het wachtwoord is onjuist.

Ten tweede, als het wachtwoord (onder speciale omstandigheden) wordt bijgewerkt, kan de synchronisatieservice de versleutelingssleutel niet meer ophalen via DPAPI. Zonder de versleutelingssleutel kan de synchronisatieservice de wachtwoorden die nodig zijn om te synchroniseren met/van on-premises AD en Microsoft Entra-id niet ontsleutelen. U ziet fouten zoals:

  • Als u onder Windows Service Control Manager probeert de synchronisatieservice te starten en de versleutelingssleutel niet kan worden opgehaald, mislukt het met de fout 'Windows kan de Synchronisatie van Microsoft Entra-id's niet starten op de lokale computer. Raadpleeg het gebeurtenislogboek van het systeem voor meer informatie. Als dit een niet-Microsoft-service is, neemt u contact op met de leverancier van de service en raadpleegt u de servicespecifieke foutcode -21451857952."
  • Onder Windows Logboeken bevat het gebeurtenislogboek van de toepassing een fout met gebeurtenis-id 6028 en het foutbericht 'De serverversleutelingssleutel kan niet worden geopend'.

Volg de procedures bij het afbreken van de versleutelingssleutel van het ADSync-serviceaccount bij het wijzigen van het wachtwoord om ervoor te zorgen dat u deze fouten niet ontvangt.

Afstand doen van de versleutelingssleutel van het ADSync-serviceaccount

Belangrijk

De volgende procedures zijn alleen van toepassing op Microsoft Entra Connect build 1.1.443.0 of ouder. Dit kan niet worden gebruikt voor nieuwere versies van Microsoft Entra Connect, omdat het afbreken van de versleutelingssleutel wordt verwerkt door Microsoft Entra Connect zelf wanneer u het wachtwoord van het AD-synchronisatieserviceaccount wijzigt, zodat de volgende stappen niet nodig zijn in de nieuwere versies.

Gebruik de volgende procedures om afstand te doen van de versleutelingssleutel.

Wat u moet doen als u afstand doet van de versleutelingssleutel

Als u de versleutelingssleutel wilt verlaten, gebruikt u de volgende procedures om dat te bereiken.

  1. Synchronisatieservice stoppen

  2. Afstand doen van de bestaande versleutelingssleutel

  3. Wachtwoord voor het AD DS Connector-account opgeven

  4. Wachtwoord voor het ADSync-serviceaccount opnieuw initialiseren

  5. Synchronisatieservice starten

Synchronisatieservice stoppen

U kunt de service eerst stoppen in Windows Service Control Manager. Zorg ervoor dat de service niet wordt uitgevoerd wanneer u deze probeert te stoppen. Als dat wel zo is, wacht u totdat de service is voltooid.

  1. Ga naar Windows Service Control Manager (START → Services).
  2. Selecteer Microsoft Entra ID Sync en klik op Stoppen.

Afstand doen van de bestaande versleutelingssleutel

Doe afstand van de bestaande versleutelingssleutel, zodat er een nieuwe versleutelingssleutel kan worden gemaakt:

  1. Meld u als beheerder aan bij uw Microsoft Entra Connect-server.

  2. Start een nieuwe PowerShell-sessie.

  3. Ga naar de map '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Voer de volgende opdracht uit: ./miiskmu.exe /a

Schermopname van PowerShell nadat de opdracht is uitgevoerd.

Wachtwoord voor het AD DS Connector-account opgeven

Aangezien de bestaande wachtwoorden die in de database zijn opgeslagen, niet meer kunnen worden ontsleuteld, moet u het wachtwoord voor het AD DS Connector-account aan de synchronisatieservice verstrekken. De synchronisatieservice versleutelt de wachtwoorden met behulp van de nieuwe versleutelingssleutel:

  1. Start de Synchronization Service Manager (START → Synchronisatieservice).
    Synchronization Service Manager
  2. Ga naar het tabblad Connectors.
  3. Selecteer de AD-connector die overeenkomt met uw on-premises AD. Als u meer dan één AD-connector hebt, herhaalt u de volgende stappen voor elk van deze connectors.
  4. Selecteer bij Acties de optie Eigenschappen.
  5. Selecteer in het pop-upvenster Verbinding maken met Active Directory-forest:
  6. Voer in het tekstvak Wachtwoord het nieuwe wachtwoord voor het AD DS-account op. Als u het wachtwoord niet weet, moet u het instellen op een bekende waarde voordat u deze stap uitvoert.
  7. Klik op OK om het nieuwe wachtwoord op te slaan en het pop-upvenster te sluiten. Schermopname met de pagina Verbinding maken met Active Directory-forest in het venster Eigenschappen.

Het wachtwoord van het Entra ID Connector-account opnieuw initialiseren

U kunt het wachtwoord van het Microsoft Entra-serviceaccount niet rechtstreeks opgeven voor de synchronisatieservice. In plaats daarvan moet u de cmdlet Add-ADSyncAADServiceAccount gebruiken om het Microsoft Entra-serviceaccount opnieuw te initialiseren. Met de cmdlet wordt het wachtwoord voor het account opnieuw ingesteld en wordt het beschikbaar voor de synchronisatieservice:

  1. Meld u aan bij de Microsoft Entra Connect Sync-server en open PowerShell.

  2. Als u de referenties van de globale beheerder van Microsoft Entra wilt opgeven, voert u uit $credential = Get-Credential.

  3. Voer de cmdlet Add-ADSyncAADServiceAccount -AADCredential $credential uit.

    Als de cmdlet is uitgevoerd, wordt de PowerShell-opdrachtprompt weergegeven.

De cmdlet stelt het wachtwoord voor het serviceaccount opnieuw in en werkt dit bij in zowel Microsoft Entra-id als de synchronisatie-engine.

Synchronisatieservice starten

Nu de synchronisatieservice toegang heeft tot de versleutelingssleutel en alle benodigde wachtwoorden, kunt u de service opnieuw starten in Windows Service Control Manager:

  1. Ga naar Windows Service Control Manager (START → Services).
  2. Selecteer Microsoft Entra ID Sync en klik op Opnieuw opstarten.

Volgende stappen

Overzichtsonderwerpen