Udostępnij za pośrednictwem

Zmienianie hasła konta usługi ADSync

  • Artykuł

Jeśli zmienisz hasło konta usługi ADSync, usługa synchronizacji nie zostanie uruchomiona poprawnie, dopóki nie porzucisz klucza szyfrowania i ponownie zainicjujesz hasło konta usługi ADSync.

Ważne

Jeśli używasz opcji Połącz z kompilacją z marca 2017 r. lub starszej wersji, nie należy resetować hasła na koncie usługi, ponieważ system Windows niszczy klucze szyfrowania ze względów bezpieczeństwa. Nie można zmienić konta na inne konto bez ponownej instalacji programu Microsoft Entra Connect. W przypadku uaktualnienia do kompilacji z kwietnia 2017 r. lub nowszej jest obsługiwana zmiana hasła na koncie usługi, ale nie można zmienić użytego konta.

Microsoft Entra Connect w ramach usług synchronizacji używa klucza szyfrowania do przechowywania haseł konta łącznika usług AD DS i konta usługi ADSync. Te konta są szyfrowane przed zapisaniem ich w bazie danych.

Używany klucz szyfrowania jest zabezpieczony przy użyciu programu Windows Data Protection (DPAPI). DpAPI chroni klucz szyfrowania przy użyciu konta usługi ADSync.

Jeśli musisz zmienić hasło konta usługi, możesz użyć procedur opisanych w temacie Porzucenie klucza szyfrowania konta usługi ADSync, aby to zrobić. Te procedury powinny być również używane, jeśli musisz porzucić klucz szyfrowania z jakiegokolwiek powodu.

Problemy wynikające ze zmiany hasła

Istnieją dwie rzeczy, które należy wykonać po zmianie hasła konta usługi.

Najpierw należy zmienić hasło w Menedżerze sterowania usługami systemu Windows. Dopóki ten problem nie zostanie rozwiązany, zobaczysz następujące problemy:

  • Jeśli spróbujesz uruchomić usługę synchronizacji w Menedżerze sterowania usługami systemu Windows, zostanie wyświetlony błąd "System Windows nie może uruchomić usługi synchronizacji identyfikatorów entra firmy Microsoft na komputerze lokalnym". Błąd 1069: Usługa nie została uruchomiona z powodu błędu logowania".
  • W Podgląd zdarzeń systemu Windows dziennik zdarzeń systemu zawiera błąd o identyfikatorze zdarzenia 7038 i komunikat "Usługa ADSync nie mogła zalogować się tak, jak w przypadku aktualnie skonfigurowanego hasła z powodu następującego błędu: Nazwa użytkownika lub hasło jest niepoprawne".

Po drugie, w określonych warunkach, jeśli hasło zostanie zaktualizowane, usługa synchronizacji nie może już pobrać klucza szyfrowania za pośrednictwem interfejsu DPAPI. Bez klucza szyfrowania usługa synchronizacji nie może odszyfrować haseł wymaganych do synchronizacji z lokalną usługą AD i identyfikatorem entra firmy Microsoft. Zobaczysz błędy, takie jak:

  • Jeśli próbujesz uruchomić usługę synchronizacji w Menedżerze sterowania usługami systemu Windows i nie można pobrać klucza szyfrowania, kończy się niepowodzeniem z powodu błędu "System Windows nie może uruchomić synchronizacji identyfikatorów entra firmy Microsoft na komputerze lokalnym. Aby uzyskać więcej informacji, zapoznaj się z dziennikem zdarzeń systemu. Jeśli jest to usługa firmy innej niż Microsoft, skontaktuj się z dostawcą usługi i zapoznaj się z kodem błędu specyficznym dla usługi -21451857952.
  • W Podgląd zdarzeń systemu Windows dziennik zdarzeń aplikacji zawiera błąd z identyfikatorem zdarzenia 6028 i komunikatem o błędzie "Nie można uzyskać dostępu do klucza szyfrowania serwera".

Aby upewnić się, że te błędy nie są wyświetlane, wykonaj procedury opisane w temacie Porzucenie klucza szyfrowania konta usługi ADSync podczas zmieniania hasła.

Porzucenie klucza szyfrowania konta usługi ADSync

Ważne

Poniższe procedury dotyczą tylko kompilacji Microsoft Entra Connect w wersji 1.1.443.0 lub starszej. Nie można tego używać w nowszych wersjach programu Microsoft Entra Connect, ponieważ porzucenie klucza szyfrowania jest obsługiwane przez samą firmę Microsoft Entra Connect po zmianie hasła konta usługi synchronizacji usługi AD, więc poniższe kroki nie są potrzebne w nowszych wersjach.

Użyj poniższych procedur, aby porzucić klucz szyfrowania.

Co zrobić, jeśli musisz porzucić klucz szyfrowania

Jeśli musisz porzucić klucz szyfrowania, wykonaj następujące procedury.

  1. Zatrzymywanie usługi synchronizacji

  2. Porzucenie istniejącego klucza szyfrowania

  3. Podaj hasło konta łącznika usług AD DS

  4. Ponowne inicjowanie hasła konta usługi ADSync

  5. Uruchamianie usługi synchronizacji

Zatrzymywanie usługi synchronizacji

Najpierw możesz zatrzymać usługę w Menedżerze sterowania usługami systemu Windows. Upewnij się, że usługa nie jest uruchomiona podczas próby jej zatrzymania. Jeśli tak jest, zaczekaj na jego zakończenie, a następnie zatrzymaj go.

  1. Przejdź do Menedżera kontroli usług systemu Windows (START → Services).
  2. Wybierz pozycję Microsoft Entra ID Sync i kliknij przycisk Zatrzymaj.

Porzucenie istniejącego klucza szyfrowania

Porzucanie istniejącego klucza szyfrowania, aby można było utworzyć nowy klucz szyfrowania:

  1. Zaloguj się do serwera Microsoft Entra Connect jako administrator.

  2. Uruchom nową sesję programu PowerShell.

  3. Przejdź do folderu: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Uruchom polecenie: ./miiskmu.exe /a

Zrzut ekranu przedstawiający program PowerShell po uruchomieniu polecenia.

Podaj hasło konta łącznika usług AD DS

Ponieważ istniejące hasła przechowywane w bazie danych nie mogą być już odszyfrowywane, należy podać usłudze synchronizacji hasło konta łącznika usług AD DS. Usługa synchronizacji szyfruje hasła przy użyciu nowego klucza szyfrowania:

  1. Uruchom program Synchronization Service Manager (START → Synchronization Service).
    Synchronizowanie programu Service Manager
  2. Przejdź do karty Łączniki.
  3. Wybierz łącznik usługi AD odpowiadający lokalnej usłudze AD. Jeśli masz więcej niż jeden łącznik usługi AD, powtórz następujące kroki dla każdego z nich.
  4. W obszarze Akcje wybierz pozycję Właściwości.
  5. W oknie podręcznym wybierz pozycję Połącz z lasem usługi Active Directory:
  6. Wprowadź hasło konta usług AD DS w polu tekstowym Hasło . Jeśli nie znasz swojego hasła, przed wykonaniem tego kroku musisz ustawić ją na znaną wartość.
  7. Kliknij przycisk OK , aby zapisać nowe hasło i zamknąć okno dialogowe wyskakujące. Zrzut ekranu przedstawiający stronę

Ponowne inicjowanie hasła konta łącznika Entra ID

Nie można bezpośrednio podać hasła konta usługi Microsoft Entra w usłudze synchronizacji. Zamiast tego należy użyć polecenia cmdlet Add-ADSyncAADServiceAccount , aby ponownie zainicjować konto usługi Microsoft Entra. Polecenie cmdlet resetuje hasło konta i udostępnia je usłudze synchronizacji:

  1. Zaloguj się do serwera microsoft Entra Connect Sync i otwórz program PowerShell.

  2. Aby podać poświadczenia administratora globalnego firmy Microsoft Entra, uruchom polecenie $credential = Get-Credential.

  3. Uruchom polecenie cmdlet Add-ADSyncAADServiceAccount -AADCredential $credential.

    Jeśli polecenie cmdlet zakończy się pomyślnie, zostanie wyświetlony wiersz polecenia programu PowerShell.

Polecenie cmdlet resetuje hasło dla konta usługi i aktualizuje je zarówno w identyfikatorze Entra firmy Microsoft, jak i w apletie synchronizacji.

Uruchamianie usługi synchronizacji

Teraz, gdy usługa synchronizacji ma dostęp do klucza szyfrowania i wszystkich potrzebnych haseł, możesz ponownie uruchomić usługę w Menedżerze kontroli usług systemu Windows:

  1. Przejdź do Menedżera kontroli usług systemu Windows (START → Services).
  2. Wybierz pozycję Microsoft Entra ID Sync i kliknij przycisk Uruchom ponownie.

Następne kroki

Tematy omówienia