ADSync-Dienstkonto
Microsoft Entra Connect installiert einen lokalen Dienst, der die Synchronisierung zwischen Active Directory und Microsoft Entra ID orchestriert. Der Synchronisierungsdienst Microsoft Entra ID Sync (ADSync) wird auf einem Server in Ihrer lokalen Umgebung ausgeführt. Die Anmeldeinformationen für den Dienst sind in den Express-Installationen standardmäßig festgelegt, können aber an die Sicherheitsanforderungen Ihrer Organisation angepasst werden. Diese Anmeldeinformationen werden nicht verwendet, um eine Verbindung mit Ihren lokalen Gesamtstrukturen oder mit Microsoft Entra ID herzustellen.
Die Wahl des ADSync-Dienstkontos ist eine wichtige Planungsentscheidung, die vor der Installation von Microsoft Entra Connect getroffen werden muss. Jeder Versuch, die Anmeldeinformationen nach der Installation zu ändern, führt dazu, dass der Dienst nicht gestartet werden kann, den Zugriff auf die Synchronisierungsdatenbank verliert und sich nicht bei Ihren verbundenen Verzeichnissen (Azure und AD DS) authentifiziert. Es erfolgt keine Synchronisierung, bis die ursprünglichen Anmeldeinformationen wiederhergestellt sind.
Der Synchronisierungsdienst kann unter verschiedenen Konten ausgeführt werden. Er kann unter einem virtuellen Dienstkonto (VSA), einem verwalteten Dienstkonto (gMSA/sMSA) oder einem normalen Benutzerkonto ausgeführt werden. Die unterstützten Optionen wurden mit den Microsoft Entra Connect-Releases von April 2017 und März 2021 geändert, und diese Änderungen treten in Kraft, wenn Sie eine Neuinstallation durchführen. Wenn Sie ein Upgrade von einer früheren Version von Microsoft Entra Connect durchführen, sind diese zusätzlichen Optionen nicht verfügbar.
| Kontotyp | Installationsoption | BESCHREIBUNG |
|---|---|---|
| virtuellen Dienstkonto | Express und benutzerdefiniert, April 2017 und höher | Ein virtuelles Dienstkonto wird für alle Expressinstallationen mit Ausnahme von Installationen auf einem Domänencontroller verwendet. Für benutzerdefinierte Installationen ist es die Standardoption, sofern keine andere Option verwendet wird. |
| Verwaltetes Dienstkonto | Benutzerdefiniert, April 2017 und höher | Wenn Sie einen Remoteserver mit SQL Server verwenden, empfehlen wir den Einsatz eines gruppenverwalteten Dienstkontos. |
| Verwaltetes Dienstkonto | Express und benutzerdefiniert, März 2021 und höher | Ein eigenständig verwaltetes Dienstkonto mit dem Präfix „ADSyncMSA_“ wird während einer Expressinstallation auf einem Domänencontroller erstellt. Für benutzerdefinierte Installationen ist es die Standardoption, sofern keine andere Option verwendet wird. |
| Benutzerkonto | Express und benutzerdefiniert, April 2017 bis März 2021 | Ein Benutzerkonto mit dem Präfix „AAD_“ wird während einer Expressinstallation auf einem Domänencontroller erstellt. Für benutzerdefinierte Installationen ist es die Standardoption, sofern keine andere Option verwendet wird. |
| Benutzerkonto | Express und benutzerdefiniert, März 2017 und früher | Ein Benutzerkonto mit dem Präfix „AAD_“ wird während einer Expressinstallation erstellt. Bei der benutzerdefinierten Installation kann ein anderes Konto angegeben werden. |
Wichtig
Wenn Sie Connect mit einem Build von März 2017 und früher verwenden, setzen Sie das Kennwort für das Dienstkonto nicht zurück, da Windows die Verschlüsselungsschlüssel aus Sicherheitsgründen zerstört. Sie können das Konto nicht in ein anderes Konto ändern, ohne Microsoft Entra Connect neu zu installieren. Wenn Sie ein Upgrade auf einen Build von April 2017 oder höher durchführen, wird das Ändern des Kennworts für das Dienstkonto unterstützt. Sie können jedoch nicht das verwendete Konto ändern.
Wichtig
Sie können das Dienstkonto nur bei der erstmaligen Installation festlegen. Das Ändern des Dienstkontos nach Abschluss der Installation wird nicht unterstützt. Das Ändern des Kennworts für das Dienstkonto wird unterstützt. Anweisungen finden Sie hier.
Im Folgenden sehen Sie eine Tabelle mit den Standard-, den empfohlenen und den unterstützten Optionen für das Synchronisierungsdienstkonto.
Legende:
- Fettformatierung kennzeichnet die Standardoption, die in den meisten Fällen der empfohlenen Option entspricht.
- Kursivformatierung kennzeichnet die empfohlene Option, sofern diese nicht mit der Standardoption übereinstimmt.
- Nicht fett formatiert: unterstützte Option
- Lokales Konto: lokales Benutzerkonto auf dem Server
- Domänenkonto: Domänenbenutzerkonto
- sMSA: eigenständig verwaltetes Dienstkonto
- gMSA: gruppenverwaltetes Dienstkonto
| Computertyp | LocalDB Express | LocalDB/LocalSQL Benutzerdefiniert | SQL-Remotecomputer Benutzerdefiniert |
|---|---|---|---|
| In die Domäne eingebundener Computer | VSA | VSAsMSAgMSA Lokales Konto Domänenkonto | gMSADomänenkonto |
| Domänencontroller | sMSA | sMSAgMSA Domänenkonto | gMSADomänenkonto |
virtuellen Dienstkonto
Ein virtuelles Dienstkonto ist ein besonderer Typ eines verwalteten lokalen Kontos, das nicht über ein Kennwort verfügt und von Windows automatisch verwaltet wird.
Das virtuelle Dienstkonto ist für den Einsatz in Szenarien vorgesehen, in denen das Synchronisierungsmodul und SQL sich auf demselben Server befinden. Wenn Sie einen SQL-Remotecomputer verwenden, empfehlen wir stattdessen den Einsatz eines gruppenverwalteten Dienstkontos.
Das virtuelle Dienstkonto kann aufgrund von Problemen mit der Windows-Datenschutz-API (DPAPI) nicht auf einem Domänencontroller verwendet werden.
Verwaltetes Dienstkonto
Wenn Sie einen Remoteserver mit SQL Server verwenden, empfehlen wir den Einsatz eines gruppenverwalteten Dienstkontos. Weitere Informationen zum Vorbereiten von Active Directory für das gruppenverwaltete Dienstkonto finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.
Um diese Option zu verwenden, wählen Sie auf der Seite Erforderliche Komponenten installieren die Optionen Vorhandenes Dienstkonto verwenden und Verwaltetes Dienstkonto.
Die Verwendung eines eigenständig verwalteten Dienstkontos wird ebenfalls unterstützt. Diese Konten können jedoch nur auf dem lokalen Computer verwendet werden, und es gibt keinen praktischen Vorteil gegenüber dem virtuellen Standarddienstkonto.
Automatisch generiertes eigenständig verwaltetes Dienstkonto
Wenn Sie Microsoft Entra Connect auf einem Domänencontroller installieren, wird vom Installations-Assistenten ein eigenständiges verwaltetes Dienstkonto erstellt (es sei denn, Sie geben in den benutzerdefinierten Einstellungen das zu verwendende Konto an). Das Konto ist mit dem Präfix ADSyncMSA_ versehen und wird zur Ausführung des eigentlichen Synchronisierungsdiensts verwendet.
Bei diesem Konto handelt es sich um ein verwaltetes Domänenkonto, das kein Kennwort besitzt und von Windows automatisch verwaltet wird.
Dieses Konto ist für den Einsatz in Szenarien vorgesehen, in denen das Synchronisierungsmodul und SQL sich auf dem Domänencontroller befinden.
Benutzerkonto
Der Installations-Assistent erstellt ein lokales Dienstkonto (sofern das Konto nicht zur Verwendung in benutzerdefinierten Einstellungen angegeben wird). Das Konto ist mit dem Präfix AAD_ versehen und wird zur Ausführung des eigentlichen Synchronisierungsdiensts verwendet. Wenn Sie Microsoft Entra Connect auf einem Domänencontroller installieren, wird das Konto in der Domäne erstellt. Das Dienstkonto AAD_ muss sich in folgenden Fällen in der Domäne befinden:
- Sie verwenden einen Remoteserver, auf dem SQL Server ausgeführt wird.
- Sie verwenden einen Proxy, der Authentifizierung erfordert.
Das Konto wird mit einem langen, komplexen Kennwort erstellt, das nicht abläuft.
Dieses Konto wird verwendet, um die Kennwörter für die anderen Konten auf sichere Weise zu speichern. Die Kennwörter dieser Konten sind verschlüsselt in der Datenbank gespeichert. Die privaten Schlüssel für die Verschlüsselungsschlüssel sind mit der Verschlüsselung mit geheimem Schlüssel für kryptografische Dienste mithilfe der Windows-Datenschutz-API (DPAPI) geschützt.
Bei Verwendung einer SQL Server-Instanz mit vollem Funktionsumfang wird das Dienstkonto zum DBO der Datenbank, die für das Synchronisierungsmodul erstellt wurde. Der Dienst funktioniert mit anderen Berechtigungen nicht wie vorgesehen. Darüber hinaus wird eine SQL-Anmeldung erstellt.
Das Konto erhält auch eine Berechtigung für Dateien, Registrierungsschlüssel und andere Objekte im Zusammenhang mit dem Synchronisierungsmodul.
Nächste Schritte
Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.