Cambiar la contraseña de la cuenta de servicio de ADSync

Si cambia la contraseña de la cuenta de servicio de ADSync, el servicio de sincronización no podrá iniciarse correctamente hasta que haya abandonado la clave de cifrado y reinicializado la contraseña de la cuenta de servicio de ADSync.

Importante

Si utiliza Connect con una compilación de marzo de 2017 o anterior, no debe restablecer la contraseña en la cuenta de servicio, ya que Windows destruye las claves de cifrado por motivos de seguridad. No se puede cambiar la cuenta a cualquier otra cuenta sin volver a instalar Azure AD Connect. Si se actualiza a una compilación de abril de 2017 o posterior, es posible cambiar la contraseña de la cuenta de servicio, pero no puede cambiar la cuenta utilizada.

Azure AD Connect, como parte de los servicios de sincronización, usa una clave de cifrado para almacenar las contraseñas de las cuentas de los servicios de conector de AD DS y la cuenta de servicio de ADSync. Estas cuentas se cifran antes de almacenarse en la base de datos.

La clave de cifrado usada se protege mediante la API de protección de datos de Windows (DPAPI). Para proteger la clave de cifrado, DPAPI usa la cuenta de servicio ADSync.

Si tiene que cambiar la contraseña de la cuenta de servicio, puede seguir para ello los procedimientos descritos en Abandonar la clave de cifrado de la cuenta de servicio de ADSync. También debe seguir estos procedimientos si por algún motivo tiene que abandonar la clave de cifrado.

Problemas que surgen al cambiar la contraseña

Es preciso hacer dos cosas al cambiar la contraseña de la cuenta del servicio.

En primer lugar, tiene que cambiar la contraseña en el Administrador de control de servicios de Windows. Hasta que se solucione el problema, verá los siguientes errores:

  • Si intenta iniciar el servicio de sincronización en el Administrador de control de servicios de Windows, recibirá el error "Windows no pudo iniciar el servicio Sincronización de Microsoft Azure AD en el equipo local". Error 1069: No se puede iniciar el servicio debido a un error en el inicio de sesión. "
  • En el Visor de eventos de Windows, el registro de eventos del sistema contiene un error con el identificador de evento 7038 y el mensaje "The ADSync service was unable to log on as with the currently configured password due to the following error: The user name or password is incorrect. " (El servicio ADSync no puede iniciar sesión con la contraseña configurada actualmente debido al siguiente error: El nombre de usuario o la contraseña es incorrecto).

En segundo lugar, en determinadas condiciones, si la contraseña se actualiza, el servicio de sincronización ya no podrá recuperar la clave de cifrado a través de DPAPI. Sin la clave de cifrado, el servicio de sincronización no puede descifrar la contraseña necesaria para sincronizar con o desde AD y Azure AD locales. Verá errores como los siguientes:

  • En el Administrador de control de servicios de Windows, si intenta iniciar el servicio de sincronización y este no puede recuperar la clave de cifrado, se produce el error “Windows no pudo iniciar el servicio Sincronización de Microsoft Azure AD en el equipo local. Para más información, revise el registro de eventos del sistema. Si este no es un servicio de Microsoft, póngase en contacto con el proveedor del servicio y haga referencia al código de error específico del servicio -21451857952”.
  • En el Visor de eventos de Windows, el registro de eventos de la aplicación contiene un error con id. de evento 6028 y el mensaje de error "The server encryption key cannot be accessed." (No se puede acceder a la clave de cifrado del servidor.)

Para asegurarse de que no recibe estos errores, siga los procedimientos descritos en Abandonar la clave de cifrado de la cuenta de servicio de ADSync al cambiar la contraseña.

Abandonar la clave de cifrado de la cuenta de servicio ADSync

Importante

Los procedimientos siguientes solo se aplican a Azure AD Connect compilación 1.1.443.0 o anterior. No se pueden usar en versiones más recientes de Azure AD Connect porque es este servicio el que administra el abandono de la clave de cifrado cuando se cambia la contraseña de la cuenta del servicio de sincronización de Azure, por lo que los siguientes pasos no son necesarios en ellas.

Use los procedimientos siguientes para abandonar la clave de cifrado.

Qué hacer si tiene que abandonar la clave de cifrado

Si tiene que abandonar la clave de cifrado, use para ello los procedimientos siguientes.

  1. Detener el servicio de sincronización

  2. Abandonar la clave de cifrado existente

  3. Especificar la contraseña de la cuenta de conector de AD DS

  4. Reinicializar la contraseña de la cuenta de servicio de ADSync

  5. Iniciar el servicio de sincronización

Detener el servicio de sincronización

En primer lugar, puede detener el servicio en el Administrador de control de servicios de Windows. Asegúrese de que el servicio no esté en ejecución cuando intente detenerlo. Si lo está, espere a que termine y después deténgalo.

  1. Vaya a Administrador de control de servicios de Windows (INICIO → Servicios).
  2. Seleccione Sincronización de Microsoft Azure AD y haga clic en Detener.

Abandonar la clave de cifrado existente

Abandone la clave de cifrado existente para poder crear otra clave de cifrado:

  1. Inicie sesión como administrador en el servidor de Azure AD Connect.

  2. Inicie una nueva sesión de PowerShell.

  3. Acceda a la carpeta: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Ejecute el comando: ./miiskmu.exe /a

Screenshot that shows PowerShell after running the command.

Especificar la contraseña de la cuenta de conector de AD DS

Cuando las contraseñas existentes almacenadas en la base de datos ya no se pueden descifrar, tiene que proporcionar el servicio de sincronización con la contraseña de la cuenta de conector de AD DS. El servicio de sincronización cifra las contraseñas con la nueva clave de cifrado:

  1. Inicie el Synchronization Service Manager (INICIO → Synchronization Service).

  2. Vaya a la pestaña Conectores.
  3. Seleccione el AD Connector (conector de AD) que corresponda a su AD local. Si tiene más de un conector de AD, repita los pasos siguientes para cada uno de ellos.
  4. En Acciones, seleccione Propiedades.
  5. En el cuadro de diálogo emergente, seleccione Connect to Active Directory Forest (Conectar con el bosque de Active Directory):
  6. Escriba la contraseña de la cuenta de AD DS en el cuadro de texto Contraseña. Si no conoce la contraseña, debe establecerla en un valor conocido antes de realizar este paso.
  7. Haga clic en OK (Aceptar) para guardar la nueva contraseña y cerrar el cuadro de diálogo emergente. Screenshot that shows the

Reinicializar la contraseña de la cuenta de servicio de ADSync

No se puede especificar directamente la contraseña de la cuenta del servicio Azure AD en el servicio de sincronización. En su lugar, tendrá que usar el cmdlet Add-ADSyncAADServiceAccount para reinicializar la cuenta del servicio Azure AD. El cmdlet restablece la contraseña de la cuenta y la pone a disposición de servicio de sincronización:

  1. Inicie sesión en el servidor de sincronización de Azure AD Connect y abra PowerShell.

  2. Para proporcionar las credenciales de administrador global de Azure AD, ejecute $credential = Get-Credential.

  3. Ejecute el cmdlet Add-ADSyncAADServiceAccount -AADCredential $credential.

    Si el cmdlet se ejecuta correctamente, aparece el símbolo del sistema de PowerShell.

El cmdlet restablecerá la contraseña de la cuenta de servicio y la actualizará en Azure AD y en el motor de sincronización.

Iniciar el servicio de sincronización

Ahora que el servicio de sincronización tiene acceso a la clave de cifrado y a todas las contraseñas que necesita, puede reiniciar el servicio en el Administrador de control de servicios de Windows:

  1. Vaya a Administrador de control de servicios de Windows (INICIO → Servicios).
  2. Seleccione Sincronización de Microsoft Azure AD y haga clic en Reiniciar.

Pasos siguientes

Temas de introducción