Cambiar la contraseña de la cuenta de servicio de ADSync

Si cambia la contraseña de la cuenta de servicio de ADSync, el servicio de sincronización no podrá iniciarse correctamente hasta que haya abandonado la clave de cifrado y reinicializado la contraseña de la cuenta de servicio de ADSync.

Importante

Si utiliza Connect con una compilación de marzo de 2017 o anterior, no debe restablecer la contraseña en la cuenta de servicio, ya que Windows destruye las claves de cifrado por motivos de seguridad. No puede cambiar la cuenta por ninguna otra sin reinstalar Microsoft Entra Connect. Si se actualiza a una compilación de abril de 2017 o posterior, es posible cambiar la contraseña de la cuenta de servicio, pero no puede cambiar la cuenta utilizada.

Microsoft Entra Connect, como parte de los servicios de sincronización, utiliza una clave de cifrado para almacenar las contraseñas de la cuenta del conector AD DS y de la cuenta del servicio ADSync. Estas cuentas se cifran antes de almacenarse en la base de datos.

La clave de cifrado usada se protege mediante la API de protección de datos de Windows (DPAPI). Para proteger la clave de cifrado, DPAPI usa la cuenta de servicio ADSync.

Si tiene que cambiar la contraseña de la cuenta de servicio, puede seguir para ello los procedimientos descritos en Abandonar la clave de cifrado de la cuenta de servicio de ADSync. También debe seguir estos procedimientos si por algún motivo tiene que abandonar la clave de cifrado.

Problemas que surgen al cambiar la contraseña

Es preciso hacer dos cosas al cambiar la contraseña de la cuenta del servicio.

En primer lugar, tiene que cambiar la contraseña en el Administrador de control de servicios de Windows. Hasta que se solucione el problema, verá los siguientes errores:

• Si intenta iniciar el Servicio de sincronización en el Administrador de control de servicios de Windows, recibirá el error "Windows no pudo iniciar el servicio Microsoft Entra ID Sync en el ordenador local". Error 1069: No se puede iniciar el servicio debido a un error en el inicio de sesión. "
• En el Visor de eventos de Windows, el registro de eventos del sistema contiene un error con el identificador de evento 7038 y el mensaje "The ADSync service was unable to log on as with the currently configured password due to the following error: The user name or password is incorrect. " (El servicio ADSync no puede iniciar sesión con la contraseña configurada actualmente debido al siguiente error: El nombre de usuario o la contraseña es incorrecto).

En segundo lugar, en determinadas condiciones, si la contraseña se actualiza, el servicio de sincronización ya no podrá recuperar la clave de cifrado a través de DPAPI. Sin la clave de cifrado, el Servicio de Sincronización no puede descifrar las contraseñas necesarias para sincronizar a/desde AD local y Microsoft Entra ID. Verá errores como los siguientes:

• En el Administrador de control de servicios de Windows, si intenta iniciar el Servicio de sincronización y no puede recuperar la clave de cifrado, arrojará el error "Windows no pudo iniciar Microsoft Entra ID Sync en el ordenador local". Para más información, revise el registro de eventos del sistema. Si se trata de un servicio que no es de Microsoft, póngase en contacto con el proveedor del servicio y consulte el código de error específico del servicio -21451857952."
• En el Visor de eventos de Windows, el registro de eventos de la aplicación contiene un error con id. de evento 6028 y el mensaje de error "The server encryption key cannot be accessed." (No se puede acceder a la clave de cifrado del servidor.)

Para asegurarse de que no recibe estos errores, siga los procedimientos descritos en Abandonar la clave de cifrado de la cuenta de servicio de ADSync al cambiar la contraseña.

Abandonar la clave de cifrado de la cuenta de servicio ADSync

Importante

Los siguientes procedimientos solo se aplican a Microsoft Entra Connect build 1.1.443.0 o anterior. Esto no puede utilizarse para las versiones más recientes de Microsoft Entra Connect porque el abandono de la clave de cifrado lo administra el propio Microsoft Entra Connect cuando se cambia la contraseña de la cuenta de servicio de sincronización de AD, de modo que los pasos siguientes no son necesarios en las versiones más recientes.

Use los procedimientos siguientes para abandonar la clave de cifrado.

Qué hacer si tiene que abandonar la clave de cifrado

Si tiene que abandonar la clave de cifrado, use para ello los procedimientos siguientes.

1. Detener el servicio de sincronización

2. Abandonar la clave de cifrado existente

3. Especificar la contraseña de la cuenta de conector de AD DS

4. Reinicializar la contraseña de la cuenta de servicio de ADSync

5. Iniciar el servicio de sincronización

Detener el servicio de sincronización

En primer lugar, puede detener el servicio en el Administrador de control de servicios de Windows. Asegúrese de que el servicio no esté en ejecución cuando intente detenerlo. Si lo está, espere a que termine y después deténgalo.

1. Vaya a Administrador de control de servicios de Windows (INICIO → Servicios).
2. Seleccione Sincronización de Microsoft Entra ID y haga clic en Detener.

Abandonar la clave de cifrado existente

Abandone la clave de cifrado existente para poder crear otra clave de cifrado:

1. Inicie sesión en Microsoft Entra Connect Server como administrador.

2. Inicie una nueva sesión de PowerShell.

3. Acceda a la carpeta: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

4. Ejecute el comando: ./miiskmu.exe /a

Especificar la contraseña de la cuenta de conector de AD DS

Cuando las contraseñas existentes almacenadas en la base de datos ya no se pueden descifrar, tiene que proporcionar el servicio de sincronización con la contraseña de la cuenta de conector de AD DS. El servicio de sincronización cifra las contraseñas con la nueva clave de cifrado:

1. Inicie el Synchronization Service Manager (INICIO → Synchronization Service).
   
2. Vaya a la pestaña Conectores.
3. Seleccione el AD Connector (conector de AD) que corresponda a su AD local. Si tiene más de un conector de AD, repita los pasos siguientes para cada uno de ellos.
4. En Acciones, seleccione Propiedades.
5. En el cuadro de diálogo emergente, seleccione Connect to Active Directory Forest (Conectar con el bosque de Active Directory):
6. Escriba la contraseña de la cuenta de AD DS en el cuadro de texto Contraseña. Si no conoce la contraseña, debe establecerla en un valor conocido antes de realizar este paso.
7. Haga clic en OK (Aceptar) para guardar la nueva contraseña y cerrar el cuadro de diálogo emergente.

Reinicializar la contraseña de la cuenta de servicio de ADSync

No puede proporcionar directamente la contraseña de la cuenta de servicio de Microsoft Entra al Servicio de sincronización. En su lugar, debe utilizar el cmdlet Add-ADSyncAADServiceAccount para reinicializar la cuenta de servicio de Microsoft Entra. El cmdlet restablece la contraseña de la cuenta y la pone a disposición de servicio de sincronización:

1. Inicie sesión en el servidor Microsoft Entra Connect Sync y abra PowerShell.

2. Para proporcionar las credenciales de administrador global de Microsoft Entra, ejecute $credential = Get-Credential.

3. Ejecute el cmdlet Add-ADSyncAADServiceAccount -AADCredential $credential.

   Si el cmdlet se ejecuta correctamente, aparece el símbolo del sistema de PowerShell.

El cmdlet restablece la contraseña de la cuenta de servicio y la actualiza tanto en Microsoft Entra ID como en el motor de sincronización.

Iniciar el servicio de sincronización

Ahora que el servicio de sincronización tiene acceso a la clave de cifrado y a todas las contraseñas que necesita, puede reiniciar el servicio en el Administrador de control de servicios de Windows:

1. Vaya a Administrador de control de servicios de Windows (INICIO → Servicios).
2. Seleccione Sincronización de Microsoft Entra ID y haga clic en Reiniciar.

Pasos siguientes

Temas de introducción

• Sincronización de Microsoft Entra Connect: comprender y personalizar la sincronización

• Integración de identidades locales con Microsoft Entra ID