Modifica della password dell'account del servizio ADSync
Se si modifica la password dell'account del servizio ADSync, il servizio di sincronizzazione non sarà in grado di avviarsi correttamente fino a quando non è stata abbandonata la chiave di crittografia e reinizializzata la password dell'account del servizio ADSync.
Importante
Se si usa Connect con una build di marzo 2017 o precedente, non reimpostare la password nell'account del servizio poiché Windows elimina le chiavi di crittografia per motivi di sicurezza. Non è possibile modificare l'account in qualsiasi altro account senza reinstallare Microsoft Entra Connessione. Se si esegue l'aggiornamento a una build di aprile 2017 o versioni successive, è supportato modificare la password nell'account del servizio, ma non è possibile modificare l'account usato.
Microsoft Entra Connessione, come parte di Synchronization Services usa una chiave di crittografia per archiviare le password dell'account del Connessione or di Active Directory Domain Services e dell'account del servizio ADSync. Questi account vengono crittografati prima di essere archiviati nel database.
La chiave di crittografia usata viene protetta con Windows Data Protection (DPAPI). DPAPI protegge la chiave di crittografia usando l'account del servizio ADSync.
Se è necessario modificare la password dell'account del servizio, è possibile usare le procedure riportate in Abbandono della chiave di crittografia dell'account del servizio ADSync per eseguire questa operazione. Queste procedure devono essere usate anche se è necessario abbandonare la chiave di crittografia per qualsiasi altro motivo.
Problemi derivati dalla modifica della password
Quando si modifica la password dell'account del servizio, è necessario eseguire due operazioni.
Prima di tutto, è necessario modificare la password in Gestione controllo servizi di Windows. Finché non si risolve questo problema, verranno visualizzati gli errori seguenti:
- Se si tenta di avviare il servizio di sincronizzazione in Gestione controllo dei servizi di Windows, viene visualizzato l'errore "Windows non è stato possibile avviare il servizio di sincronizzazione ID Microsoft Entra nel computer locale". Errore 1069: Il servizio non è stato avviato a causa di un errore in fase di accesso".
- Nel Visualizzatore eventi di Windows il registro eventi di sistema contiene un errore con ID evento 7038 e il messaggio "Il servizio ADSync non è stato in grado di accedere con la password al momento configurata, a causa del seguente errore: Password o nome utente errato".
In secondo luogo, se in condizioni specifiche la password viene aggiornata, il servizio di sincronizzazione non può più recuperare la chiave di crittografia tramite DPAPI. Senza la chiave di crittografia, il servizio di sincronizzazione non può decrittografare le password necessarie per eseguire la sincronizzazione da e verso AD locale e Microsoft Entra ID. Verranno visualizzati gli errori seguenti:
- In Gestione controllo dei servizi di Windows, se si tenta di avviare il servizio di sincronizzazione e non riesce a recuperare la chiave di crittografia, viene visualizzato l'errore "Windows non è riuscito ad avviare microsoft Entra ID Sync nel computer locale. Per altre informazioni, vedere registro eventi di sistema. Se si tratta di un servizio non Microsoft, contattare il fornitore del servizio e fare riferimento al codice di errore specifico del servizio -21451857952."
- In Windows Visualizzatore eventi il registro eventi dell'applicazione contiene un errore con ID evento 6028 e il messaggio di errore "Impossibile accedere alla chiave di crittografia del server".
Per assicurarsi di non ricevere questi errori, seguire le procedure riportate in Abbandono della chiave di crittografia dell'account del servizio ADSync durante la modifica della password.
Abbandono della chiave di crittografia dell'account del servizio ADSync
Importante
Le procedure seguenti si applicano solo a Microsoft Entra Connessione build 1.1.443.0 o versioni precedenti. Questo non può essere usato per le versioni più recenti di Microsoft Entra Connessione perché l'abbandono della chiave di crittografia viene gestito da Microsoft Entra Connessione se stesso quando si modifica la password dell'account del servizio di sincronizzazione di Active Directory in modo che i passaggi seguenti non siano necessari nelle versioni più recenti.
Usare le procedure seguenti per abbandonare la chiave di crittografia.
Che cosa fare se è necessario abbandonare la chiave di crittografia
Se è necessario abbandonare la chiave di crittografia, usare le procedure seguenti.
Specificare la password dell'account del Connessione or di Active Directory Domain Services
Reinizializzare la password dell'account del servizio ADSync
Arrestare il servizio di sincronizzazione
Innanzitutto è possibile arrestare il servizio in Gestione controllo servizi di Windows. Assicurarsi che il servizio non sia in esecuzione quando si tenta di arrestarlo. In tal caso, attendere il termine dell'operazione e quindi arrestarlo.
- Passare a Gestione controllo servizi di Windows (START → Servizi).
- Selezionare Microsoft Entra ID Sync (Sincronizzazione ID Entra Microsoft) e fare clic su Stop (Arresta).
Abbandonare la chiave di crittografia esistente
Abbandonare la chiave di crittografia esistente per poterne creare una nuova:
Accedere a Microsoft Entra Connessione Server come amministratore.
Avviare una nuova sessione di PowerShell.
Passare alla cartella
'$env:ProgramFiles\Microsoft Azure AD Sync\bin\'Eseguire il comando
./miiskmu.exe /a
Specificare la password dell'account del Connessione or di Active Directory Domain Services
Poiché le password esistenti archiviate all'interno del database non possono più essere decrittografate, è necessario fornire al servizio di sincronizzazione la password dell'account del Connessione or di Active Directory Domain Services. Il servizio di sincronizzazione crittografa le password usando la nuova chiave di crittografia:
- Avviare Synchronization Service Manager (START → Servizio di sincronizzazione).
- Passare alla scheda Connettori.
- Selezionare il connettore AD Connector corrispondente ad Active Directory locale. Se sono presenti più connettori, ripetere i passaggi seguenti per ognuno.
- In Azioni selezionare Proprietà.
- Nella finestra di dialogo popup selezionare Connetti a Foresta Active Directory:
- Immettere la nuova password dell'account Active Directory Domain Services nella casella di testo Password. Se non si conosce questa password, è necessario impostarla su un valore noto prima di eseguire questo passaggio.
- Fare clic su OK per salvare la nuova password e chiudere la finestra di dialogo popup.
Reinizializzare la password dell'account del servizio ADSync
Non è possibile fornire direttamente la password dell'account del servizio Microsoft Entra al servizio di sincronizzazione. È invece necessario usare il cmdlet Add-ADSyncAADServiceAccount per reinizializzare l'account del servizio Microsoft Entra. Il cmdlet reimposta la password dell'account e la rende disponibile al servizio di sincronizzazione:
Accedere al server microsoft Entra Connessione Sync e aprire PowerShell.
Per fornire le credenziali di Microsoft Entra Global Amministrazione istrator, eseguire
$credential = Get-Credential.Eseguire il cmdlet
Add-ADSyncAADServiceAccount -AADCredential $credential.Se il cmdlet ha esito positivo, viene visualizzato il prompt dei comandi di PowerShell.
Il cmdlet reimposta la password per l'account del servizio e la aggiorna sia in Microsoft Entra ID che nel motore di sincronizzazione.
Avviare il servizio di sincronizzazione
Ora che il servizio di sincronizzazione ha accesso alla chiave di crittografia e a tutte le password necessarie, è possibile riavviare il servizio in Gestione controllo servizi di Windows:
- Passare a Gestione controllo servizi di Windows (START → Servizi).
- Selezionare Microsoft Entra ID Sync e fare clic su Riavvia.
Passaggi successivi
Argomenti generali