Modifica della password dell'account del servizio di sincronizzazione Azure AD ConnectChanging the Azure AD Connect sync service account password

Se si modifica la password dell'account del servizio di sincronizzazione Azure AD Connect, il servizio di sincronizzazione non verrà avviato correttamente finché non si abbandona la chiave di crittografia e non si reinizializza la password dell'account del servizio.If you change the Azure AD Connect sync service account password, the Synchronization Service will not be able start correctly until you have abandoned the encryption key and reinitialized the Azure AD Connect sync service account password.

Azure AD Connect, parte dei servizi di sincronizzazione, usa una chiave di crittografia per archiviare le password degli account di servizio Active Directory Domain Services e Azure AD.Azure AD Connect, as part of the Synchronization Services uses an encryption key to store the passwords of the AD DS and Azure AD service accounts. Questi account vengono crittografati prima di essere archiviati nel database.These accounts are encrypted before they are stored in the database.

La chiave di crittografia usata viene protetta con Windows Data Protection (DPAPI).The encryption key used is secured using Windows Data Protection (DPAPI). DPAPI protegge la chiave di crittografia usando la password dell'account del servizio di sincronizzazione Azure AD Connect.DPAPI protects the encryption key using the password of the Azure AD Connect sync service account.

Se è necessario modificare la password dell'account del servizio, è possibile usare le procedure contenute in Abbandono della chiave di crittografia del servizio di sincronizzazione Azure AD Connect.If you need to change the service account password you can use the procedures in Abandoning the Azure AD Connect Sync encryption key to accomplish this. Queste procedure devono essere usate anche se è necessario abbandonare la chiave di crittografia per qualsiasi altro motivo.These procedures should also be used if you need to abandon the encryption key for any reason.

Problemi derivati dalla modifica della passwordIssues that arise from changing the password

Quando si modifica la password dell'account del servizio, è necessario eseguire due operazioni.There are two things that need to be done when you change the service account password.

Prima di tutto, è necessario modificare la password in Gestione controllo servizi di Windows.First, you need to change the password under the Windows Service Control Manager. Finché non si risolve questo problema, verranno visualizzati gli errori seguenti:Until this issue is resolved you will see following errors:

  • Se si prova ad avviare il servizio di sincronizzazione in Gestione controllo servizi di Windows, viene visualizzato l'errore "Impossibile avviare il servizio Microsoft Azure AD Sync su computer locale".If you try to start the Synchronization Service in Windows Service Control Manager, you receive the error "Windows could not start the Microsoft Azure AD Sync service on Local Computer". Errore 1069: Il servizio non è stato avviato a causa di un errore in fase di accesso".Error 1069: The service did not start due to a logon failure."
  • Nel Visualizzatore eventi di Windows il registro eventi di sistema contiene un errore con ID evento 7038 e il messaggio "Il servizio ADSync non è stato in grado di accedere con la password al momento configurata, a causa del seguente errore: Password o nome utente errato".Under Windows Event Viewer, the system event log contains an error with Event ID 7038 and message “The ADSync service was unable to log on as with the currently configured password due to the following error: The user name or password is incorrect."

In secondo luogo, se in condizioni specifiche la password viene aggiornata, il servizio di sincronizzazione non può più recuperare la chiave di crittografia tramite DPAPI.Second, under specific conditions, if the password is updated, the Synchronization Service can no longer retrieve the encryption key via DPAPI. Senza la chiave di crittografia, il servizio di sincronizzazione non può decrittografare le password necessarie per eseguire la sincronizzazione a/da Active Directory e Azure AD locali.Without the encryption key, the Synchronization Service cannot decrypt the passwords required to synchronize to/from on-premises AD and Azure AD. Verranno visualizzati gli errori seguenti:You will see errors such as:

  • Se in Gestione controllo servizi di Windows si prova ad avviare il servizio di sincronizzazione e questo non riesce a recuperare la chiave di crittografia, viene restituito l'errore "Impossibile avviare il servizio Microsoft Azure AD Sync su computer locale.Under Windows Service Control Manager, if you try to start the Synchronization Service and it cannot retrieve the encryption key, it fails with error “Windows could not start the Microsoft Azure AD Sync on Local Computer. Per maggiori informazioni, consultare il registro eventi di sistema.For more information, review the System Event log. Se non si tratta di un servizio Microsoft, contattare il fornitore del servizio e fare riferimento al codice di errore -21451857952".If this is a non-Microsoft service, contact the service vendor, and refer to service-specific error code **-21451857952**.”
  • Nel Visualizzatore eventi di Windows il registro eventi dell'applicazione contiene un errore con ID evento 6028 e il messaggio di errore "Impossibile accedere alla chiave di crittografia del server".Under Windows Event Viewer, the application event log contains an error with Event ID 6028 and error message The server encryption key cannot be accessed.

Per assicurarsi di non ricevere più questi errori, seguire le procedure contenute in Abbandono della chiave di crittografia del servizio di sincronizzazione Azure AD Connect quando si modifica la password.To ensure that you do not receive these errors, follow the procedures in Abandoning the Azure AD Connect Sync encryption key when changing the password.

Abbandono della chiave di crittografia del servizio di sincronizzazione Azure AD ConnectAbandoning the Azure AD Connect Sync encryption key

Importante

Le procedure seguenti si applicano solo ad Azure AD Connect build 1.1.443.0 o precedenti.The following procedures only apply to Azure AD Connect build 1.1.443.0 or older.

Usare le procedure seguenti per abbandonare la chiave di crittografia.Use the following procedures to abandon the encryption key.

Che cosa fare se è necessario abbandonare la chiave di crittografiaWhat to do if you need to abandon the encryption key

Se è necessario abbandonare la chiave di crittografia, usare le procedure seguenti.If you need to abandon the encryption key, use the following procedures to accomplish this.

  1. Abbandonare la chiave di crittografia esistenteAbandon the existing encryption key

  2. Specificare la password dell'account Active Directory Domain ServicesProvide the password of the AD DS account

  3. Reinizializzare la password dell'account Azure AD SyncReinitialize the password of the Azure AD sync account

  4. Avviare il servizio di sincronizzazioneStart the Synchronization Service

Abbandonare la chiave di crittografia esistenteAbandon the existing encryption key

Abbandonare la chiave di crittografia esistente per poterne creare una nuova:Abandon the existing encryption key so that new encryption key can be created:

  1. Accedere al server Azure AD Connect come amministratore.Log in to your Azure AD Connect Server as administrator.

  2. Avviare una nuova sessione di PowerShell.Start a new PowerShell session.

  3. Passare alla cartella $env:Program Files\Microsoft Azure AD Sync\bin\Navigate to folder: $env:Program Files\Microsoft Azure AD Sync\bin\

  4. Eseguire il comando ./miiskmu.exe /aRun the command: ./miiskmu.exe /a

Utilità per la chiave di crittografia del servizio di sincronizzazione Azure AD Connect

Specificare la password dell'account Active Directory Domain ServicesProvide the password of the AD DS account

Poiché le password esistenti archiviate nel database non possono essere più decrittografate, è necessario immettere nel servizio di sincronizzazione la password dell'account Active Directory Domain Services.As the existing passwords stored inside the database can no longer be decrypted, you need to provide the Synchronization Service with the password of the AD DS account. Il servizio di sincronizzazione crittografa le password usando la nuova chiave di crittografia:The Synchronization Service encrypts the passwords using the new encryption key:

  1. Avviare Synchronization Service Manager (START → Servizio di sincronizzazione).Start the Synchronization Service Manager (START → Synchronization Service).
    Sync Service ManagerSync Service Manager
  2. Passare alla scheda Connettori.Go to the Connectors tab.
  3. Selezionare il connettore AD Connector corrispondente ad Active Directory locale.Select the AD Connector that corresponds to your on-premises AD. Se sono presenti più connettori, ripetere i passaggi seguenti per ognuno.If you have more than one AD connector, repeat the following steps for each of them.
  4. In Azioni selezionare Proprietà.Under Actions, select Properties.
  5. Nella finestra di dialogo popup selezionare Connetti a Foresta Active Directory:In the pop-up dialog, select Connect to Active Directory Forest:
  6. Immettere la nuova password dell'account Active Directory Domain Services nella casella di testo Password.Enter the password of the AD DS account in the Password textbox. Se non si conosce questa password, è necessario impostarla su un valore noto prima di eseguire questo passaggio.If you do not know its password, you must set it to a known value before performing this step.
  7. Fare clic su OK per salvare la nuova password e chiudere la finestra di dialogo popup.Click OK to save the new password and close the pop-up dialog. Utilità per la chiave di crittografia del servizio di sincronizzazione Azure AD ConnectAzure AD Connect Sync Encryption Key Utility

Reinizializzare la password dell'account Azure AD SyncReinitialize the password of the Azure AD sync account

Non è possibile fornire direttamente la password dell'account del servizio Azure AD al servizio di sincronizzazione.You cannot directly provide the password of the Azure AD service account to the Synchronization Service. È invece necessario usare il cmdlet Add-ADSyncAADServiceAccount per reinizializzare l'account del servizio Azure AD.Instead, you need to use the cmdlet Add-ADSyncAADServiceAccount to reinitialize the Azure AD service account. Il cmdlet reimposta la password dell'account e la rende disponibile al servizio di sincronizzazione:The cmdlet resets the account password and makes it available to the Synchronization Service:

  1. Avviare una nuova sessione di PowerShell nel server Azure AD Connect.Start a new PowerShell session on the Azure AD Connect server.
  2. Eseguire il cmdlet Add-ADSyncAADServiceAccount.Run cmdlet Add-ADSyncAADServiceAccount.
  3. Nella finestra di dialogo popup immettere le credenziali di amministratore globale di Azure AD per il tenant di Azure AD.In the pop-up dialog, provide the Azure AD Global admin credentials for your Azure AD tenant. Utilità per la chiave di crittografia del servizio di sincronizzazione Azure AD ConnectAzure AD Connect Sync Encryption Key Utility
  4. Se questo passaggio riesce, verrà visualizzato il prompt dei comandi di PowerShell.If it is successful, you will see the PowerShell command prompt.

Avviare il servizio di sincronizzazioneStart the Synchronization Service

Ora che il servizio di sincronizzazione ha accesso alla chiave di crittografia e a tutte le password necessarie, è possibile riavviare il servizio in Gestione controllo servizi di Windows:Now that the Synchronization Service has access to the encryption key and all the passwords it needs, you can restart the service in the Windows Service Control Manager:

  1. Passare a Gestione controllo servizi di Windows (START → Servizi).Go to Windows Service Control Manager (START → Services).
  2. Selezionare Microsoft Azure AD Sync e fare clic su Riavvia.Select Microsoft Azure AD Sync and click Restart.

Passaggi successiviNext steps

Argomenti generaliOverview topics