Alterar senha da conta de serviço do ADSync

  • Artigo

Caso altere a senha da conta de serviço do ADSync, o serviço de sincronização não conseguirá iniciar corretamente até você abandonar a chave de criptografia e reinicializar a senha da conta de serviço de sincronização do ADSync.

Importante

Se você usar o Connect com um build de março de 2017 ou anterior, a senha da conta de serviço não deverá ser redefinida, pois o Windows destruirá as chaves de criptografia por motivos de segurança. Você não pode alterar a conta para nenhuma outra conta sem reinstalar o Microsoft Entra Connect. Caso atualize para um build de abril de 2017 ou posterior, haverá suporte para alterar a senha na conta de serviço, mas não será possível alterar a conta usada.

O Microsoft Entra Connect, como parte dos serviços de sincronização, usa uma chave de criptografia para armazenar as senhas das contas do conector do AD DS e do ADSync service. Essas contas são criptografadas antes de serem armazenadas no banco de dados.

A chave de criptografia usada é protegida usando o Data Protection do Windows (DPAPI). A DPAPI protege a chave de criptografia usando a conta de serviço ADSync.

Caso precise alterar a senha da conta de serviço, use os procedimentos em Abandonar a chave de criptografia da conta de serviço do ADSync para fazer isso. Estes procedimentos também deverão ser usados se você precisar abandonar a chave de criptografia por algum motivo.

Os problemas que surgem da alteração da senha

Há duas coisas que precisam ser feitas quando você altera a senha da conta do serviço.

Primeiro, você precisa alterar a senha no Gerenciador de Controle de Serviços do Windows. Até que esse problema seja resolvido, você verá os seguintes erros:

  • Se você tentar iniciar o serviço de sincronização no Gerenciador de Controle de Serviços do Windows, receberá o erro "O Windows não pôde iniciar o serviço de sincronização do Microsoft Entra ID no computador local". Erro 1069: O serviço não foi iniciado devido a uma falha de logon."
  • No Visualizador de Eventos do Windows, o log de eventos do sistema contém um erro com ID de evento 7038 e a mensagem "O serviço ADSync não pôde fazer logon com a senha configurada atualmente devido ao seguinte erro: nome de usuário ou senha incorretos."

Segundo, sob condições específicas, se a senha for atualizada, o serviço de sincronização não poderá mais recuperar a chave de criptografia pelo DPAPI. Sem a chave de criptografia, o serviço de sincronização não poderá descriptografar as senhas necessárias para sincronizar de/para o AD local e o Microsoft Entra ID. Você verá erros, como:

  • Em Gerenciador de Controle de Serviço do Windows, se tentar iniciar o serviço de sincronização e ele não conseguir recuperar a chave de criptografia, ele falhará com o erro "o Windows não pôde iniciar o Microsoft Entra ID Sync no computador local. Para obter mais informações, examine o log de eventos do sistema. Se esse serviço não for da Microsoft, entre em contato com o fornecedor do serviço e consulte o código de erro específico do serviço -21451857952."
  • No Visualizador de Eventos do Windows, o log de eventos do aplicativo contém um erro com ID de evento 6028 e a mensagem de erro “A chave de criptografia do servidor não pode ser acessada.”

Para garantir que você não receba esses erros, siga os procedimentos em Abandonar a chave de criptografia de sincronização do ADSync ao alterar a senha.

Abandonar a chave de criptografia da conta de serviço do ADSync

Importante

Os procedimentos a seguir aplicam-se somente ao Microsoft Entra Connect compilação 1.1.443.0 ou anterior. Isso não pode ser usado para versões mais recentes do Microsoft Entra Connect porque o abandono da chave de criptografia é tratado pelo próprio Microsoft Entra Connect quando você altera a senha da conta de serviço do AD Sync para que as etapas a seguir não sejam necessárias nas versões mais recentes.

Use os procedimentos a seguir para abandonar a chave de criptografia.

O que fazer se você precisar abandonar a chave de criptografia

Se você precisar abandonar a chave de criptografia, use os procedimentos a seguir para fazer isso.

  1. Parar o serviço de sincronização

  2. Abandone a chave de criptografia existente

  3. Forneça a senha da conta do conector do AD DS

  4. Reinicializar a senha da conta de serviço do ADSync

  5. Inicie o serviço de sincronização

Parar o serviço de sincronização

Primeiro, você pode parar o serviço Gerenciador de controle de serviço no Windows. Verifique se o serviço não está em execução durante a tentativa de interrompê-lo. Se for, aguarde até que ele for concluído e, em seguida, pará-lo.

  1. Vá para o Gerenciador de Controle de Serviços do Windows (INICIAR → Serviços).
  2. Selecione Microsoft Entra ID Sync e clique em Parar.

Abandone a chave de criptografia existente

Abandone a chave de criptografia existente para que essa nova chave de criptografia possa ser criada:

  1. Faça logon no seu servidor do Microsoft Entra Connect Server como administrador.

  2. Inicie uma nova sessão do PowerShell.

  3. Navegue até a pasta: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Execute o comando: ./miiskmu.exe /a

Screenshot that shows PowerShell after running the command.

Forneça a senha da conta do conector do AD DS

Como as senhas existentes armazenadas no banco de dados não podem ser descriptografadas, será preciso fornecer ao serviço de sincronização a senha da conta do conector do AD DS. O serviço de sincronização criptografa as senhas usando a nova chave de criptografia:

  1. Inicie o Synchronization Service Manager (INICIAR → Serviço de Sincronização).
    Sync Service Manager
  2. Acesse a guia Conectores.
  3. Selecione o AD Connector que corresponde ao seu AD local. Se você tiver mais de um AD Connector, repita as etapas a seguir para cada um deles.
  4. Em Ações, selecione Propriedades.
  5. Na caixa de diálogo pop-up, selecione Conectar-se à floresta do Active Directory:
  6. Insira a senha da conta do AD DS na caixa de texto Senha. Se você não souber a senha, configure-a para um valor conhecido antes de executar essa etapa.
  7. Clique em OK para salvar a nova senha e fechar a caixa de diálogo pop-up. Screenshot that shows the

Reinicializar a senha da conta de serviço do ADSync

Você não pode fornecer diretamente a senha da conta de serviço do Microsoft Entra para o serviço de sincronização. Em vez disso, você precisa usar o cmdlet Add-ADSyncAADServiceAccount para reinicializar a conta de serviço do Microsoft Entra. O cmdlet redefine a senha da conta e a torna disponível para o serviço de sincronização:

  1. Entre no servidor do Microsoft Entra Connect Sync e abra o PowerShell.

  2. Para fornecer as credenciais de administrador global do Microsoft Entra, execute $credential = Get-Credential.

  3. Execute o cmdlet Add-ADSyncAADServiceAccount -AADCredential $credential.

    Se o cmdlet executar corretamente, o prompt de comando do PowerShell será exibido.

O cmdlet redefinirá a senha da conta de serviço e a atualizará tanto no Microsoft Entra ID quanto no mecanismo de sincronização.

Inicie o serviço de sincronização

Agora que o serviço de sincronização tem acesso à chave de criptografia e todas as senhas necessárias, você poderá reiniciar o serviço no Gerenciador de Controle de Serviços do Windows:

  1. Vá para o Gerenciador de Controle de Serviços do Windows (INICIAR → Serviços).
  2. Selecione Microsoft Entra ID Sync e clique em Parar.

Próximas etapas

Tópicos de visão geral