變更 ADSync 服務帳戶密碼

  • 發行項

如果您變更 ADSync 服務帳戶密碼,在放棄加密金鑰並重新初始化 ADSync 服務帳戶密碼之前,同步處理服務將無法正確啟動。

重要

如果您使用 連線 搭配 2017 年 3 月或更早版本的組建,則不應該重設服務帳戶的密碼,因為 Windows 會基於安全性考慮終結加密金鑰。 若未重新安裝 Microsoft Entra 連線,您就無法將帳戶變更為任何其他帳戶。 如果您從 2017 年 4 月或更新版本升級至組建,則支援變更服務帳戶的密碼,但無法變更所使用的帳戶。

Microsoft Entra 連線,作為同步處理服務的一部分,會使用加密金鑰來儲存 AD DS 連線or 帳戶和 ADSync 服務帳戶的密碼。 這些帳戶會先加密,再儲存在資料庫中。

使用的加密金鑰是使用 Windows 資料保護 (DPAPI) 保護。 DPAPI 會使用 ADSync 服務帳戶 保護加密金鑰。

如果您需要變更服務帳戶密碼,您可以使用放棄 ADSync 服務帳戶加密金鑰 中的 程式來完成這項作業。 如果您需要基於任何原因放棄加密金鑰,也應該使用這些程式。

變更密碼所產生的問題

當您變更服務帳戶密碼時,需要執行兩件事。

首先,您必須在 Windows 服務控制管理員下變更密碼。 在解決此問題之前,您將會看到下列錯誤:

  • 如果您嘗試在 Windows 服務控制管理員中啟動同步處理服務,您會收到「 Windows 無法在本機電腦上 啟動 Microsoft Entra ID Sync 服務」錯誤。 錯誤 1069:服務因登入失敗而未啟動。
  • 在 Windows 事件檢視器 下,系統事件記錄檔包含事件識別碼為 7038 的錯誤 ,並訊息「 ADSync 服務因下列錯誤而無法以目前設定的密碼登入:使用者名稱或密碼不正確」。

其次,在特定情況下,如果密碼已更新,同步處理服務就無法再透過 DPAPI 擷取加密金鑰。 如果沒有加密金鑰,同步處理服務就無法解密同步處理內部部署 AD 和 Microsoft Entra 識別碼所需的密碼。 您會看到錯誤,例如:

  • 在 Windows 服務控制管理員下,如果您嘗試啟動同步處理服務且無法擷取加密金鑰,它就會失敗,並出現錯誤「 Windows 無法在本機電腦上啟動 Microsoft Entra ID Sync。如需詳細資訊,請檢閱系統事件記錄檔。如果這是非 Microsoft 服務,請連絡服務提供者,並參考服務特定的錯誤碼 -21451857952 」。
  • 在 Windows 事件檢視器 下,應用程式事件記錄檔包含事件 識別碼為 6028 的錯誤,以及錯誤訊息 「無法存取伺服器加密金鑰」。

若要確保您未收到這些錯誤,請遵循變更密碼時放棄 ADSync 服務帳戶加密金鑰 中的 程式。

放棄 ADSync 服務帳戶加密金鑰

重要

下列程式僅適用于 Microsoft Entra 連線組建 1.1.443.0 或更新版本。 這無法用於較新版本的 Microsoft Entra 連線,因為當您變更 AD 同步服務帳戶密碼時,放棄加密金鑰是由 Microsoft Entra 連線 自行處理,因此較新版本中不需要下列步驟。

使用下列程式來放棄加密金鑰。

如果您需要放棄加密金鑰,該怎麼辦

如果您需要放棄加密金鑰,請使用下列程式來完成此作業。

  1. 停止同步處理服務

  2. 放棄現有的加密金鑰

  3. 提供 AD DS 連線or 帳戶的密碼

  4. 重新初始化 ADSync 服務帳戶的密碼

  5. 啟動同步處理服務

停止同步處理服務

首先,您可以在 Windows 服務控制管理員中停止服務。 請確定服務在嘗試停止服務時未執行。 如果是,請等到它完成,然後停止它。

  1. 移至 Windows 服務控制管理員(START → Services)。
  2. 選取 [Microsoft Entra ID Sync] ,然後按一下 [停止]。

放棄現有的加密金鑰

放棄現有的加密金鑰,以便建立新的加密金鑰:

  1. 以系統管理員身分登入您的 Microsoft Entra 連線 Server。

  2. 啟動新的 PowerShell 工作階段。

  3. 流覽至資料夾: '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. 執行命令: ./miiskmu.exe /a

Screenshot that shows PowerShell after running the command.

提供 AD DS 連線or 帳戶的密碼

由於資料庫內儲存的現有密碼無法再解密,您必須提供同步處理服務與 AD DS 連線or 帳戶的密碼。 同步處理服務會使用新的加密金鑰來加密密碼:

  1. 啟動 Synchronization Service Manager (START → Synchronization Service)。
    Sync Service Manager
  2. 移至 [連線ors] 索引 標籤。
  3. 選取對應至內部部署 AD 的 AD 連線or 。 如果您有多個 AD 連接器,請針對每個連接器重複下列步驟。
  4. 在 [動作] 底下 ,選取 [ 屬性 ]。
  5. 在快顯對話方塊中,選取 [連線至 Active Directory 樹系
  6. [密碼 ] 文字方塊中輸入 AD DS 帳戶的密碼。 如果您不知道其密碼,您必須先將它設定為已知值,才能執行此步驟。
  7. 按一下 [ 確定 ] 以儲存新的密碼,並關閉快顯對話方塊。 Screenshot that shows the

重新初始化 ADSync 服務帳戶的密碼

您無法將 Microsoft Entra 服務帳戶的密碼直接提供給同步處理服務。 相反地,您必須使用 Cmdlet Add-ADSyncAADServiceAccount 來重新初始化 Microsoft Entra 服務帳戶。 Cmdlet 會重設帳戶密碼,並將其提供給同步處理服務:

  1. 登入 Microsoft Entra 連線 Sync 伺服器並開啟 PowerShell。

  2. 若要提供 Microsoft Entra Global 管理員istrator 認證,請執行 $credential = Get-Credential

  3. Add-ADSyncAADServiceAccount -AADCredential $credential執行 Cmdlet。

    如果 Cmdlet 成功,PowerShell 命令提示字元隨即出現。

Cmdlet 會重設服務帳戶的密碼,並在 Microsoft Entra ID 和同步處理引擎中更新密碼。

啟動同步處理服務

現在,同步處理服務可以存取加密金鑰及其所需的所有密碼,您可以在 Windows 服務控制管理員中重新開機服務:

  1. 移至 Windows 服務控制管理員(START → Services)。
  2. 選取 [Microsoft Entra ID Sync] ,然後按一下 [重新開機]。

下一步

概觀主題