Modifica della password dell'account del servizio ADSync

  • Articolo

Se si modifica la password dell'account del servizio ADSync, il servizio di sincronizzazione non viene avviato correttamente finché non si abbandona la chiave di crittografia e viene reinizializzata la password dell'account del servizio ADSync.

Importante

Se si usa Connect con una build di marzo 2017 o precedente, non reimpostare la password nell'account del servizio poiché Windows elimina le chiavi di crittografia per motivi di sicurezza. Non è possibile modificare l'account in qualsiasi altro account senza reinstallare Microsoft Entra Connect. Se si esegue l'aggiornamento a un build di aprile 2017 o successiva, è possibile modificare la password dell'account del servizio ma non l'account in uso.

Microsoft Entra Connect, come parte di Synchronization Services usa una chiave di crittografia per archiviare le password dell'account AD DS Connector e dell'account del servizio ADSync. Questi account vengono crittografati prima di essere archiviati nel database.

La chiave di crittografia usata viene protetta con Windows Data Protection (DPAPI). DPAPI protegge la chiave di crittografia usando l’account del servizio ADSync.

Se è necessario modificare la password dell'account del servizio, è possibile usare le procedure contenute in Abbandono della chiave di crittografia dell’account del servizio ADSync. Queste procedure devono essere usate anche se è necessario abbandonare la chiave di crittografia per qualsiasi altro motivo.

Problemi derivati dalla modifica della password

Quando si modifica la password dell'account del servizio, è necessario eseguire due operazioni.

Prima di tutto, è necessario modificare la password in Gestione controllo servizi di Windows. Fino a quando questo problema non viene risolto, vengono visualizzati i problemi seguenti:

  • Se si prova ad avviare il servizio di sincronizzazione in Gestione controllo servizi di Windows, viene visualizzato l'errore "Impossibile avviare il servizio Microsoft Entra ID Sync su computer locale". Errore 1069: Il servizio non è stato avviato a causa di un errore in fase di accesso".
  • Nel Visualizzatore eventi di Windows il registro eventi di sistema contiene un errore con ID evento 7038 e il messaggio "Il servizio ADSync non è stato in grado di accedere con la password al momento configurata, a causa del seguente errore: Password o nome utente errato".

In secondo luogo, se in condizioni specifiche la password viene aggiornata, il servizio di sincronizzazione non può più recuperare la chiave di crittografia tramite DPAPI. Senza la chiave di crittografia, il servizio di sincronizzazione non può decrittografare le password necessarie per eseguire la sincronizzazione a/da Active Directory e Microsoft Entra ID locali. Vengono visualizzati errori come:

  • Se in Gestione controllo servizi di Windows si prova ad avviare il servizio di sincronizzazione e questo non riesce a recuperare la chiave di crittografia, viene restituito l'errore "Impossibile avviare il servizio Microsoft Entra ID Sync su computer locale. Per maggiori informazioni, consultare il registro eventi di sistema. Se non si tratta di un servizio Microsoft, contattare il fornitore del servizio e fare riferimento al codice di errore -21451857952.
  • Nel Visualizzatore eventi di Windows il registro eventi dell'applicazione contiene un errore con ID evento 6028 e il messaggio di errore "Impossibile accedere alla chiave di crittografia del server".

Per assicurarsi di non ricevere più questi errori, seguire le procedure contenute in Abbandono della chiave di crittografia dell’account del servizio ADSync Connect quando si modifica la password.

Abbandono della chiave di crittografia dell'account del servizio ADSync

Importante

Le procedure seguenti si applicano solo a Microsoft Entra Connect build 1.1.443.0 o versioni precedenti. Questo non può essere usato per le versioni più recenti di Microsoft Entra Connect perché l'abbandono della chiave di crittografia viene gestito da Microsoft Entra Connect stesso quando si modifica la password dell'account del servizio di sincronizzazione di Active Directory in modo che i passaggi seguenti non siano necessari nelle versioni più recenti.

Usare le procedure seguenti per abbandonare la chiave di crittografia.

Che cosa fare se è necessario abbandonare la chiave di crittografia

Se è necessario abbandonare la chiave di crittografia, usare le procedure seguenti.

  1. Arrestare il servizio di sincronizzazione

  2. Abbandonare la chiave di crittografia esistente

  3. Specificare la password dell'account AD DS Connector

  4. Reinizializzare la password dell'account del servizio AD Sync

  5. Avviare il servizio di sincronizzazione

Arrestare il servizio di sincronizzazione

Innanzitutto è possibile arrestare il servizio in Gestione controllo servizi di Windows. Assicurarsi che il servizio non sia in esecuzione quando si tenta di arrestarlo. In tal caso, attendere il termine dell'operazione e quindi arrestarlo.

  1. Passare a Gestione controllo servizi di Windows (START → Servizi).
  2. Selezionare Microsoft Entra ID Sync e fare clic su Stop.

Abbandonare la chiave di crittografia esistente

Abbandonare la chiave di crittografia esistente per poterne creare una nuova:

  1. Accedere al server Microsoft Entra Connect come amministratore.

  2. Avviare una nuova sessione di PowerShell.

  3. Passare alla cartella '$env:ProgramFiles\Microsoft Azure AD Sync\bin\'

  4. Eseguire il comando ./miiskmu.exe /a

Screenshot che mostra PowerShell dopo l'esecuzione del comando.

Specificare la password dell'account AD DS Connector

Poiché le password esistenti archiviate nel database non possono essere più decrittografate, è necessario immettere nel servizio di sincronizzazione la password dell'account AD DS Connector. Il servizio di sincronizzazione crittografa le password usando la nuova chiave di crittografia:

  1. Avviare Synchronization Service Manager (START → Servizio di sincronizzazione).
    Synchronization Service Manager
  2. Passare alla scheda Connettori.
  3. Selezionare il connettore AD Connector corrispondente ad Active Directory locale. Se sono presenti più connettori, ripetere i passaggi seguenti per ognuno.
  4. In Azioni selezionare Proprietà.
  5. Nella finestra di dialogo popup selezionare Connetti a Foresta Active Directory:
  6. Immettere la nuova password dell'account Active Directory Domain Services nella casella di testo Password. Se non si conosce questa password, è necessario impostarla su un valore noto prima di eseguire questo passaggio.
  7. Fare clic su OK per salvare la nuova password e chiudere la finestra di dialogo popup. Screenshot che mostra la pagina

Reinizializzare la password dell'account Entra ID Connector

Non è possibile fornire direttamente la password dell'account del servizio Microsoft Entra al servizio di sincronizzazione. È invece necessario usare il cmdlet Add-ADSyncAADServiceAccount per reinizializzare l'account del servizio Microsoft Entra. Il cmdlet reimposta la password dell'account e la rende disponibile al servizio di sincronizzazione:

  1. Accedere al server di Microsoft Entra Connect Sync V2 e aprire PowerShell.

  2. Per fornire le credenziali di amministratore globale di Microsoft Entra, eseguire $credential = Get-Credential.

  3. Eseguire il cmdlet Add-ADSyncAADServiceAccount -AADCredential $credential.

    Se il cmdlet ha esito positivo, viene visualizzato il prompt dei comandi di PowerShell.

Il cmdlet reimposta la password per l'account del servizio e la aggiorna sia in Microsoft Entra ID che nel motore di sincronizzazione.

Avviare il servizio di sincronizzazione

Ora che il servizio di sincronizzazione ha accesso alla chiave di crittografia e a tutte le password necessarie, è possibile riavviare il servizio in Gestione controllo servizi di Windows:

  1. Passare a Gestione controllo servizi di Windows (START → Servizi).
  2. Selezionare Microsoft Entra ID Sync quindi fare clic su Riavvia.

Passaggi successivi

Argomenti generali