Microsoft Entra Connect 安装本地服务,该服务协调Active Directory和Microsoft Entra ID之间的同步。 Microsoft Entra ID同步同步服务(ADSync)在本地环境中的服务器上运行。 默认情况下,服务的凭据将在 Express 安装中设置,但用户也可以根据组织的安全要求自定义这些凭据。 这些凭据不用于连接到本地林或Microsoft Entra ID。
选择 ADSync 服务帐户是在安装 Microsoft Entra Connect 之前做出的重要规划决策。 安装后更改凭据的任何尝试都将导致服务无法启动、失去对同步数据库的访问权限,以及无法通过连接的目录(Azure和 AD DS)进行身份验证。 在还原原始凭据之前无法进行同步。
同步服务可在不同帐户下运行。 它可以在虚拟服务帐户 (VSA)、托管服务帐户 (gMSA/sMSA) 或普通用户帐户下运行。 在进行全新安装时,2017 年 4 月版本和 2021 年 3 月版本的 Microsoft Entra Connect 更改了受支持的选项。 如果从早期版本的 Microsoft Entra Connect 升级,则这些附加选项不可用。
| 帐户的类型 | 安装选项 | 说明 |
|---|---|---|
| 虚拟服务帐户 | Express版本和自定义版本,2017年4月及以后版本 | 虚拟服务帐户用于所有快速安装,但域控制器上的安装除外。 使用自定义安装时,除非使用了其他选项,否则此选项是默认选项。 |
| 托管服务帐户 | 自定义,2017 年 4 月及之后 | 如果使用远程SQL Server,建议使用组托管服务帐户。 |
| 托管服务帐户 | 快速版和自定义版,2021年3月及以后 | 在域控制器上安装时,将在执行快速安装期间创建前缀为 ADSyncMSA_ 的独立托管服务帐户。 使用自定义安装时,除非使用了其他选项,否则此选项是默认选项。 |
| 用户帐户 | 快速型和自定义型,2017 年 4 月至 2021 年 3 月 | 在域控制器上安装时,将在执行快速安装期间创建前缀为 AAD_ 的用户帐户。 使用自定义安装时,除非使用了其他选项,否则此选项是默认选项。 |
| 用户帐户 | 快速和自定义,2017 年 3 月版及更早版本 | 在执行快速安装期间将创建前缀为 AAD_ 的用户帐户。 使用自定义安装时,可指定另一个帐户。 |
重要
如果在 2017 年 3 月或更早版本中使用 Connect,则不应重置服务帐户的密码,因为Windows出于安全原因销毁加密密钥。 如果不重新安装 Microsoft Entra Connect,则无法将该帐户更改为任何其他帐户。 如果从 2017 年 4 月版或更高版本升级到某个版本,则支持更改服务帐户的密码,但无法更改使用的帐户。
重要
只能在首次安装时设置服务帐户。 安装完成后,不支持更改服务帐户。 如果你需要更改服务帐户密码,我们支持此操作,在此处可找到相关说明。
下面是同步服务帐户的默认、建议和支持的选项表格。
图例:
- 粗体表示默认选项,在大多数情况下也是建议的选项。
- 斜体指示建议的选项(如果不是默认的选项)。
- 非粗体 - 支持的选项
- 本地帐户 - 服务器上的本地用户帐户
- 域帐户 - 域用户帐户
- sMSA - 独立托管服务帐户
- gMSA - 组托管服务帐户
| 计算机类型 |
LocalDB 快速 |
LocalDB/LocalSQL 自定义 |
远程 SQL 自定义 |
|---|---|---|---|
| 已加入域的计算机 | VSA |
VSA sMSA gMSA 本地帐户 域帐户 |
gMSA 域帐户 |
| 域控制器 | sMSA |
sMSA gMSA 域帐户 |
gMSA 域帐户 |
虚拟服务帐户
虚拟服务帐户是一种特殊类型的托管本地帐户,没有密码,由Windows自动管理。
虚拟服务帐户适用于同步引擎与 SQL 位于同一台服务器上的方案。 如果你使用远程 SQL,则我们建议改用组托管服务帐户。
由于Windows数据保护 API (DPAPI)问题,虚拟服务帐户不能在域控制器上使用。
托管服务帐户
如果使用远程SQL Server,建议使用组托管服务帐户。 有关如何为组托管服务帐户准备Active Directory的详细信息,请参阅 Group 托管服务帐户概述。
要使用此选项,请在安装所需组件页上,选择“使用现有服务帐户”,并选择“托管服务帐户”。
还支持使用独立托管服务帐户。 但是,这些帐户只能在本地计算机上使用,因此使用这些帐户相对默认虚拟服务帐户而言并没有好处。
自动生成的独立托管服务帐户
如果在域控制器上安装Microsoft Entra连接,则安装向导会创建独立的托管服务帐户(除非指定要在自定义设置中使用的帐户)。 该帐户具有 ADSyncMSA_ 前缀,可用作实际同步服务的运行帐户。
此帐户是没有密码的托管域帐户,由Windows自动管理。
此帐户适用于同步引擎与 SQL 位于域控制器上的方案。
用户帐户
安装向导创建本地服务帐户(除非在自定义设置指定了要使用的帐户)。 该帐户以 AAD_ 作为前缀,并被用作实际同步服务的运行帐户。 如果在域控制器上安装Microsoft Entra连接,则会在域中创建该帐户。 在以下情况下,AAD_ 服务帐户必须位于域中:
- 您使用的是运行SQL Server的远程服务器
- 使用需要身份验证的代理
该帐户带有永不过期的长复杂密码。
此帐户用于以安全方式存储其他帐户的密码。 其他这些帐户密码以加密形式存储在数据库中。 加密密钥的私钥由 Windows 数据保护 API(DPAPI)通过密码服务的对称密钥加密进行保护。
如果使用完整的SQL Server,则服务帐户是同步引擎创建的数据库的 DBO。 如果使用任何其他权限,服务无法按预期工作。 还会创建一个 SQL 登录。
还会为该帐户授予对文件、注册表项和与同步引擎相关的其他对象的权限。