Microsoft Entra Connect 会安装一个本地服务用于协调 Active Directory 与 Microsoft Entra ID 之间的同步。 Microsoft Entra ID Sync 同步服务 (ADSync) 在本地环境中的服务器上运行。 默认会在“快速”安装中设置该服务的凭据,不过,用户也可以根据组织的安全要求自定义凭据。 这些凭据不会用于连接到本地林或 Microsoft Entra ID。
选择 ADSync 服务帐户是在安装 Microsoft Entra Connect 之前要做出的一项重要规划决策。 安装后尝试更改凭据会导致服务无法启动、无法访问同步数据库,以及无法在连接的目录(Azure 和 AD DS)中进行身份验证。 在还原原始凭据之前无法进行同步。
同步服务可在不同帐户下运行。 它可以在虚拟服务帐户 (VSA)、托管服务帐户 (gMSA/sMSA) 或普通用户帐户下运行。 2017 年 4 月和 2021 年 3 月版本的 Microsoft Entra Connect 的支持选项已更改(若进行全新安装)。 如果从早期版本的 Microsoft Entra Connect 升级,这些附加选项不可用。
| 帐户的类型 | 安装选项 | 说明 |
|---|---|---|
| 虚拟服务帐户 | 快速和自定义,2017 年 4 月版及更高版本 | 虚拟服务帐户用于所有快速安装,但域控制器上的安装除外。 使用自定义安装时,除非使用了其他选项,否则此选项是默认选项。 |
| 托管服务帐户 | 自定义,2017 年 4 月版及更高版本 | 如果你使用远程 SQL Server,则我们建议使用组托管服务帐户。 |
| 托管服务帐户 | 快速和自定义,2021 年 3 月版及更高版本 | 在域控制器上安装时,将在执行快速安装期间创建前缀为 ADSyncMSA_ 的独立托管服务帐户。 使用自定义安装时,除非使用了其他选项,否则此选项是默认选项。 |
| 用户帐户 | 快速和自定义,2017 年 4 月版至 2021 年 3 月版 | 在域控制器上安装时,将在执行快速安装期间创建前缀为 AAD_ 的用户帐户。 使用自定义安装时,除非使用了其他选项,否则此选项是默认选项。 |
| 用户帐户 | 快速和自定义,2017 年 3 月版及更早版本 | 在执行快速安装期间将创建前缀为 AAD_ 的用户帐户。 使用自定义安装时,可指定另一个帐户。 |
重要
如果将 Connect 与 2017 年 3 月的版本或更早版本一起使用,则不应重置服务帐户中的密码,因为出于安全原因,Windows 会销毁加密密钥。 在不重新安装 Microsoft Entra Connect 的情况下,无法将帐户更改为其他任何帐户。 如果从 2017 年 4 月版或更高版本升级到某个版本,则支持更改服务帐户的密码,但无法更改使用的帐户。
重要
只能在首次安装时设置服务帐户。 安装完成后,不支持更改服务帐户。 如果你需要更改服务帐户密码,我们支持此操作,在此处可找到相关说明。
下面是同步服务帐户的默认、建议和支持的选项表格。
图例:
- 粗体表示默认选项,在大多数情况下也是建议的选项。
- 斜体指示建议的选项(如果不是默认的选项)。
- 非粗体 - 支持的选项
- 本地帐户 - 服务器上的本地用户帐户
- 域帐户 - 域用户帐户
- sMSA - 独立托管服务帐户
- gMSA - 组托管服务帐户
| 计算机类型 | LocalDB 快速 |
LocalDB/LocalSQL 自定义 |
远程 SQL 自定义 |
|---|---|---|---|
| 加入域的计算机 | VSA | VSA sMSA gMSA 本地帐户 域帐户 |
gMSA 域帐户 |
| 域控制器 | sMSA | sMSA gMSA 域帐户 |
gMSA 域帐户 |
虚拟服务帐户是一种特殊类型的托管本地帐户,它不带有密码,由 Windows 自动管理。
虚拟服务帐户适用于同步引擎与 SQL 位于同一台服务器上的方案。 如果你使用远程 SQL,则我们建议改用组托管服务帐户。
由于 Windows 数据保护 API (DPAPI) 的问题,无法在域控制器上使用虚拟服务帐户。
如果你使用远程 SQL Server,则我们建议使用组托管服务帐户。 有关如何为组托管服务帐户准备 Active Directory 的详细信息,请参阅组托管服务帐户概述。
要使用此选项,请在安装所需组件页上,选择“使用现有服务帐户”,并选择“托管服务帐户”。
还支持使用独立托管服务帐户。 但是,这些帐户只能在本地计算机上使用,因此使用这些帐户相对默认虚拟服务帐户而言并没有好处。
如果在域控制器上安装 Microsoft Entra Connect,则安装向导会创建独立的托管服务帐户(除非你在自定义设置中指定要使用的帐户)。 该帐户的前缀为 ADSyncMSA_ ,用作实际同步服务的运行方式帐户。
此帐户是一个托管域帐户,它不带有密码,由 Windows 自动管理。
此帐户适用于同步引擎与 SQL 位于域控制器上的方案。
安装向导创建本地服务帐户(除非在自定义设置指定了要使用的帐户)。 该帐户具有 AAD_ 前缀,可用作实际同步服务的运行帐户。 如果在域控制器上安装 Microsoft Entra Connect,则会在该域中创建帐户。 在以下情况下,AAD_ 服务帐户必须位于域中:
- 使用运行 SQL Server 的远程服务器
- 使用需要身份验证的代理
该帐户带有永不过期的长复杂密码。
此帐户用于以安全方式存储其他帐户的密码。 其他这些帐户密码以加密形式存储在数据库中。 通过使用 Windows 数据保护 API (DPAPI) 的密钥加密服务来保护加密密钥的私钥。
如果使用完整的 SQL Server,服务帐户将是为同步引擎创建的数据库的 DBO。 如果使用任何其他权限,服务无法按预期工作。 此外会创建 SQL 登录名。
还会为该帐户授予对文件、注册表项和与同步引擎相关的其他对象的权限。
详细了解如何将本地标识与 Microsoft Entra ID 集成。