更改 Azure AD 连接器帐户

如何在 Azure AD Connect 中重置 Azure AD 连接器帐户？同步到 Azure AD 时出现一些问题，我们发现必须重置 Azure AD 连接器帐户。在本文中，你将了解如何通过创建新帐户或在不停机的情况下重新初始化帐户来更改或重置 Azure AD Connect 中的 Azure AD 连接器帐户。

Azure AD 连接帐户

在开始和更改 Azure AD 连接器帐户之前，请阅读查找 Azure AD Connect 帐户一文并熟悉正在使用的 Azure AD Connect 帐户。

如何更改 Azure AD 连接器帐户

有两种方法可以更改 Azure AD 连接器帐户：

• 更改 Azure AD 连接器帐户：创建新的 Azure AD 用户帐户并在 Azure AD Connect 中进行配置。
• 重置 Azure AD 连接器帐户：这将重置服务帐户的密码并在 Azure AD 和同步引擎中更新该密码。

方法 1. 更改 Azure AD 连接器帐户

创建 Azure AD 连接器帐户

按照以下步骤在 Azure AD 中创建新用户帐户并为其授予最低权限。

1. 登录 Microsoft 365 管理中心。
2. 转至用户 > 活跃用户。
3. 单击添加用户。
4. 填写帐户基础信息。
5. 单击下一步。

选择 onmicrosoft.com 域，而不是您添加到 Microsoft 租户的域。这是因为域名可能会发生变化，这会给您带来身份验证问题，并且同步将无法进行。 onmicrosoft.com 域将始终处于活动状态，并且它是安装 Microsoft Entra Connect 时的默认配置。

在我们的示例中，Azure AD 连接器帐户是 [email protected]。

1. 选择创建没有产品许可证的用户。
2. 单击下一步。

1. 单击角色展开该部分。
2. 选择管理中心访问。

1. 单击按类别显示全部以展开其部分。
2. 选中复选框混合身份管理员
3. 单击下一步。

详细了解 Azure AD 内置角色。

1. 查看帐户并点击完成添加。

配置 Azure AD 连接器帐户

1. 登录到 Azure AD Connect 服务器。
2. 启动同步服务管理器。
3. 单击连接器。
4. 选择Microsoft 域(.onmicrosoft.com)。
5. 单击属性。

在我们的示例中，它是 Microsoft 域 exoip365.onmicrosoft.com - AAD。

1. 单击连接。
2. 填写您在上一步中创建的Azure AD Connector 帐户凭据。
3. 单击确定。

注意：如果凭据不正确，您将收到错误消息，因为它将立即对照 Azure AD 进行检查。

1. 单击确定。

1. 单击确定。

1. 上次确定。

强制同步 Microsoft Entra Connect

现在 Azure AD 连接器帐户已成功更改，强制同步 Microsoft Entra Connect 并验证同步是否有效。

PS C:\> Start-ADSyncSyncCycle -PolicyType Initial

Result
------
Success

转到 Azure AD Connect 同步服务管理器并验证是否没有错误并且同步状态是否成功。

方法 2.重置 Azure AD 连接器帐户

您必须使用 cmdlet Add-ADSyncAADServiceAccount 重新初始化 Azure AD 连接器帐户。该 cmdlet 会重置帐户密码并使其可供 Azure AD Connect 同步服务使用。

注意：运行 cmdlet 时，其他 Azure AD 连接帐户不会发生任何变化，只有 Azure AD 连接器帐户会重新初始化。

重新初始化 Azure AD 连接器帐户

请执行以下步骤，使用 PowerShell 重新初始化 Azure AD 连接器帐户：

1. 登录到 Azure AD Connect 服务器。
2. 以管理员身份启动 Windows PowerShell。
3. 导入模块 ADSync。

PS C:\> Import-Module ADSync

1. 运行 Add-ADSyncAADServiceAccount cmdlet。

PS C:\> Add-ADSyncAADServiceAccount

1. 出现密码提示。
2. 填写 Microsoft 365 全局管理员帐户凭据。
3. 单击确定。

1. 将出现现代身份验证窗口。
2. 再次填写Microsoft 365全局管理员帐户。
3. 点击登录。

命令成功运行。

验证 Azure AD 连接器帐户

1. 登录到 Azure AD Connect 服务器。
2. 启动同步服务管理器。
3. 单击连接器。
4. 选择Microsoft 域(.onmicrosoft.com)。
5. 单击属性。
6. 单击连接。
7. 验证用户名是否以Sync_ 和Azure AD Connect 服务器主机名开头。

在我们的示例中，Azure AD Connect 安装在 Windows Server DC01-2019 上。因此UserName以Sync_DC01-2019_开头。

强制同步 Microsoft Entra Connect

现在 Azure AD 连接器帐户已成功重新初始化，强制同步 Microsoft Entra Connect 并验证同步是否有效。

PS C:\> Start-ADSyncSyncCycle -PolicyType Initial

Result
------
Success

转到 Azure AD Connect 同步服务管理器并验证是否没有错误并且同步状态是否成功。

就是这样！

了解更多：更改 AD DS 连接器帐户 »

结论

您了解了如何更改 Azure AD 连接器帐户。选择适合您组织偏好的方法。他们俩都工作得很好。此后，Azure AD Connect 不再出现同步问题。

您喜欢这篇文章吗？您可能还喜欢将 Azure AD Connect 升级到 V2.x。不要忘记关注我们并分享这篇文章。