服务器重新启动后 Azure AD Connect 服务无法启动

最近，我们的 Azure AD Connect 服务遇到了一些问题，Azure AD Connect 服务在重新启动后无法启动，迫使我们重新安装该应用程序，但它在下次重新启动时就会崩溃。在花了一些时间解决这个问题后，我们设法永久解决了这个问题，我想在这里与您分享。

该客户是我们非常老的客户之一，因此我们已经维护他们的基础设施很长时间了，并且在此期间更换了很多技术人员。由于该客户端的 Active Directory 已从 SBS 服务器时代升级，因此您可以想象，应用了许多旧的冗余策略，只是没有时间专门对其进行整理。

Azure AD Connect 服务无法启动

所以我们发现的问题是，每次服务器重新启动时，Azure AD Connect 服务都会无法启动，导致我的一位同事重新安装 AD Connect，每次我们的 RMM 工具都会识别出该服务未运行。

进一步研究一下，服务帐户将失去作为服务登录的权限。我首先要查找发生这种情况的原因是团体政策，我发现我的钱是对的。有人（可能早在 Azure AD Connect 之前）编辑了默认域控制器组策略，并手动设置了作为服务登录的用户权限分配。哦...我有说过你不应该在域控制器上安装 Azure AD Connect 吗？是的，也不要这样做。

对于我们来说，解决方案很简单，只需将 NT Service\AD Sync 帐户添加到以服务用户权限分配组策略登录即可。

决议

步骤 1 - 在域控制器上打开组策略。这可以在管理工具下找到，然后在组策略下找到。

步骤 2 - 展开计算机配置，然后展开Windows 设置、安全设置、本地策略、用户权限作业。

步骤 3 - 找到作为服务登录策略并选择添加用户或组。

步骤 4 - 找到用户 NT SERVICE\AD Sync，然后选择确定和应用。

步骤 5 - 打开服务管理控制台 (services.msc) 并找到Azure AD Sync 服务。

步骤 6 - 双击AD 同步服务打开服务属性，选择登录选项卡并确保“此帐户设置为NT SERVICE” AD 同步帐户。如果您在安装后没有修改过它，那么它应该已经被设置并且服务应该再次运行。

概括

感谢您花时间阅读我的帖子。希望您现在已经解决了使用 Azure AD Sync 时可能遇到的任何服务登录问题。 Azure AD Connect 是一个巨大的工具，因为大多数 IT 员工只接触到它的表面。请务必查看我在 Azure AD Connect 上撰写的其他一些有用的帖子。

您应该了解的 Azure AD Connect Powershell 命令

如何设置 Azure AD Connect 多租户同步

如何将 Azure AD Connect 升级到最新版本