После установки обновлений на свежий сервер синхронизации Azure AD Sync его потребовалось перезагрузить... и после перезагрузки мониторинг сказал, что синхронизация не работает. Как оказалось, на сервере не стартует служба "Microsoft Azure AD Sync". Ага, подумал я, обновление снесло предыдущие настройки DirSync, щя поменяем учётку и для службы (в домене стоит политика по ограничению возможности запуска служб под сервисными учётками) и запущу её. Нет, сказал AADSync и выдал eventid 6208 (The server encryption keys could not be accessed).
Предварительно я нашел информацию, что сброс пароля локальной учётки AAD_* не поддерживается и вообще: её (локальную учётку) надо добавлять в доменную политику для разрешения запуска служб. Как утверждает официальная документация при установке можно указать другую учётную запись для использования в качестве сервисной, но я обновлялся с DirSync и такой вариант мне не был предложен