4

我创建了一个像这样的 gMSA:

New-ADServiceAccount -name Cust00000 -DNSHostName Cust00000.domain.com -PrincipalsAllowedToRetrieveManagedPassword "IIS_IUSRS" -ManagedPasswordIntervalInDays 60

而生活似乎是美好的。但是,当我跑步时

Test-ADServiceAccount Cust00000

这就是我得到的:

False
WARNING: Test failed for Managed Service Account Cust00000. If standalone Managed Service Account, the account is
linked to another computer object in the Active Directory. If group Managed Service Account, either this computer does
not have permission to use the group MSA or this computer does not support all the Kerberos encryption types required
for the gMSA. See the MSA operational log for more information.

我检查了事件查看器 -> 应用程序和服务日志 -> Microsoft -> Windows -> 应用程序 -> Microsoft-Windows-TWinUI/Operational 但这似乎不正确。MSA 操作日志在哪里(可能是什么)?

编辑:对于整体问题,我已经尝试过Install-ADServiceAccount,但没有奏效。我放弃了,终于让它工作了(对于一个名为 Domain\sirdank$ 的 gMSA),Set-ADServiceAccount sirdank -PrincipalsAllowedToRetrieveManagedPassword "$env:computername$"我也很幸运地通过了“Domain Computers”而不是“$env:computername$”。

4

1 回答 1

4

现在有类似的问题。我认为您要查找的日志位于 Microsoft/Windows/Security-Netlogon/Operational 日志下的事件查看器中;您可能会看到一些 9001/9002 事件(MSA 的任务类别),这可能会让您对正在发生的事情有所了解。

从最近的 TechNet 博客文章中获得此信息,该文章描述了 gMSA 帐户创建/测试问题的故障排除。看一下,它可能与您的整体问题有关:https ://blogs.technet.microsoft.com/joelvickery/cannot-install-service-account-the-provided-context-did-not-match-the-target /

备用链接(似乎同一篇文章以不同的标题交叉发布):https ://blogs.technet.microsoft.com/runcmd/the-rc4-removal-files-part-1-whats-in-an-错误信息/

于 2017-07-18T12:49:54.683 回答