尝试重新安装AADConnectProvisioningAgentSetup安装程序时出现错误。请参见下图:
gpfsuwkq1#
将Windows服务凭据更改为GMSA失败。有关详细信息,请检查日志...为了解决这个问题,检查EventID 7041的系统事件日志。事件详细信息提供了有关如何直接在本地安全策略(secpol. msc)中创建"作为服务登录"用户的说明,如下所示:
参考:Azure AD Hybrid Sync Agent Installation Issues - The gMSA is set to log on as Service - Active Directory | Microsoft Learn
解决方案2:尝试使用以下命令生成KDS根密钥:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
如果您已创建KDS根密钥,请使用**Get-KdsRootKey**cmdlet验证根密钥是否已存在于某些DC上,如下所示:
Get-KdsRootKey
如果您尝试使用现有的GMSA帐户,请使用以下注解测试同步代理:Test-ADServiceAccount -Identity serviceAccountgMSA$根据Daniel的参考文档,尝试检查FOREST功能级别,如下所示:
Test-ADServiceAccount -Identity serviceAccountgMSA$
***在服务器管理器-〉工具-〉Active Directory域和信任关系-〉提升林功能级别***中
参考:Azure Active Directory Provision Agent Install failing由 * 宁静管理员 * 执行
1条答案
按热度按时间gpfsuwkq1#
将Windows服务凭据更改为GMSA失败。有关详细信息,请检查日志...
为了解决这个问题,
检查EventID 7041的系统事件日志。事件详细信息提供了有关如何直接在本地安全策略(secpol. msc)中创建"作为服务登录"用户的说明,如下所示:
参考:Azure AD Hybrid Sync Agent Installation Issues - The gMSA is set to log on as Service - Active Directory | Microsoft Learn
解决方案2:尝试使用以下命令生成KDS根密钥:
如果您已创建KDS根密钥,请使用**
Get-KdsRootKey
**cmdlet验证根密钥是否已存在于某些DC上,如下所示:如果您尝试使用现有的GMSA帐户,请使用以下注解测试同步代理:
Test-ADServiceAccount -Identity serviceAccountgMSA$
根据Daniel的参考文档,尝试检查FOREST功能级别,如下所示:
***在服务器管理器-〉工具-〉Active Directory域和信任关系-〉提升林功能级别***中
参考:Azure Active Directory Provision Agent Install failing由 * 宁静管理员 * 执行