我创建了这样的gMSA:
New-ADServiceAccount -name Cust00000 -DNSHostName Cust00000.domain.com -PrincipalsAllowedToRetrieveManagedPassword "IIS_IUSRS" -ManagedPasswordIntervalInDays 60
生活似乎很好。但是,当我跑
时Test-ADServiceAccount Cust00000
这就是我得到的:
False
WARNING: Test failed for Managed Service Account Cust00000. If standalone Managed Service Account, the account is
linked to another computer object in the Active Directory. If group Managed Service Account, either this computer does
not have permission to use the group MSA or this computer does not support all the Kerberos encryption types required
for the gMSA. See the MSA operational log for more information.
我检查了事件查看器 - >应用程序和服务日志 - >微软 - > Windows - >应用 - > Microsoft-Windows-TWinUI / Operational但这似乎不正确。 MSA操作日志在哪里(可能是什么)?
编辑:对于整体问题,我曾尝试Install-ADServiceAccount,但它无效。我放弃了它,最后得到它(对于一个名为Domain \ sirdank $的gMSA)Set-ADServiceAccount sirdank -PrincipalsAllowedToRetrieveManagedPassword "$env:computername$"我也很幸运地传递了“Domain Computers”而不是“$ env:computername $”。
答案 0 :(得分:2)
现在有类似的问题。我认为您要查找的日志位于Microsoft / Windows / Security-Netlogon / Operational log下的事件查看器中;你可能会看到一些9001/9002事件(MSA的任务类别)可能会给你一些关于正在发生的事情的颜色。
最近TechNet博客文章中介绍了gMSA帐户创建/测试问题。看一看,它可能与您的整体问题相关:https://blogs.technet.microsoft.com/joelvickery/cannot-install-service-account-the-provided-context-did-not-match-the-target/