我正在尝试添加 AD 托管服务帐户,我的第一次尝试如下:
New-ADServiceAccount -DNSHostName VM-Backup-Service -Name "VM Backup" -samAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local"
这个命令基本上挂了,我想是因为我没有读够,所以将 DNSHostName 指向了不存在的东西。然后我尝试更正它,并使用它的 FQDN 将其指向主 DC:
New-ADServiceAccount -DNSHostName AUDC.company.local -Name "VM Backup" -SamAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local"
我现在遇到的问题是 AD 说该帐户已经存在:
New-ADServiceAccount : The specified account already exists
如果我能找到该帐户并将其删除,然后再正确重新添加,那就没什么大问题了。我尝试使用以下方法追踪它:
Get-ADServiceAccount -filter 'samAccountName -like "*VM_Backup*"'
Get-ADUser -filter 'samAccountName -like "*VM_Backup*"'
以下没有返回任何内容,这是否意味着域中没有服务帐户?
Get-ADServiceAccount -filter *
如果有人能提供追踪方法的建议,我将不胜感激。我唯一的提示是,我知道我在上面的命令中指定了 samAccountName,并且CN=VM 备份当表示帐户已经存在时返回:
New-ADServiceAccount : The specified account already exists
At line:1 char:1
+ New-ADServiceAccount -DNSHostName yyy-server-001.companydomain.local ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ResourceExists: (CN=VM Backup,OU...ompany,DC=local:String) [New-ADServiceAccount], ADIde
ntityAlreadyExistsException
+ FullyQualifiedErrorId : ActiveDirectoryServer:1316,Microsoft.ActiveDirectory.Management.Commands.NewADServiceAcc
ount
答案1
因此,我相信解决这个问题有多个部分:
- 看来我需要将 DC 放在默认的“域控制器”OU 中(而不是子 OU 中,如以下链接所示:https://social.technet.microsoft.com/Forums/office/en-US/3bbc81de-83fb-4c40-8a03-e03ede1a458b/group-managed-service-accounts-causing-delays-freezes-lock-ups-and-service-outages?forum=winserverDS)。据说微软已经解决了这个问题(https://support.microsoft.com/en-us/kb/3094486),所以可能只有下面的第 2 点是相关的,但我都做了,所以我想我会在这里提一下。
DC 最近才重建(在 AD 损坏之后)。事实证明,这为 DC 之间的融合提供了时间,然后才允许创建服务帐户(https://social.technet.microsoft.com/Forums/windows/en-US/82617035-254f-4078-baa2-7b46abb9bb71/newadserviceaccount-key-does-not-exist?forum=winserver8gen)。由于此环境中只有一个 DC,因此收敛不是问题,因此我运行了文章中建议的命令(如下所示)。单独执行此步骤或与步骤 1 配合使用足以解决问题。我不知道为什么 AD 认为对象在这些步骤之前就存在,而不是直接拒绝命令。
添加 KdsRootKey –有效时间 ((get-date).addhours(-10))