我有两台服务器。
- AD 服务器(ADServer.adqa.myDomain.com,机器名称为 ADServer)
- Web 服务器(链接到该 AD 服务器,机器名称为 WEBSERVER)
我的目标是在 AD 服务器上创建一个托管服务帐户并将其与 Web 服务器链接。Web 服务器已连接到 AD 服务器。
我在我的 Web 服务器上运行了以下命令来创建托管服务帐户:
New-ADServiceAccount -name myServiceAccount -DNSHostName ADServer.adqa.mydomain.com -PrincipalsAllowedToRetrieveManagedPassword "CN=WEBSERVER,CN=Computers,DC=adqa,DC=mydomain,DC=com"
到目前为止没有问题。
当我在 Web 服务器上运行 Install-AdServiceAccount 时,出现“服务器拒绝了客户端凭据”错误。以下是我在 Web 服务器上运行的命令:
PS C:\Users\raghav> Install-AdServiceAccount myServiceAccount
Install-AdServiceAccount : The server has rejected the client credentials.
At line:1 char:1
+ Install-AdServiceAccount myServiceAccount
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : SecurityError: (:) [Install-ADServiceAccount], AuthenticationException
+ FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.Security.Authentication.AuthenticationException,Microsoft.A
ctiveDirectory.Management.Commands.InstallADServiceAccount
我已经重启了 Web 服务器。您能否告诉我我在 AD 或 Web 服务器上缺少哪些权限,以便我可以运行它,以便 Web 服务器可以成功运行 Install-AdServiceAccount 命令?
以下是 AD 服务器上“Get-ADServiceAccount”命令的输出,供您参考:Get-ADServiceAccount -Identity myServiceAccount -Properties *
AccountExpirationDate :
accountExpires : 9223372036854775807
AccountLockoutTime :
AccountNotDelegated : False
AllowReversiblePasswordEncryption : False
AuthenticationPolicy : {}
AuthenticationPolicySilo : {}
BadLogonCount : 0
badPasswordTime : 0
badPwdCount : 0
CannotChangePassword : False
CanonicalName : adqa.myDomain.com/Managed Service Accounts/myServiceAccount
Certificates : {}
CN : myServiceAccount
codePage : 0
CompoundIdentitySupported : {False}
countryCode : 0
Created : 3/22/2021 6:26:21 PM
createTimeStamp : 3/22/2021 6:26:21 PM
Deleted :
Description :
DisplayName :
DistinguishedName : CN=myServiceAccount,CN=Managed Service Accounts,DC=adqa,DC=myDomain,DC=com
DNSHostName : ADServer.adqa.myDomain.com
DoesNotRequirePreAuth : False
dSCorePropagationData : {1/1/1601 12:00:00 AM}
Enabled : True
HomedirRequired : False
HomePage :
HostComputers : {}
instanceType : 4
isCriticalSystemObject : False
isDeleted :
KerberosEncryptionType : {RC4, AES128, AES256}
LastBadPasswordAttempt :
LastKnownParent :
lastLogoff : 0
lastLogon : 0
LastLogonDate :
localPolicyFlags : 0
LockedOut : False
logonCount : 0
ManagedPasswordIntervalInDays : {30}
MemberOf : {}
MNSLogonAccount : False
Modified : 3/22/2021 6:26:21 PM
modifyTimeStamp : 3/22/2021 6:26:21 PM
msDS-GroupMSAMembership : System.DirectoryServices.ActiveDirectorySecurity
msDS-ManagedPasswordId : {1, 0, 0, 0...}
msDS-ManagedPasswordInterval : 30
msDS-SupportedEncryptionTypes : 28
msDS-User-Account-Control-Computed : 0
Name : myServiceAccount
nTSecurityDescriptor : System.DirectoryServices.ActiveDirectorySecurity
ObjectCategory : CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=adqa,DC=myDomain,DC=com
ObjectClass : msDS-GroupManagedServiceAccount
ObjectGUID : 7ef8485b-f7a9-4fe5-b316-6dd4362fb461
objectSid : S-1-5-21-262313328-3322894162-140377554-4084
PasswordExpired : False
PasswordLastSet : 3/22/2021 6:26:21 PM
PasswordNeverExpires : False
PasswordNotRequired : False
PrimaryGroup : CN=Domain Computers,CN=Users,DC=adqa,DC=myDomain,DC=com
primaryGroupID : 515
PrincipalsAllowedToDelegateToAccount : {}
PrincipalsAllowedToRetrieveManagedPassword : {CN=WEBSERVERQA,CN=Computers,DC=adqa,DC=myDOmain,DC=com}
ProtectedFromAccidentalDeletion : False
pwdLastSet : 132609111812542391
SamAccountName : myServiceAccount$
sAMAccountType : 805306369
sDRightsEffective : 15
ServicePrincipalNames :
SID : S-1-5-21-262313328-3322894162-140377554-4084
SIDHistory : {}
TrustedForDelegation : False
TrustedToAuthForDelegation : False
UseDESKeyOnly : False
userAccountControl : 4096
userCertificate : {}
UserPrincipalName :
uSNChanged : 1995835
uSNCreated : 1995832
whenChanged : 3/22/2021 6:26:21 PM
whenCreated : 3/22/2021 6:26:21 PM
我已经使用 elavated(以管理员身份运行)模式运行 PowerShell 命令。