我有一个 Windows Server 2012 域控制器(唯一的 DC 和域中的第一台计算机),全部是新构建的,并且都是最新的。我正在尝试创建一个组托管服务帐户 (gmsa),它首先需要 KDS 根密钥。我使用以管理员身份运行启动 Windows Powershell 的 Active Directory 模块并发出以下命令:
Add-KDSRootKey -EffectiveTime ((get-date).addhours(-11))
我收到错误“不支持该请求”。
如果我将其更改为 -EffectiveImmediately,我会收到同样的错误。
已安装 KDS cmdlet
我可以使用它们列出密钥(空)并查看配置 - 我似乎无法添加 KDS 根密钥。我已经为此挣扎了两天了 - 有什么建议吗?
答案1
尝试右键单击 powershell 图标并以管理员身份运行并重新运行该命令。
还要注意权限。创建 KDS 根密钥需要域管理员(在根顶级域中)或企业管理员特权。
答案2
供以后遇到此问题的人参考。我能够这样解决它:
- (1)登录域中另一个非DC
- (2)以域管理员身份登录
- (3)安装/添加 RSAT 工具(特别是 AD 工具)
- (4)启动 PowerShell AD 工具
- (5)从新机器运行 Add-KDSRootKey。
希望这对某人有帮助
答案3
因为 KDS Root Key 在整个 Forest 中是唯一的。以企业管理员权限运行 powershell 模块将达到目的
答案4
试试这个,它应该有效 -> Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
这是因为 10 小时是等待其可用的默认时间。-11 超过了这个时间。