ハイブリッド同期エージェントのインストールに関する問題のMicrosoft Entra - KDS がドメイン コントローラーで実行されていない可能性があるため、gMSA を作成できません

  • [アーティクル]

このトラブルシューティング ガイドでは、再試行回数が多い後にサービス アカウントをインストールできない場合に焦点を当てます。 この状況では、Microsoft Entra Connect プロビジョニング エージェントのインストールがブロックされます。

前提条件

Cloud Provisioning Agent をインストールするには、次の前提条件が必要です。Microsoft Entra Connect クラウド同期の前提条件です。

KDS がドメイン コントローラーで実行されていない可能性があるため、gMSA を作成できません

Cloud Provisioning Agent のインストール中に、次のエラーが発生する可能性があります。

KDS がドメイン コントローラーで実行されていない可能性があるため、gMSA を作成できません。 KDS を手動で作成/実行してください。

9001 および 9002 Event ID を見つけるには、 アプリケーションとサービスログ>Microsoft>Windows>セキュリティ - Netlogon に移動します。

[イベント 9001] ウィンドウのスクリーンショット。マシンがすべてのアカウント暗号化の種類をサポートしているわけではないため、アカウントをローカルで M S A として使用することはできません。

[イベント 9002] ウィンドウのスクリーンショット。Netlogon は、アカウントをマネージド サービス アカウント (M S A) としてローカル コンピューターに追加できませんでした。

次のコマンドを使用して、 サポートされている暗号化の種類のサーバー設定を取得します。

C:\windows\system32>reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
    SupportedEncryptionTypes    REG_DWORD    0x7ffffff8

コマンド内では、DWORD 0x7ffffff8AES128_HMAC_SHA1 AES256_HMAC_SHA1を表します。

Active Directory ユーザーとコンピューター スナップイン (dsa.msc) で、ドメイン コントローラーの provAgentgMSA プロパティを開きます。

  1. [属性エディター] タブを選択します。
  2. msDS-SupportedEncryptionTypes 属性を選択し、[編集] を選択します

[プロビジョニング エージェント g M S A プロパティ] ダイアログ ボックスの [属性エディター] タブのスクリーンショット。[Integer Attribute エディター] ダイアログ ボックスが一番上に表示されます。

サーバーが提供する暗号化の種類とアカウントが受け入れる暗号化の種類が一致していないことを確認します。

この問題を解決するには、ドメイン コントローラーで次のコマンドを実行して 、provAgentgMSA アカウントから RC4 を削除します。

Set-ADServiceAccount -Identity provAgentgMSA -KerberosEncryptionType AES128,AES256

次に、プロビジョニング エージェント サーバーを再起動し、エージェントを再インストールします。

この問題の詳細については、「 サービス アカウントをインストールできない」を参照してください。指定されたコンテキストがターゲットと一致しませんでした。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。