次の方法で共有

Microsoft Entra ハイブリッド同期エージェントのインストールに関する問題 - KDS がドメイン コントローラーで実行されていない可能性があるため、gMSA を作成できません

このトラブルシューティング ガイドは、何度再試行してもサービス アカウントをインストールできない場合に焦点を当てています。 この状況により、Microsoft Entra Connect プロビジョニング エージェントのインストールがブロックされます。

前提条件

Cloud プロビジョニング エージェントをインストールするには、次の前提条件が必要です。 Microsoft Entra Connect クラウド同期の前提条件

KDS がドメイン コントローラーで実行されていない可能性があるため gMSA を作成できない

クラウド プロビジョニング エージェントのインストール中に、次のエラーが表示される場合があります。

KDS がドメイン コントローラーで実行されていない可能性があるため gMSA を作成できません。 KDS を手動で作成/実行してください。

9001 および 9002 のイベント ID を見つけるには、[アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [セキュリティ - Netlogon] に移動します。

[イベント 9001] ウィンドウのスクリーンショット。コンピューターがすべてのアカウント暗号化の種類をサポートしているわけではないため、アカウントをローカルで M S A として使用することはできません。

[イベント 9002] ウィンドウのスクリーンショット。Netlogon は、アカウントをマネージド サービス アカウント (M S A) としてローカル コンピューターに追加できませんでした。

次のコマンドを使用して、サポートされている暗号化タイプのサーバー設定を取得します。

C:\windows\system32>reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
    SupportedEncryptionTypes    REG_DWORD    0x7ffffff8

コマンド内で、DWORD 0x7ffffff8AES128_HMAC_SHA1 AES256_HMAC_SHA1 を表します。

Active Directory ユーザーとコンピューター スナップイン (dsa.msc) で、ドメイン コントローラーの provAgentgMSA プロパティを開きます。

  1. [属性エディター] タブを選びます。
  2. msDS-SupportedEncryptionTypes 属性を選択し、[編集] を選択します。

[プロビジョニング エージェント g M S A のプロパティ] ダイアログ ボックスの [属性エディター] タブのスクリーンショット。[整数属性エディター] ダイアログ ボックスが上部にあります。

サーバーが提供する暗号化タイプとアカウントが受け入れる暗号化タイプの間に不一致があることを確認します。

この問題を解決するには、ドメイン コントローラーで次のコマンドを実行して、provAgentgMSA アカウントから RC4 を削除します。

Set-ADServiceAccount -Identity provAgentgMSA -KerberosEncryptionType AES128,AES256

次に、プロビジョニング エージェント サーバーを再起動し、エージェントを再インストールします。

この問題の詳細については、「 サービス アカウントをインストールできない」を参照してください。指定されたコンテキストがターゲットと一致しませんでした。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。