Przeczytaj w języku angielskim

Udostępnij za pośrednictwem

Problemy z instalacją agenta synchronizacji hybrydowej firmy Microsoft — nie można utworzyć konta zarządzanego przez klienta, ponieważ usługa KDS może nie być uruchomiona na kontrolerze domeny

  • Artykuł

Ten przewodnik rozwiązywania problemów koncentruje się na tym, że nie można zainstalować konta usługi po wielu ponownych próbach. Ta sytuacja uniemożliwia zainstalowanie agenta aprowizacji programu Microsoft Entra Connect.

Wymagania wstępne

Aby zainstalować agenta aprowizacji w chmurze, wymagane są następujące wymagania wstępne: Wymagania wstępne dotyczące synchronizacji z chmurą microsoft Entra Connect.

Nie można utworzyć konta gMSA, ponieważ usługa KDS może nie być uruchomiona na kontrolerze domeny

Podczas instalowania agenta aprowizacji w chmurze może wystąpić następujący błąd:

Nie można utworzyć konta gMSA, ponieważ usługa KDS może nie być uruchomiona na kontrolerze domeny. Utwórz/uruchom zestaw KDS ręcznie.

Aby zlokalizować identyfikatory zdarzeń 9001 i 9002, przejdź do pozycji Dzienniki aplikacji i usług Microsoft>>Windows>Security — Netlogon.

Zrzut ekranu przedstawiający okno Zdarzenie 9001. Nie można używać konta jako konta usługi M S A lokalnie, ponieważ maszyna nie obsługuje wszystkich typów szyfrowania kont.

Zrzut ekranu przedstawiający okno Zdarzenie 9002. Netlogon nie może dodać konta jako zarządzanego konta usługi (M S A) do komputera lokalnego.

Użyj następującego polecenia, aby pobrać ustawienia serwera dla obsługiwanych typów szyfrowania:

C:\windows\system32>reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
    SupportedEncryptionTypes    REG_DWORD    0x7ffffff8

W poleceniu 0x7ffffff8 DWORD reprezentuje AES128_HMAC_SHA1 AES256_HMAC_SHA1.

W przystawce Użytkownicy i komputery usługi Active Directory (dsa.msc) otwórz właściwości provAgentgMSA kontrolera domeny:

  1. Wybierz kartę Edytor atrybutów.
  2. Wybierz atrybut msDS-SupportedEncryptionTypes, a następnie wybierz pozycję Edytuj.

Zrzut ekranu przedstawiający okno dialogowe właściwości agenta aprowizacji g M S A, kartę Edytor atrybutów. Okno dialogowe Edytor atrybutów liczb całkowitych znajduje się u góry.

Sprawdź, czy istnieje niezgodność typów szyfrowania, które oferuje serwer i czy konta akceptują.

Aby rozwiązać ten problem, usuń rc4 z konta provAgentgMSA , uruchamiając następujące polecenie na kontrolerze domeny:

Set-ADServiceAccount -Identity provAgentgMSA -KerberosEncryptionType AES128,AES256

Następnie uruchom ponownie serwer agenta aprowizacji i ponownie zainstaluj agenta.

Aby uzyskać więcej informacji na temat tego problemu, zobacz Nie można zainstalować konta usługi. Podany kontekst nie był zgodny z elementem docelowym.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.