Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом руководстве по устранению неполадок основное внимание уделяется, если ссылка на объект не задана экземпляру объекта. Эта ситуация может заблокировать установку агента подготовки Microsoft Entra Connect.
Предварительные требования
Чтобы установить агент подготовки облака, необходимы следующие предварительные требования: необходимые условия для облачной синхронизации Microsoft Entra Connect.
Сценарий 1
При установке агента подготовки облака во время установки может возникнуть эта ошибка.
Ошибка при создании управляемой группы учетной записи службы (gMSA). Ошибка: на сервере нет такого объекта.
Файл трассировки мастера установки не ясно о том, что отсутствует:
[15:16:14.583] [ 16] [ERROR] Exception creating gmsa. Exception: System.DirectoryServices.DirectoryServicesCOMException (0x80072030): There is no such object on the server.
at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
at System.DirectoryServices.DirectoryEntry.Bind()
at System.DirectoryServices.DirectoryEntry.get_NativeObject()
at System.DirectoryServices.DirectoryEntry.InvokeGet(String propertyName)
at Microsoft.Online.Deployment.Framework.Providers.GroupManagedServiceAccountProvider.CreateGroupManagedAccount(String serviceAccountName, String serviceDnsName, String username, String password)
[15:16:14.585] [ 16] [ERROR] Exception caught while creating gmsa. Exception: System.DirectoryServices.DirectoryServicesCOMException (0x80072030): There is no such object on the server.
Чтобы устранить проблему в этом сценарии, используйте оснастку Пользователи и компьютеры Active Directory (dsa.msc). Эта оснастка проверяет наличие контейнера управляемой учетной записи службы в контроллере домена.
Если контейнер отсутствует, обратитесь к группе служб каталогов Windows, чтобы восстановить или создать контейнер с ADPrep /Domainprep помощью команды.
Ниже перечислены домен Active Directory требования к службе.
Чтобы создать gMSA, необходимо обновить схему Active Directory в лесу домена gMSA до Windows Server 2012.
Вы можете обновить схему, установив контроллер домена под управлением Windows Server 2012 или запустив версию adprep.exe с компьютера под управлением Windows Server 2012. Значение атрибута версии объекта
CN=Schema,CN=Configuration,DC=< name of DC >,DC=Comдолжно иметь значение 52.
Сценарий 2
В аналогичном сценарии, как описано выше, может возникнуть следующая ошибка:
Ошибка при создании управляемой группы учетной записи службы (gMSA). Ошибка: на сервере нет такого объекта.
Трассировка мастера отображает следующие сведения:
[01:12:13.924] [ 9] [INFO ] IsServiceAccountGMSA:: Checking if service account is gmsa
[01:12:13.924] [ 9] [INFO ] Get current service credentials.
[01:12:13.938] [ 9] [INFO ] IsServiceAccountGMSA:: Service account: NT SERVICE\AADConnectProvisioningAgent is not gmsa.
[01:12:15.414] [ 9] [INFO ] IsServiceAccountGMSA:: Checking if service account is gmsa
[01:12:15.414] [ 9] [INFO ] Get current service credentials.
[01:12:15.418] [ 9] [INFO ] IsServiceAccountGMSA:: Service account: NT SERVICE\AADConnectProvisioningAgent is not gmsa.
[01:12:15.468] [ 9] [ERROR] Exception creating gmsa. Exception: System.DirectoryServices.DirectoryServicesCOMException (0x80072030): There is no such object on the server.
at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
at System.DirectoryServices.DirectoryEntry.Bind()
at System.DirectoryServices.DirectoryEntry.get_NativeObject()
at System.DirectoryServices.DirectoryEntry.InvokeGet(String propertyName)
at Microsoft.Online.Deployment.Framework.Providers.GroupManagedServiceAccountProvider.CreateGroupManagedAccount(String serviceAccountName, String serviceDnsName, String username, String password)
[01:12:15.472] [ 9] [ERROR] Exception caught while creating gmsa. Exception: System.DirectoryServices.DirectoryServicesCOMException (0x80072030): There is no such object on the server.
После проверки и подтверждения того, что контейнер управляемой учетной записи службы присутствует в домене, трассировка протокола LDAP клиента с упрощенным доступом к каталогам отображает следующие сведения:
9638 [2]0144.1380::04/14/21-14:17:20.2063638 [Microsoft_Windows_LDAP_Client/Debug16 ] Message=ldap_search called for connection 0x4392e0d8: DN is <WKGUID=1eb93889e40c45df9f0c64d23bbb6237,DC=*****,DC=com>. SearchScope is 0x0. AttributesOnly is 0x0.
9679 [1]0144.1380::04/14/21-14:17:20.2075574 [Microsoft_Windows_LDAP_Client/Debug16 ] Message=4e 61 6d 65 45 72 72 3a 20 44 53 49 44 2d 30 33 NameErr:.DSID-03
9680 [1]0144.1380::04/14/21-14:17:20.2076087 [Microsoft_Windows_LDAP_Client/Debug16 ] Message=31 30 30 32 33 38 2c 20 70 72 6f 62 6c 65 6d 20 100238,.problem.
9681 [1]0144.1380::04/14/21-14:17:20.2076151 [Microsoft_Windows_LDAP_Client/Debug16 ] Message=32 30 30 31 20 28 4e 4f 5f 4f 42 4a 45 43 54 29 2001.(NO_OBJECT)
Агент не мог найти глобальный уникальный идентификатор WellKnown для контейнера управляемых учетных записей служб (MSA).
Эта ошибка может быть проверена с помощью следующей команды PowerShell:
$ListOWKO = Get-ADObject (Get-ADRootDSE).DefaultNamingContext -Properties otherwellKnownObjects
$ListOWKO.otherwellKnownObjects
Выходные данные предыдущей команды отображают следующие результаты:
B:32:1EB93889E40C45DF9F0C64D23BBB6237:CN=Managed Service Accounts\0ADEL:8b637607-65e8-4a80-b194-f738b26b9414,CN=Deleted Objects,DC=< name of DC >,DC=com
Это значение потерянных метаданных указывает на один из следующих сценариев:
- Контейнер MSA ранее был удален и не был правильно восстановлен.
- Значение отсутствует.
Значением по умолчанию для атрибута OtherWellKnownObjects является:
B:32:1EB93889E40C45DF9F0C64D23BBB6237:CN=Managed Service Accounts,DC=< name of DC >,DC=com
Чтобы устранить эту проблему, откройте запрос с помощью команды служб каталогов Windows.
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.