本疑难解答指南侧重于介绍在多次重试后仍无法安装服务帐户的情况。 这种情况会阻止你安装 Microsoft Entra Connect 预配代理。
先决条件
若要安装 云预配代理,需要满足以下先决条件: Microsoft Entra Connect 云同步的先决条件。
无法创建 gMSA,因为 KDS 可能未在域控制器上运行
安装云预配代理时,你可能会收到以下错误:
无法创建 gMSA,因为 KDS 可能未在域控制器上运行。 请手动创建/运行 KDS。
要找到 9001 和 9002 EventID,请转到“应用程序和服务日志”>“Microsoft”>“Windows”>“安全 - Netlogon”。
使用以下命令检索服务器设置以获取支持的加密类型:
C:\windows\system32>reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
SupportedEncryptionTypes REG_DWORD 0x7ffffff8
在命令中,DWORD 0x7ffffff8 代表 AES128_HMAC_SHA1 AES256_HMAC_SHA1。
在 Active Directory 用户和计算机管理单元 (dsa.msc) 中, 打开域控制器的 provAgentgMSA 属性:
- 选择“属性编辑器”选项卡。
- 选择“msDS-SupportedEncryptionTypes”属性,然后选择“编辑”。
验证服务器提供的加密类型与帐户接受的加密类型之间是否存在不匹配。
要解决此问题,请从 provAgentgMSA 帐户中删除 RC4, 方法是在域控制器中运行以下命令:
Set-ADServiceAccount -Identity provAgentgMSA -KerberosEncryptionType AES128,AES256
接下来,重启预配代理服务器并重新安装代理。
有关此问题的详细信息,请参阅 “无法安装服务帐户”。提供的上下文与目标不匹配。
联系我们寻求帮助
如果你有任何疑问或需要帮助,请创建支持请求或联系 Azure 社区支持。 你还可以将产品反馈提交到 Azure 反馈社区。