我正在尝试添加一个AD托pipe服务帐户,我的第一次尝试如下所示:
New-ADServiceAccount -DNSHostName VM-Backup-Service -Name "VM Backup" -samAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local" 这个命令基本上是挂起的,我想是因为我把DNSHostName指向了一个不存在的东西,因为我没有做足够的阅读。 然后我尝试纠正它,并使用它的FQDN将它指向主DC。
New-ADServiceAccount -DNSHostName AUDC.company.local -Name "VM Backup" -SamAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local"
我现在面临的问题是AD说这个账号已经存在了:
New-ADServiceAccount : The specified account already exists
如果我真的能够find所说的帐户,以便在正确地重新添加之前将其删除,那将不是什么大问题。 我已经尝试跟踪它:
Get-ADServiceAccount -filter 'samAccountName -like "*VM_Backup*"' Get-ADUser -filter 'samAccountName -like "*VM_Backup*"'
以下内容不会返回任何内容,这意味着域中没有服务帐户?
Get-ADServiceAccount -filter *
如果任何人有任何方法来追踪它的build议,将不胜感激。 我唯一的提示是我知道我在上面的命令中指定了samAccountName,并且在它说明帐户已经存在时返回的CN = VM Backup的片段:
New-ADServiceAccount : The specified account already exists At line:1 char:1 + New-ADServiceAccount -DNSHostName 1682-server-001.vpnsolutions.local ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ResourceExists: (CN=VM Backup,OU...ompany,DC=local:String) [New-ADServiceAccount], ADIde ntityAlreadyExistsException + FullyQualifiedErrorId : ActiveDirectoryServer:1316,Microsoft.ActiveDirectory.Management.Commands.NewADServiceAcc ount
所以我相信有多个部分来解决这个问题:
直到最近才被重build(在AD腐败之后)。 转而言之,它允许在创build服务帐户之前允许DC之间的融合时间( https://social.technet.microsoft.com/Forums/windows/en-US/82617035-254f-4078-baa2-7b46abb9bb71/newadserviceaccount-key -does-not-exist?forum = winserver8gen )。 由于在这个环境中只有一个DC,汇合不是问题,所以我运行了文章中build议的命令(如下所示)。 无论是单独采取这一措施,还是采取步骤1的措施,都足以解决问题。 为什么AD在这些步骤之前就认为这个对象是存在的,而不是完全拒绝这个命令,我不知道。
Add-KdsRootKey -EffectiveTime((get-date).addhours(-10))