ハイブリッド同期エージェントのインストールに関する問題のMicrosoft Entra - KDS がドメイン コントローラーで実行されていない可能性があるため、gMSA を作成できません
このトラブルシューティング ガイドでは、再試行回数が多い後にサービス アカウントをインストールできない場合に焦点を当てます。 この状況では、Microsoft Entra Connect プロビジョニング エージェントのインストールがブロックされます。
前提条件
Cloud Provisioning Agent をインストールするには、次の前提条件が必要です。Microsoft Entra Connect クラウド同期の前提条件です。
KDS がドメイン コントローラーで実行されていない可能性があるため、gMSA を作成できません
Cloud Provisioning Agent のインストール中に、次のエラーが発生する可能性があります。
KDS がドメイン コントローラーで実行されていない可能性があるため、gMSA を作成できません。 KDS を手動で作成/実行してください。
9001 および 9002 Event ID を見つけるには、 アプリケーションとサービスログ>Microsoft>Windows>セキュリティ - Netlogon に移動します。
次のコマンドを使用して、 サポートされている暗号化の種類のサーバー設定を取得します。
C:\windows\system32>reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
SupportedEncryptionTypes REG_DWORD 0x7ffffff8
コマンド内では、DWORD 0x7ffffff8 は AES128_HMAC_SHA1 AES256_HMAC_SHA1を表します。
Active Directory ユーザーとコンピューター スナップイン (dsa.msc) で、ドメイン コントローラーの provAgentgMSA プロパティを開きます。
- [属性エディター] タブを選択します。
- msDS-SupportedEncryptionTypes 属性を選択し、[編集] を選択します。
サーバーが提供する暗号化の種類とアカウントが受け入れる暗号化の種類が一致していないことを確認します。
この問題を解決するには、ドメイン コントローラーで次のコマンドを実行して 、provAgentgMSA アカウントから RC4 を削除します。
Set-ADServiceAccount -Identity provAgentgMSA -KerberosEncryptionType AES128,AES256
次に、プロビジョニング エージェント サーバーを再起動し、エージェントを再インストールします。
この問題の詳細については、「 サービス アカウントをインストールできない」を参照してください。指定されたコンテキストがターゲットと一致しませんでした。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。