MSA 操作日志在哪里?
Where is the MSA operational log?
我创建了这样的 gMSA:
New-ADServiceAccount -name Cust00000 -DNSHostName Cust00000.domain.com -PrincipalsAllowedToRetrieveManagedPassword "IIS_IUSRS" -ManagedPasswordIntervalInDays 60
生活似乎也很美好。然而,当我 运行
Test-ADServiceAccount Cust00000
这是我得到的:
False
WARNING: Test failed for Managed Service Account Cust00000. If standalone Managed Service Account, the account is
linked to another computer object in the Active Directory. If group Managed Service Account, either this computer does
not have permission to use the group MSA or this computer does not support all the Kerberos encryption types required
for the gMSA. See the MSA operational log for more information.
我检查了事件查看器 -> 应用程序和服务日志 -> Microsoft -> Windows -> 应用程序 -> Microsoft-Windows-TWinUI/Operational 但这似乎不正确。 MSA 操作日志在哪里(可能是什么)?
编辑:对于整体问题,我曾尝试 Install-ADServiceAccount 但它没有用。我放弃了它并最终让它与 Set-ADServiceAccount sirdank -PrincipalsAllowedToRetrieveManagedPassword "$env:computername$" 一起工作(对于名为 Domain\sirdank$ 的 gMSA)我也很幸运地通过了 "Domain Computers" 而不是“$env:computername$” .
现在有类似的问题。我认为您要查找的日志位于 Microsoft/Windows/Security-Netlogon/Operational 日志下的事件查看器中;您可能会看到一些 9001/9002 事件(MSA 的任务类别),这可能会让您了解正在发生的事情。
从最近的 TechNet 博客 post 中获取,该博客描述了解决 gMSA 帐户 creation/testing 问题的方法。看一下,它可能与您的整体问题相关:https://blogs.technet.microsoft.com/joelvickery/cannot-install-service-account-the-provided-context-did-not-match-the-target/
备用 link(看起来 post 与 cross-posted 相同,但标题不同):https://blogs.technet.microsoft.com/runcmd/the-rc4-removal-files-part-1-whats-in-an-error-message/
我创建了这样的 gMSA:
New-ADServiceAccount -name Cust00000 -DNSHostName Cust00000.domain.com -PrincipalsAllowedToRetrieveManagedPassword "IIS_IUSRS" -ManagedPasswordIntervalInDays 60
生活似乎也很美好。然而,当我 运行
Test-ADServiceAccount Cust00000
这是我得到的:
False
WARNING: Test failed for Managed Service Account Cust00000. If standalone Managed Service Account, the account is
linked to another computer object in the Active Directory. If group Managed Service Account, either this computer does
not have permission to use the group MSA or this computer does not support all the Kerberos encryption types required
for the gMSA. See the MSA operational log for more information.
我检查了事件查看器 -> 应用程序和服务日志 -> Microsoft -> Windows -> 应用程序 -> Microsoft-Windows-TWinUI/Operational 但这似乎不正确。 MSA 操作日志在哪里(可能是什么)?
编辑:对于整体问题,我曾尝试 Install-ADServiceAccount 但它没有用。我放弃了它并最终让它与 Set-ADServiceAccount sirdank -PrincipalsAllowedToRetrieveManagedPassword "$env:computername$" 一起工作(对于名为 Domain\sirdank$ 的 gMSA)我也很幸运地通过了 "Domain Computers" 而不是“$env:computername$” .
现在有类似的问题。我认为您要查找的日志位于 Microsoft/Windows/Security-Netlogon/Operational 日志下的事件查看器中;您可能会看到一些 9001/9002 事件(MSA 的任务类别),这可能会让您了解正在发生的事情。
从最近的 TechNet 博客 post 中获取,该博客描述了解决 gMSA 帐户 creation/testing 问题的方法。看一下,它可能与您的整体问题相关:https://blogs.technet.microsoft.com/joelvickery/cannot-install-service-account-the-provided-context-did-not-match-the-target/
备用 link(看起来 post 与 cross-posted 相同,但标题不同):https://blogs.technet.microsoft.com/runcmd/the-rc4-removal-files-part-1-whats-in-an-error-message/