none
gMSA作成がうまくいかない事象について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    KDSルートキーを作成後、Power Shellから下記コマンドにてgMSAアカウントを作成しようとしたところ、「New-ADServiceAccount : キーがありません。」というエラーが返ってきてしまいます。

    New-ADServiceAccount gMSA -DNSHostName dc01.example.local -ServicePrincipalNames http/adfs01.example.local

    New-ADServiceAccount だけを実行後、対話形式で作成しようとすると、Name:を入力後に同様のエラーが返ってきてしまいます。

    検証環境では躓いた箇所ではなかったのですが、原因についてご教示いただけますと幸いです。

    ADサーバー:Windows Server 2012 R2

    ADFSサーバー:Windows Server 2016

    2017年8月9日 11:04
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    はじめまして。
    KDSルートキーは以下コマンドの通り作成されていますでしょうか。

    Add-KdsRootkey -EffectiveTime((Get-Date).AddHours(-10))

    EffectiveTime((Get-Date).AddHours(-10)) がない場合、10日後にKDSルートキーが有効になるため、それまでは質問文のエラー「キーがありません」が出力されます(※)。
    ※当方の検証結果より

    対応案として、Get-KdsRootkeyコマンドでKDSルートキーの有効日時 (EffectiveTime) が確認できますので、同日時後に New-ADServiceAccount コマンドを実行すると、gMSAが作成できるかと思います。
    ただ、即時に対応されたい場合は、一旦KDSルートキーを削除後、Add-KdsRootkeyを再度実行すればよいかと思います。KDSルートキーの削除方法は以下Webが参考になります。

    Delete KDS root Key
    https://www.windows-noob.com/forums/topic/7625-delete-kds-root-key/

    以上、上記回答が参考になれば幸いです。

    2017年8月9日 16:33
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ざあますさんの補足情報になりますが、この10時間というのはDC間複製の時間としてとってあります。
    単体のDCでないのであれば、素直に10時間後に実施するのが安全ですね。

    キー配布サービス KDS ルート キーの作成
    https://msdn.microsoft.com/ja-jp/library/jj128430%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396

    2017年8月10日 2:12
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    はじめまして。
    KDSルートキーは以下コマンドの通り作成されていますでしょうか。

    Add-KdsRootkey -EffectiveTime((Get-Date).AddHours(-10))

    EffectiveTime((Get-Date).AddHours(-10)) がない場合、10日後にKDSルートキーが有効になるため、それまでは質問文のエラー「キーがありません」が出力されます(※)。
    ※当方の検証結果より

    対応案として、Get-KdsRootkeyコマンドでKDSルートキーの有効日時 (EffectiveTime) が確認できますので、同日時後に New-ADServiceAccount コマンドを実行すると、gMSAが作成できるかと思います。
    ただ、即時に対応されたい場合は、一旦KDSルートキーを削除後、Add-KdsRootkeyを再度実行すればよいかと思います。KDSルートキーの削除方法は以下Webが参考になります。

    Delete KDS root Key
    https://www.windows-noob.com/forums/topic/7625-delete-kds-root-key/

    以上、上記回答が参考になれば幸いです。

    2017年8月9日 16:33
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ざあますさんの補足情報になりますが、この10時間というのはDC間複製の時間としてとってあります。
    単体のDCでないのであれば、素直に10時間後に実施するのが安全ですね。

    キー配布サービス KDS ルート キーの作成
    https://msdn.microsoft.com/ja-jp/library/jj128430%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396

    2017年8月10日 2:12
    |
  • Question
    サインインして投票
    0
    サインインして投票

    私が10日後と10時間後と読み違えていて、ルートキーが有効になるのも10時間後だと思い込んでいました。

    回答いただきありがとうございます。一旦ルートキーを削除して再度実施してみます。

    2017年8月10日 3:56
    |
  • Question
    サインインして投票
    0
    サインインして投票

    助言いただきありがとうございます。

    注意しつつ構築を進めます。

    2017年8月10日 4:00
    |