Active Directory - Conta existe, mas não pode encontrá-lo para removê-lo

Question

Active Directory - Conta existe, mas não pode encontrá-lo para removê-lo

#1 resposta do (0 votos)

4

Estou tentando adicionar uma conta de serviço gerenciado do AD e minha primeira tentativa foi a seguinte:

New-ADServiceAccount -DNSHostName VM-Backup-Service -Name "VM Backup" -samAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local"

Esse comando basicamente foi interrompido, acho que porque eu indiquei DNSHostName para algo inexistente, porque não fiz leitura suficiente. Então tentei corrigi-lo e apontá-lo para o DC mestre usando o FQDN:

New-ADServiceAccount -DNSHostName AUDC.company.local -Name "VM Backup" -SamAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local"

O problema que tenho agora é que o AD diz que a conta já existe:

New-ADServiceAccount : The specified account already exists

O que não seria um grande problema, se eu pudesse encontrar a dita conta para removê-la antes de adicioná-la corretamente. Eu tentei rastreá-lo com:

Get-ADServiceAccount -filter 'samAccountName -like "*VM_Backup*"'
Get-ADUser -filter 'samAccountName -like "*VM_Backup*"'

E o seguinte não retorna nada, o que implica que não há Contas de Serviço no domínio?

Get-ADServiceAccount -filter *

Se alguém tiver sugestões de maneiras de rastreá-lo, será muito apreciado. As únicas dicas que tenho é que sei que eu especifiquei o samAccountName nos comandos acima e o snippet do CN = backup de VM que é retornado quando diz que a conta já existe:

New-ADServiceAccount : The specified account already exists
At line:1 char:1
+ New-ADServiceAccount -DNSHostName 1682-server-001.vpnsolutions.local  ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceExists: (CN=VM Backup,OU...ompany,DC=local:String) [New-ADServiceAccount], ADIde
   ntityAlreadyExistsException
    + FullyQualifiedErrorId : ActiveDirectoryServer:1316,Microsoft.ActiveDirectory.Management.Commands.NewADServiceAcc
   ount

active-directory powershell

por Chris 20.03.2017 / 02:26

1 resposta

Tags active-directory powershell

Correção imediata do relógio do sistema após o atordoamento do VMware Bunch of Connection_Abandoned_By_ReqQueue uma vez por dia

score 0 · Answer 1

Então eu acredito que existem várias partes para resolver isso:

Parece que eu precisava ter o controlador de domínio na UO padrão "Controladores de domínio" (não em uma UO de sub / filho, de acordo com este link: link ). Supostamente, a Microsoft resolveu esse problema ( link ), então talvez apenas o ponto 2 abaixo seja relevante, mas eu o fiz ambos então eu pensei em mencionar aqui.
O DC foi reconstruído apenas recentemente (após uma corrupção AD). Por sua vez, permite tempo para a convergência entre os DC's antes de permitir a criação de contas de serviço ( link ). Como havia apenas um CD nesse ambiente, a convergência não era um problema, então executei o comando sugerido no artigo (conforme abaixo). Essa etapa sozinha ou em conjunto com a etapa 1 foi suficiente para resolver o problema. Por que AD pensou que o objeto existia antes dessas etapas, em vez de simplesmente rejeitar o comando, eu não tenho ideia.

Adicionar-KdsRootKey –EffectiveTime ((get-date) .addhours (-10))