使用PowerShell创建托管服务帐户时出错

Question

我正尝试创建托管服务帐户，以便与Windows Server 2012 R2上的AD DS中的SQL Server服务一起使用。我用下面的PowerShell命令：

Import-Module ActiveDirectory 
New-ADServiceAccount -Name "SQLDBEngine" -DNSHostName "<hostname with AD integrated DNS>" -Enabled $true 

但收到以下错误信息：

Key does not exist 
+ CategoryInfo   : NotSpecified: (CN=SQLDBEngine,...HMS-BI,DC=LOCAL:String) [New-ADServiceAccount], ADException 
+ FullyQualifiedErrorId : ActiveDirectoryServer:-2146893811,Microsoft.ActiveDirectory.Management.Commands.NewADServiceAccount 

貌似我做的一切都是正确的，但仍无法创建托管帐户。错误消息似乎没有那么翔实。任何想法如何调试或解决问题？

Answer 1

我发现博文here帮助我解决了这个问题。问题的关键是，有一个在Windows Server 2012中名为密钥分发服务（KDS）一项新的服务，并开始添加新的托管之前占到一个需要用下面的PS命令添加KDS根密钥为眼前的有效性：

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))