Настройка групповой управляемой учетной записи службы в Windows Server 2012 R2

У меня есть контроллер домена Windows 2012 R2 с именем cox.win.testlab. Я создал группу хостов, на которых я хотел бы использовать gMSA (групповая управляемая учетная запись службы). Эта группа называется SQLManagedHosts.

Я создал учетную запись, выполнив следующие действия в Powershell на контроллере домена:

PS C:\Windows\system32> Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Guid
----
9b68b1e7-db76-c4e4-4978-63c2965e5596

PS C:\Windows\system32> New-ADServiceAccount mSQL -DNSHostName cox.win.testlab -PrincipalsAllowedToRetrieveManagedPassword SQLManagedHosts

PS C:\Windows\system32> Get-ADServiceAccount msql

DistinguishedName : CN=mSQL,CN=Managed Service Accounts,DC=win,DC=testlab
Enabled           : True
Name              : mSQL
ObjectClass       : msDS-GroupManagedServiceAccount
ObjectGUID        : cf9df74a-38e0-4d7a-856e-9af882b08800
SamAccountName    : mSQL$
SID               : S-1-5-21-3443997112-87545443-1733229669-1602
UserPrincipalName :

На одном из хостов, перечисленных в SQLManagedHosts, я запустил:

PS C:\Windows\system32> Install-ADServiceAccount msql
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount msql
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (mSQL:String) [Install-ADServiceAccount], ADException
    + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAcccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount

Есть идеи, почему это может не работать? Все задействованные серверы - это Windows Server 2012 R2.