Active Directory - учетная запись существует, но не может найти ее, чтобы удалить

Я пытаюсь добавить управляемую учетную запись службы AD, и моя первая попытка была следующей:

New-ADServiceAccount -DNSHostName VM-Backup-Service -Name "VM Backup" -samAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local"

Эта команда в основном зависла, я думаю, потому что я указал DNSHostName на что-то несуществующее, потому что я недостаточно читал. Затем я попытался исправить это и указать на главный контроллер домена, используя его полное доменное имя:

New-ADServiceAccount -DNSHostName AUDC.company.local -Name "VM Backup" -SamAccountName VM_Backup -Path "OU=AD_Managed_Service_Accounts,DC=company,DC=local"

Проблема в том, что AD сообщает, что учетная запись уже существует:

New-ADServiceAccount : The specified account already exists

Это не было бы большой проблемой, если бы я действительно мог найти указанную учетную запись, чтобы удалить ее перед правильным повторным добавлением. Я пробовал отследить это с помощью:

Get-ADServiceAccount -filter 'samAccountName -like "*VM_Backup*"'
Get-ADUser -filter 'samAccountName -like "*VM_Backup*"'

И следующее ничего не возвращает, что означает, что в домене нет учетных записей служб?

Get-ADServiceAccount -filter *

Если у кого-то есть предложения о том, как его отследить, мы будем очень признательны. Единственные подсказки, которые у меня есть, это то, что я знаю, что указывал samAccountName в приведенных выше командах, и фрагмент CN = Резервное копирование ВМ который возвращается, когда он говорит, что учетная запись уже существует:

New-ADServiceAccount : The specified account already exists
At line:1 char:1
+ New-ADServiceAccount -DNSHostName yyy-server-001.companydomain.local  ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceExists: (CN=VM Backup,OU...ompany,DC=local:String) [New-ADServiceAccount], ADIde
   ntityAlreadyExistsException
    + FullyQualifiedErrorId : ActiveDirectoryServer:1316,Microsoft.ActiveDirectory.Management.Commands.NewADServiceAcc
   ount

active-directory powershell

Поэтому я считаю, что для решения этой проблемы было несколько частей:

Похоже, что мне нужно было иметь контроллер домена в подразделении «Контроллеры домена» по умолчанию (а не в подчиненном / дочернем подразделении, согласно этой ссылке: https://social.technet.microsoft.com/Forums/office/en-US/3bbc81de-83fb-4c40-8a03-e03ede1a458b/group-managed-service-accounts-causing-delays-freezes-lock-ups-and- отключение обслуживания? forum = winserverDS). Предположительно Microsoft решила эту проблему (https://support.microsoft.com/en-us/kb/3094486), так что, возможно, актуален только пункт 2 ниже, но я сделал и то, и другое, поэтому решил упомянуть об этом здесь.
Контроллер домена только недавно был перестроен (после повреждения AD). Оказывается, это дает время для конвергенции между контроллерами домена, прежде чем разрешить создание учетных записей служб (https://social.technet.microsoft.com/Forums/windows/en-US/82617035-254f-4078-baa2-7b46abb9bb71/newadserviceaccount-key-does-not-exist?forum=winserver8gen). Поскольку в этой среде был только один DC, конвергенция не была проблемой, поэтому я выполнил команду, предложенную в статье (как показано ниже). Либо одного этого шага, либо вместе с шагом 1 было достаточно для решения проблемы. Я не понимаю, почему AD посчитал, что объект существует до этих шагов, а не просто отверг команду.

Add-KdsRootKey –EffectiveTime ((get-date) .addhours (-10))