Belgeler örneği içerir:
New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true
Bu parametre gereklidir. A'nın amacı tam olarak nedir DNSHostNameve neyi ayarlayacağına nasıl karar vermeliyim?
Belgeler örneği içerir:
New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true
Bu parametre gereklidir. A'nın amacı tam olarak nedir DNSHostNameve neyi ayarlayacağına nasıl karar vermeliyim?
Yanıtlar:
Bu hesaplarla bir süre çalıştıktan sonra, sebebini bulduğumu düşünüyorum:
Bunlar, bazı alt kümelerdir veya belki de makine türü hesaplarının türevleridir. Bu nedenle bu özelliği onlardan devralırlar ve makine türü için gerekli olduğundan, gMSA için de gereklidir.
Her iki türün de öznitelik kümelerinde yakından eşleşip eşleşmediğini kontrol edebilirsiniz. Ayrıca tüm TechNet belgelerindegmsa-name.contoso.com , tıpkı bir makine hesabında olduğu gibi, bu özellik için basit bir benzersiz değer sağlarlar .
Neden sadece otomatik olarak oluşturmadılar ve merak ve yazarak bize yedek emin değilim.
DNSHostName hizmetinizin adı olmalıdır. Bir Küme durumunda bu, Sanal örnek adınız olacaktır.
DNSHostName, hesabın SPN Otomatik kaydı ile ilgilidir. Active Directory'de Bilgisayarlar ve GMSA'lar "ServicePrincipalName'e Doğrulanmış Yazmaya İzin Ver" iznine sahiptir. Bu, bir bilgisayarın yalnızca kendi adını içeren SPN'leri kaydedebileceği anlamına gelir. Örnek: Webserver1 adlı bir bilgisayar (DNS: Webserver1.alanadim.net) http: /Webserver1.alanadim.net: 443'ü otomatik olarak kaydedebilir ancak http: /Webserver55.alanadim.net: 443
Bu nedenle, bir GMSA'nın DNSHostName'i bir hizmet için kaydetmek istediğiniz SPN'leri yansıtmalıdır.
SQL kümesinde 2 ana makineniz olur: Host1 ve host2. Bir clusterName: Clu1 ve bir Sanal SQL Örneği: SQL1 SQL1 hizmetini çalıştırmak için bir GMSA kullanmak istiyorsanız, bu şekilde oluşturulur.
$comp1 = get-adcomputer Host1
$comp2 = get-adcomputer Host2
New-ADServiceAccount -Name gmsa01 -DNSHostName sql1.mydomain.net -PrincipalsAllowedToRetrieveManagedPassword $comp1, $comp2
(doğrudan ana bilgisayarlara hak atamak yerine bir grup da kullanabilirsiniz).
SQL hizmeti her başlatıldığında, otomatik olarak 2 SPN kaydedecektir: MSSQLSvc / sql1.alanadim.net MSSQLSvc / sql1.alanadim.net: 1433
DNSHostName'e başka bir şey koyarsanız (örneğin gmsa01.alanadim.net), hizmet yine de başlayacaktır, ancak SPN'leri kaydettirmede başarısız olacaktır (ve NTLM kimlik doğrulamasına geri dönecektir).
Kerberos Kimlik Doğrulaması'nı (ve SPN'leri) umursamıyorsanız veya SPN'leri hizmetiniz için Manuel olarak kaydetme konusunda sorun yaşıyorsanız, DNSHostName'e istediğinizi koyabilirsiniz. GMSA hala çalışacaktır.
(GMSA'yı bir etki alanı denetleyicisinde bir hizmeti çalıştırmak için kullanmayı planlamıyorsanız) daha önce de belirtildiği gibi DomainController DNSName koyarak öneriyoruz.
Ben bu konuda uzman değilim. Ancak, bu konuda bildiklerimi göndermeye değer olduğunu düşündüğüm bir bilgi eksikliği var
Aldığım 70-411 kursunun eğitmeni DNSHostName, New-ADServiceAccountcmdlet'i gösterdiğinde parametre değeri olarak bir etki alanı denetleyicisinin FQDN'sini kullandı . Anladığım kadarıyla DNSHostName, cmdlet'e hangi etki alanı denetleyicisinin hangi hesapta oluşturulacağını söyler. Hangi DC'yi kullandığınızın önemli olduğunu düşünmüyorum, bu gMSA'lar hemen çoğalıyor gibi görünüyor. DNSHostNameDC'lerimden birine işaret ediyorum ve şimdiye kadar çalışıyor gibi görünüyor.
Gerçekten bununla ilgili somut bir belge olmasını tercih ederim. Uygulanabilir TechNet komut referans için sadece totolojik saçmalıktır DNSHostNameparametresi.
-RestrictToSingleComputer parametresini eklediğinizde artık gerekli değildir. Tabii ki kullanmadan önce bu seçeneği okumalısınız.
Sevmek:
New-ADServiceAccount service1 -Enabled $true -RestrictToSingleComputer
Çok uzun zamandır bir cevap arıyordum ve sonunda bana doğru gelen bir cevap buldum.
-DNSHostName, KDS Master anahtarını tutan DC'nin FQDN'si olmalıdır - msKds-ProvRootKey.
Büyük olasılıkla bunu oluşturdunuz - AD ormanınızın Yapılandırma bölümündeki Grup Anahtarı Dağıtım Hizmeti kapsayıcısına bir göz atın.
Muhtemelen adlarını -PrincipalsAllowedToRetrieveManagedPassword içinde ayarladığınız sürece bu ormandaki herhangi bir DC'yi kullanabilirsiniz.
Yukarıdakilerin hepsi "yeni" gMSA'yı temsil eder, bu nedenle eski MSA'yı kullanmak istiyorsanız, o zaman -DNSHostName'i unutun, çünkü o zaman gerekli değildir ve sadece -RestrictToSingleComputer'ı bir sunucuya hesap kilitlemeyi kullanın.
Umarım yardımcı olur.
17 Ocak 2018'de Proed tarafından yanıtın bir gMSA'nın neden DNS ana bilgisayar adına ihtiyacı var? (@Daniel'e daha önce alıntı yaptığı için teşekkürler).
dNSHostNameTıpkı AD-Computer Nesnesi (sAMAccountName+ ve Etki Alanı Soneki) için ayarlandığı gibi ayarlamanızı öneririm
… Çünkü:
msDS-GroupManagedServiceAccountAD-Computer(AD şeması açısından) miras alır , dolayısıyla bunun sağlanmasını gerektirirBu bağlantıya göz atın: http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx
DNSHostName, Hizmet Hesabı Adınızın tam etki alanı adıdır.
Yeni-ADServiceAccount -adı -DNSHostName