เอกสารมีตัวอย่างเช่น:
New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true
จำเป็นต้องใช้พารามิเตอร์นี้ อะไรคือจุดประสงค์ของ a DNSHostNameและฉันจะตัดสินใจได้อย่างไรว่าจะตั้งเป็นอย่างไร
เอกสารมีตัวอย่างเช่น:
New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true
จำเป็นต้องใช้พารามิเตอร์นี้ อะไรคือจุดประสงค์ของ a DNSHostNameและฉันจะตัดสินใจได้อย่างไรว่าจะตั้งเป็นอย่างไร
คำตอบ:
หลังจากทำงานไประยะหนึ่งกับบัญชีเหล่านี้ฉันคิดว่าฉันพบเหตุผล:
พวกเขาเป็นส่วนย่อยหรืออาจจะมาจากบัญชีประเภทเครื่อง ดังนั้นพวกเขาจึงสืบทอดคุณสมบัตินี้จากพวกเขาและเนื่องจากมันจำเป็นสำหรับประเภทเครื่องจึงจำเป็นต้องมีสำหรับ gMSA ด้วย
คุณสามารถตรวจสอบว่าทั้งสองประเภทจับคู่อย่างใกล้ชิดในชุดคุณลักษณะ นอกจากนี้ในเอกสารTechNet ทั้งหมด พวกเขาเพียงแค่ให้ค่าที่ไม่ซ้ำกันง่ายสำหรับคุณลักษณะนี้เช่นเดียวกับบัญชีเครื่องจักรที่มีgmsa-name.contoso.com
ไม่แน่ใจว่าทำไมพวกเขาไม่ได้สร้างอัตโนมัติและทำให้เรามีความสงสัยและพิมพ์
DNSHostName ควรเป็นชื่อบริการของคุณ ในกรณีของ A Cluster นี่จะเป็นชื่ออินสแตนซ์เสมือนของคุณ
DNSHostName เกี่ยวข้องกับ SPN การลงทะเบียนอัตโนมัติของบัญชี ในคอมพิวเตอร์ไดเรกทอรีที่ใช้งานอยู่ & GMSAs มีสิทธิ์ "อนุญาตให้ตรวจสอบเขียนไปยัง ServicePrincipalName" ซึ่งหมายความว่าคอมพิวเตอร์สามารถลงทะเบียน SPN ที่มีชื่อของตัวเองเท่านั้น ตัวอย่าง: คอมพิวเตอร์ชื่อ Webserver1 (DNS: Webserver1.mydomain.net) สามารถลงทะเบียนอัตโนมัติ http: /Webserver1.mydomain.net: 443 แต่ไม่สามารถลงทะเบียน http: /Webserver55.mydomain.net: 443
ดังนั้น DNSHostName ของ GMSA ควรสะท้อนถึง SPN ที่คุณต้องการลงทะเบียนสำหรับบริการ
บนคลัสเตอร์ SQL คุณจะมี 2 โฮสต์: Host1 และ host2 ชื่อคลัสเตอร์: Clu1 และอินสแตนซ์ SQL เสมือน: SQL1 หากคุณต้องการใช้ GMSA เพื่อเรียกใช้บริการ SQL1 คุณจะต้องสร้างเช่นนี้
$comp1 = get-adcomputer Host1
$comp2 = get-adcomputer Host2
New-ADServiceAccount -Name gmsa01 -DNSHostName sql1.mydomain.net -PrincipalsAllowedToRetrieveManagedPassword $comp1, $comp2
(คุณสามารถใช้กลุ่มแทนการกำหนดสิทธิ์ให้กับโฮสต์โดยตรง)
เมื่อใดก็ตามที่บริการ SQL เริ่มทำงานจะลงทะเบียน 2 SPNs โดยอัตโนมัติ: MSSQLSvc / sql1.mydomain.net MSSQLSvc / sql1.mydomain.net: 1433
หากคุณใส่อย่างอื่นใน DNSHostName (ตัวอย่างเช่น gmsa01.mydomain.net) บริการจะยังคงเริ่มทำงาน แต่จะไม่สามารถลงทะเบียน SPN (และกลับไปใช้การพิสูจน์ตัวตน NTLM)
หากคุณไม่สนใจ Kerberos Authentication (และ SPNs) หรือหากคุณไม่พอใจกับการลงทะเบียน SPN ด้วยตนเองสำหรับบริการของคุณคุณสามารถใส่อะไรก็ได้ที่คุณต้องการใน DNSHostName GMSA จะยังคงทำงานได้
ฉันไม่แนะนำให้ใส่ DomainController ของคุณใน DNSName ดังที่กล่าวไว้ก่อนหน้า (เว้นแต่คุณวางแผนที่จะใช้ GMSA เพื่อเรียกใช้บริการบนตัวควบคุมโดเมน)
ฉันไม่มีความเชี่ยวชาญในเรื่องนี้ อย่างไรก็ตามมีความขาดแคลนข้อมูลในหัวข้อนี้ฉันคิดว่ามันคุ้มค่าที่จะโพสต์สิ่งที่ฉันรู้
ผู้ฝึกสอนของหลักสูตร70-411ฉันใช้ FQDN ของตัวควบคุมโดเมนเป็นค่าสำหรับDNSHostNameพารามิเตอร์เมื่อเขาแสดงให้เห็นถึงNew-ADServiceAccountcmdlet ตามที่ฉันเข้าใจแล้วDNSHostNameเพียงแค่บอก cmdlet ว่าตัวควบคุมโดเมนใดที่จะสร้างบัญชี ฉันไม่คิดว่ามันสำคัญกับ DC ที่คุณใช้ gMSA เหล่านั้นดูเหมือนจะทำซ้ำทันที ฉันชี้DNSHostNameไปที่หนึ่งใน DC ของฉันและดูเหมือนว่าจะทำงานได้จนถึงตอนนี้
ฉันอยากจะมีเอกสารที่เป็นรูปธรรมเกี่ยวกับเรื่องนี้ การอ้างอิงคำสั่ง TechNet ที่ใช้บังคับเป็นเพียงเรื่องไร้สาระสำหรับDNSHostNameพารามิเตอร์
เมื่อคุณเพิ่มพารามิเตอร์ -RestrictToSingleComputer ก็ไม่จำเป็นต้องใช้อีกต่อไป แน่นอนคุณควรอ่านเกี่ยวกับตัวเลือกนั้นก่อนใช้งาน
ชอบ:
New-ADServiceAccount service1 -Enabled $true -RestrictToSingleComputer
ฉันกำลังมองหาคำตอบเป็นเวลานานและในที่สุดก็พบคำตอบที่ฟังดูจริงสำหรับฉัน
-DNSHostName ควรเป็น FQDN ของ DC นั้นซึ่งมีคีย์ KDS หลัก - msKds-ProvRootKey
เป็นไปได้มากว่าคุณได้สร้างสิ่งนั้นแล้ว - ดูที่คอนเทนเนอร์บริการการแจกจ่ายคีย์กลุ่มในพาร์ติชันการกำหนดค่าของฟอเรสต์ AD ของคุณ
และอาจเป็นไปได้ว่าคุณสามารถใช้ DC ใด ๆ ในฟอเรสต์นั้นตราบเท่าที่คุณตั้งชื่อไว้ใน -PrincipalsAllowedToRetrieveManagedPassword
ทั้งหมดข้างต้นแสดงถึง gMSA "ใหม่" ดังนั้นหากคุณต้องการใช้ MSA เก่าแทนเพียงลืมเกี่ยวกับ -DNSHostName เนื่องจากไม่จำเป็นต้องใช้และเพียงแค่ใช้ -RestrictToSingleComputer ล็อคบัญชีกับเซิร์ฟเวอร์บางตัว
หวังว่าจะช่วย
ประสบการณ์ของฉันดูเหมือนจะบ่งบอกว่ากำลังมองหา DC ฉันรันการทดสอบบนเซิร์ฟเวอร์สมาชิกและได้รับพร้อมท์สำหรับ -DNSHostName ฉันรันการทดสอบเดียวกันจาก DC และไม่ได้รับพรอมต์
การตอบคำถามโดย Proed เมื่อวันที่ 17 มกราคม 2018 ในทำไม gMSA จึงจำเป็นต้องมีชื่อโฮสต์ DNS (ขอบคุณ @Daniel ที่อ้างถึงก่อนหน้านี้)
ฉันอยากจะแนะนำให้ตั้งค่า
dNSHostNameเช่นเดียวกับที่ตั้งไว้สำหรับ AD-Computer Object (sAMAccountName+ และส่วนต่อท้ายโดเมนของคุณ)
… เพราะ:
msDS-GroupManagedServiceAccountสืบทอดมาจากAD-Computer(ในแง่ของสคีมา AD) ดังนั้นจึงจำเป็นต้องจัดหาสิ่งนี้ลองใช้ลิงค์นี้: http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx
DNSHostName เป็นชื่อโดเมนแบบเต็มของชื่อบัญชีบริการของคุณ
ใหม่ ADServiceAccount -name -DNSHostName