组托管服务帐户(集团管理服务账户,即gMSAs) - 行业资讯 - 肥雀云

<强>组托管服务帐户(集团管理服务账户 <>强,即gMSAs <强>)

<强>

组托管服务帐户是针对多个服务器的MSA。Windows为在一组服务器上运行的服务管理服务帐户,Active Directory自动更新组托管服务帐户密码,而不重启服务。你可以配置SQL Server服务以使用组托管服务帐户主体。从SQL Server 2014开始,SQL Server针对独立实例,故障转移群集实例和可用性组,在Windows Server 2012 R2和更高版本上支持组托管服务帐户。

若要使用SQL Server 2014或更高版本的组托管服务帐户,操作系统必须是Windows Server 2012 R2或更高版本。装有Windows Server 2012 R2的服务器需要应用KB 2998082,以便服务可以在密码更改后立即登录而不中断。

组托管服务帐户有注册SPN的权限。

(备注:在实际部署中,看到有写servicePrincipalName权限,但是没有读servicePrincipalName权限。按照http://www.sqlservercentral.com/blogs/james-sql-footprint/2013/01/19/got-cannot-generate-sspi-context-error-message-after-changing-sql-service-account/步骤手工添加后,重启服务,查看错误日志,发现SPN注册成功)

备注:域管理员必须先在Active Directory中创建组托管服务帐户,然后SQL Server安装程序才能将其用于SQL Server服务。

<强>配置步骤

1。如果是首次创建组托管服务帐户,需要创建KDS根秘钥。

Add-KdsRootKey -EffectiveTime ((Get-Date) .addhours (-10)

2。先在域控上创建计算机组SQLServers,将需要使用组托管服务帐户的主机添加进来。

3。在域控上创建这些组托管服务帐户。

在域控上创建介绍服务帐户gMSAsqlssas,×××S服务帐户gMSAsql * * *年代,SQL Server服务帐户gMSAsqldbe, SQL Server代理服务帐户gMSAsqlagt:

New-ADServiceAccount -name gMSAsqlssas -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers 　　New-ADServiceAccount -name gMSAsql * * * s -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers 　　New-ADServiceAccount -name gMSAsqldbe -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers 　　New-ADServiceAccount -name gMSAsqlagt -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers

4。查看帐户状态。

Get-ADServiceAccount gMSAsqlssas -Properties msDS-GroupMsaMembership |, Select -Expand msDS-GroupMsaMembership |, Select -Expand Access |, Select -Expand IdentityReference

5。重启成员服务器,并安装和验证组托管服务帐户。

在各成员服务器执行以下脚本:

Import-Module ServerManager 　　Add-WindowsFeature RSAT-AD-PowerShell 　　Import-Module ActiveDirectory 　　Install-ADServiceAccount gMSAsqlssas 　　Install-ADServiceAccount gMSAsql * * * 　　Install-ADServiceAccount gMSAsqldbe 　　Install-ADServiceAccount gMSAsqlagt 　　Test-ADServiceAccount gMSAsqlssas 　　Test-ADServiceAccount gMSAsql * * * 　　Test-ADServiceAccount gMSAsqldbe 　　Test-ADServiceAccount gMSAsqlagt

6。为了使用UNC远程备份,如果你习惯使用默认共享如加元去做备份,需要将这些账号添加到每台成员服务器的备份操作组中。但是,这是一个很不好的习惯,管理共享都是给与具有管理员权限的用户使用的,在日常运维过程中,务必使用共享文件夹方式。如果使用共享文件夹,gMSAs无需执行此步骤。

(行政股隐藏网络共享由Windows NT操作系统家族允许系统管理员远程访问每一个磁盘卷> <李>

DNS问题往往　　遇到alt="组托管服务帐户(集团管理服务账户,即gMSAs) ">

KerberosSPNWindowsKerberos

Kerberos依赖的存在正向和反向查找在DNS条目。检查每台计算机的主机名可以解决其IP地址和它的IP地址可以解决它的主机名。

Kerberos是区分大小写的。问题可能发生在一个环境与大小写混合使用主机名。在Kerberos, appserver1.EXAMPLE。COM和appserver1.example.com是不一样的。检查DNS解析主机名一致的案子。

SPNKerberos

参考:https://blogs.msdn.microsoft.com/apgcdsd/2011/09/26/kerberosntlm-sql-server/