<强>组托管服务帐户(集团管理服务账户强> <>强,即gMSAs 强> <强>)强>
<强>
强>
组托管服务帐户是针对多个服务器的MSA。Windows为在一组服务器上运行的服务管理服务帐户,Active Directory自动更新组托管服务帐户密码,而不重启服务。你可以配置SQL Server服务以使用组托管服务帐户主体。从SQL Server 2014开始,SQL Server针对独立实例,故障转移群集实例和可用性组,在Windows Server 2012 R2和更高版本上支持组托管服务帐户。
若要使用SQL Server 2014或更高版本的组托管服务帐户,操作系统必须是Windows Server 2012 R2或更高版本。装有Windows Server 2012 R2的服务器需要应用KB 2998082,以便服务可以在密码更改后立即登录而不中断。
组托管服务帐户有注册SPN的权限。
(备注:在实际部署中,看到有写servicePrincipalName权限,但是没有读servicePrincipalName权限。按照http://www.sqlservercentral.com/blogs/james-sql-footprint/2013/01/19/got-cannot-generate-sspi-context-error-message-after-changing-sql-service-account/步骤手工添加后,重启服务,查看错误日志,发现SPN注册成功)
备注:域管理员必须先在Active Directory中创建组托管服务帐户,然后SQL Server安装程序才能将其用于SQL Server服务。
<强>配置步骤强>
1。如果是首次创建组托管服务帐户,需要创建KDS根秘钥。
Add-KdsRootKey -EffectiveTime ((Get-Date) .addhours (-10)
2。先在域控上创建计算机组SQLServers,将需要使用组托管服务帐户的主机添加进来。
3。在域控上创建这些组托管服务帐户。
在域控上创建介绍服务帐户gMSAsqlssas,×××S服务帐户gMSAsql * * *年代,SQL Server服务帐户gMSAsqldbe, SQL Server代理服务帐户gMSAsqlagt:
New-ADServiceAccount -name gMSAsqlssas -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers New-ADServiceAccount -name  gMSAsql * * * s -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers New-ADServiceAccount -name  gMSAsqldbe -DNSHostName dc.jztest.com  -PrincipalsAllowedToRetrieveManagedPassword SQLServers New-ADServiceAccount -name  gMSAsqlagt -DNSHostName dc.jztest.com  -PrincipalsAllowedToRetrieveManagedPassword SQLServers
4。查看帐户状态。
Get-ADServiceAccount gMSAsqlssas -Properties msDS-GroupMsaMembership |, Select -Expand msDS-GroupMsaMembership |, Select -Expand Access |, Select -Expand IdentityReference
5。重启成员服务器,并安装和验证组托管服务帐户。
在各成员服务器执行以下脚本:
Import-Module ServerManager Add-WindowsFeature RSAT-AD-PowerShell Import-Module ActiveDirectory Install-ADServiceAccount gMSAsqlssas Install-ADServiceAccount gMSAsql * * * Install-ADServiceAccount gMSAsqldbe Install-ADServiceAccount gMSAsqlagt Test-ADServiceAccount gMSAsqlssas Test-ADServiceAccount gMSAsql * * * Test-ADServiceAccount gMSAsqldbe Test-ADServiceAccount gMSAsqlagt
6。为了使用UNC远程备份,如果你习惯使用默认共享如加元去做备份,需要将这些账号添加到每台成员服务器的备份操作组中。但是,这是一个很不好的习惯,管理共享都是给与具有管理员权限的用户使用的,在日常运维过程中,务必使用共享文件夹方式。如果使用共享文件夹,gMSAs无需执行此步骤。
(行政股隐藏网络共享由Windows NT操作系统家族允许系统管理员远程访问每一个磁盘卷> <李>
DNS问题往往 遇到alt="组托管服务帐户(集团管理服务账户,即gMSAs) ">
KerberosSPNWindowsKerberos
,
Kerberos依赖的存在正向和反向查找在DNS条目。检查每台计算机的主机名可以解决其IP地址和它的IP地址可以解决它的主机名。
Kerberos是区分大小写的。问题可能发生在一个环境与大小写混合使用主机名。在Kerberos, appserver1.EXAMPLE。COM和appserver1.example.com是不一样的。检查DNS解析主机名一致的案子。
,
SPNKerberos
,
参考:https://blogs.msdn.microsoft.com/apgcdsd/2011/09/26/kerberosntlm-sql-server/