•New-ADServiceAccount —name gMSA_SCOM_SQL_DB —DNSHostName ADDS-PDC-DC01.mycompany. local —PrincipalsAllowedToRetriewManagedPassword «gMSA_SCOM_SQL_DB_Group»
Где: gMSA_SCOM_SQL_DB – имя сервисной учетной записи, ADDS-PDC-DC01.MyCompany. local – имя DNS хоста, gMSA_SCOM_SQL_DB_Group – группа в активном каталоге куда входят все системы, которые будут использовать эту групповую управляемую служебную запись.
Проверяем через оснастку Active Directory Users & Computers что в контейнере Managed Service Accounts появилась запись.
Устанавливаем учетную запись gMSA на сервер
Следующий шаг установка учетной записи gMSA на сервер, где будет использоваться. Порядок выполнения: Проверяем, что сервер (SQL-PDC-DB01) входит в состав группы gMSA_SCOM_SQL_DB_Group. Входим на сервер (для примера SQL-PDC-DB01 с учетной записью MyCompany\Administrator и запускаем оснастку PowerShell. Запускаем команду: Install-ADServiceAccount —Identity gMSA_SCOM_SQL_DB
(Если нет модуля, то необходимо добавить Features -> RAST -> AD DS Tools -> AD module for PowerShell). Проверка: Test-ADServiceAccount gMSA_SCOM_SQL_DB
Если возвращает TRUE значит все в порядке.
Далее на сервере SQL-PDC-DB01 в настройках запуска службы (Logon) указываем имя учетной записи (с добавлением символа $ в конце обязательно). Пароль указывать нет необходимости. Сервисная учетная получает права «Log on As a Service» автоматически. Перезапускаем сервис.
Проверка и создание записи SPN (Service Provider Name) сервиса
Для примера для SQL сервера необходимо создавать запись для возможности сетевой проверки. Проверка возможна через протоколы: NTLM и Kerberos. Второй предпочтительно. SQL сервер поддерживает Kerberos для следующих протоколов:
•TCP/IP (рекомендуемый)
•Shared Pipes (рекомендуется отключить)
•Shared Memory (рекомендуется отключить)
•SQL сервер поддерживает Kerberos через Windows Security Support Provider (SSPI).
Порядок регистрации SPN записи возможен через несколько вариантов:
•Утилита SetSPN. exe.
Синтаксис: SetSPN —A <spn> <Account>.
Пример: SetSPN —A MSSQLSvc/SRV.domain. local: 1433 domain\ServiceAccount
•SetSPN —A MSSQLSvc/SRV.domain. local: Inst1 domain\ServiceAccount
На один экземпляр нужно иметь две записи с портом и именем экземпляра. Для кластера: регистрация для каждой «ноды» и общего имени. Для «Always On»: регистрация для каждого «инстанса» на нодах плюс прослушиватель (listener). Для проверки дублированных записей используется ключ —S.
•Консоль ASDI
•Добавление в атрибут «ServicePrincipalName»
•Утилита KerberosConfigMgr. exe
•Добавление значения и учетной записи
Создание объектов в Активном Каталоге
Структура активного каталога как правило повторяет организационную структуру организации. Также желательно создать организационные единицы для групп, сервисов и пользователей.
Создание контейнера «Организационной Единицы» возможен через несколько вариантов:
•Оснастка Active Directory Users & Computers на контролере;
•Через RSAT на Выделенной Рабочей Станции Управления»;
•Оснастка PowerShell;
Структура активного каталога представлена на диаграмме. Структура может отличатся от компании к компании, но в общем случае содержит в себе встроенный объект домен и контроллеры домена. Помимо этого, объекты сгруппированы по назначению: ИТ сервисы, компьютеры, группы и пользователи. Прочие встроенные объекты, такие, например, как Сервисные