Групни сервисни рачуни на Виндовс Сервер 2012

Технологија управљане евиденције услуга (Управљани рачуни за услуге - МСА) је први пут представљен у Виндовс Сервер 2008 Р2 и осмишљен је да аутоматски управља (промени) лозинке за сервисне (услужне) налоге. Кориштењем механизма Управљани рачуни сервиса можете значајно смањити ризик од угрожавања системских налога под којима се покрећу системске услуге (није тајна да постоји велики број услужних програма који могу извући локалне корисничке лозинке из ЛСАСС-а).

За МСА налоге генерише се лозинка од 240 знакова, од којих су половина слова енглеског језика, друга половина знакова услуге. Лозинка за такав налог аутоматски се мења (подразумевано сваких 30 дана) и не чува се на локалном систему

Главни недостатак МСА је могућност коришћења таквог сервисног записа на само једном рачунару. То значи да МСА сервисни рачуни не могу радити са кластерисаним и НЛБ сервисима (веб фармама) који се покрећу на више сервера истовремено и користе исти налог и лозинку..

Да би превазишао овај недостатак, Мицрософт је у систему Виндовс Сервер 2012 додао функционалност налога за групно управљање услугама (гМСА - Групни рачуни за услуге управљања) Такви се рачуни могу истовремено користити на више сервера тако да све инстанце услуге користе исти налог, на пример, у услузи балансирања оптерећења (НЛБ), кластер сервисима, итд..

ГМСА захтеви:

Да бисте искористили могућности гМСА, инфраструктура мора да испуњава следеће захтеве:

  • Ниво шеме АД - Виндовс Сервер 2012 (како је ажурирати описано је овде).
  • Контролор домена Виндовс Сервер 2012 (и новији) са Мицрософт услугом дистрибуције кључева - ово је услуга одговорна за генерисање лозинки
  • ПоверСхелл модул за управљање Ацтиве Дирецториом
  • Као клијенти могу се користити Виндовс Сервер 2012/2012 Р2 и Виндовс 8 / 8.1
  • Услуга која користи гМСА мора бити компатибилна са овом врстом налога (мора бити наведена у документацији). Тренутно је подршка за гМСА: СКЛ Сервер 2008 Р2 СП1, 2012; ИИС; АД ЛДС; Берза 2010/2013

Креирајте КДС тастер

Пре него што започнете са креирањем гМСА налога, морате извршити једнократну операцију да бисте креирали КДС роот кључ (КДС роот кључ). Да бисте то учинили, покрените наредбу на контролеру домена са администраторским правима (Мицрософт дистрибуција кључева мора бити инсталирана и омогућена):

Адд-КдсРоотКеи -ЕффецтивеИммедиате

У овом случају, кључ ће бити креиран и доступан након 10 сати, након што је репликација завршена.

Савет. У тестном окружењу можете да користите наредбу за тренутну употребу:

Адд-КдсРоотКеи -ЕффецтивеТиме ((гет-дате) .аддхоурс (-10))

Проверите да ли је КДС роот кључ успешно креиран:

Гет-КдсРоотКеи

Креирајте гМСА налог

Креирајте нови гМСА налог помоћу команде:

Нев-АДСервицеАццоунт -наме гмса1 -ДНСХостНаме дц1.винитпро.ру -ПринципалсАлловедТоРетриевеМанагедПассворд "гмса1Гроуп"

Где, гмса1 - Назив гМСА налога за креирање

дц1.винитпро.ру - Име ДНС сервера

гмса1Гроуп - Ацтиве Дирецтори група која укључује све системе који ће користити овај групни налог (група мора бити претходно креирана)

Након извршења команде, потребно је да отворите конзолу АДУЦ (Ацтиве Дирецтори Усерс анд Цомпутерс) и да проверите да ли је у контејнеру (ОУ) Управљани рачуни услуга појавио се саветодавни налог (подразумевано овај контејнер није приказан, да бисте га видели, морате да одете у мени Виев опција за омогућавање снап-а Напредне функције)

Инсталирајте гМСА на сервер

Повежите Поверсхелл модул да бисте подржали окружење Ацтиве Дирецтори:

Адд-ВиндовсФеатуре РСАТ-АД-ПоверСхелл

Затим морамо инсталирати управљани рачун на сервере на којима ће се користити (из њега ће се убудуће покренути одређена услуга). Пре свега, морате да проверите да ли је овом серверу дозвољено да прима лозинку гМСА налога из Ацтиве Дирецтори-а. Да бисте то учинили, његов налог мора бити у групи домена која је наведена током креирања (у нашем случају гмса1Гроуп). Инсталирајте унос гмса1 на овај сервер:

Инсталирајте-АДСервицеАццоунт -Идентити гмса1

Можете проверити да ли је налог за групне услуге исправно инсталиран на овај начин (за Виндовс ПоверСхелл 4.0):

Тест-АДСервицеАццоунт гмса1

Ако наредба врати Труе - све је исправно конфигурисано.

Надаље, у својствима сервиса назначујемо да ће се покренути под гМСА рачуном. Да бисте то урадили, на картици Пријавите се треба да изаберете Овај налог и наведите назив рачуна услуге. Симбол $ мора бити наведен на крају имена; није потребна лозинка. Након што сачувате измене, услугу је потребно поново покренути.

Рачун за услугу аутоматски ће бити додељен Пријавите се као сервисна права.

Фино подешавање гМСА

Учесталост промене лозинке може се променити (подразумевано 30 дана):

Сет-АДСервицеАццоунт гмса1-МанагедПассвордИнтервалИнДаис 60

ГМСА налог се такође може користити у задацима планера. Суптилна нијанса је да се задатак може конфигурирати само кроз ПоверСхелл.

$ ацтион = Нев-СцхедуледТаскАцтион „ц: \ сцрипт \ бацкуп.цмд“ $ окршај = Ново-СцхедуледТаскТриггер -Ат 21:00 -Даили $ главних = Ново-СцхедуледТаскПринципал -УсерИД винитпро \ гмса1 $ -ЛогонТипе ПассвордРегистер-СцхедуледТаск БацкупД-БацкупДАк БацкупД акција -Триггер $ окидач -Прципинални $ принцип

Аргумент "-ЛогонТипе Пассворд" значи да ће лозинка за овај гМСА налог бити примљена од контролера домена.

Напомена. ГМСА рачун мора бити одобрен "Пријавите се као пакетни посао"