Question Configuration d'un compte de service géré par groupe sur Windows Server 2012 R2


J'ai un contrôleur de domaine Windows 2012 R2 appelé cox.win.testlab. J'ai configuré un groupe d'hôtes sur lequel j'aimerais utiliser un compte de service géré par le groupe (gMSA). Ce groupe s'appelle SQLManagedHosts.

J'ai créé le compte en procédant comme suit dans Powershell sur le contrôleur de domaine:

PS C:\Windows\system32> Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Guid
----
9b68b1e7-db76-c4e4-4978-63c2965e5596

PS C:\Windows\system32> New-ADServiceAccount mSQL -DNSHostName cox.win.testlab -PrincipalsAllowedToRetrieveManagedPassword SQLManagedHosts

PS C:\Windows\system32> Get-ADServiceAccount msql

DistinguishedName : CN=mSQL,CN=Managed Service Accounts,DC=win,DC=testlab
Enabled           : True
Name              : mSQL
ObjectClass       : msDS-GroupManagedServiceAccount
ObjectGUID        : cf9df74a-38e0-4d7a-856e-9af882b08800
SamAccountName    : mSQL$
SID               : S-1-5-21-3443997112-87545443-1733229669-1602
UserPrincipalName :

Sur l'un des hôtes répertoriés dans SQLManagedHosts, j'ai exécuté:

PS C:\Windows\system32> Install-ADServiceAccount msql
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount msql
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (mSQL:String) [Install-ADServiceAccount], ADException
    + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAcccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount

Des idées pour lesquelles cela pourrait échouer? Tous les serveurs impliqués sont Windows Server 2012 R2.


5
2018-06-06 15:09


origine




Réponses:


Vous ne pouvez pas utiliser gMSA pour des services SQL, ce n'est pas pris en charge. Vous devez plutôt utiliser MSA.

La source: http://blogs.msdn.com/b/sqlosteam/archive/2014/02/19/msa-accounts-used-with-sql.aspx


1
2018-06-06 17:11



Oui, je le sais, mais j'aimerais essayer différents services. Des idées pourquoi il n'installe pas? - Mark Allison
Je vois. Désolé, je ne peux pas t'aider. - Daniel
J'ai aussi essayé avec l'interface SQLWmi avec Powershell en utilisant le SetServiceAccount() méthode mais j'ai eu cette erreur: Exception calling "SetServiceAccount" with "2" argument(s): "Set service account failed. " - Mark Allison


Je ne suis pas sûr de savoir pourquoi cela pourrait échouer, mais lorsque je bousculais les gMSA et SQL, j'utilisais cette interface graphique et tout fonctionnait bien.

GMSA GUI


0
2018-06-10 06:13





Si vous avez récemment créé le groupe de sécurité SQLManagedHosts et y avez ajouté vos objets ordinateur, vous devrez redémarrer le serveur pour que l'appartenance au groupe prenne effet. Étant donné que le serveur n'est pas membre du groupe de sécurité, le récupération du mot de passe géré échouera.

Gardez cela à l'esprit lors de la planification des groupes de sécurité pour les MSA de groupe.


0
2018-03-30 09:35





Je viens maintenant d’afficher un article ancien, mais j’ai pensé que je le mentionnerais toujours. Regarde cette video. https://www.youtube.com/watch?v=9TcSCAVcIYE 

Je pense que vous avez peut-être manqué certaines étapes. J'espère que ça aide.


-2
2018-05-23 15:19