ИТ-архитектура от А до Я: Комплексное решение. Первое издание - стр. 38

•New-ADServiceAccount —name gMSA_SCOM_SQL_DB —DNSHostName ADDS-PDC-DC01.mycompany. local —PrincipalsAllowedToRetriewManagedPassword «gMSA_SCOM_SQL_DB_Group»

Где: gMSA_SCOM_SQL_DB – имя сервисной учетной записи, ADDS-PDC-DC01.MyCompany. local – имя DNS хоста, gMSA_SCOM_SQL_DB_Group – группа в активном каталоге куда входят все системы, которые будут использовать эту групповую управляемую служебную запись.

Проверяем через оснастку Active Directory Users & Computers что в контейнере Managed Service Accounts появилась запись.

Устанавливаем учетную запись gMSA на сервер

Следующий шаг установка учетной записи gMSA на сервер, где будет использоваться. Порядок выполнения: Проверяем, что сервер (SQL-PDC-DB01) входит в состав группы gMSA_SCOM_SQL_DB_Group. Входим на сервер (для примера SQL-PDC-DB01 с учетной записью MyCompany\Administrator и запускаем оснастку PowerShell. Запускаем команду: Install-ADServiceAccount —Identity gMSA_SCOM_SQL_DB

(Если нет модуля, то необходимо добавить Features -> RAST -> AD DS Tools -> AD module for PowerShell). Проверка: Test-ADServiceAccount gMSA_SCOM_SQL_DB

Если возвращает TRUE значит все в порядке.

Далее на сервере SQL-PDC-DB01 в настройках запуска службы (Logon) указываем имя учетной записи (с добавлением символа $ в конце обязательно). Пароль указывать нет необходимости. Сервисная учетная получает права «Log on As a Service» автоматически. Перезапускаем сервис.

Проверка и создание записи SPN (Service Provider Name) сервиса

Для примера для SQL сервера необходимо создавать запись для возможности сетевой проверки. Проверка возможна через протоколы: NTLM и Kerberos. Второй предпочтительно. SQL сервер поддерживает Kerberos для следующих протоколов:

•TCP/IP (рекомендуемый)

•Shared Pipes (рекомендуется отключить)

•Shared Memory (рекомендуется отключить)

•SQL сервер поддерживает Kerberos через Windows Security Support Provider (SSPI).

Порядок регистрации SPN записи возможен через несколько вариантов:

•Утилита SetSPN. exe.

Синтаксис: SetSPN —A  .

Пример: SetSPN —A MSSQLSvc/SRV.domain. local: 1433 domain\ServiceAccount

•SetSPN —A MSSQLSvc/SRV.domain. local: Inst1 domain\ServiceAccount

На один экземпляр нужно иметь две записи с портом и именем экземпляра. Для кластера: регистрация для каждой «ноды» и общего имени. Для «Always On»: регистрация для каждого «инстанса» на нодах плюс прослушиватель (listener). Для проверки дублированных записей используется ключ —S.

•Консоль ASDI

•Добавление в атрибут «ServicePrincipalName»

•Утилита KerberosConfigMgr. exe

•Добавление значения и учетной записи

Создание объектов в Активном Каталоге

Структура активного каталога как правило повторяет организационную структуру организации. Также желательно создать организационные единицы для групп, сервисов и пользователей.

Создание контейнера «Организационной Единицы» возможен через несколько вариантов:

•Оснастка Active Directory Users & Computers на контролере;

•Через RSAT на Выделенной Рабочей Станции Управления»;

•Оснастка PowerShell;

Структура активного каталога представлена на диаграмме. Структура может отличатся от компании к компании, но в общем случае содержит в себе встроенный объект домен и контроллеры домена. Помимо этого, объекты сгруппированы по назначению: ИТ сервисы, компьютеры, группы и пользователи. Прочие встроенные объекты, такие, например, как Сервисные учетные записи, не указаны так как остаются неизменны. Детализация указанных организационных единиц представлена на диаграмме ниже.