Quantcast
Channel: server – Andy's Blog
Viewing all articles
Browse latest Browse all 345

Windows: Group Managed Service Account für Dienste konfigurieren

March 11, 2018, 9:03 am
$
0
0

Wenn man so möchte als Ergänzungsbeitrag zu MS SQL Server 2014 Express auf einem Domänencontroller installieren folgt nun eine Kurzanleitung, wie man unter Windows Server 2012 R2 ein Group Managed Service Account (gMSA) für Dienste einrichtet.

Als Beispiel dient ein Microsoft SQL Server 2014 Express, der für SFIRM V4 verwendet werden soll und auf einem Domänencontroller installiert ist, bei dem nachträglich vom Systemkonto auf ein gMSA gewechselt werden soll.

Alle nachfolgenden Befehle werden auf dem Server in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten ausgeführt.

KdsRootKey anlegen

Zunächst prüfen, ob es bereits einen Key Distribution Services Root Key (KdsRootKey) existiert:

Get-KdsRootKey

Falls nicht, diesen Anlegen:

Add-KdsRootKey –EffectiveImmediately

In der Vorgabe muss man allerdings 10 Stunden warten, bevor man weiter arbeiten kann. Hintergrund ist, sofern vorhanden, das die Replikation zwischen allen Domänencontrollern abgewartet werden muss. Umgehen kann man dies mit diesem Befehl:

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))

Dadurch wird der Schlüssel zehn Stunden in der Vergangenheit angelegt. Bei einem einzelnen oder wenigen Domänencontroller(n) geht das in Ordnung.

gMSA erstellen

New-ADServiceAccount <Kontoname> -DNSHostName <FQDN-des-Servers-auf-dem-der-Dienst-läuft> -PrincipalsAllowedToRetrieveManagedPassword "Gruppe"

Beispiel:

New-ADServiceAccount SFIRMV4 -DNSHostName testdc01.testdom01.local -PrincipalsAllowedToRetrieveManagedPassword "Domänencontroller"

Per Vorgabe werden gMSA im Active Directory unter „Managed Service Accounts“ angelegt. Dort sollte man nun das Konto sehen können:

Dienstkonto dem Server zuweisen

Install-AdServiceAccount <Kontoname>

gMSA prüfen

Test-AdServiceAccount <Kontoname>

Dienstkonto des SQL Servers ändern

  • Den „SQL-Server-Konfigurationsmanager“ starten.
  • Zu „SQL-Server-Dienste“ wechseln.
  • Die betreffende Instanz doppelt anklicken.
  • Auf der Registerkarte „Anmelden“ „Dieses Konto:“ und „Durchsuchen“ anklicken.
  • Auf „Objekttypen“ klicken, alles abwählen und „Dienstkonten“ aktivieren.
  • Entweder den Kontoname eingeben oder auf „Erweitert“ klicken und das Konto auswählen.
  • Auf „OK“ klicken.

Damit die Änderung übernommen wird, muss der Dienst neu gestartet werden. Dies als auch weitere notwendige Anpassungen (Registry, Rechte im Dateisystem, …), übernimmt der Konfigurationsassistent von selbst.

Quellen:

MS Docs – Create the Key Distribution Services KDS Root Key

MS Docs – Getting Started with Group Managed Service Accounts

Wydler – Group Managed Service Accounts

Active Direcotry FAQ – Group Managed Service Accounts


Ähnliche Artikel:

  1. MS SQL Server 2014 Express auf einem Domänencontroller installieren
  2. Windows: Nach Neustart bei Netzwerkkategorie kein Domänennetzwerk mehr
  3. Die WSUS-Rolle lässt sich unter Windows Server 2012 R2 nicht erfolgreich installieren
  4. Windows: MDaemon Messaging Server – 403 ActiveSync is not enabled for this user account
  5. Windows-Dienste reparieren
Search
Viewing all articles
Browse latest Browse all 345
Search