Вадим Алджанов

ИТ-архитектура от А до Я: Комплексное решение. Первое издание


Скачать книгу

Запускаем команду:

      •New-ADServiceAccount —name gMSA_SCOM_SQL_DB —DNSHostName ADDS-PDC-DC01.mycompany. local —PrincipalsAllowedToRetriewManagedPassword «gMSA_SCOM_SQL_DB_Group»

      Где: gMSA_SCOM_SQL_DB – имя сервисной учетной записи, ADDS-PDC-DC01.MyCompany. local – имя DNS хоста, gMSA_SCOM_SQL_DB_Group – группа в активном каталоге куда входят все системы, которые будут использовать эту групповую управляемую служебную запись.

      Проверяем через оснастку Active Directory Users & Computers что в контейнере Managed Service Accounts появилась запись.

      Устанавливаем учетную запись gMSA на сервер

      Следующий шаг установка учетной записи gMSA на сервер, где будет использоваться. Порядок выполнения: Проверяем, что сервер (SQL-PDC-DB01) входит в состав группы gMSA_SCOM_SQL_DB_Group. Входим на сервер (для примера SQL-PDC-DB01 с учетной записью MyCompany\Administrator и запускаем оснастку PowerShell. Запускаем команду: Install-ADServiceAccount —Identity gMSA_SCOM_SQL_DB

      (Если нет модуля, то необходимо добавить Features -> RAST -> AD DS Tools -> AD module for PowerShell). Проверка: Test-ADServiceAccount gMSA_SCOM_SQL_DB

      Если возвращает TRUE значит все в порядке.

      Далее на сервере SQL-PDC-DB01 в настройках запуска службы (Logon) указываем имя учетной записи (с добавлением символа $ в конце обязательно). Пароль указывать нет необходимости. Сервисная учетная получает права «Log on As a Service» автоматически. Перезапускаем сервис.

      Проверка и создание записи SPN (Service Provider Name) сервиса

      Для примера для SQL сервера необходимо создавать запись для возможности сетевой проверки. Проверка возможна через протоколы: NTLM и Kerberos. Второй предпочтительно. SQL сервер поддерживает Kerberos для следующих протоколов:

      •TCP/IP (рекомендуемый)

      •Shared Pipes (рекомендуется отключить)

      •Shared Memory (рекомендуется отключить)

      •SQL сервер поддерживает Kerberos через Windows Security Support Provider (SSPI).

      Порядок регистрации SPN записи возможен через несколько вариантов:

      •Утилита SetSPN. exe.

      Синтаксис: SetSPN —A <spn> <Account>.

      Пример: SetSPN —A MSSQLSvc/SRV.domain. local: 1433 domain\ServiceAccount

      •SetSPN —A MSSQLSvc/SRV.domain. local: Inst1 domain\ServiceAccount

      На один экземпляр нужно иметь две записи с портом и именем экземпляра. Для кластера: регистрация для каждой «ноды» и общего имени. Для «Always On»: регистрация для каждого «инстанса» на нодах плюс прослушиватель (listener). Для проверки дублированных записей используется ключ —S.

      •Консоль ASDI

      •Добавление в атрибут «ServicePrincipalName»

      •Утилита KerberosConfigMgr. exe

      •Добавление значения и учетной записи

      Создание объектов в Активном Каталоге

      Структура активного каталога как правило повторяет организационную структуру организации. Также желательно создать организационные единицы для групп, сервисов и пользователей.

      Создание контейнера «Организационной Единицы» возможен через несколько вариантов:

      •Оснастка Active Directory Users & Computers на контролере;

      •Через RSAT на Выделенной Рабочей Станции Управления»;

      •Оснастка PowerShell;

      Структура активного каталога представлена на диаграмме. Структура может отличатся от компании к компании, но в общем случае содержит в себе встроенный объект домен и контроллеры домена. Помимо этого, объекты сгруппированы по назначению: ИТ сервисы, компьютеры, группы и пользователи. Прочие встроенные объекты, такие, например, как Сервисные