Csoportosan felügyelt szolgáltatásfiókok – áttekintés
Érvényes: Windows Server 2012 R2, Windows Server 2012
Ez az informatikai szakembereknek szóló témakör a csoportosan felügyelt szolgáltatásfiókokat, azok gyakorlati alkalmazásait, Microsoft-környezetben történő megvalósításukat, hardver- és szoftverkövetelményeiket, valamint a Windows Server 2012 további forrásanyagait ismerteti.
Hasonló témakörök:
A szolgáltatás leírása
Az önállóan felügyelt szolgáltatásfiókok, amelyek először a Windows Server 2008 R2-ben és a Windows 7-ben jelentek meg, olyan felügyelt tartományfiókok, amelyek automatikus jelszókezelést és egyszerűsített SPN-kezelést biztosítanak, beleértve a felügyelet delegálását más rendszergazdák számára.
A csoportosan felügyelt szolgáltatásfiókok ugyanezeket a funkciókat biztosítják a tartományon belül, de azokat több kiszolgálóra is kiterjesztik. Amikor egy kiszolgálófarmon, például a Hálózati terheléselosztás által üzemeltetett kiszolgálóhoz csatlakozik, a kölcsönös hitelesítést támogató hitelesítési protokollok működéséhez minden szolgáltatáspéldánynak ugyanazt az egyszerű szolgáltatásnevet kell használnia. Ha egy csoportosan felügyelt szolgáltatásfiókot használ szolgáltatásnévként, a Windows operációs rendszer kezeli a fiók jelszavát ahelyett, hogy a rendszergazda felügyelné azt.
A Microsoft kulcsszolgáltató szolgáltatás (kdssvc.dll) biztosítja azt a mechanizmust, amely szükséges a legutóbbi kulcs vagy egy adott kulcs biztonságos megszerzéséhez egy Active Directory-fiók kulcsazonosítójával. A szolgáltatás a Windows Server 2012 rendszerben újonnan lett bevezetve, és a Windows Server operációs rendszer korábbi verzióin nem futtatható. A kulcsszolgáltató szolgáltatás megoszt valamilyen titkos adatot, amely segítségével a rendszer kulcsokat hoz létre a fiókhoz. Ezek a kulcsok rendszeresen megváltoznak. Csoportosan felügyelt szolgáltatásfiókoknál a Windows Server 2012 tartományvezérlő adja meg a kulcsszolgáltató szolgáltatás által biztosított kulcs jelszavát is a csoportosan felügyelt szolgáltatásfiók egyéb attribútumai mellett. A Windows Server 2012 és Windows 8 tagállomások úgy kérhetik le a jelenlegi és korábbi jelszóértékeket, ha kapcsolatba lépnek egy Windows Server 2012 tartományvezérlővel.
Gyakorlati alkalmazásmódok
A csoportosan felügyelt szolgáltatásfiókok egyidentitásos megoldást biztosítanak a kiszolgálófarmon futó szolgáltatásokhoz vagy a Hálózati terheléselosztáshoz tartozó rendszerekhez. A csoportosan felügyelt szolgáltatásfiókokon (csoportos MSA-kon) alapuló megoldással szolgáltatások konfigurálhatók az új csoportos MSA egyszerű szolgáltatásnévhez, és a jelszófelügyeletet a Windows végzi el.
Ha csoportosan felügyelt szolgáltatásfiókokat használnak, a szolgáltatásoknak vagy szolgáltatás-rendszergazdáknak nem kell maguknak szinkronizálniuk a jelszavakat a szolgáltatáspéldányok között. A csoportosan felügyelt szolgáltatásfiókok támogatják azokat az állomásokat, amelyek hosszú időn keresztül offline vannak, és képesek kezelni egy szolgáltatás minden példányának a tagállomásait. Ez azt jelenti, hogy üzembe helyezhet egy egyetlen identitást támogató kiszolgálófarmot, amelynél az ügyfélszámítógépek anélkül hitelesíttethetik magukat, hogy tudnák, melyik szolgáltatáspéldányhoz csatlakoznak.
A feladatátvevő fürtök nem támogatják a csoportosan felügyelt szolgáltatásfiókokat. A fürtszolgáltatás fölött futó szolgáltatások azonban használhatnak csoportosan felügyelt szolgáltatásfiókot vagy önállóan felügyelt szolgáltatásfiókot, ha Windows-szolgáltatásról, alkalmazáskészletről, ütemezett feladatról van szó, vagy ha natívan támogatják a csoportosan vagy önállóan felügyelt szolgáltatásfiókot.
Új és módosított funkciók
A következő táblázat az MSA-szolgáltatás változásait ismerteti.
Szolgáltatás/funkció |
Windows Server 2008 R2 |
Windows Server 2012 |
---|---|---|
Virtuális számítógépfiókok |
X |
X |
Felügyelt szolgáltatásfiókok |
X |
X |
Csoportosan felügyelt szolgáltatásfiókok |
X |
|
Windows PowerShell-parancsmagok |
X |
X |
Az MSA funkcióinak változásaira vonatkozó információ: A felügyelt szolgáltatásfiókok újdonságai.
Elavult funkciók
A Windows Server 2012 esetén a Windows PowerShell-parancsmagok alapértelmezés szerint a csoportosan felügyelt szolgáltatásfiókokat felügyelik az eredeti, önálló felügyelt szolgáltatásfiókok helyett.
Szoftverkövetelmények
A felügyelt szolgáltatásfiókok (és a virtuális számítógépfiókok) követelményei Windows Server 2008 R2 és Windows Server 2012 rendszerre egyaránt vonatkoznak. A csoportosan felügyelt szolgáltatásfiókok csak Windows Server 2012 rendszert futtató számítógépeken konfigurálhatók és felügyelhetők, azonban egyszolgáltatásos identitáskezelési megoldásként olyan tartományokban is üzembe helyezhetők, amelyekben még találhatók a Windows Server 2012 verziónál korábbi operációs rendszereket futtató tartományvezérlők. A használatukra nem vonatkoznak tartományi vagy az erdő működési szintjére vonatkozó követelmények.
A csoportosan felügyelt szolgáltatásfiókok ellenőrzésére szolgáló Windows PowerShell-parancsok futtatásához 64 bites architektúrára van szükség.
A felügyelt szolgáltatásfiókok csak Kerberos által támogatott titkosítással működnek. Ha egy ügyfélszámítógép Kerberos segítségével végez hitelesítést egy kiszolgálón, a tartományvezérlő létrehoz egy olyan titkosítással védett Kerberos-szolgáltatásjegyet, amelyet a tartományvezérlő és a kiszolgáló is támogat. A tartományvezérlő a fiók msDS-SupportedEncryptionTypes attribútuma alapján határozza meg, hogy a kiszolgáló milyen titkosítást támogat, és ha nincs megadva az attribútum, akkor feltételezi, hogy az ügyfélszámítógép nem támogat erősebb titkosítási típusokat. Ha a Windows Server 2012 állomás úgy van beállítva, hogy ne támogassa az RC4-et, akkor a hitelesítés mindig sikertelen lesz. Ezért az AES-t mindig külön konfigurálni kell az MSA-hoz.
Megjegyzés
A Windows Server 2008 R2 verziótól kezdődően a DES alapértelmezés szerint le van tiltva. További információk a támogatott titkosítási típusokról: A Kerberos-titkosítás változásai.
A csoportosan felügyelt szolgáltatásfiókok a Windows Server 2012 verzió előtti Windows operációs rendszereken nem használhatók.
A Kiszolgálókezelő adatai
Nincsen szükség további konfigurációs lépésekre, ha az MSA-t vagy csoportos MSA-t a Kiszolgálókezelővel vagy az Install-WindowsFeature parancsmaggal valósítja meg.
Lásd még:
A következő táblázat további, a felügyelt szolgáltatásfiókok és csoportosan felügyelt szolgáltatásfiókok további forrásanyagaira mutató hivatkozásokat tartalmaz.
Tartalom típusa |
Hivatkozások |
---|---|
Termékértékelés |
A felügyelt szolgáltatásfiókok újdonságai Felügyelt szolgáltatásfiókok dokumentációja a Windows 7 és Windows Server 2008 R2 rendszerhez |
Tervezés |
Még nem érhető el |
Telepítés |
Még nem érhető el |
Műveletek |
|
Hibaelhárítás |
Még nem érhető el |
Értékelés |
|
Eszközök és beállítások |
Felügyelt szolgáltatásfiókok az Active Directory tartományi szolgáltatásokban |
Közösségi források |
Felügyelt szolgáltatásfiókok: Megismerés, megvalósítás, ajánlott eljárások és hibaelhárítás |
Kapcsolódó technológiák |