Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk az informatikai szakemberek számára ismerteti a csoportos felügyelt szolgáltatásfiókot (gMSA), amely ismerteti a gyakorlati alkalmazásokat, a Microsoft implementációjának változásait, valamint a hardver- és szoftverkövetelményeket.
Szolgáltatás leírása
Az önálló felügyelt szolgáltatásfiók (sMSA) egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnevet (SPN) biztosít, és lehetővé teszi a felügyelet más rendszergazdák számára történő delegálását. A tartományi rendszergazdák szolgáltatásfelügyeletet delegálhatnak a szolgáltatásgazdáknak, akik felügyelhetik a felügyelt szolgáltatásfiók vagy a csoport felügyelt szolgáltatásfiókjának teljes életciklusát. A meglévő ügyfélszámítógépek bármilyen ilyen szolgáltatásban hitelesíthetők anélkül, hogy tudnák, melyik szolgáltatáspéldányra hitelesítik őket. Ez a felügyelt szolgáltatásfiók (MSA) a Windows Server 2008 R2 és a Windows 7 rendszerben lett bevezetve.
A csoport által felügyelt szolgáltatásfiók (gMSA) ugyanazokat a funkciókat biztosítja a tartományban, és ezt a funkciót több kiszolgálón is kiterjeszti. Ez minimálisra csökkenti a szolgáltatásfiókok rendszergazdai többletterhelését azáltal, hogy lehetővé teszi a Windows számára, hogy kezelje ezeknek a fiókoknak a jelszókezelését. Amikor egy kiszolgálófarmon üzemeltetett szolgáltatáshoz csatlakozik, például hálózati terheléselosztási megoldáshoz, a kölcsönös hitelesítést támogatni képes hitelesítési protokollok megkövetelik, hogy a szolgáltatások minden példánya ugyanazt az azonosítót használja. Ha szolgáltatásnévként gMSA-t használ, a Windows operációs rendszer kezeli a fiók jelszavát ahelyett, hogy a rendszergazdara támaszkodik a jelszó kezelésére.
A Microsoft Key Distribution Service (kdssvc.dll) segítségével biztonságosan beszerezheti a legújabb kulcsot vagy egy adott kulcsot egy Active Directory-fiók kulcsazonosítójával. A kulcsterjesztési szolgáltatás egy titkos kulcsot oszt meg, amellyel kulcsokat hozhat létre a fiókhoz. Ezek a kulcsok rendszeresen változnak. GMSA esetén a tartományvezérlő a kulcsterjesztési szolgáltatások által biztosított kulcson számítja ki a jelszót a gMSA egyéb attribútumaival együtt. A tagszerverek egy tartományvezérlővel kapcsolatba lépve szerezhetik be az aktuális és az előző jelszavakat.
Gyakorlati alkalmazások
A gMSA-k egyetlen identitásmegoldást biztosítanak a kiszolgálófarmon vagy a Hálózati terheléselosztó mögötti rendszereken futó szolgáltatásokhoz. GMSA-megoldás biztosításával konfigurálhatja az új gMSA-főkiszolgáló szolgáltatásait, miközben a Windows kezeli a jelszókezelést.
Ha a szolgáltatások vagy a szolgáltatásgazdák gMSA-t használnak, nem kell kezelniük a szolgáltatáspéldányok közötti jelszó-szinkronizálást. A gMSA támogatja a hosszabb ideig hálózati kapcsolat nélkül tartott gazdagépeket, és kezeli a szolgáltatás összes példányának tag gazdagépeit. Olyan kiszolgálófarmot helyezhet üzembe, amely egyetlen identitást támogat, amelyet a meglévő ügyfélszámítógépek hitelesíthetnek anélkül, hogy tudniuk kellene, hogy melyik szolgáltatáspéldányhoz csatlakoznak.
Bár a feladatátvevő fürtök nem támogatják a gMSA-kat, azok a szolgáltatások, amelyek a fürtszolgáltatás részeként működnek, gMSA-t vagy sMSA-t használhatnak, ha Windows-szolgáltatásokról, alkalmazáskészletekről, ütemezett feladatokról van szó, vagy ha natív módon támogatják a gMSA-t vagy az sMSA-t.
Szoftverkövetelmények
A GMSA-k felügyeletéhez szükséges Windows PowerShell-parancsok futtatásához 64 bites architektúrával kell rendelkeznie.
A felügyelt szolgáltatásfiókok a Kerberos által támogatott titkosítási típusoktól függnek. Amikor egy ügyfélszámítógép a Kerberos használatával hitelesít egy kiszolgálót, a tartományvezérlő létrehoz egy, a tartományvezérlő és a kiszolgáló által támogatott titkosítással védett Kerberos-szolgáltatásjegyet. A tartományvezérlő a fiók msDS-SupportedEncryptionTypes attribútumával határozza meg, hogy a kiszolgáló milyen titkosítást támogat. Ha nincs attribútum, a tartományvezérlő úgy kezeli az ügyfélszámítógépet, hogy az nem támogatja az erősebb titkosítási típusokat. Ha úgy konfigurálta a szervert, hogy ne támogassa az RC4-et, akkor a hitelesítés mindig meghiúsul. Ezért mindig konfigurálnia kell az AES-t az MSA-khoz.
Note
A Windows Server 2008 R2-ről a DES alapértelmezés szerint le van tiltva. A támogatott titkosítási típusokról további információt A Kerberos-hitelesítés változásaicímű témakörben talál.
Note
A gMSA-k nem alkalmazhatók a Windows Server 2012-nél korábbi Windows operációs rendszerekre. Windows Server 2012 esetén a Windows PowerShell-parancsmagok alapértelmezés szerint a gMSA-kat kezelik a kiszolgáló által felügyelt szolgáltatásfiókok helyett.
A Kiszolgálókezelő adatai
Az MSA és a gMSA Kiszolgálókezelővel vagy a Install-WindowsFeature parancsmaggal történő implementálásához nincs szükség további konfigurációra.
Következő lépések
A felügyelt szolgáltatásfiókokkal kapcsolatos további információkért olvassa el az alábbi forrásanyagokat:
- Kezelt szolgáltatásfiókok dokumentációja Windows 7 és Windows Server 2008 R2
- Szolgáltatási fiókok lépésről lépésre útmutató
- Csoport által felügyelt szolgáltatásfiókok kezelése
- Kezelt Szolgáltatásfiókok az Active Directory Domain Services
- Felügyelt szolgáltatásfiókok: Megértés, Implementálás, Ajánlott eljárások és Hibaelhárítás
- Active Directory Domain Services áttekintése