Mulai menggunakan Akun Layanan Terkelola Grup
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Panduan ini menyediakan instruksi langkah demi langkah dan informasi latar belakang untuk mengaktifkan dan menggunakan Akun Layanan Terkelola grup di Windows Server 2012 .
Dalam dokumen ini
Catatan
Topik ini mencakup contoh cmdlet Windows PowerShell yang dapat Anda gunakan untuk mengotomatiskan beberapa prosedur yang dijelaskan. Untuk informasi selengkapnya, lihat Menggunakan Cmdlet.
Prasyarat
Lihat bagian dalam topik ini tentang Persyaratan untuk Akun Layanan Terkelola grup.
Pendahuluan
Ketika komputer klien terhubung ke layanan yang dihosting di farm server menggunakan penyeimbangan beban jaringan (NLB) atau beberapa metode lain di mana semua server tampaknya merupakan layanan yang sama kepada klien, maka protokol autentikasi yang mendukung autentikasi bersama seperti Kerberos tidak dapat digunakan kecuali semua instans layanan menggunakan prinsipal yang sama. Ini berarti bahwa setiap layanan harus menggunakan kata sandi/kunci yang sama untuk membuktikan identitas mereka.
Catatan
Kluster failover tidak mendukung gMSA. Namun, layanan yang berjalan di atas layanan Kluster dapat menggunakan gMSA atau sMSA jika mereka adalah layanan Windows, kumpulan Aplikasi, tugas terjadwal, atau secara asli mendukung gMSA atau sMSA.
Layanan memiliki prinsipal berikut untuk dipilih, dan masing-masing memiliki batasan tertentu.
| Principals | Layanan yang didukung | Manajemen kata sandi |
|---|---|---|
| Akun Komputer sistem Windows | Terbatas pada satu server yang bergabung dengan domain | Komputer mengelola |
| Akun Komputer tanpa sistem Windows | Server yang bergabung dengan domain apa pun | Tidak ada |
| Akun Virtual | Terbatas pada satu server | Komputer mengelola |
| Akun Layanan Terkelola mandiri Windows 7 | Terbatas pada satu server yang bergabung dengan domain | Komputer mengelola |
| Akun pengguna | Server yang bergabung dengan domain apa pun | Tidak ada |
| Akun Layanan Terkelola Grup | Server yang bergabung dengan domain Windows Server 2012 apa pun | Pengendali domain mengelola, dan host mengambil |
Akun komputer Windows, Akun Layanan Terkelola mandiri Windows 7 (sMSA), atau akun virtual tidak dapat dibagikan di beberapa sistem. Dalam kasus akun virtual, identitas juga lokal ke komputer dan tidak dikenali oleh domain. Jika Anda mengonfigurasi satu akun untuk layanan di farm server untuk dibagikan, Anda harus memilih akun pengguna atau akun komputer selain dari sistem Windows. Bagaimanapun, akun-akun ini tidak memiliki kemampuan manajemen kata sandi satu titik kontrol. Ini menciptakan masalah di mana setiap organisasi perlu membuat solusi mahal untuk memperbarui kunci untuk layanan di Direktori Aktif lalu mendistribusikan kunci ke semua instans layanan tersebut.
Dengan Windows Server 2012, administrator layanan atau layanan tidak perlu mengelola sinkronisasi kata sandi antara instans layanan saat menggunakan Akun Layanan Terkelola grup (gMSA). Anda menyediakan gMSA di AD lalu mengonfigurasi layanan yang mendukung Akun Layanan Terkelola. Penggunaan gMSA dilingkupkan ke komputer apa pun yang dapat menggunakan LDAP untuk mengambil kredensial gMSA. Anda dapat menyediakan gMSA menggunakan cmdlet *-ADServiceAccount yang merupakan bagian dari modul Direktori Aktif. Konfigurasi identitas layanan pada host didukung oleh:
API yang sama dengan sMSA, sehingga produk yang mendukung sMSA akan mendukung gMSA
Layanan yang menggunakan Service Control Manager untuk mengonfigurasi identitas masuk
Layanan yang menggunakan manajer IIS untuk kumpulan aplikasi untuk mengonfigurasi identitas
Tugas menggunakan Penjadwal Tugas.
Persyaratan untuk Akun Layanan Terkelola grup
Tabel berikut mencantumkan persyaratan sistem operasi agar autentikasi Kerberos berfungsi dengan layanan menggunakan gMSA. Persyaratan Direktori Aktif tercantum setelah tabel.
Arsitektur 64-bit diperlukan untuk menjalankan perintah Windows PowerShell yang digunakan untuk mengelola akun Layanan Terkelola grup.
Persyaratan sistem operasi
| Elemen | Persyaratan | Sistem operasi |
|---|---|---|
| Host Aplikasi Klien | Klien Kerberos yang mematuhi RFC | Setidaknya Windows XP |
| DC domain akun pengguna | KDC yang mematuhi RFC | Setidaknya Windows Server 2003 |
| Host anggota layanan bersama | Windows Server 2012 | |
| DC domain host anggota | KDC yang mematuhi RFC | Setidaknya Windows Server 2003 |
| DC domain akun gMSA | DC Windows Server 2012 tersedia bagi host untuk mengambil kata sandi | Domain dengan Windows Server 2012 yang dapat memiliki beberapa sistem yang lebih lama dari Windows Server 2012 |
| Host layanan backend | Server aplikasi Kerberos yang sesuai dengan RFC | Setidaknya Windows Server 2003 |
| DC domain akun layanan backend | KDC yang mematuhi RFC | Setidaknya Windows Server 2003 |
| Windows PowerShell untuk Direktori Aktif | Windows PowerShell untuk Direktori Aktif diinstal secara lokal pada komputer yang mendukung arsitektur 64-bit atau di komputer manajemen jarak jauh Anda (misalnya, menggunakan Kotak Alat Administrasi Server Jarak Jauh) | Windows Server 2012 |
Persyaratan Layanan Domain Direktori Aktif
Skema Direktori Aktif di forest domain gMSA perlu diperbarui ke Windows Server 2012 untuk membuat gMSA.
Anda dapat memperbarui skema dengan menginstal pengendali domain yang menjalankan Windows Server 2012 atau dengan menjalankan versi adprep.exe dari komputer yang menjalankan Windows Server 2012 . Nilai atribut versi objek untuk objek CN=Schema,CN=Configuration,DC=Contoso,DC=Com harus 52.
Akun gMSA baru disediakan
Jika Anda mengelola izin host layanan untuk menggunakan gMSA menurut grup, maka grup keamanan baru atau yang sudah ada
Jika mengelola kontrol akses layanan menurut grup, maka grup keamanan baru atau yang sudah ada
Jika kunci akar master pertama untuk Direktori Aktif tidak disebarkan di domain atau belum dibuat, buatlah. Hasil pembuatannya dapat diverifikasi dalam log Operasional KdsSvc, ID Peristiwa 4004.
Untuk petunjuk cara membuat kunci, lihat Membuat Kunci Akar KDS Layanan Distribusi Utama. Microsoft Key Distribution Service (kdssvc.dll) kunci akar untuk AD.
Lifecycle
Siklus hidup farm server menggunakan fitur gMSA biasanya melibatkan tugas-tugas berikut:
Menyebarkan farm server baru
Menambahkan host anggota ke farm server yang sudah ada
Menonaktifkan host anggota dari farm server yang ada
Menonaktifkan farm server yang ada
Menghapus host anggota yang disusupi dari farm server jika diperlukan.
Menyebarkan farm server baru
Saat menyebarkan farm server baru, administrator layanan perlu menentukan:
Jika layanan mendukung penggunaan gMSA
Jika layanan memerlukan koneksi terautentikasi masuk atau keluar
Nama akun komputer untuk host anggota untuk layanan menggunakan gMSA
Nama NetBIOS untuk layanan
Nama host DNS untuk layanan
Nama Perwakilan Layanan (SPN) untuk layanan
Interval perubahan kata sandi (defaultnya adalah 30 hari).
Langkah 1: Memprovisikan Akun Layanan Terkelola grup
Anda dapat membuat gMSA hanya jika skema forest telah diperbarui ke Windows Server 2012 , kunci akar master untuk Direktori Aktif telah disebarkan, dan setidaknya ada satu DC Windows Server 2012 di domain tempat gMSA akan dibuat.
Keanggotaan di Admin Domain atau kemampuan untuk membuat objek msDS-GroupManagedServiceAccount, adalah minimum yang diperlukan untuk menyelesaikan prosedur berikut.
Catatan
Nilai untuk parameter -Name selalu diperlukan (baik Anda menentukan -Name atau tidak), dengan -DNSHostName, -RestrictToSingleComputer, dan -RestrictToOutboundAuthentication menjadi persyaratan sekunder untuk tiga skenario penyebaran.
Untuk membuat gMSA menggunakan cmdlet New-ADServiceAccount
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk Windows PowerShell, ketik perintah berikut, lalu tekan ENTER. (Modul Direktori Aktif akan dimuat secara otomatis.)
String New-ADServiceAccount [-Name] <-DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]>
Parameter String Contoh Nama Nama akun ITFarm1 DNSHostName Nama host LAYANAN DNS ITFarm1.contoso.com KerberosEncryptionType Jenis enkripsi apa pun yang didukung oleh server host None, RC4, AES128, AES256 ManagedPasswordIntervalInDays Interval perubahan kata sandi dalam hari (defaultnya adalah 30 hari jika tidak disediakan) 90 PrincipalsAllowedToRetrieveManagedPassword Akun komputer host anggota atau grup keamanan tempat anggota menjadi anggota ITFarmHosts SamAccountName Nama NetBIOS untuk layanan jika tidak sama dengan Nama ITFarm1 ServicePrincipalNames Nama Perwakilan Layanan (SPN) untuk layanan http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso, MSSQLSvc/ITFarm1.contoso.com:1433, MSSQLSvc/ITFarm1.contoso.com:INST01 Penting
Interval perubahan kata sandi hanya dapat diatur selama pembuatan. Jika Anda perlu mengubah interval, Anda harus membuat gMSA baru dan mengaturnya pada waktu pembuatan.
Contoh
Masukkan perintah pada satu baris, meskipun mungkin muncul dibungkus kata di beberapa baris di sini karena batasan pemformatan.
New-ADServiceAccount ITFarm1 -DNSHostName ITFarm1.contoso.com -PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$ -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames http/ITFarm1.contoso.com/contoso.com, http/ITFarm1.contoso.com/contoso, http/ITFarm1/contoso.com, http/ITFarm1/contoso
Keanggotaan di Admin Domain, Operator Akun, atau kemampuan untuk membuat objek msDS-GroupManagedServiceAccount, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi terperinci tentang menggunakan akun dan keanggotaan grup yang sesuai, lihat Grup Default Lokal dan Domain.
Untuk membuat gMSA untuk autentikasi keluar hanya menggunakan cmdlet New-ADServiceAccount
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
String New-ADServiceAccount [-Name]><-RestrictToOutboundAuthenticationOnly [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>]
Parameter String Contoh Nama Beri nama akun ITFarm1 ManagedPasswordIntervalInDays Interval perubahan kata sandi dalam hari (defaultnya adalah 30 hari jika tidak disediakan) 75 PrincipalsAllowedToRetrieveManagedPassword Akun komputer host anggota atau grup keamanan tempat anggota menjadi anggota ITFarmHosts Penting
Interval perubahan kata sandi hanya dapat diatur selama pembuatan. Jika Anda perlu mengubah interval, Anda harus membuat gMSA baru dan mengaturnya pada waktu pembuatan.
Contoh
New-ADServiceAccount ITFarm1 -RestrictToOutboundAuthenticationOnly - PrincipalsAllowedToRetrieveManagedPassword ITFarmHosts$
Langkah 2: Mengonfigurasi layanan aplikasi identitas layanan
Untuk mengonfigurasi layanan di Windows Server 2012 , lihat dokumentasi fitur berikut:
Kumpulan aplikasi IIS
Untuk informasi selengkapnya, lihat Menentukan Identitas untuk Kumpulan Aplikasi (IIS 7).
Layanan Windows
Untuk informasi selengkapnya, lihat Layanan.
Tugas
Untuk informasi selengkapnya, lihat Ringkasan Penjadwal Tugas.
Layanan lain dapat mendukung gMSA. Lihat dokumentasi produk yang sesuai untuk detail tentang cara mengonfigurasi layanan tersebut.
Menambahkan host anggota ke farm server yang sudah ada
Jika menggunakan grup keamanan untuk mengelola host anggota, tambahkan akun komputer untuk host anggota baru ke grup keamanan (bahwa host anggota gMSA adalah anggota) menggunakan salah satu metode berikut.
Keanggotaan di Admin Domain, atau kemampuan untuk menambahkan anggota ke objek grup keamanan, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Metode 1: Pengguna dan Komputer Direktori Aktif
Untuk prosedur cara menggunakan metode ini, lihat Menambahkan akun komputer ke grup menggunakan antarmuka Windows, dan Mengelola Domain Berbeda di Pusat Administratif Direktori Aktif.
Metode 2: dsmod
Untuk prosedur cara menggunakan metode ini, lihat Menambahkan akun komputer ke grup menggunakan baris perintah.
Metode 3: Cmdlet Direktori Aktif Windows PowerShell Add-ADPrincipalGroupMembership
Untuk prosedur cara menggunakan metode ini, lihat Add-ADPrincipalGroupMembership.
Jika menggunakan akun komputer, temukan akun yang sudah ada lalu tambahkan akun komputer baru.
Keanggotaan di Admin Domain, Operator Akun, atau kemampuan untuk mengelola objek msDS-GroupManagedServiceAccount, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi terperinci tentang menggunakan akun dan keanggotaan grup yang sesuai, lihat Grup Default Lokal dan Domain.
Untuk menambahkan host anggota menggunakan cmdlet Set-ADServiceAccount
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
String Get-ADServiceAccount [-Identity] <> -Properties PrincipalsAllowedToRetrieveManagedPassword
Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
String Set-ADServiceAccount [-Identity] <> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
| Parameter | String | Contoh |
|---|---|---|
| Nama | Beri nama akun | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | Akun komputer host anggota atau grup keamanan tempat anggota menjadi anggota | Host1, Host2, Host3 |
Contoh
Misalnya, untuk menambahkan host anggota ketik perintah berikut, lalu tekan ENTER.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host2$,Host3$
Memperbarui properti Akun Layanan Terkelola grup
Keanggotaan di Admin Domain, Operator Akun, atau kemampuan untuk menulis ke objek msDS-GroupManagedServiceAccount, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Buka Modul Direktori Aktif untuk Windows PowerShell, dan atur properti apa pun dengan menggunakan cmdlet Set-ADServiceAccount.
Untuk informasi terperinci cara mengatur properti ini, lihat Set-ADServiceAccount di Pustaka TechNet atau dengan mengetik Get-Help Set-ADServiceAccount di modul Direktori Aktif untuk perintah Windows PowerShell dan menekan ENTER.
Menonaktifkan host anggota dari farm server yang ada
Keanggotaan di Admin Domain, atau kemampuan untuk menghapus anggota dari objek grup keamanan, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Langkah 1: Hapus host anggota dari gMSA
Jika menggunakan grup keamanan untuk mengelola host anggota, hapus akun komputer untuk host anggota yang dinonaktifkan dari grup keamanan bahwa host anggota gMSA adalah anggota menggunakan salah satu metode berikut.
Metode 1: Pengguna dan Komputer Direktori Aktif
Untuk prosedur cara menggunakan metode ini, lihat Menghapus Akun Komputer menggunakan antarmuka Windows, dan Mengelola Domain Berbeda di Pusat Administratif Direktori Aktif.
Metode 2: drsm
Untuk prosedur cara menggunakan metode ini, lihat Menghapus Akun Komputer menggunakan baris perintah.
Metode 3: Cmdlet Direktori Aktif Windows PowerShell Remove-ADPrincipalGroupMembership
Untuk informasi terperinci cara melakukannya, lihat Remove-ADPrincipalGroupMembership di Pustaka TechNet atau dengan mengetik Get-Help Remove-ADPrincipalGroupMembership di modul Direktori Aktif untuk prompt perintah Windows PowerShell dan menekan ENTER.
Jika mencantumkan akun komputer, ambil akun yang ada lalu tambahkan semua kecuali akun komputer yang dihapus.
Keanggotaan di Admin Domain, Operator Akun, atau kemampuan untuk mengelola objek msDS-GroupManagedServiceAccount, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini. Untuk informasi terperinci tentang menggunakan akun dan keanggotaan grup yang sesuai, lihat Grup Default Lokal dan Domain.
Untuk menghapus host anggota menggunakan cmdlet Set-ADServiceAccount
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
String Get-ADServiceAccount [-Identity] <> -Properties PrincipalsAllowedToRetrieveManagedPassword
Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
String Set-ADServiceAccount [-Identity] <> -PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>
| Parameter | String | Contoh |
|---|---|---|
| Nama | Beri nama akun | ITFarm1 |
| PrincipalsAllowedToRetrieveManagedPassword | Akun komputer host anggota atau grup keamanan tempat anggota menjadi anggota | Host1, Host3 |
Contoh
Misalnya, untuk menghapus host anggota, ketik perintah berikut, lalu tekan ENTER.
Get-ADServiceAccount [-Identity] ITFarm1 -Properties PrincipalsAllowedToRetrieveManagedPassword
Set-ADServiceAccount [-Identity] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword Host1$,Host3$
Langkah 2: Menghapus Akun Layanan Terkelola grup dari sistem
Hapus kredensial gMSA yang di-cache dari host anggota menggunakan Uninstall-ADServiceAccount atau NETRemoveServiceAccount API pada sistem host.
Keanggotaan di Administrator, atau yang setara, adalah minimum yang diperlukan untuk menyelesaikan prosedur ini.
Untuk menghapus gMSA menggunakan cmdlet Uninstall-ADServiceAccount
Pada pengontrol domain Windows Server 2012, jalankan Windows PowerShell dari Taskbar.
Pada perintah untuk modul Direktori Aktif Windows PowerShell, ketik perintah berikut, lalu tekan ENTER:
Uninstall-ADServiceAccount <ADServiceAccount>
Contoh
Misalnya, untuk menghapus kredensial cache untuk gMSA bernama ITFarm1 ketik perintah berikut, lalu tekan ENTER:
Uninstall-ADServiceAccount ITFarm1
Untuk informasi selengkapnya tentang cmdlet Uninstall-ADServiceAccount, pada modul Direktori Aktif untuk prompt perintah Windows PowerShell, ketik Get-Help Uninstall-ADServiceAccount, lalu tekan ENTER, atau lihat informasi di web TechNet di Uninstall-ADServiceAccount.