Define o nome do host DNS para a conta de serviço gerenciado?

12

A documentação contém o exemplo:

New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true

Este parâmetro é obrigatório. Qual é exatamente o propósito de um DNSHostName e como devo decidir para o que configurá-lo?

    
por Jason Kresowaty 30.04.2013 / 12:53

8 respostas

6

Depois de trabalhar por um tempo com essas contas, acho que descobri o motivo:

Eles são alguns subconjuntos, ou talvez derivativos das contas de tipo de máquina. Portanto, eles herdam essa propriedade deles e, como é necessário para o tipo de máquina, também é necessário para o gMSA.

Você pode verificar se ambos os tipos correspondem de perto nos conjuntos de atributos. Também em todos os TechNet documentação eles apenas fornecem um valor único e simples para este atributo, gmsa-name.contoso.com , da mesma forma que uma conta de máquina o está usando.

Não sei por que eles simplesmente não o autogeraram, e nos poupam de saber e digitar.

    
por 19.03.2014 / 11:10
3

Eu não sou especialista nisso. No entanto, há tanta escassez de informações sobre este tópico que achei que valeria a pena postar o que eu sei

O treinador de um curso 70-411 que usei usou o FQDN de um controlador de domínio como o valor para o parâmetro DNSHostName quando ele demonstrou o cmdlet New-ADServiceAccount . Pelo que entendi, DNSHostName apenas informa ao cmdlet qual controlador de domínio no qual criar a conta. Eu não acho que importa qual DC você usa, aqueles gMSA parecem replicar imediatamente de qualquer maneira. Eu tenho apontado DNSHostName para um dos meus CDs e parece estar funcionando até agora.

Eu realmente preferia que houvesse alguma documentação concreta sobre isso. A referência de comando do TechNet aplicável é apenas bobagem tautológica para o parâmetro DNSHostName .

    
por 20.12.2013 / 03:25
3

Quando você adiciona o parâmetro -RestrictToSingleComputer, não é mais necessário. É claro que você deve ler sobre essa opção antes de usá-la.

Como:

New-ADServiceAccount service1 -Enabled $true -RestrictToSingleComputer
    
por 08.09.2014 / 20:19
1

Eu estava procurando uma resposta há muito tempo e finalmente encontrei uma que soasse verdadeira para mim.

-DNSHostName should be the FQDN of that DC which holds KDS Master key - msKds-ProvRootKey.

Most likely you already created that one - take a look at Group Key Distribution Service container in Configuration partition of your AD forest.

And probably you could use any DC in that forest as long as you set their names in -PrincipalsAllowedToRetrieveManagedPassword

All of the above represents the "new" gMSA, so if you wish to use old MSA instead, just forget about that -DNSHostName since it's not required then and simply use -RestrictToSingleComputer locking an account to some server.

Hope that helps.

link

    
por 12.05.2015 / 20:56
1

Minha experiência parece indicar que está procurando por um CD. Eu executei um teste em um servidor membro e fui solicitado para o -DNSHostName Eu executei o mesmo teste de um controlador de domínio e não recebi o prompt.

    
por 17.06.2015 / 23:56
0

Confira este link: link

O DNSHostName é o nome de domínio totalmente qualificado do nome da sua conta de serviço.

New-ADServiceAccount -name -DNSHostName

    
por 03.05.2013 / 00:35
0

O DNSHostName deve ser o nome do seu serviço. No caso de um cluster, este seria o seu nome de instância virtual.

o DNSHostName está relacionado ao registro automático do SPN da conta. No Active Directory Computers & Os GMSAs têm permissão "Permitir gravação validada em ServicePrincipalName". Isso significa que um computador só pode registrar SPNs que contenham o nome de si mesmo. Exemplo: Um computador denominado Webserver1 (DNS: Webserver1.mydomain.net) pode registrar automaticamente http: /Webserver1.mydomain.net: 443 mas não pode registrar http: /Webserver55.mydomain.net: 443

Assim, o DNSHostName de um GMSA deve refletir quais SPNs você deseja registrar para um serviço.

Em um cluster SQL, você teria dois hosts: Host1 e host2. Um clusterName: Clu1 e uma instância de SQL virtual: SQL1 Se você quiser usar um GMSA para executar o serviço SQL1, você o criaria assim.

$ comp1 = get-adcomputer Host1

$ comp2 = get-adcomputer Host2

Novo-ADServiceAccount -Name gmsa01 -DNSHostName sql1.mydomain.net -PrincipalsAllowedToRetrieveManagedPassword $ comp1, $ comp2 (você também pode usar um grupo em vez de atribuir direitos diretamente aos hosts).

Sempre que o serviço SQL for iniciado, ele registrará automaticamente 2 SPNs: MSSQLSvc / sql1.mydomain.net MSSQLSvc / sql1.mydomain.net: 1433

Se você colocar outra coisa no DNSHostName (por exemplo, gmsa01.mydomain.net), o serviço continuará sendo iniciado, mas falhará ao registrar SPNs (e voltar à autenticação NTLM).

Se você não se importa com a Autenticação do Kerberos (e SPNs) ou Se você está ok com o registro manual de SPNs para o seu serviço, Você pode colocar o que quiser no DNSHostName. O GMSA ainda funcionará.

Eu não recomendaria colocar seu DomainController no DNSName como mencionado anteriormente (a menos que você planeje usar o GMSA para executar um serviço em um controlador de domínio).

    
por 16.11.2018 / 14:18