===== Изменение записей Service Principal Name (SPN) для MSA и gMSA =====

{{:microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-145253.png }} Управление записями **Service Principal Name** (**SPN**), используемыми в работе протокола **Kerberos** в домене **Active Directory** для учётных записей **Managed Service Account** (**MSA**) и **Group Managed Service Account** (**gMSA**) поддерживается в автоматическом режиме ограниченным набором сервисов. Например, служба экземпляра **SQL Server** самостоятельно умеет регистрировать в Active Directory нужные SPN в свойствах учётной записи, от имени которой выполняется экземпляр. Однако для этого необходимо выдать учётной записи права на управление собственным атрибутом **servicePrincipalName**. Как выдать такие права мы уже рассматривали ранее в заметке [[https://blog.it-kb.ru/2011/04/10/sql-server-spn-service-principal-name/|SQL Server и динамическая регистрация SPN (Service Principal Name)]]

Для ручного управления SPN-записями учётных записей MSA/gMSA, как и прочих учётных записей в домене, требуются права уровня **Domain Administrator**.

Создавать, изменять и удалять SPN записи для MSA/gMSA можно разными способами:

  * С помощью утилиты **setspn**. Пример использования этой утилиты рассматривался [[https://blog.it-kb.ru/2011/04/10/sql-server-spn-service-principal-name/|ранее]].
  * С помощью прямой правки атрибута **servicePrincipalName** в графических оснастках ADDS, например в консоли **Active Directory Users and Computers** (**ADUC**).
  * С помощью **PowerShell**. Примеры использования, рассмотрим далее.

\\
==== Проверка SPN ====

Проверить то, какие SPN записи имеются у учётной записи MSA/gMSA можем следующим образом:

<code powershell>Get-ADServiceAccount -Identity myMSA1 -Properties ServicePrincipalNames `
 | Select Name,ObjectClass,ServicePrincipalNames | Format-List</code>


\\
==== Добавление SPN ====

Добавить новую SPN-запись к уже имеющимся в свойствах учтённой записи MSA/gMSA можно следующим образом: 

<code powershell>Set-ADServiceAccount - Identity myMSA1 `
 -ServicePrincipalNames @{Add="<запись SPN>"}</code>

{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-173054.png }}

\\
==== Изменение SPN ====

Изменить какую-либо из уже существующих SPN-записей можно командой вида:

<code powershell>Set-ADServiceAccount -Identity myMSA1 `
 -ServicePrincipalNames @{Replace="<старая запись SPN>","<новая запись SPN>"}</code>

Однако следует учесть, что практика использования командлета **Set-ADServiceAccount** на **Windows Server 2012 R2** показывает, что на самом деле вместо замены SPN происходит добавление дополнительного SPN.

{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-173123.png }}
 
\\
==== Удаление SPN ====

Удалить ненужную SPN-запись можно командой вида:

<code powershell>Set-ADServiceAccount -Identity myMSA1 `
 -ServicePrincipalNames @{Remove="<удаляемая запись SPN>"}</code>

{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-173140.png }}


----
Проверено на следующих конфигурациях:
^ Версия ОС ^ 
| Windows Server 2012 R2 Standard EN (6.3.9600) | 

----
{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.10.2018 17:23

{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account" SPN "Service Principal Name"servicePrincipalName Kerberos PowerShell}}

~~DISCUSSION~~