Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: START » Операционные системы Microsoft Windows и их компоненты » Microsoft Windows Server 2012 R2 » Серверная роль Active Directory Domain Services » Управляемые служебные учетные записи Managed Service Account (MSA) и Group Managed Service Account (gMSA) » Изменение записей Service Principal Name (SPN) для MSA и gMSA
microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-and-update-service-principal-name-spn-entries-for-msa-gmsa-in-the-ad-domain

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Следующая версия		Предыдущая версия
microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-and-update-service-principal-name-spn-entries-for-msa-gmsa-in-the-ad-domain [30.10.2018 14:23] – создано Алексей Максимовmicrosoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:how-to-create-and-update-service-principal-name-spn-entries-for-msa-gmsa-in-the-ad-domain [31.10.2018 14:35] (текущий) Алексей Максимов
Строка 1: Строка 1:
-===== Черновик =====+===== Изменение записей Service Principal Name (SPN) для MSA и gMSA =====
  
-{{:microsoft-windows:windows-server-2012-r2:adds:pasted:20180818-100844.png }} Для использования учётных записей Managed Service Account (MSA) и Group Managed Service Account (gMSA) ...+{{:microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-145253.png }} Управление записями **Service Principal Name** (**SPN**), используемыми в работе протокола **Kerberos** в домене **Active Directory** для учётных записей **Managed Service Account** (**MSA**) и **Group Managed Service Account** (**gMSA**поддерживается в автоматическом режиме ограниченным набором сервисовНапример, служба экземпляра **SQL Server** самостоятельно умеет регистрировать в Active Directory нужные SPN в свойствах учётной записи, от имени которой выполняется экземплярОднако для этого необходимо выдать учётной записи права на управление собственным атрибутом **servicePrincipalName**Как выдать такие права мы уже рассматривали ранее в заметке [[https://blog.it-kb.ru/2011/04/10/sql-server-spn-service-principal-name/|SQL Server и динамическая регистрация SPN (Service Principal Name)]]
  
-<WRAP center todo 100%> Данная страница находится в стадии наполнения.\\  +Для ручного управления SPN-записями учётных записей MSA/gMSA, как и прочих учётных записей в домене, требуются права уровня **Domain Administrator**. 
-Конечный контент страницы будет доступен позже. + 
-</WRAP>+Создавать, изменять и удалять SPN записи для MSA/gMSA можно разными способами
 + 
 +  * С помощью утилиты **setspn**. Пример использования этой утилиты рассматривался [[https://blog.it-kb.ru/2011/04/10/sql-server-spn-service-principal-name/|ранее]]. 
 +  * С помощью прямой правки атрибута **servicePrincipalName** в графических оснастках ADDS, например в консоли **Active Directory Users and Computers** (**ADUC**). 
 +  * С помощью **PowerShell**. Примеры использования, рассмотрим далее. 
 + 
 +\\ 
 +==== Проверка SPN ==== 
 + 
 +Проверить то, какие SPN записи имеются у учётной записи MSA/gMSA можем следующим образом: 
 + 
 +<code powershell>Get-ADServiceAccount -Identity myMSA1 -Properties ServicePrincipalNames ` 
 + | Select Name,ObjectClass,ServicePrincipalNames | Format-List</code> 
 + 
 + 
 +\\ 
 +==== Добавление SPN ==== 
 + 
 +Добавить новую SPN-запись к уже имеющимся в свойствах учтённой записи MSA/gMSA можно следующим образом:  
 + 
 +<code powershell>Set-ADServiceAccount - Identity myMSA1 ` 
 + -ServicePrincipalNames @{Add="<запись SPN>"}</code> 
 + 
 +{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-173054.png }} 
 + 
 +\\ 
 +==== Изменение SPN ==== 
 + 
 +Изменить какую-либо из уже существующих SPN-записей можно командой вида: 
 + 
 +<code powershell>Set-ADServiceAccount -Identity myMSA1 ` 
 + -ServicePrincipalNames @{Replace="<старая запись SPN>","<новая запись SPN>"}</code> 
 + 
 +Однако следует учесть, что практика использования командлета **Set-ADServiceAccount** на **Windows Server 2012 R2** показывает, что на самом деле вместо замены SPN происходит добавление дополнительного SPN. 
 + 
 +{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-173123.png }} 
 +  
 +\\ 
 +==== Удаление SPN ==== 
 + 
 +Удалить ненужную SPN-запись можно командой вида: 
 + 
 +<code powershell>Set-ADServiceAccount -Identity myMSA1 ` 
 + -ServicePrincipalNames @{Remove="<удаляемая запись SPN>"}</code> 
 + 
 +{{ :microsoft-windows:windows-server-2012-r2:adds:how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa:pasted:20181031-173140.png }}
  
  
Строка 16: Строка 61:
 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.10.2018 17:23 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 30.10.2018 17:23
  
-{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account"}}+{{tag>Microsoft "Windows Server" "Windows Server 2012 R2" ADDS "Active Directory" MSA gMSA "Managed Service Account" "Group Managed Service Account" SPN "Service Principal Name"servicePrincipalName Kerberos PowerShell}}
  
 ~~DISCUSSION~~ ~~DISCUSSION~~
microsoft-windows/windows-server-2012-r2/adds/how-to-use-managed-service-accounts-msa-and-group-managed-service-account-gmsa/how-to-create-and-update-service-principal-name-spn-entries-for-msa-gmsa-in-the-ad-domain.1540909389.txt.gz · Последнее изменение: Алексей Максимов