प्रबंधित सेवा खाते के लिए DNS होस्ट नाम सेट करें?

प्रलेखन उदाहरण:

New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true

यह पैरामीटर आवश्यक है। वास्तव में इसका उद्देश्य क्या है DNSHostNameऔर मुझे यह कैसे तय करना चाहिए?

इन खातों के साथ थोड़ी देर काम करने के बाद, मुझे लगता है कि मुझे इसका कारण पता चला है:

वे कुछ उपसमुच्चय हैं, या शायद मशीन प्रकार के खातों के व्युत्पन्न हैं। इसलिए वे उनसे यह संपत्ति प्राप्त करते हैं, और चूंकि यह मशीन के प्रकार के लिए आवश्यक है, इसलिए यह जीएमएसए के लिए भी आवश्यक है।

आप देख सकते हैं कि दोनों प्रकार के निकटता में वे गुण सेट करते हैं। साथ ही टेकनेट प्रलेखन के सभी में वे इस विशेषता के लिए एक साधारण अद्वितीय मूल्य देते हैं gmsa-name.contoso.com, ठीक उसी तरह जैसे मशीन खाते में होता है।

यकीन नहीं होता कि उन्होंने इसे ऑटोग्रॉन्ग क्यों नहीं किया, और हमें आश्चर्य और टाइपिंग से दूर कर दिया।

DNSHostName आपकी सेवा का नाम होना चाहिए। ए क्लस्टर के मामले में यह आपका वर्चुअल इंस्टेंस नाम होगा।

DNSHostName खाते के SPN ऑटो-पंजीकरण से संबंधित है। सक्रिय निर्देशिका में कंप्यूटर और जीएमएसएएस के पास अनुमति है "अनुमति को सेवाप्रदाता नाम पर लिखने की अनुमति दें"। इसका मतलब यह है कि एक कंप्यूटर केवल SPN को पंजीकृत कर सकता है जिसमें स्वयं का नाम होता है। उदाहरण: एक कंप्यूटर जिसका नाम वेबसर्वर 1 (DNS: Webserver1.mydomain.net) है, वह http: /Webserver1.mydomain.net: 443 को पंजीकृत कर सकता है, लेकिन http: /Webserver55.mydomain.net: 443 को पंजीकृत नहीं कर सकता है।

तो, एक GMSA के DNSHostName को प्रतिबिंबित करना चाहिए कि आप किसी सेवा के लिए क्या पंजीकरण कराना चाहते हैं।

SQL क्लस्टर पर, आपके पास 2 होस्ट होंगे: Host1 और host2। एक क्लस्टरनाम: Clu1 और एक वर्चुअल SQL इंस्टेंस: SQL1 यदि आप SQL1 सेवा को चलाने के लिए GMSA का उपयोग करना चाहते हैं, तो आप इसे इस तरह बनाएंगे।

$comp1 = get-adcomputer Host1

$comp2 = get-adcomputer Host2

New-ADServiceAccount -Name gmsa01 -DNSHostName sql1.mydomain.net -PrincipalsAllowedToRetrieveManagedPassword $comp1, $comp2 (आप मेजबानों को सीधे अधिकार देने के बजाय एक समूह का उपयोग कर सकते हैं)।

जब भी SQL सेवा शुरू होती है, यह स्वचालित रूप से 2 SPN पंजीकृत करेगा: MSSQLSvc / sql1.mydomain.net MSSQLSvc / sql1.mydomain.net: 1433

यदि आप DNSHostName (उदाहरण के लिए gmsa01.mydomain.net) में कुछ और डालते हैं, तो सेवा अभी भी शुरू होगी, लेकिन यह SPN को पंजीकृत करने में विफल रहेगी (और NTLM प्रमाणीकरण पर वापस आ जाएगी)।

यदि आप केर्बरोस ऑथेंटिकेशन (और एसपीएन) के बारे में परवाह नहीं करते हैं या यदि आप अपनी सेवा के लिए मैन्युअल रूप से एसपीएन दर्ज करने के साथ ठीक हैं, तो आप DNSHostName में जो भी चाहें डाल सकते हैं। GMSA अभी भी काम करेगा।

जैसा कि पहले उल्लेख किया गया है (जब तक आप किसी डोमेन नियंत्रक पर सेवा चलाने के लिए GMSA का उपयोग करने की योजना नहीं बनाते हैं) मैं DNSName में अपना डोमेनकंट्रोलर लगाने की सिफारिश नहीं करूंगा।

मैं इसका कोई विशेषज्ञ नहीं हूं। हालाँकि, इस विषय पर जानकारी की इतनी कमी है कि मैंने इसे पोस्ट करने के लायक समझा जो मुझे पता है

70-411 पाठ्यक्रम के ट्रेनर ने जब मैंने सेमीलेट काDNSHostName प्रदर्शन किया तो पैरामीटर के मान के रूप में एक डोमेन नियंत्रक के FQDN का उपयोग किया New-ADServiceAccount। जैसा कि मैं इसे समझता हूं, DNSHostNameबस cmdlet को बताता है कि किस डोमेन नियंत्रक पर खाता बनाना है। मुझे नहीं लगता कि यह मायने रखता है कि आप कौन से डीसी का उपयोग करते हैं, उन gMSA को वैसे भी तुरंत दोहराने के लिए लगता है। मैं DNSHostNameअपने एक डीसी की ओर इशारा कर रहा हूं और यह अब तक काम कर रहा है।

मैं वास्तव में इसके बजाय इस पर कुछ ठोस दस्तावेज थे। लागू TechNet आदेश संदर्भ के लिए बस अनुलापिक बकवास है DNSHostNameपैरामीटर।

जब आप पैरामीटर जोड़ते हैं -RestrictToSingleComputer अब इसकी आवश्यकता नहीं है। बेशक आपको इसका उपयोग करने से पहले उस विकल्प के बारे में पढ़ना चाहिए।

पसंद:

New-ADServiceAccount service1 -Enabled $true -RestrictToSingleComputer

मैं बहुत लंबे समय से एक उत्तर की तलाश में था और आखिरकार एक ऐसा मिला जो मुझे सही लगता है।

-DNSHostName उस DC का FQDN होना चाहिए जो KDS मास्टर कुंजी रखता है - msKds-ProvRootKey।

सबसे अधिक संभावना है कि आपने पहले से ही बनाया है - अपने एडी वन के कॉन्फ़िगरेशन विभाजन में समूह कुंजी वितरण सेवा कंटेनर पर एक नज़र डालें।

और शायद आप उस जंगल में किसी भी डीसी का उपयोग तब तक कर सकते हैं जब तक कि आप उनका नाम -प्रिंसिपल में अपना नाम सेट कर दें।

उपरोक्त सभी "नया" जीएमएसए का प्रतिनिधित्व करता है, इसलिए यदि आप इसके बजाय पुराने एमएसए का उपयोग करना चाहते हैं, तो बस उस -DNSHostName के बारे में भूल जाएं क्योंकि तब इसकी आवश्यकता नहीं है और बस उपयोग करें -RestrictToSingleComputer किसी सर्वर पर किसी खाते को लॉक करना।

उम्मीद है की वो मदद करदे।

https://social.technet.microsoft.com/Forums/windowsserver/en-US/9a66d1d5-44e9-4ea1-ba9c-88862023c4e1/why-does-a-gmsa-need-a-dns-host-name-eg- newadserviceaccount-dNSHostName? मंच = winserver8gen

मेरा अनुभव इंगित करता है कि यह डीसी की तलाश में है। मैंने एक सदस्य सर्वर पर एक परीक्षण चलाया और -DNSHostName के लिए संकेत दिया गया था कि मैंने एक डीसी से एक ही परीक्षण चलाया और प्रॉम्प्ट प्राप्त नहीं किया।

17 जनवरी, 2018 को Proed द्वारा उत्तर का हवाला देते हुए, क्यों एक gMSA को DNS होस्ट नाम की आवश्यकता है? (पहले उद्धृत करने के लिए @ डैनियल का धन्यवाद)।

मैं dNSHostNameएडी-कंप्यूटर ऑब्जेक्ट ( sAMAccountName+ और आपके डोमेन प्रत्यय) के लिए सेट के समान ही सेट करने की सलाह दूंगा

… इसलिये:

• msDS-GroupManagedServiceAccountविरासत में AD-Computer(AD स्कीमा के संदर्भ में), इस प्रकार यह आपूर्ति की आवश्यकता है
• अनुशंसित सम्मेलन सभी मौजूदा उदाहरणों की समझ में आता है

इस लिंक को देखें: http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx

DNSHostName आपके सेवा खाते के नाम का पूरी तरह से योग्य डोमेन नाम है।

नया-ADServiceAccount -name -DNSHostName