我有一个名为 的 Windows 2012 R2 域控制器cox.win.testlab。我已设置一组主机,我想在其中使用 gMSA(组托管服务帐户)。该组称为SQLManagedHosts。
我按照域控制器上的 Powershell 中的以下步骤创建了帐户:
PS C:\Windows\system32> Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Guid
----
9b68b1e7-db76-c4e4-4978-63c2965e5596
PS C:\Windows\system32> New-ADServiceAccount mSQL -DNSHostName cox.win.testlab -PrincipalsAllowedToRetrieveManagedPassword SQLManagedHosts
PS C:\Windows\system32> Get-ADServiceAccount msql
DistinguishedName : CN=mSQL,CN=Managed Service Accounts,DC=win,DC=testlab
Enabled : True
Name : mSQL
ObjectClass : msDS-GroupManagedServiceAccount
ObjectGUID : cf9df74a-38e0-4d7a-856e-9af882b08800
SamAccountName : mSQL$
SID : S-1-5-21-3443997112-87545443-1733229669-1602
UserPrincipalName :
在 SQLManagedHosts 列出的其中一台主机上,我运行了:
PS C:\Windows\system32> Install-ADServiceAccount msql
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount msql
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (mSQL:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAcccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
知道为什么会失败吗?涉及的所有服务器都是 Windows Server 2012 R2。
答案1
您不能将 gMSA 用于 SQL 服务,因为它不受支持。您必须改用 MSA。
来源:http://blogs.msdn.com/b/sqlosteam/archive/2014/02/19/msa-accounts-used-with-sql.aspx
答案2
如果您最近才创建 SQLManagedHosts 安全组并将计算机对象添加到其中,则必须重新启动服务器才能使组成员身份生效。由于服务器不是安全组的成员,因此如果您不这样做,则检索托管密码将失败。
在为组 MSA 规划安全组时,您需要牢记这一点。
答案3
我不确定它为什么会失败,但是当我弄乱 gMSA 和 SQL 时,我使用了这个 GUI,它运行良好。