관리 서비스 계정의 DNS 호스트 이름을 설정 하시겠습니까?

문서 의 예제를 포함 :

New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true

이 매개 변수는 필수입니다. 의 목적은 정확히 무엇 DNSHostName이며 어떻게 설정해야합니까?

이 계정으로 잠시 작업 한 후 그 이유를 알았다고 생각합니다.

그것들은 일부 하위 집합이거나 기계 유형 계정의 파생물 일 수 있습니다. 따라서 이들은이 속성을 상속받으며 머신 유형에 필요하기 때문에 gMSA에도 필요합니다.

두 유형이 속성 세트에서 밀접하게 일치하는지 확인할 수 있습니다. 또한 모든 TechNet 설명서gmsa-name.contoso.com 에서 컴퓨터 계정에있는 것처럼 이 속성에 대한 고유 한 고유 한 값만 제공 합니다.

왜 자동 생성하지 않았는지 궁금하고 궁금한 점과 타이핑을 아끼지 마십시오.

DNSHostName은 서비스 이름이어야합니다. 클러스터의 경우 가상 인스턴스 이름이됩니다.

DNSHostName은 계정의 SPN 자동 등록과 관련이 있습니다. Active Directory 컴퓨터 및 GMSA에는 "ServicePrincipalName에 유효한 쓰기 쓰기 허용"권한이 있습니다. 이것은 컴퓨터가 자신의 이름이 포함 된 SPN 만 등록 할 수 있음을 의미합니다. 예 : 이름이 Webserver1 인 컴퓨터 (DNS : Webserver1.mydomain.net)는 http : /Webserver1.mydomain.net : 443을 자동 등록 할 수 있지만 http : /Webserver55.mydomain.net : 443을 등록 할 수는 없습니다.

따라서 GMSA의 DNSHostName 서비스에 등록하려는 SPN을 반영해야합니다.

SQL 클러스터에는 Host1과 host2의 두 호스트가 있습니다. clusterName : Clu1 및 가상 SQL 인스턴스 : SQL1 GMSA를 사용하여 SQL1 서비스를 실행하려면 다음과 같이 작성하십시오.

$comp1 = get-adcomputer Host1

$comp2 = get-adcomputer Host2

New-ADServiceAccount -Name gmsa01 -DNSHostName sql1.mydomain.net -PrincipalsAllowedToRetrieveManagedPassword $comp1, $comp2 호스트에 직접 권한을 할당하는 대신 그룹을 사용할 수도 있습니다.

SQL 서비스가 시작될 때마다 2 개의 SPN이 자동으로 등록됩니다. MSSQLSvc / sql1.mydomain.net MSSQLSvc / sql1.mydomain.net : 1433

DNSHostName에 다른 것을 넣으면 (예 : gmsa01.mydomain.net) 서비스는 계속 시작되지만 SPN 등록에 실패하고 NTLM 인증으로 대체됩니다.

Kerberos 인증 (및 SPN)에 신경 쓰지 않거나 서비스에 대한 SPN 수동 등록에 문제가없는 경우 DNSHostName에 원하는 것을 넣을 수 있습니다. GMSA는 여전히 작동합니다.

도메인 컨트롤러에서 서비스를 실행하기 위해 GMSA를 사용할 계획이 아닌 한 DomainController를 DNSName에 넣는 것은 좋지 않습니다.

나는 이것에 전문가가 아닙니다. 그러나이 주제에 대한 정보가 부족하여 내가 아는 것을 게시 할 가치가 있다고 생각했습니다.

70-411 코스 의 트레이너는 도메인 컨트롤러의 FQDN을 cmdlet DNSHostName을 시연 할 때 매개 변수 의 값으로 사용했습니다 New-ADServiceAccount. 이해 한대로 DNSHostName계정을 만들 도메인 컨트롤러를 cmdlet에 알려줍니다. 나는 당신이 어떤 DC를 사용하는지 중요하지 않다고 생각합니다. gMSA는 어쨌든 즉시 복제되는 것 같습니다. DNSHostNameDC 중 하나를 가리키고 있으며 지금까지 작동하는 것 같습니다.

나는 이것에 대한 구체적인 문서가 오히려 오히려 오히려 좋겠다. 적용 TechNet의 명령 참조 단지 동어 반복적 말도 DNSHostName매개 변수입니다.

-RestrictToSingleComputer 매개 변수를 추가하면 더 이상 필요하지 않습니다. 물론 사용하기 전에 해당 옵션에 대해 읽어야합니다.

처럼:

New-ADServiceAccount service1 -Enabled $true -RestrictToSingleComputer

나는 오랫동안 대답을 찾고 있었고 마침내 나에게 맞는 소리를 발견했습니다.

-DNSHostName은 KDS 마스터 키 (msKds-ProvRootKey)를 보유한 DC의 FQDN이어야합니다.

아마도 이미 만든 것입니다-AD 포리스트의 구성 파티션에서 그룹 키 배포 서비스 컨테이너를 살펴보십시오.

-PrincipalsAllowedToRetrieveManagedPassword에서 이름을 설정하기 만하면 해당 포리스트의 DC를 사용할 수 있습니다.

위의 모든 내용은 "새"gMSA를 나타내므로 이전 MSA를 대신 사용하려면 필요하지 않기 때문에 -DNSHostName을 잊어 버리고 -RestrictToSingleComputer를 사용하여 일부 서버에 계정을 잠그십시오.

희망이 도움이됩니다.

https://social.technet.microsoft.com/Forums/windowsserver/en-US/9a66d1d5-44e9-4ea1-ba9c-88862023c4e1/why-does-a-gmsa-need-a-dns-host-name-eg- newadserviceaccount-dnshostname? forum = winserver8gen

내 경험에 따르면 DC를 찾고있는 것으로 보입니다. 멤버 서버에서 테스트를 실행하고 -DNSHostName을 입력하라는 메시지가 표시되었습니다. DC에서 동일한 테스트를 실행했지만 프롬프트를받지 못했습니다.

gMSA에 왜 DNS 호스트 이름이 필요합니까? 에서 2018 년 1 월 17 일에 Proed의 답변을 인용하십시오 . (@Daniel에게 이전에 인용 해 주셔서 감사합니다).

dNSHostNameAD-Computer Object ( sAMAccountName+ 및 Domain Suffix)와 같은 설정을하는 것이 좋습니다

… 때문에:

• msDS-GroupManagedServiceAccountAD-Computer(AD 스키마 측면 에서) 상속 하므로이를 제공해야합니다.
• 권장되는 규칙 은 모든 현존하는 예를 의미합니다

이 링크를 확인하십시오 : http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx

DNSHostName은 서비스 계정 이름의 정규화 된 도메인 이름입니다.

New-ADServiceAccount -name -DNSHostName