我有一个名为cox.win.testlab. 我已经设置了一组主机,我想在其中使用 gMSA(组托管服务帐户)。这个组被称为SQLManagedHosts。
我在域控制器上的 Powershell 中按照以下步骤创建了该帐户:
PS C:\Windows\system32> Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Guid
----
9b68b1e7-db76-c4e4-4978-63c2965e5596
PS C:\Windows\system32> New-ADServiceAccount mSQL -DNSHostName cox.win.testlab -PrincipalsAllowedToRetrieveManagedPassword SQLManagedHosts
PS C:\Windows\system32> Get-ADServiceAccount msql
DistinguishedName : CN=mSQL,CN=Managed Service Accounts,DC=win,DC=testlab
Enabled : True
Name : mSQL
ObjectClass : msDS-GroupManagedServiceAccount
ObjectGUID : cf9df74a-38e0-4d7a-856e-9af882b08800
SamAccountName : mSQL$
SID : S-1-5-21-3443997112-87545443-1733229669-1602
UserPrincipalName :
在 SQLManagedHosts 中列出的主机之一上,我运行了:
PS C:\Windows\system32> Install-ADServiceAccount msql
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount msql
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : WriteError: (mSQL:String) [Install-ADServiceAccount], ADException
+ FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAcccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
任何想法为什么它可能会失败?涉及的所有服务器都是 Windows Server 2012 R2。
如果您最近才创建 SQLManagedHosts 安全组并将您的计算机对象添加到其中,则必须重新启动服务器才能使组成员身份生效。由于服务器不是安全组的成员,否则检索托管密码将失败。
在为组 MSA 规划安全组时,您需要牢记这一点。
您不能将 gMSA 用于 SQL 服务,它不受支持。您必须改为使用 MSA。
来源:http: //blogs.msdn.com/b/sqlosteam/archive/2014/02/19/msa-accounts-used-with-sql.aspx
我不确定它为什么会失败,但是当我弄乱 gMSA 和 SQL 时,我正在使用这个 GUI,它运行良好。
图形用户界面