未經作者同意,任何人不得以“原創”形式釋出,也不得已用于商業用途,本人不負責任何法律責任。
托管服務帳号(Managed Servcie Account)從Windows Server 2008 R2出現, 它的目的是使用于運作服務的活動目錄帳号更加容易管理。在此之前,必須建立用于作為服務帳号的域帳号相同類型的使用者,但是需要禁用密碼政策以免密碼過期導緻服務運作發生錯誤。但是禁用密碼政策又會降低安全性。
為了解決這些問題,出現了托管服務帳号,它是一個綁定到特定計算機上的活動目錄帳号,它的密碼由活動目錄自動管理,并且可以在不影響服務運作的情況下定期修改密碼。另外還能簡化Service Principal Name(SPN/服務主體名稱,用戶端的唯一辨別,在後續詳細介紹)。
如果發生上面的警告,是因為ADWS服務沒有啟動,這種問題一般出現在虛拟機,臨時解決方法就是在Powershell裡面輸入
根本解決方法就是把adws服務設定成延時啟動。
其中SQL-SRV1就是建立的帳号名。
如果此過程報錯,可以在SQL-A(也就是域成員伺服器上)的PowerShell中輸入:
然後再根據步驟2的指令導入模版,再輸入:
即可,如圖:
在服務管理器中配置完之後,在SQL Server配置管理器中重新開機SQL Server服務即可,不需要再次配置:
托管服務帳号是綁定到單獨的機器上,并且僅用于服務所用,是以不能用來登入,也不能用于群集服務,因為群集需要需要服務帳号能夠跨多個群集節點。但是和本地内置帳号不同,托管帳号的名字在網絡中發現,同時可以用于通路網絡共享資源。
當你建立一個托管帳号在活動目錄上時,不需要指定密碼,密碼會由活動目錄自動管理。并且根據密碼政策(預設30天)自動重新整理,期間不影響SQL Server 服務。
在建立完之後,可以在活動目錄的【Active Directory 使用者和計算機】工具中的【Managed Service Accounts】節點看到你的帳号,但是隻能看不能改,一切操作都需要使用PowerShell。
在上面過程中,使用New-ADServiceAccount指令可能會出現拒絕通路(Access is denied error)錯誤,這是因為使用者帳号控制(User Account Control,UAC)政策導緻的,可以使用域管理者帳号登入操作,或者臨時禁用Admin Approval Mode。
禁用Admin Approval Mode 可以在域管理器中運作【secpol.msc】,然後找到下圖中的配置,并禁用,然後重新開機計算機。
如果你不再使用托管服務帳号,應該把它移除:
移除托管帳号:
在對應伺服器上運作:
在AD上運作:
更多資訊可以通路: