未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。
托管服务帐号(Managed Servcie Account)从Windows Server 2008 R2出现, 它的目的是使用于运行服务的活动目录帐号更加容易管理。在此之前,必须创建用于作为服务帐号的域帐号相同类型的用户,但是需要禁用密码策略以免密码过期导致服务运行发生错误。但是禁用密码策略又会降低安全性。
为了解决这些问题,出现了托管服务帐号,它是一个绑定到特定计算机上的活动目录帐号,它的密码由活动目录自动管理,并且可以在不影响服务运行的情况下定期修改密码。另外还能简化Service Principal Name(SPN/服务主体名称,客户端的唯一标识,在后续详细介绍)。
如果发生上面的警告,是因为ADWS服务没有启动,这种问题一般出现在虚拟机,临时解决方法就是在Powershell里面输入
根本解决方法就是把adws服务设置成延时启动。
其中SQL-SRV1就是创建的帐号名。
如果此过程报错,可以在SQL-A(也就是域成员服务器上)的PowerShell中输入:
然后再根据步骤2的命令导入模版,再输入:
即可,如图:
在服务管理器中配置完之后,在SQL Server配置管理器中重启SQL Server服务即可,不需要再次配置:
托管服务帐号是绑定到单独的机器上,并且仅用于服务所用,所以不能用来登录,也不能用于群集服务,因为群集需要需要服务帐号能够跨多个群集节点。但是和本地内置帐号不同,托管帐号的名字在网络中发现,同时可以用于访问网络共享资源。
当你创建一个托管帐号在活动目录上时,不需要指定密码,密码会由活动目录自动管理。并且根据密码策略(默认30天)自动刷新,期间不影响SQL Server 服务。
在创建完之后,可以在活动目录的【Active Directory 用户和计算机】工具中的【Managed Service Accounts】节点看到你的帐号,但是只能看不能改,一切操作都需要使用PowerShell。
在上面过程中,使用New-ADServiceAccount命令可能会出现拒绝访问(Access is denied error)错误,这是因为用户帐号控制(User Account Control,UAC)策略导致的,可以使用域管理员帐号登录操作,或者临时禁用Admin Approval Mode。
禁用Admin Approval Mode 可以在域管理器中运行【secpol.msc】,然后找到下图中的配置,并禁用,然后重启计算机。
如果你不再使用托管服务帐号,应该把它移除:
移除托管帐号:
在对应服务器上运行:
在AD上运行:
更多信息可以访问: