ИТ-архитектура от А до Я: Комплексное решение. Первое издание - страница 35

•Дальнейшие настройки по умолчанию.

Конфигурирование

Доступ к конфигурации серверов доступен через сервер управления в соответствии с процессом «Управления изменениями».

Настройка портов и протоколов

Настройка службы DNS

Создание DNS Reverse Zone «192.168.0.0». Дополнительные зоны.

Настройка Key Distribution Service (KDS) и генерация KDS ключа

Генерация KDS ключа необходима для создания Групповых Управляемых Служебных Записей (Group Managed Service Accounts gMSA). Управляемые сервисные служебные записи необходимы для запуска служб и ИТ сервисов. Также могут использоваться для запуска «планировщика задач», но только через оснастку PowerShell. Преимущества:

•Пароль длинной 240 символов

•Генерируется каждые 30 дней.

•Не хранится на локальной системе

Для их использования необходимо соблюдать следующие условия

Уровень схемы не ниже Windows 2012, контроллеры Windows 2012 и выше с включенной и настроенной службой Key Distribution Service (KDS), наличие оснастки PowerShell. Генерация ключа происходит вручную и раз через оболочку PowerShell на контроллере домена с правами Enterprise Admins. Ключ доступен через 10 часов после генерации, чтобы все контролеры домена реплицировали данные. Порядок выполнения:

•Входим на контроллер ADDS-PDC-DC01 с учетной записью HOLDING\Administrator и запускаем оснастку PowerShell.

•Запускаем команду Add-KDSRootKey —EffectiveImmediatly

Для тестовой среды можно активировать немедленно командой

•Add-KDSRootKey —EffectiveTime ((get-date).addhours (-10))

Проверяем готовность: Get-KDSRootKey

Создание gMSA (Group Managed Service Accounts)

Следующий этап сопровождение Групповых Управляемых Служебных Записей (Group Managed Service Accounts gMSA. Порядок выполнения:

•Входим на контроллер ADDS-PDC-DC01 с учетной записью MyCompany\Administrator и запускаем оснастку PowerShell. Запускаем команду:

•New-ADServiceAccount —name gMSA_SCOM_SQL_DB —DNSHostName ADDS-PDC-DC01.mycompany. local —PrincipalsAllowedToRetriewManagedPassword «gMSA_SCOM_SQL_DB_Group»

Где: gMSA_SCOM_SQL_DB – имя сервисной учетной записи, ADDS-PDC-DC01.MyCompany. local – имя DNS хоста, gMSA_SCOM_SQL_DB_Group – группа в активном каталоге куда входят все системы, которые будут использовать эту групповую управляемую служебную запись.

Проверяем через оснастку Active Directory Users & Computers что в контейнере Managed Service Accounts появилась запись.

Устанавливаем учетную запись gMSA на сервер

Следующий шаг установка учетной записи gMSA на сервер, где будет использоваться. Порядок выполнения: Проверяем, что сервер (SQL-PDC-DB01) входит в состав группы gMSA_SCOM_SQL_DB_Group. Входим на сервер (для примера SQL-PDC-DB01 с учетной записью MyCompany\Administrator и запускаем оснастку PowerShell. Запускаем команду: Install-ADServiceAccount —Identity gMSA_SCOM_SQL_DB

(Если нет модуля, то необходимо добавить Features -> RAST -> AD DS Tools -> AD module for PowerShell). Проверка: Test-ADServiceAccount gMSA_SCOM_SQL_DB

Если возвращает TRUE значит все в порядке.

Далее на сервере SQL-PDC-DB01 в настройках запуска службы (Logon) указываем имя учетной записи (с добавлением символа $ в конце обязательно). Пароль указывать нет необходимости. Сервисная учетная получает права «Log on As a Service» автоматически. Перезапускаем сервис.

Проверка и создание записи SPN (Service Provider Name) сервиса

Для примера для SQL сервера необходимо создавать запись для возможности сетевой проверки. Проверка возможна через протоколы: NTLM и Kerberos. Второй предпочтительно. SQL сервер поддерживает Kerberos для следующих протоколов: