Vraag DNS-hostnaam instellen voor beheerde serviceaccount?


De documentatie bevat het voorbeeld:

New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true

Deze parameter is verplicht. Wat is precies het doel van een DNSHostName en hoe moet ik beslissen waar ik het op moet instellen?


12
2018-04-30 10:53


oorsprong




antwoorden:


Na een tijdje met deze accounts gewerkt te hebben, denk ik dat ik de reden heb gevonden:

Ze zijn een deelverzameling of een afgeleide van de accounts van het machinetype. Daarom erven ze deze eigenschap van hen, en omdat deze vereist is voor het machinetype, is deze ook vereist voor gMSA.

U kunt controleren of beide typen nauw overeenkomen in de kenmerkensets. Ook in alle TechNet  documentatie ze geven gewoon een eenvoudige unieke waarde voor dit kenmerk, gmsa-name.contoso.com, net zoals een computeraccount dat heeft.

Ik weet niet zeker waarom ze het niet autogenereerden en ons het afvragen en typen besparen.


6
2018-03-19 10:10





Ik ben hier geen expert in. Er is echter zo'n gebrek aan informatie over dit onderwerp. Ik vond het de moeite waard om te plaatsen wat ik wel weet

De trainer van een 70-411 Natuurlijk nam ik de FQDN van een domeincontroller als de waarde voor de DNSHostName parameter toen hij het demonstreerde New-ADServiceAccount cmdlet. Zoals ik het begrijp, DNSHostName vertelt gewoon de cmdlet naar welke domeincontroller het account moet worden aangemaakt. Ik denk niet dat het ertoe doet welke DC je gebruikt, die GMSA's lijken toch hoe dan ook te repliceren. Ik heb gewezen DNSHostName naar een van mijn DC's en het lijkt zo ver te werken.

Ik zou echt liever dat er wat concrete documentatie over was. De toepasselijke TechNet-opdrachtreferentie is gewoon tautologische onzin voor de DNSHostName parameter.


3
2017-12-20 02:25





Wanneer u de parameter -RestrictToSingleComputer toevoegt, is deze niet meer nodig. Natuurlijk moet u over die optie lezen voordat u deze gebruikt.

Net zoals:

New-ADServiceAccount service1 -Enabled $true -RestrictToSingleComputer

3
2017-09-08 18:19



Dat maakt het een regulier MSA-account in plaats van gMSA - Brain2000


Ik was al heel lang op zoek naar een antwoord en vond er uiteindelijk een die ik trouw vind.

-DNSHostName moet de FQDN zijn van die DC die KDS Master key bevat - msKds-ProvRootKey.

Hoogstwaarschijnlijk hebt u die al gemaakt - kijk eens naar de Container van de groepssleutelverdelingsservice in de configuratiepartitie van uw AD-forest.

En waarschijnlijk zou je elke DC in dat forest kunnen gebruiken zolang je hun namen ingeeft -PrincipalsALLedToRetrieveManagedPassword

Al het bovenstaande staat voor de "nieuwe" gMSA, dus als je in plaats daarvan de oude MSA wilt gebruiken, vergeet dat dan -DNSHostName omdat het niet verplicht is en gebruik gewoon -RestrictToSingleComputer om een ​​account te vergrendelen op een server.

Ik hoop dat het helpt.

https://social.technet.microsoft.com/Forums/windowsserver/en-US/9a66d1d5-44e9-4ea1-ba9c-88862023c4e1/why-does-a-gmsa-need-a-dns-host-name-eg- newadserviceaccount-DNSHostName? forum = winserver8gen


1
2018-05-12 18:56



Diezelfde thread heeft nu een beter antwoord van Proed in januari 2018. Het heeft te maken met het voldoen aan de overervingshiërarchie in het AD-schema! Xref mijn antwoord .. Bedankt voor het vinden van die draad hoor! - David Bullock


Mijn ervaring lijkt erop te wijzen dat hij op zoek is naar een DC. Ik stelde een test op een lidserver in werking en werd gevraagd om - DNSHostName Ik stelde de zelfde test van een gelijkstroom in werking en ontving niet de herinnering.


1
2018-06-17 21:56





Bekijk deze link: http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx

De DNSHostName is de volledig gekwalificeerde domeinnaam van uw serviceaccountnaam.

New-ADServiceAccount -name -DNSHostName


0
2018-05-02 22:35



Ik weet nog steeds niet wanneer de DNSHostName wordt gebruikt of wat de impact zou zijn als deze de verkeerde waarde krijgt. - Jason Stangroome


Het citeren van het antwoord door Proed op 17 januari 2018 in de Waarom heeft een gMSA een DNS-hostnaam nodig?  (bedankt aan @Daniel omdat hij het eerder citeerde).

Ik zou aanraden om de dNSHostName net zoals het is ingesteld als voor   het AD-computerobject (sAMAccountName + en je Domain Suffix)

… omdat:

  • msDS-GroupManagedServiceAccount erft van AD-Computer (in termen van AD-schema), waardoor deze moet worden geleverd
  • de aanbevolen conventie is logisch voor alle bestaande voorbeelden

0
2017-07-03 14:29



daar dacht ik dat ik stom was omdat ik het niet snapte, en het is gewoon weer slechte doco - David Bullock