MSA (managed user account) teknolojisinin sorunlarından bir tanesi aynı MSA'i birden fazla computer objesinde kullanamamaktı.
Bu nedenle de gMSA (group managed service account) duyuruldu. gMSA ile;
4- SQL Server'in gMSA kullanması için Konfigüre Edilmesi
Oluşturduğunuz gMSA 'i bir SQL Server'a erişim amacıyla kullanmak için yazımdan faydalanabilirsiniz:
https://hogretmen.blogspot.com.tr/2017/05/configure-gmsa-as-login-on-sql-server.html
Oluşturduğunuz gMSA 'i IIS Application Pool Identity User olarak kullanmak için yazımdan faydalanabilirsiniz:
https://hogretmen.blogspot.com.tr/2017/05/configure-iis-application-pool-to-use.html
Bu nedenle de gMSA (group managed service account) duyuruldu. gMSA ile;
- Passwordler Active Directory tarafından yönetileceği için complex olurlar ve sık sık otomatik olarak değiştirilir (default 30 days). Passwordler 240 bytes uzunluğunda randomly şifrelenmiş olarak üretilir. Ek olarak interactive logon amaçlı kullanılamazlar, yanlış şifre girilmesi sonucunda meydana gelen lock-out olma durumuna yakalnmazlar.
- Şifre değişikliği sonrasında SQL Server Servisinin restart edilmesine gerek bulunmaz.
Aşağıda belirtilen adımlar pre-reqlerin tamamlanmış olduğu varsayılarak step by step aktarılmıştır. Prerequisetlerle ilgili detaylı bilgilendirmeye https://technet.microsoft.com/en-us/library/jj128431.aspx#BKMK_gMSA_Req linkinden erişilebilir.
1- Active Directory Users and Computers Altında Global Security Group Oluşturma
- gMSA 'i kullanacağımız sunucuları kapsayacak,mantıklı bir isimlendirme ile gMSA 'i oluşturduğumuz domain altında scope'u Globak olacak şekilde bir security group oluşturmalıyız.
- Bu grup içerisine gMSA'i kullanacağımız computer accountları eklemeliyiz. Eğer süreç yönetimi sıkı takip edilen bir firmadaysanız, Orchestrator ile kısa bir otomasyon oluşturarak yeni sunucuları hızlıca ve kayıt altına alınacak şekilde gruba ekleyebilirsiniz. AD grup mantığında policynin kabul görmesi için gruba eklenen sunucunun restart edilmesi gerekmektedir.
- Oluşturulan bu grup ile üye computer accountlara özel haklar verilerek, gMSA passwordunun alınması için gerekli yetkiler sağlanacaktır.
2- gMSA Oluşturmak
Bu adımda sadece gMSA oluşturulmamaktadır, bir önceki adımda oluşturulan SQLServers isimli security gruba yeni create edilen gMSAsqlservice gMSA kullanıcısının şifresini alabilme yetkisi de verilmektedir.
New-ADServiceAccount -name gMSAsqlservice -DNSHostName gMSAsqlservice.contoso.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers3- gMSA 'i Üye Sunucularda Konfigürasyonu ve Validasyon Testi
Normal şartlarda restart edildikten sonra yapılması gereken bir adım bulunmuyor ancak yine de bu adım validasyon işlemlerini içerdiği için yapılmasında büyük fayda var. AD Powershell module gerektiren komutlardır.
Install-ADServiceAccount gMSAsqlservice
Test-ADServiceAccount gMSAsqlserviceTest komut sonucu True dönmelidir.
4- SQL Server'in gMSA kullanması için Konfigüre Edilmesi
- SQL Server Configuration Manager açılır.
- Log On tabında bulunan "This Account" seçilerek, oluşturduğumuz gMSA eklenir. Önemli olan account tiplerinde arama için gerekli tiplerin yer almasıdır.
- gMSA 'den sonra $ eklenmelidir.
- Password girişi yapılmamalıdır.
- SQL Server servisi restart edilmelidir.
Oluşturduğunuz gMSA 'i bir SQL Server'a erişim amacıyla kullanmak için yazımdan faydalanabilirsiniz:
https://hogretmen.blogspot.com.tr/2017/05/configure-gmsa-as-login-on-sql-server.html
Oluşturduğunuz gMSA 'i IIS Application Pool Identity User olarak kullanmak için yazımdan faydalanabilirsiniz:
https://hogretmen.blogspot.com.tr/2017/05/configure-iis-application-pool-to-use.html
Yorumlar
Yorum Gönder