Omówienie kont usług zarządzanych przez grupę
Dotyczy: Windows Server 2012 R2, Windows Server 2012
W tym temacie dla specjalistów IT, zawierającym wprowadzenie do kont usług zarządzanych przez grupę, opisano praktyczne aplikacje, zmiany w implementacji firmy Microsoft, wymagania dotyczące sprzętu i oprogramowania, a także dodatkowe zasoby związane z systemem Windows Server 2012.
Czy chodziło o:
Zarządzane konta usług (autonomiczne)
Opis funkcji
Autonomiczne zarządzane konta usług, które zostały wprowadzone w systemach Windows Server 2008 R2 i Windows 7, są kontami domeny zarządzanej, które zapewniają automatyczne zarządzanie hasłami i uproszczone zarządzanie nazwami SPN, w tym delegowanie zarządzania do innych administratorów.
Konta usług zarządzane przez grupę zapewniają te same funkcje, ale rozszerzają te funkcje na wiele serwerów. Podczas nawiązywania połączenia z usługą hostowaną w farmie serwerów, taką jak równoważenie obciążenia sieciowego, protokoły uwierzytelniania obsługujące uwierzytelnianie wzajemne wymagają, aby wszystkie wystąpienia usługi używały tej samej nazwy głównej. Gdy konta usług zarządzane przez grupę są używane jako nazwy główne usług, system operacyjny Windows zarządza hasłem dla konta, zdejmując to zadanie z administratora.
Usługa dystrybucji kluczy firmy Microsoft (kdssvc.dll) zapewnia mechanizm bezpiecznego uzyskiwania najnowszego klucza lub określonego klucza z identyfikatorem klucza dla konta usługi Active Directory. Ta usługa jest nowym składnikiem systemu Windows Server 2012 i nie działa w poprzednich wersjach systemu operacyjnego Windows Server. Usługa dystrybucji kluczy udostępnia klucz tajny, który jest używany do tworzenia kluczy dla konta. Klucze te są co jakiś czas zmieniane. W przypadku konta usługi zarządzanego przez grupę kontroler domeny systemu Windows Server 2012 oblicza hasło dla klucza udostępnionego przez usługi dystrybucji kluczy oprócz innych atrybutów konta usługi zarządzanego przez grupę. Hosty członkowskie systemów Windows Server 2012 i Windows 8 mogą uzyskać bieżące i poprzednie wartości haseł, kontaktując się z kontrolerem domeny systemu Windows Server 2012.
Zastosowania praktyczne
Konta usług zarządzane przez grupę stanowią jedno rozwiązanie w zakresie obsługi tożsamości dla usług uruchomionych w farmie serwerów lub w systemach z równoważeniem obciążenia sieciowego. Zapewniając rozwiązanie w zakresie kont usług zarządzanych przez grupę, można konfigurować usługi dla nowej nazwy głównej zarządzanego konta i korzystać z obsługi haseł przez system Windows.
Użycie konta usługi zarządzanego przez grupę nie oznacza, że usługi lub administratorzy usług nie muszą zarządzać synchronizacją haseł między wystąpieniami usługi. Funkcja kont usług zarządzanych przez grupę obsługuje hosty pozostające w trybie offline przez dłuższy czas i zarządzanie hostami członkowskimi dla wszystkich wystąpień usługi. Oznacza to, że można wdrożyć farmę serwerów obsługującą jedną tożsamość, której istniejące komputery klienckie mogą używać do uwierzytelniania bez uprzedniego uzyskania informacji o wystąpieniu usługi, z którym nawiązują połączenie.
Klastry trybu failover nie obsługują kont usług zarządzanych przez grupę. Jednak usługi, które działają ponad usługą klastrowania, mogą używać konta usługi zarządzanego przez grupę lub autonomicznego zarządzanego konta usługi, jeśli należą do jednej z następujących kategorii: usługa systemu Windows, pula aplikacji, zadanie zaplanowane lub usługa natywnie obsługująca konta usług zarządzane przez grupę bądź autonomiczne zarządzane konta usług.
Nowe i zmienione funkcje
Poniższa tabela zawiera informacje dotyczące zmian w funkcji zarządzanych kont usług.
Funkcja |
Windows Server 2008 R2 |
Windows Server 2012 |
---|---|---|
Konta komputerów wirtualnych |
X |
X |
Zarządzane konta usług |
X |
X |
Konta usług zarządzane przez grupę |
X |
|
Polecenia cmdlet programu Windows PowerShell |
X |
X |
Aby uzyskać informacje dotyczące tych zmian w funkcji zarządzanych kont usług, zobacz Co nowego w zarządzanych kontach usług.
Funkcje uznane za przestarzałe
W przypadku systemu Windows Server 2012 polecenia cmdlet programu Windows PowerShell domyślnie zarządzają kontami usług zarządzanymi przez grupę, a nie oryginalnymi autonomicznymi zarządzanymi kontami usług.
Wymagania dotyczące oprogramowania
Zarządzane konta usług (i konta komputerów wirtualnych) dotyczą zarówno systemu Windows Server 2008 R2, jak i systemu Windows Server 2012. Konta usług zarządzane przez grupę można konfigurować (i zarządzać nimi) tylko na komputerach z systemem Windows Server 2012, ale można je wdrażać jako rozwiązanie w zakresie jednej tożsamości usługi w domenach, które nadal mają kilka kontrolerów domeny z systemami operacyjnymi wcześniejszymi niż Windows Server 2012. Nie określono żadnych wymagań dotyczących poziomu funkcjonalnego domeny ani lasu.
Do uruchomienia poleceń środowiska Windows PowerShell, które są używane w celu administrowania kontami usług zarządzanymi przez grupę, jest wymagana architektura 64-bitowa.
Zarządzane konto usługi jest zależne od typów szyfrowania obsługiwanych przez protokół Kerberos. Gdy komputer kliencki uwierzytelnia się na serwerze przy użyciu protokołu Kerberos, kontroler domeny tworzy bilet usługi Kerberos chroniony przy użyciu szyfrowania obsługiwanego zarówno przez kontroler domeny, jak i serwer. Kontroler domeny używa atrybutu msDS-SupportedEncryptionTypes konta w celu określenia, jakie szyfrowanie jest obsługiwane przez serwer, a jeśli nie ma atrybutu, zakłada, że komputer kliencki nie obsługuje silniejszych typów szyfrowania. Jeśli host systemu Windows Server 2012 jest skonfigurowany bez obsługi szyfrowania RC4, uwierzytelnianie zawsze kończy się niepowodzeniem. Dlatego szyfrowanie AES powinno być zawsze wyraźnie konfigurowane na potrzeby zarządzanych kont usług.
Uwaga
Począwszy od systemu Windows Server 2008 R2, szyfrowanie DES jest domyślnie wyłączone. Aby uzyskać więcej informacji dotyczących typów szyfrowania, zobacz Zmiany w uwierzytelnianiu Kerberos.
Konta usług zarządzane przez grupę nie mają zastosowania do systemów operacyjnych Windows starszych niż Windows Server 2012.
Informacje o Menedżerze serwera
Implementacja zarządzanych kont usług i kont usług zarządzanych przez grupę przy użyciu Menedżera serwera lub polecenia cmdlet Install-WindowsFeature nie wymaga żadnych kroków konfiguracyjnych.
Zobacz też
Poniższa tabela zawiera łącza do dodatkowych zasobów związanych z zarządzanymi kontami usług i kontami usług zarządzanymi przez grupę.
Typ zawartości |
Odwołania |
---|---|
Ocena produktu |
Co nowego w zarządzanych kontach usług Dokumentacja zarządzanych kont usług dla systemów Windows 7 i Windows Server 2008 R2 |
Planowanie |
Jeszcze niedostępne |
Wdrażanie |
Jeszcze niedostępne |
Operacje |
|
Rozwiązywanie problemów |
Jeszcze niedostępne |
Ocena |
|
Narzędzia i ustawienia |
Zarządzane konta usług w usługach domenowych Active Directory |
Zasoby społeczności |
Zarządzane konta usług: opis, implementacja, najlepsze rozwiązania i rozwiązywanie problemów |
Technologie pokrewne |