Grup Yönetilen Hizmet Hesaplarına Genel Bakış

Uygulama Alanı: Windows Server 2012 R2, Windows Server 2012

BT uzmanlarına yönelik olan bu konuda pratik uygulamalar, Microsoft uygulamasındaki değişiklikler, donanım ve yazılım gereksinimleri ile Windows Server 2012’ye ait ek kaynaklar açıklanmış ve grup tarafından Yönetilen Hizmet Hesabı gösterilmiştir.

Şunu mu demek istediniz...

• Hizmet hesapları 

• Yönetilen Hizmet Hesapları (tek başına)

Özellik açıklaması

Windows Server 2008 R2 ve Windows 7'de tanıtılan Tek Başına Yönetilen Hizmet Hesapları, yönetimin diğer yöneticilere devredilmesi dahil olmak üzere otomatik parola yönetimi ve basitleştirilmiş SPN yönetimi sağlayan, yönetilen etki alanı hesaplarıdır.

Grup tarafından Yönetilen Hizmet Hesabı, etki alanında aynı işlevselliği sunar, ancak aynı zamanda bu işlevselliği birden fazla sunucuya genişletir. Ağ Yükü Dengesi gibi bir sunucu grubunda barındırılan bir hizmete bağlanırken, karşılıklı kimlik doğrulamayı destekleyen kimlik doğrulama protokolleri tüm hizmet örneklerinin aynı asıl adı kullanmasını gerektirir. Grup tarafından Yönetilen Hizmet Hesabı hizmet asıl adı olarak kullanıldığında hesap parolası yönetici tarafından değil, Windows işletim sistemi tarafından yönetilir.

Microsoft Anahtar Dağıtım Hizmeti (kdssvc.dll), en son anahtarın veya Active Directory hesabına ait anahtar tanımlayıcısını içeren belirli bir anahtarın güvenli bir şekilde alınması için mekanizma sağlar. Bu hizmet Windows Server 2012’de yenidir ve önceki Windows Server işletim sistemi sürümlerinde çalışmaz. Anahtar Dağıtım Hizmeti, hesap için anahtar oluşturmak üzere kullanılan bir gizli anahtar paylaşır. Bu anahtarlar düzenli aralıklarla değiştirilir. Grup tarafından Yönetilen Hizmet Hesabı için Windows Server 2012 etki alanı denetleyicisi, grup tarafından Yönetilen Hizmet Hesabı’na ait diğer özniteliklerin yanı sıra Anahtar Dağıtım Hizmeti tarafından sağlanan anahtardaki parolayı hesaplar.Windows Server 2012 ve Windows 8 üye ana bilgisayarları, bir Windows Server 2012 etki alanı denetleyicisi ile iletişim kurarak geçerli ve daha önceki parola değerlerini alabilir.

Pratik uygulamalar

Grup tarafından Yönetilen Hizmet Hesapları, sunucu grubunda veya Ağ Yükü Dengesi’nin arkasındaki sistemlerde çalışan hizmetler için tek bir kimlik çözümü sağlar. Hizmetler, bir grup MSA çözümü sağlanarak yeni grup MSA asıl adı için yapılandırılabilir ve parola yönetimi Windows tarafından gerçekleştirilir.

Grup tarafından Yönetilen Hizmet Hesabı sayesinde, hizmetlerin veya hizmet yöneticilerinin hizmet örnekleri arasında parola eşitlemesini yönetmeleri gerekmez. Grup tarafından Yönetilen Hizmet Hesabı, uzun bir süre çevrimdışı tutulan ana bilgisayarları ve bir hizmetin tüm örneklerine ait üye ana bilgisayarların yönetimini destekler. Bu, var olan istemci bilgisayarların bağlandıkları hizmet örneğini bilmeden kimlik doğrulama gerçekleştirebilecekleri tek bir kimliği destekleyen sunucu grubunu dağıtabileceğiniz anlamına gelir.

Yük devretme kümeleri gMSA'ları desteklemez. Ancak, küme hizmeti üstünde çalışan hizmetler bir Windows hizmeti, bir Uygulama havuzu, zamanlanmış bir görev olduklarında veya gMSA veya sMSA'yı yerel olarak desteklediklerinde bir gMSA'yı veya sMSA'yı kullanabilirler.

Yeni ve değiştirilmiş işlevsellik

Aşağıdaki tabloda MSA özelliğindeki değişiklikler belirtilmiştir.

MSA işlevindeki bu değişiklikler ile ilgili bilgi edinmek için bkz. Yönetilen Hizmet Hesapları Yenilikleri.

Kullanım dışı işlevsellik

Windows Server 2012 için, Windows PowerShell cmdlet'leri varsayılan olarak özgün tek başına Yönetilen Hizmet Hesapları yerine grup tarafından Yönetilen Hizmet Hesaplarını yönetmeye ayarlanır.

Yazılım gereksinimleri

Yönetilen Hizmet Hesapları (ve Sanal Bilgisayar Hesapları) hem Windows Server 2008 R2 hem de Windows Server 2012 için geçerlidir. Grup tarafından Yönetilen Hizmet Hesapları yalnızca Windows Server 2012 çalıştıran bilgisayarlarda yapılandırılabilir ve yönetilebilir; ancak Windows Server 2012’den önceki işletim sistemlerini çalıştıran DC’lere sahip olan etki alanlarında tek bir hizmet kimliği çözümü olarak dağıtılabilir. Etki alanı veya orman işlev düzeyi gereksinimi yoktur.

Grup Yönetilen Hizmet Hesaplarını yönetmek için kullanılan Windows PowerShell komutlarını çalıştırmak için 64-bitlik bir mimari gereklidir.

Yönetilen bir hizmet hesabı, Kerberos tarafından desteklenen şifreleme türlerine bağlıdır. İstemci bilgisayar Kerberos kullanarak bir sunucuda kimlik doğrulama gerçekleştirdiğinde, DC tarafından hem DC’nin hem de sunucunun desteklediği şifreleme ile korunan bir Kerberos hizmet anahtarı oluşturulur. DC, sunucu tarafından desteklenen şifrelemeyi belirlemek için hesabın msDS-SupportedEncryptionTypes özniteliğini kullanır. Öznitelik yoksa, DC istemci bilgisayarın daha güçlü şifreleme türlerini desteklemediğini varsayar.Windows Server 2012 ana bilgisayarı RC4’ü desteklemeyecek şekilde yapılandırıldıysa kimlik doğrulama her zaman başarısız olur. Bu nedenle, AES’nin MSA’lar için her zaman açık bir şekilde yapılandırılması gerekir.

Grup tarafından Yönetilen Hizmet Hesapları, Windows Server 2012’den önceki Windows işletim sistemlerinde kullanılamaz.

Sunucu Yöneticisi bilgileri

Sunucu Yöneticisi’ni veya Install-WindowsFeature cmdlet’ini kullanarak MSA’nın ve grup MSA’nın uygulanması için gerekli yapılandırma adımı yoktur.

Ayrıca bkz.

Aşağıdaki tabloda, Yönetilen Hizmet Hesapları ve grup tarafından Yönetilen Hizmet Hesapları ile ilgili ek kaynaklara ait bağlantılar sağlanmıştır.