我有一个名为cox.win.testlab的Windows 2012 R2域控制器。 我已经build立了一组主机,我想使用gMSA(Group Managed Service Account)。 这个组叫做SQLManagedHosts 。
我通过在域控制器上的Powershell中执行以下步骤来创build帐户:
PS C:\Windows\system32> Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) Guid ---- 9b68b1e7-db76-c4e4-4978-63c2965e5596 PS C:\Windows\system32> New-ADServiceAccount mSQL -DNSHostName cox.win.testlab -PrincipalsAllowedToRetrieveManagedPassword SQLManagedHosts PS C:\Windows\system32> Get-ADServiceAccount msql DistinguishedName : CN=mSQL,CN=Managed Service Accounts,DC=win,DC=testlab Enabled : True Name : mSQL ObjectClass : msDS-GroupManagedServiceAccount ObjectGUID : cf9df74a-38e0-4d7a-856e-9af882b08800 SamAccountName : mSQL$ SID : S-1-5-21-3443997112-87545443-1733229669-1602 UserPrincipalName :
在SQLManagedHosts中列出的主机之一,我跑了:
PS C:\Windows\system32> Install-ADServiceAccount msql Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'. At line:1 char:1 + Install-ADServiceAccount msql + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : WriteError: (mSQL:String) [Install-ADServiceAccount], ADException + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAcccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
任何想法,为什么它可能会失败? 涉及的所有服务器都是Windows Server 2012 R2。
您不能使用SQL服务的gMSA,它不受支持。 你必须改用MSA。
资料来源: http : //blogs.msdn.com/b/sqlosteam/archive/2014/02/19/msa-accounts-used-with-sql.aspx
我不知道为什么它可能会失败,但当我搞乱了gMSAs和SQL,我使用这个GUI,它工作正常。
GMSA GUI
如果您只是最近创build了SQLManagedHosts安全组并将计算机对象添加到它,则必须重新启动服务器以使组成员身份生效。 由于服务器如果不是安全组的成员,检索托pipe密码将失败。
规划组pipe理安全组的安全组时,需要记住这一点。
我现在这是一个旧的post,但我想我仍然会提到它。 看这个video。 https://www.youtube.com/watch?v=9TcSCAVcIYE
我想你可能已经错过了一些步骤。 希望能帮助到你。