পরিচালিত পরিষেবা অ্যাকাউন্টের জন্য ডিএনএস হোস্টের নাম সেট করবেন?

ডকুমেন্টেশন উদাহরণ রয়েছে:

New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true

এই প্যারামিটারটি প্রয়োজনীয়। এটার উদ্দেশ্য ঠিক কী DNSHostNameএবং কীভাবে সেট করতে হবে তা আমি কীভাবে সিদ্ধান্ত নেব?

এই অ্যাকাউন্টগুলির সাথে কিছুক্ষণ কাজ করার পরে, আমি মনে করি আমি এর কারণটি খুঁজে পেয়েছি:

এগুলি কিছু উপসেট, বা মেশিনের ধরণের অ্যাকাউন্টগুলির ডেরাইভেটিভ। অতএব তারা তাদের কাছ থেকে এই সম্পত্তি উত্তরাধিকারী, এবং যেহেতু এটি মেশিনের ধরণের জন্য প্রয়োজনীয়, এটি জিএমএসএর জন্যও প্রয়োজনীয়।

উভয় প্রকারের তারা বৈশিষ্ট্যযুক্ত সেটগুলিতে ঘনিষ্ঠভাবে মিলছে তা আপনি পরীক্ষা করতে পারেন। সমস্ত টেকনেট ডকুমেন্টেশনেও তারা এই বৈশিষ্ট্যের জন্য কেবল একটি সাধারণ অনন্য মান দেয় gmsa-name.contoso.com, যেমন কোনও মেশিন অ্যাকাউন্ট রয়েছে।

কেন তারা কেবল এটি অটোজেনারেট করেনি তা নিশ্চিত নয় এবং আমাদের আশ্চর্য এবং টাইপিংয়ের হাত থেকে বাঁচায়।

DNSHostName আপনার পরিষেবার নাম হওয়া উচিত। একটি ক্লাস্টারের ক্ষেত্রে এটি আপনার ভার্চুয়াল উদাহরণের নাম।

DNSHostName অ্যাকাউন্টের SPN অটো-নিবন্ধের সাথে সম্পর্কিত। অ্যাক্টিভ ডিরেক্টরিতে কম্পিউটার এবং জিএমএসএর কাছে "সার্ভিস প্রিন্সিপালনেমকে বৈধ লেখার অনুমতি দিন" এর অনুমতি রয়েছে। এর অর্থ হল যে কোনও কম্পিউটার কেবল নিজের নাম ধারণ করে এমন এসপিএন নিবন্ধন করতে পারে। উদাহরণ: একটি কম্পিউটার নামযুক্ত ওয়েবসারভার 1 (ডিএনএস: Webserver1.mydomain.net) http: /Webserver1.mydomain.net: 443 তে স্বতঃ-নিবন্ধন করতে পারে তবে http: /Webserver55.mydomain.net: 443 নিবন্ধন করতে পারবেন না

সুতরাং, কোনও জিএমএসএর DNSHostName আপনাকে কোনও পরিষেবার জন্য নিবন্ধিত করতে চান এমন SPN গুলি প্রতিফলিত করে।

একটি এসকিউএল ক্লাস্টারে আপনার 2 হোস্ট থাকে: হোস্ট 1 এবং হোস্ট 2। একটি ক্লাস্টারনাম: ক্লু 1 এবং একটি ভার্চুয়াল এসকিউএল ইনস্ট্যান্স: এসকিউএল 1 আপনি যদি এসকিউএল 1 পরিষেবা চালানোর জন্য কোনও জিএমএসএ ব্যবহার করতে চান তবে আপনি এটি এটি তৈরি করতে পারেন।

$comp1 = get-adcomputer Host1

$comp2 = get-adcomputer Host2

New-ADServiceAccount -Name gmsa01 -DNSHostName sql1.mydomain.net -PrincipalsAllowedToRetrieveManagedPassword $comp1, $comp2 (আপনি সরাসরি হোস্টগুলিকে অধিকার নির্ধারণের পরিবর্তে একটি গোষ্ঠীও ব্যবহার করতে পারেন)।

যখনই এসকিউএল পরিষেবা শুরু হবে, এটি স্বয়ংক্রিয়ভাবে 2 এসপিএন নিবন্ধিত করবে: এমএসএসকিউএলএসভিসি / এসকিএল 1.mydomain.net এমএসএসকিউএলএসভিসি / এসকিএল 1.mydomain.net: 1433

আপনি যদি ডিএনএসহস্টনেমে অন্য কিছু রাখেন (উদাহরণস্বরূপ gmsa01.mydomain.net), পরিষেবাটি এখনও চালু হবে তবে এটি এসপিএন নিবন্ধিত করতে ব্যর্থ হবে (এবং এনটিএলএম অনুমোদনে ফিরে যাবে)।

আপনি যদি কার্বেরোস অথেনটিকেশন (এবং এসপিএন) এর বিষয়ে চিন্তা না করেন বা আপনার পরিষেবার জন্য ম্যানুয়ালি এসপিএন নিবন্ধন করতে ঠিক থাকেন তবে আপনি ডিএনএসহস্টনামে যা খুশি রাখতে পারেন। জিএমএসএ এখনও কাজ করবে।

আমি পূর্বে উল্লিখিত হিসাবে আপনার ডোমেনকন্ট্রোলারটিকে ডিএনএসনেমে রাখার পরামর্শ দেব না (যদি আপনি কোনও ডোমেন নিয়ামকের উপর কোনও পরিষেবা চালানোর জন্য জিএমএসএ ব্যবহার করার পরিকল্পনা না করেন)।

আমি এই বিষয়ে কোন বিশেষজ্ঞ নই। যাইহোক, এই বিষয়টিতে তথ্যের এমন অভাব রয়েছে যা আমি জানি যা পোস্ট করা এটি মূল্যবান বলে মনে করি

-4০-৪১১ কোর্সের প্রশিক্ষক আমি DNSHostNameযখন New-ADServiceAccountসেমিডলেট দেখিয়েছিল তখন প্যারামিটারের মান হিসাবে একটি ডোমেন নিয়ামকের FQDN ব্যবহার করেছি। আমি এটি যেমন বুঝতে পারি, DNSHostNameঠিক সেমিডলেটকে বলে যে কোন ডোমেন নিয়ন্ত্রক যার উপর অ্যাকাউন্ট তৈরি করবেন। আপনি কোন ডিসি ব্যবহার করেন তা বিবেচনা করি না, এই জিএমএসএ'র তত্ক্ষণাত অনুলিপি করা হবে বলে মনে হয়। আমি DNSHostNameআমার এক ডিসির দিকে ইঙ্গিত করেছি এবং এটি এখনও পর্যন্ত কাজ করছে বলে মনে হচ্ছে।

আমি সত্যিই বরং এই বিষয়ে কিছু কংক্রিট ডকুমেন্টেশন চাই। প্রযোজ্য TechNet কমান্ড রেফারেন্স মাত্র দ্বিরূক্ত আজেবাজে কথা হয় DNSHostNameপ্যারামিটার।

আপনি যখন প্যারামিটারটি যুক্ত করেন -স্ট্রেস্টটোটো সিঙ্গল কম্পিউটার uter এটি আর প্রয়োজন হয় না। অবশ্যই আপনার এটি ব্যবহার করার আগে সেই বিকল্পটি সম্পর্কে পড়া উচিত।

ভালো লেগেছে:

New-ADServiceAccount service1 -Enabled $true -RestrictToSingleComputer

আমি একটি দীর্ঘ সময়ের জন্য একটি উত্তর খুঁজছিলাম এবং অবশেষে আমার কাছে সত্য বলে মনে হচ্ছে এমন একটি পেয়েছি।

-DNSHostName সেই ডিসির FQDN হওয়া উচিত যা কেডিএস মাস্টার কী - msKds-ProvRootKey ধারণ করে।

সম্ভবত আপনি এটি ইতিমধ্যে তৈরি করেছেন - আপনার এডি বনের কনফিগারেশন পার্টিশনে গ্রুপ কী বিতরণ পরিষেবা ধারকটি একবার দেখুন।

এবং প্রিন্সিপালস অ্যালাউডড টো রিটারিভ ম্যানেজডপ্যাসওয়ার্ডে তাদের নাম সেট করা পর্যন্ত আপনি সেই বনে যে কোনও ডিসি ব্যবহার করতে পারবেন

উপরের সমস্তগুলি "নতুন" জিএমএসএ প্রতিনিধিত্ব করে, সুতরাং আপনি যদি পরিবর্তে পুরানো এমএসএ ব্যবহার করতে চান তবে সেই -DNSHostName সম্পর্কে কেবল ভুলে যান কারণ কিছু সার্ভারে অ্যাকাউন্ট লক করে কেবল -RestrictToSingleComputer ব্যবহার করুন।

আশা করি এইটি কাজ করবে.

https://social.technet.microsoft.com/Forums/windowsserver/en-US/9a66d1d5-44e9-4ea1-ba9c-88862023c4e1/why-does-a-gmsa-need-a-dns-host-name-eg- newadserviceaccount-dnshostname? ফোরাম = winserver8gen

আমার অভিজ্ঞতা থেকে মনে হয় এটি ডিসির সন্ধান করছে। আমি একজন সদস্য সার্ভারে একটি পরীক্ষা চালিয়েছি এবং -DNSHostName এর জন্য অনুরোধ জানানো হয়েছিল আমি একটি ডিসি থেকে একই পরীক্ষাটি চালিয়েছি এবং প্রম্পটটি পাইনি।

প্রোড দ্বারা উত্তরটি উদ্ধৃত করে জানুয়ারি 17, 2018 এ কেন একটি জিএমএসএর জন্য ডিএনএস হোস্ট নাম প্রয়োজন? (এটির আগে উদ্ধৃত করার জন্য @ ড্যানিয়েলকে ধন্যবাদ)

আমি dNSHostNameAD-Computer অবজেক্ট ( sAMAccountName+ এবং আপনার ডোমেন প্রত্যয়) হিসাবে যেমন সেট করা আছে ঠিক তেমন সেট করার পরামর্শ দেব

… কারণ:

• msDS-GroupManagedServiceAccountAD-Computer(এডি স্কিমার শর্তাবলী) থেকে উত্তরাধিকার সূত্রে প্রাপ্ত হয়, সুতরাং এটি সরবরাহ করা প্রয়োজন
• প্রস্তাবিত কনভেনশন সমস্ত বিদ্যমান উদাহরণগুলি বোঝায়

এই লিঙ্কটি দেখুন: http://blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx

DNSHostName আপনার পরিষেবা অ্যাকাউন্টের নামটির সম্পূর্ণরূপে যোগ্যতাসম্পন্ন ডোমেন নাম।

নতুন-এডিএসওয়ারি অ্যাকাউন্ট অ্যাকাউন্ট -DNSHostName