그룹 관리 서비스 계정: -PrincipalsAllowedToRetrieveManagedPassword

Install-ADServiceAccount-PrincipalsAllowedToRetrieveManagedPassword를 설정하면 gMSA를 사용하기 전에 수행해야 하는 또 다른 단계인 의 사용이 제한됩니다 . gMSA가 설치되면 PrincipalsAllowed 설정에 관계없이 서비스가 시작됩니다.관리 비밀번호가 변경될 때까지.

PrincipalsAllowed 엔터티에 포함되지 않은 gMSA를 사용하는 모든 컴퓨터는 관리 암호를 변경할 수 없으며, 변경된 후 도메인에서 관리 암호를 검색할 수도 없습니다. gMSA 관리 암호가 해당 권한이 있는 컴퓨터에 의해 변경된 경우 PrincipalsAllowed 엔터티에 없는 컴퓨터에서 실행되는 서비스에 대한 로그온 오류가 발생합니다.

특정 gMSA를 사용하여 서비스를 실행하는 모든 컴퓨터가 해당 gMSA에 대한 PrincipalsAllowed 엔터티에 포함되어 있는지 확인해야 합니다.~ 할 것이다서비스 시작/재시작에 문제가 발생합니다(기본 관리 비밀번호 변경이 30일로 예정되어 있으므로 한 달 후).

https://technet.microsoft.com/en-us/library/hh852196%28v=wps.630%29.aspx

노트 관리 서비스 계정을 성공적으로 설치하려면 먼저 New-ADServiceAccount 또는 Set-ADServiceAccount cmdlet을 사용하여 서비스 계정에 PrincipalsAllowedToRetrieveManagedPassword 매개 변수 옵션을 설정해야 합니다. 그렇지 않으면 설치가 실패합니다.

예:

# Running this on APPSERVER1

$appServer1 = Get-ADComputer APPSERVER1
$appServer2 = Get-ADComputer APPSERVER2

$gMSA = New-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2 -DnsHostName 'APP1'

Install-ADServiceAccount 'APP1'
Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1
+ Install-ADServiceAccount 'APP1'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : WriteError: (APP1:String) [Install-ADServiceAccount], ADException
    + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount

Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer1

Install-ADServiceAccount 'APP1'

이제 마지막 명령이 성공합니다. 서비스 자격 증명을 구성하면 서비스가 시작됩니다.

Set-ADServiceAccount 'APP1' -PrincipalsAllowedToRetrieveManagedPassword $appServer2

이제 서비스를 다시 시작해도 계속 작동합니다. 그러나 이를 수행 Uninstall-ADServiceAccount한 후 다시 설치하려고 하면 위와 동일한 오류가 발생합니다.

그 사이에 APPSERVER2가 비밀번호를 변경한 경우에도 로그온 실패로 인해 서비스 시작이 실패합니다.

다음 출력을 검사해야 합니다.

Test-ADServiceAccount dev-service