Windows Server 2012 R2 ile Stand-Alone Yönetilen Servis Hesapları Managed Service Accounts – MSAs
Yeni bir makale ile sizlerle Windows Server 2012 R2 yeteneklerini paylaşmaya devam ediyoruz. Bu makalemizde de sizlerle Microsoft’un yeni nesil işletim sistemi olan Windows Server 2012 R2 bakış açısı ile Active Directory Domain Servislerinde “Yönetilen Servis Hesapları (Managed Service Accounts (MSA) ) konusunu detaylarıyla ve uygulamalı olarak ele alacağız. Portalımızda daha önce Windows Server 2008 R2 İle Active Directory Domain Servislerinde Gelen Yenilikler – Managed Service Accounts (Yönetilen Servis Hesapları) makalemizde Windows Server 2008 R2 bakış açısı ile sizlerle paylaşmıştık. Windows Server 2012 ve Windows Server 2012 R2 ile yetenekleri daha da geliştirilen yönetilen servis hesapları (MSA) BT çalışanları için her geçen daha da önemli olduğunu gözlüyoruz. Zira hem servis hesaplarında güvenlik hem de operasyonel kolaylık avantajları ile kurum ve kuruluşlarda “servis hesaplarının dönüşümü” ya da “yeni servis hesabı modeline geçiş” gibi başlıklar altında gündemdeki yerini çoktan almış durumda. Makalemizde Windows Server 2012 R2 ile Managed Service Account (MSA) yani Yönetilen Servis Hesaplarını detaylarıyla, uygulamalı olarak inceliyoruz.
Windows Server 2012 ve Windows Server 2012 R2 ile yönetilen servis hesapları iki tipte geliyor:
Stand-alone Managed Service Accounts (MSA)
Group Managed Service Accounts (gMSA)
Biz bu makalemizde sizlerle Stand-Alone Managed Service Account nesnelerini inceliyoruz. Bir sonraki makale serimizde de detaylı olarak group managed service account yapılarını inceliyor olacağız.
SQL Server, IIS (Internet Information Server), SCCM (System Center Configuration Manager), SCOM (System Center Operations Manager) vb. gibi ürünlerin kurulumunu yapmış ya da kurulan uygulamayı kullanıyorsunuzdur. Bu uygulamaların çalışmasını, işlevini yerine getirmesini ve kullanıcıların da bu uygulamalara bağlanıp işlemlerini yapmaları için uygulamalara ait arka tarafta gerekli servislerin sağlıklı bir şekilde çalışıyor olması gerekiyor. Uygulamalara ait bu servislerin sistem açıldığında çalışmasını sağlayan servis hesapları uygulamanın kurulumu esnasından tanımlanır. Örneğin bir SQL Server kurulumunu yaparken (SQL Server 2008 kurulumu ve kurulum aşamasındaki ayarları SQL SERVER 2008 – Kurulum makalesinden inceleyebilirsiniz.) kurulum esnasında SQL Server uygulamasına ait bileşenleri çalıştıracak kullanıcı hesabı tanımlamasını gerçekleştiririz. Burada kullanacağımız kullanıcı hesabını öncelikle active directory domain yapısında ya da yerel bilgisayarımızda oluşturup, güvenli bir parola da tanımı yaparız. SQL Server uygulamasının kurulumu esnasında da bu kullanıcıyı ve parolasını tanımlarız. İlerleyen zamanlarda eğer kullanıcıya ait parolayı değiştirirseniz bu durumda o andan itibaren o kullanıcı hesabını kullanan SQL servisleri çalışmayacaktır. Böyle bir durumda ya gidip kullanıcı heasabına eski şifreyi tanımlamanız gerekecek, ya da yeni şifreyi SQL Server’a ait o hesabı kullanan tüm servislerde yeniden tek tek tanımlamanız gerekecektir. Sisteminizde çok sayıda SQL Server kurulu sunucu varsa ve tamamında aynı kullanıcı hesabını kullandıysanız bütün sunucularda bu güncellemeyi yapmanız gerekecektir. Windows Server 2012 R2 domain yapılarında oluşturulan ve sadece uygulamalara ait servisler üzerinde kullanmak için tasarlanmış Managed Service Account (MSA) – Yönetilen Servis Hesapları sayesinde artık yukarda söz ettiğimiz zorluklar rafa kalkmış oldu. Yönetilen Servis Hesapları ile Windows Server 2012 R2 domain seviyesinde Service Principal Names (SPNs) yönetimi de daha da iyileştirilmiş oldu. Bu özellik sayesinde kesilmeleri de azaltılarak toplam sahip olma maliyeti düşürülmüş olacak (Örneğin yukarıda da bahsettiğimiz gibi değiştirilen servis hesabı şifrelerinin yeniden tanımlanmasından doğan kesintiler.) .
Yönetilen servis hesabına active directory tarafından bir parola ataması ve yönetimi arka tarafta otomatik olarak gerçekleştirilir. Ve bu atanan parola yine parola yenilenme dönemlerinde active directory tarafından otomatik olarak yenilenerek hesabın kullanıldığı bilgisayarlardaki servislere de otomatik olarak güncellenir. Yönetilen Servis Hesaplarının uygulama aşamalarını şu şekilde tanımlayabiliriz:
Active Directory içerisinde yönetilen servis hesabının oluşturulması
Yönetilen Servis Hesabının kullanılacak bilgisayarlara yüklenmesi
Yönetilen Servis Hesabının uygulamalara ait servislere tanımlanması
Yönetilen servis hesapları çoğu servis senaryolarında faydalı olmasına rağmen bazı sınırlılıkları söz konusudur:
Stand-Alone Yönetilen Servis Hesapları Çoklu Bilgisayarlar Arası Paylaşılamaz – Yönetilen Servis hesabı spesifik bir bilgisayar hesabına ilişkilendirilir. Ve aynı anda birden fazla bilgisayara yüklenemez. Pratik hayatta stand-alone yönetilen servis hesabının kullanılamayacağı yapılar için örnek vermek gerekirse :
Cluster node’larında
Load-balance uygulanmış bir web server grubunda
Oluşturulan bir stand-alone yönetilen servis hesabı aynı anda sadece bir client üzerinde kullanılabilir. Yani yönetilen servis hesapları birden fazla bilgisayar arasında paylaşılamaz. Bundan dolayı stand-alone yönetilen servis hesapları cluster fail-over senaryoları için uygun değildir. Aynı zamanda bir yük dengeleyici (load balancer) üzerindeki kimlik mekanizmasında da yönetilen servis hesabının Kerberos SPN tanımının yapılması gerekeceğinden bu yapı için de uygun değildir. Burada Load balance seneryosundan kastettiğimiz yapının içerisinde Microsoft yazılım-tabanlı ve üçüncü-parti donanım ve yazılım-tabanlı yük dağıtım çözümleri kapsanmaktadır. Kısacası eğer cluster kuruyorsanız ya da NLB kuruyorsanız, stand-alone yönetilen servis hesabı yerine group-managed servis hesaplarını kullanmanız gerekir.
Bir diğer yandan aynı bilgisayar üzerinde birden fazla yönetilen servis hesabı yüklenebilir. Eğer 5 servisi olan bir uygulamanız varsa, burada önerilen bu 5 servis üzerinde de tek bir tane servis hesabının kullanılması ya da 5 farklı yönetilen servis hesabının ayrı ayrı yüklenmesi ve kullanılması.
Stand-Alone Yönetilen Servis Hesapları minimum Windows Server 2008 R2 sunucu işletim sisteminde, Windows 7 client işletim sisteminde çalışan bilgisayarlarda kullanılabilir. Biz bu makalemizde Windows Server 2012 R2 ve Windows Server 2012 sunucu arabirimi ve Windows 8.1 ve Windows 8 client bilgisayarlarda çalışan arabirime göre gerçekleştiriyor olacağız.
Windows Server 2003 ya da Windows Server 2008 modda çalışan domain yapılarında yönetilen servis hesaplarının kullanılabilmesi için ilave bazı konfigürasyonların da yapılması gerekir. Bunlar:
Mevcut active directory forest schema yapısı minimum Windows Server 2012 seviyesine yükseltilmelidir.
Yönetilen servis hesabını kullanacağınız domainlerde minimum bir adet Windows Server 2012 ve üzeri domain controller sunucuya sahip olmanız gerekir.
Diğer yandan otomatik şifre ve SPN yönetimi için de domain fonksiyonel seviyesinin minimum Windows Server 2008 R2 ve üzerinde bir seviyede olmalıdır. Domain fonksiyonel seviyesi Windows Server 2003 ya da Windows Server 2008 ise, otomatik şifre yönetimi çalışır, fakat otomatik SPN yönetimi çalışmaz, dolayısıyla SPN’ler administrator’lar tarafından yönetilecektir.
Ayrıca Windows Powershell komutlarını kullanarak domain içerisindeki yönetilen servis hesaplarının yönetimini yapmak için de Windows Server 2012 ve üzeri sunucu işletim sisteminde ya da Windows 8 ve üzeri client işletim sisteminde çalışan bir member server bilgisayarını yapılandırmanız gerekir.
Yönetilen Servis Hesaplarının kullanılabilmesi için domain ya da forest seviyesinin Windows Server 2008 R2’de olmasına gerek yoktur.Fakat domain ya da forest seviyesinin minimum Windows Server 2008 R2’de olması durumunda servis hesaplarının SPN yönetimi arka planda otomatik olarak gerçekleşecektir. Eğer domain ya da forest seviyesinin Windows Server 2008 ya da Windows Server 2003 seviyesinde olması durumunda servis hesaplarının SPN yönetimi yani register/unregister işlemleri elle yapılandırılmalıdır.
Yönetilen servis hesaplarının oluşturulması, yönetilmesi ve uygulanması tamamen Windows PowerShell komut satırı aracı ile gerçekleştirilir. Yönetilen servis hesaplarının yönetiminde Windows’un native olarak grafiksel yönetim arabirimi bulunmamaktadır. Fakat üçüncü parti olarak bazı uygulamalar bulunmaktadır. Bunlardan sık kullanılan birkaçını makalelerimiz içerisinde de sizlerle paylaşıyor olacağım.
Yönetilen servis hesabı özelliklerinde normal kullanıcı hesabı özelliklerine ait olan tablar gelmez. Sadece Attribute Editor tabı gelir.
Yönetilen Servis hesabının kullanılacağı bilgisayarlarda AD-PowerShell özellikleri yüklü olmalıdır. Bu yüklemeyi Server Manager, Features, Add Features, Remote Administration Tools, Role Administration Tools, AD DS and AD LDS Tools altından Active Directory Powershell Snap-in seçerek gerçekleştirebilirsiniz.
Bu yüklemeden sonra domain ortamında oluşturulan yönetilen servis hesabının o bilgisayarda kullanılabilmesi için o bilgisayar üzerine yüklenmesi gerekir. Bu işlem için de Start, Administrative tools, Active Directory Powershell komut satırını açıp aşağıdaki komutu kullanıyoruz:
Install-ADServiceAccount -identity <SA name>
Bu komut ile o bilgisayarın yönetilen servis hesabının kullanılması için uygun olup olmadığına bakılır. Ve Netlogon ve LSA servislerinde o bilgisayarın üzerine yüklenen servis hesabına ait parola değişikliklerinin otomatik olarak bilgisayar hesabı tarafından gerçekleştirilmesi için gerekli değişiklikler sağlanır.
Yönetilen Servis Hesapları ile normal kullanıcı hesaplarında olduğu gibi sisteme logon işlemlerini yapamazsınız.
Yönetilen Servis Hesapları için Active Directory Schema yapısı içerisinde msDS-ManagedServiceAccount isimli yeni bir nesne sınıfı oluşturuldu.
Yönetilen servis hesapları konfigürasyonu ve yönetiminde kullanılan araçlar ve bunları edinebileceğiniz konumlar aşağıdaki tabloda listelenmiştir:
Araç |
Bulunduğu Konum |
Minimum Windows Server 2012 ve Windows 8 |
|
Managed service account komutları |
Minimum Windows Server 2012 ve Windows 8 |
Dsacls.exe |
Minimum Windows Server 2012 ve Windows 8 |
Sc.exe komut satırı aracı ve Service Control Manager kullanıcı arayüzü |
Minimum Windows Server 2012 ve Windows 8 |
Services konsolu |
Minimum Windows Server 2012 ve Windows 8 |
SetSPN.exe |
Minimum Windows Server 2012 ve Windows 8 |
Yönetilen Servis Hesabı işlemleri yapılmadan önce bu işlemlerin yapılacağı client ya da sunucu sistem üzerine .NET Framework 3.5x ve Active Directory module for Windows PowerShell bileşenlerinin yüklenmesi gerekir demiştik.
Windows Server 2012 R2 üzerine .NET Framework ve Active Directory module for Windows PowerShell kurulumu için aşağıdaki adımları yerine getirmeniz yeterlidir.
- Start, menüden Administrative Tools, altından Server Manager konsolu açılır.
- Features, altında Add Features tıklanır.
- Select Features sayfasında NET Framework 3.5.1 Features, altında .NET Framework 3.5.1 seçilir.
- Next, tıklanır ve Install tıklanır.
- Remote Server Administration Tools ve AD DS and AD LDS Tools, altından Active Directory PowerShell Snap-in seçilir.
- Next, tıklanır ve Install butonuna tıklanarak yükleme sürecine geçilir.
- Kurulum tamamlandıktan sonra Add Features Wizard kapatılır.
Windows 8.1 üzerine .NET Framework ve Active Directory module for Windows PowerShell kurulumu için aşağıdaki adımları yerine getirmeniz yeterlidir.
- Web tarayıcısını açıp http://www.microsoft.com/tr-tr/download/details.aspx?id=39296 adresinden RSAT aracı disk üzerine indirilir.
- İndirilen dosyaya çift tıklanarak Remote Server Administration Tools kurulumu yapılır.
- Start menüden Control Panel gelinir.
- Programs, altından Programs and Features, altında sol tarafta bulunan Turn Windows features on or off tıklanır.
- Microsoft .NET Framework 3.5.1 seçili olduğu kontrol edilir. Eğer seçili değilse seçilir..
- Remote Server Administration Tools altından AD DS and AD LDS Tools, altından Active Directory PowerShell Snap-in seçilir.
- OK tıklanır.
ÖNEMLİ NOT : Eğer .NET Framework, bileşeni aktifleştirilirse bilgisayar yeniden başlatılması için sizi uyaracaktır.
Stand-Alone Yönetilen Servis Hesabı Çalışma Mimarisi
Windows Server 2012 R2 AD Schema msDS-ManagedServiceAccount isimli yeni bir nesne sınıfı getirdi. Bu sınıf sayesinden Yönetilen servis hesabını uygulayabiliyoruz. Aşağıda oluşturulan bir yönetilen servis hesabının nesne sınıfı kalıtım yapısı görünmektedir:
Computer
msDS-ManagedServiceAccount
organizationalPerson
Top
User
Buradaki nesne aslında domain ortamında çalışan bilgisayar hesapları gibi aynı zamanda hem bir kullanıcı hem de bir bilgisayar nesnesine ait özellikleri sergiler. Fakat bir bilgisayar nesnesi gibi personsınıfına sahip değildir, onun yerine msDS-ManagedServiceAccount sınıfını kullanır. Yönetilen Servis hesapları “Computer” sınıfının altında oluşturulmuş, fakat aynı zamanda da kullanıcı özelliğini gösteren nesnelerdir.
Peki yönetilen servis hesapları şifreleri nasıl tutuyor diyebilirsiniz. Domain ortamında çalışan bilgisayar hesaplarının arka planda gerçekleştirilen şifre ya da parola kullanımları ile benzer şekilde yönetilen servis hesaplarının da parola kullanımları gerçekleşir. Yönetilen servis hesaplarının şifreleri de o bilgisayara ait bilgisayar hesabının şifresi değiştiği anda değişir ya da yenilenir. (Varsayılan olarak her 30 günde ). Bunu registry içerisinden aşağıdaki DWORD değerleri ile kontrol edebilirsiniz :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
DisablePasswordChange = [0 veya 1]
MaximumPasswordAge = [1-1,000,000 gün arasında değer alır, varsayılan değeri 30 gündür.]
Yönetilen servis hesapları bilgisayar hesaplarında olduğu gibi domain ya da fine-grained password policies’e bakmaz. Yönetilen servis hesapları karmaşık, rasgele ve otomatik olarak üretilen (240 karakter ve kripto uygulanarak) oluşturulur. Yönetilen servis hesaplarında kilitlenme olmaz ve interaktif olarak logon olamazlar. Administrators yetkisine sahip kullanıcılar isterse yönetilen servis hesabına elle bilinen değerlerde şifre atayabilirler ve istedikleri zaman da bunu resetleyebilmelerine rağmen, bu şekilde kullanım önerilmez.
Tüm yönetilen servis hesapları varsayılan olarak CN=Managed Service Accounts, DC=<domain>, DC=<com> kabında oluşur. Bunu DSA.MSC ile açılan Active Directory Users and Computers konsolunda görebilirsiniz.
Yönetilen Servis Hesabı (MSA) Oluşturma Adımları:
Yönetilen servis hesapları spesifik bir forest ya da domain fonksiyonel seviyesi gerektirmezler. Fakat bazı davranışlar domain controller bilgisayarının işletim sistemine bağımlı olarak fonksiyon gösterir.
Bir yönetilen servis hesabının uygulanması dört aşamadan oluşur:
1. AD’de yönetilen servis hesabının oluşturulması.
2. AD’de bulunan bir bilgisayar hesabı ile yönetilen servis hesabının ilişkilendirilmesi.
3. İlişkilendirilen bilgisayar üzerine yönetilen servis hesabının yüklenmesi.
4. Servislerin yönetilen servis hesabını kullanacak şekilde yapılandırılması.
Active Directory içerisinde yönetilen servis hesaplarının oluşturulması PowerShell komut satırı aracıyla gerçekleştirilir:
1. PowerShell başlatın.
2. AD PowerShell modülünü import ediyoruz:
Import-Module ActiveDirectory
3. Aşağıdaki şekilde yönetilen servis hesabını oluşturun:
New-ADServiceAccount -Name <MSAHesabiAdi> -Enabled $true
Varsayılan olarak oluşturulan MSA’ler active directory içerisinde Managed Service Accounts kabı altında gelir. Eğer farklı bir kap içerisinde oluşturulması istenirse, aşağıdaki gibi kullanılabilir. Bu örnekte, mesutaladag.local domaini içerisindeki Managed Service Account kabı içerisinde SQL-DBSRV1 isimli bir yönetilen servis hesabı oluşturulmuş oluyor. Siz farklı bir kap içerisinde oluşsun isterseniz Path parametresi ile bunu tanımlayabilirsiniz.
New-ADServiceAccount -Name SQL-DBSRV1 -Path “CN=Managed Service Accounts,DC=mesutaladag,DC=local” -RestrictToSingleComputer
4. Yönetilen servis hesabını Active Directory’de ilgili bilgisayar hesabı ile ilişkilendirin:
Add-ADComputerServiceAccount -Identity <MSAHesabininCalisacagiSunucuAdi> -ServiceAccount <MSAHesabininAdi>
Aşağıdaki komut ile DBSRV1 bilgisayarı üzerine SQL-DBSRV1 hesabının tanımlanması ya da bir diğer ifade ile yüklenmesi sağlanmış olur.
Add-ADComputerServiceAccount -Identity DBSRV1 -ServiceAccount SQL-DBSRV1
5. Yönetilen servis hesabının çalışacağı ve kullanılacağı bilgisayar logon olun. Aşağıdaki bileşenlerin yüklü ve kullanılabilir olduğundan emin olun:
- Active Directory Module for Windows PowerShell
- .NET Framework 3.5.1
6. PowerShell başlatın.
7. AD modülü aktifleştirin:
Import-Module ActiveDirectory
8. Yönetilen servis hesabını aşağıdaki komutla yükleyin:
Install-ADServiceAccount -Identity <msaHesapAdi>
Aşağıdaki komut ile SQL-DBSRV1 isimli yönetilen servis hesabının kullanılacak bilgisayara yüklenmesi sağlanmış olur.
Install-ADServiceAccount -Identity SQL-DBSRV1
Not: Yukarıdaki komutu çalıştıran kullanıcı hesabının o bilgisayar üzerinde local admin yetkisi olmasının yanında active directory’de bulunan yönetilen servis hesabı üzerinde değişiklik yapma (modify) yetkisinin de olması gerekir. Eğer domain admin hesabı ile bu komutları çalıştırıyorsanız zaten sorun yaşamayacaksınız, aksi halde yönetilen servis hesabı için delegasyonla değişiklik yapma yetkisi verilmesi gerekir.
9. Şimdi de yönetilen servis hesabının ilgili servislere uygulanması kaldı:
Grafiksel Yolla Konfigürasyon:
a. services.msc başlatın.
b. Servisin Properties’ine gelin.
c. Log On tabında “This Account” seçip yönetilen servis hesabını domain\name$ şeklinde tanımlayın. Yönetilen Servis hesabı “SQL-DBSRV1” ve domain “mesutaladag.local” olduğu durumda:
mesutaladag\SQL-DBSrv1$
d. Password ve Confirm password kutularındaki tüm şifreleri temizleyin. Buralara herhangi birşey girmeyeceğiz.
e. Apply ile onaylayın ve OK tıklayarak karşınıza “Logon as a Service Right granted” mesajının geldiğini görün:
f. Artık servisi çalıştırabilirsiniz. Hatasız bir biçimde çalışması gerekir. Bunu gerek Services konsolundan gerekse de Task Manager altından da kontrol edin.
PowerShell Yöntemiyle:
a. PowerShell başlatın.
b. Aşağıdaki script’i bir metin dosyasına yapıştırın:
# PowerShell ile Stand-Alone MSA Yonetimi # Asagidaki parametreleri kendi ihtiyaciniza gore duzenlemeniz gerekir: $MSA=” mesutaladag\SQL-DBSrv1$” $ServiceName=“‘MSSQLSERVER'” # Asagidaki parametrelerde herhangi bir degisiklik yapmiyoruz: $Password=$null $Service=Get-Wmiobject win32_service -filter “name=$ServiceName“ $InParams = $Service.psbase.getMethodParameters(“Change”) $InParams[“StartName”] = $MSA $InParams[“StartPassword”] = $Password $Service.invokeMethod(“Change”,$InParams,$null) |
c. Kırmızı ile boyanmış kısımları kendi domain ve yönetilen servis hesabı bilgilerinize göre değiştirin.
d. Metin dosyasını MSA.ps1 olarak kaydedin.
e. PowerShell konsolunda, script çalıştırma politikanızı aşağıdaki komutla görüntüleyin :
Get-ExecutionPolicy
f. Execution-Policy ayarını remote signing olarak ayarlayın.
Set-ExecutionPolicy remotesigned
g. Script’i çalıştırın:
h. Bu işlemden sonra execution policy değerini tekrar istediğiniz değere çevirebilirsiniz:
Yönetilen Servis Hesabını Kaldırmak
Yönetilen servis hesabının kaldırılması da iki-parçadan oluşan basit bir süreç.
1. Aşağıdaki PowerShell komutunu kullanarak yönetilen servis hesabı kullanıldığı bilgisayardan silinir.
Remove-ADServiceAccount –identity <MSAHesapAdi>
Aşağıdaki komut ile DBSRV1 bilgisayarı üzerinden SQL-DBSRV1 yönetilen servis hesabının silinmesi ya da bir diğer ifade ile kaldırılması sağlanmış olur.
Remove-ADComputerServiceAccount -Identity DBSRV1 -ServiceAccount SQL-DBSRV1
2. Yönetilen Servis hesabını Active Directory içerisindne tamamen silmek için de aşağıdaki PowerShell komutunu uygulayabilirsiniz. Eğer mevcut yönetilen servis hesabını başka bir bilgisayarda kullanacaksanız silmeden bu adımı atlayabilirsiniz.
Remove-ADComputerServiceAccount –Identity <MSAAtanmisBilgisayarAdi> -ServiceAccount <MSAHesapAdi>
Aşağıdaki komut ile domain ortamında açılmış SQL-DBSRV1 isimli yönetilen servis hesabının tamamen silinmesi sağlanmış olur.
Remove-ADServiceAccount -Identity SQL-DBSRV1
Yönetilen Servis Hesabı İle İlgili Diğer Uygulamalar
Aşağıdaki komut ile de MSTDC01 isimli sunucu üzerinde yüklü olan yönetilen servis hesaplarını gösterir:
Get-ADServiceAccount komutunun kullanımı ile ilgili tüm detaylar için aşağıdaki komutu uygulayabilirsiniz:
Get-Help Get-ADServiceAccount –detailed
Aşağıdaki komut ile mesutaladag.local domaini içerisindeki yönetilen servis hesaplarının listesini alabilirsiniz:
Get-ADServiceAccount -Filter ‘Name -like “*”‘ | FT Name,HostComputers -A
Aşağıdaki komut ile SQL-DBSRV1 isimli yönetilen servis hesabının parolasının resetlenmesi sağlanmış olur.
Reset-ADServiceAccountPassword SQL-DBSRV1
Üçüncü Parti GUI MSA Yönetim Aracı
Şu ana kadar MSA yönetimini hep PowerShell komut satırı uygulamaları ile gerçekleştirmiştik. Şimdi de free olarak yazılmış olan ve http://www.cjwdev.co.uk/Software/MSAGUI/Info.html adresinden indirebileceğiniz grafiksel yönetim aracını da kullanabilirsiniz:
Bu aracı indirdikten sonra Windows Server 2012 R2 sunucumuza yüklüyoruz.
Uygulama kurulduktan sonra çalıştırdığınızda aşağıdaki şekilde ekran karşımıza gelecektir.
Bu ekranda hali hazırda mesutaladag.local domaininde oluşturulan yönetilen servis hesaplarının listelendiğini göreceksiniz. Şimdi adım adım bu aracı kullanarak Stand-Alone yönetilen servis hesabının yönetimini nasıl yaptığımız inceleyelim:
Öncelikle New butonuna tıklıyoruz.
Karşımıza gelen New Managed Service Account ekranında aşağıdaki şekilde bir TESTMSA01 isimli servis hesabı tanımını giriyoruz. Hesabin oluşturulacağı kap olarak Managed Service Account varsayılan konumu yerine farklı bir organizational unit de gösterebilirsiniz. Hesap tipi olarak da Standalone MSA seçiyoruz.
Additional Options butonu genişletilerek hesap için son kullanma tarihi ve SPN tanımlarını da yine burdan girebilirsiniz.
OK ile onaylayarak servis hesabı oluşturma işlemini tamamlamış olacaksınız. Karşımıza gelen Associate With Computer ekranında oluşturulan servis hesabını active directory domain içerisinde bir bilgisayara atama yapıp yapmayacağımızı soracaktır.
Yes ile onaylıyoruz. Karşımıza gelen Assign MSA To Computer ekranında Browse butonu kullanarak servis hesabının atanacağı bilgisayar hesabı gösterilir.
OK ile tüm pencereler onaylanır. Ve başarıyla atamanın gerçekleştiği bilgisi gelecektir.
Yine karşımıza gelen Install MSA ekranında belirtilen bilgisayara atanan servis hesabını bu aşamada ilgili bilgisayar üzerine Install edip etmeyeceğimizi soracaktır.
Yes ile bunu da onaylıyoruz. Gelen aşağıdaki Enter Service Log On Credentials ekranında servis hesabının uzaktan ilgili sunucuya yükleme yapacak yetkiye sahip kullanıcı hesabı bilgilerini soracaktır. Bu hesabın uzaktaki sunucular üzerinde Administrators grup üyeliğine sahip olması ve aynı zamanda da MSA hesabı üzerinde Write yetkisi ve Reset Password yetkisinin olması gerekir.
Benim önerim Domain Admins grubuna üye olan bir hesabı göstererek uzaktan kurulumu gerçekleştirmenizdir.
Hesap bilgilerini girdikten sonra OK ile onaylıyoruz.
Bu aşamadan sonra MSA hesabının uzaktan kurulumu ilgili sunuya gerçekleştirilecek ve tamamlandıktan sonra da başarıyla gerçekleştirildiği bilgisi gelecektir.
Close ile bu ekranı kapattıktan sonra listeye oluşturduğumuz stand-alone MSA hesabı gelmiş olacaktır.
Bu aşamadan sonra kalan tek adım ilgili sunucuya gidip bu servis hesabını ilgili uygulamaya tanımlamak olacaktır.
Managed Service Accounts GUI aracı ile aşağıdaki araç çubuğu kısayolları kullanılarak farklı görevleri de yerine getirebilirsiniz:
Uninstall : Yönetilen servis hesabının uzaktaki sunucudan kaldırılması
Unassign : Yönetilen servis hesabının uzaktaki sunucudan ilişiğinin kaldırılması.
View/Edit : Yönetilen servis hesabının özelliklerini görüntüleme ve düzenleme işlemleri.
Install : Yönetilen servis hesabının ilişkilendirilen sunuculara uzaktan Install edilmesi.
Delete : Yönetilen servis hesabının active directory içerisinden tamamen silinmesi.
Assign : Yönetilen servis hesabının active directory içerisindeki bilgisayar hesaplarına ilişkilendirilmesi.
Bu makalemizde 3.parti GUI aracı ile Stand-Alone MSA hesabı uygulamalarını gerçekleştirdik. Group-Managed Service Accounts (gMSA) konusunda da yine GUI aracı ile gMSA uygulamalarını gerçekleştiriyor olacağız.
SONUÇ
Bu makalemizde sizlere Windows Server 2012 R2 ile Active Directory domain yapılarında Stand-Alone Yönetilen Servis Hesaplarını(Managed Service Account), bizlere neler sağladığı, bu özelliği kullanmaya başlamadan önce yapmamız gereken ön hazırlıkları ve bu özelliğin kullanımını uygulamalı olarak inceledik. Önümüzdeki makalelerde Windows Server 2012 R2 ile group-managed servis hesaplarını (gMSA) nesnelerini inceliyor olacağız. Görüşmek üzere, sağlıcakla kalın.