Neste Tutorial iremos mostrar como criar uma conta de serviço gerenciada também conhecida como Managed Service Accounts (MSA).
Solução
As contas de serviços gerenciadas foram introduzidas pela primeira vez no Windows Server 2008 . Elas são uma maneira inteligente de garantir o gerenciamento do ciclo de vida dos principais usuários dos serviços do Windows em um ambiente de domínio. As senhas para essas contas são mantidas no Active Directory e atualizadas automaticamente. Além disso, simplificam o gerenciamento de SPN para os serviços que alavancam essas contas. Apartir do Windows Server 2012 , estes também podem ser configurados como Contas de Serviço Gerenciadas por Grupo que são úteis para Server Farms.
Forma Tradicional – Criar um usuário no AD e setar para que a senha não expire.
[ads1]
Managed Service Accounts – A Microsoft apresenta as contas de serviço gerenciadas (MSAs) com o Windows Server 2008 R2 para resolver os problemas com as contas de serviços tradicionais.
A Grande sacada não é fazer igual ao que se fazia antigamente, que era criar um usuário no AD, agora apartir do Windows Server 2008 é possível setar e falar que aquela é uma conta de serviço gerenciada (Managed Service Accounts)
Na conta de serviço tradicional, é necessário agendar uma parada no ambiente para trocar a senha para não impactar o ambiente de produção. Mas com a MSA, ela automaticamente irá mudar a senha. No AD DS, ele armazenará o objeto MSA como msDS-ManagedServiceAccount. No entanto, os MSAs não podem ser utilizados entre vários computadores ou no ambiente de cluster onde o serviço é replicado entre nós. Para esta função, caso necessite, utilize uma conta de serviço gerenciada de grupo (gMSA).
MSA usa uma senha complexa, aleatória de 240 caracteres e muda-a automaticamente quando atinge a data de expiração de senha do domínio ou do computador. Por padrão, é 30 dias. Ela também não pode ser bloqueada e não pode ser usada para logins interativos. Principalmente, os benefícios das MSAs são a mudança automática de senha e o gerenciamento de SPN (Serviço Principal Name) simplificado.
No AD DS, o MSA está armazenado em CN = Managed Service Accounts, DC = <domain>, DC = <com>,
Um cenário comum para usar uma conta de serviço gerenciado pode ser executar um serviço do SQL Server 2012 ou IIS.
Há algumas etapas envolvidas na criação dessas contas de serviço gerenciadas no Windows Server 2012 R2.
Primeiro, existe uma dependência no Serviço de Distribuição de Chave (KDS Root Key) começando com o Windows Server 2012 (para suportar contas de serviços gerenciados em grupo, embora agora seja necessário para todas as contas de serviços gerenciados).
[ads1]
Requisitos para executar Contas de Serviço Gerenciadas (MSA):
• Windows Server 2008 R2 ou Windows Server 2012/R2
• AD Module for Windows Powershell
• .NET framework 3.5
O AD DS deve estar configurado no mínimo com o nível funcional do Windows Server 2008R2
Pode ser usado em um ambiente do AD DS do Windows Server 2003 ou 2008, desde que:
- Com a atualização de esquema do Windows Server 2008R2
- Com o Active Directory Management Gateway Service
Vamos ver como podemos criar uma MSA
1) Abra o Powershell com privilegios de administrator
2) Primeiro devemos criar uma chave raiz KDS (KDS Root Key). Em um ambiente de produção, você deve esperar 10 horas para a replicação para concluir depois de criar a chave, mas em cenários de laboratório com controladores de domínio único, você pode forçá-lo a entrar em vigor imediatamente.
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
3) Criamos a conta de serviço gerenciada (service account) chamada SQL neste caso, isso é só um exemplo mas não impede de usar uma conta chamada IIS pra usar no IIS.
New-ADServiceAccount –Name SQL –DNSHostname SRVAD2 –PrincipalsAllowedToRetrieveManagedPassword SRVAD2$
4) Precisamos associar a conta de serviço SQL ao objeto do computador chamado SRVAD2
Add-ADComputerServiceAccount –identity SRVAD2 –ServiceAccount SQL
5) Confirmamos que a MSA foi criada com sucesso.
Get-ADServiceAccount –Filter *
6) Instalamos a conta de serviço gerenciada no servidor, agora é só configurar essa conta para ser usada no SQL.
Install-ADServiceAccount –Identity SQL
Note que agora ao abrir o ADUC, podemos ver a nova conta SQL na OU Managed Service Accounts
[ads1]
Conclusão
Neste artigo mostramos o passo a passo para criar uma conta de serviço gerenciada através do Windows PowerShell.