组托管服务帐户 - Windows Server 2012 技术白皮书
托管服务帐号 (MSA) 是在 Windows Server 2008 R2 和 Windows 7 中引入的新的帐户类型,用于增强网络应用程序如 Microsoft SQL Server 和 Exchange Server 的服务隔离和管理。它们消除了需要管理员手动管理域级别的服务帐户的服务主体名称的SPN 和凭据。
然而到现在为止,这个功能并没有提供服务器组,例如让集群共享它们的身份和服务主体名称。对于管理员制造了麻烦。
当客户端连接到一个服务主机,该主机运行在一个网络负载平衡(NLB)或是其它方式构建的服务器场中,服务器场中所有的主机都为客户端提供相同的服务,支持双向身份验证的协议,例如 Kerberos,不能被使用除非所有的服务实例使用相同的安全主体(这意味着他们使用相同的密码/密钥来证明自己的身份)。服务管理员发现管理它们是有难度的。
当客户端连接共享服务时,事先不会知道会连接到哪一个实例,因此身份验证要成功就不能考虑主机。这就要求每个服务器实例使用相同的安全主体。今天的服务基本有四个主体可以选择,每个都有自己的问题:计算机,虚拟化,管理服务或用户。
计算机托管服务帐户,或虚拟帐户不能跨多个系统共享。服务器场只能选择使用用户帐户。由于用户帐户没有密码管理,每个组织必须创建一个解决方案来更新 Active Directory 中的服务密钥并将密钥分发服务的所有实例。这是昂贵的和有问题的。
通过创建组托管服务帐户,服务和服务管理员就不需要在各个服务实例之间同步密码。组托管服务帐户支持凭据重置,主机在一定时间离线和无缝管理所有服务实例的主机组。
您可以在 Windows Server 2012 上部署单一身份的服务器场/群集,而客户端在不需要知道连接哪个服务器场实例/群集实例时通过身份验证。
通过使用服务控制管理器使用共享域身份自动管理密码,您可以配置服务。
一旦创建好了组托管服务帐户,域的管理员可以委派一个服务管理员管理该组服务帐户。
您可以在 Windows Server 2012 的服务器上部署单一身份标识的服务器场/群集,以便在混合模式域中运行 Windows 8。
未知的网友