Dynamics AX 2012 : Group Managed Service Accounts

Aujourd’hui, je voulais écrire un billet sur l’utilisation des Group Managed Service Account avec Dynamics AX 2012.

Qu’est-ce qu’un Managed Service Account?


Les MSA sont apparus avec Windows 2008. Elles sont la solution à un problème que plusieurs administrateurs de systèmes font face: la gestion des mots de passe pour les comptes services. Un compte de type MSA est un hybride entre un compte utilisateur et ordinateur. L’avantage de ce type de compte est que la gestion du mot de passe est gérée par le système, exactement comme un compte ordinateur. Le compte ne peut pas être verrouillé et ne peut pas ouvrir de session interactive.

Dans un contexte Microsoft Dynamics AX, un compte MSA est très utile pour exécuter le service AOS. Les étapes suivantes expliquent comment créer un compte MSA dans l’annulaire Active Directory et comment configurer le service AOS afin d’utiliser ce compte.


Managed Service Account VS Group Managed Service Account

Les comptes de type MSA ont été introduits avec Windows 2008. Toutefois, il y avait une limitation assez gênante: un compte MSA ne pouvait pas être configuré sur plus d’un serveur. Comme vous savez, il est assez fréquent d’avoir plusieurs serveurs AOS dans une infrastructure Dynamics AX. Donc, avec cette limitation, il fallait créer un compte MSA par service AOS.

Heureusement, Windows 2012 introduit les Group Managed Service Account. Cette fonctionnalité permet d’avoir un seul compte gMSA partagé par plusieurs machines.

Vous devez avoir au moins un contrôle de domaine Windows 2012 dans votre domaine afin de pouvoir utiliser les gMSA

KDS Root Key

La première étape est de créer la clé KDS. La commande suivante doit être exécutée dans chaque domaine une seule fois. Ouvrer une session sur un contrôleur de domaine et  lancer la commande suivante dans PowerShell:

Add-KDSRootKey –EffectiveImmediately

Ensuite, vous devez attendre 10 heures afin de vous assurer que la clé a été répliquée sur tous les contrôleurs de domaine.



Création d’un gMSA

Tout d’abord, il faut créer un groupe de sécurité qui contient nos serveurs AOS. Tous les membres de ce groupe peuvent partager le même compte MSA. Vous devez redémarrer vos serveurs AOS afin que vos comptes ordinateurs fassent partie du groupe. 





Ensuite, vous pouvez créer votre gMSA :

New-ADServiceAccount -name -DNSHostName -PrincipalsAllowedToRetrieveManagedPassword  


Vous pouvez vérifier que le gMSA a bien été créé:


Ouvrer une session sur le serveur AOS et exécuter les commandes suivantes :

Add-WindowsFeature RSAT-AS-PowerShell


Install-ADServiceAccount
Test-AdServiceaccount


Votre serveur est prêt à utiliser le compte gMSA, il suffit de configurer vos AOS.
Vous pouvez spécifier le compte lors de l’installation


Previous
« Prev Post