在组管理服务帐户(gMSA)下运行Service应用程序
在组管理服务帐户(gMSA)下运行Service应用程序
提问于 2018-01-12 03:58:21
我正在使用gMSA帐户来测试运行SF应用程序,而不是NETWORKSERVICE。
按照这里的说明:https://learn.microsoft.com/en-us/azure/service-fabric/service-fabric-application-runas-security
- 使用powershell cmdlet在域控制器上创建gMSA: 新-ADServiceAccount -name MySA$ -DnsHostName MySA.contoso -ServicePrincipalNames http/MySA.contoso -PrincipalsAllowedToRetrieveManagedPassword Node0Machine$,Node1Machine$,Node2Machine$
- 在每个节点上返回一个“未指定的错误”,但是返回MySA$的true (当以域用户身份运行powershell时)。
- ApplicationManifest.xml有以下更改:
Service资源管理器显示每个服务的下列错误:
Error event: SourceId='System.Hosting', Property='CodePackageActivation:Code:SetupEntryPoint'.
There was an error during CodePackage activation.Service host failed to activate. Error:0x8007052e我还尝试使用gMSA创建集群(目前我们正在成功地使用X509 )。使用gMSA集群配置作为模板,它会在超时时失败(想必"WindowsIdentities部分不正确-这方面的文档似乎很少)。“
"security": {
"WindowsIdentities": {
"ClustergMSAIdentity": "MySA$@contoso",
"ClusterSPN": "http/MySa.contoso",
"ClientIdentities": [
{
"Identity": "contoso\\MySA$",
"IsAdmin": true
}
]
},回答 1
Stack Overflow用户
发布于 2018-01-21 17:03:23
Error:0x8007052e可能链接到登录失败。
根据使用Windows安全保护Windows上的独立集群和连接到安全群集
如果您有超过10个节点或集群可能增长或缩小。Microsoft强烈建议使用组管理服务帐户(gMSA)方法。
你还会看到:
您可以通过两种不同的方式建立信任:
- 指定可以连接的域组用户。
- 指定可以连接的域节点用户。
..。
管理员可以完全访问管理功能(包括读写功能)。默认情况下,用户只能读取对管理功能(例如查询功能)以及解析应用程序和服务的能力。
您还可以找到关于开始使用组管理服务帐户的帮助
根据您的评论,一旦您将gMSA添加到ServiceFabricAdministrators组中,一切都会正常工作,这可能是因为“管理员可以完全访问管理功能”。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/48225870
复制相关文章
相似问题
如何在CentOS中安装紧缩剂?
其他语言的紧缩剂
在OSX上安装Typesafe活化剂
在Windows上安装php增强剂时遇到的困难
DataNucleus增强剂flakey?
添加站长 进交流群
领取专属 10元无门槛券
AI混元助手 在线答疑
关注 腾讯云开发者公众号
洞察 腾讯核心技术
剖析业界实践案例
腾讯云开发者
