为托管服务帐户设置DNS主机名吗？

该文档包含以下示例：

New-ADServiceAccount service1 -DNSHostName service1.contoso.com -Enabled $true

此参数是必需的。a的确切目的是DNSHostName什么，我应如何决定将其设置为什么？

在使用这些帐户一段时间后，我想我发现了原因：

它们是计算机类型帐户的某些子集，或可能是其衍生产品。因此，他们从他们那里继承了此属性，并且由于机器类型需要它，因此gMSA也需要它。

您可以检查两种类型在它们的属性集中是否紧密匹配。同样，在所有TechNet 文档中，它们仅为此属性提供一个简单的唯一值gmsa-name.contoso.com，就像计算机帐户拥有该属性一样。

不知道为什么他们只是不自动生成它，而使我们不知所措和打字。

DNSHostName应该是您的服务的名称。如果是群集，这将是您的虚拟实例名称。

DNSHostName与帐户的SPN自动注册有关。在Active Directory中，计算机和GMSA具有“允许对ServicePrincipalName的有效写入”权限。这意味着计算机只能注册包含其名称的SPN。示例：名为Webserver1（DNS：Webserver1.mydomain.net）的计算机可以自动注册http：/Webserver1.mydomain.net：443，但无法注册http：/Webserver55.mydomain.net：443

因此，GMSA的DNSHostName应该反映您要为服务注册的SPN。

在SQL群集上，您将有2个主机：Host1和host2。一个clusterName：Clu1和一个虚拟SQL实例：SQL1如果要使用GMSA运行SQL1服务，则可以这样创建它。

$comp1 = get-adcomputer Host1

$comp2 = get-adcomputer Host2

New-ADServiceAccount -Name gmsa01 -DNSHostName sql1.mydomain.net -PrincipalsAllowedToRetrieveManagedPassword $comp1, $comp2 （您也可以使用组，而不是直接向主机分配权限）。

每当SQL服务启动时，它将自动注册2个SPN：MSSQLSvc / sql1.mydomain.net MSSQLSvc / sql1.mydomain.net：1433

如果在DNSHostName中放入其他内容（例如gmsa01.mydomain.net），该服务仍将启动，但将无法注册SPN（并退回到NTLM身份验证）。

如果您不关心Kerberos身份验证（和SPN），或者可以手动注册服务的SPN可以，则可以在DNSHostName中放入所需的任何内容。GMSA仍然可以使用。

我不建议您将DomainController放在前面提到的DNSName中（除非您计划使用GMSA在域控制器上运行服务）。

我不是这个专家。但是，关于此主题的信息如此匮乏，我认为值得发布我所知道的信息

当我演示cmdlet 时，我参加的70-411课程的培训师使用域控制器的FQDN作为DNSHostName参数值New-ADServiceAccount。据我了解，DNSHostName只需告诉cmdlet在哪个域控制器上创建帐户即可。我认为使用哪个DC并不重要，无论如何这些gMSA似乎都可以立即复制。我一直指着DNSHostName我的一个DC，到目前为止它似乎一直在工作。

我真的希望有一些具体的文档。在适用的TechNet指令引用仅仅是为同义反复废话DNSHostName参数。

当您添加参数-RestrictToSingleComputer时，不再需要它。当然，在使用该选项之前，您应该阅读该选项。

喜欢：

New-ADServiceAccount service1 -Enabled $true -RestrictToSingleComputer

我一直在寻找答案很久了，终于找到了对我来说很真实的答案。

-DNSHostName应该是持有KDS主密钥-msKds-ProvRootKey的DC的FQDN。

您很可能已经创建了一个-查看AD林的“配置”分区中的“组密钥分发服务”容器。

只要您在-PrincipalsAllowedToRetrieveManagedPassword中设置它们的名称，可能就可以在该林中使用任何DC。

以上所有内容均代表“新的” gMSA，因此，如果您希望使用旧的MSA，只需忘掉-DNSHostName即可，因为它不是必需的，只需使用-RestrictToSingleComputer将帐户锁定到某个服务器即可。

希望能有所帮助。

https://social.technet.microsoft.com/Forums/windowsserver/zh-CN/9a66d1d5-44e9-4ea1-ba9c-88862023c4e1/why-does-a-gmsa-need-a-dns-host-name-eg- newadserviceaccount-dnshostname？forum = winserver8gen

我的经验似乎表明它正在寻找DC。我在成员服务器上运行了一个测试，并被提示输入-DNSHostName我从DC运行了相同的测试，但未收到提示。

Proed于2018年1月17日在为什么gMSA需要DNS主机名中引用了答案。 （感谢@Daniel早先引用了它）。

我建议dNSHostName像设置AD计算机对象一样设置（sAMAccountName+和您的域后缀）

…因为：

• msDS-GroupManagedServiceAccount继承自AD-Computer（根据AD模式），因此要求提供
• 推荐的约定使所有现有示例有意义

查看此链接：http : //blogs.technet.com/b/askpfeplat/archive/2012/12/17/windows-server-2012-group-managed-service-accounts.aspx

DNSHostName是您的服务帐户名称的完全限定域名。

New-ADServiceAccount -name -DNSHostName