HOW TO
Ein verwaltetes Dienstkonto (Managed Service Account, MSA) ist ein verwaltetes Domänenkonto, mit dem in der Regel die Sicherheit von Windows-Dienstkonten verbessert wird.
Windows-Services können so konfiguriert werden, dass sie mit diesen Konten ausgeführt werden, sodass das Kennwort nicht eingegeben oder geändert werden muss. Das Kennwort wird von Active Directory verwaltet und regelmäßig geändert (standardmäßig alle 30 Tage). Aus diesem Grund wird für die Verwaltung kein Administrator benötigt. Das MSA wird wie ein Domänenkonto behandelt, sodass Berechtigungen für Dateien, Ordner und Domänenressourcen gewährt werden können. Jedoch kann es nicht für die interaktive Anmeldung durch einen menschlichen Benutzer verwendet werden.
Es gibt zwei Typen von MSAs: eigenständige Dienstkonten (MSAs) und gruppenverwaltete Dienstkonten (gMSAs). Ein eigenständiges MSA ist auf die Verwendung auf einem Computer beschränkt, wohingegen ein gMSA auf mehreren Computern verwendet werden kann. In diesem Dokument wird beschrieben, wie ArcGIS Enterprise für die Verwendung eines gMSA zur Ausführung der Services von ArcGIS Server, Portal for ArcGIS und ArcGIS Data Store unter Windows konfiguriert wird.
Gruppenverwaltete Dienstkonten sind erst ab Windows Server 2012 verfügbar. Dabei wird vorausgesetzt, dass das MSA bereits erstellt wurde und dass den Server-Computern, die ArcGIS Enterprise hosten, die Berechtigungen zur Verwendung des MSA gewährt wurden.
Anweisungen zur Erstellung des MSA finden Sie in der Microsoft-Dokumentation unter: Erste Schritte mit gruppenverwalteten Dienstkonten.
Hinweis: Das in diesen Schritten beispielhaft verwendete gMSA heißt domain\ArcGIS_MSA.
Test-ADServiceAccount -Identity ArcGIS_MSA
Wird bei dem Vorgang True zurückgegeben, ist das gMSA bereit. Wird jedoch False zurückgegeben, muss ggf. der Server-Hostname noch dem gMSA hinzugefügt werden. Eventuell muss auch der Server neu gestartet werden, damit die Änderungen in Active Directory wirksam werden. Wenn dieser Befehl nicht über PowerShell ausgeführt werden kann, können die Active Directory-Administratorwerkzeuge für PowerShell mit dem folgenden Befehl installiert werden:
Add-WindowsFeature -Name RSAT-AD-PowerShell
Aktualisieren Sie die Ordnerberechtigungen in ArcGIS Server für "domain\ArcGIS_MSA$" folgendermaßen:
Lesezugriff auf den Ordner: C:\Programme\arcgis\server\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\framework\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\usr\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\bin\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\XMLSchema\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\DatabaseSupport\
Vollzugriff auf den Ordner: C:\arcgisserver\ (bzw. auf den Speicherort des Konfigurationsspeichers und der Verzeichnisse)
Aktualisieren Sie die Ordnerberechtigungen in Portal for ArcGIS für “domain\ArcGIS_MSA$” folgendermaßen:
Lesezugriff auf den Ordner: C:\Programme\arcgis\portal\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\apps\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\customizations\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\etc\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\framework\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\tools\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\usr\
Vollzugriff auf den Ordner: C:\arcgisportal\ (bzw. auf den Speicherort der Inhalts-, Index-, Datenbank- und temporären Verzeichnisse)
Aktualisieren Sie die Ordnerberechtigungen in ArcGIS Data Store für “domain\ArcGIS_MSA$” folgendermaßen:
Vollzugriff auf den Ordner: C:\Programme\arcgis\datastore\
Vollzugriff auf den Ordner: C:\arcgisdatastore\ (bzw. auf den Speicherort des ArcGIS Data Store-Inhaltsverzeichnisses)
Doppelklicken Sie auf den Service, um die Service-Eigenschaften zu öffnen, klicken Sie dann auf die Registerkarte Anmelden, und geben Sie das gMSA ohne Angabe eines Kennwortes ein. Dem Kontonamen muss dabei ein "$" nachgestellt werden, um es als Dienstkonto zu kennzeichnen. Klicken Sie auf OK, und starten Sie die einzelnen Services neu, damit die Änderungen übernommen werden.
Hinweise zum Upgrade von ArcGIS Enterprise bei Verwendung von verwalteten Dienstkonten: Das Dienstprogramm für das Setup oder Upgrade von ArcGIS Enterprise 10.7.1 und früheren Versionen unterstützt die Angabe eines MSA als das Konto zur Anmeldung bei den ArcGIS Enterprise-Windows-Services nicht. Vor einem Upgrade muss das Konto unter "Anmelden als" für die einzelnen Windows-Services in ArcGIS Enterprise manuell wieder in ein lokales Konto oder ein Domänenkonto geändert werden. Nach Abschluss des Upgrade müssen die Schritte 3 und 4 wiederholt werden, um die Richtigkeit der Berechtigungen zu überprüfen. Anschließend kann zurück zur Verwendung eines MSA gewechselt werden.
Unterstützung durch ArcGIS-Experten anfordern
Esri Support App herunterladen