Konfigurieren von ArcGIS Enterprise für die Verwendung eines gruppenverwalteten Dienstkontos

Zusammenfassung

Ein verwaltetes Dienstkonto (Managed Service Account, MSA) ist ein verwaltetes Domänenkonto, mit dem in der Regel die Sicherheit von Windows-Dienstkonten verbessert wird.

Windows-Services können so konfiguriert werden, dass sie mit diesen Konten ausgeführt werden, sodass das Kennwort nicht eingegeben oder geändert werden muss. Das Kennwort wird von Active Directory verwaltet und regelmäßig geändert (standardmäßig alle 30 Tage). Aus diesem Grund wird für die Verwaltung kein Administrator benötigt. Das MSA wird wie ein Domänenkonto behandelt, sodass Berechtigungen für Dateien, Ordner und Domänenressourcen gewährt werden können. Jedoch kann es nicht für die interaktive Anmeldung durch einen menschlichen Benutzer verwendet werden.

Es gibt zwei Typen von MSAs: eigenständige Dienstkonten (MSAs) und gruppenverwaltete Dienstkonten (gMSAs). Ein eigenständiges MSA ist auf die Verwendung auf einem Computer beschränkt, wohingegen ein gMSA auf mehreren Computern verwendet werden kann. In diesem Dokument wird beschrieben, wie ArcGIS Enterprise für die Verwendung eines gMSA zur Ausführung der Services von ArcGIS Server, Portal for ArcGIS und ArcGIS Data Store unter Windows konfiguriert wird.

Gruppenverwaltete Dienstkonten sind erst ab Windows Server 2012 verfügbar. Dabei wird vorausgesetzt, dass das MSA bereits erstellt wurde und dass den Server-Computern, die ArcGIS Enterprise hosten, die Berechtigungen zur Verwendung des MSA gewährt wurden.
Anweisungen zur Erstellung des MSA finden Sie in der Microsoft-Dokumentation unter: Erste Schritte mit gruppenverwalteten Dienstkonten.

Vorgehensweise

Hinweis:
Das in diesen Schritten beispielhaft verwendete gMSA heißt domain\ArcGIS_MSA.

1. Installieren Sie die ArcGIS Enterprise-Bereitstellung mit einem regulären lokalen Konto oder einem Domänenkonto. In den in Schritt 3 aufgeführten Ordner wird angenommen, dass die ArcGIS-Server-Site und die Portal-Website bereits erstellt wurden. Änderungen an dem Windows-Dienstkonto können jedoch bei Bedarf zwischen Installation und Konfiguration vorgenommen werden.
2. Testen Sie, ob das gMSA für die Verwendung auf dem Server bereit ist. Dazu führen Sie den folgenden Befehl über PowerShell auf dem Server aus:

Test-ADServiceAccount -Identity ArcGIS_MSA

Wird bei dem Vorgang True zurückgegeben, ist das gMSA bereit. Wird jedoch False zurückgegeben, muss ggf. der Server-Hostname noch dem gMSA hinzugefügt werden. Eventuell muss auch der Server neu gestartet werden, damit die Änderungen in Active Directory wirksam werden. Wenn dieser Befehl nicht über PowerShell ausgeführt werden kann, können die Active Directory-Administratorwerkzeuge für PowerShell mit dem folgenden Befehl installiert werden:

Add-WindowsFeature -Name RSAT-AD-PowerShell

3. Aktualisieren Sie die Windows-Berechtigungen, um dem Dienstkonto domain\ArcGIS_MSA$ den Zugriff auf die unten stehenden erforderlichen Dateien und Ordner zu gewähren. Das Zeichen "$" wird dem Kontonamen nachgestellt, um Windows zu zeigen, dass es sich um ein Dienstkonto und nicht um ein reguläres Konto handelt. Gegebenenfalls muss wie nachstehend gezeigt in der Liste der Objekttypen der Eintrag Dienstkonten aktiviert werden, damit Windows das MSA finden kann.

Aktualisieren Sie die Ordnerberechtigungen in ArcGIS Server für "domain\ArcGIS_MSA$" folgendermaßen:
Lesezugriff auf den Ordner: C:\Programme\arcgis\server\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\framework\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\usr\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\bin\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\XMLSchema\
Vollzugriff auf den Ordner: C:\Programme\arcgis\server\DatabaseSupport\
Vollzugriff auf den Ordner: C:\arcgisserver\ (bzw. auf den Speicherort des Konfigurationsspeichers und der Verzeichnisse)
 
Aktualisieren Sie die Ordnerberechtigungen in Portal for ArcGIS für “domain\ArcGIS_MSA$” folgendermaßen:
Lesezugriff auf den Ordner: C:\Programme\arcgis\portal\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\apps\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\customizations\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\etc\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\framework\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\tools\
Vollzugriff auf den Ordner: C:\Programme\arcgis\portal\usr\
Vollzugriff auf den Ordner: C:\arcgisportal\ (bzw. auf den Speicherort der Inhalts-, Index-, Datenbank- und temporären Verzeichnisse)
 
Aktualisieren Sie die Ordnerberechtigungen in ArcGIS Data Store für “domain\ArcGIS_MSA$” folgendermaßen:
Vollzugriff auf den Ordner: C:\Programme\arcgis\datastore\
Vollzugriff auf den Ordner: C:\arcgisdatastore\ (bzw. auf den Speicherort des ArcGIS Data Store-Inhaltsverzeichnisses)

4. Aktualisieren Sie für die einzelnen ArcGIS Enterprise-Windows-Services das Konto unter Anmelden als:
   • ArcGIS Data Store
   • ArcGIS Server
   • Portal for ArcGIS

Doppelklicken Sie auf den Service, um die Service-Eigenschaften zu öffnen, klicken Sie dann auf die Registerkarte Anmelden, und geben Sie das gMSA ohne Angabe eines Kennwortes ein. Dem Kontonamen muss dabei ein "$" nachgestellt werden, um es als Dienstkonto zu kennzeichnen. Klicken Sie auf OK, und starten Sie die einzelnen Services neu, damit die Änderungen übernommen werden.

Hinweise zum Upgrade von ArcGIS Enterprise bei Verwendung von verwalteten Dienstkonten:
Das Dienstprogramm für das Setup oder Upgrade von ArcGIS Enterprise 10.7.1 und früheren Versionen unterstützt die Angabe eines MSA als das Konto zur Anmeldung bei den ArcGIS Enterprise-Windows-Services nicht. Vor einem Upgrade muss das Konto unter "Anmelden als" für die einzelnen Windows-Services in ArcGIS Enterprise manuell wieder in ein lokales Konto oder ein Domänenkonto geändert werden. Nach Abschluss des Upgrade müssen die Schritte 3 und 4 wiederholt werden, um die Richtigkeit der Berechtigungen zu überprüfen. Anschließend kann zurück zur Verwendung eines MSA gewechselt werden.