Toon posts:

AD Managed Service Accounts - logon failure (error 1069)

Pagina: 1
Acties:

Vraag

maandag 19 oktober 2020 10:36

Acties:
  • 0 Henk 'm!
  • Korakal
  • Registratie: Oktober 2001
  • Laatst online: 23-05 13:12

Korakal

Up up up!

Topicstarter
Hoi,

Voor ons bedrijf ben ik afgelopen week begonnen met het inrichten van Managed Service Accounts in Active Directory. Wij hebben een relatief kleine omgeving, met een aantal servers (meestal Windows Server 2019, somige 2016) en één domain controller. Voor een aantal applicaties moeten rechten worden toegekend en is het niet voldoende om deze als Local System te draaien. Tot nu toe gebruikten we daarvoor users die een labeltje 'service user' hadden, maar verder niet afweken van reguliere users.

We hebben niet eerder MSA gebruikt en ik heb nog géén werkende situatie voor elkaar kunnen krijgen. In de keuze MSA/gMSA hebben we voor de eerste accounts voor MSA gekozen, omdat het services betreffen die beperkt zullen zijn tot één server.

Ik heb de volgende stappen uitgevoerd met Powershell (uiteraard na het definiëren van de betreffende variabelen en maken van de KdsRootKey):

Tegen de DC:
code:
1

New-ADServiceAccount -Name $MSAAccountName -Enabled $true -Description "Managed Service Account for $Server - $functionshort ($function, $description)" -DisplayName "MSA $Server - $functionshort" -RestrictToSingleComputer


Tegen de server waarop het MSA account moet gaan draaien:
code:
1
2

Install-windowsfeature RSAT-AD-Powershell
Install-ADServiceAccount -Identity $MSAAccountName


Het resultaat lijkt goed:
code:
1

Test-ADServiceAccount -Identity $MSAAccountName
geeft True

en
code:
1
2
3
4
5
6
7
8
9
10
11

Get-ADServiceAccount MSA.SVW36-Strt$

RunspaceId        : 87c83d89-0d64-4b14-93f1-XXXXX
DistinguishedName : CN=MSA.SVW36-Strt,CN=Managed Service Accounts,DC=XXXXX,DC=local
Enabled           : True
Name              : MSA.SVW36-Strt
ObjectClass       : msDS-ManagedServiceAccount
ObjectGUID        : 18056437-6ea8-491a-923e-XXXXX
SamAccountName    : MSA.SVW36-Strt$
SID               : S-1-5-21-2065692108-2897296754-XXXXX
UserPrincipalName :


Wanneer ik op de betreffende server de service logon properties instel, krijg ik ook netjes te zien:
code:
1

The account XXXXX\MSA.SVW36-Strt$ has been granted the Log On As A Service right.


Zodra ik echter de service start zie ik:
code:
1
2

Could not start the <service name> service on Local Computer.
Error 1069: The service did not start due to a logon failure.


Een tweetal suggesties die ik al online had gevonden:
- Ik kan via de group policy editor zien dat het MSA account is opgenomen bij Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > User Rights Assignment > Log on as a service. De accounts zijn (als extra check) niet vermeld bij Deny log on as a service (die is helemaal leeg).
- Het MSA account is enabled (zie codeblock met Get-ADServiceAccount)

Ik mis vermoedelijk nog een stap, maar ik kan niet vinden wat ik nog méér zou moeten doen. Het helpt mij overigens niet dat heel veel info die ik vind over de gMSA accounts gaat...

Iemand het briljante idee voor mij?

Alle reacties

maandag 19 oktober 2020 10:45

Acties:
  • 0 Henk 'm!
  • ProjectB00man
  • Registratie: Augustus 2015
  • Laatst online: 28-05 10:56

ProjectB00man

Wat ik zo kan vinden bij Microsoft is het volgende.
als ik dat vergelijk met wat je al gedaan hebt dan mis je deze stap

Associate the new MSA with a target computer in Active Directory:

Add-ADComputerServiceAccount -Identity <the target computer that needs an MSA> -ServiceAccount <the new MSA you created in step 3>

https://techcommunity.mic...ementing-best/ba-p/397009

hopelijk is dat de oplossing

maandag 19 oktober 2020 11:18

Acties:
  • 0 Henk 'm!
  • Korakal
  • Registratie: Oktober 2001
  • Laatst online: 23-05 13:12

Korakal

Up up up!

Topicstarter
Thanks voor de tip; het lijkt echter dat het hiermee alleen maar een stap terug gaat:

code:
1
2
3
4
5
6
7

Server name: SVW36TOPOLOGY
MSA account name: MSA.SVW36-Strt
----
Cannot install service account. Error Message: 'Hiermee wordt aangegeven dat een bepaalde beveiligings-id waarschijnlijk niet is benoemd als de eigenaar van een object.'.
    + CategoryInfo          : WriteError: (MSA.SVW36-Strt:String) [Install-ADServiceAccount], ADException
    + FullyQualifiedErrorId : InstallADServiceAccount:PerformOperation:InstallServiceAcccountFailure,Microsoft.ActiveDirectory.Management.Commands.InstallADServiceAccount
    + PSComputerName        : <domaincontroller>

Test-ADServiceAccount -Identity $MSAAccountName
geeft nu False

maandag 19 oktober 2020 12:35

Acties:
  • 0 Henk 'm!
  • Korakal
  • Registratie: Oktober 2001
  • Laatst online: 23-05 13:12

Korakal

Up up up!

Topicstarter
Hmmmm ik heb inmiddels wel iets anders interessants ontdekt:
https://petri.com/managed-service-accounts-2

code:
1
2
3
4

Get-ADServiceAccount -Identity MSA.SVW36-Strt$ | Select HostComputers

HostComputers
-------------

Is leeg...

Dan lijkt het erop dat je dus met Add-ADComputerServiceAccount daar resultaat zou moeten krijgen:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

Add-ADComputerServiceAccount -Identity SVW36TOPOLOGY -ServiceAccount MSA.SVW36-Strt$ -PassThru


RunspaceId        : 87c83d89-0d64-4b14-93f1-xxxxx
DistinguishedName : CN=SVW36TOPOLOGY,OU=OnzeLocatie,OU=Servers,OU=XXXXXDomainComputers,DC=XXXXX,DC=local
DNSHostName       : SVW36TOPOLOGY.XXXXXX.local
Enabled           : True
Name              : SVW36TOPOLOGY
ObjectClass       : computer
ObjectGUID        : 1da7c239-f611-4166-bf65-933450xxxx
SamAccountName    : SVW36TOPOLOGY$
SID               : S-1-5-21-2065692108-2897296754-294639xxxx
UserPrincipalName :


Ook daarna blijft de bovenste query (Select HostComputers) leeg - dus het lijkt alsof ik de toewijziging niet kan/mag doen...

maandag 19 oktober 2020 14:11

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 28-05 12:25

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Korakal schreef op maandag 19 oktober 2020 @ 11:18:
Thanks voor de tip; het lijkt echter dat het hiermee alleen maar een stap terug gaat:
Powershell wel via "Run as administrator" gestart?

Wat zie je op het managed serviceaccount object in ADUC? (wel even advanced features enablen). Wie is owner van het object?

[ Voor 20% gewijzigd door Question Mark op 19-10-2020 14:12 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 19 oktober 2020 14:35

Acties:
  • 0 Henk 'm!
  • Korakal
  • Registratie: Oktober 2001
  • Laatst online: 23-05 13:12

Korakal

Up up up!

Topicstarter
Yep, anders kreeg je die gelijk wel om je oren ;)

OK, ik ben een stap verder - door een iets andere aanpak kan ik nu de boel met een omweg aan de praat krijgen. Het blijkt dat er in de remote-sessie op de target server op de een of andere manier niet hetzelfde gebeurt als wanneer je dat echt lokaal doet (of ik doe met remoting iets niet goed, dat kan natuurlijk ook :P ).

De stappen zijn nu als volgt:
code:
1

New-ADServiceAccount -Name $MSAAccountName -Enabled $true -Description "Managed Service Account for $Server - $functionshort ($function, $description)" -DisplayName "MSA $Server - $functionshort" -RestrictToSingleComputer

En in een scriptblock met invoke-command:

code:
1
2
3
4
5
6
7
8
9

if((Get-WindowsFeature RSAT-AD-Powershell).Installstate -eq "Installed") {
                                    # RSAT-AD-Powershell is Installed
                                } else {
                                    Install-windowsfeature RSAT-AD-Powershell
                                }

Install-ADServiceAccount -Identity $MSAAccountName 

Test-ADServiceAccount -Identity $MSAAccountName

Wanneer ik dat laatste deel uitvoer door te RDP'en naar de target server en daar in een PS sessie uitvoer, dan werkt het wél en kan ik de service met het MSA account starten.

edit:

Meer mensen met hetzelfde issue blijkbaar, ik zie bijv https://www.reddit.com/r/...t_unable_to_use_remoting/


De Add-ADComputerServiceAccount blijkt in ieder geval niet nodig om het werkend te krijgen!

[ Voor 5% gewijzigd door Korakal op 19-10-2020 15:04 ]

dinsdag 20 oktober 2020 08:58

Acties:
  • +1 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 28-05 12:25

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Korakal schreef op maandag 19 oktober 2020 @ 14:35:
Het blijkt dat er in de remote-sessie op de target server op de een of andere manier niet hetzelfde gebeurt als wanneer je dat echt lokaal doet (of ik doe met remoting iets niet goed, dat kan natuurlijk ook :P ).
Dubbel-hoppen in Powershell geeft uitdagingen met het doorgeven van "Admin" zijn.

Making the second hop in PowerShell Remoting

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 21 oktober 2020 08:49

Acties:
  • 0 Henk 'm!
  • Korakal
  • Registratie: Oktober 2001
  • Laatst online: 23-05 13:12

Korakal

Up up up!

Topicstarter
Ha thanks, that helps!
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq