Unable to retrieve group Managed Service Account information. The system cannot find the file specified


Забавная штука. gMSA, оказывается имеют в запасе пару трюков, умеющих удивлять.

 

 

 

 

Вот видим такую ошибку при использовании gMSA. О чем нам она скажет? О том, что сервис не может найти gMSA и зацепиться за неё. Варианта, почему такое может произойти в практике было замечено два.

Первый: учетка gMSA передвинута суровой рукой администратора в специально отведенный OU для сервисных учеток. Установщик же мечтает увидеть ее в контейнере по умолчанию и дальше последнего смотреть отказывается. Шах и мат. Можно пойти на сделку с совестью, и перетащить созданную учетку в контейнер по умолчанию, потом вернуть куда положено.

Второй вариант: лес был неправильно подготовлен, и нужный контейнер не создался вовсе. Такое тоже, как выяснилось бывает. Вариантов опять два, или создаем контейнер, зажмурившись, или не создаем и отказываемся от использования gMSA вовсе. Не, ну а чо они?

Как-то так. Берегите себя.

Апрельский выпуск


Сегодня в номере будет несколько коротких заметок, касающихся общей темы: аутентификации. Довольно часто (и в последние два года, как ни странно, все чаще) спрашивают- а что такое ADFS. Наткнулся на отличную заметку от 2003-го года с весьма хорошим переводом, и именно в переводе хочу ее и предложить к ознакомлению всем тем, кто про это дело что-то слышал, но до сих пор не разбирался с предметом.  Желающие посмотреть ее на языке Шекспира могут не сдерживать свои порывы, и почитать ее как вздумается.  Заметка живет тут, настоятельно рекомендую сесть и вдумчиво прочитать, пока ее не выпилили.

Continue reading “Апрельский выпуск”

Add-ADFSAttributeStore и его друзья


Небольшой баг или фича с powershell ADFS.

Если добавить хранилище атрибутов, используя командлет Add-ADFSAttributeStore, оно не будет работать в примере

Add-ADFSAttributeStore -name ‘My Ldap Store’ -StoreType ‘LDAP’ -Configuration @{“Connection” = “LDAP://fab.com/dc=fab,dc=com”}

Если мы выполним команду выше, то она успешно отработает, и создаст хранилище атрибутов, однако последнее не будет жизнеспособным. Если Вы поэкспериментируете с созданием хранилищ через графический интерфейс, а затем посмотрите на результат через Get-ADFSAttributeStore, то заметите что

хранилища SQL будут иметь строку, начинающуюся с заглавной буквы, “Connection”, а LDAP  будет со строчной.

Добавим хранилище еще раз, на этот раз используем строчную: Add-ADFSAttributeStore -name ‘My Ldap Store’ -StoreType ‘LDAP’ -Configuration @{“connection” = “LDAP://fab.com/dc=fab,dc=com”}