SQL Server 2012始终在AG - DBENGINE服务帐户锁定

Question

我有一个奇怪的问题，我希望你们可以帮助！

问题：我有一个2节点SQL Server 2012可用性组群集利用FSW。两个节点都使用相同的dbengine服务帐户（在这些设置中正常）。

此集群上有3个可用性组，它在很长一段时间内工作正常。

今天我重新启动了被动节点dbengine帐户（因为我为新应用程序添加了SSL证书，新的可用性组）。当节点备份时，它不再与节点1同步1.副本的状态已断开连接，我可以看到节点1（活动节点）SQL日志上的许多登录失败。

我发现dbengine服务帐户已锁定。我已经解锁了，但很快就会锁定。

我删除了SSL证书并再次重新启动了被动节点（所以它处于同一个状态，即启动），它启动了很好，但在一分钟内，服务帐户再次锁定。

我尝试的步骤：

• 创建了一个新的服务帐户，以排除在其他地方使用的帐户，在新帐户下启动两个节点....锁定节点2启动

时锁定

• 解锁帐户，停止节点2.重新启动节点1.帐户罚款......等待。帐户仍然很好。开始节点2服务...锁定帐户。

• 在两个节点上重新创建镜像端点并重新删除DBENGNINE服务帐户的CONNECT权限。 - 这并没有修复它。

• 重新启动VM的

• 从可用性组中删除了节点2副本，删除了所有数据库（从节点2）并删除了节点2上的镜像端点2.重新启动节点2服务。 - 此时，两个节点都在相同的服务帐户下令人愉快地运行。

• 尝试使用向导作为副本重新添加节点2。它添加了它，备份了数据库，恢复到节点2，并且到达它连接它的最后一步，密码再次锁定！

有没有人有任何想法？任何投入都将大大收到！

sam

Answer 1

所以，如果有人想知道是什么造成这一点，那就是一个小组政策！

前一段时间，UbbeNownnown of Me，所讨论的域的域控制器已被升级到Server 2012.以及这是一系列的Windows Server 2012组策略。使用过滤器的父服务器OU中添加了其他策略。

不幸的是，过滤器有一个拼写错误，因此它正在应用于此域上的所有数据库服务器。

我几乎排除了它是一个gp问题，因为我似乎拥有我需要的所有权限，我可以看到连接在每个节点之间的正确端口上的连接。服务器愉快地运行单个节点！

我要求服务器团队将服务器（只是要查看）移动到“计算机的OU”，并在强制GPupdate之后，宾果！

不幸的是，我不确定哪种政策导致了这个问题很多！与NTLM使用和身份验证有一个数字，我相信该问题与此相关。我会在某些时候设置一个测试实验室来尝试复制问题。

所以你走了！始终检查组策略，即使您相信（就像我做过），没有任何改变！