SQL Server 2012始终在AG - DBENGINE服务帐户锁定
-
29-09-2020 - |
题
我有一个奇怪的问题,我希望你们可以帮助!
问题:我有一个2节点SQL Server 2012可用性组群集利用FSW。两个节点都使用相同的dbengine服务帐户(在这些设置中正常)。
此集群上有3个可用性组,它在很长一段时间内工作正常。
今天我重新启动了被动节点dbengine帐户(因为我为新应用程序添加了SSL证书,新的可用性组)。当节点备份时,它不再与节点1同步1.副本的状态已断开连接,我可以看到节点1(活动节点)SQL日志上的许多登录失败。
我发现dbengine服务帐户已锁定。我已经解锁了,但很快就会锁定。
我删除了SSL证书并再次重新启动了被动节点(所以它处于同一个状态,即启动),它启动了很好,但在一分钟内,服务帐户再次锁定。
我尝试的步骤:
-
创建了一个新的服务帐户,以排除在其他地方使用的帐户,在新帐户下启动两个节点....锁定节点2启动
时锁定
-
解锁帐户,停止节点2.重新启动节点1.帐户罚款......等待。帐户仍然很好。开始节点2服务...锁定帐户。
-
在两个节点上重新创建镜像端点并重新删除DBENGNINE服务帐户的CONNECT权限。 - 这并没有修复它。
-
重新启动VM的
-
从可用性组中删除了节点2副本,删除了所有数据库(从节点2)并删除了节点2上的镜像端点2.重新启动节点2服务。 - 此时,两个节点都在相同的服务帐户下令人愉快地运行。
-
尝试使用向导作为副本重新添加节点2。它添加了它,备份了数据库,恢复到节点2,并且到达它连接它的最后一步,密码再次锁定!
有没有人有任何想法?任何投入都将大大收到!
sam
解决方案
所以,如果有人想知道是什么造成这一点,那就是一个小组政策!
前一段时间,UbbeNownnown of Me,所讨论的域的域控制器已被升级到Server 2012.以及这是一系列的Windows Server 2012组策略。使用过滤器的父服务器OU中添加了其他策略。
不幸的是,过滤器有一个拼写错误,因此它正在应用于此域上的所有数据库服务器。我几乎排除了它是一个gp问题,因为我似乎拥有我需要的所有权限,我可以看到连接在每个节点之间的正确端口上的连接。服务器愉快地运行单个节点!
我要求服务器团队将服务器(只是要查看)移动到“计算机的OU”,并在强制GPupdate之后,宾果!
不幸的是,我不确定哪种政策导致了这个问题很多!与NTLM使用和身份验证有一个数字,我相信该问题与此相关。我会在某些时候设置一个测试实验室来尝试复制问题。
所以你走了!始终检查组策略,即使您相信(就像我做过),没有任何改变!