SQL Server 2012 Always On AG – Sperrung des DBEngine-Dienstkontos

Question

Ich habe ein seltsames Problem und hoffe, dass ihr mir helfen könnt!

Problem:Ich habe einen SQL Server 2012-Verfügbarkeitsgruppencluster mit zwei Knoten, der einen FSW verwendet.Beide Knoten verwenden dasselbe DBEngine-Dienstkonto (wie es in diesen Setups üblich ist).

Derzeit gibt es in diesem Cluster drei Verfügbarkeitsgruppen und er funktioniert seit geraumer Zeit einwandfrei.

Heute habe ich das DBEngine-Konto des passiven Knotens neu gestartet (während ich ein SSL-Zertifikat für eine neue Anwendung und eine neue Verfügbarkeitsgruppe hinzufügte).Als der Knoten wieder hochgefahren wurde, konnte er nicht mehr mit Knoten 1 synchronisiert werden.Der Status des Replikats war getrennt und ich konnte viele Anmeldefehler in den SQL-Protokollen von Knoten 1 (aktiver Knoten) sehen.

Ich habe festgestellt, dass das DBEngine-Dienstkonto gesperrt war.Ich ließ es aufschließen, aber es verriegelte sich bald wieder.

Ich habe das SSL-Zertifikat entfernt und den passiven Knoten erneut gestartet (so dass er sich in demselben Zustand befand, mit dem ich begonnen hatte) und er startete einwandfrei, aber innerhalb einer Minute war das Dienstkonto erneut gesperrt.

Schritte, die ich versucht habe:

• ein neues Dienstkonto erstellt, um eine anderweitige Verwendung des Kontos auszuschließen, beide Knoten unter dem neuen Konto gestartet ...Konto gesperrt, als Knoten 2 gestartet wurde

• Konto entsperrt, Knoten 2 gestoppt.Knoten 1 neu gestartet.Konto in Ordnung...gewartet..Konto immer noch in Ordnung.Knoten-2-Dienst gestartet...Konto gesperrt.

• Spiegelungsendpunkte auf beiden Knoten neu erstellt und Verbindungsberechtigungen erneut auf das dbengine-Dienstkonto angewendet.- Das hat das Problem nicht behoben.

• Beide VMs neu gestartet

• hat das Replikat von Knoten 2 aus der Verfügbarkeitsgruppe entfernt, alle Datenbanken (von Knoten 2) entfernt und den Spiegelungsendpunkt auf Knoten 2 gelöscht.Knoten 2-Dienst neu gestartet.– Zu diesem Zeitpunkt liefen beide Knoten problemlos unter demselben Dienstkonto.

• Ich habe versucht, Knoten 2 mithilfe des Assistenten erneut als Replikat hinzuzufügen.Es hat es hinzugefügt, die Datenbank gesichert, auf Knoten 2 wiederhergestellt und ist zum allerletzten Schritt gekommen, wo es verbunden wurde, und das Passwort wurde wieder gesperrt!

Hat jemand irgendwelche Ideen?Jeder Input wäre sehr willkommen!

Sam

Answer 1

Nur für den Fall, dass jemand wissen möchte, was das verursacht hat: Es handelte sich um eine Gruppenrichtlinie!

Vor einiger Zeit wurden, ohne mein Wissen, die Domänencontroller für die betreffende Domäne auf Server 2012 aktualisiert.Dazu kam eine ganze Reihe von Gruppenrichtlinien für Windows Server 2012.Einer der übergeordneten Server-Organisationseinheiten wurden mit einem angewendeten Filter zusätzliche Richtlinien hinzugefügt.

Leider hatte der Filter einen Tippfehler und wurde daher auf alle meine Datenbankserver in dieser Domäne angewendet.

Ich hatte fast ausgeschlossen, dass es sich um ein GP-Problem handelte, da ich scheinbar über alle Berechtigungen verfügte, die ich brauchte, und ich sehen konnte, dass die Verbindungen zwischen den einzelnen Knoten auf den richtigen Ports eingingen.Die Server liefen problemlos als einzelne Knoten!

Ich habe das Serverteam gebeten, die Server (nur um es zu sehen) in die Organisationseinheit „Computer“ zu verschieben, und nach einem erzwungenen gpupdate, Bingo!

Leider weiß ich nicht genau, welche Richtlinie das Problem verursacht hat, da es viele davon gab!Es gab eine Reihe von Problemen mit der NTLM-Nutzung und -Authentifizierung, und ich bin überzeugt, dass das Problem damit zusammenhängt.Irgendwann werde ich ein Testlabor einrichten, um zu versuchen, das Problem zu reproduzieren.

Hier bitteschön!Überprüfen Sie immer die Gruppenrichtlinien, auch wenn Sie (wie ich) glauben, dass sich nichts geändert hat!