SQL Server 2012 Toujours sur AG - Compte de service DBENGINE Verrouillage
https://dba.stackexchange.com/questions/113003
-
29-09-2020 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai un problème étrange et j'espère que vous pourrez peut-être vous aider!
Problème: j'ai un groupe de groupes de disponibilité de 2 nœuds SQL Server 2012 utilisant un FSW. Les deux nœuds utilisent le même compte de service DBEngine (comme normal dans ces configurations).
Il existe actuellement 3 groupes de disponibilité sur ce cluster et cela fonctionne bien pour un certain temps.
Aujourd'hui, j'ai redémarré le compte de nœud passive dbengine (comme je l'ajoutant d'un certificat SSL pour une nouvelle application, un nouveau groupe de disponibilité). Lorsque le nœud est revenu, il n'était plus synchronisé avec le nœud 1. L'état de la réplique a été déconnecté et je pouvais voir de nombreux échecs de connexion sur les journaux SQL 1 (nœud actifs).
J'ai trouvé que le compte de service DBEngine avait verrouillé. Je l'avais déverrouillé, mais il se verrouille bientôt.
J'ai supprimé le certificat SSL et j'ai redémarré le nœud passif (donc c'était dans le même état que j'ai commencé avec) et cela a commencé à bien, mais dans une minute, le compte de service avait à nouveau verrouillé.
Étapes J'ai essayé:
-
crée un nouveau compte de service pour exclure le compte utilisé ailleurs, a commencé les deux nœuds sous le nouveau compte .... Compte verrouillé lorsque le nœud 2 a commencé
-
déverrouillé le compte, stoppé noeud 2. Node redémarré 1. Compte bien ... attendu .. Compte toujours bien. Démarré Node 2 Service ... Compte verrouillé.
-
Les points d'extrémité de miroir recréé sur les deux nœuds et réappliquent les autorisations de connexion au compte de service DBENGINE. - cela ne l'a pas réparais.
-
redémarre les deux
-
supprimé la réplique de nœud 2 Du groupe de disponibilité, supprimé toutes les bases de données (à partir du nœud 2) et déposé le point d'extrémité de miroir sur le nœud 2. Service de noeud 2 redémarré. - À ce stade, les deux nœuds fonctionnaient heureusement sous le même compte de service.
-
a essayé de ré-ajouter le nœud 2 en tant que réplique à l'aide de l'assistant. Il l'a ajouté, sauvegardé la base de données, restaurée au nœud 2 et est arrivé à la dernière étape où elle le connecte et le mot de passe est replié à nouveau!
Quelqu'un a-t-il eu des idées? Toute entrée serait grandement reçue!
sam
La solution
Alors au cas où quelqu'un veut savoir ce qui a causé cela, c'était une politique de groupe!
Il y a quelque temps, à volonté de moi, les contrôleurs de domaine du domaine en question avaient été mis à niveau vers le serveur 2012. Avec cela, il s'agit d'un ensemble de stratégies de groupe Windows Server 2012. Des stratégies supplémentaires ont été ajoutées à l'un des ou sur le serveur parent avec un filtre appliqué.
Malheureusement, le filtre avait une faute de frappe, et il était donc appliqué à tous mes serveurs de base de données sur ce domaine.
J'avais presque exclu que c'était une question de GP, car j'ai semblé avoir toutes les autorisations dont j'avais besoin et que je pouvais voir les connexions entrant sur les ports appropriés entre chaque nœud. Les serveurs fonctionnaient heureux en tant que nœuds individuels!
J'ai demandé à l'équipe du serveur de déplacer les serveurs (juste pour voir) au «Ordinateurs d'ordinateurs» et après un GPUpdate forcé, Bingo!
Malheureusement, je ne suis pas sûr quelle politique a causé le problème comme il y avait beaucoup! Il y avait un numéro à faire avec l'utilisation et l'authentification NTLM, et je suis convaincu que la question était liée à cela. Je ferai à un moment donné un laboratoire de test pour essayer de reproduire le problème.
Voilà donc y aller! Toujours vérifier les politiques du groupe, même si vous croyez (comme je l'ai fait) que rien n'avait changé!
