Credenziali del servizio da utilizzare nei gruppi di disponibilità AlwaysOn?
-
28-09-2020 - |
Domanda
Quando si utilizzano i gruppi di disponibilità AlwaysOn, ciascuna istanza SQL deve utilizzare le stesse credenziali del servizio?
Stiamo configurando una nuova distribuzione SQL2014 e utilizzeremo AlwaysOn.Se dispongo di 2 server SQL (chiamateli ServerA e ServerB), posso utilizzare 2 account Active Directory chiamati Dominio\ServerA_SQLServerService e Dominio\ServerB_SQLServerService (uno su ciascun server)?
Oppure devono utilizzare lo stesso account, quindi dovrei semplicemente creare Domain\SQLServerService
Gli account si troveranno nello stesso dominio e potranno avere accesso a entrambi i server.In precedenza l'account del servizio SQL Server veniva bloccato, il che ovviamente causava problemi.Quello che mi piacerebbe fare è avere 2 account in modo da ridurre la probabilità che entrambi vengano bloccati.
Esiste un requisito e/o qual è la procedura consigliata di Microsoft?
Soluzione
Quando si utilizzano i gruppi di disponibilità AlwaysOn, ciascuna istanza SQL deve utilizzare le stesse credenziali del servizio?
No, gli account del servizio SQL Server possono essere diversi.Abbiamo un cluster a 3 nodi che esegue AlwaysON e su tutti i server SQL Server è in esecuzione con un account diverso.
per esempio.Se hai un server a New York e un altro a LD, allora
Account Active Directory da creare (di seguito saranno riportati gli account del servizio SQL Server)
NYDB1_sql
LDDB1_sql
Aggiungi entrambi questi account al gruppo DB1-SQL (sotto)
Gruppo Active Directory da creare:DB1-SQL (entrambi gli account sopra indicati devono essere membri di questo gruppo).
Una cosa importante da notare, da BOL :
Se due istanze del server vengono eseguite come account diversi, l'amministratore di sistema deve utilizzare l'istruzione Transact-SQL CREATE LOGIN per creare un account di accesso per l'account del servizio di avvio dell'istanza remota nella tabella syslogins del database master di ogni istanza del server.
Inoltre, concedi l'autorizzazione CONNECT sull'endpoint agli account del servizio.
In precedenza l'account del servizio SQL Server veniva bloccato, il che ovviamente causava problemi.
È possibile utilizzare l'account del servizio gestito di gruppo, una novità di Windows Server 2012.L'unico requisito è che sia necessario almeno un controller di dominio Windows 2012 e utilizzare server membri 2012 o 2012 R2.
Altri suggerimenti
Se si utilizzano diversi account di servizio per il motore su ciascuna replica, non sarà possibile configurare lo SPN e non sarai in grado di utilizzare Kerberos