标签:sas *** 服务 password 开始 ldb 成员 TE mic
组托管服务帐户(Group Managed Service Accounts,即gMSAs)组托管服务帐户是针对多个服务器的 MSA。 Windows 为在一组服务器上运行的服务管理服务帐户。 Active Directory 自动更新组托管服务帐户密码,而不重启服务。 你可以配置 SQL Server 服务以使用组托管服务帐户主体。 从 SQL Server 2014 开始,SQL Server 针对独立实例、故障转移群集实例和可用性组,在 Windows Server 2012 R2 和更高版本上支持组托管服务帐户。
若要使用 SQL Server 2014 或更高版本的组托管服务帐户,操作系统必须是 Windows Server 2012 R2 或更高版本。 装有 Windows Server 2012 R2 的服务器需要应用 KB 2998082 ,以便服务可以在密码更改后立即登录而不中断。
组托管服务帐户有注册SPN的权限。
备注:域管理员必须先在 Active Directory 中创建组托管服务帐户,然后 SQL Server 安装程序才能将其用于 SQL Server 服务。
配置步骤
1. 如果是首次创建组托管服务帐户,需要创建KDS根秘钥。
Add-KdsRootKey -EffectiveTime ((Get-Date).addhours(-10))
2. 先在域控上创建计算机组SQLServers,将需要使用组托管服务帐户的主机添加进来。
3. 在域控上创建这些组托管服务帐户。
在域控上创建SSAS服务帐户gMSAsqlssas、×××S服务帐户gMSAsql***s、SQL Server服务帐户gMSAsqldbe、SQL Server Agent服务帐户gMSAsqlagt:
New-ADServiceAccount -name gMSAsqlssas -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers New-ADServiceAccount -name gMSAsql***s -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers New-ADServiceAccount -name gMSAsqldbe -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers New-ADServiceAccount -name gMSAsqlagt -DNSHostName dc.jztest.com -PrincipalsAllowedToRetrieveManagedPassword SQLServers
4. 查看帐户状态。
Get-ADServiceAccount gMSAsqlssas -Properties msDS-GroupMsaMembership | Select -Expand msDS-GroupMsaMembership | Select -Expand Access | Select -Expand IdentityReference
5. 重启成员服务器,并安装和验证组托管服务帐户。
在各成员服务器执行以下脚本:
Import-Module ServerManager Add-WindowsFeature RSAT-AD-PowerShell Import-Module ActiveDirectory Install-ADServiceAccount gMSAsqlssas Install-ADServiceAccount gMSAsql***s Install-ADServiceAccount gMSAsqldbe Install-ADServiceAccount gMSAsqlagt Test-ADServiceAccount gMSAsqlssas Test-ADServiceAccount gMSAsql***s Test-ADServiceAccount gMSAsqldbe Test-ADServiceAccount gMSAsqlagt
6. 为了使用UNC远程备份,如果你习惯使用默认共享如c$去做备份,需要将这些账号添加到每台成员服务器的Backup Operators组中。但是,这是一个很不好的习惯,管理共享都是给与具有管理员权限的用户使用的,在日常运维过程中,务必使用共享文件夹方式。如果使用共享文件夹,gMSAs无需执行此步骤。
(Administrative shares are hidden network shares created by Windows NT family of operating systems that allow system administrators to have remote access to every disk volume on a network-connected system. These shares may not be permanently deleted but may be disabled. Administrative shares cannot be accessed by users without administrative privileges.)
7. 配置各服务使用组托管服务帐户,密码留空并确认。
测试场景
1. 域控修改组托管服务帐户密码
域控修改组托管服务帐户密码后,验证各副本的连接,正常。
2. 使用脚本切换主备实例
使用mov.ps1切换主备实例后,新的主实例能正常运行。
备注:在Windows Server 2012 R2上使用gMSAs务必打相关补丁,否则会遇到配置了该账号的服务莫名崩溃的情况。见KB 2998082
组托管服务帐户(Group Managed Service Accounts,即gMSAs)
标签:sas *** 服务 password 开始 ldb 成员 TE mic
原文地址:http://blog.51cto.com/ultrasql/2129231
