在权限受限制的AD域环境中部署SQL Server AlwaysOn高可用性

最近在给一个客户部署基于微软TFS的软件生命周期管理平台时,客户要求数据库层实现高可用性,减少因数据库服务器故障影响软件开发进展。

客户现有域是一台搭建在Windows Server 2008上的级别为Windows 2008的企业域。为了符合客户企业域的安全规定,需要在部署数据库高可用性期间使用最低权限,即只赋予操作账户(tfsadmin)在AD目录中用于ALM的组织单元的完全权限。在综合考虑和调用的基础上,我们提出了以下方案,并附上了操作说明。

方案:

1. 在AD域中为ALM创建用于保存计算机和用户的组织单位,并为tfsadmin用户指派这个组织单位的完全控制权限,如下图。

图一:AD域中用于ALM的组织单元

图二:tfsadmin用户对改组织单元具备完全控制的权限

2. 提前在AD域中为客户端和服务器在AD域的ALM组织单元中创建计算机对象。如图一中所示,ALM中的所有客户端和服务器计算机对象,都保存在制定的OU中。

操作指南:

操作指南中的关键点:

1. 使用操作账户domain\tfsamdin创建好故障转移群集(FC01)后,需要将计算机账户FC01$设置为数据库集群计算机所在OU的“创建/删除计算机对象”的权限

在创建数据库AlwaysOn的侦听器过程中,需要在OU中创建一个虚拟的计算机账户,创建过程使用的操作账户实际上是故障转移的计算机账户(FC01$),如果此账户对群集计算机对象所在的OU没有创建计算机的权限,则会出现创建侦听器失败的错误。

(可以通过查看AD控制器上的Event ID为4741的安全日志,得知故障转移计算机账户创建了侦听器计算机账户,如下表)


已创建计算机帐户。

主题:  安全 ID:  TEST\fc01$  帐户名:  fc01$  帐户域:  TEST  登录 ID:  0x13b9ca

新计算机帐户:   安全 ID:  TEST\agroup03$  帐户名:  agroup03$  帐户域:  TEST

属性:  SAM 帐户名: agroup03$  显示名:  -  用户主体名称: -  主目录:  -  主驱动器: -  脚本路径: -  配置文件路径: -  用户工作站: -  上次设置的密码: <从不>  帐户过期: <从不>  主要组 ID: 515  允许委派给: -  旧 UAC 值: 0x0  新 UAC 值: 0x80  用户帐户控制:    ‘工作站信任帐户‘ - 已启用  用户参数: -  SID 历史: -  登录时间(以小时计): <未设置值>  DNS 主机名: -  服务主体名称: -

附加信息:  特权  -

2. 下面的所有操作都使用domain\tfsadmin账户

3. 数据引擎的服务账户必须使用域账户(例如domain\sqlservice)

具体操作:

1. 在AD域中创建组织单元结构(图一),并配置domain\tfsadmin对ALM节点具备完全控制权限(图二)

2. 将数据库服务器的所有节点加入到域环境,将domain\tfsadmin账户加入到数据库服务器的本地管理员组中,并设置为数据服务器的管理员角色

( 如果需要将客户端计算机加入到指定OU中,可以使用命令行NETDOM JOIN %computername% /Domain:”OU=ALMCompuers, OU=ALM, DC=test, DC=local” )

3. 在节点一服务器上创建故障转移群集,并使用文件夹共享的方式配置仲裁

图三 - 创建好的故障转移群集

4. 在所有数据库服务器上启用AlwaysOn

图四 – 启用AlwaysOn

5. 在数据库的主节点上创建测试数据库(testdb),并对此数据库做完整备份,同时共享备份目录

6. 创建数据库服务器的高可用性组,在创建高可用性组的过程中,创建侦听器。

图五 – SQL Server AlwaysOn的侦听器

图六 - 与侦听器对应的虚拟机对象

图七 - 创建高可用性过程中自动注册的DNS记录

在权限受限制的AD域环境中部署SQL Server AlwaysOn高可用性

时间: 2024-10-12 13:40:47

在权限受限制的AD域环境中部署SQL Server AlwaysOn高可用性的相关文章

Linux运维系列一 CentOS 7桌面系统加入到Samba4 AD域环境中

这篇文章讲述了如何使用 Authconfig-gtk 工具将 CentOS 7 桌面系统加入到 Samba4 AD 域环境中,并使用域帐号登录到 CentOS 系统. 要求 1.在 Ubuntu 系统中使用 Samba4 创建活动目录架构 2.CentOS 7.3 安装指南 第一步:在 CentOS 系统中配置 Samba4 AD DC 1.在将 CentOS 7 加入到 Samba4 域环境之前,你得先配置 CentOS 系统的网络环境,确保在 CentOS 系统中通过 DNS 可以解析到域名

金蝶K3,域环境中,无本地用户管理员权限的域用户如何设置注册表权限?

如果该用户是属于Power Users组:只需要给用户添加注册表中的HKEY_LOCAL_MACHINE的SOFTWARE完全控制的权限.(勾选允许父项的继承权限和传播到该对象和所有子对象) 如果该用户是属于Users组:除了需要给用户添加注册表中的HKEY_LOCAL_MACHINE的SOFTWARE完全控制的权限以外,还需要给用户添加注册表中HKEY_CLASSES_ROOTD的APPID以及KdSvrmgr.clsAct完全控制的权限. 金蝶K3,域环境中,无本地用户管理员权限的域用户如何

Linux机器Centos6和rhel6系统主机加入W2K8 AD域环境

实验环境搭建 基础架构图如下: AD同时配置DNS功能,实现互通及域名正反解析功能! Linux机器配置 系统及本版信息如下 Krb5软件安装 需要安装以下4个软件: krb5-workstation krb5-devel krb5-libs pam_krb5 [[email protected] ~]# rpm -qa | grep krb krb5-libs-1.10.3-10.el6.i686 krb5-devel-1.10.3-10.el6.i686 [[email protected]

MDT 2013 从入门到精通之AD域环境准备

因为是全新的部署环境,所以从服务端到客户端都一步一截图,此次服务器端使用Server 2012 R2环境,这样MDT 2013才显得更加高大上,大大节省了后期的升级操作.接下来进入正题: 一.AD域角色安装: 1.服务器管理器界面,选择"管理",添加角色和功能: 2.弹出添加角色和功能向导,选择"下一步": 3.选择"基于角色或基于功能的安装",单击"下一步": 4.选择"从服务器池中选择服务器",单击&q

AD域环境搭建

1.安装Windows server服务器 我安装的是Windows server 2012 Standard x64 下载地址: 产品密钥: VDNYM-JBKJ7-DC4X9-BT3QR-JHRGY BNHD9-KT7MY-4BX83-HTGM4-3C77J 安装教程安装提示一步步进行即可. 2.桌面图标设置:win+r——>rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0回车 勾选需要在桌面设置的图标,我一般会勾选我的电脑,控制面板 3

windows 2008 r2 AD域控服务器部署

一:配置域控IP地址 在运行中输入dcprome.exe,配置AD域环境 操作系统兼容性提示 碰到"无法新建域,因为本地administrator账户密码不符合要求" 在命令行中使用 "net user administrator /passwordreq:yes" 在域服务器上配置DNS服务器选项,如果已经安装了DNS服务器,则不需要再选择DNS服务,安装过程中会自动写入相关DNS记录至DNS服务器内. 重启服务器

在非域环境中修改域用户密码的方法

前几天有个单位,新配置了一台服务器,做文件服务器,为网络中提供共享文件夹服务,该单位大约有50多个用户.服务器采用Windows Server 2008 R2操作系统,升级到Active Directory,为单位每个职工创建了一个用户名,在服务器上除了为每个用户创建一个"共享文件夹"保存个人数据外,还创建了"公共"共享文件夹,保存单位的数据,并且在公共文件夹中创建了若干子目录,通过用户权限,设置只让指定用户上传.修改其中的文件. 在开始规划的时候,是计划让单位的所

如何向Active Directory(AD域)中添加组织和用户

本教程介绍了如何向Active Directory(AD域)中添加组织和用户的方法. 1.首先打开Active Directory,展示该域中已有的组织和用户,显示在列表左侧,如下图: 2.右键单击根节点,依次选择:新建-->组织单位,如下图: 3.在新建对象--组织单位中输入所要新建单位的名称,参考下图: 4.输入完毕后点击确定完成新建,该组织将显示在域的用户列表中,如下图: 5.组织单位已经创建完毕,接下来了解如何创建用户的方法.在所选单位组织上右键,一次选择新建-->用户: 6.输入新建

从0开始搭建SQL Server AlwaysOn 第一篇(配置域控)

从0开始搭建SQL Server AlwaysOn 第一篇(配置域控) 网上的 AlwaysOn可以说是非常的多,也可以说是非常的千篇一律,而且很多都是搭建非常顺利的,没有坑的,难道搭建 AlwaysOn真的可以这麽顺利吗?????? 由于公司使用的是最新的Windows Server 2012 R2,网上用的都是Windows Server 2008 R2 ,2012 R2和2008 R2在故障转移集群界面菜单和AD 服务管理工具 已经有较大变化,有一些步骤跟Windows Server 20