Sql-Server

在 AlwaysON 集群上具有多個 SQL 實例的 gMSA 的最佳實踐是什麼

  • March 22, 2022

我必須將 8 個 SQL Server 實例遷移到新的 SQL Server 2019 AlwaysON 集群。每個實例都將被複製到被動輔助節點。我們在全球範圍內都希望使用 gMSA 而不是經典域帳戶。

我找不到與此相關的最佳實踐:

  • 我應該對所有節點上的所有 sql 服務使用相同的 gMSA 嗎?
  • 我應該為每個實例使用專用的 gMSA 嗎?(主節點和輔助節點)。
  • 如果是,我可以在每個節點上安裝多個 gMSA 服務嗎?(Install-ADServiceAccount gMSAsqlservice

謝謝

由於這與公司內部安全有關,因此您需要詢問您的安全人員他們想做什麼。他們將負責審核並引起您的注意,因此最好讓他們簽字。

假設他們不在乎,只要您使用 gMSA…

我應該對所有節點上的所有 sql 服務使用相同的 gMSA 嗎?

這將大大簡化部署。由於 gMSA 帳戶的性質,只要環境不涉及許多外部資源(因為它是相對獨立的,或者所有節點和服務都需要訪問這些外部資源,因此我認為沒有問題)無論如何,安全需要無處不在)。

我應該為每個實例使用專用的 gMSA 嗎?(主節點和輔助節點)。

gMSA 的強大之處在於它可以多次使用。如果是我的個人環境,我會在每個集群部署中使用一個 gMSA 帳戶。請注意,我不會在集群中安裝多個實例(AG 或 FCI)​​,因此每個集群都可以使用一個帳戶。

如果是,我可以在每個節點上安裝多個 gMSA 服務嗎?(Install-ADServiceAccount gMSAsqlservice)

是的,這是可能的,你也可以,但我個人不會每個節點只有一個實例或每個集群只有一個 FCI。因此,我認為沒有必要,但我也不是你 :)

引用自:https://dba.stackexchange.com/questions/310016