在 AlwaysON 集群上具有多個 SQL 實例的 gMSA 的最佳實踐是什麼

我必須將 8 個 SQL Server 實例遷移到新的 SQL Server 2019 AlwaysON 集群。每個實例都將被複製到被動輔助節點。我們在全球範圍內都希望使用 gMSA 而不是經典域帳戶。

我找不到與此相關的最佳實踐：

• 我應該對所有節點上的所有 sql 服務使用相同的 gMSA 嗎？
• 我應該為每個實例使用專用的 gMSA 嗎？（主節點和輔助節點）。
• 如果是，我可以在每個節點上安裝多個 gMSA 服務嗎？（Install-ADServiceAccount gMSAsqlservice）

謝謝

由於這與公司內部安全有關，因此您需要詢問您的安全人員他們想做什麼。他們將負責審核並引起您的注意，因此最好讓他們簽字。

假設他們不在乎，只要您使用 gMSA…

我應該對所有節點上的所有 sql 服務使用相同的 gMSA 嗎？

這將大大簡化部署。由於 gMSA 帳戶的性質，只要環境不涉及許多外部資源（因為它是相對獨立的，或者所有節點和服務都需要訪問這些外部資源，因此我認為沒有問題）無論如何，安全需要無處不在）。

我應該為每個實例使用專用的 gMSA 嗎？（主節點和輔助節點）。

gMSA 的強大之處在於它可以多次使用。如果是我的個人環境，我會在每個集群部署中使用一個 gMSA 帳戶。請注意，我不會在集群中安裝多個實例（AG 或 FCI）​​，因此每個集群都可以使用一個帳戶。

如果是，我可以在每個節點上安裝多個 gMSA 服務嗎？（Install-ADServiceAccount gMSAsqlservice）

是的，這是可能的，你也可以，但我個人不會每個節點只有一個實例或每個集群只有一個 FCI。因此，我認為沒有必要，但我也不是你 :)

引用自：https://dba.stackexchange.com/questions/310016