在权限受限制的AD域环境中部署SQL Server AlwaysOn高可用性

最近在给一个客户部署基于微软TFS的软件生命周期管理平台时,客户要求数据库层实现高可用性,减少因数据库服务器故障影响软件开发进展。

客户现有域是一台搭建在Windows Server 2008上的级别为Windows 2008的企业域。为了符合客户企业域的安全规定,需要在部署数据库高可用性期间使用最低权限,即只赋予操作账户(tfsadmin)在AD目录中用于ALM的组织单元的完全权限。在综合考虑和调用的基础上,我们提出了以下方案,并附上了操作说明。

方案:

1. 在AD域中为ALM创建用于保存计算机和用户的组织单位,并为tfsadmin用户指派这个组织单位的完全控制权限,如下图。

image

图一:AD域中用于ALM的组织单元

image

图二:tfsadmin用户对改组织单元具备完全控制的权限

2. 提前在AD域中为客户端和服务器在AD域的ALM组织单元中创建计算机对象。如图一中所示,ALM中的所有客户端和服务器计算机对象,都保存在制定的OU中。

操作指南:

操作指南中的关键点:

1. 使用操作账户domain\tfsamdin创建好故障转移群集(FC01)后,需要将计算机账户FC01$设置为数据库集群计算机所在OU的“创建/删除计算机对象”的权限

在创建数据库AlwaysOn的侦听器过程中,需要在OU中创建一个虚拟的计算机账户,创建过程使用的操作账户实际上是故障转移的计算机账户(FC01$),如果此账户对群集计算机对象所在的OU没有创建计算机的权限,则会出现创建侦听器失败的错误。

(可以通过查看AD控制器上的Event ID为4741的安全日志,得知故障转移计算机账户创建了侦听器计算机账户,如下表)

已创建计算机帐户。

主题:  安全 ID:  TEST\fc01$  帐户名:  fc01$  帐户域:  TEST  登录 ID:  0x13b9ca

新计算机帐户:   安全 ID:  TEST\agroup03$  帐户名:  agroup03$  帐户域:  TEST

属性:  SAM 帐户名: agroup03$  显示名:  -  用户主体名称: -  主目录:  -  主驱动器: -  脚本路径: -  配置文件路径: -  用户工作站: -  上次设置的密码: <从不>  帐户过期: <从不>  主要组 ID: 515  允许委派给: -  旧 UAC 值: 0x0  新 UAC 值: 0x80  用户帐户控制:    '工作站信任帐户' - 已启用  用户参数: -  SID 历史: -  登录时间(以小时计): <未设置值>  DNS 主机名: -  服务主体名称: -

附加信息:  特权  -

2. 下面的所有操作都使用domain\tfsadmin账户

3. 数据引擎的服务账户必须使用域账户(例如domain\sqlservice)

具体操作:

1. 在AD域中创建组织单元结构(图一),并配置domain\tfsadmin对ALM节点具备完全控制权限(图二)

2. 将数据库服务器的所有节点加入到域环境,将domain\tfsadmin账户加入到数据库服务器的本地管理员组中,并设置为数据服务器的管理员角色

( 如果需要将客户端计算机加入到指定OU中,可以使用命令行NETDOM JOIN %computername% /Domain:”OU=ALMCompuers, OU=ALM, DC=test, DC=local” )

3. 在节点一服务器上创建故障转移群集,并使用文件夹共享的方式配置仲裁

image

图三 - 创建好的故障转移群集

4. 在所有数据库服务器上启用AlwaysOn

image

图四 – 启用AlwaysOn

5. 在数据库的主节点上创建测试数据库(testdb),并对此数据库做完整备份,同时共享备份目录

6. 创建数据库服务器的高可用性组,在创建高可用性组的过程中,创建侦听器。

image

图五 – SQL Server AlwaysOn的侦听器

image

图六 - 与侦听器对应的虚拟机对象

image

图七 - 创建高可用性过程中自动注册的DNS记录

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: Windows Server 2016是一款功能强大的操作系统,可以用于部署Active Directory。以下是部署步骤: 1. 安装Windows Server 2016操作系统。 2. 在服务器管理器添加“Active Directory服务”角色。 3. 在“Active Directory服务配置向导”选择“新建一个新的林”,输入名和控制器名称。 4. 设置管理员密码和DNS选项。 5. 完成配置向导后,系统会自动安装并配置Active Directory服务。 6. 在控制器上创建用户和,设置权限和策略。 7. 将其他计算机加入到,以便管理和控制。 需要注意的是,在部署过程需要遵循最佳实践和安全策略,确保的稳定性和安全性。 ### 回答2: Windows Server 2016是微软最新发布的服务器操作系统,它具有丰富的功能,可以满足企业在信息化建设和管理方面的各种需求。其,Active Directory服务是其功能之一,它可以用于构建安全、可伸缩和强大的集式身份管理系统,以方便管理员管理多个用户和计算机。 在部署Windows Server 2016的服务时,需要遵循一定的规范和步骤。首先,需要配置服务器的IP地址、子网掩码、网关、DNS等基本网络参数。其次,安装Active Directory服务角色,并进行必要的配置。在安装过程,需要指定名、管理员账户、管理员密码、NETBIOS名称等信息。安装完成后,需要创建用户、、计算机,设置用户密码策略、策略等,以实现用户管理、设备管理、安全管理等操作。 在部署过程需要注意一些问题。比如,建议将管理员账户命名为不易猜测的名称,并使用强密码;不要在控制器上安装其他应用程序或服务,以避免影响服务的性能和安全性;使用控制器的安全缘起策略,限制管理员权限,以降低系统被攻击的风险。此外,还需要定期备份控制器和系统状态,以便在出现故障时能够快速恢复。 总之,通过合理的部署和配置,Windows Server 2016的Active Directory服务可以为企业提供强大而可靠的身份管理、用户和设备管理、访问控制等功能,为企业的信息化建设和管理提供了有力支持。 ### 回答3: Windows Server 2016AD部署是企业级网络管理的常见方式,它可以提供控制器(Domain Controller)和活动目录(Active Directory)的功能,用于管理用户和设备,控制访问权限,以及进行策略等操作。下面我们来看看具体的部署步骤。 一、准备工作 在开始部署之前,需要对服务器进行必要的准备工作,包括: 1、硬件要求:要求服务器硬件具有一定的性能,例如CPU、内存、磁盘等方面,同时还需要支持64位操作系统。 2、操作系统要求:需要安装Windows Server 2016操作系统,并进行配置。 3、网络要求:需要进行网络配置,包括IP地址、DNS、DHCP等设置。同时还需要考虑安全性方面的设置,例如防火墙、网络访问控制等。 4、名要求:需要考虑名的设置,例如名称、DNS解析等。 二、安装控制器 1、安装AD DS角色:在服务器管理器,选择“添加角色和功能”,选择“安装基于角色或基于特性的安装”,在弹出的对话框选择“Active Directory服务”进行安装。 2、配置安装选项:在安装过程,需要进行一些配置选项,包括名、安装选项等,根据实际情况进行选择。 3、设置管理员密码:安装完成后,系统会提示设置管理员密码,需要设置一个安全的密码,以确保安全性。 4、启用DNS服务:在安装完成后,需要启用DNS服务,以便进行名解析。 三、配置目录服务 1、添加用户和:在AD DS,可以添加用户和,用于管理用户和访问权限。 2、配置策略:在策略,可以对用户和设备进行管理,例如设置密码策略、网络访问控制等。 3、增加计算机:可以将计算机添加到,进行管理和监控。 四、维护和监控 在AD DS,需要定期进行维护和监控,包括: 1、备份和恢复:定期进行备份,以便在系统出现故障时进行恢复。 2、监控和优化:定期检查系统运行状态,进行优化和调整。 3、更新和升级:定期更新和升级系统,以及相关软件和驱动程序。 总之,Windows Server 2016AD部署是企业级网络管理的重要手段,可以提供强大的用户和设备管理功能,以及良好的安全性和稳定性。在部署过程,需要注意硬件、操作系统、网络、名等方面的设置,以及后续的维护和监控工作,以确保系统的高效运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值