我必须将 8 个 SQL Server 实例迁移到新的 SQL Server 2019 AlwaysON 集群。每个实例都将被复制到被动辅助节点。我们在全球范围内都希望使用 gMSA 而不是经典域帐户。
我找不到与此相关的最佳实践:
- 我应该对所有节点上的所有 sql 服务使用相同的 gMSA 吗?
- 我应该为每个实例使用专用的 gMSA 吗?(主节点和辅助节点)。
- 如果是,我可以在每个节点上安装多个 gMSA 服务吗?(
Install-ADServiceAccount gMSAsqlservice
)
谢谢
由于这与公司内部安全有关,因此您需要询问您的安全人员他们想做什么。他们将负责审核并引起您的注意,因此最好让他们签字。
假设他们不在乎,只要您使用 gMSA...
这将大大简化部署。由于 gMSA 帐户的性质,只要环境不涉及许多外部资源(因为它是相对独立的,或者所有节点和服务都需要访问这些外部资源,因此我认为没有问题)无论如何,安全需要无处不在)。
gMSA 的强大之处在于它可以多次使用。如果是我的个人环境,我会在每个集群部署中使用一个 gMSA 帐户。请注意,我不会在集群中安装多个实例(AG 或 FCI),因此每个集群都可以使用一个帐户。
是的,这是可能的,你也可以,但我个人不会每个节点只有一个实例或每个集群只有一个 FCI。因此,我认为没有必要,但我也不是你 :)