Recentemente, enfrentei um problema em que o servidor SQL 2012 hospedado em um cluster de failover de 2 nós falhou ao iniciar. E como o log de eventos do cluster e do Windows não ajudou muito, comecei a verificar o log de erros do servidor SQL, que apresentava o erro abaixo toda vez que tentava iniciar a função do servidor SQL no gerenciador de cluster de failover
Falha de login para o usuário 'NT AUTHORITY\SYSTEM'. Razão: Não foi possível encontrar um login correspondente ao nome fornecido. [CLIENTE: ]
então criei o login NT AUTHORITY\SYSTEM e também o adicionei à função Sysadmin. e funcionou!,
Agora estou cético se o que fiz é certo ou não em termos de segurança.
- Ouvi dizer que criar NT AUTHORITY\SYSTEM no servidor SQL não é seguro. Se for esse o caso, devo alterar meu serviço de cluster para uma conta de domínio? Isso afetará alguma coisa?
- Eu adicionei NT AUTHORITY\SYSTEM à função Sysadmin - Isso é realmente necessário ou posso fornecer apenas a permissão necessária explicitamente para o login
Sim, a falha é esperada. Está documentado aqui .
Para responder agora:
Estou assumindo que você está falando sobre o serviço de cluster real. Se for esse o caso, então não, não mude. Você poderia alterá-lo no WS2003 quando as contas de domínio fossem usadas, mas desde 2008 isso não é possível. Se você fizer isso, provavelmente seu cluster será interrompido.
Administradores de sistema não são necessários. De acordo com o link/citação acima, VIEW SERVER STATE é necessário.
https://support.microsoft.com/en-us/help/2847723/cannot-create-a-high-availability-group-in-microsoft-sql-server-2012
Verifique as propriedades de segurança/logins "NT AUTHORITY\SYSTEM" do SQL. Verifique "Protegíveis" Você deve ver o nome do host do seu servidor listado. (Caso contrário, adicione-o com o botão "Pesquisar.") Selecione o nome do host e marque as caixas de seleção apenas para 1)Grant Alter qualquer grupo de disponibilidade, 2)Grant Connect SQL e 3)Grant View Server State. Nenhum outro deve ser selecionado.