Eu tenho que migrar 8 instâncias do SQL Server para um novo cluster SQL Server 2019 AlwaysON. Cada instância será replicada para um nó secundário passivo. Globalmente, queremos usar gMSA em vez de contas de domínio clássicas.
Não consigo encontrar as melhores práticas relacionadas a isso:
- Devo usar o mesmo gMSA para todos os serviços sql em todos os nós?
- Devo usar um gMSA dedicado para cada instância? (nó primário e secundário).
- Se sim, posso instalar mais de um serviço gMSA em cada nó?(
Install-ADServiceAccount gMSAsqlservice)
obrigada
Como isso tem a ver com a segurança interna da empresa, você deve perguntar ao seu pessoal de segurança o que eles querem fazer. Eles serão os únicos a auditar e trazer os itens à sua atenção, portanto, é melhor ter a aprovação deles.
Supondo que eles não se importem, desde que você use gMSAs ...
Isso simplificará bastante as implantações. Devido à natureza das contas gMSA, não vejo problema nisso, desde que o ambiente não toque em muitos recursos externos (como é relativamente independente ou todos os nós e serviços precisam de acesso a esses recursos externos, portanto, o segurança precisaria estar em todos os lugares, de qualquer maneira).
O poder do gMSA é que ele pode ser usado mais de uma vez. Se fosse meu ambiente pessoal, eu usaria uma conta gMSA por implantação de cluster. Observe que eu não instalaria mais de uma instância (AG ou FCI) em um cluster, portanto, uma conta funcionaria por cluster.
Sim, é possível e você pode, mas eu não teria mais do que uma única instância por nó ou uma única FCI por cluster, pessoalmente. Assim, não vejo necessidade, mas também não sou você :)