Tartományfüggetlen rendelkezésre állási csoport létrehozása

A következőkre vonatkozik:SQL Server

Az Always On rendelkezésre állási csoportoknak (AG-knek) egy mögöttes Windows Server feladatátvevő fürtre (WSFC) van szükségük. A WSFC Windows Server 2012 R2-n keresztül történő üzembe helyezéséhez a WSFC-ben részt vevő kiszolgálók, más néven csomópontok csatlakoztak ugyanahhoz a tartományhoz. Az Active Directory Domain Services (AD DS) szolgáltatással kapcsolatos további információkért lásd: Mik azok a tartományok és erdők?

Az AD DS-től és a WSFC-től való függőség összetettebb, mint egy adatbázistükrözési (DBM) konfigurációval korábban üzembe helyezve, mivel a DBM több adatközpontban is üzembe helyezhető tanúsítványokkal, ilyen függőségek nélkül. Egy több adatközpontra kiterjedő hagyományos rendelkezésre állási csoporthoz minden kiszolgálónak ugyanahhoz az Active Directory-tartományhoz kell csatlakoznia. A különböző tartományok, még a megbízható tartományok sem működnek. Minden kiszolgálónak ugyanahhoz a WSFC-hez tartozó csomópontnak kell lennie. Az alábbi ábrán ez a konfiguráció látható. Az SQL Server 2016 (13.x) és újabb verziói is elosztott AG-ket kaptak, amelyek más módon érik el ezt a célt.

A Windows Server 2012 R2 bevezetett egy Active Directory-től leválasztott fürtöt, amely a Windows Server feladatátvevő fürt egyik speciális formája, és rendelkezésre állási csoportokkal használható. Az ilyen típusú WSFC-hez továbbra is tartományhoz kell csatlakoztatni a csomópontokat ugyanahhoz az Active Directory-tartományhoz, de ebben az esetben a WSFC DNS-t használ, de a tartományt nem. Mivel egy tartomány továbbra is érintett, az Active Directoryból leválasztott fürtök továbbra sem biztosítanak tartománymentes tapasztalatot.

A Windows Server 2016 egy új típusú Windows Server feladatátvevő fürtöt mutatott be, amely az Active Directory-től leválasztott fürt alapjaira épül: munkacsoportfürt. A munkacsoportfürt lehetővé teszi, hogy az SQL Server egy WSFC-n hozzon létre olyan rendelkezésre állási csoportot, amely nem igényel AD DS-t. Az SQL Serverhez tanúsítványokat kell használni a végpontbiztonság érdekében, ahogyan az adatbázis-tükrözési forgatókönyv tanúsítványokat igényel. Ezt a rendelkezésre állási csoportot tartományfüggetlen rendelkezésre állási csoportnak nevezzük. Ha egy rendelkezésre állási csoportot egy mögöttes munkacsoportfürttel helyez üzembe, a következő kombinációkat támogatja a WSFC-t alkotó csomópontok esetében:

• Nincsenek csomópontok csatlakoztatva a tartományhoz.
• Minden csomópont különböző tartományokhoz csatlakozik.
• A csomópontok vegyesek, a tartományhoz csatlakoztatott és a nem tartományhoz csatlakoztatott csomópontok kombinációjával.

A következő ábrán egy tartományfüggetlen rendelkezésre állási csoport látható, ahol az 1. adatközpont csomópontjai tartományhoz csatlakoznak, de a Data Center 2-ben lévő csomópontok csak DNS-t használnak. Ebben az esetben állítsa be a DNS-utótagot minden olyan kiszolgálón, amely a WSFC csomópontja lesz. A rendelkezésre állási csoportot elérő minden alkalmazásnak és kiszolgálónak ugyanazokat a DNS-információkat kell látnia.

A tartományfüggetlen rendelkezésre állási csoport nem csak többhelyes vagy vészhelyreállítási forgatókönyvekhez használható. Egyetlen adatközpontban is üzembe helyezheti, és akár egy alapszintű rendelkezésre állási csoporttal is használhatja. Ez a konfiguráció hasonló architektúrát biztosít, mint ami az adatbázis-tükrözés és a tanúsítványok használatával érhető el, ahogy az látható.

A tartományfüggetlen rendelkezésre állási csoport üzembe helyezése néhány ismert kikötéssel rendelkezik:

• A kvórumban elérhető tanútípusok csak a lemez és a felhő, amely új funkcióként jelent meg a Windows Server 2016-ban. A lemez problémás, mivel a rendelkezésre állási csoport valószínűleg nem használja a megosztott lemezt.

• A WSFC mögöttes munkacsoportfürt-változata csak a PowerShell használatával hozható létre, de a Feladatátvevőfürt-kezelővel felügyelhető.

• Ha Kerberos szükséges, egy Active Directory-tartományhoz csatolt szabványos WSFC-t kell üzembe helyeznie, és a tartományfüggetlen rendelkezésre állási csoport valószínűleg nem megoldás.

• Bár a figyelő konfigurálható, a használhatóság érdekében regisztrálni kell a DNS-ben. Amint korábban megjegyeztük, a figyelő nem támogatja a Kerberost.

• Az SQL Serverhez csatlakozó alkalmazásoknak elsősorban SQL Server-hitelesítést kell használniuk, mivel előfordulhat, hogy a tartományok nem léteznek, vagy nem konfigurálhatók az együttműködésre.

• A tanúsítványok a rendelkezésre állási csoport konfigurációjában használatosak.

A DNS-utótag beállítása és ellenőrzése az összes replikakiszolgálón

Egy közös DNS-suffix szükséges a tartományfüggetlen rendelkezésre állási csoport munkacsoport-füzetéhez. A rendelkezésre állási csoport replikáját futtató összes Windows Server DNS-utótagjának beállításához és ellenőrzéséhez kövesse az alábbi utasításokat:

1. A Windows Billentyű + X billentyűparanccsal válassza a Rendszer lehetőséget.
2. Ha a számítógép neve és a teljes számítógépnév megegyezik, a DNS-utótag nincs beállítva. Ha például a számítógép neve SERVER1, akkor a teljes számítógép név értéke nem lehet egyszerűen csak SERVER1. Valami ilyesminek kell lennie SERVER1.CONTOSO.LAB. CONTOSO.LAB a DNS-utótag. A Munkacsoport értékének azt kell mondania, hogy WORKGROUP. Ha be kell állítania a DNS-utótagot, válassza a Beállítások módosítása lehetőséget.
3. A Rendszer tulajdonságai párbeszédpanelen válassza a Módosítás lehetőséget a Számítógép neve lapon.
4. A Számítógépnév/Tartomány módosítása párbeszédpanelen válassza az Egyebek lehetőséget.
5. A DNS-utótag és a NetBIOS számítógépnév párbeszédpanelen adja meg a közös DNS-utótagot elsődleges DNS-utótagként .
6. Kattintson az OK gombra a DNS-utótag és a NetBIOS számítógépnév párbeszédpanel bezárásához.
7. Kattintson az OK gombra a számítógépnév/tartomány módosításai párbeszédpanel bezárásához.
8. A rendszer arra kéri, hogy indítsa újra a kiszolgálót a módosítások érvénybe lépéséhez. Kattintson az OK gombra a számítógépnév/tartomány módosításai párbeszédpanel bezárásához.
9. A Bezárás gombra kattintva zárja be a Rendszer tulajdonságai párbeszédpanelt.
10. A rendszer kéri az újraindítást. Ha nem szeretne azonnal újraindulni, válassza az Újraindítás később lehetőséget, ellenkező esetben válassza az Újraindítás most lehetőséget.
11. Miután a kiszolgáló újraindult, ellenőrizze, hogy a közös DNS-utótag konfigurálva van-e a System újratekintésével.

Megjegyzés:

Ha több alhálózatot használ, és statikus DNS-sel rendelkezik, a feladatátvétel végrehajtása előtt frissítenie kell a figyelőhöz társított DNS-rekordot, mert ellenkező esetben a hálózati név nem lesz online állapotban.

Tartományfüggetlen rendelkezésre állási csoport létrehozása

Tartományfüggetlen rendelkezésre állási csoport létrehozása jelenleg nem érhető el teljesen az SQL Server Management Studióval. Bár a tartományfüggetlen rendelkezésre állási csoport létrehozása alapvetően megegyezik a normál rendelkezésre állási csoport létrehozásával, bizonyos szempontok (például a tanúsítványok létrehozása) csak a Transact-SQL használatával lehetségesek. Az alábbi példa egy rendelkezésre állási csoport konfigurációját feltételezi két replikával: egy elsődleges és egy másodlagos replikával.

1. A Windows Server 2016 munkacsoport- és többtartományos fürtjeinek utasításait követve építsen ki egy munkacsoportfürtöt, amely a rendelkezésre állási csoportban részt vevő összes kiszolgálóból áll. A munkacsoportfürt konfigurálása előtt győződjön meg arról, hogy a közös DNS-utótag már konfigurálva van.

2. Engedélyezze vagy tiltsa le az Always On rendelkezésre állási csoport funkciót minden olyan példányon, amely részt vesz a rendelkezésre állási csoportban. Ehhez újra kell indítani az egyes SQL Server-példányokat.

3. Az elsődleges replikát üzemeltető összes példányhoz adatbázis-főkulcs (DMK) szükséges. Ha egy DMK még nem létezik, futtassa a következő parancsot:

   CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'Strong Password';
   GO
   

4. Az elsődleges replikaként szolgáló példányon hozza létre a másodlagos replikák bejövő kapcsolataihoz és az elsődleges replika végpontjának biztonságossá tételéhez használt tanúsítványt.

   CREATE CERTIFICATE InstanceA_Cert
   WITH SUBJECT = 'InstanceA Certificate';
   GO
   

5. A tanúsítvány biztonsági mentése. Igény szerint titkos kulccsal is biztonságossá teheti. Ez a példa nem használ titkos kulcsot.

   BACKUP CERTIFICATE InstanceA_Cert
   TO FILE = 'Backup_path\InstanceA_Cert.cer';
   GO
   

6. Ismételje meg a 4. és az 5. lépést az egyes másodlagos replikák tanúsítványainak létrehozásához és biztonsági mentéséhez a tanúsítványok megfelelő neveinek használatával, például InstanceB_Cert.

7. Az elsődleges replikán létre kell hoznia egy bejelentkezést a rendelkezésre állási csoport minden másodlagos replikájához. Ez a bejelentkezés engedélyt kap a tartományfüggetlen rendelkezésre állási csoport által használt végponthoz való csatlakozásra. Például egy InstanceB nevű replikához:

   CREATE LOGIN InstanceB_Login WITH PASSWORD = 'Strong Password';
   GO
   

8. Minden másodlagos replikán hozzon létre egy bejelentkezést az elsődleges replikához. Ez a bejelentkezés engedélyt kap a végponthoz való csatlakozáshoz. Például egy InstanceB nevű replikán:

   CREATE LOGIN InstanceA_Login WITH PASSWORD = 'Strong Password';
   GO
   

9. Minden esetben hozzon létre egy felhasználót minden egyes létrehozott bejelentkezéshez. A rendszer ezt a felhasználót használja a tanúsítványok visszaállításakor. Ha például egy felhasználót szeretne létrehozni az elsődleges replikához:

   CREATE USER InstanceA_User FOR LOGIN InstanceA_Login;
   GO
   

10. Bármely replikához, amely elsődleges lehet, hozzon létre egy bejelentkezést és egy felhasználót az összes releváns másodlagos replikán.

11. Minden egyes példányon állítsa vissza azoknak a többi példányoknak a tanúsítványait, ahol bejelentkezések és felhasználók lettek létrehozva. Az elsődleges replikán állítsa vissza az összes másodlagos replikatanúsítványt. Minden másodlagos példányon és bármely potenciális elsődleges replikán állítsa vissza az elsődleges replika tanúsítványát. Például:

    CREATE CERTIFICATE [InstanceB_Cert]
    AUTHORIZATION InstanceB_User
    FROM FILE = 'Restore_path\InstanceB_Cert.cer';
    

12. Hozza létre a rendelkezésre állási csoport által használt végpontot minden olyan példányon, amely replika lesz. Rendelkezésre állási csoportok esetén a végpontnak rendelkeznie kell egy típussal DATABASE_MIRRORING. A végpont a 4. lépésben létrehozott tanúsítványt használja az adott példányhoz a hitelesítéshez. Az alábbi példában szintaxis jelenik meg egy végpont tanúsítvány használatával történő létrehozásához. Használja a megfelelő titkosítási módszert és a környezet szempontjából releváns egyéb lehetőségeket. Az elérhető lehetőségekről további információt a CREATE ENDPOINT (VÉGPONT LÉTREHOZÁSA) című témakörben talál.

    CREATE ENDPOINT DIAG_EP STATE = STARTED AS TCP (
        LISTENER_PORT = 5022,
        LISTENER_IP = ALL
    )
    FOR DATABASE_MIRRORING (
        AUTHENTICATION = CERTIFICATE InstanceX_Cert, ROLE = ALL
    );
    

13. A 8. lépésben az adott példányon létrehozott összes bejelentkezéshez jogosultságokat rendelhet hozzá a végponthoz való csatlakozáshoz.

    GRANT CONNECT ON ENDPOINT::DIAG_EP TO [InstanceX_Login];
    GO
    

14. Miután konfigurálta a mögöttes tanúsítványokat és a végpontbiztonságot, hozza létre a rendelkezésre állási csoportot az előnyben részesített módszerrel. Manuálisan kell biztonsági másolatot készítenie, majd azt átmásolnia és visszaállítania, amelyet a másodlagos példány inicializálásához használtak, vagy használhat automatikus inicializálást. A másodlagos replikák inicializálásához a varázsló használata szükséges, amely során Server Message Block (SMB) fájlokat használnak, amelyek előfordulhat, hogy nem működnek nem tartományhoz csatlakoztatott munkaállomás-fürt használatakor.

15. Figyelő létrehozásakor győződjön meg arról, hogy a neve és az IP-címe is regisztrálva van a DNS-ben.

Kapcsolódó tartalom

• Használja a Rendelkezésre állási csoport varázslót (SQL Server Management Studio)
• Az Új rendelkezésre állási csoport párbeszédpanel használata (SQL Server Management Studio)
• Egy Always On rendelkezésre állási csoport létrehozása Transact-SQL (T-SQL)