Blog

Droits Active Directory pour la création d’un groupe de disponibilité


Avez-vous déjà tenté de créer un cluster et un groupe de disponibilité sans être administrateur du domaine Active Directory ? L’obtention des droits Active Directory peut être un challenge en sois. Question : de quels droit(s) s’agit-il exactement ? C’est un peu comme demander à un développeur combien il a prévu de faire d’I/O en lui expliquant que sa réponse conditionne le pro visionnement de sa future base de données. Au tour du DBA de se sentir un peu seul face à l’administrateur système…

Expert SQL Server - Droits Active Directory pour la création d'un groupe de disponibilité - SQL Server  - homer_security

Commençons par la documentation…

Doc officielle
Doc simplifiée

En résumé

Nos objets Active Directory :

  • DOMAIN\DBA correspond à un groupe Active Directory pour le déploiement et l’administration du cluster et du groupe de disponibilité.
  • SQLCLUSTER correspond au nom du cluster Windows.
  • SQLLISTENER correspond au listener du groupe de disponibilité.

Configuration Active Directory et entrées DNS :

  1. Ajouter le groupe Active Directory DOMAIN\DBA dans le groupe admins local sur chaque nœud du cluster
  2. Dans Active Directory, assurez-vous dans le menu View que Advanced Features est bien sélectionné
  3. Créer une OU nommée SQLHADR
  4. Créer un ordinateur dans l’OU dont le nom sera celui du cluster SQLCLUSTER (* CNO), désactiver l’objet et cocher l’option “Protect object from accidental deletion” dans la section Object
  5. Sur l’ordinateur SQLCLUSTER, affecter les droits FULL au groupe DOMAIN\DBA
  6. Créer un ordinateur dans l’OU dont le nom sera celui du listener SQLLISTENER (* VCO)
  7. Sur l’ordinateur SQLLISTENER, affecter FULL Control à l’ordinateur SQLCLUSTER
  8. Sur l’OU SQLHADR, onglet Security, bouton Advanced, affecter les permissions suivantes au groupe DOMAIN\DBA
    • List contents
    • Read all properties
    • Read permissions
    • Create computer object
  9. Dans la gestion du DNS : Créer une entrée pour SQLCLUSTER avec une IP réservée et attribuer le droit Full Control au compte d’ordinateur SQLCLUSTER
  10. Faire de même avec SQLLISTENER, donc créer une entrée avec une IP réservée et attribuer le droit Full Control au compte d’ordinateur SQLCLUSTER
  11. En cas de Witness Share, sur le partage et les permissions NTFS du dossier, attribuer les droits FULL :
    • Aux nœuds du cluster
    • Au cluster SQLCLUSTER

Terminologie

* CNO : Cluster Name Object
* VCO : Virtual Computer Object

Auteur

Expert SQL Server - Droits Active Directory pour la création d'un groupe de disponibilité - SQL Server  - avatar_ninja_tete-150x150
Sarah Béquet
Archietcte Data Microsoft, les maîtres mots sont : performance, industrialisation, méthodologie & bonne humeur.
error: