•TCP/IP (рекомендуемый)
•Shared Pipes (рекомендуется отключить)
•Shared Memory (рекомендуется отключить)
•SQL сервер поддерживает Kerberos через Windows Security Support Provider (SSPI).
Порядок регистрации SPN записи возможен через несколько вариантов:
•Утилита SetSPN. exe.
Синтаксис: SetSPN —A .
Пример: SetSPN —A MSSQLSvc/SRV.domain. local: 1433 domain\ServiceAccount
•SetSPN —A MSSQLSvc/SRV.domain. local: Inst1 domain\ServiceAccount
На один экземпляр нужно иметь две записи с портом и именем экземпляра. Для кластера: регистрация для каждой «ноды» и общего имени. Для «Always On»: регистрация для каждого «инстанса» на нодах плюс прослушиватель (listener). Для проверки дублированных записей используется ключ —S.
•Консоль ASDI
•Добавление в атрибут «ServicePrincipalName»
•Утилита KerberosConfigMgr. exe
•Добавление значения и учетной записи
Создание объектов в Активном Каталоге
Структура активного каталога как правило повторяет организационную структуру организации. Также желательно создать организационные единицы для групп, сервисов и пользователей.
Создание контейнера «Организационной Единицы» возможен через несколько вариантов:
•Оснастка Active Directory Users & Computers на контролере;
•Через RSAT на Выделенной Рабочей Станции Управления»;
•Оснастка PowerShell;
Структура активного каталога представлена на диаграмме. Структура может отличатся от компании к компании, но в общем случае содержит в себе встроенный объект домен и контроллеры домена. Помимо этого, объекты сгруппированы по назначению: ИТ сервисы, компьютеры, группы и пользователи. Прочие встроенные объекты, такие, например, как Сервисные учетные записи, не указаны так как остаются неизменны. Детализация указанных организационных единиц представлена на диаграмме ниже.
Организационная единица (OU) «Company_Computers» – включает в себя разделение по подгруппам: «VIP_Computers» – содержит компьютеры руководителей, «Adm_Computers» – компьютеры ИТ департамента и «All_computers» – все компьютеры организации. Последняя может содержать в себе подгруппы: «DA_Computers» и «Desktop_Computers».
Схожая структура применена для объектов групп, ИТ сервисов и пользователей. Данное разделение позволяет применять различные групповые политики и доступы. Так для примера, сервис RDS может включать в себя две подгруппы: SH и GW. Внутри данных объектов находятся сервера, соответствующего ИТ сервиса. Доступ к верхнему объекту на редактирование, ограничен только для роли администраторов ИТ сервиса RDS. Сервера «Session Hosts» и «Gateway, Broker» могут располагаться в различных подсетях и требовать различные групповые политики. Те же принципы применяются для групп и пользователей. Так подгруппа «VIP_Users» может содержать учетные записи руководства, сброс паролей которых не может быть выполнен группой Поддержки Пользователей. Группа «Business_Groups» может содержать группы с правами чтения, записи и т п для общих папок департаментов, расположенных на файловом сервере, группы доступов для бизнеса приложений и т п. Группа «Technical_Groups» может использоваться для разграничения прав сотрудников ИТ департамента. В общем виде для сервиса может быть использована группа «администраторов» ИТ сервиса, группа «только для чтения», специфические группы ИТ сервиса. В случае использования разделенных доменов или леса, филиалов и т п, состав и структура каталога может быть аналогична.
