none
SQL Server 2008 R2 auf Windows Server 2008 R2 - Virtuelle Konten RRS feed

  • Frage

  • Hallo zusammen,

    ich bin gerade dabei einen SQL Server 2008 R2 auf einem Windows Server 2008 R2 zu installieren und würde die Dienste am Liebsten über Virtuelle Konten laufen lassen. SQL Installationen habe ich bereits diverse durchgeführt, diesmal soll er allerdings nach Microsoft Vorgaben abgesichert werden. Also für jeden Dienst ein eigenes Konto und schon gar nicht erst Lokales System oder Netzwerkdienst. Ab Windows Server 2008 R2 bzw. Windows 7 ist es ja möglich Dienste unter virtuellen Konten laufen zu lassen. Und der SQL Server 2012 wird z.B. per Default direkt so konfiguriert.
    Bei der Installation von 2008 allerdings, ist es bereits nicht möglich in der Dienstkonfiguration diese virtuelle Konten anzugeben.

    In wie weit kann ich überhaupt virtuelle Konten für die SQL Dienste einsetzen? Die Angaben von Microsoft sind widersprüchlich. Gibt es Erfahrungsberichte? Muss ich alles per Hand anpassen, wenn ich mich dafür entscheide?(Wenn ich per SQL Server Configuration Manager das Dienst-Konto anpasse, kann der Dienst nicht gestartet werden, weil ihm diverse Berechtigungen fehlen.)

    Noch eine Frage: Die Angaben von Microsoft zu SPNs sind ebenfalls widersprüchlich. Mal sollen virtuelle Konten SPNs setzen dürfen und mal nur MSAs. Was ist hier richtig?

    Im Voraus Vielen Dank.

    Grüße

    Donnerstag, 28. Juni 2012 16:24

Alle Antworten

  • Hallo,

    ich hab gerade auch noch mal in BOL etwas nachgesehen bzw im technet.  Virtuelle Konten werden beim SQL2008R2 noch gar nicht erwähnt.

    Demnach stehen diese  hier wohl auch nicht zur Verfügung.

    Hier hate man nur folgende Wahl:  (siehe auch http://technet.microsoft.com/de-de/library/ms143504%28v=sql.105%29.aspx)

    Jeder Dienst, der in SQL Server gestartet und ausgeführt werden soll, muss über ein Konto verfügen, das während der Installation konfiguriert wurde. Startkonten, die zum Starten und Ausführen von SQL Server verwendet werden, können integrierte Systemkonten, lokale Benutzerkonten oder Domänenbenutzerkonten sein.

    Domänenbenutzerkonto

    Wenn der Dienst mit Netzwerkdiensten interagieren muss, auf Domänenressourcen wie Dateifreigaben zugreifen muss oder verknüpfte Serververbindungen mit anderen Computern mit SQL Server verwendet, kann ein Domänenkonto mit minimalen Rechten verwendet werden. Viele Server-zu-Server-Aktivitäten können nur mit einem Domänenbenutzerkonto ausgeführt werden. Dieses Konto sollte in Ihrer Umgebung von der Domänenverwaltung vorab erstellt werden.

    Lokales Benutzerkonto

    Wenn der Computer nicht Teil einer Domäne ist, empfiehlt sich ein lokales Benutzerkonto ohne die Berechtigungen eines Windows-Administrators.

    Lokales Dienstkonto

    Das lokale Dienstkonto ist ein integriertes Konto, das dieselben Zugriffsrechte für Ressourcen und Objekte besitzt wie die Mitglieder der Gruppe Benutzer. Durch diesen beschränkten Zugriff wird das System bei Gefährdung einzelner Dienste oder Prozesse geschützt. Dienste, die unter dem lokalen Dienstkonto ausgeführt werden, greifen als NULL-Sitzung ohne Anmeldeinformationen auf Netzwerkressourcen zu. Beachten Sie, dass das lokale Dienstkonto nicht für den SQL Server-Agentdienst oder den SQL Server-Agentdienst unterstützt wird. Der Name des Kontos lautet "NT AUTHORITY\LOCAL SERVICE".

    Netzwerkdienstkonto

    Das Netzwerkdienstkonto ist ein integriertes Konto, das mehr Zugriffsrechte für Ressourcen und Objekte besitzt als die Mitglieder der Gruppe Benutzer. Dienste, die unter dem Konto Netzwerkdienste ausgeführt werden, können mithilfe der Anmeldeinformationen des Computerkontos auf Netzwerkressourcen zugreifen. Der Name des Kontos lautet "NT AUTHORITY\NETWORK SERVICE".

    Lokales Systemkonto

    Das lokale Systemkonto ist ein integriertes Konto mit sehr hohen Privilegien. Es hat umfangreiche Privilegien auf dem lokalen System und repräsentiert im Netzwerk den Computer. Der Name des Kontos lautet "NT AUTHORITY\SYSTEM".

    Bei SQL 2008/2008 R2 würde ich mir vorab service accounts erstellen (lokal oder AD Account, je nach Infrastruktur) für sql server engine, sql server agent etc pp.

    Diese service accounts dann keine weiteren Rechte geben und unter diesen Accounts dann die Services betreiben.

    Gruß

    Dirk Hondong

    Donnerstag, 16. August 2012 15:07