SQL2005 Cluster - Lokale User ?

[icnivad 10]

Hallo zussammen,

 

ich hoffe hier kann mir jmd. helfen. Mangels Hardware & Clusterwissen kann ichs leider nicht selbst testen.

 

Bei uns läuft eine eigene Anwendung als Windowsdienst, die mittels ODBC und Windowsauthentifizierung eine Verbindung zu einem SQL Server aufbaut. Alles im ohne Domäne: Serviceaccount auf dem Server und SQlUser auf dem DB-Server sind Lokale User und alles funktioniert wunderbar.

 

Nun zum Problem/Frage:

 

Der SQL-Server soll durch einen Cluster ersetzt werden. Dafür brauch ich ja eine Domäne, SQL Server müssen Mitglied sein. Aus diversen Gründen soll der Anwendungserver (genaugenommen sind es mehrere Server mit jeweils eigenen Dienstaccounts) nicht in die Domäbne mit aufgenommen werden.

Ist es möglich, dass ich wie bisher auf den SQL Server (also beiden Clusternodes) neben den Domainusern (ich hoffe die werden nur für die interne Verwaltung benötigt) auch jeweils lokale User einrichte?

Kann mir das jmd. definitiv bestätigen? Eine MS-Quelle wär super ;-)

 

 

Falls das nicht geht gibt es irgendwelche alternativen? Domänenmitgleidschaft der Anwendungsserver scheidet aus, auch SQL-Authentifiezierung scheint auf die schnelle nicht möglich, da die Software sich nicht bei jedem anmelden Authentifiziert... hier müsste ja im Programm dann irgendwo Hardcoded der Username/Password implementiert werden...

 

 

Wär echt klasse wenn mir jemand helfen könnte

 

Gruss Tom

:)

[Frank Kalis 10]

Es gibt eine dedizierte Microsoft Newsgroup zu Clustering. Falls alle Stricke reißen, würde ich es da mal versuchen.

 

Vielleicht kann das ja als Start dienen: Download details: SQL Server 2005 Failover Clustering White Paper

[icnivad 10]

Danke für die schnelle Antwort, ich werde mich mal einlesen und falls ich hier nicht weiterkomm am Montag mal die Newsgroup suchen... jetzt ist erstmal Wochenende ;-)

[gysinma1 13]

Hallo

 

Dein Vorhaben geht nicht, denn die SIDs der beiden User müssen gleich sein. Sonst erfolgt kein Zugriff. Ein Cluster kann (i.d.r) nicht mit lokalen Gruppen arbeiten (Showstopper).

 

Die Verbindung der ODBC Clients muss dann auch auf den virtuellen SQL Cluster Instanz Namen erfolgen und nicht auf ein lokales Gerät, da sont bei einem ClusterSwitch "nichts" mehr funktioniert und somit nicht hochverfügbar wird.

 

Geht es lediglich darum die Datenbank an einem zweiten Ort, wäre evtl Logshipping auf einen anderen SQL Server eine Variante.

 

Gruss

Matthias

[icnivad 10]

So eine Antwort habe ich befürchtet...

Ohne Cluster ist aber alles ok oder? Funktioniert ja bei uns bisher auch so...

 

Wie würde das mit SQL-User aussehen bei einen Cluster? Würde das gehen?

 

Aber so wie es aussieht führt an der Domänenmitgliedschaft der Anwendungsserver nichts vorbei oder?

Wie ist das den bei anderen Themen? denke da an Webserver mit SQLcluster im Backend. Ist Best Practice wirklich alles innerhalb einer Domäne?

 

Gruss Tom

[gysinma1 13]

Hallo

 

Ist Best Practice wirklich alles innerhalb einer Domäne?

 

JA schlicht wegen Securitygründen. Die Active Directory ist das Herz jeder Windows Verwaltung. IIS Server werden NLB geclustered dafür benötigen diese aber auch eine AD.

 

Wie es sich mit SQL Usern verhält kann ich nicht genau sagen, denn wir hatten diese immer an einen Domain Account gebunden. Theoretisch müsste es aber SQL mässig gehen. Auf einem Cluster haeb ich es ehrlich gesgt nie versucht.

 

Gruss

Matthias

[Lian 2.325]

Bei einem SQL Server Cluster gibt es die Wahl zwischen Domänenkonten oder SQL Benutzern.

[icnivad 10]

Hallo,

 

vielleicht kann mir dann jmd. noch einen at geben:

Zwischen den Applikations-Servern und dem DB-Cluster stehen eine bzw mehrere Firewalls. Ist ein komplexeres Zonenkonzept.

Bisher ist nur ODBC erlaubt.

Was meinen die Experten, was ist besser: FW dicht machen und in jede Zone einen DC, vielleicht sogar jeweils eigene Domäne und über den Forrest dann Authentifizierung zum DB Cluster?

 

Geht evtl. auch sowas wie Credential Caching? Sprich dass ich die Server zwar in die Domäne aufnehmen dann aber die Verbindung zum DC kappe.

 

 

Ist leider alles nicht so ganz mein Thema ;-) aber man lernt ja jeden Tag was neues...

Danke schonmal

[gysinma1 13]

Hallo

 

Nimm es es mir nicht übel, aber das wird langsam relativ komplex. Ich würde da technische Verstärkung beiziehen. (bitte nicht falsch verstehen).

 

Zwischen Clusterknoten sollte NIE eine Firewallstehen, sonst hast Du ein Single Point of Failure (die Firewall). eigene Domain für jeden CLusterknoten und trusten geht soviel ich weiss nicht. Es gibt nur eine Lösung Firewall öffnen DC in dieselbe Zone wie BEIDE Knoten.

 

Mit ODBC alleine läuft es definitiv nicht.

 

Gruss,

Matthias

[icnivad 10]

Hallo,

 

die SQL Cluster stehen zusammen ohne Firewall. Nur zwischen den Anwndungsservern und der Datenbank soll alles so dicht wie Möglich sein.

 

Beim Kunden läuft das z.Zt. mit 2000sql -Cluster und wie am anfang beschrieben mit gleichem Usernamen & benutzer auf SQL und Anwendungsseite, wobei die Anwendungsseite kein Domänenmitglied ist also Lokale User hat...

 

Mit 2005 SQL scheint das so nicht mehr zu gehen...

[icnivad 10]

Hallo,

 

ich bins nochmal (ihr merkt schonn das mir das ganze keine Ruhe lässt ;-) )

 

Ein Kollege hat das Stichwort Credential Manager in den Raum geworfen.

Kann mir dazu jmd. was sagen? Kann das eine Lösung des Problems sein?

[Velius 10]

Warum beschreibst du das Problem nicht einfach genauer? Es geht nicht ist etwas schwammig. Und Lian hat bereits erwähnt, dass auf dem CLuster nur Domäne oder SQL Benutzer gehen.

 

Also wenn da nicht Domain Member damit verwaltet werden, müssen SQL Benutzer angelegt werden, nicht lokale Windows Benutzer.

 

 

Wenn es ein Problem mit der FW dazwischen ist schmeisst mal den Monitor an - ich denke, da wird dann einiges bei rauskommen.

 

 

cheers

Velius

[icnivad 10]

Sorry für meine schwammige Beschreibung aber ich kann teilweise auch nur das weitergeben was mir der Kunde sagt...

 

War das mit den Domainusern auch bei Windows2000 & Clustered SQL2000 so?

 

 

Abgesehen vom Sicherheitsaspekt, gibt es bei der Verwendung von SQL-Usern irgendwelche sonstige Nachteile: Performance, Stabilität etc?!?

[gysinma1 13]

Hallo

 

Es gibt Kunden die wissen nicht genau was sie wollen respektive was best practice ist - (sorry für den saloppen Ausdruck) aber das ist teilweise auch meine ERFA mit 7 Jahre eigener Firma ... Man muss es sich vor Ort anschauen, sonst bist Du mit jeder Dienstleistung daneben und der Kunde wird nicht glücklich sein und auch nicht zurückkommen.

 

Wenn bei mir jemand eine Anfrage in einem Sachgebiet mache, dass ich weniger beherrsche leite ich den Kunden an befreundete qualifizierte Unternehmen weiter. Ich schade sonst dem ganzen Markt. Ich würde auch nie ein Auftrag annehmen, ohne, das ich weiss, dass ich diesen genaustens ausführen kann.

 

Sorry aber es geht mir der Hut hoch, wenn ich solche Threads lese ... es gibt nichts anderes vorbeigehen, anschauen, Konzept machen und eine Lösung im Einklang suchen unter Berücksichtigung aller Faktoren (domain, cluster, sql, Firewall, Verbindungen, OS, etcetc) - und vielleicht von einem Kumpel das reviewen lassen.

 

Sorry und Gruss

Matthias

[WSUSPraxis 48]

Am Anfang schriebst du: Bei uns läuft eine eigene Anwendung als Windowsdienst !

 

 

Dann schreibst du: Bei einem Kunde ?