Erweiterte Konfiguration für die Datenübernahme
Für die Datenübernahme von der One Identity Manager-Datenbank in die One Identity Manager History Database gibt es folgende Szenarien, die eine erweiterte Konfiguration erfordern.
Szenario 1
One Identity Manager History Database und One Identity Manager-Datenbank befinden sich auf einem Datenbankserver.
HINWEIS: Wenn Sie mit dem sa arbeiten, sind keine weiteren Schritte erforderlich.
Wenn Sie mit abgestuften Berechtigungen auf Serverebene und Datenbankebene arbeiten, erstellen Sie im Designer in der One Identity Manager-Datenbank einen Datenbankbenutzer für die Datenübernahme.
Um den Datenbankbenutzer in der One Identity Manager-Datenbank einzurichten
-
Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Datenbankserverberechtigungen > Datenbankserver-Anmeldungen.
-
Klicken Sie und erfassen Sie folgende Informationen:
-
Anmeldename: SQL Server Anmeldung des Benutzers, mit dem die Prozessverarbeitung in der One Identity Manager History Database (DialogDatabase.ConnectionString) erfolgt.
-
Datenbankbenutzer: Name des Datenbankbenutzers.
-
Wählen Sie den Tabreiter Datenbank- oder Serverrolle und weisen Sie die Rolle Datenbank: Rolle für Datenarchivierung zu.
-
Speichern Sie die Änderungen.
Der DBQueue Prozessor erzeugt in der One Identity Manager-Datenbank die Datenbankrolle OneIMHistoryRoleDB und den Datenbankbenutzer. Der Datenbankbenutzer wird mit der SQL Server Anmeldung verbunden und in die Datenbankrolle aufgenommen.
Szenario 2
One Identity Manager History Database und One Identity Manager-Datenbank befinden sich auf verschiedenen Datenbankservern. Der Verbindungsserver wird durch den One Identity Manager Service der One Identity Manager History Database erzeugt.
HINWEIS: Wenn Sie mit dem sa arbeiten, sind keine weiteren Schritte erforderlich.
Wenn Sie mit abgestuften Berechtigungen auf Serverebene und Datenbankebene arbeiten, sind zusätzliche Berechtigungen zum Erstellen eines Verbindungsservers und für die Datenübernahme erforderlich.
-
Um einen Verbindungsserver zu erstellen, benötigt der Benutzer, mit dem die Prozessverarbeitung in der One Identity Manager History Database (DialogDatabase.ConnectionString) erfolgt, die folgenden Berechtigungen auf Serverebene:
-
Berechtigung alter any linked server
Die Berechtigung wird zum Erstellen und Löschen eines Verbindungsservers benötigt. Der Verbindungsserver ermöglicht die Ausführung verteilter Abfragen.
-
Berechtigung alter any login
Die Berechtigung wird zum Erstellen und Löschen einer Zuordnung von Anmeldenamen auf dem lokalen Server und einem Anmeldenamen auf dem Verbindungsserver benötigt.
-
Erstellen Sie auf dem Datenbankserver, auf dem die One Identity Manager-Datenbank liegt, eine SQL Server Anmeldung für die Datenübernahme.
-
Erstellen Sie im Designer in der One Identity Manager-Datenbank einen Datenbankbenutzer.
Um den Datenbankbenutzer in der One Identity Manager-Datenbank einzurichten
-
Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Datenbankserverberechtigungen > Datenbankserver-Anmeldungen.
-
Klicken Sie und erfassen Sie folgende Informationen:
-
Wählen Sie den Tabreiter Datenbank- oder Serverrolle und weisen Sie die Rolle Datenbank: Rolle für Datenarchivierung zu.
-
Speichern Sie die Änderungen.
Der DBQueue Prozessor erzeugt in der One Identity Manager-Datenbank die Datenbankrolle OneIMHistoryRoleDB und den Datenbankbenutzer. Der Datenbankbenutzer wird mit der SQL Server Anmeldung verbunden und in die Datenbankrolle aufgenommen.
Szenario 3
One Identity Manager History Database und One Identity Manager-Datenbank befinden sich auf verschiedenen Datenbankservern. Es wird ein Verbindungsserver bereitgestellt.
-
Erstellen Sie auf dem Datenbankserver, auf dem die One Identity Manager-Datenbank liegt, eine SQL Server Anmeldung für die Datenübernahme.
-
Erstellen Sie im Designer in der One Identity Manager-Datenbank einen Datenbankbenutzer.
Um den Datenbankbenutzer in der One Identity Manager-Datenbank einzurichten
-
Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Datenbankserverberechtigungen > Datenbankserver-Anmeldungen.
-
Klicken Sie und erfassen Sie folgende Informationen:
Anmeldename: SQL Server Anmeldung für die Datenübernahme.
Datenbankbenutzer: Datenbankbenutzer.
-
Wählen Sie den Tabreiter Datenbank- oder Serverrolle und weisen Sie die Rolle Datenbank: Rolle für Datenarchivierung zu.
-
Speichern Sie die Änderungen.
Der DBQueue Prozessor erzeugt in der One Identity Manager-Datenbank die Datenbankrolle OneIMHistoryRoleDB und den Datenbankbenutzer. Der Datenbankbenutzer wird mit der SQL Server Anmeldung verbunden und in die Datenbankrolle aufgenommen.
-
Richten Sie den Verbindungsserver ein und referenzieren Sie die SQL Server Anmeldung für die Datenübernahme.
Um einen Verbindungsserver bereitzustellen, wird empfohlen, die SQL Prozeduren sp_addlinkedserver, sp_setNetname und sp_addlinkedsrvlogin zu nutzen.
-
Halten Sie den Namen des Verbindungsserver bereit. Diesen benötigen Sie bei Bekanntgabe der Quelldatenbank in der One Identity Manager History Database.
-
Aktivieren Sie in der One Identity Manager History Database den Konfigurationsparameter HDB | UseNamedLinkedServer.
Hinweise zum Einsatz mehrerer SQL Server
WICHTIG: Befinden sich One Identity Manager History Database und One Identity Manager-Datenbank auf verschiedenen Servern werden nur gleiche Versions- und Patchstände von Betriebssystem und Datenbanksystem unterstützt.
Befinden sich One Identity Manager History Database und One Identity Manager-Datenbank auf verschiedenen Datenbankservern sind auf beiden Servern folgende Voraussetzungen für die Datenübernahme zu gewährleisten:
-
Start der Dienste Microsoft Distributed Transaction Coordinator (DTC), RPC Client und Security Accounts Manager
-
Für die Netzwerkkommunikation zwischen den Servern prüfen Sie die Einstellungen der Firewall und passen Sie bei Bedarf die Einstellungen entsprechend der Empfehlungen des eingesetzten Betriebssystems an. Weitere Informationen finden Sie in der Dokumentation zum eingesetzten Betriebssystem.
-
In den DTC-Sicherheitseinstellungen sollten folgenden Einstellungen aktiviert sein:
-
DTC-Netzwerkzugriff (Network DTC Access)
-
Remoteclients zulassen (Allow Remote Clients)
-
Eingehende zulassen (Allow Inbound)
-
Ausgehende zulassen (Allow Outbound)
-
Kein Authentifizierung erforderlich (No Authentication Required)
Die Sicherheitseinstellungen konfigurieren Sie in der Microsoft Management Console im Snap-In Komponentendienste.
Werden große Datenmengen von der One Identity Manager-Datenbank in die One Identity Manager History Database übertragen, sollte auf dem Datenbankserver, der die One Identity Manager-Datenbank hält, das Timeout für Remoteabfragen erhöht werden. Die Standardeinstellung ist 600 Sekunden, was einer Wartezeit von zehn Minuten entspricht. Ist die Wartezeit abgelaufen, wird die Datenübertragung abgebrochen. Das Timeout für Remoteabfragen sollte sich am Ausführungsintervall das Zeitplans zur Datenübernahme orientieren.
Das Timeout für Remoteabfragen können Sie mit folgendem Statement abfragen:
select * from sys.configurations where name like '%remote query timeout%'
Um das Timeout für Remoteabfragen zu ändern, verwenden Sie folgendes Statement:
exec sp_configure 'remote query timeout (s)',<new value>
RECONFIGURE WITH OVERRIDE
Wobei:
<new value> = Neuer Timeout-Wert in Sekunden
Hinweise zur Nutzung der integrierten Windows-Authentifizierung
Wird die integrierte Windows-Authentifizierung genutzt, erfolgt die Datenübernahme mit dem Benutzerkonto des One Identity Manager Service der One Identity Manager History Database.
Befinden sich One Identity Manager History Database, One Identity Manager Service und One Identity Manager-Datenbank auf verschiedenen Servern sind weitere Voraussetzungen zu erfüllen:
-
Das Benutzerkonto des One Identity Manager Service benötigt einen Service Principal Name (SPN) für die Authentifizierung. Dieser kann über folgenden Kommandozeilen erstellt werden:
SetSPN -A HTTP/<Vollständiger Domänenname> <Domäne>\<Benutzerkonto>
-
Das Benutzerkonto des One Identity Manager Service muss für Delegierungen freigeschaltet sein und Kerberos zur Authentifizierung verwenden.
Setzen Sie dazu in der Microsoft Management Konsole für Active Directory Benutzer- und Computer auf dem Tabreiter Delegierungen die Option Benutzer bei Delegierungen aller Dienste vertrauen (nur Kerberos) (Trust this user for delegation to any service (Kerberos only).
-
Der SQL Server Dienst benötigt einen Service Principal Name zur Authentifizierung. Diesen können Sie über folgenden Kommandozeilenaufruf prüfen:
SetSPN -L <Name des Datenbankservers>
Einrichten eines One Identity Manager Service für die One Identity Manager History Database
Der Dienst One Identity Manager Service sorgt für die Datenübernahme aus der One Identity Manager-Datenbank in die One Identity Manager History Database.
Die Systemvoraussetzungen für die Installation der One Identity Manager Service auf einem Server und die erforderlichen Berechtigungen für das Dienstkonto sind im One Identity Manager Installationshandbuch beschrieben. Ausführliche Informationen zur Konfiguration des One Identity Manager Service finden Sie im One Identity Manager Konfigurationshandbuch.
Um den One Identity Manager Service auf einem Server zu installieren, haben Sie folgende Möglichkeiten:
-
Richten Sie den Dienst bei der initialen Schemainstallation mit dem ein. Mit dem Configuration Wizard konfigurieren Sie den Dienst und installieren den Dienst remote auf einem Server. Ausführliche Informationen finden Sie One Identity Manager Installationshandbuch.
-
Mit dem Server Installer können Sie einen Jobserver mit seinen Maschinenrollen und Serverfunktionen in der Datenbank erstellen. Mit dem Server Installer konfigurieren Sie den Dienst und installieren den Dienst remote auf einem Server. Ausführliche Informationen finden Sie One Identity Manager Installationshandbuch.
-
Im Designer können Sie einen Jobserver mit die Maschinenrollen und Serverfunktionen erstellen, den Dienst auf dem Server konfigurieren und remote installieren. Ausführliche Informationen finden Sie One Identity Manager Konfigurationshandbuch.
-
Falls eine Remote-Installation nicht möglich ist, können Sie die Dienstkomponenten mit dem Installationsassistenten lokal auf einem Server installieren. Weitere Informationen finden Sie unter Komponenten für die One Identity Manager History Database installieren.
Szenarien für die Verteilung des One Identity Manager Service auf Servern
-
One Identity Manager Service für die One Identity Manager-Datenbank und One Identity Manager Service für die One Identity Manager History Database werden auf verschiedenen Servern installiert.
-
One Identity Manager Service für die One Identity Manager-Datenbank und One Identity Manager Service für die One Identity Manager History Database werden auf einem Server installiert.
Für dieses Szenario ändern Sie für den One Identity Manager Service für die One Identity Manager History Database das Installationsverzeichnis, den Namen, den Anzeigenamen und die Beschreibung.
-
Wenn Sie die Dienstkomponenten mit dem Installationsassistenten lokal auf einem Server installieren, ändern Sie auf der Seite Ändern der Service-Einstellungen den Namen, den Anzeigenamen und die Beschreibung für den One Identity Manager Service für die One Identity Manager History Database. Weitere Informationen finden Sie unter Komponenten für die One Identity Manager History Database installieren.
-
Wenn Sie den Dienst remote mit dem , mit dem Server Installer oder über den Designer installieren, können Sie während der Installation über erweiterte Optionen das Installationsverzeichnis, den Namen, den Anzeigenamen und die Beschreibung für den One Identity Manager Service für die One Identity Manager History Database ändern.
Verwandte Themen