Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Datenarchivierung

Hinweise zum Einsatz mehrerer SQL Server

Hinweise zum Einsatz mehrerer SQL Server

HINWEIS: Befinden sich One Identity Manager History Database und One Identity Manager-Datenbank auf verschiedenen Servern werden nur gleiche Versions- und Patchstände von Betriebssystem und Datenbanksystem unterstützt.

Befinden sich One Identity Manager History Database und One Identity Manager-Datenbank auf verschiedenen Datenbankservern sind auf beiden Servern folgende Voraussetzungen für die Datenübernahme zu gewährleisten:

  • Start der Dienste "Microsoft Distributed Transaction Coordinator"(DTC), "RPC Client" und "Security Accounts Manager"
  • Für die Netzwerkkommunikation zwischen den Servern prüfen Sie die Einstellungen der Firewall und passen Sie bei Bedarf die Einstellungen entsprechend der Empfehlungen des eingesetzten Betriebssystems an. Weitere Informationen finden Sie in der Dokumentation zum eingesetzten Betriebssystem.

In den DTC-Sicherheitseinstellungen sollten folgenden Einstellungen aktiviert sein:

  • DTC-Netzwerkzugriff (Network DTC Access)
  • Remoteclients zulassen (Allow Remote Clients)
  • Eingehende zulassen (Allow Inbound)
  • Ausgehende zulassen (Allow Outbound)
  • Kein Authentifizierung erforderlich (No Authentication Requiered)

Die Sicherheitseinstellungen konfigurieren Sie in der Microsoft Management Console im Snap-In Komponentendienste.

Abbildung 1: Konfiguration der DTC-Sicherheitseinstellungen

Werden große Datenmengen von der One Identity Manager-Datenbank in die One Identity Manager History Database übertragen, sollte auf dem Datenbankserver, der die One Identity Manager-Datenbank hält, das Timeout für Remoteabfragen erhöht werden. Die Standardeinstellung ist 600 Sekunden, was einer Wartezeit von zehn Minuten entspricht. Ist die Wartezeit abgelaufen, wird die Datenübertragung abgebrochen. Das Timeout für Remoteabfragen sollte sich am Ausführungsintervall das Zeitplans zur Datenübernahme orientieren.

Das Timeout für Remoteabfragen können Sie mit folgendem Statement abfragen:

select * from sys.configurations where name like '%remote query timeout%'

Um das Timeout für Remoteabfragen zu ändern, verwenden Sie folgendes Statement:

exec sp_configure 'remote query timeout (s)',<new value>

RECONFIGURE WITH OVERRIDE

Wobei:

<new value> = Neuer Timeout-Wert in Sekunden

Datenbankbenutzer unter SQL Server

Datenbankbenutzer unter SQL Server

Hinweis: Als Standardsprache für Datenbankbenutzer ist "English" auszuwählen.

Die Berechtigungen der Datenbankbenutzer können nach zwei Benutzertypen unterschieden werden:

  • Endbenutzer

    Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten, müssen nur Mitglied der Datenbankrolle "basegroup" sein.

  • Administrative Benutzer

    Administrative Benutzer benötigen die nachfolgend aufgeführten Berechtigungen. Hierbei kann zwischen Berechtigungen für die Installation und Berechtigungen für den laufenden Betrieb unterschieden werden.

Um die Funktionen der One Identity Manager History Database in vollem Umfang zu nutzen, werden folgende Berechtigungen benötigt.

Tabelle 1: Berechtigungen für Datenbankbenutzer unter SQL Server
Berechtigung Für Datenbank Benötigt für Installation Benötigt für laufenden Betrieb Benötigt für

Serverrolle "dbcreator"*

 

x

-

Erzeugen der Datenbank.

Serverrolle "processadmin"

 

-

x

Aktivität von Verbindungen prüfen und gegebenenfalls schließen der Verbindung.

Datenbankrolle "db_owner"

One Identity Manager History Database

x

x

Erzeugen der Datenbank. Betreiben der Datenbank.

Datenbankrolle "basegroup"**

One Identity Manager History Database

-

x

Interne Berechtigungsrolle für Datenbankobjekte.

Berechtigung "Execute"

Master

x

x

Starten des SQL Server Agent.

Datenbankrolle "SQLAgentUserRole"

msdb

-

x

Ausführen von Datenbankschedules.

Datenbankrolle "db_Datareader"

msdb

-

x

Lesen und Ändern von Datenbankschedules.

Datenbankrolle "SQLAgentOperatorRole"

msdb

x

x

Definieren von Datenbankschedules.

Berechtigung "Connect"

tempdb

x

x

Prüfen, ob Einzelbenutzermodus während der Verbindung erforderlich ist.

*) Die Berechtigung ist nur erforderlich, wenn die Datenbank durch den Configuration Wizard erstellt wird.

**) Die Datenbankrolle "basegroup" wird während der initialen Schemainstallation der One Identity Manager History Database standardmäßig angelegt.

HINWEIS: Wird das Benutzerkonto des Datenbankbenutzers erst nach der Migration der Datenbank gewechselt, dann muss der neue Datenbankbenutzer nachträglich als Eigentümer der Datenbankschedules eingetragen werden. Ansonsten kommt es zu Fehlermeldungen bei der Ausführung der Datenbankschedules.

Zusätzliche Berechtigungen für die Datenübernahme

Befinden sich One Identity Manager History Database und One Identity Manager-Datenbank auf einem Datenbankserver erfolgt die Datenübernahme mit dem Datenbankbenutzer, unter dem die One Identity Manager History Database läuft. Dieser Datenbankbenutzer benötigt zusätzlich Zugriff auf die One Identity Manager-Datenbank.

  • Datenbankrolle "db_owner" für die One Identity Manager-Datenbank

Befinden sich One Identity Manager History Database und One Identity Manager-Datenbank auf verschiedenen Datenbankservern wird mit dem Datenbankbenutzer, unter dem die One Identity Manager History Database läuft, eine Verbindung zur One Identity Manager-Datenbank erzeugt. Folgende Berechtigungen werden zusätzlich benötigt:

  • Serverberechtigung "ALTER ANY LINKED SERVER"

    Erstellen und Löschen eines Verbindungsservers. Der Verbindungsserver ermöglicht die Ausführung verteilter Abfragen.

  • Serverberechtigung "ALTER ANY LOGIN"

    Erstellen und Löschen einer Zuordnung von Anmeldenamen auf dem lokalen Server und einem Anmeldenamen auf dem Verbindungsserver.

  • Serverrollen "setupadmin" und "sysadmin"

    Aufbau und Löschen einer Verbindung zwischen Datenbankservern.

Die anschließende Datenübernahme erfolgt mit einem Datenbankbenutzer, der Zugriff auf die One Identity Manager-Datenbank besitzt. Folgende Berechtigungen werden benötigt:

  • Datenbankrolle "db_owner" für die One Identity Manager-Datenbank
Hinweise zur Nutzung der integrierten Windows Authentifizierung

Die integrierte Windows Authentifizierung kann für den One Identity Manager Service und die Webanwendungen uneingeschränkt genutzt werden. Für die Fat-Clients kann die integrierte Windows Authentifizierung genutzt werden. Die Nutzung von Windows Gruppen zur Anmeldung wird unterstützt. Zur Sicherstellung der Funktionalität wird jedoch dringend die Nutzung einer SQL Server Anmeldung empfohlen.

Um die integrierte Windows Authentifizierung einzusetzen

  • Richten Sie für das Benutzerkonto auf dem Datenbankserver eine SQL Server Anmeldung ein.
  • Tragen Sie als Standardschema "dbo" ein.
  • Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen zu. Weitere Informationen finden Sie unter Tabelle 1.

Hinweise zur Nutzung der intergrierten Windows Authentifizierung

Hinweise zur Nutzung der integrierten Windows Authentifizierung

Wird die integrierte Windows Authentifizierung genutzt, erfolgt die Datenübernahme mit dem Benutzerkonto des One Identity Manager History Service.

  • Für das Benutzerkonto richten Sie auf dem Datenbankserver eine SQL Server Anmeldung ein. Befinden sich One Identity Manager History Database und One Identity Manager-Datenbank auf verschiedenen Servern, richten Sie die SQL Server Anmeldung auf beiden Datenbankservern ein.
  • Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen für die Datenübernahme zu. Weitere Informationen finden Sie unter Datenbankbenutzer unter SQL Server.

Befinden sich One Identity Manager History Database, One Identity Manager History Service und One Identity Manager-Datenbank auf verschiedenen Servern sind weitere Voraussetzungen zu erfüllen:

  • Das Benutzerkonto des One Identity Manager History Service benötigt einen Service Principal Name (SPN) für die Authentifizierung. Dieser kann über folgenden Kommandozeilen erstellt werden:

    SetSPN -A HTTP/<Vollständiger Domänenname> <Domäne>\<Benutzerkonto>

  • Das Benutzerkonto des One Identity Manager History Service muss für Delegierungen freigeschaltet sein und Kerberos zur Authentifizierung verwenden.

    Setzen Sie dazu in der Microsoft Management Konsole für Active Directory Benutzer- und Computer auf dem Tabreiter Delegierungen die Option Benutzer bei Delegierungen aller Dienste vertrauen (nur Kerberos) (Trust this user for delegation to any service (Kerberos only).

  • Der SQL Server Dienst benötigt einen Service Principal Name zur Authentifizierung. Diesen können Sie über folgenden Kommandozeilenaufruf prüfen:

    SetSPN -L <Name des Datenbankservers>

Hinweise zum Einsatz mehrerer Oracle Server

Befinden sich One Identity Manager History Database und One Identity Manager-Datenbank auf verschiedenen Servern werden nur gleiche Versions- und Patchstände von Betriebssystem und Datenbanksystem unterstützt.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating