Назад | Перейти на главную страницу

Как уберечь пользователей Active Directory и SQL от взлома после восстановления базы данных?

Я пытаюсь скопировать производственные данные MSSQL CRM на другой изолированный стек сервера (сервер 2) с помощью процесса резервного копирования и восстановления. На сервере 2 уже есть большая часть данных после восстановления, которое я сделал из резервной копии производственных данных несколько месяцев назад. Первоначальное восстановление прошло нормально, потому что активный каталог еще не был настроен на сервере 2. Совершенно новая установка CRM позаботилась о большей части создания входа в AD и SQL.

Когда восстановление завершено, я получаю следующую ошибку при попытке войти в CRM:

Кажется, есть проблема с подключением пользователей / логинов SQL к AD. Я проверил идентификаторы пользователей и групп, которые появляются как в SSMS, так и в AD, и, похоже, они совпадают. Я также убедился, что пользователи SQL соответствуют логинам SQL, используя запросы «изменить пользователя с логином». Интересно то, что иногда после восстановления БД CRM работает нормально, но через несколько минут снова начинает выдавать ошибку. Однако чаще всего ошибка появляется сразу после восстановления. Я также попытался добавить запросы «изменить логин с именем» после запросов «изменить пользователя с логином», чтобы обеспечить двустороннее соответствие, однако это, похоже, не помогло.

Восстановление изменит только пользователей базы данных SQL (вместе с данными CRM). Логины SQL - это те, которые фактически подключены к AD, и они не меняются. Это заставляет меня задаться вопросом, почему здесь вообще может появляться ошибка, связанная с AD. Возможно, это как-то связано с тем, как CRM связывает своих пользователей (пользователей CRM, а не пользователей SQL) с AD, поскольку CRM использует ADFS SSO. Эта информация была бы сохранена в CRM и перезаписана при восстановлении. Поскольку сервер 2 AD не такой, как на сервере 1, сопоставление может нарушиться.

Если я восстановлю копию базы данных, которая изначально была у сервера 2, CRM снова будет работать нормально, данные просто устарели.

Есть ли у вас какие-либо другие предложения о том, как синхронизировать пользователей и логины SQL с AD и предотвратить возникновение ошибки? Это вполне может быть проблемой в какой-то другой части инфраструктуры, поэтому я открыт для предложений.

Сможете ли вы восстановить последнюю версию Active Directory на третьем сервере в качестве места назначения? (Это может быть виртуальная машина на этом сервере2)

Вы можете иметь обновленные данные SQL, но важно иметь актуальную резервную копию Active Directory, особенно если ваш SQL использует AD в качестве схемы аутентификации.