Provisionar contas personalizadas com privilégios mínimos para Descoberta e Avaliação SQL

Este artigo descreve como criar uma conta personalizada com permissões mínimas para descoberta e avaliação.

Em preparação para a descoberta, o dispositivo Azure Migrate precisa ser configurado com as contas para estabelecer conexões com as instâncias do SQL Server. Se você preferir evitar o uso de contas com privilégios sysadmin, uma conta personalizada com um conjunto mínimo de permissões necessárias para obter os metadados necessários para descoberta e avaliação pode ser criada. Adicione esta conta personalizada na configuração do Appliance para SQL Discovery and Assessment. O utilitário de provisionamento de conta menos privilegiado pode ajudar a provisionar essas contas personalizadas.

Pré-requisitos

  • Um CSV preparado com a lista de instâncias do SQL Server. Verifique se todos os SQL Servers listados têm o protocolo TCP/IP habilitado.

  • Contas com permissões sysadmin em todas as instâncias do SQL Server listadas no CSV.

    Nota

    • A conta de nível de administrador é usada apenas para provisionar a conta menos privilegiada. Depois que a conta menos privilegiada for criada, forneça-a na configuração do Appliance para a descoberta e avaliação reais.
    • Se várias contas de nível de administrador forem necessárias, use o mesmo arquivo CSV para executar o utilitário novamente com a próxima credencial de nível de administrador. As instâncias que já foram atualizadas com êxito são ignoradas. Repita isso com credenciais de nível de administrador diferentes até que todas as instâncias sql tenham o campo Status definido como Êxito.

Preparar a lista de instâncias do SQL Server

O utilitário requer a lista de instâncias do SQL Server criada como um CSV com as seguintes colunas na ordem indicada:

  1. FqdnOrIpAddress (Obrigatório): Este campo deve conter o Nome de Domínio Totalmente Qualificado (ou, opcionalmente, o Endereço IP para autenticação do SQL Server) do servidor onde a instância do SQL Server está sendo executada.
  2. InstanceName (Obrigatório): Este campo deve conter o nome da instância para uma instância nomeada ou MSSQLSERVER para uma instância padrão.
  3. Porta (Obrigatória): a porta na qual o SQL Server está escutando.
  4. Status (Opcional/Saída): Este campo pode ser deixado em branco inicialmente. Qualquer valor aqui diferente de Success permite que o utilitário tente provisionar a conta menos privilegiada em relação à instância correspondente. O sucesso ou falha é então atualizado neste campo no final da execução.
  5. ErrorSummary (Opcional/Saída): Deixe em branco. O utilitário atualiza este campo com um resumo dos erros (se houver) encontrados durante o provisionamento da conta menos privilegiada.
  6. ErrorGuidance (Opcional/Saída): Deixe em branco. O utilitário atualiza este campo com mensagens de erro detalhadas (se houver) que foram encontradas durante o provisionamento da conta menos privilegiada.

Provisionar as contas personalizadas

  1. Abra um prompt de comando e navegue até a pasta %ProgramFiles%\Microsoft Azure Appliance Configuration Manager\Tools\SQLMinPrivilege.
  2. Inicie o utilitário Provisionamento de Conta Menos Privilegiada usando o comando: MinimumPrivilegedUser.exe
  3. Selecione o tipo de ambiente inserindo 1 se estiver executando a partir do dispositivo AzureMigrate ou 2 caso contrário.
  4. Forneça o caminho para a lista CSV de instâncias do SQL Server.
  5. Forneça um identificador exclusivo (GUID) para a criação de um identificador de segurança personalizado (SID) para a conta personalizada. Recomendamos que você use o mesmo GUID bem conhecido para todas as execuções do utilitário. Por exemplo, você pode usar a ID de Assinatura do Azure.
  6. Forneça as credenciais da conta com permissões de nível de administrador.
    1. Selecione o tipo de credencial inserindo 1 para Conta SQL ou 2 para Windows/Conta de Domínio.
    2. Forneça o nome de usuário e a senha para a conta de nível de administrador
  7. Agora forneça as credenciais para que a conta menos privilegiada seja criada.
    1. Selecione o tipo de credencial inserindo 1 para Conta SQL ou 2 para Windows/Conta de Domínio.
    2. Se você escolher Conta SQL na etapa anterior, as instâncias do SQL Server na lista deverão ter a autenticação do SQL Server (Modo Misto) habilitada. Se uma instância do SQL Server na lista não tiver a Autenticação SQL habilitada, o script poderá, opcionalmente, provisionar a conta de qualquer maneira e habilitar a Autenticação SQL. No entanto, a instância deve ser reiniciada antes que a nova Conta SQL seja usada. Se você não quiser continuar com o provisionamento da Conta SQL, digite N ou n para voltar à etapa anterior e escolha o tipo de credencial novamente.
    3. Forneça o nome de usuário e a senha para a conta menos privilegiada a ser provisionada.
  8. Se houver mais credenciais de nível de administrador a serem usadas, comece novamente com o mesmo arquivo CSV. O utilitário ignora instâncias configuradas com êxito.

Nota

Recomendamos usar as mesmas credenciais de conta menos privilegiadas para simplificar a configuração do Azure Migrate Appliance.

Usar conta personalizada para descoberta e avaliação

Agora que a conta personalizada está provisionada, forneça essa credencial na configuração do Appliance.

Próximos passos

Saiba como avaliar servidores que executam o SQL Server para migrar para o Azure SQL.