Compartir vía


Implemente Clústeres de macrodatos de SQL Server en el modo de Active Directory: Prerrequisitos

Se aplica a: SQL Server 2019 (15.x)

En este documento se explica cómo preparar un clúster de macrodatos de SQL Server en el modo de autenticación de Active Directory. El clúster usa un dominio de AD existente para la autenticación.

Importante

El complemento Clústeres de macrodatos de Microsoft SQL Server 2019 se va a retirar. La compatibilidad con Clústeres de macrodatos de SQL Server 2019 finalizará el 28 de febrero de 2025. Todos los usuarios existentes de SQL Server 2019 con Software Assurance serán totalmente compatibles con la plataforma, y el software se seguirá conservando a través de actualizaciones acumulativas de SQL Server hasta ese momento. Para más información, consulte la entrada de blog sobre el anuncio y Opciones de macrodatos en la plataforma Microsoft SQL Server.

Nota:

Antes de la versión SQL Server 2019 CU5, existe una restricción en los clústeres de macrodatos para que solo se pueda implementar un clúster en un dominio de Active Directory. Esta restricción se quita con la versión CU5. Vea Concepto: implementación de Clústeres de macrodatos de SQL Server en modo de Active Directory para obtener información detallada sobre las capacidades nuevas. Los ejemplos de este artículo se ajustan para adaptarse a ambos casos de uso de implementación.

Información previa

Para habilitar la autenticación de Active Directory (AD), el clúster de macrodatos crea automáticamente los usuarios, los grupos, las cuentas de equipo y los nombres de entidad de seguridad de servicio (SPN) que necesitan los distintos servicios del clúster. Para proporcionar cierta independencia respecto de estas cuentas y permitir el uso de permisos de ámbito, recomendamos crear una unidad organizativa (UO) antes de la implementación del clúster. Todos los objetos de AD relacionados con el clúster de macrodatos se crearán durante la implementación.

Requisitos previos

Unidad organizativa (OU)

Una unidad organizativa (UO) es una subdivisión dentro de una instancia de Active Directory en la que se colocan usuarios, grupos e incluso otras unidades organizativas. Idea general: las unidades organizativas se pueden usar para reflejar la estructura funcional o empresarial de una organización. En este artículo crearemos una unidad organizativa denominada bdc como ejemplo.

Nota:

La unidad organizativa (UO) representa límites administrativos y permite a los clientes controlar el ámbito de autoridad de los administradores de datos.

Puede seguir principios de diseño de unidad organizativa para decidir cuál es la mejor estructura para trabajar con unidades organizativas dentro de la organización.

Cuenta de AD para la cuenta de servicio de dominio del clúster de macrodatos

Para crear todos los objetos necesarios en Active Directory automáticamente, el clúster de macrodatos necesita una cuenta de AD que tenga permisos específicos para crear usuarios, grupos y cuentas de equipo dentro de la unidad organizativa (UO) proporcionada. En este artículo se explicará cómo configurar el permiso de esta cuenta de AD. Usamos una cuenta de AD llamada bdcDSA como ejemplo en este artículo.

Objetos de Active Directory generados automáticamente

La implementación de Clústeres de macrodatos genera automáticamente los nombres de cuenta y de grupo. Cada una de las cuentas representa un servicio y el clúster de macrodatos las administrará mientras esté en uso. Esas cuentas poseen los nombres de entidad de seguridad de servicio (SPN) necesarios para cada servicio. Para obtener una lista completa de cuentas, grupos y servicios generados automáticamente de AD que administran, vea Objetos de Active Directory generados automáticamente.

Importante

En función de la directiva de expiración de contraseñas establecida en el controlador de dominio, las contraseñas de estas cuentas pueden expirar. No hay ningún mecanismo para rotar automáticamente las credenciales de todas las cuentas del clúster de macrodatos, por lo que el clúster dejará de funcionar cuando se cumpla el período de expiración. Puede usar azdata bdc rotate para rotar las contraseñas de las cuentas de AD generadas automáticamente para el clúster de macrodatos. Para más información, vea azdata-bdc-rotate. Agregue este comando a los scripts o las canalizaciones de automatización como parte del proceso de protección de la seguridad.

Creación de objetos de AD

Antes de implementar un clúster de macrodatos con la integración de AD, haga lo siguiente:

  1. Cree una unidad organizativa (UO) donde se almacenarán todos los objetos de AD relacionados con el clúster de macrodatos. También puede optar por elegir una UO existente durante la implementación.
  2. Cree una cuenta de AD para el clúster de macrodatos o use una cuenta existente y proporcione a esta cuenta de AD los permisos adecuados dentro de la unidad organizativa (UO) proporcionada.

Creación de un usuario en AD para la cuenta de servicio de dominio del clúster de macrodatos

El clúster de macrodatos requiere una cuenta con permisos específicos. Antes de continuar, asegúrese de tener una cuenta de AD existente o cree una nueva cuenta, que puede usar el clúster de macrodatos para configurar los objetos necesarios.

Para crear un nuevo usuario en AD, puede hacer clic con el botón derecho en el dominio o la UO y seleccionar Nuevo>Usuario:

Cuadro de diálogo Usuarios de Active Directory.

En este artículo, se hará referencia a este usuario como la cuenta de servicio de dominio del clúster de macrodatos o como DSA.

Creación de una unidad organizativa

En el controlador de dominio, abra Usuarios y equipos de Active Directory. En el panel izquierdo, haga clic con el botón derecho en el directorio en el que quiera crear la UO y seleccione Nuevo>Unidad organizativa y, después, siga las indicaciones del asistente para crearla. También puede crear una UO con PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

En los ejemplos de este artículo se usa bdc para el nombre de la UO.

Unidad organizativa de Active Directory.

Objeto nuevo: unidad organizativa.

Establecimiento de permisos para una cuenta de AD

Tanto si se ha creado un nuevo usuario de AD como si se usa uno existente, existen ciertos permisos que el usuario debe tener. Esta cuenta es la cuenta de usuario que el controlador del clúster de macrodatos usará al unir el clúster a AD. La DSA debe ser capaz de crear usuarios, grupos y cuentas de equipo en la UO. En los pasos siguientes, el nombre que hemos asignado a la cuenta de servicio de dominio del clúster de macrodatos es bdcDSA.

Importante

Puede elegir cualquier nombre para la DSA, pero no se recomienda modificar el nombre de la cuenta una vez implementado el clúster de macrodatos.

  1. En el controlador de dominio, abra Usuarios y equipos de Active Directory.

  2. En el panel izquierdo, navegue hasta el dominio y, luego, hasta la UO que usará bdc

  3. Haga clic con el botón derecho en la UO y seleccione Propiedades.

  4. Asegúrese de haber seleccionado Características avanzadas haciendo clic con el botón derecho en la UO y seleccionando Ver, y vaya a la pestaña Seguridad

    Propiedades de objetos BDC.

  5. Seleccione Agregar... y agregue el usuario bdcDSA.

    Captura de pantalla de la adición de propiedades del objeto BDC.

    Captura de pantalla de cómo seleccionar un objeto.

  6. Seleccione el usuario bdcDSA, borre todos los permisos y seleccione Avanzado.

  7. Seleccione Agregar.

    Captura de pantalla de la selección de la adición.

    • Seleccione Seleccionar una entidad de seguridad, inserte bdcDSA y seleccione Aceptar.

    • Establezca Tipo en Permitir.

    • Establezca Se aplica a en Este objeto y todos los descendientes.

      Captura de pantalla de la configuración para permitir propiedades.

    • Desplácese hasta la parte inferior y seleccione Borrar todo.

    • Desplácese hacia la parte superior y seleccione lo siguiente:

      • Leer todas las propiedades
      • Escribir todas las propiedades
      • Crear objetos de equipo
      • Eliminar objetos de equipo
      • Crear objetos de grupo
      • Eliminar objetos de grupo
      • Crear objetos de usuario
      • Eliminación de objetos de usuario
    • Seleccione Aceptar.

  • Seleccione Agregar.

    • Seleccione Seleccionar una entidad de seguridad, inserte bdcDSA y seleccione Aceptar.

    • Establezca Tipo en Permitir.

    • Establezca Se aplica a en Objetos de equipo descendientes.

    • Desplácese hasta la parte inferior y seleccione Borrar todo.

    • Desplácese hacia la parte superior y seleccione Restablecer contraseña.

    • Seleccione Aceptar.

  • Seleccione Agregar.

    • Seleccione Seleccionar una entidad de seguridad, inserte bdcDSA y seleccione Aceptar.

    • Establezca Tipo en Permitir.

    • Establezca Se aplica a en Objetos de usuario descendientes.

    • Desplácese hasta la parte inferior y seleccione Borrar todo.

    • Desplácese hacia la parte superior y seleccione Restablecer contraseña.

    • Seleccione Aceptar.

  • Seleccione Aceptar dos veces más para cerrar los cuadros de diálogo abiertos.