SQL Server diaktifkan oleh Azure Arc di autentikasi Direktori Aktif dengan keytab yang dikelola sistem - prasyarat
Dokumen ini menjelaskan cara bersiap untuk menyebarkan layanan data dengan dukungan Azure Arc dengan autentikasi Direktori Aktif (AD). Secara khusus artikel ini menjelaskan objek Direktori Aktif yang perlu Anda konfigurasi sebelum penyebaran sumber daya Kubernetes.
Pengantar menjelaskan dua mode integrasi yang berbeda:
- Mode keytab yang dikelola sistem memungkinkan sistem membuat dan mengelola akun AD untuk setiap SQL Managed Instance.
- Mode keytab yang dikelola pelanggan memungkinkan Anda membuat dan mengelola akun AD untuk setiap SQL Managed Instance.
Persyaratan dan rekomendasi berbeda untuk dua mode integrasi.
| Objek Direktori Aktif | Keytab yang dikelola pelanggan | Keytab yang dikelola sistem |
|---|---|---|
| Unit organisasi (OU) | Direkomendasikan | Wajib |
| Akun layanan domain Direktori Aktif (DSA) untuk Konektor Direktori Aktif | Tidak diperlukan | Wajib |
| Akun direktori aktif untuk SQL Managed Instance | Dibuat untuk setiap instans terkelola | Sistem membuat akun AD untuk setiap instans terkelola |
Akun DSA - mode keytab yang dikelola sistem
Agar dapat membuat semua objek yang diperlukan di Direktori Aktif secara otomatis, Konektor AD memerlukan akun layanan domain (DSA). DSA adalah akun Direktori Aktif yang memiliki izin khusus untuk membuat, mengelola, dan menghapus akun pengguna di dalam unit organisasi (OU) yang disediakan. Artikel ini menjelaskan cara mengonfigurasi izin akun Direktori Aktif ini. Contoh memanggil akun arcdsa DSA sebagai contoh dalam artikel ini.
Objek Direktori Aktif yang dihasilkan secara otomatis
Penyebaran SQL Managed Instance dengan dukungan Arc secara otomatis menghasilkan akun dalam mode keytab yang dikelola sistem. Masing-masing akun mewakili SQL Managed Instance dan akan dikelola oleh sistem sepanjang masa pakai SQL. Akun-akun ini memiliki Nama Prinsipal Layanan (SPN) yang diperlukan oleh setiap SQL.
Langkah-langkah di bawah ini mengasumsikan Anda sudah memiliki pengontrol domain Active Directory. Jika Anda tidak memiliki pengontrol domain, panduan berikut menyertakan langkah-langkah yang dapat membantu.
Membuat objek Direktori Aktif
Lakukan hal-hal berikut sebelum Anda menyebarkan SQL Managed Instance dengan dukungan Arc dengan autentikasi AD:
- Buat unit organisasi (OU) untuk semua objek AD terkait SQL Managed Instance yang didukung Arc. Atau, Anda dapat memilih unit organisasi yang ada saat penyebaran.
- Buat akun AD untuk Konektor AD, atau gunakan akun yang sudah ada, dan berikan akun ini izin yang tepat pada unit organisasi yang dibuat di langkah sebelumnya.
Membuat unit organisasi
Mode keytab yang dikelola sistem memerlukan unit organisasi yang ditunjuk. Untuk mode keytab yang dikelola pelanggan, disarankan untuk OU.
Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer. Di panel kiri, klik kanan direktori tempat Anda ingin membuat OU dan pilih Unit Organisasi Baru>, lalu ikuti perintah dari wizard untuk membuat unit organisasi. Atau, Anda dapat membuat unit organisasi dengan PowerShell:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
Contoh dalam artikel ini digunakan arcou untuk nama unit organisasi.
Membuat akun layanan domain (DSA)
Untuk mode keytab yang dikelola sistem, Anda memerlukan akun layanan domain AD.
Buat pengguna Direktori Aktif yang akan Anda gunakan sebagai akun layanan domain. Akun ini memerlukan izin tertentu. Pastikan Anda memiliki akun Direktori Aktif yang sudah ada atau membuat akun baru, yang dapat digunakan SQL Managed Instance dengan dukungan Arc untuk menyiapkan objek yang diperlukan.
Untuk membuat pengguna baru di AD, Anda bisa mengklik kanan domain atau unit organisasi dan memilih Pengguna Baru>:
Akun ini akan disebut sebagai arcdsa dalam artikel ini.
Mengatur izin untuk DSA
Untuk mode keytab yang dikelola sistem, Anda perlu mengatur izin untuk DSA.
Apakah Anda telah membuat akun baru untuk DSA atau menggunakan akun pengguna Direktori Aktif yang sudah ada, ada izin tertentu yang perlu dimiliki akun. DSA harus dapat membuat pengguna, grup, dan akun komputer di unit organisasi. Dalam langkah-langkah berikut, nama akun layanan domain SQL Managed Instance dengan dukungan Arc adalah arcdsa.
Penting
Anda dapat memilih nama apa pun untuk DSA, tetapi kami tidak menyarankan untuk mengubah nama akun setelah Konektor AD disebarkan.
Pada pengontrol domain, buka Pengguna Direktori Aktif dan Komputer, klik Tampilkan, pilih Fitur Tingkat Lanjut
Di panel kiri, navigasikan ke domain Anda, lalu unit organisasi yang
arcouakan menggunakanKlik kanan unit organisasi, dan pilih Properti.
Catatan
Pastikan Anda telah memilih Fitur Tingkat Lanjut dengan mengklik kanan unit organisasi, dan memilih Tampilan
Buka tab Keamanan. Pilih Fitur Tingkat Lanjut klik kanan pada unit organisasi, dan pilih Tampilkan.
Pilih Tambahkan... dan tambahkan pengguna arcdsa .
Pilih pengguna arcdsa dan hapus semua izin, lalu pilih Tingkat Lanjut.
Pilih Tambahkan
Pilih Pilih Prinsipal, sisipkan arcdsa, dan pilih Ok.
Atur Jenis ke Izinkan.
Atur Berlaku Untuk Objek Ini dan semua objek turunan.
Gulir ke bawah ke bawah, dan pilih Hapus semua.
Gulir kembali ke bagian atas, dan pilih:
- Membaca semua properti
- Menulis semua properti
- Membuat objek Pengguna
- Menghapus objek Pengguna
Pilih OK.
Pilih Tambahkan.
Pilih Pilih Prinsipal, sisipkan arcdsa, dan pilih Ok.
Atur Jenis ke Izinkan.
Atur Berlaku Untuk ke objek Pengguna Turunan.
Gulir ke bawah ke bawah, dan pilih Hapus semua.
Gulir kembali ke bagian atas, dan pilih Atur ulang kata sandi.
Pilih OK.
- Pilih OK dua kali lagi untuk menutup kotak dialog yang terbuka.
Konten terkait
- Menyebarkan konektor Active Directory (AD) keytab yang dikelola pelanggan
- Menyebarkan konektor Active Directory (AD) keytab yang dikelola sistem
- Menyebarkan SQL Managed Instance yang diaktifkan oleh Azure Arc di Active Directory (AD)
- Menyambungkan ke SQL Managed Instance yang diaktifkan oleh Azure Arc menggunakan autentikasi Direktori Aktif