Menyebarkan Kluster Big Data SQL Server dalam mode Direktori Aktif: Prasyarat

Berlaku untuk: SQL Server 2019 (15.x)

Dokumen ini menjelaskan cara mempersiapkan penyebaran Kluster Big Data SQL Server dalam mode autentikasi Direktori Aktif. Kluster menggunakan domain AD yang ada untuk autentikasi.

Penting

Add-on Kluster Big Data Microsoft SQL Server 2019 akan dihentikan. Dukungan untuk SQL Server 2019 Kluster Big Data akan berakhir pada 28 Februari 2025. Semua pengguna SQL Server 2019 yang ada dengan Jaminan Perangkat Lunak akan didukung sepenuhnya pada platform dan perangkat lunak akan terus dipertahankan melalui pembaruan kumulatif SQL Server hingga saat itu. Untuk informasi selengkapnya, lihat posting blog pengumuman dan Opsi big data di platform Microsoft SQL Server.

Catatan

Sebelum rilis CU5 SQL Server 2019, ada pembatasan dalam kluster big data sehingga hanya satu kluster yang dapat disebarkan terhadap domain Direktori Aktif. Pembatasan ini dihapus dengan rilis CU5, lihat Konsep: menyebarkan SQL Server Kluster Big Data dalam mode Direktori Aktif untuk detail tentang kemampuan baru. Contoh dalam artikel ini disesuaikan untuk mengakomodasi kedua kasus penggunaan penyebaran.

Latar belakang

Untuk mengaktifkan autentikasi Active Directory (AD), kluster big data secara otomatis membuat pengguna, grup, akun mesin, dan nama perwakilan layanan (SPN) yang dibutuhkan berbagai layanan dalam kluster. Untuk menyediakan beberapa penahanan akun ini dan mengizinkan izin cakupan, sebaiknya buat unit organisasi (OU) sebelum penyebaran kluster. Semua objek AD terkait kluster big data akan dibuat selama penyebaran.

Prasyarat

Unit Organisasi (OU)

Unit organisasi (OU) adalah subdivisi dalam Direktori Aktif tempat pengguna, grup, dan bahkan unit organisasi lainnya. Gambaran besar: Unit organisasi dapat digunakan untuk mencerminkan struktur fungsional atau bisnis organisasi. Artikel ini kami membuat unit organisasi yang disebut bdc sebagai contoh.

Catatan

Unit organisasi (OU) mewakili batas administratif dan memungkinkan pelanggan mengontrol cakupan otoritas administrator data.

Anda dapat mengikuti Prinsip Desain OU untuk memutuskan struktur terbaik untuk bekerja dengan OU dalam organisasi Anda.

Akun AD untuk akun layanan domain kluster big data

Untuk membuat semua objek yang diperlukan di Direktori Aktif secara otomatis, kluster big data memerlukan akun AD dengan izin khusus untuk membuat pengguna, grup, dan akun mesin di dalam unit organisasi (OU) yang disediakan. Artikel ini menjelaskan cara mengonfigurasi izin untuk akun AD ini. Kami menggunakan Akun AD yang disebut bdcDSA sebagai contoh dalam artikel ini.

Objek Active Directory yang dibuat secara otomatis

Kluster Big Data penyebaran secara otomatis menghasilkan nama akun dan grup. Setiap akun mewakili layanan dan akan dikelola oleh kluster big data sepanjang masa pakai di mana kluster big data digunakan. Akun-akun tersebut memiliki Nama Perwakilan Layanan (SPN) yang diperlukan setiap layanan. Untuk daftar lengkap akun, grup, dan layanan yang dibuat secara otomatis AD yang dikelolanya, lihat Objek Active Directory yang dibuat secara otomatis.

Penting

Bergantung pada kebijakan kedaluwarsa kata sandi yang ditetapkan di Pengendali Domain, kata sandi untuk akun ini dapat kedaluwarsa. Tidak ada mekanisme untuk memutar info masuk secara otomatis untuk semua akun di kluster big data, sehingga kluster akan menjadi tidak dapat dioperasikan setelah periode kedaluwarsa terpenuhi. Anda dapat menggunakan azdata bdc rotate untuk memutar kata sandi akun AD yang dibuat secara otomatis untuk kluster big data. Untuk informasi selengkapnya, lihat azdata-bdc-rotate. Tambahkan perintah ini ke skrip atau alur otomatisasi Anda selama proses pengerasan keamanan.

Membuat objek AD

Lakukan hal-hal berikut sebelum Anda menyebarkan kluster big data dengan integrasi AD:

  1. Buat unit organisasi (OU) untuk menyimpan semua objek AD terkait kluster big data. Atau, Anda dapat memilih unit organisasi yang ada saat penyebaran.
  2. Buat akun AD untuk kluster big data atau gunakan akun yang ada, dan berikan akun AD ini izin yang benar di dalam unit organisasi (OU) yang disediakan.

Membuat pengguna di AD untuk akun layanan domain kluster big data

Kluster big data memerlukan akun dengan izin tertentu. Sebelum melanjutkan, pastikan Anda memiliki akun AD yang sudah ada atau membuat akun baru, yang dapat digunakan kluster big data untuk menyiapkan objek yang diperlukan.

Untuk membuat pengguna baru di AD, Anda bisa mengklik kanan domain atau unit organisasi dan memilih Pengguna Baru>:

Active Directory users dialog.

Pengguna ini disebut sebagai akun layanan domain kluster big data atau DSA dalam artikel ini.

Membuat unit organisasi

Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer. Di panel kiri, klik kanan direktori tempat Anda ingin membuat OU dan pilih Unit Organisasi Baru>, lalu ikuti perintah dari wizard untuk membuat unit organisasi. Atau, Anda dapat membuat unit organisasi dengan PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

Contoh dalam artikel ini digunakan bdc untuk nama unit organisasi.

Active Directory organizational unit.

New object - organizational unit.

Mengatur izin untuk akun AD

Apakah Anda telah membuat pengguna AD baru atau menggunakan pengguna AD yang sudah ada, ada izin khusus yang harus dimiliki pengguna. Akun ini adalah akun pengguna yang digunakan pengontrol kluster big data saat bergabung dengan kluster ke AD. DSA harus dapat membuat pengguna, grup, dan akun komputer di unit organisasi. Dalam langkah-langkah berikut, kami telah menamai akun bdcDSAlayanan domain kluster big data .

Penting

Anda dapat memilih nama apa pun untuk DSA, tetapi kami tidak menyarankan untuk mengubah nama akun setelah kluster big data disebarkan.

  1. Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer

  2. Di panel kiri, navigasikan ke domain Anda, lalu unit organisasi, yang bdc menggunakan

  3. Klik kanan unit organisasi, dan pilih Properti.

  4. Buka tab Keamanan (Pastikan Anda telah memilih Fitur Tingkat Lanjut dengan mengklik kanan unit organisasi dan memilih Tampilan)

    BDC object properties.

  5. Pilih Tambahkan... dan tambahkan pengguna bdcDSA

    Screenshot of adding a BDC object properties.

    Screenshot of selecting an object.

  6. Pilih pengguna bdcDSA dan hapus semua izin, lalu pilih Tingkat Lanjut

  7. Pilih Tambahkan

    Screenshot of selecting add.

    • Pilih Pilih Prinsipal, sisipkan bdcDSA, dan pilih Ok

    • Atur Tipe ke Izinkan

    • Atur Berlaku UntukObjek Ini dan semua objek turunan

      Screenshot of setting allow for properties.

    • Gulir ke bawah ke bawah, dan pilih Hapus semua

    • Gulir kembali ke bagian atas, dan pilih:

      • Membaca semua properti
      • tulis semua properti
      • Membuat objek Komputer
      • Hapus objek Komputer
      • Membuat objek Grup
      • Hapus objek Grup
      • Membuat objek Pengguna
      • Menghapus objek Pengguna
    • Pilih OK

  • Pilih Tambahkan

    • Pilih Pilih Prinsipal, sisipkan bdcDSA, dan pilih Ok

    • Atur Tipe ke Izinkan

    • Atur Berlaku Untuk objek Komputer Turunan

    • Gulir ke bawah ke bawah, dan pilih Hapus semua

    • Gulir kembali ke bagian atas, dan pilih Atur ulang kata sandi

    • Pilih OK

  • Pilih Tambahkan

    • Pilih Pilih Prinsipal, sisipkan bdcDSA, dan pilih Ok

    • Atur Tipe ke Izinkan

    • Atur Berlaku Untuk ke objek Pengguna Turunan

    • Gulir ke bawah ke bawah, dan pilih Hapus semua

    • Gulir kembali ke bagian atas, dan pilih Atur ulang kata sandi

    • Pilih OK

  • Pilih OK dua kali lagi untuk menutup kotak dialog yang terbuka