Menyebarkan Kluster Big Data SQL Server dalam mode Direktori Aktif: Prasyarat

Berlaku untuk: SQL Server 2019 (15.x)

Dokumen ini menjelaskan cara mempersiapkan penyebaran Kluster Big Data SQL Server dalam mode autentikasi Direktori Aktif. Kluster menggunakan domain AD yang ada untuk autentikasi.

Important

Kluster Big Data Microsoft SQL Server 2019 dihentikan. Dukungan untuk Kluster Big Data SQL Server 2019 berakhir per 28 Februari 2025. Untuk informasi selengkapnya, lihat posting blog pengumuman dan Opsi big data di platform Microsoft SQL Server.

Note

Sebelum rilis CU5 SQL Server 2019, ada pembatasan dalam kluster big data sehingga hanya satu kluster yang dapat disebarkan terhadap domain Direktori Aktif. Pembatasan ini dihapus dengan rilis CU5, lihat Konsep: menyebarkan Kluster Big Data SQL Server dalam mode Direktori Aktif untuk detail tentang kemampuan baru. Contoh dalam artikel ini disesuaikan untuk mengakomodasi kedua kasus penggunaan dalam penyebaran.

Background

Untuk mengaktifkan autentikasi Active Directory (AD), kluster big data secara otomatis membuat pengguna, grup, akun mesin, dan nama perwakilan layanan (SPN) yang dibutuhkan berbagai layanan dalam kluster. Untuk menyediakan pengendalian beberapa akun ini dan memungkinkan cakupan izin, sebaiknya buat unit organisasi (OU) sebelum penyebaran kluster. Semua objek AD terkait kluster big data akan dibuat selama penyebaran.

Prerequisites

Unit Organisasi (OU)

Unit organisasi (OU) adalah subdivisi dalam Direktori Aktif tempat pengguna, grup, dan bahkan unit organisasi lainnya. Gambaran besar: Unit organisasi dapat digunakan untuk mencerminkan struktur fungsional atau bisnis organisasi. Dalam artikel ini, kami membuat unit organisasi yang disebut bdc sebagai contoh.

Note

Unit organisasi (OU) mewakili batas administratif dan memungkinkan pelanggan mengontrol cakupan otoritas administrator data.

Anda dapat mengikuti Prinsip Desain OU untuk memutuskan struktur terbaik untuk bekerja dengan OU dalam organisasi Anda.

Akun AD untuk akun layanan domain dalam kluster data besar

Untuk membuat semua objek yang diperlukan di Direktori Aktif secara otomatis, kluster big data memerlukan akun AD dengan izin khusus untuk membuat pengguna, grup, dan akun mesin di dalam unit organisasi (OU) yang disediakan. Artikel ini menjelaskan cara mengonfigurasi izin untuk akun AD ini. Kami menggunakan Akun AD yang disebut bdcDSA sebagai contoh dalam artikel ini.

Objek Active Directory yang dibuat secara otomatis

Penyebaran Kluster Big Data secara otomatis menghasilkan nama akun dan grup. Setiap akun mewakili layanan dan akan dikelola oleh kluster big data sepanjang masa pakai di mana kluster big data digunakan. Akun-akun tersebut memiliki Nama Perwakilan Layanan (SPN) yang diperlukan setiap layanan. Untuk daftar lengkap akun, grup, dan layanan yang dibuat secara otomatis AD yang dikelolanya, lihat Objek Active Directory yang dibuat secara otomatis.

Important

Bergantung pada kebijakan kedaluwarsa kata sandi yang ditetapkan di Pengendali Domain, kata sandi untuk akun ini dapat kedaluwarsa. Tidak ada mekanisme untuk memutar info masuk secara otomatis untuk semua akun di kluster big data, sehingga kluster akan menjadi tidak dapat dioperasikan setelah periode kedaluwarsa terpenuhi. Anda dapat menggunakan azdata bdc rotate untuk memutar kata sandi akun AD yang dibuat secara otomatis untuk kluster big data. Untuk informasi selengkapnya, lihat azdata-bdc-rotate. Tambahkan perintah ini ke skrip atau alur otomatisasi Anda selama proses pengerasan keamanan.

Membuat objek AD

Lakukan hal-hal berikut sebelum Anda menyebarkan kluster big data dengan integrasi AD:

1. Buat unit organisasi (OU) untuk menyimpan semua objek AD terkait kluster big data. Sebagai alternatif, Anda dapat memilih unit organisasi yang ada saat melakukan penyebaran.
2. Buat akun AD untuk kluster big data atau gunakan akun yang ada, dan berikan akun AD ini izin yang benar di dalam unit organisasi (OU) yang disediakan.

Membuat pengguna di AD untuk akun layanan domain kluster big data

Kluster big data memerlukan akun dengan izin tertentu. Sebelum melanjutkan, pastikan Anda memiliki akun AD yang sudah ada atau membuat akun baru, yang dapat digunakan kluster big data untuk menyiapkan objek yang diperlukan.

Untuk membuat pengguna baru di AD, Anda bisa mengklik kanan domain atau unit organisasi dan memilihPengguna>:

Pengguna ini disebut sebagai akun layanan domain kluster big data atau DSA dalam artikel ini.

Membuat Unit Organisasi (OU)

Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer. Di panel kiri, klik kanan direktori tempat Anda ingin membuat OU dan pilihUnit Organisasi>, lalu ikuti perintah dari wizard untuk membuat unit organisasi. Atau, Anda dapat membuat unit organisasi dengan PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

Contoh dalam artikel ini digunakan bdc untuk nama unit organisasi.

Mengatur izin untuk akun AD

Apakah Anda telah membuat pengguna AD baru atau menggunakan pengguna AD yang sudah ada, ada izin khusus yang harus dimiliki pengguna. Akun ini adalah akun pengguna yang digunakan pengontrol kluster big data saat bergabung ke kluster AD. DSA harus dapat membuat pengguna, grup, dan akun komputer di unit organisasi. Dalam langkah-langkah berikut, kami telah menamai akun layanan domain kluster big data bdcDSA.

Important

Anda dapat memilih nama apa pun untuk DSA, tetapi kami tidak menyarankan untuk mengubah nama akun setelah kluster big data disebarkan.

1. Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer

2. Di panel kiri, navigasikan ke domain Anda, lalu unit organisasi yang digunakan oleh bdc

3. Klik kanan OU, dan pilih Properti.

4. Buka tab Keamanan (Pastikan Anda telah memilih Fitur Tingkat Lanjut dengan mengklik kanan unit organisasi dan memilih Tampilan)

   

5. Pilih Tambahkan... dan tambahkan pengguna bdcDSA

   

   

6. Pilih pengguna bdcDSA dan hapus semua izin, lalu pilih Tingkat Lanjut

7. Select Add

   

   • Pilih Pilih Prinsipal, sisipkan bdcDSA, dan pilih Ok

   • Atur Tipe ke Izinkan

   • Atur Berlaku UntukObjek Ini dan semua objek turunan

     

   • Gulir ke bawah ke bawah, dan pilih Hapus semua

   • Gulir kembali ke bagian atas, dan pilih:

     • Baca semua properti
     • menuliskan semua sifat-sifat
     • Membuat objek Komputer
     • Hapus objek Komputer
     • Membuat objek Grup
     • Hapus objek Grup
     • Membuat objek Pengguna
     • Menghapus objek Pengguna

   • Select OK

• Select Add

  • Pilih Pilih Prinsipal, sisipkan bdcDSA, dan pilih Ok

  • Atur Tipe ke Izinkan

  • Atur Berlaku Untukobjek Komputer Turunan

  • Gulir ke bawah ke bawah, dan pilih Hapus semua

  • Gulir kembali ke bagian atas, dan pilih Atur ulang kata sandi

  • Select OK

• Select Add

  • Pilih Pilih Prinsipal, sisipkan bdcDSA, dan pilih Ok

  • Atur Tipe ke Izinkan

  • Atur Berlaku Untuk pada objek Pengguna Turunan

  • Gulir ke bawah ke bawah, dan pilih Hapus semua

  • Gulir kembali ke bagian atas, dan pilih Atur ulang kata sandi

  • Select OK

• Pilih OK dua kali lagi untuk menutup kotak dialog yang terbuka

Related content

• Menyebarkan Kluster Big Data SQL Server dalam mode Direktori Aktif
• Memecahkan masalah integrasi Direktori Aktif Kluster Big Data SQL Server
• Konsep: menyebarkan Kluster Big Data SQL Server dalam mode Direktori Aktif