Distribuire SQL Server cluster Big Data in modalità Active Directory: Prerequisiti

Si applica a: SQL Server 2019 (15.x)

Questo documento illustra come preparare la distribuzione di un cluster Big Data SQL Server nella modalità di autenticazione di Active Directory. Il cluster usa un dominio di Active Directory esistente per l'autenticazione.

Importante

Il componente aggiuntivo microsoft SQL Server 2019 cluster Big Data verrà ritirato. Il supporto per SQL Server 2019 cluster Big Data terminerà il 28 febbraio 2025. Per altre informazioni, vedere Opzioni Big Data sulla piattaforma Microsoft SQL Server.

Nota

Prima di SQL Server 2019 CU5, i cluster Big Data prevedevano una restrizione per cui era possibile distribuire un solo cluster in un dominio di Active Directory. Questa restrizione viene rimossa con la versione CU5, vedere Concetto: distribuire SQL Server cluster Big Data in modalità Active Directory per informazioni dettagliate sulle nuove funzionalità. Gli esempi in questo articolo sono stati modificati per adattarsi a entrambi i casi d'uso di distribuzione.

Background

Per abilitare l'autenticazione di Active Directory (AD), il cluster Big Data crea automaticamente gli utenti, i gruppi, gli account computer e i nomi dell'entità servizio (SPN) necessari ai vari servizi del cluster. Per fornire alcune autorizzazioni di contenimento di questi account e consentire le autorizzazioni di ambito, è consigliabile creare un'unità organizzativa (OU) prima della distribuzione del cluster. Tutti gli oggetti AD correlati al cluster Big Data verranno creati durante la distribuzione.

Prerequisiti

Unità organizzativa (OU)

Un'unità organizzativa è una suddivisione all'interno di Active Directory in cui posizionare utenti, gruppi e persino altre unità organizzative. Le unità organizzative di grandi dimensioni possono essere usate per eseguire il mirroring di una struttura funzionale o aziendale di un'organizzazione. In questo articolo verrà creata un'unità organizzativa denominata bdc come esempio.

Nota

L'unità organizzativa rappresenta i confini amministrativi e consente ai clienti di controllare l'ambito di autorità degli amministratori dei dati.

È possibile seguire i principi di progettazione delle unità organizzative per scegliere la struttura ottimale per l'utilizzo delle unità organizzative all'interno dell'organizzazione.

Account AD per l'account del servizio di dominio del cluster Big Data

Per poter creare automaticamente tutti gli oggetti necessari in Active Directory, il cluster Big Data necessita di un account AD che dispone di autorizzazioni specifiche per creare utenti, gruppi e account computer all'interno dell'unità organizzativa fornita. Questo articolo illustra come configurare l'autorizzazione dell'account AD. In questo articolo viene usata una chiamata all'account AD bdcDSA come esempio.

Oggetti di Active Directory generati automaticamente

cluster Big Data distribuzione genera automaticamente nomi di account e gruppi. Ognuno degli account rappresenta un servizio e verrà gestito dal cluster Big Data durante tutta la durata in cui è in uso il cluster Big Data. Gli account sono proprietari dei nomi dell'entità servizio (SPN) richiesti da ogni servizio. Per un elenco completo di account, gruppi e servizi generati automaticamente da Active Directory, vedere Oggetti Active Directory generati automaticamente.

Importante

In base ai criteri di scadenza delle password impostati nel controller di dominio, le password per questi account possono scadere. Non esiste alcun meccanismo per ruotare automaticamente le credenziali per tutti gli account nel cluster Big Data, quindi il cluster diventerà inoperabile una volta raggiunto il periodo di scadenza. È possibile usare azdata bdc rotate per ruotare le password degli account AD generati automaticamente per il cluster Big Data. Per altre informazioni, vedere azdata-bdc-rotate. È possibile aggiungere questo comando agli script di automazione o alle pipeline come parte del processo di protezione avanzata.

La procedura seguente presuppone l'esistenza di un controller di dominio Active Directory. Se non è presente alcun controller di dominio, la guida seguente include alcuni passaggi che possono essere utili.

Creare oggetti di Active Directory

Eseguire le operazioni seguenti prima di distribuire un cluster Big Data con l'integrazione di ACTIVE Directory:

  1. Creare un'unità organizzativa (OU) in cui verranno archiviati tutti gli oggetti AD correlati al cluster Big Data. In alternativa, è possibile scegliere un'unità organizzativa esistente in fase di distribuzione.
  2. Creare un account ACTIVE Directory per il cluster Big Data o usare un account esistente e fornire l'account AD le autorizzazioni appropriate all'interno dell'unità organizzativa fornita.

Creare un utente in AD per l'account del servizio di dominio del cluster Big Data

Il cluster Big Data deve avere un account con autorizzazioni specifiche. Prima di continuare, assicurarsi che sia già presente un account Active Directory oppure crearne uno nuovo, che può essere usato dal cluster Big Data per configurare gli oggetti necessari.

Per creare un nuovo utente in Active Directory, è possibile fare clic con il pulsante destro del mouse sul dominio o sull'unità organizzativa e scegliere Nuovo>Utente:

Finestra di dialogo degli utenti di Active Directory

Questo utente verrà definito account del servizio di dominio del cluster Big Data o DSA in questo articolo.

Creare un'unità organizzativa

Nel controller di dominio aprire Utenti e computer di Active Directory. Nel pannello sinistro fare clic con il pulsante destro del mouse sulla directory in cui si vuole creare l'unità organizzativa e selezionare Nuova>unità organizzativa, quindi seguire le istruzioni della procedura guidata per creare l'unità organizzativa. In alternativa, è possibile creare un'unità organizzativa con PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

Gli esempi in questo articolo usano bdc per il nome dell'unità organizzativa.

Unità organizzativa di Active Directory

Nuovo oggetto - Unità organizzativa

Impostare le autorizzazioni per un account di AD

Se è stato creato un nuovo utente di Active Directory o se ne usa uno esistente, l'utente deve avere determinate autorizzazioni. Questo account è l'account utente che il controller del cluster Big Data userà quando si aggiunge il cluster ad AD. DSA deve essere in grado di creare utenti, gruppi e account computer nell'unità organizzativa. Nei passaggi seguenti è stato denominato l'account bdcDSAdel servizio di dominio del cluster Big Data.

Importante

È possibile scegliere qualsiasi nome per DSA, ma non è consigliabile modificare il nome dell'account dopo la distribuzione del cluster Big Data.

  1. Nel controller di dominio aprire Utenti e computer di Active Directory

  2. Nel pannello sinistro passare al dominio, quindi all'unità organizzativa che verrà usata da bdc

  3. Fare clic con il pulsante destro del mouse sull'unità organizzativa e scegliere Proprietà.

  4. Passare alla scheda Sicurezza, assicurandosi di aver selezionato Funzionalità avanzate, di avere fatto clic con il pulsante destro del mouse sull'unità organizzativa e quindi di avere scelto Visualizza

    Proprietà degli oggetti BDC

  5. Selezionare Aggiungi e aggiungere l'utente bdcDSA

    Aggiungere le proprietà degli oggetti BDC

    Selezionare un oggetto

  6. Selezionare l'utente bdcDSA e cancellare tutte le autorizzazioni, quindi selezionare Avanzate

  7. Selezionare Aggiungi

    Selezionare Aggiungi

    • Selezionare Selezionare un'entità, inserire bdcDSA e selezionare Ok

    • Impostare Tipo su Consenti

    • Impostare Si applica a su Questo oggetto e tutti i discendenti

      Impostare Consenti per le proprietà

    • Scorrere verso il basso e selezionare Cancella tutto

    • Scorrere di nuovo verso l'alto e selezionare:

      • Leggi tutte le proprietà
      • Scrivi tutte le proprietà
      • Crea oggetti computer
      • Delete Computer objects (Elimina oggetti computer)
      • Create Group objects (Crea oggetti di gruppo)
      • Delete Group objects (Elimina oggetti di gruppo)
      • Create User objects (Crea oggetti utente)
      • Elimina oggetti utente
    • Selezionare OK.

  • Selezionare Aggiungi

    • Selezionare Selezionare un'entità, inserire bdcDSA e selezionare Ok

    • Impostare Tipo su Consenti

    • Impostare Si applica a su Descendant Computer objects (Oggetti computer discendenti)

    • Scorrere verso il basso e selezionare Cancella tutto

    • Tornare all'inizio e selezionare Reimposta password

    • Selezionare OK.

  • Selezionare Aggiungi

    • Selezionare Selezionare un'entità, inserire bdcDSA e selezionare Ok

    • Impostare Tipo su Consenti

    • Impostare Si applica a su Descendant User objects (Oggetti utente discendenti)

    • Scorrere verso il basso e selezionare Cancella tutto

    • Tornare all'inizio e selezionare Reimposta password

    • Selezionare OK.

  • Selezionare OK due volte più per chiudere le finestre di dialogo aperte

Passaggi successivi

Distribuire un cluster Big Data di SQL Server in modalità Active Directory

Risolvere i problemi di integrazione di Active Directory di cluster Big Data di SQL Server

Concetto: distribuire SQL Server cluster Big Data in modalità Active Directory