次の方法で共有


Active Directory モードで SQL Server ビッグ データ クラスター を展開する: 前提条件

適用対象: SQL Server 2019 (15.x)

このドキュメントでは、SQL Server ビッグ データ クラスターの Active Directory 認証モードでの展開に向けて準備を行う方法について説明します。 クラスターでは、認証に既存の AD ドメインを使用します。

重要

Microsoft SQL Server 2019 ビッグ データ クラスターのアドオンは廃止されます。 SQL Server 2019 ビッグ データ クラスターのサポートは、2025 年 2 月 28 日に終了します。 ソフトウェア アシュアランス付きの SQL Server 2019 を使用する既存の全ユーザーはプラットフォームで完全にサポートされ、ソフトウェアはその時点まで SQL Server の累積更新プログラムによって引き続きメンテナンスされます。 詳細については、お知らせのブログ記事と「Microsoft SQL Server プラットフォームのビッグ データ オプション」を参照してください。

Note

SQL Server 2019 CU5 リリースの前は、ビッグ データ クラスターに制限があるため、Active Directory ドメインに対してデプロイできるクラスターは 1 つだけでした。 この制限は、CU5 リリースで削除されています。新しい機能の詳細については、概念: Active Directory モードで SQL Server ビッグ データ クラスター をデプロイする方法に関するページを参照してください。 この記事の例は、デプロイの両方のユース ケースに対応するように調整されています。

バックグラウンド

Active Directory (AD) 認証を有効にするために、ビッグ データ クラスターでは、クラスター内のさまざまなサービスで必要となるユーザー、グループ、コンピューター アカウント、サービス プリンシパル名 (SPN) が自動的に作成されます。 このようなアカウントを一部含め、スコーピングを許可するために、クラスター展開の前に組織単位 (OU) を作成することをお勧めします。 ビッグ データ クラスター関連のすべての AD オブジェクトは、展開中に作成されます。

前提条件

組織単位 (OU)

組織単位 (OU) は、ユーザー、グループ、およびその他の組織単位を配置する、Active Directory 内の区分です。 全体像: 組織単位を使用して組織の機能やビジネスの構造を反映することができます。 この記事では、例として bdc という名前の OU を作成します。

Note

組織単位 (OU) は管理上の境界を表し、お客様がデータ管理者の権限の範囲を制御できるようになります。

OU の設計原則に従って、組織内で OU を使用する際の最適な構造を決定することができます。

ビッグ データ クラスターのドメイン サービス アカウント用の AD アカウント

ビッグ データ クラスターには、Active Directory で必要なすべてのオブジェクトを自動的に作成できるようにするために、指定した組織単位 (OU) 内にユーザー、グループ、およびコンピューター アカウントを作成するための特定のアクセス許可を持つ AD アカウントが必要です。 この記事では、この AD アカウントのアクセス許可を構成する方法について説明します。 この記事では、例として bdcDSA という AD アカウントを使用します。

自動生成される Active Directory オブジェクト

ビッグ データ クラスターを展開すると、アカウントとグループ名が自動的に生成されます。 各アカウントは 1 つのサービスを表し、ビッグ データ クラスターが使用されている全有効期間にわたりビッグ データ クラスターによって管理されます。 これらのアカウントは、各サービスが必要とするサービス プリンシパル名 (SPN) を所有しています。 AD の自動生成されるアカウント、グループ、およびそれらによって管理されるサービスの完全な一覧については、「自動生成される Active Directory オブジェクト」をご覧ください。

重要

ドメイン コントローラーで設定されているパスワードの有効期限ポリシーによっては、これらのアカウントのパスワードの有効期限が切れることがあります。 ビッグ データ クラスター内のすべてのアカウントの資格情報を自動的にローテーションするメカニズムはないため、有効期限が切れるとクラスターは動作しなくなります。 azdata bdc rotate を使用して、ビッグ データ クラスターの自動生成された AD アカウントのパスワードをローテーションできます。 詳細については、azdata-bdc-rotate に関する記事を参照してください。 セキュリティ強化プロセス中に、このコマンドを自動化スクリプトまたはパイプラインに追加します。

AD オブジェクトの作成

AD 統合でビッグ データ クラスターを展開する前に、次の操作を行います。

  1. すべてのビッグ データ クラスター関連の AD オブジェクトを格納するための組織単位 (OU) を作成します。 または、デプロイ時に、既存の OU を選択することもできます。
  2. ビッグ データ クラスター用の AD アカウントを作成するか、既存のアカウントを使用し、この AD アカウントに指定した組織単位 (OU) の適切なアクセス許可を付与します。

ビッグ データ クラスターのドメイン サービス アカウント用に AD でユーザーを作成する

ビッグ データ クラスターには、特定のアクセス許可を持つアカウントが必要です。 続行する前に、既存の AD アカウントを持っていることを確認するか、新しいアカウントを作成します。このアカウントは、ビッグ データ クラスターで必要なオブジェクトを設定するために使用できます。

AD で新しいユーザーを作成するには、ドメインまたは OU を右クリックし、 [新規][ユーザー] の順に選択します。

Active Directory のユーザー ダイアログ

このユーザーは、この記事内で "ビッグ データ クラスターのドメイン サービス アカウント" または DSA と呼ばれます。

OU を作成する

ドメイン コントローラーで、 [Active Directory ユーザーとコンピューター] を開きます。 左側のパネルで、OU を作成するディレクトリを右クリックし、[新規]>[組織単位] の順に選択します。次に、ウィザードの指示に従って OU を作成します。 または、PowerShell で OU を作成できます。

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

この記事の例では、OU 名に bdc を使用しています。

Active Directory 組織単位

新しいオブジェクト - 組織単位

AD アカウントのアクセス許可を設定する

新しい AD ユーザーを作成したか、既存の AD ユーザーを使用しているかに関係なく、ユーザーには特定のアクセス許可を与える必要があります。 このアカウントは、クラスターを AD に参加させるとき、ビッグ データ クラスター コントローラーによって使用されるユーザー アカウントです。 DSA は、OU でユーザー、グループ、コンピューター アカウントを作成できる必要があります。 次の手順では、ビッグ データ クラスターのドメイン サービス アカウントに bdcDSA という名前を付けています。

重要

DSA には任意の名前を選択できますが、ビッグ データ クラスターの展開後にアカウント名を変更することは推奨されません。

  1. ドメイン コントローラーで、 [Active Directory ユーザーとコンピューター] を開きます。

  2. 左側のパネルでドメインに移動し、bdcで使用される OU に移動します。

  3. OU を右クリックし、 [プロパティ] を選択します。

  4. [セキュリティ] タブに移動します (OU を右クリックし、[表示] を選択し、[高度な機能] が選択されていることを確認してください)。

    BDC オブジェクトのプロパティ

  5. [追加...] を選択し、bdcDSA ユーザーを追加します

    BDC オブジェクトのプロパティを追加するスクリーンショット。

    オブジェクトを選択しているスクリーンショット。

  6. bdcDSA ユーザーを選択し、アクセス許可をすべて消去し、 [詳細] を選択します

  7. [追加] を選択します。

    追加を選択しているスクリーンショット

    • [プリンシパルの選択] を選択し、bdcDSA を挿入し、 [OK] を選択します

    • [種類][許可] に設定します。

    • [適用先][このオブジェクトとすべての子オブジェクト] に設定します。

      プロパティの設定を許可するスクリーンショット。

    • 一番下までスクロールし、 [すべて消去] を選択します

    • スクロールで一番上まで戻り、次を選択します。

      • すべてのプロパティの読み取り
      • すべてのプロパティの書き込み
      • コンピューター オブジェクトの作成
      • コンピューター オブジェクトの削除
      • グループ オブジェクトの作成
      • グループ オブジェクトの削除
      • ユーザー オブジェクトの作成
      • ユーザー オブジェクトの削除
    • [OK] を選択します。

  • [追加] を選択します。

    • [プリンシパルの選択] を選択し、bdcDSA を挿入し、 [OK] を選択します

    • [種類][許可] に設定します。

    • [適用先][Descendant Computer objects](子コンピューター オブジェクト) に設定します。

    • 一番下までスクロールし、 [すべて消去] を選択します

    • スクロールで一番上まで戻り、 [パスワードのリセット] を選択します。

    • [OK] を選択します。

  • [追加] を選択します。

    • [プリンシパルの選択] を選択し、bdcDSA を挿入し、 [OK] を選択します

    • [種類][許可] に設定します。

    • [適用先][Descendant User objects](子ユーザー オブジェクト) に設定します。

    • 一番下までスクロールし、 [すべて消去] を選択します

    • スクロールで一番上まで戻り、 [パスワードのリセット] を選択します。

    • [OK] を選択します。

  • [OK] をさらに 2 回選択して、開いているダイアログ ボックスを閉じます