자동 생성된 Active Directory 개체 암호 순환

  • 아티클

적용 대상: SQL Server 2019(15.x)

이 문서에서는 Active Directory와 통합된 빅 데이터 클러스터에서 Active Directory 개체의 암호 순환 방법을 설명합니다.

Important

Microsoft SQL Server 2019 빅 데이터 클러스터 추가 기능이 사용 중지됩니다. SQL Server 2019 빅 데이터 클러스터에 대한 지원은 2025년 2월 28일에 종료됩니다. Software Assurance를 사용하는 SQL Server 2019의 모든 기존 사용자는 플랫폼에서 완전히 지원되며, 소프트웨어는 지원 종료 시점까지 SQL Server 누적 업데이트를 통해 계속 유지 관리됩니다. 자세한 내용은 공지 블로그 게시물Microsoft SQL Server 플랫폼의 빅 데이터 옵션을 참조하세요.

개요

Active Directory 통합을 사용하여 빅 데이터 클러스터를 배포하는 경우 빅 데이터 클러스터 배포 중에 SQL Server에서 만드는 AD(Active Directory) 계정 및 그룹이 있습니다. 이러한 AD 계정 및 그룹에 대한 자세한 내용은 자동 생성된 Active Directory 개체를 참조하세요. 이러한 개체는 일반적으로 배포 프로필 구성의 제공된 OU(조직 구성 단위)에서 찾을 수 있습니다.

엔터프라이즈 고객이 직면한 가장 큰 과제 중 하나는 보안 강화입니다. 많은 고객의 경우 관리자가 시간 경과에 따라 사용자 암호 만료를 설정할 수 있도록 암호 만료 정책을 설정해야 합니다. 빅 데이터 클러스터의 경우 전에는 자동 생성된 Active Directory 개체에 대해 수동으로 암호를 순환해야 했습니다.

앞서 설명한 과제를 해결하기 위해 자동 생성된 AD 개체에 대한 암호 자동 순환이 CU13에 도입되었습니다.

암호 자동 순환을 완료하려면 시퀀스에 관계없이 다음 두 가지 단계가 필요합니다.

1. azdata 명령을 사용하여 암호 순환

다음 azdata 명령을 사용하여 자동 생성된 암호를 업데이트합니다. azdata bdc rotate에 대한 자세한 내용은 azdata 참조를 참조하세요.

   azdata bdc rotate -n <clusterName>

그러면 컨트롤 플레인 업그레이드와 뒤이어 빅 데이터 클러스터 업그레이드가 시작됩니다. 각 순환에 대해 대상 AD 자격 증명 버전이 생성되어 여러 서비스에서 또는 암호 순환의 서로 다른 반복에서 동일한 순환을 식별합니다. 각 서비스가 생성된 암호를 포함하는 경우 생성되는 새 암호는 도메인 컨트롤러에서 업데이트됩니다. 암호의 길이는 32자이며 최소 대문자 1개, 소문자 1개, 숫자 1개를 포함합니다. 특수 문자는 보장되지 않습니다. 그러면 해당하는 Pod가 다시 시작됩니다.

2. DSA(도메인 서비스 계정)의 암호 순환

PASS001 - Update Administrator Domain Controller Password Notebook을 사용해 SQL Server 빅 데이터 클러스터 DSA 암호를 업데이트합니다. 이 Notebook 및 기타 클러스터 관리 Notebook에 대 한 자세한 내용은 SQL Server 빅 데이터 클러스터용 운영 Notebook을 참조하세요. 빅 데이터 클러스터가 관리하지 않으므로 DSA 암호를 수동으로 업데이트할 수 있습니다. 변경이 완료되면 Notebook에 대한 환경 매개 변수로 DSA 관리자의 사용자 이름 및 암호를 제공합니다.

Important

네트워크 속도, Pod 수 등에 따라 암호 순환 및 빅 데이터 클러스터 업그레이드를 완료하는 데 다소 시간이 걸릴 수 있습니다. 암호 순환은 별도의 프로세스이며 클러스터 업그레이드 작업 또는 DSA 암호 순환과 병렬로 수행할 수 없습니다.

다음 단계