Program SQL Server włączony przez usługę Azure Arc w usłudze Active Directory z kartą klucza zarządzanego przez system — wymagania wstępne
W tym dokumencie wyjaśniono, jak przygotować się do wdrożenia usług danych z obsługą usługi Azure Arc przy użyciu uwierzytelniania usługi Active Directory (AD). W szczególności w artykule opisano obiekty usługi Active Directory, które należy skonfigurować przed wdrożeniem zasobów platformy Kubernetes.
Wprowadzenie opisuje dwa różne tryby integracji:
- Tryb karty kluczy zarządzanych przez system umożliwia systemowi tworzenie kont usługi AD i zarządzanie nimi dla każdego wystąpienia zarządzanego SQL.
- Tryb karty kluczy zarządzany przez klienta umożliwia tworzenie kont usługi AD dla każdego wystąpienia zarządzanego SQL i zarządzanie nimi.
Wymagania i zalecenia różnią się w przypadku dwóch trybów integracji.
| Obiekt usługi Active Directory | Kartę klucza zarządzanego przez klienta | Kartę klucza zarządzanego przez system |
|---|---|---|
| Jednostka organizacyjna (OU) | Zalecane | Wymagania |
| Konto usługi domenowej Active Directory (DSA) dla łącznika usługi Active Directory | Niewymagane | Wymagania |
| Konto usługi Active Directory dla usługi SQL Managed Instance | Utworzone dla każdego wystąpienia zarządzanego | System tworzy konto usługi AD dla każdego wystąpienia zarządzanego |
Konto DSA — tryb kart kluczy zarządzany przez system
Aby można było automatycznie utworzyć wszystkie wymagane obiekty w usłudze Active Directory, łącznik usługi AD wymaga konta usługi domenowej (DSA). DSA to konto usługi Active Directory, które ma określone uprawnienia do tworzenia kont użytkowników, zarządzania nimi i usuwania ich w ramach podanej jednostki organizacyjnej. W tym artykule wyjaśniono, jak skonfigurować uprawnienia tego konta usługi Active Directory. Przykłady nazywają konto arcdsa DSA przykładem w tym artykule.
Automatycznie generowane obiekty usługi Active Directory
Wdrożenie usługi SQL Managed Instance z obsługą usługi Arc automatycznie generuje konta w trybie karty kluczy zarządzanych przez system. Każde z kont reprezentuje wystąpienie zarządzane SQL i będzie zarządzane przez system przez cały okres istnienia bazy danych SQL. Te konta są właścicielami głównych nazw usług (SPN) wymaganych przez poszczególne bazy danych SQL.
W poniższych krokach przyjęto założenie, że masz już kontroler domeny usługi Active Directory. Jeśli nie masz kontrolera domeny, poniższy przewodnik zawiera kroki, które mogą być przydatne.
Tworzenie obiektów usługi Active Directory
Przed wdrożeniem wystąpienia zarządzanego SQL z obsługą usługi Arc przy użyciu uwierzytelniania usługi AD wykonaj następujące czynności:
- Utwórz jednostkę organizacyjną dla wszystkich obiektów usługi AD powiązanych z usługą SQL Managed Instance z obsługą usługi Arc. Alternatywnie możesz wybrać istniejącą jednostkę organizacyjną podczas wdrażania.
- Utwórz konto usługi AD dla łącznika usługi AD lub użyj istniejącego konta i podaj odpowiednie uprawnienia do jednostki organizacyjnej utworzonej w poprzednim kroku.
Tworzenie jednostki organizacyjnej
Tryb kart kluczy zarządzanych przez system wymaga wyznaczonej jednostki organizacyjnej. W przypadku trybu tab kluczy zarządzanych przez klienta zalecana jest jednostka organizacyjna.
Na kontrolerze domeny otwórz Użytkownicy i komputery usługi Active Directory. Na panelu po lewej stronie kliknij prawym przyciskiem myszy katalog, w którym chcesz utworzyć jednostkę organizacyjną, a następnie wybierz pozycję Nowa>jednostka organizacyjna, a następnie postępuj zgodnie z monitami kreatora, aby utworzyć jednostkę organizacyjną. Alternatywnie możesz utworzyć jednostkę organizacyjną za pomocą programu PowerShell:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
Przykłady w tym artykule są używane arcou dla nazwy jednostki organizacyjnej.
Tworzenie konta usługi domeny (DSA)
W przypadku trybu kart kluczy zarządzanych przez system potrzebne jest konto usługi domenowej usługi AD.
Utwórz użytkownika usługi Active Directory, który będzie używany jako konto usługi domeny. To konto wymaga określonych uprawnień. Upewnij się, że masz istniejące konto usługi Active Directory lub utwórz nowe konto, którego usługa SQL Managed Instance z obsługą usługi Arc może użyć do skonfigurowania niezbędnych obiektów.
Aby utworzyć nowego użytkownika w usłudze AD, możesz kliknąć prawym przyciskiem myszy domenę lub jednostkę organizacyjną i wybrać pozycję Nowy>użytkownik:
To konto będzie nazywane arcdsa w tym artykule.
Ustawianie uprawnień dla dsa
W przypadku trybu kart kluczy zarządzanych przez system należy ustawić uprawnienia dla dsa.
Niezależnie od tego, czy utworzono nowe konto dla dsa, czy też używasz istniejącego konta użytkownika usługi Active Directory, istnieją pewne uprawnienia, które musi mieć konto. DsA musi mieć możliwość tworzenia użytkowników, grup i kont komputerów w jednostki organizacyjnej. W poniższych krokach nazwa konta usługi domeny usługi SQL Managed Instance z obsługą usługi ARC to arcdsa.
Ważne
Możesz wybrać dowolną nazwę dsa, ale nie zalecamy zmiany nazwy konta po wdrożeniu łącznika usługi AD.
Na kontrolerze domeny otwórz Użytkownicy i komputery usługi Active Directory, kliknij pozycję Widok, wybierz pozycję Funkcje zaawansowane
W panelu po lewej stronie przejdź do domeny, a następnie jednostka organizacyjna, która
arcoubędzie używaćKliknij prawym przyciskiem myszy jednostkę organizacyjną i wybierz polecenie Właściwości.
Uwaga
Upewnij się, że wybrano pozycję Funkcje zaawansowane, klikając prawym przyciskiem myszy jednostkę organizacyjną i wybierając pozycję Widok
Przejdź do karty Zabezpieczenia. Wybierz pozycję Funkcje zaawansowane kliknij prawym przyciskiem myszy jednostkę organizacyjną, a następnie wybierz pozycję Wyświetl.
Wybierz pozycję Dodaj... i dodaj użytkownika arcdsa .
Wybierz użytkownika arcdsa i wyczyść wszystkie uprawnienia, a następnie wybierz pozycję Zaawansowane.
Wybierz Dodaj
Wybierz pozycję Wybierz jednostkę, wstaw arcdsa, a następnie wybierz przycisk OK.
Ustaw wartość Typ na Zezwalaj.
Ustaw dotyczy tego obiektu i wszystkich obiektów potomnych.
Przewiń w dół do dołu i wybierz pozycję Wyczyść wszystko.
Przewiń z powrotem do góry i wybierz:
- Odczytywanie wszystkich właściwości
- Zapisz wszystkie właściwości
- Tworzenie obiektów użytkownika
- Usuwanie obiektów użytkownika
Wybierz przycisk OK.
Wybierz Dodaj.
Wybierz pozycję Wybierz jednostkę, wstaw arcdsa, a następnie wybierz przycisk OK.
Ustaw wartość Typ na Zezwalaj.
Ustaw dotyczy obiektów użytkownika podrzędnego.
Przewiń w dół do dołu i wybierz pozycję Wyczyść wszystko.
Przewiń z powrotem do góry i wybierz pozycję Resetuj hasło.
Wybierz przycisk OK.
- Wybierz przycisk OK dwa razy więcej, aby zamknąć otwarte okna dialogowe.
Powiązana zawartość
- Wdrażanie łącznika usługi Active Directory (AD) zarządzanego przez klienta
- Wdrażanie łącznika usługi Active Directory (AD) zarządzanego przez system
- Wdrażanie wystąpienia zarządzanego SQL włączonego przez usługę Azure Arc w usłudze Active Directory (AD)
- Nawiązywanie połączenia z wystąpieniem zarządzanym SQL włączonym przez usługę Azure Arc przy użyciu uwierzytelniania usługi Active Directory