Share via

SQL Server, включенный Azure Arc в проверке подлинности Active Directory с помощью ключей, управляемых системой, — предварительные требования

  • Статья

В этом документе объясняется, как подготовиться к развертыванию служб данных с поддержкой Azure Arc с проверкой подлинности Active Directory (AD). В частности, в статье описаны объекты Active Directory, которые необходимо настроить перед развертыванием ресурсов Kubernetes.

Введение описывает два разных режима интеграции:

  • Режим ключей, управляемый системой, позволяет системе создавать учетные записи AD и управлять ими для каждого Управляемый экземпляр SQL.
  • Режим ключей, управляемый клиентом, позволяет создавать учетные записи AD и управлять ими для каждого Управляемый экземпляр SQL.

Требования и рекомендации отличаются для двух режимов интеграции.

Объект Active Directory keytab под управлением клиента keytab под управлением системы
Подразделение (подразделение) Рекомендуемая конфигурация Обязательное поле
Учетная запись службы домена Active Directory (DSA) для Подключение Active Directory Необязательное Обязательное поле
Учетная запись Active Directory для Управляемый экземпляр SQL Создано для каждого управляемого экземпляра Система создает учетную запись AD для каждого управляемого экземпляра

Учетная запись DSA — режим ключей, управляемый системой

Чтобы автоматически создавать все необходимые объекты в Active Directory, ad Подключение or требует учетной записи службы домена (DSA). DSA — это учетная запись Active Directory, которая имеет определенные разрешения на создание, управление и удаление учетных записей пользователей в предоставленном подразделении. В этой статье объясняется, как настроить разрешение этой учетной записи Active Directory. Примеры вызывают учетную запись arcdsa DSA в качестве примера в этой статье.

Автоматически созданные объекты Active Directory

Развертывание Управляемый экземпляр SQL с поддержкой Arc автоматически создает учетные записи в режиме ключей, управляемом системой. Каждая из учетных записей представляет Управляемый экземпляр SQL и управляется системой в течение всего времени существования SQL. Эти учетные записи принадлежат имена субъектов-служб , необходимые каждому SQL.

В описанных ниже действиях предполагается, что у вас уже есть контроллер домена Active Directory. Если у вас нет контроллера домена, полезные пошаговые инструкции содержатся в следующем руководстве.

Создание объектов Active Directory

Прежде чем развертывать Управляемый экземпляр SQL с поддержкой Arc, выполните следующие действия.

  1. Создайте подразделение (OU) для всех объектов AD с поддержкой Arc Управляемый экземпляр SQL. Кроме того, можно выбрать существующую подразделение при развертывании.
  2. Создайте учетную запись AD для Подключение ора AD или используйте существующую учетную запись и укажите соответствующие разрешения для подразделения, созданного на предыдущем шаге.

Создание подразделения

Для режима ключей, управляемого системой, требуется назначенная подразделение. Для режима ключей, управляемых клиентом, рекомендуется использовать подразделение.

На контроллере домена откройте Пользователи и компьютеры Active Directory. На левой панели щелкните правой кнопкой мыши каталог, в котором нужно создать подразделение, и выберите команду Создать>Подразделение, а затем следуйте указаниям мастера, чтобы создать подразделение. Кроме того, можно создать подразделение с помощью PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

В примерах, приведенных в этой статье, для имени подразделения используется значение arcou.

Screenshot of Active Directory Users and computers menu.

Screenshot of new object - organizational unit dialog.

Создание учетной записи службы домена (DSA)

Для режима ключей, управляемого системой, требуется учетная запись службы домена AD.

Создайте пользователя Active Directory, который будет использоваться в качестве учетной записи службы домена. Для этой учетной записи требуются определенные разрешения. Убедитесь, что у вас есть существующая учетная запись Active Directory или создайте новую учетную запись, которую Управляемый экземпляр SQL с поддержкой Arc, можно использовать для настройки необходимых объектов.

Чтобы создать нового пользователя в AD, можно щелкнуть правой кнопкой мыши домен или подразделение и выбрать Новый>пользователь:

Screenshot of user properties.

Эта учетная запись будет называться arcdsa в этой статье.

Настройка разрешений для DSA

Для режима ключей, управляемого системой, необходимо задать разрешения для DSA.

Независимо от того, создали ли вы новую учетную запись для DSA или используете существующую учетную запись пользователя Active Directory, есть определенные разрешения, необходимые для учетной записи. Учетная запись DSA должна иметь возможность создавать пользователей, группы и учетные записи компьютеров в подразделении. В следующих шагах имя arcdsaучетной записи службы домена с поддержкой Arc Управляемый экземпляр SQL.

Важно!

Вы можете выбрать любое имя для DSA, но не рекомендуется изменять имя учетной записи после развертывания ad Подключение or.

  1. На контроллере домена откройте Пользователи и компьютеры Active Directory, щелкните "Вид", выберите "Дополнительные функции"

  2. На панели слева перейдите к своему домену, а затем к подразделению, которое arcou будет использовать.

  3. Щелкните подразделение правой кнопкой мыши и выберите пункт Свойства.

Примечание.

Убедитесь, что вы выбрали расширенные функции , щелкнув правой кнопкой мыши подразделение и выбрав "Вид"

  1. Перейдите на вкладку "Безопасность". Выберите дополнительные функции правой кнопкой мыши в подразделении и выберите "Вид".

    AD object properties

  2. Выберите "Добавить... и добавьте пользователя arcdsa ".

    Screenshot of add user dialog.

  3. Выберите пользователя arcdsa и очистите все разрешения, а затем нажмите кнопку "Дополнительно".

  4. Выберите Добавить

    • Выберите "Выбрать участника", вставить arcdsa и нажмите кнопку "ОК".

    • Задайте для параметра "Тип ", чтобы разрешить.

    • Задайте для этого объекта и всех потомков.

      Screenshot of permission entries.

    • Прокрутите вниз вниз и нажмите кнопку "Очистить все".

    • Снова прокрутите вверх и выберите:

      • Чтение всех свойств
      • Запись всех свойств
      • Создание объектов "Пользователь"
      • Удаление пользовательских объектов

    • Нажмите ОК.

  5. Выберите Добавить.

    • Выберите "Выбрать участника", вставить arcdsa и нажмите кнопку "ОК".

    • Задайте для параметра "Тип ", чтобы разрешить.

    • Установка применяется кобъектам потомков пользователей.

    • Прокрутите вниз вниз и нажмите кнопку "Очистить все".

    • Прокрутите страницу вниз до верхней части экрана и нажмите кнопку "Сбросить пароль".

    • Нажмите ОК.

  • Нажмите кнопку "ОК " еще дважды, чтобы закрыть диалоговые окна.

Связанный контент