Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
SQL Server 2019 (15.x)
В этом документе объясняется, как подготовиться к развертыванию кластера больших данных SQL Server в режиме проверки подлинности Active Directory. Кластер использует существующий домен AD для проверки подлинности.
Important
Кластеры больших данных Microsoft SQL Server 2019 прекращены. Поддержка кластеров больших данных SQL Server 2019 закончилась с 28 февраля 2025 г. Дополнительные сведения см. в записи блога объявлений и параметрах больших данных на платформе Microsoft SQL Server.
Note
До выпуска SQL Server 2019 CU5 существует ограничение в кластерах больших данных, чтобы только один кластер мог быть развернут в домене Active Directory. Это ограничение удаляется с выпуском CU5, см. раздел "Концепция: развертывание кластеров больших данных SQL Server в режиме Active Directory" для получения подробной информации о новых возможностях. Примеры в этой статье корректируются для обоих сценариев развертывания.
Background
Чтобы включить проверку подлинности Active Directory (AD), кластер больших данных автоматически создает пользователей, группы, учетные записи машин и имена субъектов-служб (SPN), необходимые различным службам в кластере. Чтобы обеспечить контроль над этими учетными записями и разрешить ограничение прав доступа, мы рекомендуем создать организационную единицу (OU) до развертывания кластера. Все объекты AD, связанные с кластером больших данных, будут созданы во время развертывания.
Prerequisites
Подразделение
Подразделение (OU) — это подразделение в Active Directory, в котором размещаются пользователи, группы и даже другие организационные подразделения. Большая картина: подразделения можно использовать для зеркального отображения функциональной или бизнес-структуры организации. В этой статье мы создадим организационную единицу, называемую bdc в качестве примера.
Note
Подразделение (OU) представляет административные границы и позволяет клиентам управлять областью полномочий администраторов данных.
Вы можете следовать принципам проектирования OU, чтобы определить наилучшую структуру для работы с подразделениями в вашей организации.
Учетная запись AD для учетной записи службы домена кластера больших данных
Чтобы автоматически создавать все необходимые объекты в Active Directory, кластер больших данных должен иметь учетную запись AD с определенными разрешениями для создания пользователей, групп и учетных записей компьютеров в предоставленном подразделении. В этой статье объясняется, как настроить разрешения для этой учетной записи AD. Мы используем учетную запись AD, называемую bdcDSA в качестве примера в этой статье.
Автоматически созданные объекты Active Directory
Развертывание кластеров больших данных автоматически создает имена учетных записей и групп. Каждая учетная запись представляет службу и будет управляться кластером больших данных на протяжении всего времени существования кластера больших данных, где используется кластер больших данных. Эти учетные записи содержат добавленные SPN, необходимые каждой службе. Полный список автоматически созданных учетных записей, групп и служб AD, управляемых ими, см. в разделе "Автоматически созданные объекты Active Directory".
Important
В зависимости от политики истечения срока действия пароля в контроллере домена срок действия паролей для этих учетных записей может истекает. Нет механизма автоматического смены учетных данных для всех учетных записей в кластере больших данных, поэтому кластер станет неработоспособным после выполнения срока действия. Можно использовать azdata bdc rotate для смены паролей автоматически созданных учетных записей AD для кластера больших данных. Дополнительные сведения см. в статье azdata-bdc-rotate. Добавьте эту команду в скрипты автоматизации или пайплайны во время процесса повышения безопасности.
Создание объектов AD
Прежде чем развертывать кластер больших данных с интеграцией AD, сделайте следующее:
- Создайте подразделение организации для хранения всех объектов AD, связанных с кластером больших данных. Кроме того, можно выбрать существующую организационную единицу при развертывании.
- Создайте учетную запись AD для кластера больших данных или используйте существующую учетную запись AD и укажите правильные разрешения внутри предоставленного подразделения организации.
Создание пользователя в AD для учетной записи службы домена кластера больших данных
Для кластера больших данных требуется учетная запись с определенными разрешениями. Прежде чем продолжить, убедитесь, что у вас есть учетная запись AD или создайте новую учетную запись, которую кластер больших данных может использовать для настройки необходимых объектов.
Чтобы создать нового пользователя в АД, щелкните правой кнопкой мыши домен или организационную единицу (ОЕ) и выберите Новый>Пользователь:
В этой статье этот пользователь называется учетной записью службы домена кластера больших данных или DSA.
Создайте OU
На контроллере домена откройте active Directory Users and Computers. На левой панели щелкните правой кнопкой мыши каталог, в котором нужно создать подразделение, и выберите "Создать>подразделение", а затем следуйте инструкциям мастера, чтобы создать подразделение. В качестве альтернативы, можно создать организационное подразделение с помощью PowerShell.
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
В примерах, приведённых в этой статье, используется bdc для имени организационной единицы.
Настройка разрешений для учетной записи AD
Независимо от того, создали ли вы нового пользователя AD или используете существующего пользователя AD, есть определенные разрешения, необходимые пользователю. Эта учетная запись — это учетная запись пользователя, которую использует контроллер кластера больших данных при присоединении кластера к AD. DSA должна иметь возможность создавать пользователей, группы и учетные записи компьютеров в организационной единице. В следующих шагах мы назвали учетную запись службы домена кластера больших данных bdcDSA.
Important
Вы можете выбрать любое имя для DSA, но не рекомендуется изменять имя учетной записи после развертывания кластера больших данных.
На контроллере домена откройте Active Directory Users and Computers
На левой панели перейдите к вашему домену, а затем к организационной единице, которая задействована
bdcЩелкните правой кнопкой мыши на OU и выберите "Свойства".
Перейдите на вкладку "Безопасность" (убедитесь, что вы выбрали дополнительные функции, щелкнув правой кнопкой мыши на Организационной единице (OU) и выбрав "Просмотр")
Выберите "Добавить... и добавьте пользователя bdcDSA "
Выберите пользователя bdcDSA и очистите все разрешения, а затем нажмите кнопку "Дополнительно"
Select Add
Выберите "Выбрать участника", вставить bdcDSA и нажмите кнопку "ОК"
Задать типдля разрешения
Установка применяется кэтому объекту и ко всем объектам-потомком
Прокрутите вниз вниз и нажмите кнопку "Очистить все"
Прокрутите вниз до верхней части экрана и выберите:
- Чтение всех свойств
- запись всех свойств
- Создание объектов компьютера
- Удаление объектов компьютера
- Создать объекты группы
- Удаление объектов группы
- Создание объектов user
- Удаление объектов User
Select OK
Select Add
Выберите "Выбрать участника", вставить bdcDSA и нажмите кнопку "ОК"
Задать типдля разрешения
Установить применяется кобъектам компьютеров-потомков
Прокрутите вниз вниз и нажмите кнопку "Очистить все"
Прокрутите страницу вверху и выберите "Сбросить пароль"
Select OK
Select Add
Выберите "Выбрать участника", вставить bdcDSA и нажмите кнопку "ОК"
Задать типдля разрешения
Установка применяется кобъектам Нисходящих пользователей
Прокрутите вниз вниз и нажмите кнопку "Очистить все"
Прокрутите страницу вверху и выберите "Сбросить пароль"
Select OK
Нажмите кнопку "ОК " дважды больше, чтобы закрыть диалоговое окно открытия