自动生成的 Active Directory 对象密码轮换

  • 项目

适用于: SQL Server 2019 (15.x)

本文介绍如何轮换与 Active Directory 集成的大数据群集中 Active Directory 对象的密码。

重要

Microsoft SQL Server 2019 大数据群集附加产品将停用。 对 SQL Server 2019 大数据群集的支持将于 2025 年 2 月 28 日结束。 具有软件保障的 SQL Server 2019 的所有现有用户都将在平台上获得完全支持,在此之前,该软件将继续通过 SQL Server 累积更新进行维护。 有关详细信息,请参阅公告博客文章Microsoft SQL Server 平台上的大数据选项

概述

借助 Active Directory 集成部署大数据群集时,SQL Server 在大数据群集部署期间创建了 Active Directory (AD) 帐户和组。 有关这些 AD 帐户和组的详细信息,请参阅自动生成的 Active Directory 对象。 这些对象通常位于部署配置文件配置中提供的组织单位 (OU) 中。

企业客户面临的最大挑战之一是安全强化。 对于许多客户而言,需要设置密码过期策略,使管理员可以设置一段时间内的用户密码过期时间。 对于大数据群集,在过去需要手动轮换这些自动生成的 Active Directory 对象的密码。

为了应对上述挑战,CU13 中引入了自动生成的 AD 对象的密码自动轮换功能。

无论顺序如何,都需要执行以下两个步骤才能完成密码自动轮换:

1. 使用 azdata 命令轮换密码

使用以下 azdata 命令更新自动生成的密码。 有关 azdata bdc rotate 的详细信息,请参阅 azdata 参考

   azdata bdc rotate -n <clusterName>

这会启动控制平面升级,然后进行大数据群集升级。 对于每次轮换,将生成一个目标 AD 凭据版本,以标识跨多个服务或密码轮换的不同迭代的相同轮换。 对于每项服务,如果它包含生成的密码,则将在域控制器中更新新生成的密码。 密码长度为 32 个字符,至少包含一个大写字符、一个小写字符和一个数字。 特殊字符不是必需的。 然后,将重新启动相应的 Pod。

2. 为域服务帐户 (DSA) 轮换密码

使用 PASS001 - Update Administrator Domain Controller Password 笔记本更新 SQL Server 大数据群集 DSA 密码。 有关此笔记本和其他群集管理笔记本的详细信息,请参阅适用于 SQL Server 大数据群集的操作笔记本。 你可以手动更新 DSA 密码,因为大数据群集不会对其进行管理。 更改后,提供 DSA 管理员用户名和密码作为笔记本的环境变量参数。

重要

密码轮换和大数据群集升级可能需要一些时间才能完成,具体取决于网络速度、Pod 数量等。 密码轮换是单独的过程,不能与群集升级操作或 DSA 密码轮换并行完成。

后续步骤