在 Active Directory 模式下部署 SQL Server 大数据群集：Prerequisites

项目
03/22/2023

适用于： SQL Server 2019 (15.x)

本文档介绍如何准备在 Active Directory 身份验证模式下部署 SQL Server 大数据群集。群集使用现有 AD 域进行身份验证。

重要

Microsoft SQL Server 2019 大数据群集附加产品将停用。对 SQL Server 2019 大数据群集的支持将于 2025 年 2 月 28 日结束。具有软件保障的 SQL Server 2019 的所有现有用户都将在平台上获得完全支持，在此之前，该软件将继续通过 SQL Server 累积更新进行维护。有关详细信息，请参阅公告博客文章和 Microsoft SQL Server 平台上的大数据选项。

注意

在 SQL Server 2019 CU5 版本之前，对大数据群集进行了限制，以便只能针对 Active Directory 域部署一个群集。此限制已在 CU5 版本中删除，若要了解新功能的详细信息，请参阅概念：在 Active Directory 模式下部署 SQL Server 大数据群集。本文中的示例进行了调整以适应两种部署用例。

背景

若要启用 Active Directory (AD) 身份验证，大数据群集会自动创建群集中各种服务所需的用户、组、计算机帐户和服务主体名称 (SPN)。若要提供对这些帐户的一些控制并允许范围内权限，我们建议在群集部署之前创建一个组织单位 (OU)。将在部署期间创建所有与大数据群集相关的 AD 对象。

先决条件

组织单位 (OU)

组织单位 (OU) 是 Active Directory 中放置用户、组，甚至其他组织单位的细分。大图组织单位可用于镜像组织的功能或业务结构。本文将创建一个名为 bdc 的 OU 作为示例。

注意

组织单位 (OU) 表示管理边界，并使客户能够控制数据管理员的授权范围。

可以按照 OU 设计原则来决定使用组织中的 OU 的最佳结构。

大数据群集域服务帐户的 AD 帐户

为了能够自动在 Active Directory 中创建所有必需对象，大数据群集需要一个 AD 帐户，该帐户具有在提供的组织单位 (OU) 内创建用户、组和计算机帐户的特定权限。本文将介绍如何配置此 AD 帐户的权限。我们使用名为 bdcDSA 的 AD 帐户作为本文中的示例。

自动生成的 Active Directory 对象

大数据群集部署会自动生成帐户名和组名。每个帐户都代表大数据群集中的一个服务，并将在使用大数据群集的整个生存期内通过大数据群集进行管理。这些帐户拥有每个服务所需的服务主体名称 (SPN)。有关所管理的 AD 自动生成的帐户、组和服务的完整列表，请参阅自动生成的 Active Directory 对象。

重要

这些帐户的密码可能会过期，具体取决于域控制器中设置的密码过期策略。没有任何机制可以自动轮换大数据群集中所有帐户的凭据，因此一到过期时间，群集将变为不可操作。可以使用 azdata bdc rotate 来轮换为大数据群集自动生成的 AD 帐户的密码。有关详细信息，请参阅 azdata-bdc-rotate。可以将此命令添加到自动化脚本或管道，作为安全强化过程的一部分。

以下步骤假设已有一个 Active Directory 域控制器。如果没有域控制器，以下指南包含可提供帮助的步骤。

创建 AD 对象

在部署具有 AD 集成的大数据群集之前，请执行以下操作：

创建一个将在其中存储所有与大数据群集相关的 AD 对象的组织单位 (OU)。还可以选择在部署时选择现有 OU。
为大数据群集创建 AD 帐户或使用现有帐户，并在提供的组织单位 (OU) 中向此 AD 帐户提供正确的权限。

在 AD 中为大数据群集域服务帐户创建用户

大数据群集需要具有特定权限的帐户。在继续操作之前，请确保已有 AD 帐户或创建一个新帐户，大数据群集可以使用该帐户来设置必要的对象。

若要在 AD 中创建新用户，可以右键单击域或 OU，然后选择“新建”>“用户” ：

Active Directory 用户对话框

此用户在本文中称为“大数据群集域服务帐户”，简称 DSA 。

创建 OU

在域控制器上，打开“Active Directory 用户和计算机”。在左侧面板上，右键单击要在其下创建 OU 的目录，然后选择“新建”>“组织单位”，然后按照向导中的提示创建 OU。或者，可以使用 PowerShell 创建 OU：

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

本文中的示例使用 bdc 作为 OU 名称。

Active Directory 组织单位

新建对象 - 组织单位

设置 AD 帐户的权限

无论是创建新的 AD 用户还是使用现有的 AD 用户，用户都需要具有某些权限。此帐户是大数据群集控制器在将群集加入 AD 时将使用的用户帐户。 DSA 需要能够在 OU 中创建用户、组和计算机帐户。在以下步骤中，我们已将大数据群集域服务帐户命名为 bdcDSA。

重要

可为 DSA 选择任何名称，但我们不建议在部署大数据群集后更改帐户名称。

在域控制器上，打开“Active Directory 用户和计算机”
在左侧面板中，导航到你的域，然后导航到 bdc 将使用的 OU
右键单击 OU，然后选择“属性”。
转到“安全性”选项卡（通过右键单击 OU 并选择“视图”，确保选择“高级功能” ）
选择“添加...”，然后添加“bdcDSA”用户
选择“bdcDSA”用户并清除所有权限，然后选择“高级”
选择“添加”
- 选择“选择主体”，插入“bdcDSA”，然后选择“确定”
- 将“类型”设置为“允许”
- 将“应用对象”设置为“此对象和所有后代对象”
- 向下滚动到底部并选择“全部清除”
- 滚动回到顶部，然后选择：
  - “读取所有属性”
  - “写入所有属性”
  - “创建计算机对象”
  - “删除计算机对象”
  - “创建组对象”
  - “删除组对象”
  - “创建用户对象”
  - “删除用户对象”
- 选择“确定”

选择“添加”
- 选择“选择主体”，插入“bdcDSA”，然后选择“确定”
- 将“类型”设置为“允许”
- 将“应用对象”设置为“后代计算机对象”
- 向下滚动到底部并选择“全部清除”
- 滚动回到顶部，然后选择“重置密码”
- 选择“确定”
选择“添加”
- 选择“选择主体”，插入“bdcDSA”，然后选择“确定”
- 将“类型”设置为“允许”
- 将“应用对象”设置为“后代用户对象”
- 向下滚动到底部并选择“全部清除”
- 滚动回到顶部，然后选择“重置密码”
- 选择“确定”
再选择“确定”两次以关闭打开的对话框