自動產生的 Active Directory 物件密碼輪替

  • 發行項

適用於:SQL Server 2019 (15.x)

本文說明如何在與 Active Directory 整合的巨量資料叢集中輪替 Active Directory 物件的密碼。

重要

Microsoft SQL Server 2019 巨量資料叢集附加元件將會淘汰。 SQL Server 2019 巨量資料叢集的支援將於 2025 年 2 月 28 日結束。 平台上將完全支援含軟體保證 SQL Server 2019 的所有現有使用者,而且軟體將會持續透過 SQL Server 累積更新來維護,直到該時間為止。 如需詳細資訊,請參閱公告部落格文章Microsoft SQL Server 平台上的巨量資料選項

概觀

部署具有 Active Directory 整合的巨量資料叢集時,會有 SQL 在巨量資料叢集部署期間建立的 Active Directory (AD) 帳戶和群組。 如需這些 AD 帳戶和群組的詳細資訊,請參閱自動產生的 Active Directory 物件。 這些物件通常位在部署設定檔設定中提供的組織單位 (OU) 內。

強化安全性是企業客戶最大的挑戰之一。 對許多客戶來說,設定密碼到期原則是必要措施,能讓系統管理員設定使用者密碼在經過一段時間後到期。 對於過去的巨量資料叢集來說,這會需要手動為這些自動產生的 Active Directory 物件輪替密碼。

為了解決上述挑戰,我們在 CU13 中引進了自動產生 AD 物件的密碼自動輪替功能。

如要完成密碼自動輪替,請依任意順序完成以下兩個必要步驟:

1. 使用 azdata 命令輪替密碼

使用以下 azdata 命令更新自動產生的密碼。 如需 azdata bdc rotate 的詳細資訊,請參閱 azdata 參考

   azdata bdc rotate -n <clusterName>

這會起始控制平面升級,並跟著巨量資料叢集升級。 針對每個輪替,將會產生目標 AD 認證版本,以識別多個服務或不同密碼輪替反覆項目的相同輪替。 針對每個服務,如果它包含產生的密碼,就會在網域控制站中更新新產生的密碼。 密碼長度為 32 個字元,至少包含一個大寫字元、一個小寫字元和一個數字。 不一定包含特殊字元。 接著會重新啟動對應的 Pod。

2. 輪替網域服務帳戶 (DSA) 的密碼

使用 PASS001 - Update Administrator Domain Controller Password 筆記本已升級 SQL Server 巨量資料叢集 DSA 密碼。 如需此筆記本和其他叢集管理筆記本的詳細資訊,請參閱 SQL Server 巨量資料叢集的操作筆記本。 因為巨量資料叢集不會管理 DSA 密碼,所以您可以手動更新該密碼。 變更之後,請為筆記本提供要作為環境變數參數的 DSA 管理員使用者名稱和密碼。

重要

根據網路速度、Pod 數目等因素,密碼輪替和巨量資料叢集升級可能需要一些時間才能完成。 密碼輪替是獨立的程序,且無法同時與叢集升級作業或 DSA 密碼輪替進行。

後續步驟