以 Active Directory 模式部署 SQL Server 巨量資料叢集：必要條件

適用於：SQL Server 2019 (15.x)

本文件說明如何準備在 Active Directory 驗證模式中部署 SQL Server 巨量資料叢集。 叢集會使用現有的 AD 網域進行驗證。

重要

Microsoft SQL Server 2019 巨量資料叢集附加元件將會淘汰。 SQL Server 2019 巨量資料叢集的支援將於 2025 年 2 月 28 日結束。 平台上將完全支援含軟體保證 SQL Server 2019 的所有現有使用者，而且軟體將會持續透過 SQL Server 累積更新來維護，直到該時間為止。 如需詳細資訊，請參閱公告部落格文章與 Microsoft SQL Server 平台上的巨量資料選項。

注意

在 SQL Server 2019 CU5 版本之前，巨量資料叢集中有一項限制，使您只能針對一個 Active Directory 網域部署一個叢集。 CU5 版本中已移除這項限制，請參閱概念：在 Active Directory 模式中部署 SQL Server 巨量資料叢集，以取得新功能的詳細資料。 本文中的範例已經過調整，同時適用於兩種部署使用案例。

背景

若要啟用 Active Directory (AD) 驗證，巨量資料叢集會自動建立叢集中各種服務所需的使用者、群組、機器帳戶和服務主體名稱 (SPN)。 若要提供這些帳戶的一些內含項目，並允許範圍權限，我們建議在進行叢集部署之前先建立組織單位 (OU)。 將會在部署期間建立所有巨量資料叢集相關 AD 物件。

必要條件

組織單位 (OU)

組織單位 (OU) 是 Active Directory 內的子分支，其中會放置使用者、群組，甚至是其他組織單位。 大型圖片：組織單位可以用來鏡像組織的功能或商業結構。 在本文中，我們將建立名為 bdc 的 OU 作為範例。

注意

組織單位 (OU) 代表系統管理界限，並可讓客戶控制資料管理員的授權範圍。

您可以依照 OU 設計原則決定在組織內使用 OU 的最佳結構。

巨量資料叢集網域服務帳戶的 AD 帳戶

若要自動在 Active Directory 中建立所有必要物件，巨量資料叢集需要一個擁有特殊權限、可在所提供組織單位 (OU) 內建立使用者、群組與電腦帳戶的 AD 帳戶。 此文章將說明如何設定此 AD 帳戶的權限。 我們使用名為 bdcDSA 的 AD 帳戶作為此文章中的範例。

已自動產生 Active Directory 物件

巨量資料叢集部署會自動產生帳戶與群組名稱。 每個帳戶都代表一個服務，而且會在巨量資料叢集使用中的整個存留期中受巨量資料叢集管理。 那些帳戶擁有每個服務所需的服務主體名稱 (SPN)。 如需其所管理 AD 自動產生的帳戶、群組與服務的完整清單，請參閱＜自動產生的 Active Directory 物件＞。

重要

視網域控制站中設定的密碼到期原則而定，這些帳戶的密碼可能會過期。 沒有任何機制可自動輪替巨量資料叢集中所有帳戶的認證，因此一旦符合到期期限，叢集將會變成無法運作。 您可以使用 azdata bdc rotate，輪替巨量資料叢集自動產生的 AD 帳戶密碼。 如需詳細資訊，請參閱 azdata-bdc-rotate。 在安全性強化流程期間，將此命令新增至自動化指令碼或管線。

建立 AD 物件

使用 AD 整合部署巨量資料叢集之前，請執行下列事項：

1. 建立組織單位 (OU) 以儲存所有與巨量資料叢集相關的 AD 物件。 或者，您也可以在部署時選擇現有的 OU。
2. 為巨量資料叢集建立 AD 帳戶，或使用現有帳戶，並提供已提供之組織單位 (OU) 內的正確權限給此 AD 帳戶。

在 AD 中，為巨量資料叢集網域服務帳戶建立一個使用者

巨量資料叢集需要具有特定權限的帳戶。 在繼續之前，請確定您已有現有 AD 帳戶，或建立一個新 AD 帳戶，讓巨量資料叢集能夠用來設定必要物件。

若要在 AD 中建立新使用者，您可以在網域或 OU 上按一下滑鼠右鍵，然後選取 [新增]>[使用者]：

在此文章中，此使用者將稱為「巨量資料叢集網域服務帳戶」或 DSA。

建立 OU

在網域控制站上，開啟 [Active Directory 使用者及電腦]。 在左側面板上，以滑鼠右鍵按一下想要在其下建立 OU 的目錄，然後選取 [新增] > [組織單位]，然後遵循精靈的提示來建立 OU。 或者，您可以使用 PowerShell 建立 OU：

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

本文中的範例使用 bdc 作為 OU 名稱。

設定 AD 帳戶的權限

不論您是已經建立新 AD 使用者，或正在使用現有 AD 使用者，該使用者都需要有特定權限。 此帳戶就是當巨量資料叢集控制器將叢集加入 AD 時會使用的使用者帳戶。 DSA 必須能在 OU 中建立使用者、群組和電腦帳戶。 在下列步驟中，我們已經將巨量資料叢集網域服務帳戶命名為 bdcDSA。

重要

您可以為 DSA 選擇任何名稱，但我們不建議在部署巨量資料叢集之後變更帳戶名稱。

1. 在網域控制站上，開啟 [Active Directory 使用者及電腦]

2. 在左側面板中，瀏覽到您的網域，再到 bdc 使用的 OU

3. 以滑鼠右鍵按一下 OU，然後選取 [屬性]。

4. 前往 [安全性] 索引標籤 (請在 OU 上以滑鼠右鍵按一下，確保您已選取 [進階功能]，並選取 [檢視])

   

5. 選取 [新增...] 並新增 bdcDSA 使用者

   

   

6. 選取 bdcDSA 使用者並清除擁有權限，然後選取 [進階]

7. 選取 [新增]

   

   • 選取 [選取主體]、插入 bdcDSA，然後選取 [確定]

   • 將 [類型] 設定為 [允許]

   • 將 [套用至] 設定為 [此物件及所有子系物件]

     

   • 向下捲動到底部，然後選取 [全部清除]

   • 捲動回頂端，然後選取：

     • 讀取全部內容
     • 寫入全部內容
     • 建立電腦物件
     • 刪除電腦物件
     • 建立群組物件
     • 刪除群組物件
     • 建立使用者物件
     • 刪除使用者物件

   • 選取 [確定]

• 選取 [新增]

  • 選取 [選取主體]、插入 bdcDSA，然後選取 [確定]

  • 將 [類型] 設定為 [允許]

  • 將 [套用至] 設定為 [子系電腦物件]

  • 向下捲動到底部，然後選取 [全部清除]

  • 捲動回頂端，然後選取 [重設密碼]

  • 選取 [確定]

• 選取 [新增]

  • 選取 [選取主體]、插入 bdcDSA，然後選取 [確定]

  • 將 [類型] 設定為 [允許]

  • 將 [套用至] 設定為 [子系使用者物件]

  • 向下捲動到底部，然後選取 [全部清除]

  • 捲動回頂端，然後選取 [重設密碼]

  • 選取 [確定]

• 再選取 [確定] 兩次，以關閉開啟的對話方塊

相關內容

• 以 Active Directory 模式部署 SQL Server 巨量資料叢集
• 針對 SQL Server 巨量資料叢集 Active Directory 整合進行疑難排解
• 概念：以 Active Directory 模式部署 SQL Server 巨量資料叢集