在 Active Directory 模式中部署SQL Server 巨量資料叢集:必要條件

適用于:SQL Server 2019 (15.x)

本檔說明如何準備在 Active Directory 驗證模式中部署SQL Server巨量資料叢集。 叢集會使用現有的 AD 網域進行驗證。

重要事項

Microsoft SQL Server 2019 巨量資料叢集附加元件將會淘汰。 SQL Server 2019 巨量資料叢集的支援將于 2025 年 2 月 28 日結束。 如需詳細資訊,請參閱Microsoft SQL Server 平臺上的巨量資料選項

注意

在 SQL Server 2019 CU5 版本之前,巨量資料叢集中有一項限制,使您只能針對一個 Active Directory 網域部署一個叢集。 此限制已透過 CU5 版本移除,如需新功能的詳細資訊,請參閱概念:在 Active Directory 模式中部署SQL Server 巨量資料叢集。 本文中的範例已經過調整,同時適用於兩種部署使用案例。

背景

若要啟用 Active Directory (AD) 驗證,巨量資料叢集會自動建立使用者、群組、機器帳戶和服務主體名稱, (SPN) 叢集中的各種服務需要。 為了提供這些帳戶的一些內含專案並允許範圍許可權,建議您在叢集部署之前建立組織單位 (OU) 。 所有巨量資料叢集相關 AD 物件都會在部署期間建立。

必要條件

組織單位 (OU)

組織單位 (OU) 是 Active Directory 內的子分支,其中會放置使用者、群組,甚至是其他組織單位。 大型圖片組織單位可以用來鏡像組織的功能或商業結構。 在此文章文中,我們將建立名為 bdc 的 OU 作為範例。

注意

組織單位 (OU) 代表系統管理界限,並可讓客戶控制資料管理員的授權範圍。

您可以依照 OU 設計原則決定在組織內使用 OU 的最佳結構。

巨量資料叢集網域服務帳戶的 AD 帳戶

若要能夠自動在 Active Directory 中建立所有必要的物件,巨量資料叢集需要具有特定許可權的 AD 帳戶,才能在提供的組織單位內建立使用者、群組和電腦帳戶, (OU) 。 此文章將說明如何設定此 AD 帳戶的權限。 我們使用 AD 帳戶呼叫 bdcDSA 作為此文章中的範例。

已自動產生 Active Directory 物件

巨量資料叢集部署會自動產生帳戶和組名。 每個帳戶都代表一項服務,而且會由巨量資料叢集在整個存留期中由巨量資料叢集管理。 那些帳戶擁有每個服務所需的服務主體名稱 (SPN)。 如需其管理之 AD 自動產生帳戶、群組和服務的完整清單,請參閱 自動產生的 Active Directory 物件

重要事項

視網域控制站中設定的密碼到期原則而定,這些帳戶的密碼可能會過期。 沒有機制可自動輪替巨量資料叢集中所有帳戶的認證,因此一旦符合到期期間,叢集就會變成無法運作。 您可以使用 azdata bdc rotate 來輪替巨量資料叢集自動產生的 AD 帳戶密碼。 如需詳細資訊,請參閱 azdata-bdc-rotate。 您可以將此命令新增至自動化腳本或管線,作為安全性強化程式的一部分。

以下步驟假設您已經有 Active Directory 網域控制站。 如果您沒有網域控制站,下列指南 \(英文\) 包含的步驟可能有幫助。

建立 AD 物件

在部署具有 AD 整合的巨量資料叢集之前,請先執行下列動作:

  1. 建立組織單位 (OU) ,其中將會儲存所有巨量資料叢集相關 AD 物件。 或者,您也可以在部署時選擇現有的 OU。
  2. 建立巨量資料叢集的 AD 帳戶,或使用現有的帳戶,並提供此 AD 帳戶在提供的組織單位內的許可權 (OU) 。

在 AD 中為巨量資料叢集網域服務帳戶建立使用者

巨量資料叢集需要具有特定權限的帳戶。 在繼續之前,請確定您已有現有 AD 帳戶,或建立一個新帳戶,讓巨量資料叢集能夠用來設定必要物件。

若要在 AD 中建立新使用者,您可以在網域或 OU 上按一下滑鼠右鍵,然後選取 [新增]>[使用者]:

Active Directory 使用者對話方塊

本文中,此使用者將稱為 巨量資料叢集網域服務帳戶DSA

建立 OU

在網域控制站上,開啟 [Active Directory 使用者及電腦]。 在左側面板中,以滑鼠右鍵按一下您要建立 OU 的目錄,然後選取 [新增>組織單位],然後遵循精靈中的提示來建立 OU。 或者,您可以使用 PowerShell 建立 OU:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

本文中的範例使用 bdc 作為 OU 名稱。

Active Directory 組織單位

新增物件 - 組織單位

設定 AD 帳戶的權限

不論您已經建立新 AD 使用者,或使用現有 AD 使用者,該使用者都需要有特定權限。 此帳戶是將叢集加入 AD 時,巨量資料叢集控制器將使用的使用者帳戶。 DSA 必須能夠在 OU 中建立使用者、群組和電腦帳戶。 在下列步驟中,我們已將巨量資料叢集網域服務帳戶 bdcDSA 命名為 。

重要事項

您可以選擇 DSA 的任何名稱,但我們不建議在部署巨量資料叢集之後變更帳戶名稱。

  1. 在網域控制站上,開啟 [Active Directory 使用者及電腦]

  2. 在左面板中,瀏覽到您的網域,再到 bdc 要使用的 OU

  3. 以滑鼠右鍵按一下 OU,然後選取 [屬性]。

  4. 移至 [安全性] 索引標籤 (請務必藉由在 OU 上按一下滑鼠右並選取 [進階功能],再選取 [檢視])

    BDC 物件屬性

  5. 選取 [新增...] ,然後新增 bdcDSA 使用者

    新增 BDC 物件屬性

    選取物件

  6. 選取 bdcDSA 使用者並清除擁有權限,然後選取 [ 進階]

  7. 選取 [新增]

    選取 [新增]

    • 選取 [選取主體]、插入bdcDSA,然後選取 [確定]

    • 將 [類型] 設定為 [允許]

    • 將 [套用至] 設定為 [此物件及所有子系物件]

      設定允許屬性

    • 向下捲動至底部,然後選取 [ 全部清除]

    • 捲動回頂端,然後選取:

      • 讀取全部內容
      • 寫入全部內容
      • 建立電腦物件
      • 刪除電腦物件
      • 建立群組物件
      • 刪除群組物件
      • 建立使用者物件
      • 刪除使用者物件
    • 選取 [確定]

  • 選取 [新增]

    • 選取 [選取主體]、插入bdcDSA,然後選取 [確定]

    • 將 [類型] 設定為 [允許]

    • 將 [套用至] 設定為 [子系電腦物件]

    • 向下捲動至底部,然後選取 [ 全部清除]

    • 捲動回頂端,然後選取 [重設密碼]

    • 選取 [確定]

  • 選取 [新增]

    • 選取 [選取主體]、插入bdcDSA,然後選取 [確定]

    • 將 [類型] 設定為 [允許]

    • 將 [套用至] 設定為 [子系使用者物件]

    • 向下捲動至底部,然後選取 [ 全部清除]

    • 捲動回頂端,然後選取 [重設密碼]

    • 選取 [確定]

  • 選取 [ 確定 ] 兩次以關閉開啟的對話方塊

後續步驟

以 Active Directory 模式部署 SQL Server 巨量資料叢集

針對 SQL Server 巨量資料叢集 Active Directory 整合進行疑難排解

概念:在 Active Directory 模式中部署SQL Server 巨量資料叢集