Sdílet prostřednictvím

SQL Server povolený službou Azure Arc ve službě Active Directory pomocí system-managed keytab – požadavky

  • Článek

Tento dokument vysvětluje, jak se připravit na nasazení datových služeb s podporou Azure Arc s ověřováním Active Directory (AD). Konkrétně článek popisuje objekty služby Active Directory, které je potřeba nakonfigurovat před nasazením prostředků Kubernetes.

Úvod popisuje dva různé režimy integrace:

  • Režim keytab spravované systémem umožňuje systému vytvářet a spravovat účty AD pro každou spravovanou instanci SQL.
  • Režim keytab spravovaný zákazníkem umožňuje vytvářet a spravovat účty AD pro každou spravovanou instanci SQL.

Požadavky a doporučení se liší pro dva režimy integrace.

Objekt služby Active Directory Záložka klíčů spravovaná zákazníkem System-managed keytab
Organizační jednotka (OU) Doporučené Požaduje se
Účet služby Active Directory Domain Service (DSA) pro konektor služby Active Directory Nepovinné Požaduje se
Účet služby Active Directory pro službu SQL Managed Instance Vytvořeno pro každou spravovanou instanci Systém vytvoří účet AD pro každou spravovanou instanci.

Účet DSA – režim keytab spravovaný systémem

Aby bylo možné automaticky vytvořit všechny požadované objekty ve službě Active Directory, potřebuje konektor AD účet doménové služby (DSA). DSA je účet služby Active Directory, který má specifická oprávnění k vytváření, správě a odstraňování uživatelských účtů v poskytnuté organizační jednotce (OU). Tento článek vysvětluje, jak nakonfigurovat oprávnění tohoto účtu služby Active Directory. Příklady volají účet arcdsa DSA jako příklad v tomto článku.

Automaticky generované objekty služby Active Directory

Nasazení služby SQL Managed Instance s podporou arc automaticky generuje účty v režimu keytab spravovaného systémem. Každý z účtů představuje spravovanou instanci SQL a bude spravován systémem po celou dobu životnosti SQL. Tyto účty vlastní hlavní názvy služeb (SPN) vyžadované jednotlivými SQL.

Následující postup předpokládá, že už máte řadič domény služby Active Directory. Pokud řadič domény nemáte, následující průvodce obsahuje kroky, které můžou být užitečné.

Vytváření objektů služby Active Directory

Před nasazením spravované instance SQL s podporou arc s ověřováním AD postupujte následovně:

  1. Vytvořte organizační jednotku (OU) pro všechny objekty AD související se službou SQL Managed Instance s podporou arc. Případně můžete při nasazení zvolit existující organizační jednotky.
  2. Vytvořte účet AD pro konektor AD nebo použijte existující účet a zadejte správná oprávnění k organizačnímu objektu vytvořenému v předchozím kroku.

Vytvoření organizační jednotky

Režim keytab spravované systémem vyžaduje vyhrazenou organizační strukturu. V případě režimu keytab spravovaného zákazníkem se doporučuje organizační jednotky.

Na řadiči domény otevřete Uživatelé a počítače služby Active Directory. Na levém panelu klikněte pravým tlačítkem myši na adresář, pod kterým chcete vytvořit organizační jednotku, a pak >podle pokynů v průvodci vytvořte organizační jednotku. Alternativně můžete vytvořit organizační jednotky pomocí PowerShellu:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

Příklady v tomto článku se používají arcou pro název organizační jednotky.

Snímek obrazovky s nabídkou Uživatelé a počítače služby Active Directory

Snímek obrazovky s novým objektem – dialog organizační jednotky

Vytvoření účtu služby Domain Service (DSA)

V režimu keytab spravovaného systémem potřebujete účet služby AD Domain Service.

Vytvořte uživatele služby Active Directory, kterého budete používat jako účet doménové služby. Tento účet vyžaduje konkrétní oprávnění. Ujistěte se, že máte existující účet služby Active Directory, nebo vytvořte nový účet, který může spravovaná instance SQL s podporou Arc použít k nastavení potřebných objektů.

Pokud chcete ve službě AD vytvořit nového uživatele, můžete kliknout pravým tlačítkem myši na doménu nebo organizační jednotky a vybrat Nový>uživatel:

Snímek obrazovky s vlastnostmi uživatele

Tento účet se bude v tomto článku označovat jako arcdsa .

Nastavení oprávnění pro DSA

V režimu keytab spravovaného systémem je potřeba nastavit oprávnění pro DSA.

Bez ohledu na to, jestli jste vytvořili nový účet pro DSA nebo používáte existující uživatelský účet služby Active Directory, existují určitá oprávnění, která účet musí mít. DsA musí být schopná vytvářet uživatele, skupiny a účty počítačů v organizační jednotky. V následujících krocích je arcdsanázev účtu doménové služby SQL Managed Instance s podporou služby Arc .

Důležité

Můžete zvolit libovolný název DSA, ale po nasazení konektoru AD nedoporučujeme měnit název účtu.

  1. Na řadiči domény otevřete Uživatelé a počítače služby Active Directory, klikněte na Zobrazit, vyberte Rozšířené funkce.

  2. Na levém panelu přejděte do své domény a pak organizační jednotky, které arcou se použijí.

  3. Klikněte pravým tlačítkem na organizační jednotky a vyberte Vlastnosti.

Poznámka:

Ujistěte se, že jste vybrali pokročilé funkce tak, že kliknete pravým tlačítkem na organizační jednotky a vyberete Zobrazení.

  1. Přejděte na kartu Zabezpečení. Klikněte pravým tlačítkem myši na organizační jednotky a vyberte Zobrazit.

    Vlastnosti objektu AD

  2. Vyberte Přidat... a přidejte uživatele arcdsa .

    Snímek obrazovky s dialogovým oknem přidat uživatele

  3. Vyberte uživatele arcdsa a zrušte zaškrtnutí všech oprávnění a pak vyberte Upřesnit.

  4. Vyberte Přidat.

    • Vyberte objekt zabezpečení, vložte arcdsa a vyberte OK.

    • Nastavte typ na Povolit.

    • Nastavit platí pro tento objekt a všechny potomky objekty.

      Snímek obrazovky s položkami oprávnění

    • Posuňte se dolů dolů a vyberte Vymazat vše.

    • Posuňte se zpět na začátek a vyberte:

      • Čtení všech vlastností
      • Zápis všech vlastností
      • Vytváření uživatelských objektů
      • Odstranění uživatelských objektů

    • Vyberte OK.

  5. Vyberte Přidat.

    • Vyberte objekt zabezpečení, vložte arcdsa a vyberte OK.

    • Nastavte typ na Povolit.

    • Nastavit platí pro objekty potomků uživatele.

    • Posuňte se dolů dolů a vyberte Vymazat vše.

    • Posuňte se zpět na začátek a vyberte Resetovat heslo.

    • Vyberte OK.

  • Chcete-li zavřít otevřená dialogová okna, vyberte tlačítko OK dvakrát více.

Související obsah