Automatisch generierte Kennwortrotation für Active Directory-Objekte
Gilt für: SQL Server 2019 (15.x)
In diesem Artikel wird beschrieben, wie man Kennwörter für Active Directory-Objekte in einem in Active Directory integriertem Big Data-Cluster rotieren kann.
Wichtig
Das Microsoft SQL Server 2019-Big Data-Cluster-Add-On wird eingestellt. Der Support für SQL Server 2019-Big Data-Clusters endet am 28. Februar 2025. Alle vorhandenen Benutzer*innen von SQL Server 2019 mit Software Assurance werden auf der Plattform vollständig unterstützt, und die Software wird bis zu diesem Zeitpunkt weiterhin über kumulative SQL Server-Updates verwaltet. Weitere Informationen finden Sie im Ankündigungsblogbeitrag und unter Big Data-Optionen auf der Microsoft SQL Server-Plattform.
Überblick
Wenn ein Big Data-Cluster mit Active Directory-Integration bereitgestellt wird, gibt es die Active Directory-Konten und -Gruppen (AD), die SQL Server während der Bereitstellung eines Big Data-Clusters erstellt. Weitere Informationen zu diesen AD-Konten und -Gruppen finden sie hier: Automatisch generierte Active Directory-Objekte. Diese Objekte befinden sich in der Regel in der bereitgestellten Organisationseinheit (OE) in den Konfigurationen des Bereitstellungsprofils.
Eine der größten Herausforderungen für Unternehmenskunden ist die Sicherheitshärtung. Für viele Kunden ist das Festlegen einer Kennwortablaufrichtlinie erforderlich, welche dem*der Administrator*in erlaubt, den Ablauf des Benutzerkennworts nach einem bestimmten Zeitraum festzulegen. Für Big Data-Cluster waren in der Vergangenheit manuell rotierte Kennwörter für diese automatisch generierten Active Directory-Objekte erforderlich.
Um die oben genannten Herausforderungen zu meistern, wurde die automatische Rotation von Kennwörtern für automatisch generierte AD-Objekte mit CU13 eingeführt.
Die folgenden beiden Schritte müssen unabhängig von der Sequenz durchgeführt werden, um die automatische Kennwortrotation abzuschließen:
1. Verwenden des Befehls azdata zum Rotieren des Kennworts
Verwenden Sie den Befehl azdata
, um automatisch generierte Kennwörter zu aktualisieren. Weitere Informationen zu azdata bdc rotate
finden Sie unter azdata bdc rotate.
azdata bdc rotate -n <clusterName>
Dies initiiert ein Upgrade der Steuerungsebene, gefolgt von einem Upgrade des Big Data-Clusters. Für jede Rotation wird eine AD-Zielversion für Anmeldeinformationen generiert, um dieselbe Rotation über mehrere Dienste oder verschiedenen Iterationen von Kennwortrotationen hinweg zu identifizieren. Für jeden Dienst, der ein generiertes Kennwort enthält, wird ein neues Kennwort generiert und im Domänencontroller aktualisiert. Die Kennwörter sind 32 Zeichen lang, enthalten mindestens einen Großbuchstaben, einen Kleinbuchstaben und eine Ziffer. Ein Sonderzeichen ist nicht garantiert. Die entsprechenden Pods werden dann neu gestartet.
2. Rotieren des Kennworts für das Domänendienstkonto (Domain Service Account, DSA)
Verwenden Sie das Notebook PASS001 - Update Administrator Domain Controller Password
, um das DSA-Kennwort Big Data-Cluster für SQL Server zu aktualisieren. Weitere Informationen zu diesem Notebook und anderen Notebooks für die Clusterverwaltung finden Sie unter Betriebsnotebooks für SQL Server-Big Data-Cluster. Sie können das DSA-Kennwort manuell aktualisieren, da es nicht vom Big Data-Cluster verwaltet wird. Geben Sie nach der Änderung den Benutzernamen und das Kennwort des DSA-Administrators als Umgebungsvariablenparameter für das Notebook an.
Wichtig
Die Kennwortrotation und das Upgrade von Big Data-Clustern kann je nach Netzwerkgeschwindigkeit, Anzahl der Pods und anderen Faktoren einige Zeit in Anspruch nehmen. Eine Kennwortrotation ist ein separater Prozess, und kann nicht parallel zum Cluster-Upgradevorgang oder einer DSA-Kennwortrotation durchgeführt werden.