自動生成された Active Directory オブジェクトのパスワード ローテーション
適用対象: SQL Server 2019 (15.x)
この記事では、Active Directory と統合されたビッグ データ クラスター内の Active Directory オブジェクト用のパスワードをローテーションする方法について説明します。
重要
Microsoft SQL Server 2019 ビッグ データ クラスターのアドオンは廃止されます。 SQL Server 2019 ビッグ データ クラスターのサポートは、2025 年 2 月 28 日に終了します。 ソフトウェア アシュアランス付きの SQL Server 2019 を使用する既存の全ユーザーはプラットフォームで完全にサポートされ、ソフトウェアはその時点まで SQL Server の累積更新プログラムによって引き続きメンテナンスされます。 詳細については、お知らせのブログ記事と「Microsoft SQL Server プラットフォームのビッグ データ オプション」を参照してください。
概要
Active Directory 統合を使用してビッグ データ クラスターを展開した場合は、ビッグ データ クラスターの展開中に SQL Server によって作成された Active Directory (AD) アカウントおよびグループが存在します。 これらの AD アカウントおよびグループの詳細については、「自動的に生成される Active Directory のオブジェクト」を参照してください。 これらのオブジェクトは、通常、展開プロファイル構成内で指定された組織単位 (OU) にあります。
企業のお客様にとって最大の課題の 1 つは、セキュリティの強化です。 多くのお客様にとって、パスワードの有効期限ポリシーを設定することは必須となっています。これにより、管理者は、時間の経過に応じてユーザーのパスワードの有効期限を設定することができます。 ビッグ データ クラスターの場合、これまでは、そのような自動生成された Active Directory オブジェクト用のパスワードを手動でローテーションする必要がありました。
前述の課題を回避するために、自動生成された AD オブジェクト用のパスワードの自動ローテーションが CU13 で導入されました。
パスワードの自動ローテーションを完了するには、順序に関係なく、次の 2 つの手順が必要です。
1. azdata コマンドを使用してパスワードを変更する
次の azdata
コマンドを使用して、自動生成されたパスワードを更新します。 azdata bdc rotate
の詳細については、azdata のリファレンスを参照してください。
azdata bdc rotate -n <clusterName>
これにより、コントロール プレーンのアップグレード、ビッグ データ クラスターのアップグレードの順に開始されます。 各ローテーションでは、複数のサービスにわたる同じローテーション、またはパスワード ローテーションのさまざまな反復処理を識別するために、ターゲット AD 資格情報バージョンが生成されます。 各サービスでは、生成されたパスワードが含まれている場合、新しく生成されたパスワードがドメイン コントローラー内で更新されます。 パスワードは 32 文字の長さであり、これには少なくとも、大文字が 1 つ、小文字が 1 つ、数字が 1 つ含まれています。 特殊文字は保証されていません。 次に、対応するポッドが再起動されます。
2. ドメイン サービス アカウント (DSA) のパスワードのローテーション
SQL Server ビッグ データ クラスター DSA パスワードを更新するには、PASS001 - Update Administrator Domain Controller Password
ノートブックを使います。 このノートブックとその他のクラスター管理ノートブックの詳細については、「SQL Server ビッグ データ クラスター用の運用ノートブック」を参照してください。 DSA パスワードは、ビッグ データ クラスターでは管理されないため、手動で更新できます。 変更が完了したら、ノートブックに対して環境変数パラメーターとして DSA 管理者のユーザー名とパスワードを指定します。
重要
パスワードのローテーションおよびビッグ データ クラスターのアップグレードは、ネットワーク速度やポッドの数などによっては、完了までに時間を要する場合があります。 パスワード ローテーションは個別のプロセスであり、クラスターのアップグレード操作または DSA パスワードのローテーションと並行して行うことはできません。