SQL Server, включенный Azure Arc в проверке подлинности Active Directory с помощью ключей, управляемых системой, — предварительные требования
В этом документе объясняется, как подготовиться к развертыванию служб данных с поддержкой Azure Arc с проверкой подлинности Active Directory (AD). В частности, в статье описаны объекты Active Directory, которые необходимо настроить перед развертыванием ресурсов Kubernetes.
Введение описывает два разных режима интеграции:
- Режим ключей, управляемый системой, позволяет системе создавать учетные записи AD и управлять ими для каждого Управляемый экземпляр SQL.
- Режим ключей, управляемый клиентом, позволяет создавать учетные записи AD и управлять ими для каждого Управляемый экземпляр SQL.
Требования и рекомендации отличаются для двух режимов интеграции.
Объект Active Directory | keytab под управлением клиента | keytab под управлением системы |
---|---|---|
Подразделение (подразделение) | Рекомендуемая конфигурация | Обязательное поле |
Учетная запись службы домена Active Directory (DSA) для соединителя Active Directory | Необязательное | Обязательное поле |
Учетная запись Active Directory для Управляемый экземпляр SQL | Создано для каждого управляемого экземпляра | Система создает учетную запись AD для каждого управляемого экземпляра |
Учетная запись DSA — режим ключей, управляемый системой
Чтобы автоматически создавать все необходимые объекты в Active Directory, соединитель AD должен иметь учетную запись службы домена (DSA). DSA — это учетная запись Active Directory, которая имеет определенные разрешения на создание, управление и удаление учетных записей пользователей в предоставленном подразделении. В этой статье объясняется, как настроить разрешение этой учетной записи Active Directory. Примеры вызывают учетную запись arcdsa
DSA в качестве примера в этой статье.
Автоматически созданные объекты Active Directory
Развертывание Управляемый экземпляр SQL с поддержкой Arc автоматически создает учетные записи в режиме ключей, управляемом системой. Каждая из учетных записей представляет Управляемый экземпляр SQL и управляется системой в течение всего времени существования SQL. Эти учетные записи принадлежат имена субъектов-служб , необходимые каждому SQL.
В описанных ниже действиях предполагается, что у вас уже есть контроллер домена Active Directory. Если у вас нет контроллера домена, полезные пошаговые инструкции содержатся в следующем руководстве.
Создание объектов Active Directory
Прежде чем развертывать Управляемый экземпляр SQL с поддержкой Arc, выполните следующие действия.
- Создайте подразделение (OU) для всех объектов AD с поддержкой Arc Управляемый экземпляр SQL. Кроме того, можно выбрать существующую подразделение при развертывании.
- Создайте учетную запись AD для соединителя AD или используйте существующую учетную запись и укажите соответствующие разрешения для подразделения, созданного на предыдущем шаге.
Создание подразделения
Для режима ключей, управляемого системой, требуется назначенная подразделение. Для режима ключей, управляемых клиентом, рекомендуется использовать подразделение.
На контроллере домена откройте Пользователи и компьютеры Active Directory. На левой панели щелкните правой кнопкой мыши каталог, в котором нужно создать подразделение, и выберите команду Создать>Подразделение, а затем следуйте указаниям мастера, чтобы создать подразделение. Кроме того, можно создать подразделение с помощью PowerShell:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
В примерах, приведенных в этой статье, для имени подразделения используется значение arcou
.
Создание учетной записи службы домена (DSA)
Для режима ключей, управляемого системой, требуется учетная запись службы домена AD.
Создайте пользователя Active Directory, который будет использоваться в качестве учетной записи службы домена. Для этой учетной записи требуются определенные разрешения. Убедитесь, что у вас есть существующая учетная запись Active Directory или создайте новую учетную запись, которую Управляемый экземпляр SQL с поддержкой Arc, можно использовать для настройки необходимых объектов.
Чтобы создать нового пользователя в AD, можно щелкнуть правой кнопкой мыши домен или подразделение и выбрать Новый>пользователь:
Эта учетная запись будет называться arcdsa в этой статье.
Настройка разрешений для DSA
Для режима ключей, управляемого системой, необходимо задать разрешения для DSA.
Независимо от того, создали ли вы новую учетную запись для DSA или используете существующую учетную запись пользователя Active Directory, есть определенные разрешения, необходимые для учетной записи. Учетная запись DSA должна иметь возможность создавать пользователей, группы и учетные записи компьютеров в подразделении. В следующих шагах имя arcdsa
учетной записи службы домена с поддержкой Arc Управляемый экземпляр SQL.
Внимание
Вы можете выбрать любое имя для DSA, но не рекомендуется изменять имя учетной записи после развертывания соединителя AD.
На контроллере домена откройте Пользователи и компьютеры Active Directory, щелкните "Вид", выберите "Дополнительные функции"
На панели слева перейдите к своему домену, а затем к подразделению, которое
arcou
будет использовать.Щелкните подразделение правой кнопкой мыши и выберите пункт Свойства.
Примечание.
Убедитесь, что вы выбрали расширенные функции , щелкнув правой кнопкой мыши подразделение и выбрав "Вид"
Перейдите на вкладку "Безопасность". Выберите дополнительные функции правой кнопкой мыши в подразделении и выберите "Вид".
Выберите "Добавить... и добавьте пользователя arcdsa ".
Выберите пользователя arcdsa и очистите все разрешения, а затем нажмите кнопку "Дополнительно".
Выберите Добавить
Выберите "Выбрать участника", вставить arcdsa и нажмите кнопку "ОК".
Задайте для параметра "Тип ", чтобы разрешить.
Задайте для этого объекта и всех потомков.
Прокрутите вниз вниз и нажмите кнопку "Очистить все".
Снова прокрутите вверх и выберите:
- Чтение всех свойств
- Запись всех свойств
- Создание объектов "Пользователь"
- Удаление пользовательских объектов
Нажмите ОК.
Выберите Добавить.
Выберите "Выбрать участника", вставить arcdsa и нажмите кнопку "ОК".
Задайте для параметра "Тип ", чтобы разрешить.
Установка применяется к объектам потомков пользователей.
Прокрутите вниз вниз и нажмите кнопку "Очистить все".
Прокрутите страницу вниз до верхней части экрана и нажмите кнопку "Сбросить пароль".
Нажмите ОК.
- Нажмите кнопку "ОК " еще дважды, чтобы закрыть диалоговые окна.
Связанный контент
- Развертывание управляемого клиентом соединителя keytab Active Directory (AD)
- Развертывание соединителя Active Directory (AD) под управлением системы
- Развертывание Управляемый экземпляр SQL в Azure Arc в Active Directory (AD)
- Подключение к Управляемый экземпляр SQL в Azure Arc с помощью проверки подлинности Active Directory