Развертывание Кластеры больших данных SQL Server в режиме Active Directory: предварительные требования
Область применения: SQL Server 2019 (15.x)
В этом документе объясняется, как подготовиться к развертыванию кластера больших данных SQL Server в режиме проверки подлинности Active Directory. Для проверки подлинности кластер использует существующий домен AD.
Внимание
Поддержка надстройки "Кластеры больших данных" Microsoft SQL Server 2019 будет прекращена. Мы прекратим поддержку Кластеров больших данных SQL Server 2019 28 февраля 2025 г. Все существующие пользователи SQL Server 2019 с Software Assurance будут полностью поддерживаться на платформе, и программное обеспечение будет продолжать поддерживаться с помощью накопительных обновлений SQL Server до этого времени. Дополнительные сведения см. в записи блога объявлений и в статье о параметрах больших данных на платформе Microsoft SQL Server.
Примечание.
До выпуска накопительного пакета обновления 5 (CU5) для SQL Server 2019 существовало ограничение для кластеров больших данных, позволявшее развернуть в домене Active Directory только один кластер. Это ограничение удаляется с выпуском CU5, см. раздел "Основные сведения о развертывании SQL Server Кластеры больших данных в режиме Active Directory". Примеры в этой статье скорректированы в соответствии с обоими вариантами использования развертывания.
Общие сведения
Чтобы включить проверку подлинности Active Directory (AD), кластер больших данных автоматически создает пользователей, группы, учетные записи компьютеров и имена субъектов-служб (SPN), необходимые службам в кластере. Чтобы обеспечить некоторую автономность этих учетных записей и предоставить разрешения на определение областей, мы рекомендуем создать подразделение перед развертыванием кластера. Все объекты AD, связанные с кластером больших данных, будут созданы во время развертывания.
Необходимые компоненты
Подразделение
Подразделение — это подраздел в Active Directory, который включает пользователей, группы и даже другие подразделения. Большая картина: подразделения можно использовать для зеркального отображения функциональной или бизнес-структуры организации. В этой статье мы создадим подразделение, называемое bdc
примером.
Примечание.
Подразделение (OU) представляет административные границы и позволяет клиентам управлять областью полномочий администраторов данных.
Вы можете следовать принципам проектирования подразделений, чтобы выбрать лучшую структуру для работы с подразделениями в организации.
Учетная запись AD для учетной записи службы домена кластера больших данных
Чтобы автоматически создавать все необходимые объекты в Active Directory, кластер больших данных должен иметь учетную запись AD с определенными разрешениями для создания пользователей, групп и учетных записей компьютеров в предоставленном подразделении. В этой статье объясняется, как настроить разрешения для этой учетной записи AD. Мы используем учетную запись AD, называемую bdcDSA
примером в этой статье.
Автоматически созданные объекты Active Directory
При развертывании Кластеров больших данных автоматически создаются имена учетных записей и групп. Каждая учетная запись представляет службу и будет управляться кластером больших данных на протяжении всего времени существования кластера больших данных, где используется кластер больших данных. Эти учетные записи принадлежат имена субъектов-служб (SPN) для каждой службы. Полный список автоматически созданных учетных записей, групп и служб AD, управляемых ими, см. в разделе "Автоматически созданные объекты Active Directory".
Внимание
В зависимости от политики истечения срока действия паролей, заданной на контроллере домена, срок действия паролей для этих учетных записей может истечь. Механизма автоматической смены учетных данных для всех учетных записей в кластере больших данных нет, поэтому кластер станет неработоспособным по истечении срока действия. Вы можете применить azdata bdc rotate
для смены паролей автоматически созданных учетных записей AD для кластера больших данных. Дополнительные сведения см. в описании команды azdata-bcd-rotate. Добавьте эту команду в скрипты автоматизации или конвейеры во время процесса защиты безопасности.
Создание объектов AD
Перед развертыванием кластера больших данных с интеграцией AD выполните следующие действия:
- Создайте подразделение организации для хранения всех объектов AD, связанных с кластером больших данных. Кроме того, можно выбрать существующую подразделение при развертывании.
- Создайте учетную запись AD для кластера больших данных или используйте существующую учетную запись AD и укажите правильные разрешения внутри предоставленного подразделения организации.
Создание пользователя в AD для учетной записи службы домена кластера больших данных
Для кластера больших данных требуется учетная запись с конкретными разрешениями. Прежде чем продолжить, убедитесь, что у вас есть учетная запись AD или создайте новую учетную запись, которую кластер больших данных может использовать для настройки необходимых объектов.
Чтобы создать нового пользователя в AD, можно щелкнуть правой кнопкой мыши домен или подразделение и выбрать Новый>пользователь:
Этот пользователь называется учетной записью службы домена кластера больших данных или DSA в этой статье.
Создание подразделения
На контроллере домена откройте Пользователи и компьютеры Active Directory. На левой панели щелкните правой кнопкой мыши каталог, в котором нужно создать подразделение, и выберите команду Создать>Подразделение, а затем следуйте указаниям мастера, чтобы создать подразделение. Кроме того, можно создать подразделение с помощью PowerShell:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
В примерах, приведенных в этой статье, для имени подразделения используется значение bdc
.
Задание разрешений для учетной записи AD
Независимо от того, создали ли вы нового пользователя AD или используете существующего пользователя AD, есть определенные разрешения, необходимые пользователю. Эта учетная запись — это учетная запись пользователя, которую использует контроллер кластера больших данных при присоединении кластера к AD. Учетная запись DSA должна иметь возможность создавать пользователей, группы и учетные записи компьютеров в подразделении. В следующих шагах мы используем для учетной записи службы домена кластера больших данных имя bdcDSA
.
Внимание
Можно выбрать для DSA любое имя, но мы рекомендуем не изменять имя этой учетной записи после развертывания кластера больших данных.
На контроллере домена откройте Пользователи и компьютеры Active Directory.
На левой панели перейдите к домену, а затем подразделение, которое
bdc
используетсяЩелкните подразделение правой кнопкой мыши и выберите пункт Свойства.
Перейдите на вкладку "Безопасность" (убедитесь, что вы выбрали дополнительные функции , щелкнув правой кнопкой мыши подразделение и выбрав "Вид")
Щелкните Добавить и добавьте пользователя bdcDSA
Выберите пользователя bdcDSA и удалите все разрешения, а затем щелкните Дополнительно.
Выберите Добавить
Щелкните Выбрать субъект-службу, вставьте значение bdcDSA и щелкните ОК.
В поле Тип задайте значение Разрешить.
В поле Применяется к задайте Этот объект и все объекты-потомки
Прокрутите вниз до конца и щелкните Очистить все
Снова прокрутите вверх и выберите:
- Чтение всех свойств
- Запись всех свойств
- Создание объектов "Компьютер"
- Удаление объектов "Компьютер"
- Создание объектов "Группа"
- Удаление объектов "Группа"
- Создание объектов "Пользователь"
- Удаление пользовательских объектов
Выберите ОК
Выберите Добавить
Щелкните Выбрать субъект-службу, вставьте значение bdcDSA и щелкните ОК.
В поле Тип задайте значение Разрешить.
В поле Применяется к укажите Объекты-потомки "Компьютер"
Прокрутите вниз до конца и щелкните Очистить все
Снова прокрутите вверх и выберите Сбросить пароль
Выберите ОК
Выберите Добавить
Щелкните Выбрать субъект-службу, вставьте значение bdcDSA и щелкните ОК.
В поле Тип задайте значение Разрешить.
В поле Применяется к укажите Объекты-потомки "Пользователь"
Прокрутите вниз до конца и щелкните Очистить все
Снова прокрутите вверх и выберите Сбросить пароль
Выберите ОК
Дважды щелкните ОК, чтобы закрыть открытые диалоговые окна.