Azure Arc 所啟用的 SQL Server 搭配 Active Directory 驗證與系統管理的金鑰表 - 必要條件
本文件說明如何準備部署已啟用 Azure Arc 的資料服務搭配 Active Directory (AD) 驗證。 具體來說,本文描述部署 Kubernetes 資源之前,您需要設定的 Active Directory 物件。
簡介描述兩種不同的整合模式:
- 系統管理金鑰表模式可讓系統為每個 SQL 受控執行個體建立和管理 AD 帳戶。
- 客戶自控金鑰表模式可讓您為每個 SQL 受控執行個體建立和管理 AD 帳戶。
這兩個整合模式的需求和建議不同。
Active Directory 物件 | 客戶自控金鑰表 | 系統管理的金鑰表 |
---|---|---|
組織單位 (OU) | 建議需求 | 必要 |
Active Directory 連接器的 Active Directory 網域服務帳戶 (DSA) | 非必要 | 必要 |
SQL 受控執行個體的 Active Directory 帳戶 | 為每個受控執行個體建立 | 系統會為每個受控執行個體建立 AD 帳戶 |
DSA 帳戶 - 系統管理的金鑰表模式
若要能夠自動在 Active Directory 中建立所有必要的物件,AD 連接器需要網域服務帳戶 (DSA)。 DSA 是一個 Active Directory 帳戶,其具有的特定權限可建立、管理及刪除所提供組織單位 (OU) 內的使用者帳戶。 此文將說明如何設定此 Active Directory 帳戶的權限。 範例會將 DSA 帳戶稱為 arcdsa
,作為本文中的範例。
已自動產生 Active Directory 物件
已啟用 Arc 的 SQL 受控執行個體部署會自動在系統管理的金鑰表模式中產生帳戶。 每個帳戶都代表 SQL 受控執行個體,並且會在 SQL 存留期內由系統管理。 這些帳戶擁有每個 SQL 所需的服務主體名稱 (SPN)。
以下步驟假設您已經有 Active Directory 網域控制站。 如果您沒有網域控制站,下列指南 \(英文\) 包含的步驟可能有幫助。
建立 Active Directory 物件
使用 AD 驗證部署已啟用 Arc 的 SQL 受控執行個體之前,請先執行下列動作:
- 針對與所有已啟用 Arc 的 SQL 受控執行個體的相關 AD 物件建立組織單位 (OU)。 或者,您也可以在部署時選擇現有的 OU。
- 建立 AD 連接器的 AD 帳戶,或使用現有的帳戶,並為此帳戶提供在先前的步驟中建立的 OU 的正確權限。
建立 OU
系統管理的金鑰表模式需要指定的 OU。 若為客戶自控金鑰表模式,建議使用 OU。
在網域控制站上,開啟 [Active Directory 使用者及電腦]。 在左側面板上,以滑鼠右鍵按一下想要在其下建立 OU 的目錄,然後選取 [新增] > [組織單位],然後遵循精靈的提示來建立 OU。 或者,您可以使用 PowerShell 建立 OU:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
本文中的範例使用 arcou
作為 OU 名稱。
建立網域服務帳戶 (DSA)
若為系統管理的金鑰表模式,您需要 AD 網域服務帳戶。
建立您將用來作為網域服務帳戶的 Active Directory 使用者。 此帳戶需要特定權限。 請確定您有現有的 Active Directory 帳戶或建立新的帳戶,在其中已啟用 Arc 的 SQL 受控執行個體可用來設定必要的物件。
若要在 AD 中建立新使用者,您可以在網域或 OU 上按一下滑鼠右鍵,然後選取 [新增]>[使用者]:
在本文中,此帳戶將稱為 arcdsa。
設定 DSA 的權限
若為系統管理的金鑰表模式,您必須設定 DSA 的權限。
無論您已為 DSA 建立新的帳戶,還是使用現有的 Active Directory 使用者帳戶,帳戶都需要具備某些權限。 DSA 必須能在 OU 中建立使用者、群組和電腦帳戶。 在下列步驟中,已啟用 Arc 的 SQL 受控執行個體網域服務帳戶名稱為 arcdsa
。
重要
您可以為 DSA 選擇任何名稱,但我們不建議在部署 AD 連接器之後變更帳戶名稱。
在網域控制站上,開啟 [Active Directory 使用者和電腦],按一下 [檢視],選取 [進階功能]
在左面板中,瀏覽到您的網域,再到
arcou
要使用的 OU以滑鼠右鍵按一下 OU,然後選取 [屬性]。
注意
確定您已選取 [進階功能],方法是在 OU 上按一下滑鼠右鍵,然後選取 [檢視]
移至 [安全性] 索引標籤。選取 [進階功能],在 OU 上按一下滑鼠右鍵,然後選取 [檢視]。
選取 [新增...],然後新增 arcdsa 使用者。
選取 arcdsa 使用者並清除擁有權限,然後選取 [進階]。
選取新增
選取 [選取主體]、插入 arcdsa,然後選取 [確定]。
將 [類型] 設定為 [允許]。
將 [套用至] 設定為 [此物件及所有子系物件]。
向下捲動到底部,然後選取 [全部清除]。
捲動回頂端,然後選取:
- 讀取全部內容
- 寫入所有屬性
- 建立使用者物件
- 刪除使用者物件
選取 [確定]。
選取 [新增]。
選取 [選取主體]、插入 arcdsa,然後選取 [確定]。
將 [類型] 設定為 [允許]。
將 [套用至] 設定為 [子系使用者物件]。
向下捲動到底部,然後選取 [全部清除]。
捲動回頂端,然後選取 [重設密碼]。
選取 [確定]。
- 再選取 [確定] 兩次,以關閉開啟的對話方塊。