共用方式為


Azure Arc 所啟用的 SQL Server 搭配 Active Directory 驗證與系統管理的金鑰表 - 必要條件

本文件說明如何準備部署已啟用 Azure Arc 的資料服務搭配 Active Directory (AD) 驗證。 具體來說,本文描述部署 Kubernetes 資源之前,您需要設定的 Active Directory 物件。

簡介描述兩種不同的整合模式:

  • 系統管理金鑰表模式可讓系統為每個 SQL 受控執行個體建立和管理 AD 帳戶。
  • 客戶自控金鑰表模式可讓您為每個 SQL 受控執行個體建立和管理 AD 帳戶。

這兩個整合模式的需求和建議不同。

Active Directory 物件 客戶自控金鑰表 系統管理的金鑰表
組織單位 (OU) 建議需求 必要
Active Directory 連接器的 Active Directory 網域服務帳戶 (DSA) 非必要 必要
SQL 受控執行個體的 Active Directory 帳戶 為每個受控執行個體建立 系統會為每個受控執行個體建立 AD 帳戶

DSA 帳戶 - 系統管理的金鑰表模式

若要能夠自動在 Active Directory 中建立所有必要的物件,AD 連接器需要網域服務帳戶 (DSA)。 DSA 是一個 Active Directory 帳戶,其具有的特定權限可建立、管理及刪除所提供組織單位 (OU) 內的使用者帳戶。 此文將說明如何設定此 Active Directory 帳戶的權限。 範例會將 DSA 帳戶稱為 arcdsa,作為本文中的範例。

已自動產生 Active Directory 物件

已啟用 Arc 的 SQL 受控執行個體部署會自動在系統管理的金鑰表模式中產生帳戶。 每個帳戶都代表 SQL 受控執行個體,並且會在 SQL 存留期內由系統管理。 這些帳戶擁有每個 SQL 所需的服務主體名稱 (SPN)。

以下步驟假設您已經有 Active Directory 網域控制站。 如果您沒有網域控制站,下列指南 \(英文\) 包含的步驟可能有幫助。

建立 Active Directory 物件

使用 AD 驗證部署已啟用 Arc 的 SQL 受控執行個體之前,請先執行下列動作:

  1. 針對與所有已啟用 Arc 的 SQL 受控執行個體的相關 AD 物件建立組織單位 (OU)。 或者,您也可以在部署時選擇現有的 OU。
  2. 建立 AD 連接器的 AD 帳戶,或使用現有的帳戶,並為此帳戶提供在先前的步驟中建立的 OU 的正確權限。

建立 OU

系統管理的金鑰表模式需要指定的 OU。 若為客戶自控金鑰表模式,建議使用 OU。

在網域控制站上,開啟 [Active Directory 使用者及電腦]。 在左側面板上,以滑鼠右鍵按一下想要在其下建立 OU 的目錄,然後選取 [新增] > [組織單位],然後遵循精靈的提示來建立 OU。 或者,您可以使用 PowerShell 建立 OU:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

本文中的範例使用 arcou 作為 OU 名稱。

[Active Directory 使用者和電腦] 功能表的螢幕擷取畫面。

[新物件 - 組織單位] 對話方塊的螢幕擷取畫面。

建立網域服務帳戶 (DSA)

若為系統管理的金鑰表模式,您需要 AD 網域服務帳戶。

建立您將用來作為網域服務帳戶的 Active Directory 使用者。 此帳戶需要特定權限。 請確定您有現有的 Active Directory 帳戶或建立新的帳戶,在其中已啟用 Arc 的 SQL 受控執行個體可用來設定必要的物件。

若要在 AD 中建立新使用者,您可以在網域或 OU 上按一下滑鼠右鍵,然後選取 [新增]>[使用者]:

使用者屬性的螢幕擷取畫面。

在本文中,此帳戶將稱為 arcdsa

設定 DSA 的權限

若為系統管理的金鑰表模式,您必須設定 DSA 的權限。

無論您已為 DSA 建立新的帳戶,還是使用現有的 Active Directory 使用者帳戶,帳戶都需要具備某些權限。 DSA 必須能在 OU 中建立使用者、群組和電腦帳戶。 在下列步驟中,已啟用 Arc 的 SQL 受控執行個體網域服務帳戶名稱為 arcdsa

重要

您可以為 DSA 選擇任何名稱,但我們不建議在部署 AD 連接器之後變更帳戶名稱。

  1. 在網域控制站上,開啟 [Active Directory 使用者和電腦],按一下 [檢視],選取 [進階功能]

  2. 在左面板中,瀏覽到您的網域,再到 arcou 要使用的 OU

  3. 以滑鼠右鍵按一下 OU,然後選取 [屬性]。

注意

確定您已選取 [進階功能],方法是在 OU 上按一下滑鼠右鍵,然後選取 [檢視]

  1. 移至 [安全性] 索引標籤。選取 [進階功能],在 OU 上按一下滑鼠右鍵,然後選取 [檢視]

    AD 物件屬性

  2. 選取 [新增...],然後新增 arcdsa 使用者。

    [新增使用者] 對話方塊的螢幕擷取畫面。

  3. 選取 arcdsa 使用者並清除擁有權限,然後選取 [進階]

  4. 選取新增

    • 選取 [選取主體]、插入 arcdsa,然後選取 [確定]

    • 將 [類型] 設定為 [允許]

    • 將 [套用至] 設定為 [此物件及所有子系物件]

      權限項目的螢幕擷取畫面。

    • 向下捲動到底部,然後選取 [全部清除]

    • 捲動回頂端,然後選取:

      • 讀取全部內容
      • 寫入所有屬性
      • 建立使用者物件
      • 刪除使用者物件
    • 選取 [確定]。

  5. 選取 [新增]。

    • 選取 [選取主體]、插入 arcdsa,然後選取 [確定]

    • 將 [類型] 設定為 [允許]

    • 將 [套用至] 設定為 [子系使用者物件]

    • 向下捲動到底部,然後選取 [全部清除]

    • 捲動回頂端,然後選取 [重設密碼]

    • 選取 [確定]。

  • 再選取 [確定] 兩次,以關閉開啟的對話方塊。