Durch Azure Arc aktivierte SQL Server-Instanz mit Active Directory-Authentifizierung mit systemseitig verwalteter Schlüsseltabelle – Voraussetzungen
In diesem Dokument wird erläutert, wie Sie die Bereitstellung von Azure Arc-fähigen Datendiensten mit Active Directory-Authentifizierung (AD) vorbereiten. In diesem Artikel wird speziell auf diejenigen Active Directory-Objekte eingegangen, die Sie vor der Bereitstellung von Kubernetes-Ressourcen konfigurieren müssen.
Die Einführung beschreibt zwei verschiedene Integrationsmodi:
- Systemseitig verwaltete Schlüsseltabelle: In diesem Modus kann das System die AD-Konten für jede SQL Managed Instance erstellen und verwalten.
- Kundenseitig verwaltete Schlüsseltabelle: In diesem Modus können Sie die AD-Konten für jede SQL Managed Instance erstellen und verwalten.
Die Anforderungen und Empfehlungen für die beiden Integrationsmodi unterscheiden sich voneinander.
| Active Directory-Objekt | Kundenseitig verwaltete Schlüsseltabelle | Systemseitig verwaltete Schlüsseltabelle |
|---|---|---|
| Organisationseinheit (OE) | Empfohlen | Erforderlich |
| Active Directory-Domänendienstkonto (Domain Service Account, DSA) für den Active Directory-Connector | Nicht erforderlich | Erforderlich |
| Active Directory-Konto für SQL Managed Instance | Wird für jede verwaltete Instanz erstellt | System erstellt AD-Konto für jede verwaltete Instanz |
DSA-Konto – Modus mit systemseitig verwalteter Schlüsseltabelle
Um alle erforderlichen Objekte in Active Directory automatisch erstellen zu können, benötigt der AD-Connector ein Domänendienstkonto (Domain Service Account, DSA). Das DSA ist ein Active Directory-Konto, das bestimmte Berechtigungen zum Erstellen, Verwalten und Löschen von Benutzerkonten innerhalb der angegebenen Organisationseinheit (OE) besitzt. In diesem Artikel wird erläutert, wie Sie die Berechtigung dieses Active Directory-Kontos konfigurieren. Die Beispiele in diesem Artikel rufen das DSA-Konto arcdsa auf.
Automatisch generierte Active Directory-Objekte
Im Modus mit systemseitig verwalteter Schlüsseltabelle generiert eine SQL Managed Instance-Bereitstellung mit Azure Arc-Unterstützung die Konten automatisch. Jedes der Konten repräsentiert eine SQL Managed Instance und wird während der gesamten Lebensdauer von SQL vom System verwaltet. Die Konten besitzen die Dienstprinzipalnamen (Service Principal Names, SPNs), die für jede SQL-Instanz erforderlich sind.
In den folgenden Schritten wird vorausgesetzt, dass Sie bereits über einen Active Directory-Domänencontroller verfügen. Wenn Sie noch keinen Domänencontroller eingerichtet haben, finden Sie in dieser Anleitung nützliche Schritte.
Erstellen von Active Directory-Objekten
Führen Sie die folgenden Schritte aus, bevor Sie eine SQL Managed Instance mit Azure Arc-Unterstützung mit AD-Authentifizierung bereitstellen:
- Erstellen Sie eine Organisationseinheit (OE) für alle AD-Objekte, die für SQL Managed Instance mit Azure Arc-Unterstützung relevant sind. Alternativ dazu können Sie auch bei der Bereitstellung eine vorhandene Organisationseinheit auswählen.
- Erstellen Sie ein AD-Konto für den AD-Connector, oder verwenden Sie ein vorhandenes Konto, und erteilen Sie diesem Konto die richtigen Berechtigungen für die im vorherigen Schritt erstellte Organisationseinheit.
Erstellen einer Organisationseinheit
Im Modus mit systemseitig verwalteter Schlüsseltabelle ist eine designierte Organisationseinheit erforderlich. Im Modus mit kundenseitig verwalteter Schlüsseltabelle wird die Verwendung einer Organisationseinheit empfohlen.
Öffnen Sie auf dem Domänencontroller Active Directory-Benutzer und -Computer. Klicken Sie im linken Bereich mit der rechten Maustaste auf das Verzeichnis, in dem Sie Ihre OE erstellen möchten. Klicken Sie dann auf Neu>Organisationseinheit, und folgen Sie den Anweisungen des Assistenten, um die OE zu erstellen. Alternativ können Sie eine OE mithilfe von PowerShell erstellen:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
In den Beispielen in diesem Artikel wird arcou als Name der OE verwendet.
Erstellen des Domänendienstkontos
Für den Modus mit systemseitig verwalteter Schlüsseltabelle benötigen Sie ein AD-Domänendienstkonto.
Erstellen Sie den Active Directory-Benutzer, den Sie als Domänendienstkonto verwenden möchten. Für dieses Konto sind bestimmte Berechtigungen erforderlich. Verwenden Sie ein vorhandenes Active Directory-Konto, oder erstellen Sie ein neues Konto, mit dem SQL Managed Instance mit Azure Arc-Unterstützung die erforderlichen Objekte einrichten kann.
Um in AD einen neuen Benutzer zu erstellen, können Sie mit der rechten Maustaste auf die Domäne oder die OE klicken und Neu>Benutzer auswählen:
Dieses Konto wird im vorliegenden Artikel als arcdsa bezeichnet.
Festlegen von Berechtigungen für das Domänendienstkonto
Für den Modus mit systemseitig verwalteter Schlüsseltabelle müssen Sie die Berechtigungen für das Domänendienstkonto festlegen.
Unabhängig davon, ob Sie ein neues Domänendienstkonto erstellt haben oder ein vorhandenes Active Directory-Benutzerkonto verwenden, gibt es bestimmte Berechtigungen, über die das Konto verfügen muss. Das DSA muss in der Lage sein, Benutzer, Gruppen und Computerkonten in der OE zu erstellen. In den folgenden Schritten lautet Name des Domänendienstkontos für SQL Managed Instance mit Azure Arc-Unterstützung arcdsa.
Wichtig
Sie können einen beliebigen Namen für das Domänendienstkonto verwenden, aber es wird davon abgeraten, den Kontonamen nach der Bereitstellung des AD-Connectors zu ändern.
Öffnen Sie auf dem Domänencontroller Active Directory-Benutzer und -Computer, klicken Sie auf Anzeigen, und wählen Sie Erweiterte Features aus.
Navigieren Sie im linken Bereich zu Ihrer Domäne und dann zu der OE, die für
arcouverwendet wird.Klicken Sie mit der rechten Maustaste auf die OE, und wählen Sie Eigenschaften aus.
Hinweis
Stellen Sie sicher, dass die Einstellung Erweiterte Funktionen aktiviert wurde, indem Sie mit der rechten Maustaste auf die OE klicken und dann Anzeigen auswählen.
Wechseln Sie zur Registerkarte „Sicherheit“. Wählen Sie Erweiterte Features aus, klicken Sie mit der rechten Maustaste auf die OE, und wählen Sie Anzeigenaus.
Wählen Sie Hinzufügen aus, und fügen Sie den Benutzer arcdsa hinzu.
Wählen Sie den Benutzer arcdsa aus, und löschen Sie alle Berechtigungen. Wählen Sie anschließend Erweitert aus.
Wählen Sie Hinzufügen aus
Wählen Sie Prinzipal auswählen aus, geben Sie arcdsa ein, und klicken Sie auf OK.
Legen Sie den Typ auf Zulassen fest.
Legen Sie Anwenden auf auf Dieses und alle untergeordneten Objekte fest.
Scrollen Sie bis ganz nach unten, und wählen Sie Alle löschen aus.
Scrollen Sie zurück nach oben, und aktivieren Sie die folgenden Berechtigungen:
- Alle Eigenschaften lesen
- Alle Eigenschaften schreiben
- Benutzerobjekte erstellen
- Benutzerobjekte löschen
Klickan Sie auf OK.
Klicken Sie auf Hinzufügen.
Wählen Sie Prinzipal auswählen aus, geben Sie arcdsa ein, und klicken Sie auf OK.
Legen Sie den Typ auf Zulassen fest.
Legen Sie Anwenden auf auf Untergeordnete Benutzerobjekte fest.
Scrollen Sie bis ganz nach unten, und wählen Sie Alle löschen aus.
Scrollen Sie zurück nach oben, und wählen Sie Kennwort zurücksetzen aus.
Klickan Sie auf OK.
- Klicken Sie zwei weitere Male auf OK, um die geöffneten Dialogfelder zu schließen.
Zugehöriger Inhalt
- Bereitstellen eines AD-Connectors für eine kundenseitig verwaltete Schlüsseltabelle
- Bereitstellen eines AD-Connectors für eine systemseitig verwaltete Schlüsseltabelle
- Bereitstellen einer durch Azure-Arc aktivierten SQL Managed Instance-Instanz in Active Directory (AD)
- Herstellen einer Verbindung mit einer durch Azure Arc aktivierten SQL Managed Instance-Instanz mithilfe der Active Directory-Authentifizierung