Konfigurationen des Enterprise-Sicherheitspakets mit Azure Active Directory Domain Services in Azure HDInsightEnterprise Security Package configurations with Azure Active Directory Domain Services in HDInsight

ESP-Cluster ermöglichen Mehrbenutzerzugriff in Azure HDInsight-Clustern.Enterprise Security Package (ESP) clusters provide multi-user access on Azure HDInsight clusters. HDInsight-Cluster mit ESP sind mit einer Domäne verbunden, sodass Domänenbenutzer ihre Domänenanmeldeinformationen zum Authentifizieren beim Cluster verwenden und Big Data-Aufträge ausführen können.HDInsight clusters with ESP are connected to a domain so that domain users can use their domain credentials to authenticate with the clusters and run big data jobs.

In diesem Artikel erfahren Sie, wie Sie einen HDInsight-Cluster mit ESP mit Azure Active Directory Domain Services (Azure AD DS) einrichten und konfigurieren.In this article, you learn how to configure a HDInsight cluster with ESP by using Azure Active Directory Domain Services (Azure AD-DS).

Hinweis

ESP ist in HDInsight 3.6 und 4.0 für Clustertypen allgemein verfügbar: Apache Spark, Interactive, Hadoop und HBase.ESP is generally available in HDInsight 3.6 and 4.0 for cluster types: Apache Spark, Interactive, Hadoop and HBase. ESP für den Clustertyp Apache Kafka befindet sich in der Vorschauphase mit Support nach besten Bemühungen.ESP for Apache Kafka cluster type is in preview with best effort support only. ESP-Cluster, die vor dem Datum der allgemeinen Verfügbarkeit von ESP (1. Oktober 2018) erstellt wurden, werden nicht unterstützt.ESP clusters created before ESP GA date (October 1, 2018) are not supported.

Aktivieren von Azure AD DSEnable Azure AD-DS

Hinweis

Nur Mandantenadministratoren verfügen über die Berechtigungen zum Aktivieren von Azure AD DS.Only tenant administrators have the privileges to enable Azure AD-DS. Wenn Azure Data Lake Storage (ADLS) Gen 1 oder Gen 2 als Clusterspeicher verwendet wird, müssen Sie die Multi-Factor Authentication (MFA) nur für Benutzer deaktivieren, die mit grundlegenden Kerberos-Authentifizierungen auf den Cluster zugreifen müssen.If the cluster storage is Azure Data Lake Storage (ADLS) Gen1 or Gen2, you must disable Multi-Factor Authentication (MFA) only for users who will need to access the cluster using basic Kerberos authentications. Sie können vertrauenswürdige IP-Adressen oder bedingten Zugriff verwenden, um MFA nur für bestimmte Benutzer zu deaktivieren, wenn diese auf den VNET-IP-Adressbereich des HDInsight-Clusters zugreifen.You can use trusted IPs or Conditional Access to disable MFA for specific users ONLY when they are accessing the HDInsight cluster VNET IP range. Bei Verwendung von bedingtem Zugriff muss der AD-Dienstendpunkt im HDInsight-VNET aktiviert sein.If you are using Conditional Access please make sure that AD service endpoint in enabled on the HDInsight VNET.

Wenn der Clusterspeicher Azure Blob Storage (WASB) ist, deaktivieren Sie MFA nicht.If the cluster storage is Azure Blob Storage (WASB), do not disable MFA.

Das Aktivieren von AD DS ist eine Voraussetzung zum Erstellen eines HDInsight-Clusters mit ESP.Enabling AzureAD-DS is a prerequisite before you can create a HDInsight cluster with ESP. Weitere Informationen finden Sie unter Aktivieren von Azure Active Directory Domain Services mithilfe des Azure-Portals.For more information, see Enable Azure Active Directory Domain Services using the Azure portal.

Wenn Azure AD DS aktiviert ist, beginnen alle Benutzer und Objekte standardmäßig mit der Synchronisierung von Azure Active Directory (AAD) zu Azure AD DS.When Azure AD-DS is enabled, all users and objects start synchronizing from Azure Active Directory (AAD) to Azure AD-DS by default. Die Dauer des Synchronisierungsvorgangs hängt von der Anzahl von Objekten in Azure AD ab.The length of the sync operation depends on the number of objects in Azure AD. Die Synchronisierung kann bei Hunderttausenden von Objekten einige Tage dauern.The sync could take a few days for hundreds of thousands of objects.

Der mit Azure AD DS verwendete Domänenname darf maximal 39 Zeichen lang sein, da er ansonsten nicht mit HDInsight verwendet werden kann.The domain name that you use with Azure AD-DS must be 39 characters or less, to work with HDInsight.

Sie können auswählen, nur die Gruppen zu synchronisieren, die Zugriff auf die HDInsight-Cluster benötigen.You can choose to sync only the groups that need access to the HDInsight clusters. Diese Option, nur bestimmte Gruppen zu synchronisieren, wird als bereichsbezogene Synchronisierung bezeichnet.This option of syncing only certain groups is called scoped synchronization. Anweisungen finden Sie unter Konfigurieren der bereichsbezogenen Synchronisierung von Azure AD mit Ihrer verwalteten Domäne.See Configure Scoped Synchronization from Azure AD to your managed domain for instructions.

Wenn Sie Secure LDAP aktivieren, geben Sie den Domänennamen im Antragstellernamen und im alternativen Antragstellernamen im Zertifikat ein.When enabling secure LDAP, put the domain name in the subject name and the subject alternative name in the certificate. Wenn Ihr Domänenname beispielsweise contoso100.onmicrosoft.com lautet, stellen Sie sicher, dass der genaue Name im Antragstellernamen und im alternativen Antragstellernamen des Zertifikats vorhanden ist.For example, if your domain name is contoso100.onmicrosoft.com, make sure that exact name exists in your certificate subject name and subject alternative name. Weitere Informationen finden Sie unter Konfigurieren von sicherem LDAP für eine durch Azure AD DS verwaltete Domäne.For more information, see Configure secure LDAP for an Azure AD-DS managed domain. Nachfolgend sehen Sie ein Beispiel zum Erstellen eines selbstsignierten Zertifikats mit dem Domänennamen (contoso100.onmicrosoft.com) im Antragstellernamen und im alternativen Antragstellernamen (DnsName):Below is an example of creating a self-signed cert and have the domain name (contoso100.onmicrosoft.com) in both Subject name and DnsName (Subject alternate name):

$lifetime=Get-Date
New-SelfSignedCertificate -Subject contoso100.onmicrosoft.com `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.contoso100.onmicrosoft.com, contoso100.onmicrosoft.com

Überprüfen des AD DS-IntegritätsstatusCheck Azure AD-DS health status

Zeigen Sie den Integritätsstatus Ihrer Azure Active Directory Domain Services an, indem Sie Integrität unter der Kategorie Verwalten auswählen.View the health status of your Azure Active Directory Domain Services by selecting Health under the Manage category. Stellen Sie sicher, dass der Status von AD DS grün (wird ausgeführt) und die Synchronisierung abgeschlossen ist.Make sure the status of Azure AD-DS is green (running) and the synchronization is complete.

Integrität von Azure Active Directory Domain Services

Erstellen und Autorisieren einer verwalteten IdentitätCreate and Authorize a managed identity

Eine benutzerseitig zugewiesene verwaltete Identität wird verwendet, um Domänendienstvorgänge zu vereinfachen und zu schützen.A user-assigned managed identity is used to simplify and secure domain services operations. Wenn Sie der verwalteten Identität die Rolle „HDInsight-Domänendienste: Mitwirkender“ zuweisen, kann sie Domänendienstvorgänge lesen, erstellen, ändern und löschen.When you assign the HDInsight Domain Services Contributor role to the managed identity, it can read, create, modify, and delete domain services operations. Bestimmte Domänendienstvorgänge wie das Erstellen von Organisationseinheiten und Dienstprinzipalen sind für das HDInsight-Enterprise-Sicherheitspaket erforderlich.Certain domain services operations such as creating OUs and service principals are needed for the HDInsight Enterprise Security Package. Verwaltete Identitäten können in jedem Abonnement erstellt werden.Managed identities can be created in any subscription. Weitere allgemeine Informationen zu verwalteten Identitäten finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.For more information on managed identities in general, see Managed identities for Azure resources. Weitere Informationen zur Funktionsweise verwalteter Identitäten in Azure HDInsight finden Sie unter Verwaltete Identitäten in Azure HDInsight.For more information on how managed identities work in Azure HDInsight, see Managed identities in Azure HDInsight.

Erstellen Sie zum Einrichten von ESP-Clustern eine benutzerseitig zugewiesene verwaltete Identität, falls noch keine vorhanden ist.To set up ESP clusters, create a user-assigned managed identity if you don’t have one already. Die genaue Vorgehensweise finden Sie unter Erstellen, Auflisten, Löschen oder Zuweisen einer Rolle zu einer benutzerseitig zugewiesenen verwalteten Identität über das Azure-Portal.See Create, list, delete, or assign a role to a user-assigned managed identity using the Azure portal for instructions. Weisen Sie anschließend der verwalteten Identität die Rolle HDInsight-Domänendienste: Mitwirkender in der Azure AD DS-Zugriffssteuerung zu. (Für diese Rollenzuweisung sind AAD DS-Administratorrechte erforderlich.)Next, assign the HDInsight Domain Services Contributor role to the managed identity in Azure AD-DS Access control (AAD-DS admin privileges are required to make this role assignment).

Azure Active Directory Domain Services-Zugriffssteuerung

Die Zuweisung der Rolle HDInsight-Domänendienste: Mitwirkender stellt sicher, dass die Identität über den richtigen Zugriff (im Auftrag von) verfügt, um Domänendienstvorgänge (etwa Erstellen oder Löschen von Organisationseinheiten) in der AAD DS-Domäne auszuführen.Assigning the HDInsight Domain Services Contributor role ensures that this identity has proper (on behalf of) access to perform domain services operations such as creating OUs, deleting OUs, etc. on the AAD-DS domain.

Wenn die verwaltete Identität erstellt und der richtigen Rolle zugewiesen wurde, kann der AD DS-Administrator festlegen, wer diese verwaltete Identität verwenden darf.Once the managed identity is created and given the correct role, the AAD-DS admin can set up who can use this managed identity. Um Benutzer für die verwaltete Identität einzurichten, muss der Administrator die verwaltete Identität im Portal auswählen und dann unter Übersicht auf Zugriffssteuerung (IAM) klicken.To set up users for the managed identity, the admin should select the managed identity in the portal, then click Access Control (IAM) under Overview. Weisen Sie dann auf der rechten Seite den Benutzern oder Gruppen, die HDInsight ESP-Cluster erstellen möchten, die Rolle Operator für verwaltete Identität zu.Then, on the right, assign the Managed Identity Operator role to the users or groups that want to create HDInsight ESP clusters. Der AAD-DS-Administrator kann diese Rolle z.B. der Gruppe MarketingTeam für die verwaltete Identität sjmsi zuweisen, wie in der folgenden Abbildung dargestellt.For example, the AAD-DS admin can assign this role to the MarketingTeam group for the sjmsi managed identity as shown in the following image. Dadurch wird sichergestellt, dass die entsprechenden Personen in der Organisation Zugriff auf diese verwaltete Identität haben, um ESP-Cluster zu erstellen.This will ensure that the right people in the organization have access to use this managed identity for the purpose of creating ESP clusters.

Rollenzuweisung „Operator für verwaltete Identität“ in HDInsight

Überlegungen zum NetzwerkbetriebNetworking considerations

Hinweis

Azure AD DS muss in einem Azure Resource Manager basierten VNET bereitgestellt werden.Azure AD-DS must be deployed in an Azure Resource Manager based vNET. Klassische virtuelle Netzwerke werden für Azure AD-DS nicht unterstützt.Classic virtual networks are not supported for Azure AD-DS. Weitere Informationen finden Sie unter Aktivieren von Azure Active Directory Domain Services mithilfe des Azure-Portals.For more information, see Enable Azure Active Directory Domain Services using the Azure portal.

Wenn Sie AD DS aktiviert haben, wird ein lokaler DNS-Server auf den Azure-VMs ausgeführt.After you enable Azure AD-DS, a local Domain Name Service (DNS) server runs on the AD Virtual Machines (VMs). Konfigurieren Sie Ihr virtuelles AD DS-Netzwerk (VNET), um diese benutzerdefinierten DNS-Server zu verwenden.Configure your Azure AD-DS Virtual Network (VNET) to use these custom DNS servers. Um die richtigen IP-Adressen zu finden, wählen Sie Eigenschaften unter der Kategorie Verwalten aus, und sehen Sie sich die unter IP-Adresse im virtuellen Netzwerk aufgeführten IP-Adressen an.To locate the right IP addresses, select Properties under the Manage category and look at the IP Addresses listed beneath IP Address on Virtual Network.

Suchen von IP-Adressen für lokale DNS-Server

Ändern Sie die Konfiguration der DNS-Server im AD DS-VNET, um diese benutzerdefinierten IP-Adressen zu verwenden, indem Sie in der Kategorie Einstellungen DNS-Server auswählen.Change the configuration of the DNS servers in the Azure AD-DS VNET to use these custom IPs by selecting DNS Servers under the Settings category. Klicken Sie dann auf das Optionsfeld neben Benutzerdefiniert, geben Sie die erste IP-Adresse in das Textfeld unten ein, und klicken Sie auf Speichern.Then click the radio button next to Custom, enter the first IP Address in the text box below, and click Save. Gehen Sie genauso vor, um weitere IP-Adressen hinzuzufügen.Add additional IP Addresses using the same steps.

Aktualisieren der VNET-DNS-Konfiguration

Es ist einfacher, die Azure AD DS-Instanz und den HDInsight-Cluster im gleichen virtuellen Azure-Netzwerk zu platzieren.It's easier to place both the Azure AD-DS instance and the HDInsight cluster in the same Azure virtual network. Wenn Sie verschiedene VNETs verwenden möchten, müssen Sie ein Peering für diese virtuellen Netzwerke ausführen, sodass der Domänencontroller für HDI-VMs sichtbar ist.If you plan to use different VNETs, you must peer those virtual networks so that the domain controller is visible to HDI VMs. Weitere Informationen finden Sie unter Peering in virtuellen Netzwerken.For more information, see Virtual network peering.

Nachdem die VNETs durchsucht wurden, konfigurieren Sie das HDInsight-VNET so, dass es einen benutzerdefinierten DNS-Server verwendet, und geben Sie die privaten AD DS-IP-Adressen als DNS-Serveradressen ein.After the VNETs are peered, configure the HDInsight VNET to use a custom DNS server and input the Azure AD-DS private IPs as the DNS server addresses. Wenn beide VNETs die gleichen DNS-Server verwenden, wird Ihr benutzerdefinierter Domänenname in die richtige IP-Adresse aufgelöst und ist über HDInsight erreichbar.When both VNETs use the same DNS servers, your custom domain name will resolve to the right IP and will be reachable from HDInsight. Wenn Ihr Domänenname also beispielsweise contoso.com lautet, muss ping contoso.com nach diesem Schritt in die richtige Azure AD DS-IP-Adresse aufgelöst werden.For example if your domain name is contoso.com then after this step, ping contoso.com should resolve to the right Azure AD-DS IP.

Konfigurieren von benutzerdefinierten DNS-Servern für VNET mit Peering

Wenn Sie in Ihrem HDInsight-Subnetz Regeln für Netzwerksicherheitsgruppen (NSG) verwenden, müssen Sie die erforderlichen IP-Adressen für den eingehenden und ausgehenden Datenverkehr zulassen.If you're using Network Security Groups (NSG) rules in your HDInsight subnet, you should allow the required IPs for both Inbound and Outbound traffic.

Um zu testen, ob Ihr Netzwerk korrekt eingerichtet ist, verknüpfen Sie eine Windows-VM mit dem HDInsight-VNET/Subnetz, pingen Sie den Domänennamen (er sollte sich in eine IP-Adresse auflösen), und führen Sie dann ldp.exe aus, um auf die AD DS-Domäne zuzugreifen.To test if your networking is set up correctly, join a windows VM to the HDInsight VNET/Subnet and ping the domain name (it should resolve to an IP), then run ldp.exe to access Azure AD-DS domain. Verknüpfen Sie dann diese Windows-VM mit der Domäne zum Bestätigen, dass alle erforderlichen RPC-Aufrufe zwischen Client und Server erfolgreich sind.Then join this windows VM to the domain to confirm that all the required RPC calls succeed between the client and server. Sie können auch nslookup verwenden, um den Netzwerkzugriff auf Ihr Speicherkonto oder eine beliebige externe Datenbank zu bestätigen (z.B. externer Hive-Metastore oder Ranger-Datenbank).You can also use nslookup to confirm networking access to your storage account or any external DB you might use (for example, external Hive metastore or Ranger DB). Achten Sie darauf, dass alle benötigten Ports in der Whitelist der Regeln der Netzwerksicherheitsgruppe (NSG) des AAD DS-Subnetzes enthalten sind, wenn AAD DS durch eine NSG gesichert ist.You should make sure that all of the required ports are whitelisted in the AAD-DS subnet Network Security Group rules, if AAD-DS is secured by an NSG. Wenn der Domänenbeitritt dieses virtuellen Windows-Computers erfolgreich ist, können Sie mit dem nächsten Schritt fortfahren und ESP-Cluster erstellen.If the domain joining of this windows VM is successful, then you can continue to the next step and create ESP clusters.

Erstellen eines HDInsight-Clusters mit ESPCreate a HDInsight cluster with ESP

Wenn Sie die vorherigen Schritte korrekt festgelegt haben, erstellen Sie im nächsten Schritt den HDInsight-Cluster mit aktiviertem ESP.After setting up the previous steps correctly, the next step is to create the HDInsight cluster with ESP enabled. Beim Erstellen eines HDInsight-Clusters können Sie das Enterprise-Sicherheitspaket auf der Registerkarte Sicherheit + Netzwerkbetrieb aktivieren. Wenn Sie die Bereitstellung über eine Azure Resource Manager-Vorlage ausführen möchten, laden Sie im Portal einmalig die vorausgefüllte Vorlage auf der Seite Überprüfen + Erstellen herunter, um diese später wieder verwenden zu können.When you create an HDInsight cluster, you can enable Enterprise Security Package in the Security + networking tab. If you prefer to use an Azure Resource Manager template for deployment, use the portal experience once and download the pre-filled template on the Review + create page for future reuse.

Hinweis

Die ersten sechs Zeichen des ESP-Clusternamens müssen in Ihrer Umgebung eindeutig sein.The first six characters of the ESP cluster names must be unique in your environment. Bei mehreren ESP-Clustern in verschiedenen VNETs müssen Sie beispielsweise eine Benennungskonvention wählen, die sicherstellt, dass die ersten sechs Zeichen des Clusternamens eindeutig sind.For example, if you have multiple ESP clusters in different VNETs, you should choose a naming convension that ensures the first six characters on the cluster names are unique.

Azure HDInsight Enterprise-Sicherheitspaket – Domänenüberprüfung

Sobald Sie ESP aktivieren, werden häufige Fehlkonfigurationen im Zusammenhang mit Azure AD DS automatisch erkannt und validiert.Once you enable ESP, common misconfigurations related to Azure AD-DS will be automatically detected and validated. Nachdem Sie diese Fehler behoben haben, können Sie mit dem nächsten Schritt fortfahren:After fixing these errors, you can continue with the next step:

Azure HDInsight Enterprise-Sicherheitspaket – fehlgeschlagene Domänenüberprüfung

Zum Erstellen eines HDInsight-Clusters mit ESP müssen Sie die folgende Parameter angeben:When you create a HDInsight cluster with ESP, you must supply the following parameters:

  • Clusteradministrator: Wählen Sie einen Administrator für Ihren Cluster aus Ihrem synchronisierten Azure AD DS aus.Cluster admin user: Choose an admin for your cluster from your synced Azure AD-DS. Dieses Domänenkonto muss bereits synchronisiert und in Azure AD DS verfügbar sein.This domain account must be already synced and available in Azure AD-DS.

  • Clusterzugriffsgruppen: Die Sicherheitsgruppen, deren Benutzer Sie synchronisieren möchten und deren Benutzer Zugriff auf den Cluster haben sollen, sollten in Azure AD DS verfügbar sein.Cluster access groups: The security groups whose users you want to sync and have access to the cluster should be available in Azure AD-DS. Zum Beispiel die Gruppe HiveUsers.For example, HiveUsers group. Weitere Informationen dazu finden Sie in Erstellen einer Gruppe in Azure Active Directory und Hinzufügen von Mitgliedern.For more information, see Create a group and add members in Azure Active Directory.

  • LDAPS-URL: Ein Beispiel ist ldaps://contoso.com:636.LDAPS URL: An example is ldaps://contoso.com:636.

Die von Ihnen erstellte verwaltete Identität kann beim Erstellen eines neuen Clusters aus dem Dropdownmenü für die vom Benutzer zugewiesene verwaltete Identität ausgewählt werden.The managed identity you created can be chosen in from the user-assigned managed identity dropdown when creating a new cluster.

Verwaltete Active Directory Domain Services-Identität für Azure HDInsight-Sicherheitspaket (ESP)..

Nächste SchritteNext steps