Rotación de contraseñas de objetos de Active Directory generados automáticamente

  • Artículo

Se aplica a: SQL Server 2019 (15.x)

En este artículo se describe cómo rotar las contraseñas para objetos de Active Directory en un clúster de macrodatos integrado con Active Directory.

Importante

El complemento Clústeres de macrodatos de Microsoft SQL Server 2019 se va a retirar. La compatibilidad con Clústeres de macrodatos de SQL Server 2019 finalizará el 28 de febrero de 2025. Todos los usuarios existentes de SQL Server 2019 con Software Assurance serán totalmente compatibles con la plataforma, y el software se seguirá conservando a través de actualizaciones acumulativas de SQL Server hasta ese momento. Para más información, consulte la entrada de blog sobre el anuncio y Opciones de macrodatos en la plataforma Microsoft SQL Server.

Información general

Cuando se implementa un clúster de macrodatos con una integración de Active Directory, están las cuentas y grupos de Active Directory (AD) que crea SQL Server durante la implementación de un clúster de macrodatos. Para obtener más información sobre estas cuentas y grupos de AD, consulte Objetos de Active Directory generados automáticamente. Normalmente, estos objetos se encuentran en la unidad organizativa (UO) proporcionada en las configuraciones del perfil de implementación.

Uno de los mayores desafíos para los clientes empresariales es la protección de la seguridad. Para muchos clientes, es necesario establecer una directiva de expiración de contraseñas, lo que permite al administrador establecer la expiración de la contraseña del usuario a lo largo del tiempo. En el caso de un clúster de macrodatos, en el pasado esto requería cambiar manualmente las contraseñas de esos objetos de Active Directory generados automáticamente.

A fin de evitar los desafíos mencionados anteriormente, con la CU13 se introdujo la rotación automática de contraseñas para objetos de AD generados automáticamente.

Los dos pasos siguientes son necesarios, independientemente de la secuencia, para completar la rotación automática de contraseñas:

1. Use el comando azdata para rotar la contraseña.

Use el siguiente comando azdata para actualizar las contraseñas generadas automáticamente. Para obtener más información sobre azdata bdc rotate, vea la referencia de azdata.

   azdata bdc rotate -n <clusterName>

Esto inicia una actualización del plano de control, seguida de una actualización del clúster de macrodatos. Para cada rotación, se generará una versión de credencial de AD de destino para identificar la misma rotación entre varios servicios o iteraciones diferentes de rotaciones de contraseñas. Para cada servicio, si contiene una contraseña generada, se generará una nueva contraseña generada que se actualizará en el controlador de dominio. Las contraseñas tienen una longitud de 32 caracteres, contienen al menos un carácter en mayúsculas, un carácter en minúscula y un dígito. No se garantiza un carácter especial. Después, se reiniciarán los pods correspondientes.

2. Rotación de la contraseña para la cuenta de servicio de dominio (DSA)

Use el cuaderno PASS001 - Update Administrator Domain Controller Password para actualizar la Clústeres de macrodatos de SQL Servercontraseña de DSA. Para obtener más información sobre este cuaderno y otros cuadernos de administración de clústeres, consulte Cuadernos operativos para Clústeres de macrodatos de SQL Server. Puede actualizar manualmente la contraseña de DSA, ya que el clúster de macrodatos no la administra. Una vez cambiada, proporcione el nombre de usuario y la contraseña del administrador de DSA como parámetros de variable de entorno en el cuaderno.

Importante

La rotación de contraseñas y la actualización del clúster de macrodatos pueden tardar algún tiempo en completarse en función de la velocidad de red, el número de pods, etc. Una rotación de contraseñas es un proceso independiente y no se puede realizar en paralelo con la operación de actualización del clúster o la rotación de contraseñas de DSA.

Pasos siguientes