Implemente Clústeres de macrodatos de SQL ServerSQL Server Big Data Clusters en el modo de Active Directory: PrerrequisitosDeploy Clústeres de macrodatos de SQL ServerSQL Server Big Data Clusters in Active Directory mode: Prerequisites

Se aplica a:Applies to: síSQL Server 2019 (15.x)SQL Server 2019 (15.x)yesSQL Server 2019 (15.x)SQL Server 2019 (15.x)Se aplica a:Applies to: síSQL Server 2019 (15.x)SQL Server 2019 (15.x)yesSQL Server 2019 (15.x)SQL Server 2019 (15.x)

En este documento se explica cómo preparar un clúster de macrodatos (BDC) de SQL Server en el modo de autenticación de Active Directory.This document explains how to prepare to deploy a SQL Server big data cluster (BDC) in the Active Directory authentication mode. El clúster usa un dominio de AD existente para la autenticación.The cluster uses an existing AD domain for authentication.

Nota

Antes de la versión SQL Server 2019 CU5, existe una restricción en los clústeres de macrodatos para que solo se pueda implementar un clúster en un dominio de Active Directory.Before SQL Server 2019 CU5 release, there is a restriction in big data clusters so that only one cluster could be deployed against an Active Directory domain. Esta restricción se quita con la versión CU5. Vea Concepto: implementación de Clústeres de macrodatos de SQL ServerSQL Server Big Data Clusters en modo de Active Directory para obtener información detallada sobre las capacidades nuevas.This restriction is removed with the CU5 release, see Concept: deploy Clústeres de macrodatos de SQL ServerSQL Server Big Data Clusters in Active Directory mode for details on the new capabilities. Los ejemplos de este artículo se ajustan para adaptarse a ambos casos de uso de implementación.Examples in this article are adjusted to accommodate both deployment use cases.

Información previaBackground

Para habilitar la autenticación Active Directory (AD), el BDC crea automáticamente los usuarios, los grupos, las cuentas de máquina y los nombres de entidad de seguridad de servicio (SPN) que necesitan los distintos servicios del clúster.To enable Active Directory (AD) authentication, the BDC automatically creates the users, groups, machine accounts, and service principal names (SPN) that the various services in the cluster need. Para proporcionar cierta independencia respecto de estas cuentas y posibilitar el uso de permisos de ámbito, recomendamos crear una unidad organizativa (UO) antes de la implementación del clúster.To provide some containment of these accounts and allow scoping permissions, we suggest create an organizational unit (OU) before cluster deployment. Todos los objetos de AD relacionados con BDC se crearán durante la implementación.All BDC-related AD objects will be created during deployment.

Requisitos previosPre-requisites

Unidad organizativa (OU)Organizational Unit (OU)

Una unidad organizativa (UO) es una subdivisión dentro de una instancia de Active Directory en la que se colocan usuarios, grupos e incluso otras unidades organizativas.An organizational unit (OU) is a subdivision within an Active Directory into where place users, groups, and even other organizational units. Las unidades organizativas de idea general se pueden usar para reflejar la estructura funcional o empresarial de una organización.Big picture Organizational units can be used to mirror an organization's functional or business structure. En este artículo crearemos una unidad organizativa denominada bdc como ejemplo.This article we'll create an OU called bdc as an example.

Nota

La unidad organizativa (UO) representa límites administrativos y permite a los clientes controlar el ámbito de autoridad de los administradores de datos.The organizational unit (OU) represents administrative boundaries and enable customers to control the scope of authority of data administrators.

Puede seguir principios de diseño de unidad organizativa para decidir cuál es la mejor estructura para trabajar con unidades organizativas dentro de la organización.You can follow OU Design Principles to decide on the best structure on working with OUs within your organization.

Cuenta de AD para la cuenta de servicio de dominio del BDCAD account for BDC domain service account

Para poder crear todos los objetos necesarios en Active Directory automáticamente, el BDC necesita una cuenta de AD que tenga permisos específicos para crear usuarios, grupos y cuentas del equipo dentro de la unidad organizativa (UO) proporcionada.To be able to create all the required objects in Active Directory automatically, the BDC needs an AD account which have specific permissions to create users, groups, and machine accounts inside the provided organizational unit (OU). En este artículo se explicará cómo configurar el permiso de esta cuenta de AD.This article will explain how to configure the permission of this AD account. Usamos una llamada a la cuenta de AD bdcDSA como ejemplo en este artículo.We use an AD Account call bdcDSA as an example in this article.

Objetos de Active Directory generados automáticamenteAuto generated Active Directory objects

La implementación de BDC genera automáticamente los nombres de cuenta y de grupo.BDC deployment automatically generates account and group names. Cada una de las cuentas representa un servicio en BDC, que las administrará mientras el clúster de BDC esté en uso.Each of the accounts represents a service in BDC and will be managed by BDC throughout the lifetime where BDC cluster is in use. Esas cuentas poseen los nombres de entidad de seguridad de servicio (SPN) necesarios para cada servicio.Those accounts own the Service Principal Names (SPNs) are required by each service. Para obtener una lista completa de cuentas, grupos y servicios generados automáticamente de AD, consulte Objetos de Active Directory generados automáticamente.For a full list of AD auto-generated accounts, groups, and service that they managed, see Auto generated Active Directory objects.

Importante

En función de la directiva de expiración de contraseñas establecida en el controlador de dominio, las contraseñas de estas cuentas pueden expirar.Depending on the password expiration policy set in the Domain Controller, passwords for these accounts can expire. La directiva de expiración predeterminada es de 42 días.The default expiration policy is 42 days. No hay ningún mecanismo para rotar las credenciales para todas las cuentas del clúster de macrodatos, por lo que el clúster dejará de funcionar cuando se cumpla el período de expiración.There is no mechanism to rotate credentials for all accounts in BDC, so the cluster will become inoperable once the expiration period is met. Para solucionar este problema, actualice la directiva de expiración de las cuentas de servicio del clúster de macrodatos a "La contraseña nunca expira" en el controlador de dominio.To workaround this issue, update the expiration policy for the BDC service accounts to “Password never expires” in the Domain Controller. Esta acción se puede realizar antes o después de la fecha de expiración.This action can be done before or after the expiration time. En el último caso, Active Directory reactivará las contraseñas expiradas.In the latter case, Active Directory will reactivate the expired passwords.

En la imagen siguiente se muestra dónde se establece esta propiedad en Usuarios y equipos de Active Directory.The following image shows where to set this property in in Active Directory Users and Computers.

Establecimiento de directivas de expiración de contraseñas

En los pasos siguientes se da por hecho que ya cuenta con un controlador de dominio de Active Directory.The steps below assume you already have an Active Directory domain controller. Si no se tiene un controlador de dominio, la guía siguiente incluye pasos que pueden resultar útiles.If you don't have a domain controller, the following guide includes steps that can be helpful.

Creación de objetos de ADCreate AD objects

Antes de implementar un BDC con la integración de AD, haga lo siguiente:Do the following things before you deploy a BDC with AD integration:

  1. Cree una unidad organizativa (UO) donde se almacenarán todos los objetos de AD relacionados con BDC.Create an organizational unit (OU) where all BDC-related AD objects will be stored. También puede optar por elegir una UO existente durante la implementación.Alternatively you can choose an existing OU upon deployment.
  2. Cree una cuenta de AD para el BDC o use una cuenta existente y proporcione a esta cuenta de AD del BDC los permisos adecuados dentro de la unidad organizativa (UO) proporcionada.Create an AD account for BDC, or use an existing account, and provide this BDC AD account the right permissions inside the provided organizational unit (OU).

Creación de un usuario en AD para la cuenta de servicio de dominio del BDCCreate a user in AD for BDC domain service account

El clúster de macrodatos requiere una cuenta con permisos específicos.The big data cluster requires an account with specific permissions. Antes de continuar, asegúrese de tener una cuenta de AD existente o cree una nueva cuenta, que puede usar el clúster de macrodatos para configurar los objetos necesarios.Before you proceed, make sure that you have an existing AD account or create a new account, which the big data cluster can use to set up the necessary objects.

Para crear un nuevo usuario en AD, puede hacer clic con el botón derecho en el dominio o la UO y seleccionar Nuevo > Usuario:To create a new user in AD, you can right-click the domain or the OU and select New > User:

Cuadro de diálogo Usuarios de Active Directory

En este artículo se hará referencia a este usuario como la cuenta de servicio de dominio del BDC.This user will be referred to as the BDC domain service account in this article.

Creación de una unidad organizativaCreate an OU

En el controlador de dominio, abra Usuarios y equipos de Active Directory.On the domain controller, open Active Directory Users and Computers. En el panel izquierdo, haga clic con el botón derecho en el directorio en el que quiera crear la UO y seleccione Nuevo > Unidad organizativa y, después, siga las indicaciones del asistente para crearla.On the left panel, right-click the directory under which you want to create your OU and select New > Organizational Unit, then follow the prompts from the wizard to create the OU. También puede crear una UO con PowerShell:Alternatively, you can create an OU with PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

En los ejemplos de este artículo se usa bdc para el nombre de la UO.The examples in this article use bdc for the OU name.

Unidad organizativa de Active Directory

Objeto nuevo: unidad organizativa

Establecimiento de permisos para una cuenta de ADSet permissions for an AD account

Tanto si se ha creado un nuevo usuario de AD como si se usa uno existente, existen ciertos permisos que el usuario debe tener.Whether you have created a new AD user or using an existing AD user, there are certain permissions the user needs to have. Esta cuenta es la cuenta de usuario que el controlador del BDC usará al unir el clúster a AD.This account is the user account that the BDC controller will use when joining the cluster to AD.

La cuenta de servicio de dominio (DSA) del BDC debe ser capaz de crear usuarios, grupos y cuentas de equipo en la UO.The BDC domain service account (DSA) needs to be able to create users, groups, and computer accounts in the OU. En los pasos siguientes, el nombre que hemos asignado a la cuenta de servicio de dominio del BDC es bdcDSA.In the following steps, we have named the BDC domain service account bdcDSA. Se puede elegir cualquier nombre para esta cuenta.You can choose any name for this account.

  1. En el controlador de dominio, abra Usuarios y equipos de Active Directory.On the domain controller, open Active Directory Users and Computers

  2. En el panel izquierdo, navegue hasta el dominio y, luego, hasta la UO que usará bdc.In the left panel, navigate to your domain, then the OU which bdc will use

  3. Haga clic con el botón derecho en la UO y seleccione Propiedades.Right-click the OU, and select Properties.

  4. Asegúrese de haber seleccionado Características avanzadas haciendo clic con el botón derecho en la UO y seleccionando Ver, y vaya a la pestaña Seguridad.Go to the Security tab (Make sure that you have selected Advanced Features by right-clicking on the OU, and selecting View)

    Propiedades de objetos BDC

  5. Haga clic en Agregar... y agregue el usuario bdcDSA.Click Add... and add the bdcDSA user

    Agregar propiedades de objetos BDC

    Seleccionar objeto

  6. Seleccione el usuario bdcDSA, borre todos los permisos y haga clic en Avanzado.Select the bdcDSA user and clear all permissions, then click Advanced

  7. Haga clic en Agregar.Click Add

    Hacer clic en Agregar

    • Haga clic en Seleccionar una entidad de seguridad, inserte bdcDSA y haga clic en Aceptar.Click Select a Principal, insert bdcDSA, and click Ok

    • Establezca Tipo en Permitir.Set Type to Allow

    • Establezca Se aplica a en Este objeto y todos los descendientes.Set Applies To to This Object and all descendant objects

      Establecer Permitir para propiedades

    • Desplácese hasta la parte inferior y haga clic en Borrar todo.Scroll down to the bottom, and click Clear all

    • Desplácese hacia la parte superior y seleccione lo siguiente:Scroll back to the top, and select:

      • Leer todas las propiedadesRead all properties
      • Escribir todas las propiedadeswrite all properties
      • Crear objetos de equipoCreate Computer objects
      • Eliminar objetos de equipoDelete Computer objects
      • Crear objetos de grupoCreate Group objects
      • Eliminar objetos de grupoDelete Group objects
      • Crear objetos de usuarioCreate User objects
      • Eliminación de objetos de usuarioDelete User objects
    • Haga clic en AceptarClick OK

  • Haga clic en Agregar.Click Add

    • Haga clic en Seleccionar una entidad de seguridad, inserte bdcDSA y haga clic en Aceptar.Click Select a Principal, insert bdcDSA, and click Ok

    • Establezca Tipo en Permitir.Set Type to Allow

    • Establezca Se aplica a en Objetos de equipo descendientes.Set Applies To to Descendant Computer objects

    • Desplácese hasta la parte inferior y haga clic en Borrar todo.Scroll down to the bottom, and click Clear all

    • Desplácese hacia la parte superior y seleccione Restablecer contraseña.Scroll back to the top, and select Reset password

    • Haga clic en AceptarClick OK

  • Haga clic en Agregar.Click Add

    • Haga clic en Seleccionar una entidad de seguridad, inserte bdcDSA y haga clic en Aceptar.Click Select a Principal, insert bdcDSA, and click Ok

    • Establezca Tipo en Permitir.Set Type to Allow

    • Establezca Se aplica a en Objetos de usuario descendientes.Set Applies To to Descendant User objects

    • Desplácese hasta la parte inferior y haga clic en Borrar todo.Scroll down to the bottom, and click Clear all

    • Desplácese hacia la parte superior y seleccione Restablecer contraseña.Scroll back to the top, and select Reset password

    • Haga clic en AceptarClick OK

  • Haga clic en Aceptar dos veces más para cerrar los cuadros de diálogo abiertos.Click OK twice more to close open dialog boxes

Pasos siguientesNext steps

Implementación de Clústeres de macrodatos de SQL ServerSQL Server Big Data Clusters en el modo de Active DirectoryDeploy Clústeres de macrodatos de SQL ServerSQL Server Big Data Clusters in Active Directory mode

Solución de problemas de integración de Active Directory de un Clúster de macrodatos de SQL ServerTroubleshoot SQL Server Big Data Cluster Active Directory integration

Concepto: Implementación de Clústeres de macrodatos de SQL ServerSQL Server Big Data Clusters en modo de Active DirectoryConcept: deploy Clústeres de macrodatos de SQL ServerSQL Server Big Data Clusters in Active Directory mode