Menyebarkan SQL Server Kluster Big Data dalam mode Direktori Aktif: Prasyarat

Berlaku untuk: SQL Server 2019 (15.x)

Dokumen ini menjelaskan cara bersiap untuk menyebarkan kluster big data SQL Server dalam mode autentikasi Direktori Aktif. Kluster menggunakan domain AD yang ada untuk autentikasi.

Penting

Add-on Kluster Big Data Microsoft SQL Server 2019 akan dihentikan. Dukungan untuk Kluster Big Data SQL Server 2019 akan berakhir pada 28 Februari 2025. Untuk informasi selengkapnya, lihat Opsi big data di platform Microsoft SQL Server.

Catatan

Sebelum SQL Server rilis CU5 2019, ada pembatasan dalam kluster big data sehingga hanya satu kluster yang dapat disebarkan terhadap domain Direktori Aktif. Pembatasan ini dihapus dengan rilis CU5, lihat Konsep: menyebarkan SQL Server Kluster Big Data dalam mode Direktori Aktif untuk detail tentang kemampuan baru. Contoh dalam artikel ini disesuaikan untuk mengakomodasi kedua kasus penggunaan penyebaran.

Background

Untuk mengaktifkan autentikasi Direktori Aktif (AD), kluster big data secara otomatis membuat pengguna, grup, akun komputer, dan nama perwakilan layanan (SPN) yang dibutuhkan berbagai layanan dalam kluster. Untuk menyediakan beberapa penahanan akun ini dan mengizinkan izin cakupan, sebaiknya buat unit organisasi (OU) sebelum penyebaran kluster. Semua objek AD terkait kluster big data akan dibuat selama penyebaran.

Prasyarat

Unit Organisasi (OU)

Unit organisasi (OU) adalah subdivisi dalam Direktori Aktif tempat pengguna, grup, dan bahkan unit organisasi lainnya. Unit Organisasi gambaran besar dapat digunakan untuk mencerminkan struktur fungsional atau bisnis organisasi. Artikel ini akan membuat unit organisasi yang disebut bdc sebagai contoh.

Catatan

Unit organisasi (OU) mewakili batas administratif dan memungkinkan pelanggan mengontrol cakupan otoritas administrator data.

Anda dapat mengikuti Prinsip Desain OU untuk memutuskan struktur terbaik dalam bekerja dengan OU dalam organisasi Anda.

Akun AD untuk akun layanan domain kluster big data

Untuk dapat membuat semua objek yang diperlukan di Direktori Aktif secara otomatis, kluster big data memerlukan akun AD yang memiliki izin khusus untuk membuat pengguna, grup, dan akun mesin di dalam unit organisasi (OU) yang disediakan. Artikel ini akan menjelaskan cara mengonfigurasi izin akun AD ini. Kami menggunakan panggilan bdcDSA Akun AD sebagai contoh dalam artikel ini.

Objek Direktori Aktif yang dibuat secara otomatis

Kluster Big Data penyebaran secara otomatis menghasilkan nama akun dan grup. Masing-masing akun mewakili layanan dan akan dikelola oleh kluster big data sepanjang masa pakai di mana kluster big data digunakan. Akun-akun tersebut memiliki Nama Prinsipal Layanan (SPN) diperlukan oleh setiap layanan. Untuk daftar lengkap akun, grup, dan layanan yang dibuat otomatis AD yang dikelolanya, lihat Objek Active Directory yang dibuat secara otomatis.

Penting

Bergantung pada kebijakan kedaluwarsa kata sandi yang ditetapkan di Pengendali Domain, kata sandi untuk akun ini dapat kedaluwarsa. Tidak ada mekanisme untuk memutar kredensial secara otomatis untuk semua akun di kluster big data, sehingga kluster akan menjadi tidak dapat dioperasikan setelah periode kedaluwarsa terpenuhi. Anda dapat menggunakan azdata bdc rotate untuk memutar kata sandi akun AD yang dibuat secara otomatis untuk kluster big data. Untuk informasi selengkapnya, lihat azdata-bdc-rotate. Anda dapat menambahkan perintah ini ke skrip atau alur otomatisasi Anda sebagai bagian dari proses pengerasan keamanan.

Langkah-langkah di bawah ini mengasumsikan Anda sudah memiliki pengendali domain Direktori Aktif. Jika Anda tidak memiliki pengendali domain, panduan berikut ini menyertakan langkah-langkah yang dapat membantu.

Membuat objek AD

Lakukan hal-hal berikut sebelum Anda menyebarkan kluster big data dengan integrasi AD:

  1. Buat unit organisasi (OU) tempat semua objek AD terkait kluster big data akan disimpan. Atau Anda dapat memilih unit organisasi yang ada saat penyebaran.
  2. Buat akun AD untuk kluster big data, atau gunakan akun yang ada, dan berikan akun AD ini izin yang tepat di dalam unit organisasi (OU) yang disediakan.

Membuat pengguna di AD untuk akun layanan domain kluster big data

Kluster big data memerlukan akun dengan izin tertentu. Sebelum melanjutkan, pastikan Anda memiliki akun AD yang sudah ada atau membuat akun baru, yang dapat digunakan kluster big data untuk menyiapkan objek yang diperlukan.

Untuk membuat pengguna baru di AD, Anda bisa mengklik kanan domain atau unit organisasi dan memilihPenggunaBaru>:

Dialog pengguna Direktori Aktif

Pengguna ini akan disebut sebagai akun layanan domain kluster big data atau DSA dalam artikel ini.

Membuat unit organisasi

Pada pengendali domain, buka Pengguna direktori aktif dan Komputer. Di panel kiri, klik kanan direktori tempat Anda ingin membuat OU dan pilihUnit OrganisasiBaru>, lalu ikuti perintah dari wizard untuk membuat unit organisasi. Atau, Anda dapat membuat unit organisasi dengan PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

Contoh dalam artikel ini digunakan bdc untuk nama unit organisasi.

Unit organisasi Direktori Aktif

Objek baru - unit organisasi

Mengatur izin untuk akun AD

Baik Anda telah membuat pengguna AD baru atau menggunakan pengguna AD yang sudah ada, ada izin tertentu yang harus dimiliki pengguna. Akun ini adalah akun pengguna yang akan digunakan pengontrol kluster big data saat bergabung dengan kluster ke AD. DSA harus dapat membuat pengguna, grup, dan akun komputer di unit organisasi. Dalam langkah-langkah berikut, kami telah menamai akun bdcDSAlayanan domain kluster big data .

Penting

Anda dapat memilih nama apa pun untuk DSA, tetapi kami tidak menyarankan untuk mengubah nama akun setelah kluster big data disebarkan.

  1. Pada pengontrol domain, buka Pengguna direktori aktif dan Komputer

  2. Di panel kiri, navigasikan ke domain Anda, lalu unit organisasi yang bdc akan menggunakan

  3. Klik kanan unit organisasi, dan pilih Properti.

  4. Buka tab Keamanan (Pastikan Anda telah memilih Fitur Tingkat Lanjut dengan mengklik kanan unit organisasi, dan memilih Tampilan)

    Properti objek BDC

  5. Pilih Tambahkan... dan tambahkan pengguna bdcDSA

    Menambahkan properti objek BDC

    Pilih objek

  6. Pilih pengguna bdcDSA dan hapus semua izin, lalu pilih Tingkat Lanjut

  7. Pilih Tambahkan

    Pilih tambahkan

    • Pilih Pilih Prinsipal, sisipkan bdcDSA, dan pilih Ok

    • Atur Tipe ke Izinkan

    • Atur Berlaku UntukObjek Ini dan semua objek turunan

      Atur izinkan untuk properti

    • Gulir ke bawah ke bawah, dan pilih Hapus semua

    • Gulir kembali ke bagian atas, dan pilih:

      • Membaca semua properti
      • tulis semua properti
      • Membuat objek Komputer
      • Hapus objek Komputer
      • Membuat objek Grup
      • Hapus objek Grup
      • Membuat objek Pengguna
      • Hapus objek Pengguna
    • Pilih OK

  • Pilih Tambahkan

    • Pilih Pilih Prinsipal, sisipkan bdcDSA, dan pilih Ok

    • Atur Tipe ke Izinkan

    • Atur Berlaku Untukke objek Komputer Turunan

    • Gulir ke bawah ke bawah, dan pilih Hapus semua

    • Gulir kembali ke bagian atas, dan pilih Reset kata sandi

    • Pilih OK

  • Pilih Tambahkan

    • Pilih Pilih Prinsipal, sisipkan bdcDSA, dan pilih Ok

    • Atur Jenis ke Izinkan

    • Atur Berlaku Untuk untuk objek Pengguna Turunan

    • Gulir ke bawah ke bawah, dan pilih Hapus semua

    • Gulir kembali ke bagian atas, dan pilih Atur ulang kata sandi

    • Pilih OK

  • Pilih OK dua kali lagi untuk menutup kotak dialog yang terbuka

Langkah berikutnya

Menyebarkan SQL Server Kluster Big Data dalam mode Direktori Aktif

Memecahkan masalah SQL Server integrasi Direktori Aktif Kluster Big Data

Konsep: menyebarkan SQL Server Kluster Big Data dalam mode Direktori Aktif