Rotazione delle password di oggetti Active Directory generati automaticamente

Si applica a: SQL Server 2019 (15.x)

Questo articolo illustra come ruotare le password per gli oggetti Active Directory in un cluster Big Data integrato con Active Directory.

Importante

Il componente aggiuntivo per i cluster Big Data di Microsoft SQL Server 2019 verrà ritirato. Il supporto per i cluster Big Data di SQL Server 2019 terminerà il 28 febbraio 2025. Tutti gli utenti esistenti di SQL Server 2019 con Software Assurance saranno completamente supportati nella piattaforma e fino a quel momento il software continuerà a ricevere aggiornamenti cumulativi di SQL Server. Per altre informazioni, vedere il post di blog relativo all'annuncio e Opzioni per i Big Data nella piattaforma Microsoft SQL Server.

Panoramica

Quando un cluster Big Data viene distribuito con l'integrazione di Active Directory, sono disponibili gli account utente e i gruppi di Active Directory che SQL Server crea durante una distribuzione di cluster Big Data. Per altre informazioni su questi account e gruppi di Active Directory, vedere Oggetti di Active Directory generati automaticamente. Questi oggetti in genere si trovano nell'unità organizzativa fornita nelle configurazioni del profilo di distribuzione.

Una delle principali sfide per i clienti aziendali è il rafforzamento della sicurezza. Per molti clienti è necessario impostare un criterio di scadenza delle password, che consente all'amministratore di impostare la scadenza delle password utente nel tempo. Per un cluster Big Data, in passato era necessario ruotare manualmente queste password per gli oggetti Active Directory generati automaticamente.

Per risolvere le sfide sopra descritte, con CU13 è stata introdotta la rotazione automatica delle password per gli oggetti AD generati automaticamente.

Per completare la rotazione automatica delle password sono necessari i due passaggi seguenti, in qualsiasi sequenza:

1. Usare il comando azdata per ruotare la password

Usare il comando azdata seguente per aggiornare le password generate automaticamente. Per altre informazioni su azdata bdc rotate, vedere la pagina di riferimento su azdata.

   azdata bdc rotate -n <clusterName> 

Viene avviato un aggiornamento del piano di controllo, seguito da un aggiornamento del cluster Big Data. Per ogni rotazione verrà generata una versione delle credenziali di Active Directory di destinazione per identificare la stessa rotazione in più servizi o diverse iterazioni delle rotazioni delle password. Per ogni servizio, se contiene una password generata, verrà generata una nuova password che verrà aggiornata nel controller di dominio. Le password contengono 32 caratteri, con almeno un carattere maiuscolo, un carattere minuscolo e un numero. Non è garantito il supporto di un carattere speciale. I pod corrispondenti verranno quindi riavviati.

2. Rotazione della password dell'account del servizio di dominio (DSA)

Usare il notebook PASS001 - Update Administrator Domain Controller Password per aggiornare la password DSA dei cluster Big Data di SQL Server. Per altre informazioni su questo notebook e altri notebook per la gestione dei cluster, vedere Notebook operativi per i cluster Big Data di SQL Server. È possibile aggiornare manualmente la password DSA, visto che non è gestita dal cluster Big Data. Una volta cambiata, specificare il nome utente e la password dell'amministratore DSA come parametri della variabile di ambiente nel notebook.

Importante

La rotazione delle password e l'aggiornamento del cluster Big Data possono richiedere tempo, a seconda della velocità di rete, del numero di pod e altri fattori. La rotazione delle password è un processo separato e non può essere eseguito parallelamente all'operazione di aggiornamento del cluster o alla rotazione della password DSA.

Passaggi successivi

• Distribuire un cluster Big Data di SQL Server in modalità Active Directory
• Gestire l'accesso al cluster Big Data in modalità Active Directory