Distribuire Cluster Big Data di SQL Server in modalità Active Directory: Prerequisiti

Si applica a: sìSQL Server 2019 (15.x)

Questo documento illustra come preparare la distribuzione di SQL Server cluster Big Data nella modalità di autenticazione di Active Directory. Il cluster usa un dominio di Active Directory esistente per l'autenticazione.

Nota

Prima di SQL Server 2019 CU5, i cluster Big Data prevedevano una restrizione per cui era possibile distribuire un solo cluster in un dominio di Active Directory. Questa restrizione è stata rimossa con la versione CU5. Per informazioni dettagliate sulle nuove funzionalità, vedere Concetto: distribuire Cluster Big Data di SQL Server in modalità Active Directory. Gli esempi in questo articolo sono stati modificati per adattarsi a entrambi i casi d'uso di distribuzione.

Background

Per abilitare l'autenticazione di Active Directory (AD), il cluster Big Data crea automaticamente gli utenti, i gruppi, gli account computer e i nomi delle entità servizio (SPN) necessari ai vari servizi del cluster. Per garantire il contenimento di questi account e consentire le autorizzazioni di ambito, è consigliabile creare un'unità organizzativa prima della distribuzione del cluster. Durante la distribuzione verranno creati tutti gli oggetti Di Active Directory correlati al cluster Big Data.

Prerequisiti

Unità organizzativa (OU)

Un'unità organizzativa è una suddivisione all'interno di Active Directory in cui posizionare utenti, gruppi e persino altre unità organizzative. Le unità organizzative di grandi dimensioni possono essere usate per eseguire il mirroring di una struttura funzionale o aziendale di un'organizzazione. In questo articolo verrà creata un'unità organizzativa denominata bdc come esempio.

Nota

L'unità organizzativa rappresenta i confini amministrativi e consente ai clienti di controllare l'ambito di autorità degli amministratori dei dati.

È possibile seguire i principi di progettazione delle unità organizzative per scegliere la struttura ottimale per l'utilizzo delle unità organizzative all'interno dell'organizzazione.

Account AD per l'account del servizio di dominio del cluster Big Data

Per poter creare automaticamente tutti gli oggetti necessari in Active Directory, il cluster Big Data deve avere un account AD con autorizzazioni specifiche per creare utenti, gruppi e account computer all'interno dell'unità organizzativa (OU) fornita. Questo articolo illustra come configurare l'autorizzazione dell'account AD. In questo articolo viene usata una chiamata all'account AD bdcDSA come esempio.

Oggetti di Active Directory generati automaticamente

cluster Big Data distribuzione genera automaticamente nomi di account e gruppi. Ognuno degli account rappresenta un servizio e verrà gestito dal cluster Big Data per tutta la durata in cui è in uso il cluster Big Data. Gli account sono proprietari dei nomi dell'entità servizio (SPN) richiesti da ogni servizio. Per un elenco completo di account, gruppi e servizi ad Active Directory creati automaticamente, vedere Oggetti Active Directory creati automaticamente.

Importante

In base ai criteri di scadenza delle password impostati nel controller di dominio, le password per questi account possono scadere. Non esiste alcun meccanismo per ruotare automaticamente le credenziali per tutti gli account nel cluster Big Data, in modo che il cluster diventi inoperabile al termine del periodo di scadenza. È possibile usare per ruotare le password degli account AD rigenerati automaticamente azdata bdc rotate per il cluster Big Data. Per altre informazioni, vedere azdata-bdc-rotate. È possibile aggiungere questo comando agli script o alle pipeline di automazione come parte del processo di protezione avanzata della sicurezza.

La procedura seguente presuppone l'esistenza di un controller di dominio Active Directory. Se non è presente alcun controller di dominio, la guida seguente include alcuni passaggi che possono essere utili.

Creare oggetti di Active Directory

Prima di distribuire un cluster Big Data con l'integrazione di Active Directory, eseguire le operazioni seguenti:

  1. Creare un'unità organizzativa in cui verranno archiviati tutti gli oggetti Di Active Directory correlati al cluster Big Data. In alternativa, è possibile scegliere un'unità organizzativa esistente in fase di distribuzione.
  2. Creare un account AD per il cluster Big Data o usare un account esistente e fornire a questo account AD le autorizzazioni appropriate all'interno dell'unità organizzativa fornita.

Creare un utente in AD per l'account del servizio di dominio del cluster Big Data

Il cluster Big Data deve avere un account con autorizzazioni specifiche. Prima di continuare, assicurarsi che sia già presente un account Active Directory oppure crearne uno nuovo, che può essere usato dal cluster Big Data per configurare gli oggetti necessari.

Per creare un nuovo utente in Active Directory, è possibile fare clic con il pulsante destro del mouse sul dominio o sull'unità organizzativa e scegliere Nuovo > Utente:

Finestra di dialogo degli utenti di Active Directory

Questo utente verrà definito account del servizio di dominio del cluster Big Data o DSA in questo articolo.

Creare un'unità organizzativa

Nel controller di dominio aprire Utenti e computer di Active Directory. Nel pannello di sinistra fare clic con il pulsante destro del mouse sulla directory in cui si vuole creare l'unità organizzativa e scegliere Nuovo > Unità organizzativa, quindi seguire le istruzioni della procedura guidata per creare l'unità organizzativa. In alternativa, è possibile creare un'unità organizzativa con PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

Gli esempi in questo articolo usano bdc per il nome dell'unità organizzativa.

Unità organizzativa di Active Directory

Nuovo oggetto - Unità organizzativa

Impostare le autorizzazioni per un account di AD

Se è stato creato un nuovo utente di Active Directory o se ne usa uno esistente, l'utente deve avere determinate autorizzazioni. Questo account è l'account utente che verrà utilizzato dal controller del cluster Big Data durante l'aggiunta del cluster ad AD. DSA deve essere in grado di creare utenti, gruppi e account computer nell'unità organizzativa. Nei passaggi seguenti è stato denominato l'account del servizio di dominio del cluster Big Data bdcDSA .

Importante

È possibile scegliere qualsiasi nome per dSA, ma non è consigliabile modificare il nome dell'account dopo la distribuzione del cluster Big Data.

  1. Nel controller di dominio aprire Utenti e computer di Active Directory

  2. Nel pannello sinistro passare al dominio, quindi all'unità organizzativa che verrà usata da bdc

  3. Fare clic con il pulsante destro del mouse sull'unità organizzativa e scegliere Proprietà.

  4. Passare alla scheda Sicurezza, assicurandosi di aver selezionato Funzionalità avanzate, di avere fatto clic con il pulsante destro del mouse sull'unità organizzativa e quindi di avere scelto Visualizza

    Proprietà degli oggetti BDC

  5. Selezionare Aggiungi e aggiungere l'utente bdcDSA

    Aggiungere le proprietà degli oggetti BDC

    Selezionare un oggetto

  6. Selezionare l'utente bdcDSA e deselezionare tutte le autorizzazioni, quindi selezionare Avanzate

  7. Selezionare Aggiungi

    Selezionare Aggiungi

    • Selezionare Seleziona un'entità, inserire bdcDSA e selezionare OK

    • Impostare Tipo su Consenti

    • Impostare Si applica a su Questo oggetto e tutti i discendenti

      Impostare Consenti per le proprietà

    • Scorrere verso il basso fino alla fine e selezionare Cancella tutto

    • Scorrere di nuovo verso l'alto e selezionare:

      • Leggi tutte le proprietà
      • Scrivi tutte le proprietà
      • Crea oggetti computer
      • Delete Computer objects (Elimina oggetti computer)
      • Create Group objects (Crea oggetti di gruppo)
      • Delete Group objects (Elimina oggetti di gruppo)
      • Create User objects (Crea oggetti utente)
      • Elimina oggetti utente
    • Selezionare OK.

  • Selezionare Aggiungi

    • Selezionare Seleziona un'entità, inserire bdcDSA e selezionare OK

    • Impostare Tipo su Consenti

    • Impostare Si applica a su Descendant Computer objects (Oggetti computer discendenti)

    • Scorrere verso il basso fino alla fine e selezionare Cancella tutto

    • Tornare all'inizio e selezionare Reimposta password

    • Selezionare OK.

  • Selezionare Aggiungi

    • Selezionare Seleziona un'entità, inserire bdcDSA e selezionare OK

    • Impostare Tipo su Consenti

    • Impostare Si applica a su Descendant User objects (Oggetti utente discendenti)

    • Scorrere verso il basso fino alla fine e selezionare Cancella tutto

    • Tornare all'inizio e selezionare Reimposta password

    • Selezionare OK.

  • Selezionare OK altre due volte per chiudere le finestre di dialogo aperte

Passaggi successivi

Distribuire Cluster Big Data di SQL Server in modalità Active Directory

Risolvere i problemi di integrazione di Active Directory di cluster Big Data di SQL Server

Concetto: distribuire Cluster Big Data di SQL Server in modalità Active Directory