자동 생성된 Active Directory 개체 암호 순환

적용 대상: 예SQL Server 2019 (15.x)

이 문서에서는 Active Directory와 통합된 빅 데이터 클러스터에서 Active Directory 개체의 암호 순환 방법을 설명합니다.

중요

Microsoft SQL Server 2019 빅 데이터 클러스터 추가 기능이 사용 중지됩니다. SQL Server 2019 빅 데이터 클러스터에 대한 지원은 2025년 2월 28일에 종료됩니다. 자세한 내용은 Microsoft SQL Server 플랫폼의 빅 데이터 옵션을 참조하세요.

개요

Active Directory 통합을 사용하여 빅 데이터 클러스터를 배포하는 경우, 빅 데이터 클러스터 배포 중에 SQL Server가 만드는 AD(Active Directory) 계정 및 그룹이 있습니다. 이러한 AD 계정 및 그룹에 대한 자세한 내용은 자동 생성된 Active Directory 개체를 참조하세요. 이러한 개체는 일반적으로 배포 프로필 구성의 제공된 OU(조직 구성 단위)에 있습니다.

기업 고객의 가장 큰 과제 중 하나는 보안 강화입니다. 많은 고객의 경우 관리자가 시간의 경과에 따라 사용자 암호 만료를 설정할 수 있도록 하는 암호 만료 정책 설정이 필요합니다. 빅 데이터 클러스터의 경우 전에는 자동 생성된 Active Directory 개체에 대해 수동으로 암호를 순환해야 했습니다.

앞서 설명한 과제를 해결하기 위해 자동 생성된 AD 개체에 대한 암호 자동 순환이 CU13에 도입되었습니다.

암호 자동 순환을 완료하려면 순서에 관계없이 다음 두 단계가 필요합니다.

1. azdata 명령을 사용하여 암호를 순환합니다.

다음 azdata 명령을 사용하여 자동 생성된 암호를 업데이트합니다. azdata bdc rotate에 대한 자세한 내용은 azdata 참조를 참조하세요.

   azdata bdc rotate -n <clusterName> 

그러면 컨트롤 플레인 업그레이드와 뒤이어 빅 데이터 클러스터 업그레이드가 시작됩니다. 각 순환에 대해 대상 AD 자격 증명 버전이 생성되어 여러 서비스에서 또는 암호 순환의 서로 다른 반복에서 동일한 순환을 식별합니다. 각 서비스가 생성된 암호를 포함하는 경우 생성되는 새 암호는 도메인 컨트롤러에서 업데이트됩니다. 암호는 32자 길이이며 최소 대문자 하나, 소문자 하나, 숫자 하나를 포함합니다. 특수 문자는 보장되지 않습니다. 그런 다음 해당 Pod가 다시 시작됩니다.

2. DSA(도메인 서비스 계정)의 암호 순환

SQL Server 빅 데이터 클러스터 DSA 암호를 업데이트하기 위해 PASS001 - Update Administrator Domain Controller Password Notebook을 사용합니다. 이 Notebook 및 기타 클러스터 관리 Notebook에 대 한 자세한 내용은 SQL Server 빅 데이터 클러스터용 운영 Notebook을 참조하세요. 빅 데이터 클러스터가 관리하지 않으므로 DSA 암호를 수동으로 업데이트할 수 있습니다. 변경이 완료되면 Notebook에 대한 환경 매개 변수로 DSA 관리자의 사용자 이름 및 암호를 제공합니다.

중요

네트워크 속도, Pod 수 등에 따라 암호 순환 및 빅 데이터 클러스터 업그레이드를 완료하는 데 다소 시간이 걸릴 수 있습니다. 암호 순환은 별도의 프로세스이며 클러스터 업그레이드 작업 또는 DSA 암호 순환과 병렬로 수행할 수 없습니다.

다음 단계