Active Directory 모드로 SQL Server 빅 데이터 클러스터SQL Server Big Data Clusters 배포: 필수 구성 요소Deploy SQL Server 빅 데이터 클러스터SQL Server Big Data Clusters in Active Directory mode: Prerequisites

적용 대상:Applies to: 예SQL Server 2019 (15.x)SQL Server 2019 (15.x)yesSQL Server 2019 (15.x)SQL Server 2019 (15.x)적용 대상:Applies to: 예SQL Server 2019 (15.x)SQL Server 2019 (15.x)yesSQL Server 2019 (15.x)SQL Server 2019 (15.x)

이 문서에서는 Active Directory 인증 모드로 SQL Server BDC(빅 데이터 클러스터)를 배포하기 위해 준비하는 방법을 설명합니다.This document explains how to prepare to deploy a SQL Server big data cluster (BDC) in the Active Directory authentication mode. 클러스터는 인증을 위해 기존 AD 도메인을 사용합니다.The cluster uses an existing AD domain for authentication.

注意

SQL Server 2019 CU5 릴리스 전까지는 빅 데이터 클러스터에 하나의 Active Directory 도메인에 하나의 클러스터만 배포될 수 있도록 하는 제한이 있었습니다.Before SQL Server 2019 CU5 release, there is a restriction in big data clusters so that only one cluster could be deployed against an Active Directory domain. 이 제한은 CU5 릴리스부터 제거되었습니다. 새로운 기능에 대한 자세한 내용은 개념: Active Directory 모드에서 SQL Server 빅 데이터 클러스터SQL Server Big Data Clusters 배포를 참조하세요.This restriction is removed with the CU5 release, see Concept: deploy SQL Server 빅 데이터 클러스터SQL Server Big Data Clusters in Active Directory mode for details on the new capabilities. 이 문서의 예는 두 가지 배포 사용 사례를 모두 수용하도록 수정되었습니다.Examples in this article are adjusted to accommodate both deployment use cases.

배경Background

AD(Active Directory) 인증을 사용하도록 설정하려면 BDC에서 클러스터의 다양한 서비스에 필요한 사용자, 그룹, 머신 계정 및 SPN(서비스 사용자 이름)을 자동으로 만듭니다.To enable Active Directory (AD) authentication, the BDC automatically creates the users, groups, machine accounts, and service principal names (SPN) that the various services in the cluster need. 이러한 계정을 일부 포함하고 범위 지정 권한을 허용하려면 클러스터를 배포하기 전에 OU(조직 구성 단위)를 만드는 것이 좋습니다.To provide some containment of these accounts and allow scoping permissions, we suggest create an organizational unit (OU) before cluster deployment. 모든 BDC 관련 AD 개체는 배포 중에 생성됩니다.All BDC-related AD objects will be created during deployment.

필수 구성 요소Pre-requisites

OU(조직 구성 단위)Organizational Unit (OU)

OU(조직 구성 단위)는 사용자, 그룹 및 기타 OU를 배치할 수 있는 Active Directory 내 하위 단위입니다.An organizational unit (OU) is a subdivision within an Active Directory into where place users, groups, and even other organizational units. 큰 그림 OU는 조직의 기능 또는 비즈니스 구조를 미러링하는 데 사용할 수 있습니다.Big picture Organizational units can be used to mirror an organization's functional or business structure. 이 문서에서는 예시로 bdc라는 OU를 만듭니다.This article we'll create an OU called bdc as an example.

注意

OU(조직 구성 단위)는 관리 경계를 나타내며 고객이 데이터 관리자의 권한 범위를 제어할 수 있도록 합니다.The organizational unit (OU) represents administrative boundaries and enable customers to control the scope of authority of data administrators.

OU 디자인 원칙을 따르면 조직 내에서 OU를 사용하여 작업하는 데 가장 적합한 구조를 결정할 수 있습니다.You can follow OU Design Principles to decide on the best structure on working with OUs within your organization.

BDC 도메인 서비스 계정의 AD 계정AD account for BDC domain service account

Active Directory에 필요한 모든 개체를 자동으로 만들 수 있으려면 BDC에는 제공된 OU(조직 구성 단위) 내에서 사용자, 그룹 및 컴퓨터 계정을 만들 수 있는 특정 권한이 있는 AD 계정이 필요합니다.To be able to create all the required objects in Active Directory automatically, the BDC needs an AD account which have specific permissions to create users, groups, and machine accounts inside the provided organizational unit (OU). 이 문서에서 이 AD 계정의 권한을 구성하는 방법을 설명합니다.This article will explain how to configure the permission of this AD account. 이 문서에서는 예시로 bdcDSA라는 AD 계정을 사용합니다.We use an AD Account call bdcDSA as an example in this article.

자동 생성된 Active Directory 개체Auto generated Active Directory objects

BDC 배포에서 자동으로 계정 및 그룹 이름을 생성합니다.BDC deployment automatically generates account and group names. 각 계정은 BDC의 서비스를 나타내며 BDC 클러스터가 사용되는 수명 내내 BDC를 통해 관리됩니다.Each of the accounts represents a service in BDC and will be managed by BDC throughout the lifetime where BDC cluster is in use. 이때 계정은 각 서비스에 필요한 SPN(서비스 사용자 이름)을 소유합니다.Those accounts own the Service Principal Names (SPNs) are required by each service. 관리되는 AD 자동 생성 계정, 그룹 및 서비스의 전체 목록은 자동 생성된 Active Directory 개체를 참조하세요.For a full list of AD auto-generated accounts, groups, and service that they managed, see Auto generated Active Directory objects.

重要

도메인 컨트롤러에 설정된 암호 만료 정책에 따라 이러한 계정의 암호는 만료될 수 있습니다.Depending on the password expiration policy set in the Domain Controller, passwords for these accounts can expire. 기본 만료 정책은 42일입니다.The default expiration policy is 42 days. BDC의 모든 계정에 대한 자격 증명을 회전하는 메커니즘은 없으므로 만료 기간이 경과하면 클러스터가 작동하지 않게 됩니다.There is no mechanism to rotate credentials for all accounts in BDC, so the cluster will become inoperable once the expiration period is met. 이 문제를 해결하려면 도메인 컨트롤러에서 BDC 서비스 계정의 만료 정책을 "암호 사용 기간 제한 없음"으로 업데이트합니다.To workaround this issue, update the expiration policy for the BDC service accounts to “Password never expires” in the Domain Controller. 이 작업은 만료 이전 또는 이후에 수행할 수 있습니다.This action can be done before or after the expiration time. 후자의 경우 만료된 암호를 Active Directory가 다시 활성화합니다.In the latter case, Active Directory will reactivate the expired passwords.

다음 이미지에서는 Active Directory 사용자 및 컴퓨터에서 이 속성을 설정하는 위치를 보여 줍니다.The following image shows where to set this property in in Active Directory Users and Computers.

암호 만료 정책 설정

아래 단계에서는 Active Directory 도메인 컨트롤러가 이미 있다고 가정합니다.The steps below assume you already have an Active Directory domain controller. 도메인 컨트롤러가 없는 경우 도움이 될 수 있는 단계는 이 가이드에 포함되어 있습니다.If you don't have a domain controller, the following guide includes steps that can be helpful.

AD 개체 만들기Create AD objects

AD 통합을 사용하여 BDC를 배포하기 전에 다음 작업을 수행합니다.Do the following things before you deploy a BDC with AD integration:

  1. 모든 BDC 관련 AD 개체가 저장되는 OU(조직 구성 단위)를 만듭니다.Create an organizational unit (OU) where all BDC-related AD objects will be stored. 또는 배포 시에 기존 OU를 선택할 수도 있습니다.Alternatively you can choose an existing OU upon deployment.
  2. BDC에 대한 AD 계정을 만들거나, 기존 BDC AD 계정을 사용하여 제공된 OU 내에서 올바른 권한을 이 계정에 제공합니다.Create an AD account for BDC, or use an existing account, and provide this BDC AD account the right permissions inside the provided organizational unit (OU).

AD에서 BDC 도메인 서비스 계정에 대한 사용자 만들기Create a user in AD for BDC domain service account

빅 데이터 클러스터에는 특정 권한이 있는 계정이 필요합니다.The big data cluster requires an account with specific permissions. 계속하기 전에 기존 AD 계정이 있는지 확인하거나 빅 데이터 클러스터에서 필요한 개체를 설정하는 데 사용할 수 있는 새 계정을 만들어야 합니다.Before you proceed, make sure that you have an existing AD account or create a new account, which the big data cluster can use to set up the necessary objects.

AD에서 새 사용자를 만들려면 마우스 오른쪽 단추로 도메인 또는 OU를 클릭하고, 새로 만들기 > 사용자 를 차례로 선택하면 됩니다.To create a new user in AD, you can right-click the domain or the OU and select New > User:

Active Directory 사용자 대화 상자

이 문서에서는 이 사용자를 BDC 도메인 서비스 계정 이라고 합니다.This user will be referred to as the BDC domain service account in this article.

OU 만들기Create an OU

도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터 를 엽니다.On the domain controller, open Active Directory Users and Computers. 왼쪽 패널에서 마우스 오른쪽 단추로 OU를 만들려는 디렉터리를 클릭하고, 새로 만들기 > 조직 구성 단위 를 차례로 선택한 다음, 마법사의 안내에 따라 OU를 만듭니다.On the left panel, right-click the directory under which you want to create your OU and select New > Organizational Unit, then follow the prompts from the wizard to create the OU. 또는 PowerShell을 사용하여 OU를 만들 수 있습니다.Alternatively, you can create an OU with PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

이 문서의 예에서는 OU 이름으로 bdc를 사용합니다.The examples in this article use bdc for the OU name.

Active Directory 조직 구성 단위

새 개체 - 조직 구성 단위

AD 계정에 대한 사용 권한 설정Set permissions for an AD account

새 AD 사용자를 만들었는지, 아니면 기존 AD 사용자를 사용하는지에 관계없이 사용자에게 필요한 특정 권한이 있습니다.Whether you have created a new AD user or using an existing AD user, there are certain permissions the user needs to have. 이 계정은 BDC 컨트롤러에서 클러스터를 AD에 조인할 때 사용하는 사용자 계정입니다.This account is the user account that the BDC controller will use when joining the cluster to AD.

BDC DSA(도메인 서비스 계정)는 OU에서 사용자, 그룹 및 컴퓨터 계정을 만들 수 있어야 합니다.The BDC domain service account (DSA) needs to be able to create users, groups, and computer accounts in the OU. 다음 단계에서는 BDC 도메인 서비스 계정의 이름을 bdcDSA로 지정했습니다.In the following steps, we have named the BDC domain service account bdcDSA. 이 계정의 이름은 임의로 선택할 수 있습니다.You can choose any name for this account.

  1. 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터 를 엽니다.On the domain controller, open Active Directory Users and Computers

  2. 왼쪽 패널에서 도메인, bdc에서 사용할 OU로 차례로 이동합니다.In the left panel, navigate to your domain, then the OU which bdc will use

  3. 마우스 오른쪽 단추로 OU를 클릭하고 속성 을 선택합니다.Right-click the OU, and select Properties.

  4. [보안] 탭으로 이동합니다(마우스 오른쪽 단추로 OU를 클릭하고 보기 를 선택하여 고급 기능 을 선택했는지 확인).Go to the Security tab (Make sure that you have selected Advanced Features by right-clicking on the OU, and selecting View)

    BDC 개체 속성

  5. 추가... 를 클릭하고 bdcDSA 사용자를 추가합니다.Click Add... and add the bdcDSA user

    BDC 개체 속성 추가

    개체 선택

  6. bdcDSA 사용자를 선택하고 모든 권한을 지운 다음, 고급 을 클릭합니다.Select the bdcDSA user and clear all permissions, then click Advanced

  7. 추가 를 클릭합니다.Click Add

    추가 클릭

    • 보안 주체 선택 을 클릭하고 bdcDSA 를 삽입한 다음, 확인을 클릭합니다.Click Select a Principal, insert bdcDSA, and click Ok

    • 형식허용 으로 설정합니다.Set Type to Allow

    • 적용 대상이 개체 및 모든 하위 개체 로 설정합니다.Set Applies To to This Object and all descendant objects

      속성 허용 설정

    • 아래쪽으로 스크롤하여 모두 지우기 를 클릭합니다.Scroll down to the bottom, and click Clear all

    • 위쪽으로 다시 스크롤하여 다음을 선택합니다.Scroll back to the top, and select:

      • 모든 속성 읽기Read all properties
      • 모든 속성 쓰기write all properties
      • 컴퓨터 개체 만들기Create Computer objects
      • 컴퓨터 개체 삭제Delete Computer objects
      • 그룹 개체 만들기Create Group objects
      • 그룹 개체 삭제Delete Group objects
      • 사용자 개체 만들기Create User objects
      • 사용자 개체 삭제Delete User objects
    • 확인 을 클릭합니다.Click OK

  • 추가 를 클릭합니다.Click Add

    • 보안 주체 선택 을 클릭하고 bdcDSA 를 삽입한 다음, 확인을 클릭합니다.Click Select a Principal, insert bdcDSA, and click Ok

    • 형식허용 으로 설정합니다.Set Type to Allow

    • 적용 대상하위 컴퓨터 개체 로 설정합니다.Set Applies To to Descendant Computer objects

    • 아래쪽으로 스크롤하여 모두 지우기 를 클릭합니다.Scroll down to the bottom, and click Clear all

    • 위쪽으로 다시 스크롤하여 암호 재설정 을 선택합니다.Scroll back to the top, and select Reset password

    • 확인 을 클릭합니다.Click OK

  • 추가 를 클릭합니다.Click Add

    • 보안 주체 선택 을 클릭하고 bdcDSA 를 삽입한 다음, 확인을 클릭합니다.Click Select a Principal, insert bdcDSA, and click Ok

    • 형식허용 으로 설정합니다.Set Type to Allow

    • 적용 대상하위 사용자 개체 로 설정합니다.Set Applies To to Descendant User objects

    • 아래쪽으로 스크롤하여 모두 지우기 를 클릭합니다.Scroll down to the bottom, and click Clear all

    • 위쪽으로 다시 스크롤하여 암호 재설정 을 선택합니다.Scroll back to the top, and select Reset password

    • 확인 을 클릭합니다.Click OK

  • 확인 을 두 번 더 클릭하여 열려 있는 대화 상자를 닫습니다.Click OK twice more to close open dialog boxes

다음 단계Next steps

Active Directory 모드에서 SQL Server 빅 데이터 클러스터SQL Server Big Data Clusters 배포Deploy SQL Server 빅 데이터 클러스터SQL Server Big Data Clusters in Active Directory mode

SQL Server 빅 데이터 클러스터 Active Directory 통합 문제 해결Troubleshoot SQL Server Big Data Cluster Active Directory integration

개념: Active Directory 모드에서 SQL Server 빅 데이터 클러스터SQL Server Big Data Clusters 배포Concept: deploy SQL Server 빅 데이터 클러스터SQL Server Big Data Clusters in Active Directory mode