Implantar Clusters de Big Data do SQL Server no modo do Active Directory: Pré-requisitos

Aplica-se a:yesSQL Server 2019 (15.x)

Este documento explica como preparar a implantação de um Cluster de Big Data do SQL Server no modo de autenticação do Active Directory. O cluster usa um domínio existente do AD para autenticação.

Importante

O complemento Clusters de Big Data do Microsoft SQL Server 2019 será desativado. O suporte para Clusters de Big Data do SQL Server 2019 será encerrado em 28 de fevereiro de 2025. Para obter mais informações, confira Opções de Big Data na plataforma Microsoft SQL Server.

Observação

Antes do lançamento do SQL Server 2019 CU5, havia uma restrição nos Clusters de Big Data que especificava que apenas um cluster podia ser implantado em um domínio do Active Directory. Essa restrição foi removida na versão CU5. Confira Conceito: implantar Clusters de Big Data do SQL Server no modo do Active Directory para obter detalhes sobre as novas funcionalidades. Os exemplos deste artigo foram ajustados para acomodar os dois casos de uso de implantação.

Segundo plano

Para habilitar a autenticação do AD (Active Directory), o cluster de Big Data cria automaticamente os usuários, os grupos, as contas de computadores e os SPNs (nomes da entidade de serviço) de que os diversos serviços do cluster precisam. Para fornecer alguma independência a essas contas e permitir a definição de escopos para as permissões, sugerimos a criação de uma UO (unidade organizacional) antes da implantação do cluster. Todos os objetos do AD relacionados ao cluster de Big Data serão criados durante a implantação.

Pré-requisitos

OU (Unidade Organizacional)

Uma UO (unidade organizacional) é uma subdivisão dentro de um Active Directory na qual se coloca usuários, grupos e até mesmo outras unidades organizacionais. É possível usar as unidades organizacionais da visão global para espelhar a estrutura funcional ou comercial de uma organização. Este artigo criará uma UO chamada bdc como um exemplo.

Observação

A UO (unidade organizacional) representa limites administrativos e permite que os clientes controlem o escopo de autoridade dos administradores de dados.

Você pode seguir Princípios de Design de UO para decidir a melhor estrutura ao trabalhar com UOs em sua organização.

Conta do AD para a conta de serviço de domínio do cluster de Big Data

Para poder criar automaticamente todos os objetos necessários no Active Directory, o cluster de Big Data precisa de uma conta do AD que tenha permissões específicas para criar usuários, grupos e contas de computador dentro da UO (unidade organizacional) fornecida. Este artigo explicará como configurar a permissão dessa conta do AD. Usamos uma chamada de Conta do AD bdcDSA como um exemplo neste artigo.

Objetos do Active Directory gerados automaticamente

A implantação de Clusters de Big Data gera automaticamente nomes de contas e grupos. Cada uma das contas representa um serviço e será gerenciada pelo Cluster de Big Data durante o tempo de vida em que ele estiver em uso. Essas contas são proprietárias dos SPNs (Nomes da Entidade de Serviço) necessários para cada serviço. Para obter uma lista completa de contas, grupos e serviços gerados automaticamente pelo AD que eles gerenciaram, confira Objetos do Active Directory gerados automaticamente.

Importante

Dependendo da política de expiração de senha definida no Controlador de Domínio, as senhas dessas contas podem expirar. Não há mecanismo para rotacionar automaticamente credenciais para todas as contas no cluster de Big Data. Portanto, o cluster se tornará inoperante assim que o período de término for atingido. Você pode usar o azdata bdc rotate para rotacionar as senhas de contas do AD geradas automaticamente para o cluster de Big Data. Para obter mais informações, confira azdata-bdc-rotate. Você pode adicionar esse comando aos seus scripts de automação ou pipelines como parte do processo de proteção e segurança.

As etapas a seguir pressupõem que você já tenha um controlador de domínio do Active Directory Domain Services. Se você não tem um controlador de domínio, o guia a seguir inclui etapas que podem ser úteis.

Criar objetos do AD

Faça o seguinte antes de implantar um cluster de Big Data com a integração do AD:

  1. Crie uma UO (unidade organizacional) na qual todos os objetos do AD relacionados do cluster de Big Data serão armazenados. Como alternativa, você pode escolher uma UO existente durante a implantação.
  2. Crie uma conta do AD para o cluster de Big Data (ou use uma conta existente) e forneça para essa conta do AD as permissões corretas dentro da UO (unidade organizacional).

Criar um usuário no AD para a conta de serviço de domínio do cluster de Big Data

O cluster de Big Data requer uma conta com permissões específicas. Antes de prosseguir, verifique se você tem uma conta existente do AD ou crie uma nova conta que o cluster de Big Data possa usar para configurar os objetos necessários.

Para criar um novo usuário no AD, você pode clicar com o botão direito do mouse no domínio ou na UO e selecionar Novo>Usuário:

Active Directory users dialog

Este usuário será chamado de conta de serviço de domínio do cluster de Big Data ou DSA neste artigo.

Criar uma UO

No controlador de domínio, abra Usuários e Computadores do Active Directory. No painel à esquerda, clique com o botão direito do mouse no diretório no qual quer criar a UO, selecione Nova>Unidade Organizacional e siga o assistente para criar a UO. Como alternativa, você pode criar uma UO com o PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

Os exemplos deste artigo usam bdc como o nome da UO.

Active Directory organizational unit

New object - organizational unit

Definir permissões para uma conta do AD

Quer você tenha criado um novo usuário ou esteja usando um usuário existente do AD, há certas permissões que o usuário precisa ter. Esta conta é a conta de usuário que o controlador do cluster de Big Data usará ao ingressar o cluster no AD. O DSA precisa ser capaz de criar usuários, grupos e contas de máquina na UO. Nas etapas a seguir, nomeamos conta de serviço de domínio do cluster de Big Data como bdcDSA.

Importante

Você poderá escolher qualquer nome para a DSA, mas não recomendamos alterar o nome da conta depois que o cluster de Big Data for implantado.

  1. No controlador de domínio, abra Usuários e Computadores do Active Directory

  2. No painel esquerdo, navegue para seu domínio e, em seguida, para a UO que bdc usará

  3. Clique com o botão direito do mouse na UO e selecione Propriedades.

  4. Vá para a guia Segurança (verifique se você selecionou Recursos Avançados clicando com o botão direito do mouse na UO e selecionando Exibir)

    BDC object properties

  5. Selecione Adicionar... e adicione o usuário do bdcDSA

    Add BDC object properties

    Select object

  6. Selecione o usuário do bdcDSA, desmarque todas as permissões e selecione Avançado

  7. Selecione Adicionar

    Select add

    • Selecione Selecionar uma Entidade de Segurança, insira bdcDSA e selecione Ok

    • Defina o Tipo como Permitir

    • Defina Aplica-se a como Este objeto e todos os descendentes

      Set allow for properties

    • Role até a parte inferior e selecione Limpar tudo

    • Role de volta para a parte superior e selecione:

      • Ler todas as propriedades
      • Gravar todas as propriedades
      • Criar Objetos de computador
      • Excluir Objetos de computador
      • Criar Objetos de grupo
      • Excluir Objetos de grupo
      • Criar Objetos de usuário
      • Excluir objetos de usuário
    • Selecione OK

  • Selecione Adicionar

    • Selecione Selecionar uma Entidade de Segurança, insira bdcDSA e selecione Ok

    • Defina o Tipo como Permitir

    • Defina Aplica-se a como Objetos de computador descendentes

    • Role até a parte inferior e selecione Limpar tudo

    • Role de volta para a parte superior e selecione Redefinir senha

    • Selecione OK

  • Selecione Adicionar

    • Selecione Selecionar uma Entidade de Segurança, insira bdcDSA e selecione Ok

    • Defina o Tipo como Permitir

    • Defina Aplica-se a como Objetos de usuário descendentes

    • Role até a parte inferior e selecione Limpar tudo

    • Role de volta para a parte superior e selecione Redefinir senha

    • Selecione OK

  • Selecione OK mais duas vezes para fechar as caixas de diálogo abertas

Próximas etapas

Implantar Clusters de Big Data do SQL Server no modo do Active Directory

Solucionar problemas de integração do Active Directory ao cluster de Big Data do SQL Server

Conceito: implantar Clusters de Big Data do SQL Server no modo do Active Directory