Смена паролей для автоматически создаваемых объектов Active Directory

  • Статья

Область применения: SQL Server 2019 (15.x)

В этой статье описано, как сменить пароли для объектов Active Directory в кластере больших данных, интегрированном с Active Directory.

Важно!

Поддержка надстройки "Кластеры больших данных" Microsoft SQL Server 2019 будет прекращена. Мы прекратим поддержку Кластеров больших данных SQL Server 2019 28 февраля 2025 г. Все существующие пользователи SQL Server 2019 с Software Assurance будут полностью поддерживаться на платформе, а программное обеспечение будет по-прежнему поддерживаться с помощью SQL Server накопительных обновлений до этого времени. Дополнительные сведения см. в записи блога объявлений и в статье о параметрах больших данных на платформе Microsoft SQL Server.

Общие сведения

При развертывании кластера больших данных с интеграцией Active Directory существуют учетные записи и группы Active Directory (AD), которые создаются SQL Server во время развертывания кластера больших данных. Дополнительные сведения об этих учетных записях и группах AD см. в разделе Автоматически создаваемые объекты Active Directory. Эти объекты обычно находятся в указанном подразделении (OU) в конфигурациях профиля развертывания.

Одной из самых сложных задач, с которыми сталкиваются корпоративные клиенты, является повышение безопасности. Многим клиентам необходимо настроить политику истечения срока действия пароля, которая позволяет администратору установить ограничение на срок действия пароля. Ранее для кластеров больших данных приходилось вручную изменять пароли для этих автоматически создаваемых объектов Active Directory.

Чтобы избежать упомянутых выше проблем, в версии CU13 была включена автоматическая смена паролей для автоматически создаваемых объектов AD.

Для завершения настройки автоматической смены паролей необходимо выполнить два следующих шага в произвольном порядке:

1. Использование команды azdata для смены пароля

Выполните следующую команду azdata, чтобы обновить автоматически создаваемые пароли. Дополнительные сведения о azdata bdc rotate см. в справочнике по azdata.

   azdata bdc rotate -n <clusterName>

Эта команда инициирует обновление уровня управления, за которым следует обновление кластера больших данных. Для каждой смены паролей будет создана целевая версия учетных данных AD. Эта версия будет использоваться для обозначения одной и той же смены паролей в различных службах или в различных итерациях смены паролей. Для каждой службы, использующей создаваемый пароль, будет создан новый пароль. Имеющийся пароль в контроллере домена будет обновлен. Длина пароля — 32 символа. Пароль должен содержать по крайней мере одну букву в верхнем регистре, одну в букву в нижнем регистре и одну цифру. Наличие специальных символов в пароле не гарантируется. После этого будут перезапущены соответствующие объекты pod.

2. Смена пароля для учетной записи службы домена (DSA)

Используйте записную книжку PASS001 - Update Administrator Domain Controller Password, чтобы обновить пароль DSA Кластеры больших данных SQL Server. Дополнительные сведения об этой записной книжке и других записных книжках для управления кластером см. в статье Рабочие записные книжки для Кластеров больших данных SQL Server. Вы можете обновить пароль DSA вручную, так как кластер больших данных не управляет им. После изменения укажите имя пользователя и пароль администратора DSA в качестве параметров переменной среды для записной книжки.

Важно!

Для смены пароля и обновления кластера больших данных может потребоваться некоторое время в зависимости от скорости сети, числа объектов pod и других параметров. Смена пароля является отдельным процессом и не может выполняться параллельно с операцией обновления кластера или сменой пароля DSA.

Дальнейшие действия