你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Active Directory 身份验证中使用系统管理的密钥表的 Azure Arc 启用的 SQL Server - 先决条件

本文档介绍如何准备好通过 Active Directory (AD) 身份验证部署已启用 Azure Arc 的数据服务。 具体来说，本文介绍了在部署 Kubernetes 资源之前需要配置的 Active Directory 对象。

简介描述了两种不同的集成模式：

• 系统管理的密钥表模式使系统能够为每个 SQL 托管实例创建和管理 AD 帐户。
• 客户管理的密钥表模式使你能够为每个 SQL 托管实例创建和管理 AD 帐户。

针对这两种集成模式的要求和建议有所不同。

Active Directory 对象	客户管理的密钥表	系统管理的密钥表
组织单位 (OU)	建议	必须
Active Directory 连接器的 Active Directory 域服务帐户 (DSA)	不是必需	必须
SQL 托管实例的 Active Directory 帐户	为每个托管实例创建	系统为每个托管实例创建 AD 帐户

DSA 帐户 - 系统管理的密钥表模式

为了能够在 Active Directory 中自动创建所有必需的对象，AD 连接器需要一个域服务帐户 (DSA)。 DSA 是一个 Active Directory 帐户，该帐户具有创建、管理和删除所提供的组织单位 (OU) 中的用户帐户的特定权限。 本文介绍如何配置此 Active Directory 帐户的权限。 在本文的以下示例中，将 DSA 帐户 arcdsa 作为示例。

自动生成的 Active Directory 对象

已启用 Arc 的SQL 托管实例部署会在系统管理的密钥表模式下自动生成帐户。 每个帐户都表示一个 SQL 托管实例，并在 SQL 的整个生存期内由系统管理。 这些帐户拥有每个 SQL 所需的服务主体名称 (SPN)。

以下步骤假设已有一个 Active Directory 域控制器。 如果没有域控制器，以下指南包含可提供帮助的步骤。

创建 Active Directory 对象

在使用 AD 身份验证部署已启用 Arc 的 SQL 托管实例之前，请执行以下操作：

1. 为所有已启用 Arc 的 SQL 托管实例相关的 AD 对象创建一个组织单位 (OU)。 还可以选择在部署时选择现有 OU。
2. 为 AD 连接器创建 AD 帐户或使用现有帐户，并为该帐户提供对上一步骤中创建的 OU 的正确权限。

创建 OU

系统管理的密钥表模式需要指定的 OU。 对于客户管理的密钥表模式，建议使用 OU。

在域控制器上，打开“Active Directory 用户和计算机”。 在左侧面板上，右键单击要在其下创建 OU 的目录，然后选择“新建”>“组织单位”，然后按照向导中的提示创建 OU。 或者，可以使用 PowerShell 创建 OU：

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

本文中的示例使用 arcou 作为 OU 名称。

创建域服务帐户 (DSA)

对于系统管理的密钥表模式，你需要一个 AD 域服务帐户。

创建将用作域服务帐户的 Active Directory 用户。 此帐户需要特定权限。 请确保已有 Active Directory 帐户或创建一个新帐户，已启用 Arc 的 SQL 托管实例可以使用该帐户来设置必要的对象。

若要在 AD 中创建新用户，可以右键单击域或 OU，然后选择“新建”>“用户” ：

在本文中，此帐户将称为 arcdsa。

为 DSA 设置权限

对于系统管理的密钥表模式，需要为 DSA 设置权限。

无论是为 DSA 创建了一个新帐户还是使用现有 Active Directory 用户帐户，该帐户都需要具有某些权限。 DSA 需要能够在 OU 中创建用户、组和计算机帐户。 在以下步骤中，已启用 Arc 的 SQL 托管实例域服务帐户的名称为 arcdsa。

重要

可为 DSA 选择任何名称，但我们不建议在部署 AD 连接器后更改帐户名称。

1. 在域控制器上，打开“Active Directory 用户和计算机”，单击“视图”，然后选择“高级功能”

2. 在左侧面板中，导航到你的域，然后导航到 arcou 将使用的 OU

3. 右键单击 OU，然后选择“属性”。

注意

确保选择“高级功能”，方式是右键单击 OU 并选择“视图”

1. 转到“安全”选项卡。选择“高级功能”，右键单击 OU，然后选择“视图”。

   

2. 选择“添加...”并添加 arcdsa 用户。

   

3. 选择“arcdsa”用户并清除所有权限，然后选择“高级”。

4. 选择“添加”

   • 选择“选择主体”，插入“arcdsa”，然后选择“确定”。

   • 将“类型”设置为“允许”。

   • 将“应用对象”设置为“此对象和所有后代对象”。

     

   • 向下滚动到底部并选择“全部清除”。

   • 滚动回到顶部，然后选择：

     • “读取所有属性”
     • 写入所有属性
     • “创建用户对象”
     • “删除用户对象”

   • 选择“确定”。

5. 选择 添加 。

   • 选择“选择主体”，插入“arcdsa”，然后选择“确定”。

   • 将“类型”设置为“允许”。

   • 将“应用对象”设置为“后代用户对象”。

   • 向下滚动到底部并选择“全部清除”。

   • 滚动回到顶部，然后选择“重置密码”。

   • 选择“确定”。

• 再选择“确定”两次以关闭打开的对话框。

相关内容

• 部署客户管理的密钥表 Active Directory (AD) 连接器
• 部署系统管理的密钥表 Active Directory (AD) 连接器
• 在 Active Directory (AD) 中部署 Azure Arc 启用的 SQL 托管实例
• 使用 Active Directory 身份验证连接到 Azure Arc 启用的 SQL 托管实例