Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server 2019 (15.x)
In diesem Dokument wird erläutert, wie Sie die Bereitstellung eines SQL Server-Big Data-Clusters im Active Directory-Authentifizierungsmodus vorbereiten. Der Cluster verwendet eine vorhandene AD-Domäne für die Authentifizierung.
Important
Die Big Data Cluster von Microsoft SQL Server 2019 werden eingestellt. Der Support für SQL Server 2019 Big Data Cluster endete am 28. Februar 2025. Weitere Informationen finden Sie im Ankündigungsblogbeitrag und den Big Data-Optionen auf der Microsoft SQL Server-Plattform.
Note
Vor dem Release von SQL Server 2019 CU5 gab es eine Einschränkung für Big Data-Cluster, durch die nur ein Cluster für eine Active Directory-Domäne bereitgestellt werden konnte. Diese Einschränkung wurde mit dem CU5-Release entfernt. Weitere Informationen zu den neuen Funktionen finden Sie unter Konzept: Bereitstellen von Big Data-Cluster für SQL Server im Active Directory-Modus. Die in diesem Artikel gezeigten Beispiele sind an beide Bereitstellungsszenarios angepasst.
Background
Um die Active Directory-Authentifizierung (AD) zu aktivieren, erstellt der Big Data-Cluster automatisch die Benutzer, Gruppen, Computerkonten und Dienstprinzipalnamen, die von den verschiedenen Diensten im Cluster benötigt werden. Um eine gewisse Eigenständigkeit dieser Konten sowie bereichsbezogene Berechtigungen zu ermöglichen, empfiehlt es sich, vor der Clusterbereitstellung eine Organisationseinheit (OE) erstellen. Alle AD-Objekte im Zusammenhang mit Big Data-Clustern werden während der Bereitstellung erstellt.
Prerequisites
Organisationseinheit (OE)
Eine Organisationseinheit (OE) ist eine Unterteilung innerhalb einer Active Directory-Instanz, in der Benutzer, Gruppen und sogar andere Organisationseinheiten platziert werden. Große Organisationseinheiten können verwendet werden, um die funktionale Struktur oder Geschäftsstruktur einer Organisation widerzuspiegeln. In diesem Artikel wird eine Organisationseinheit namens bdc als Beispiel erstellt.
Note
Die Organisationseinheit (OE) stellt Verwaltungsgrenzen dar und ermöglicht es Kunden, den Gültigkeitsbereich von Datenadministratoren zu steuern.
Sie können OE-Entwurfsprinzipien befolgen, um die für Sie am besten geeignete Struktur bei der Arbeit mit Organisationseinheiten in Ihrer Organisation zu ermitteln.
AD-Konto für das Domänendienstkonto des Big Data-Clusters
Zum automatischen Erstellen aller erforderlichen Objekte in Active Directory benötigt der Big Data-Cluster ein AD-Konto, das über bestimmte Berechtigungen zum Erstellen von Benutzern, Gruppen und Computerkonten in der angegebenen Organisationseinheit (OE) verfügt. In diesem Artikel wird erläutert, wie die Berechtigungen dieses AD-Kontos konfiguriert werden. Wir verwenden einen AD-Konto namens bdcDSA als Beispiel in diesem Artikel.
Automatisch generierte Active Directory-Objekte
Die Big Data-Cluster-Bereitstellung generiert automatisch Konten- und Gruppennamen. Jedes Konto repräsentiert einen Dienst und wird während der gesamten Lebensdauer des Big Data-Clusters von diesem verwaltet. Diese Konten besitzen die Dienstprinzipalnamen (SPNs), die für jeden Dienst erforderlich sind. Eine vollständige Liste der automatisch generierten und vom Big Data-Cluster verwalteten AD-Konten, Gruppen und Dienste finden Sie unter Automatisch generierte Active Directory-Objekte.
Important
Abhängig von der im Domänencontroller festgelegten Richtlinie zum Kennwortablauf, können die Kennwörter für diese Konten ablaufen. Es gibt keinen Mechanismus zum automatischen Rotieren von Anmeldeinformationen für alle Konten im Big Data-Cluster, sodass der Cluster nach dem Erreichen des Ablaufdatums nicht mehr funktionsfähig ist. Sie können azdata bdc rotate verwenden, um die Kennwörter automatisch generierter AD-Konten für den Big Data-Cluster zu rotieren. Weitere Informationen finden Sie unter azdata-bdc-rotate. Fügen Sie diesen Befehl zu Ihren Automatisierungsskripts oder Pipelines während des Sicherheitshärtungsvorgangs hinzu.
Erstellen von AD-Objekten
Führen Sie die folgenden Schritte aus, bevor Sie einen Big Data-Cluster anhand der AD-Integration bereitstellen:
- Erstellen Sie eine Organisationseinheit (OE) zum Speichern aller auf den Big Data-Cluster bezogenen AD-Objekte. Alternativ dazu können Sie auch bei der Bereitstellung eine vorhandene Organisationseinheit auswählen.
- Erstellen Sie ein AD-Konto für den Big Data-Cluster, oder verwenden Sie ein vorhandenes Konto, und weisen Sie diesem AD-Konto die richtigen Berechtigungen innerhalb der bereitgestellten Organisationseinheit (OE) zu.
Erstellen eines Benutzers in AD für das Domänendienstkonto des Big Data-Clusters
Der Big Data-Cluster benötigt ein Konto mit bestimmten Berechtigungen. Bevor Sie fortfahren, müssen Sie entweder über ein vorhandenes AD-Konto verfügen oder ein neues erstellen, das der Big Data-Cluster zum Einrichten der erforderlichen Objekte verwenden kann.
Um in AD einen neuen Benutzer zu erstellen, können Sie mit der rechten Maustaste auf die Domäne oder die OE klicken und Neu>Benutzer auswählen:
Dieser Benutzer wird im vorliegenden Artikel als Domänendienstkonto für den Big Data-Cluster oder als DSA (Domain Service Account, Domänendienstkonto) bezeichnet.
Erstellen einer Organisationseinheit
Öffnen Sie auf dem Domänencontroller Active Directory-Benutzer und -Computer. Klicken Sie im linken Bereich mit der rechten Maustaste auf das Verzeichnis, in dem Sie Ihre OE erstellen möchten. Klicken Sie dann auf Neu>Organisationseinheit, und folgen Sie den Anweisungen des Assistenten, um die OE zu erstellen. Alternativ können Sie eine OE mithilfe von PowerShell erstellen:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
In den Beispielen in diesem Artikel wird bdc als Name der OE verwendet.
Festlegen von Berechtigungen für ein AD-Konto
Unabhängig davon, ob Sie einen neuen AD-Benutzer erstellt haben oder einen vorhandenen AD-Benutzer verwenden, benötigt der Benutzer bestimmte Berechtigungen. Dieses Konto ist das Benutzerkonto, das der Controller des Big Data-Clusters verwendet, um den Cluster in AD hinzuzufügen. Das DSA muss in der Lage sein, Benutzer, Gruppen und Computerkonten in der OE zu erstellen. In den folgenden Schritten heißt das Domänendienstkonto des Big Data-Clusters bdcDSA.
Important
Sie können einen beliebigen Namen für das DSA verwenden, aber es wird davon abgeraten, den Kontonamen nach der Bereitstellung des Big Data-Clusters zu ändern.
Öffnen Sie auf dem Domänencontroller Active Directory-Benutzer und -Computer.
Navigieren Sie im linken Bereich zu Ihrer Domäne und dann zu der OE, die für
bdcverwendet wird.Klicken Sie mit der rechten Maustaste auf die OE, und wählen Sie Eigenschaften aus.
Wechseln Sie zur Registerkarte Sicherheit. Stellen Sie hierbei sicher, dass die Einstellung Erweiterte Funktionen aktiviert wurde, indem Sie mit der rechten Maustaste auf die OE klicken und dann Anzeigen auswählen.
Klicken Sie auf Hinzufügen, und fügen Sie den Benutzer bdcDSA hinzu.
Wählen Sie den Benutzer bdcDSA aus, und löschen Sie alle Berechtigungen. Klicken Sie anschließend auf Erweitert.
Select Add
Klicken Sie auf Prinzipal auswählen, fügen Sie bdcDSA ein, und klicken Sie auf OK.
Legen Sie den Typ auf Zulassen fest.
Legen Sie Anwenden auf auf Dieses und alle untergeordneten Objekte fest.
Scrollen Sie bis ganz nach unten, und klicken Sie auf Alle löschen.
Scrollen Sie zurück nach oben, und aktivieren Sie die folgenden Berechtigungen:
- Alle Eigenschaften lesen
- Alle Eigenschaften schreiben
- Computerobjekte erstellen
- Computerobjekte löschen
- Gruppenobjekte erstellen
- Gruppenobjekte löschen
- Benutzerobjekte erstellen
- Benutzerobjekte löschen
Select OK
Select Add
Klicken Sie auf Prinzipal auswählen, fügen Sie bdcDSA ein, und klicken Sie auf OK.
Legen Sie den Typ auf Zulassen fest.
Legen Sie Anwenden auf auf Untergeordnete Computerobjekte fest.
Scrollen Sie bis ganz nach unten, und klicken Sie auf Alle löschen.
Scrollen Sie zurück nach oben, und wählen Sie Kennwort zurücksetzen aus.
Select OK
Select Add
Klicken Sie auf Prinzipal auswählen, fügen Sie bdcDSA ein, und klicken Sie auf OK.
Legen Sie den Typ auf Zulassen fest.
Legen Sie Anwenden auf auf Untergeordnete Benutzerobjekte fest.
Scrollen Sie bis ganz nach unten, und klicken Sie auf Alle löschen.
Scrollen Sie zurück nach oben, und wählen Sie Kennwort zurücksetzen aus.
Select OK
Klicken Sie zwei weitere Male auf OK, um die geöffneten Dialogfelder zu schließen.