適用於:
SQL Server 2019 (15.x)
本文說明如何在與 Active Directory 整合的巨量數據叢集中輪替 Active Directory 對象的密碼。
Important
MICROSOFT SQL Server 2019 巨量數據叢集已淘汰。 SQL Server 2019 巨量數據叢集的支援已於 2025 年 2 月 28 日結束。 如需詳細資訊,請參閱 Microsoft SQL Server 平臺上的公告部落格文章和巨量數據選項。
Overview
使用 Active Directory 整合部署巨量數據叢集時,SQL Server 會在巨量數據叢集部署期間建立 Active Directory (AD) 帳戶和群組。 如需這些 AD 帳戶和群組的詳細資訊,請參閱 自動產生的 Active Directory 物件。 這些物件通常會在部署配置檔組態中 提供的組織單位 (OU) 中找到。
企業客戶面臨的最大挑戰之一是強化安全性。 對於許多客戶,需要 設定密碼到期原則 ,這可讓系統管理員在一段時間內設定用戶密碼到期。 針對巨量數據叢集,在過去,這些自動產生的 Active Directory 物件需要手動輪替密碼。
為了解決上述挑戰,CU13 引進了自動產生的 AD 對象密碼自動調整。
不論順序為何,都需要下列兩個步驟,才能完成密碼自動調整:
1.使用 azdata 命令輪替密碼
使用下列 azdata 命令來更新自動產生的密碼。 如需 azdata bdc rotate 的詳細資訊,請參閱 azdata 參考。
azdata bdc rotate -n <clusterName>
這會起始控制平面升級,後面接著巨量數據叢集升級。 針對每個輪替,將會產生目標 AD 憑證版本,以識別在多個服務或不同的密碼輪替過程中相同的輪替。 針對每個服務,如果它包含已產生的密碼,則將在域控制器中更新一組新產生的密碼。 密碼長度為 32 個字元,至少包含一個大寫字元、一個小寫字元和一位數。 無法保證有特殊字元。 接著會重新啟動對應的Pod。
2.輪替網域服務帳戶的密碼 (DSA)
請使用PASS001 - Update Administrator Domain Controller Password筆記本來更新 SQL Server 巨量資料叢集 DSA 密碼。 如需此筆記本和其他叢集管理筆記本的詳細資訊,請參閱 SQL Server 巨量數據叢集的作筆記本。 您可以手動更新 DSA 密碼,因為巨量數據叢集不會管理它。 變更之後,請提供 DSA 系統管理員使用者名稱和密碼作為筆記本的環境變數參數。
Important
視網路速度、Pod 數目等等而定,密碼輪替和巨量數據叢集升級可能需要一些時間才能完成。 密碼輪替是個別的程式,無法與 叢集升級作業 或 DSA 密碼輪替平行完成。