適用於:
SQL Server 2019 (15.x)
本文件說明如何準備在Active Directory驗證模式中部署 SQL Server 巨量數據叢集。 叢集會使用現有的AD網域進行驗證。
Important
MICROSOFT SQL Server 2019 巨量數據叢集已淘汰。 SQL Server 2019 巨量數據叢集的支援已於 2025 年 2 月 28 日結束。 如需詳細資訊,請參閱 Microsoft SQL Server 平臺上的公告部落格文章和巨量數據選項。
Note
在 SQL Server 2019 CU5 版本之前,巨量數據叢集中有一項限制,因此只能針對 Active Directory 網域部署一個叢集。 CU5 版本會移除這項限制,請參閱 概念:在 Active Directory 模式中部署 SQL Server 巨量數據叢集 ,以取得新功能的詳細數據。 本文中的範例會調整,以容納這兩個部署使用案例。
Background
若要啟用 Active Directory (AD) 驗證,巨量數據叢集會自動建立叢集中各種服務所需的使用者、群組、計算機帳戶和服務主體名稱 (SPN)。 若要限制這些帳戶並設定權限範圍,建議您在叢集部署之前建立組織單位(OU)。 所有巨量數據叢集相關 AD 物件都會在部署期間建立。
Prerequisites
組織單位 (OU)
組織單位 (OU) 是 Active Directory 內的細分,可放置使用者、群組,甚至是其他組織單位。 大圖:組織單位可用來反映組織的功能或商務結構。 本文我們將建立名為 bdc 的 OU 作為範例。
Note
組織單位 (OU) 代表系統管理界限,並可讓客戶控制數據管理員的許可權範圍。
您可以遵循 OU 設計原則 來決定在組織內使用 OU 的最佳結構。
大數據叢集網域服務帳戶的 AD 帳號
若要自動在 Active Directory 中建立所有必要的物件,巨量數據叢集需要具有特定許可權的 AD 帳戶,才能在提供的組織單位 (OU) 內建立使用者、群組和計算機帳戶。 本文說明如何設定此 AD 帳戶的許可權。 我們會使用名為 bdcDSA 的 AD 帳戶作為本文的範例。
自動產生的 Active Directory 物件
巨量數據叢集部署會自動產生帳戶和組名。 每個帳戶都代表一項服務,而且會在巨量數據叢集使用期間由巨量數據叢集管理。 這些帳戶擁有每個服務所需的服務主體名稱(SPN)。 如需其所管理之 AD 自動產生的帳戶、群組和服務的完整清單,請參閱 自動產生的 Active Directory 物件。
Important
根據域控制器中設定的密碼到期原則,這些帳戶的密碼可能會過期。 沒有機制可自動輪替巨量數據叢集中所有帳戶的認證,因此一旦符合到期期限,叢集就會變成無法運作。 您可以使用 azdata bdc rotate 來輪替巨量數據叢集自動產生的 AD 帳戶密碼。 如需詳細資訊,請參閱 azdata-bdc-rotate。 在安全性強化過程中,將此命令新增至您的自動化腳本或流程。
建立 AD 物件
在部署具有 AD 整合的巨量數據叢集之前,請先執行下列動作:
- 建立組織單位 (OU) 來儲存所有巨量數據叢集相關 AD 物件。 或者,您可以在部署時選擇現有的 OU。
- 建立巨量數據叢集的 AD 帳戶或使用現有的帳戶,並提供此 AD 帳戶在提供的組織單位 (OU) 內的正確許可權。
在 AD 中為巨量數據叢集網域服務帳戶建立使用者
巨量數據叢集需要具有特定許可權的帳戶。 繼續之前,請確定您有現有的 AD 帳戶或建立新的帳戶,巨量數據叢集可用來設定必要的物件。
若要在 AD 中建立新的使用者,您可以以滑鼠右鍵按兩下網域或 OU,然後選取 [ 新增>使用者]:
![[Active Directory 使用者] 對話框。](media/deploy-active-directory/image12.png?view=sql-server-ver15)
本文中稱該使用者為 大數據叢集網域服務帳戶 或 DSA 。
建立 OU
在域控制器上,開啟 [Active Directory 使用者和計算機]。 在左側面板中,以滑鼠右鍵按下您要建立 OU 的目錄,然後選取 [ 新增>組織單位],然後遵循精靈中的提示來建立 OU。 或者,您可以使用 PowerShell 建立 OU:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
本文中的範例會針對 OU 名稱使用 bdc 。
設定 AD 帳戶的許可權
無論您是已建立新的 AD 使用者,還是使用現有的 AD 使用者,使用者都需要具備的特定許可權。 此帳戶是巨量數據叢集控制器將叢集加入AD時所使用的用戶帳戶。 DSA 必須能夠在 OU 中建立使用者、群組和電腦帳戶。 在下列步驟中,我們已將巨量數據叢集網域服務帳戶 bdcDSA命名為 。
Important
您可以選擇 DSA 的任何名稱,但我們不建議在部署巨量數據叢集之後變更帳戶名稱。
在域控制器上,開啟 [Active Directory 使用者和計算機]
在左側面板中,導航至您的網域,然後導航至使用
bdc的 OU。以滑鼠右鍵按兩下 OU,然後選取 [ 屬性]。
移至 [安全性] 索引標籤(請確定您已右鍵點選 OU,然後選擇 [檢視],以選取 [進階功能])
選取 [新增... ],然後新增 bdcDSA 使用者
選取 bdcDSA 使用者並清除所有許可權,然後選取 [ 進階]
Select Add
![選取 [新增] 的螢幕快照。](media/deploy-active-directory/image18.png?view=sql-server-ver15)
選取 選取主體、插入 bdcDSA,然後選取 確定
將 [類型 ] 設定為 [允許]
設定 套用至此物件及所有衍生物件
向下捲動至底部,然後選取 [ 全部清除]
捲動回到頂端,然後選取:
- 讀取全部屬性
- 寫入所有屬性
- 建立計算機物件
- 刪除計算機物件
- 建立群組物件
- 刪除群組物件
- 建立用戶物件
- 刪除用戶物件
Select OK
Select Add
選取 選取主體、插入 bdcDSA,然後選取 確定
將 [類型 ] 設定為 [允許]
設定 套用至子孫計算機物件
向下捲動至底部,然後選取 [ 全部清除]
捲動回到頂端,然後選取 [重設密碼]
Select OK
Select Add
選取 選取主體、插入 bdcDSA,然後選取 確定
將 [類型 ] 設定為 [允許]
將 套用至下層使用者物件
向下捲動至底部,然後選取 [ 全部清除]
捲動回到頂端,然後選取 [重設密碼]
Select OK
再選取 兩次 [確定 ] 以關閉開啟的對話框