Active Directory モードで SQL Server ビッグ データ クラスター を展開する: 前提条件

適用対象: SQL Server 2019 (15.x)

このドキュメントでは、SQL Server ビッグ データ クラスターの Active Directory 認証モードでの展開に向けて準備を行う方法について説明します。 クラスターでは、認証に既存の AD ドメインを使用します。

バックグラウンド

Active Directory (AD) 認証を有効にするために、ビッグ データ クラスターでは、クラスター内のさまざまなサービスで必要となるユーザー、グループ、コンピューター アカウント、サービス プリンシパル名 (SPN) が自動的に作成されます。 このようなアカウントを一部含め、スコーピングを許可するために、クラスター展開の前に組織単位 (OU) を作成することをお勧めします。 ビッグ データ クラスター関連のすべての AD オブジェクトは、展開中に作成されます。

前提条件

組織単位 (OU)

組織単位 (OU) は、ユーザー、グループ、およびその他の組織単位を配置する、Active Directory 内の区分です。 全体像: 組織単位を使用して組織の機能やビジネスの構造を反映することができます。 この記事では、例として bdc という名前の OU を作成します。

OU の設計原則に従って、組織内で OU を使用する際の最適な構造を決定することができます。

ビッグ データ クラスターのドメイン サービス アカウント用の AD アカウント

ビッグ データ クラスターには、Active Directory で必要なすべてのオブジェクトを自動的に作成できるようにするために、指定した組織単位 (OU) 内にユーザー、グループ、およびコンピューター アカウントを作成するための特定のアクセス許可を持つ AD アカウントが必要です。 この記事では、この AD アカウントのアクセス許可を構成する方法について説明します。 この記事では、例として bdcDSA という AD アカウントを使用します。

自動生成される Active Directory オブジェクト

ビッグ データ クラスターを展開すると、アカウントとグループ名が自動的に生成されます。 各アカウントは 1 つのサービスを表し、ビッグ データ クラスターが使用されている全有効期間にわたりビッグ データ クラスターによって管理されます。 これらのアカウントは、各サービスが必要とするサービス プリンシパル名 (SPN) を所有しています。 AD の自動生成されるアカウント、グループ、およびそれらによって管理されるサービスの完全な一覧については、「自動生成される Active Directory オブジェクト」をご覧ください。

AD オブジェクトの作成

AD 統合でビッグ データ クラスターを展開する前に、次の操作を行います。

1. すべてのビッグ データ クラスター関連の AD オブジェクトを格納するための組織単位 (OU) を作成します。 または、デプロイ時に、既存の OU を選択することもできます。
2. ビッグ データ クラスター用の AD アカウントを作成するか、既存のアカウントを使用し、この AD アカウントに指定した組織単位 (OU) の適切なアクセス許可を付与します。

ビッグ データ クラスターのドメイン サービス アカウント用に AD でユーザーを作成する

ビッグ データ クラスターには、特定のアクセス許可を持つアカウントが必要です。 続行する前に、既存の AD アカウントを持っていることを確認するか、新しいアカウントを作成します。このアカウントは、ビッグ データ クラスターで必要なオブジェクトを設定するために使用できます。

AD で新しいユーザーを作成するには、ドメインまたは OU を右クリックし、 [新規] 、 [ユーザー] の順に選択します。

このユーザーは、この記事内で "ビッグ データ クラスターのドメイン サービス アカウント" または DSA と呼ばれます。

OU を作成する

ドメイン コントローラーで、 [Active Directory ユーザーとコンピューター] を開きます。 左側のパネルで、OU を作成するディレクトリを右クリックし、[新規]>[組織単位] の順に選択します。次に、ウィザードの指示に従って OU を作成します。 または、PowerShell で OU を作成できます。

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

この記事の例では、OU 名に bdc を使用しています。

AD アカウントのアクセス許可を設定する

新しい AD ユーザーを作成したか、既存の AD ユーザーを使用しているかに関係なく、ユーザーには特定のアクセス許可を与える必要があります。 このアカウントは、クラスターを AD に参加させるとき、ビッグ データ クラスター コントローラーによって使用されるユーザー アカウントです。 DSA は、OU でユーザー、グループ、コンピューター アカウントを作成できる必要があります。 次の手順では、ビッグ データ クラスターのドメイン サービス アカウントに bdcDSA という名前を付けています。

1. ドメイン コントローラーで、 [Active Directory ユーザーとコンピューター] を開きます。

2. 左側のパネルでドメインに移動し、bdcで使用される OU に移動します。

3. OU を右クリックし、 [プロパティ] を選択します。

4. [セキュリティ] タブに移動します (OU を右クリックし、[表示] を選択し、[高度な機能] が選択されていることを確認してください)。

   

5. [追加...] を選択し、bdcDSA ユーザーを追加します

   

   

6. bdcDSA ユーザーを選択し、アクセス許可をすべて消去し、 [詳細] を選択します

7. [追加] を選択します。

   

   • [プリンシパルの選択] を選択し、bdcDSA を挿入し、 [OK] を選択します

   • [種類] を [許可] に設定します。

   • [適用先] を [このオブジェクトとすべての子オブジェクト] に設定します。

     

   • 一番下までスクロールし、 [すべて消去] を選択します

   • スクロールで一番上まで戻り、次を選択します。

     • すべてのプロパティの読み取り
     • すべてのプロパティの書き込み
     • コンピューター オブジェクトの作成
     • コンピューター オブジェクトの削除
     • グループ オブジェクトの作成
     • グループ オブジェクトの削除
     • ユーザー オブジェクトの作成
     • ユーザー オブジェクトの削除

   • [OK] を選択します。

• [追加] を選択します。

  • [プリンシパルの選択] を選択し、bdcDSA を挿入し、 [OK] を選択します

  • [種類] を [許可] に設定します。

  • [適用先] を [Descendant Computer objects](子コンピューター オブジェクト) に設定します。

  • 一番下までスクロールし、 [すべて消去] を選択します

  • スクロールで一番上まで戻り、 [パスワードのリセット] を選択します。

  • [OK] を選択します。

• [追加] を選択します。

  • [プリンシパルの選択] を選択し、bdcDSA を挿入し、 [OK] を選択します

  • [種類] を [許可] に設定します。

  • [適用先] を [Descendant User objects](子ユーザー オブジェクト) に設定します。

  • 一番下までスクロールし、 [すべて消去] を選択します

  • スクロールで一番上まで戻り、 [パスワードのリセット] を選択します。

  • [OK] を選択します。

• [OK] をさらに 2 回選択して、開いているダイアログ ボックスを閉じます

関連するコンテンツ

• Active Directory モードで SQL Server ビッグ データ クラスターを展開する
• SQL Server ビッグ データ クラスターの Active Directory 統合のトラブルシューティング
• 概念: Active Directory モードで SQL Server ビッグ データ クラスター をデプロイする