Rotação de senha de objetos do Active Directory gerados automaticamente

Aplica-se a: SQL Server 2019 (15.x)

Este artigo descreve como fazer a rotação de senhas de objetos do Active Directory em um cluster de Big Data integrado ao Active Directory.

Importante

O complemento Clusters de Big Data do Microsoft SQL Server 2019 será desativado. O suporte para Clusters de Big Data do SQL Server 2019 será encerrado em 28 de fevereiro de 2025. Todos os usuários existentes do SQL Server 2019 com Software Assurance terão suporte total na plataforma e o software continuará a ser mantido por meio de atualizações cumulativas do SQL Server até esse momento. Para obter mais informações, confira a postagem no blog de anúncio e as opções de Big Data na plataforma do Microsoft SQL Server.

Visão geral

Quando um cluster de Big Data é implantado com a integração ao AD (Active Directory), o SQL Server cria contas e grupos do AD durante a implantação. Confira mais detalhes sobre essas contas e grupos do AD em objetos do Active Directory gerados automaticamente. Normalmente, esses objetos estão na UO (Unidade Organizacional) incluída nas configurações do perfil de implantação.

Um dos maiores desafios para clientes empresariais é o aprimoramento da segurança. Muitos clientes precisam definir uma política de expiração de senha, que exige que o administrador defina a expiração das senhas dos usuários ao longo do tempo. Em clusters de Big Data, era necessário fazer manualmente a rotação das senhas dos objetos do Active Directory gerados automaticamente.

Para contornar os desafios mencionados anteriormente, a rotação de senhas para objetos do AD gerados automaticamente foi lançada na CU13.

As duas seguintes etapas são necessárias, independentemente da sequência, para fazer a rotação automática de senhas:

1. Use o comando azdata para fazer a rotação da senha

Use o comando azdata a seguir para atualizar as senhas geradas automaticamente. Para saber mais sobre azdata bdc rotate, confira a referência de azdata.

   azdata bdc rotate -n <clusterName> 

Isso inicia uma atualização do plano de controle, seguida por uma atualização do cluster de Big Data. Para cada rotação, uma versão de credencial do AD de destino é gerada para identificar a mesma rotação em vários serviços ou em iterações diferentes. Em cada serviço que contém uma senha gerada, uma nova senha é gerada e atualizada no Controlador de Domínio. As senhas têm 32 caracteres, contendo pelo menos um caractere maiúsculo, um caractere minúsculo e um dígito. Não há garantia de caractere especial. Os pods correspondentes são reiniciados.

2. Rotação de senha para a DSA (conta de serviço de domínio)

Use o notebook PASS001 - Update Administrator Domain Controller Password para atualizar a senha Clusters de Big Data do SQL ServerDSA. Para obter mais informações sobre esse notebook e outros notebooks de gerenciamento de cluster, consulte Blocos de anotações operacionais para SQL Server Clusters de Big Data. Você pode atualizar manualmente a senha DSA, pois o cluster de Big Data não a gerencia. Depois da alteração, forneça o nome de usuário e a senha do administrador de DSA como parâmetros variáveis de ambiente para o notebook.

Importante

A rotação de senha e a atualização do cluster de Big Data podem levar algum tempo dependendo da velocidade da rede, do número de pods e de outros fatores. A rotação de senha é um processo separado e não pode ser feito em paralelo com a operação de atualização de cluster nem a rotação de senha DSA.

Próximas etapas