Implantar Clusters de Big Data do SQL Server no modo do Active Directory: Pré-requisitos
Aplica-se a: SQL Server 2019 (15.x)
Este documento explica como preparar a implantação de um Cluster de Big Data do SQL Server no modo de autenticação do Active Directory. O cluster usa um domínio existente do AD para autenticação.
Importante
O complemento Clusters de Big Data do Microsoft SQL Server 2019 será desativado. O suporte para Clusters de Big Data do SQL Server 2019 será encerrado em 28 de fevereiro de 2025. Todos os usuários existentes do SQL Server 2019 com Software Assurance terão suporte total na plataforma e o software continuará a ser mantido por meio de atualizações cumulativas do SQL Server até esse momento. Para obter mais informações, confira a postagem no blog de anúncio e as opções de Big Data na plataforma do Microsoft SQL Server.
Observação
Antes do lançamento do SQL Server 2019 CU5, havia uma restrição nos Clusters de Big Data que especificava que apenas um cluster podia ser implantado em um domínio do Active Directory. Essa restrição foi removida na versão CU5. Confira Conceito: implantar Clusters de Big Data do SQL Server no modo do Active Directory para obter detalhes sobre as novas funcionalidades. Os exemplos deste artigo foram ajustados para acomodar os dois casos de uso de implantação.
Para habilitar a autenticação do AD (Active Directory), o cluster de Big Data cria automaticamente os usuários, os grupos, as contas de computadores e os SPNs (nomes da entidade de serviço) de que os diversos serviços do cluster precisam. Para fornecer alguma independência a essas contas e permitir a definição de escopos para as permissões, sugerimos a criação de uma UO (unidade organizacional) antes da implantação do cluster. Todos os objetos do AD relacionados ao cluster de Big Data serão criados durante a implantação.
Uma UO (unidade organizacional) é uma subdivisão dentro de um Active Directory na qual se coloca usuários, grupos e até mesmo outras unidades organizacionais. É possível usar as unidades organizacionais da visão global para espelhar a estrutura funcional ou comercial de uma organização. Este artigo criará uma UO chamada bdc
como um exemplo.
Observação
A UO (unidade organizacional) representa limites administrativos e permite que os clientes controlem o escopo de autoridade dos administradores de dados.
Você pode seguir Princípios de Design de UO para decidir a melhor estrutura ao trabalhar com UOs em sua organização.
Para criar automaticamente todos os objetos necessários no Active Directory, o cluster de Big Data precisa de uma conta do AD com permissões específicas para criar usuários, grupos e contas de computador dentro da UO (unidade organizacional) fornecida. Este artigo explica como configurar as permissões para esta conta do AD. Usamos uma chamada de Conta do AD bdcDSA
como um exemplo neste artigo.
A implantação de Clusters de Big Data gera automaticamente nomes de contas e grupos. Cada conta representa um serviço e será gerenciada pelo Cluster de Big Data durante o tempo de vida em que ele estiver em uso. Essas contas têm os SPNs (Nomes da Entidade de Serviço) que cada serviço requer. Para obter uma lista completa de contas, grupos e serviços gerados automaticamente pelo AD que eles gerenciavam, consulte Objetos gerados automaticamente do Active Directory.
Importante
Dependendo da política de expiração de senha definida no Controlador de Domínio, as senhas dessas contas podem expirar. Não há mecanismo para rotacionar automaticamente credenciais para todas as contas no cluster de Big Data. Portanto, o cluster se tornará inoperante assim que o período de término for atingido. Você pode usar o azdata bdc rotate
para rotacionar as senhas de contas do AD geradas automaticamente para o cluster de Big Data. Para obter mais informações, confira azdata-bdc-rotate. Adicione este comando a seus scripts ou pipelines de automação durante o processo de reforço da segurança.
Faça o seguinte antes de implantar um cluster de Big Data com a integração do AD:
- Crie uma UO (unidade organizacional) para armazenar todos os objetos AD relacionados ao cluster de big data. Como alternativa, você pode escolher uma UO existente durante a implantação.
- Crie uma conta do AD para o cluster de Big Data (ou use uma conta existente) e forneça para essa conta do AD as permissões corretas dentro da UO (unidade organizacional).
O cluster de Big Data requer uma conta com permissões específicas. Antes de continuar, verifique se tem uma conta do AD existente ou crie uma nova, que o cluster de Big Data possa usar para configurar os objetos necessários.
Para criar um novo usuário no AD, você pode clicar com o botão direito do mouse no domínio ou na UO e selecionar Novo>Usuário:
Esse usuário é chamado de conta de serviço de domínio do cluster de Big Data ou DSA neste artigo.
No controlador de domínio, abra Usuários e Computadores do Active Directory. No painel à esquerda, clique com o botão direito do mouse no diretório no qual quer criar a UO, selecione Nova>Unidade Organizacional e siga o assistente para criar a UO. Como alternativa, você pode criar uma UO com o PowerShell:
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
Os exemplos deste artigo usam bdc
como o nome da UO.
Quer você tenha criado um novo usuário ou esteja usando um usuário existente do AD, há permissões específicas que o usuário precisa ter. Essa é a conta de usuário que o controlador do cluster de Big Data usará ao ingressar o cluster no AD. O DSA precisa ser capaz de criar usuários, grupos e contas de máquina na UO. Nas etapas a seguir, nomeamos conta de serviço de domínio do cluster de Big Data como bdcDSA
.
Importante
Você poderá escolher qualquer nome para a DSA, mas não recomendamos alterar o nome da conta depois que o cluster de Big Data for implantado.
No controlador de domínio, abra Usuários e Computadores do Active Directory
No painel esquerdo, navegue para seu domínio e, em seguida, para a UO que
bdc
usaClique com o botão direito do mouse na UO e selecione Propriedades.
Vá para a guia Segurança (verifique se você selecionou Recursos Avançados clicando com o botão direito do mouse na UO e selecionando Exibir)
Selecione Adicionar... e adicione o usuário do bdcDSA
Selecione o usuário do bdcDSA, desmarque todas as permissões e selecione Avançado
Selecione Adicionar
Selecione Selecionar uma Entidade de Segurança, insira bdcDSA e selecione Ok
Defina o Tipo como Permitir
Defina Aplica-se a como Este objeto e todos os descendentes
Role até a parte inferior e selecione Limpar tudo
Role de volta para a parte superior e selecione:
- Ler todas as propriedades
- Gravar todas as propriedades
- Criar Objetos de computador
- Excluir Objetos de computador
- Criar Objetos de grupo
- Excluir Objetos de grupo
- Criar Objetos de usuário
- Excluir objetos de usuário
Selecione OK
Selecione Adicionar
Selecione Selecionar uma Entidade de Segurança, insira bdcDSA e selecione Ok
Defina o Tipo como Permitir
Defina Aplica-se a como Objetos de computador descendentes
Role até a parte inferior e selecione Limpar tudo
Role de volta para a parte superior e selecione Redefinir senha
Selecione OK
Selecione Adicionar
Selecione Selecionar uma Entidade de Segurança, insira bdcDSA e selecione Ok
Defina o Tipo como Permitir
Defina Aplica-se a como Objetos de usuário descendentes
Role até a parte inferior e selecione Limpar tudo
Role de volta para a parte superior e selecione Redefinir senha
Selecione OK
Selecione OK mais duas vezes para fechar as caixas de diálogo abertas