Implantar Clusters de Big Data do SQL Server no modo do Active Directory: Pré-requisitos

Aplica-se a: SQL Server 2019 (15.x)

Este documento explica como preparar a implantação de um Cluster de Big Data do SQL Server no modo de autenticação do Active Directory. O cluster usa um domínio existente do AD para autenticação.

Importante

O complemento Clusters de Big Data do Microsoft SQL Server 2019 será desativado. O suporte para Clusters de Big Data do SQL Server 2019 será encerrado em 28 de fevereiro de 2025. Todos os usuários existentes do SQL Server 2019 com Software Assurance terão suporte total na plataforma e o software continuará a ser mantido por meio de atualizações cumulativas do SQL Server até esse momento. Para obter mais informações, confira a postagem no blog de anúncio e as opções de Big Data na plataforma do Microsoft SQL Server.

Observação

Antes do lançamento do SQL Server 2019 CU5, havia uma restrição nos Clusters de Big Data que especificava que apenas um cluster podia ser implantado em um domínio do Active Directory. Essa restrição foi removida na versão CU5. Confira Conceito: implantar Clusters de Big Data do SQL Server no modo do Active Directory para obter detalhes sobre as novas funcionalidades. Os exemplos deste artigo foram ajustados para acomodar os dois casos de uso de implantação.

Segundo plano

Para habilitar a autenticação do AD (Active Directory), o cluster de Big Data cria automaticamente os usuários, os grupos, as contas de computadores e os SPNs (nomes da entidade de serviço) de que os diversos serviços do cluster precisam. Para fornecer alguma independência a essas contas e permitir a definição de escopos para as permissões, sugerimos a criação de uma UO (unidade organizacional) antes da implantação do cluster. Todos os objetos do AD relacionados ao cluster de Big Data serão criados durante a implantação.

Pré-requisitos

OU (Unidade Organizacional)

Uma UO (unidade organizacional) é uma subdivisão dentro de um Active Directory na qual se coloca usuários, grupos e até mesmo outras unidades organizacionais. É possível usar as unidades organizacionais da visão global para espelhar a estrutura funcional ou comercial de uma organização. Este artigo criará uma UO chamada bdc como um exemplo.

Observação

A UO (unidade organizacional) representa limites administrativos e permite que os clientes controlem o escopo de autoridade dos administradores de dados.

Você pode seguir Princípios de Design de UO para decidir a melhor estrutura ao trabalhar com UOs em sua organização.

Conta do AD para a conta de serviço de domínio do cluster de Big Data

Para criar automaticamente todos os objetos necessários no Active Directory, o cluster de Big Data precisa de uma conta do AD com permissões específicas para criar usuários, grupos e contas de computador dentro da UO (unidade organizacional) fornecida. Este artigo explica como configurar as permissões para esta conta do AD. Usamos uma chamada de Conta do AD bdcDSA como um exemplo neste artigo.

Objetos do Active Directory gerados automaticamente

A implantação de Clusters de Big Data gera automaticamente nomes de contas e grupos. Cada conta representa um serviço e será gerenciada pelo Cluster de Big Data durante o tempo de vida em que ele estiver em uso. Essas contas têm os SPNs (Nomes da Entidade de Serviço) que cada serviço requer. Para obter uma lista completa de contas, grupos e serviços gerados automaticamente pelo AD que eles gerenciavam, consulte Objetos gerados automaticamente do Active Directory.

Importante

Dependendo da política de expiração de senha definida no Controlador de Domínio, as senhas dessas contas podem expirar. Não há mecanismo para rotacionar automaticamente credenciais para todas as contas no cluster de Big Data. Portanto, o cluster se tornará inoperante assim que o período de término for atingido. Você pode usar o azdata bdc rotate para rotacionar as senhas de contas do AD geradas automaticamente para o cluster de Big Data. Para obter mais informações, confira azdata-bdc-rotate. Adicione este comando a seus scripts ou pipelines de automação durante o processo de reforço da segurança.

Criar objetos do AD

Faça o seguinte antes de implantar um cluster de Big Data com a integração do AD:

  1. Crie uma UO (unidade organizacional) para armazenar todos os objetos AD relacionados ao cluster de big data. Como alternativa, você pode escolher uma UO existente durante a implantação.
  2. Crie uma conta do AD para o cluster de Big Data (ou use uma conta existente) e forneça para essa conta do AD as permissões corretas dentro da UO (unidade organizacional).

Criar um usuário no AD para a conta de serviço de domínio do cluster de Big Data

O cluster de Big Data requer uma conta com permissões específicas. Antes de continuar, verifique se tem uma conta do AD existente ou crie uma nova, que o cluster de Big Data possa usar para configurar os objetos necessários.

Para criar um novo usuário no AD, você pode clicar com o botão direito do mouse no domínio ou na UO e selecionar Novo>Usuário:

Caixa de diálogo de usuários do Active Directory.

Esse usuário é chamado de conta de serviço de domínio do cluster de Big Data ou DSA neste artigo.

Criar uma UO

No controlador de domínio, abra Usuários e Computadores do Active Directory. No painel à esquerda, clique com o botão direito do mouse no diretório no qual quer criar a UO, selecione Nova>Unidade Organizacional e siga o assistente para criar a UO. Como alternativa, você pode criar uma UO com o PowerShell:

New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"

Os exemplos deste artigo usam bdc como o nome da UO.

Unidade organizacional do Active Directory.

Novo objeto - unidade organizacional.

Definir permissões para uma conta do AD

Quer você tenha criado um novo usuário ou esteja usando um usuário existente do AD, há permissões específicas que o usuário precisa ter. Essa é a conta de usuário que o controlador do cluster de Big Data usará ao ingressar o cluster no AD. O DSA precisa ser capaz de criar usuários, grupos e contas de máquina na UO. Nas etapas a seguir, nomeamos conta de serviço de domínio do cluster de Big Data como bdcDSA.

Importante

Você poderá escolher qualquer nome para a DSA, mas não recomendamos alterar o nome da conta depois que o cluster de Big Data for implantado.

  1. No controlador de domínio, abra Usuários e Computadores do Active Directory

  2. No painel esquerdo, navegue para seu domínio e, em seguida, para a UO que bdc usa

  3. Clique com o botão direito do mouse na UO e selecione Propriedades.

  4. Vá para a guia Segurança (verifique se você selecionou Recursos Avançados clicando com o botão direito do mouse na UO e selecionando Exibir)

    Propriedades de objeto do BDC.

  5. Selecione Adicionar... e adicione o usuário do bdcDSA

    Captura de tela da adição das propriedades do objeto do BDC.

    Captura de tela da seleção de um objeto.

  6. Selecione o usuário do bdcDSA, desmarque todas as permissões e selecione Avançado

  7. Selecione Adicionar

    Captura de tela da seleção de adicionar.

    • Selecione Selecionar uma Entidade de Segurança, insira bdcDSA e selecione Ok

    • Defina o Tipo como Permitir

    • Defina Aplica-se a como Este objeto e todos os descendentes

      Captura de tela da permissão de configurações das propriedades.

    • Role até a parte inferior e selecione Limpar tudo

    • Role de volta para a parte superior e selecione:

      • Ler todas as propriedades
      • Gravar todas as propriedades
      • Criar Objetos de computador
      • Excluir Objetos de computador
      • Criar Objetos de grupo
      • Excluir Objetos de grupo
      • Criar Objetos de usuário
      • Excluir objetos de usuário
    • Selecione OK

  • Selecione Adicionar

    • Selecione Selecionar uma Entidade de Segurança, insira bdcDSA e selecione Ok

    • Defina o Tipo como Permitir

    • Defina Aplica-se a como Objetos de computador descendentes

    • Role até a parte inferior e selecione Limpar tudo

    • Role de volta para a parte superior e selecione Redefinir senha

    • Selecione OK

  • Selecione Adicionar

    • Selecione Selecionar uma Entidade de Segurança, insira bdcDSA e selecione Ok

    • Defina o Tipo como Permitir

    • Defina Aplica-se a como Objetos de usuário descendentes

    • Role até a parte inferior e selecione Limpar tudo

    • Role de volta para a parte superior e selecione Redefinir senha

    • Selecione OK

  • Selecione OK mais duas vezes para fechar as caixas de diálogo abertas