Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
SQL Server 2019 (15.x)
В этой статье описывается смена паролей для объектов Active Directory в кластере больших данных, интегрированного с Active Directory.
Important
Кластеры больших данных Microsoft SQL Server 2019 прекращены. Поддержка кластеров больших данных SQL Server 2019 закончилась с 28 февраля 2025 г. Дополнительные сведения см. в записи блога объявлений и параметрах больших данных на платформе Microsoft SQL Server.
Overview
При развертывании кластера больших данных с интеграцией Active Directory существуют учетные записи и группы Active Directory, создаваемые SQL Server во время развертывания кластера больших данных. Дополнительные сведения об этих учетных записях и группах AD см. в статье об автоматически созданных объектах Active Directory. Эти объекты обычно находятся в предоставленном подразделении (OU) в конфигурациях профиля развертывания.
Одной из самых больших проблем для корпоративных клиентов является обеспечение безопасности. Для многих клиентов требуется настройка политики истечения срока действия пароля , которая позволяет администратору задать срок действия пароля пользователя с течением времени. В прошлом, для кластера больших данных требовалось вручную сменять пароли для тех объектов Active Directory, которые были созданы автоматически.
Чтобы обойти вышеуказанные проблемы, с CU13 была введена авторотация паролей для автоматически создаваемых объектов AD.
Для завершения автоповорота паролей необходимо выполнить следующие два шага, независимо от последовательности.
1. Используйте команду azdata для смены пароля
Используйте следующую azdata команду, чтобы обновить автоматически созданные пароли. Для получения дополнительной информации о azdata bdc rotate, см. справочник azdata.
azdata bdc rotate -n <clusterName>
Это инициирует обновление уровня управления, за которым следует обновление кластера больших данных. Для каждой смены будет создана целевая версия учетных данных AD, чтобы определить одну смену между несколькими службами или различными итерациями смен паролей. Для каждой службы, если она содержит сгенерированный пароль, в контроллере домена будет обновлен новый сгенерированный пароль. Пароли имеют длину 32 символов, содержат по крайней мере один верхний регистр, один нижний регистр и одну цифру. Специальный символ не гарантируется. Затем будут перезапущены соответствующие поды.
2. Смена пароля для учетной записи службы домена (DSA)
Используйте записную книжку PASS001 - Update Administrator Domain Controller Password для обновления пароля DSA кластера больших данных SQL Server. Дополнительные сведения об этой записной книжке и других записных книжках управления кластерами см. в операционных записных книжках для кластеров больших данных SQL Server. Вы можете вручную обновить пароль DSA, так как кластер больших данных не управляет им. После изменения укажите имя пользователя и пароль администратора DSA в качестве параметров переменной среды в записную книжку.
Important
Ротация паролей и обновление кластера больших данных могут занять некоторое время в зависимости от скорости сети, количества подов и других факторов. Смена паролей является отдельным процессом и не может выполняться параллельно с операцией обновления кластера или сменой пароля DSA.