適用対象:
SQL Server 2019 (15.x)
この記事では、Active Directory と統合されたビッグ データ クラスター内の Active Directory オブジェクト用のパスワードをローテーションする方法について説明します。
Important
Microsoft SQL Server 2019 ビッグ データ クラスターは廃止されました。 SQL Server 2019 ビッグ データ クラスターのサポートは、2025 年 2 月 28 日の時点で終了しました。 詳細については、Microsoft SQL Server プラットフォーム の発表ブログ投稿 と ビッグ データ オプションを参照してください。
Overview
Active Directory 統合を使用してビッグ データ クラスターを展開した場合は、ビッグ データ クラスターの展開中に SQL Server によって作成された Active Directory (AD) アカウントおよびグループが存在します。 これらの AD アカウントおよびグループの詳細については、「自動的に生成される Active Directory のオブジェクト」を参照してください。 これらのオブジェクトは、通常、展開プロファイル構成内で指定された組織単位 (OU) にあります。
企業のお客様にとって最大の課題の 1 つは、セキュリティの強化です。 多くのお客様にとって、パスワードの有効期限ポリシーを設定することは必須となっています。これにより、管理者は、時間の経過に応じてユーザーのパスワードの有効期限を設定することができます。 ビッグ データ クラスターの場合、これまでは、そのような自動生成された Active Directory オブジェクト用のパスワードを手動でローテーションする必要がありました。
前述の課題を回避するために、自動生成された AD オブジェクト用のパスワードの自動ローテーションが CU13 で導入されました。
パスワードの自動ローテーションを完了するには、順序に関係なく、次の 2 つの手順が必要です。
1. azdata コマンドを使用してパスワードを変更する
次の azdata コマンドを使用して、自動生成されたパスワードを更新します。
azdata bdc rotate の詳細については、azdata のリファレンスを参照してください。
azdata bdc rotate -n <clusterName>
これにより、コントロール プレーンのアップグレード、ビッグ データ クラスターのアップグレードの順に開始されます。 各ローテーションでは、複数のサービスにわたる同じローテーション、またはパスワード ローテーションのさまざまな反復処理を識別するために、ターゲット AD 資格情報バージョンが生成されます。 各サービスでは、生成されたパスワードが含まれている場合、新しく生成されたパスワードがドメイン コントローラー内で更新されます。 パスワードは 32 文字の長さであり、これには少なくとも、大文字が 1 つ、小文字が 1 つ、数字が 1 つ含まれています。 特殊文字は保証されていません。 次に、対応するポッドが再起動されます。
2. ドメイン サービス アカウント (DSA) のパスワードのローテーション
SQL Server ビッグ データ クラスター PASS001 - Update Administrator Domain Controller Passwordを更新するには、 ノートブックを使います。 このノートブックとその他のクラスター管理ノートブックの詳細については、「SQL Server ビッグ データ クラスター用の運用ノートブック」を参照してください。 DSA パスワードは、ビッグ データ クラスターでは管理されないため、手動で更新できます。 変更が完了したら、ノートブックに対して環境変数パラメーターとして DSA 管理者のユーザー名とパスワードを指定します。
Important
パスワードのローテーションおよびビッグ データ クラスターのアップグレードは、ネットワーク速度やポッドの数などによっては、完了までに時間を要する場合があります。 パスワード ローテーションは個別のプロセスであり、クラスターのアップグレード操作または DSA パスワードのローテーションと並行して行うことはできません。