적용 대상:
SQL Server 2019(15.x)
이 문서에서는 Active Directory와 통합된 빅 데이터 클러스터에서 Active Directory 개체에 대한 암호를 회전하는 방법을 설명합니다.
중요합니다
Microsoft SQL Server 2019 빅 데이터 클러스터 추가 기능이 사용 중지됩니다. SQL Server 2019 빅 데이터 클러스터에 대한 지원은 2025년 2월 28일에 종료됩니다. Software Assurance를 사용하는 SQL Server 2019의 모든 기존 사용자는 플랫폼에서 완전히 지원되며, 소프트웨어는 지원 종료 시점까지 SQL Server 누적 업데이트를 통해 계속 유지 관리됩니다. 자세한 내용은 공지 블로그 게시물 및 Microsoft SQL Server 플랫폼의 빅 데이터 옵션을 참조하세요.
개요
Active Directory 통합을 사용하여 빅 데이터 클러스터를 배포하는 경우 빅 데이터 클러스터 배포 중에 SQL Server에서 만드는 AD(Active Directory) 계정 및 그룹이 있습니다. 이러한 AD 계정 및 그룹에 대한 자세한 내용은 자동 생성된 Active Directory 개체를 참조하세요. 이러한 개체는 일반적으로 배포 프로필 구성의 제공된 OU(조직 구성 단위) 에서 찾을 수 있습니다.
엔터프라이즈 고객의 가장 큰 과제 중 하나는 보안 강화입니다. 많은 고객의 경우 관리자가 시간이 지남에 따라 사용자 암호 만료를 설정할 수 있도록 암호 만료 정책을 설정해야 합니다. 빅 데이터 클러스터의 경우 과거에는 자동 생성된 Active Directory 개체에 대해 수동으로 회전된 암호가 필요했습니다.
앞서 언급한 문제를 해결하기 위해 CU13에서 자동 생성된 AD 개체에 대한 암호 자동 회전이 도입되었습니다.
암호 자동 입력을 완료하려면 시퀀스에 관계없이 다음 두 단계가 필요합니다.
1. azdata 명령을 사용하여 암호 회전
다음 azdata 명령을 사용하여 자동 생성된 암호를 업데이트합니다. 자세한 내용은 azdata bdc rotateazdata 참조를 참조하세요.
azdata bdc rotate -n <clusterName>
그러면 컨트롤 플레인 업그레이드가 시작되고 빅 데이터 클러스터 업그레이드가 시작됩니다. 각 회전에 대해 대상 AD 자격 증명 버전이 생성되어 여러 서비스에서 동일한 회전 또는 암호 회전의 다른 반복을 식별합니다. 각 서비스에 대해 생성된 암호가 포함된 경우 새로 생성된 암호가 도메인 컨트롤러에서 업데이트됩니다. 암호의 길이는 32자이며 대문자 하나 이상, 소문자 1개, 숫자 1개를 포함합니다. 특수 문자는 보장되지 않습니다. 그러면 해당 Pod가 다시 시작됩니다.
2. DSA(도메인 서비스 계정)의 암호 회전
PASS001 - Update Administrator Domain Controller Password SQL Server 빅 데이터 클러스터 DSA 암호를 업데이트하려면 Notebook을 사용합니다. 이 Notebook 및 기타 클러스터 관리 Notebook에 대한 자세한 내용은 SQL Server 빅 데이터 클러스터에 대한 운영 Notebook을 참조하세요. 빅 데이터 클러스터가 관리하지 않으므로 DSA 암호를 수동으로 업데이트할 수 있습니다. 변경된 후에는 DSA 관리자 사용자 이름 및 암호를 Notebook에 환경 변수 매개 변수로 제공합니다.
중요합니다
암호 회전 및 빅 데이터 클러스터 업그레이드는 네트워크 속도, Pod 수 등에 따라 완료하는 데 다소 시간이 걸릴 수 있습니다. 암호 회전은 별도의 프로세스이며 클러스터 업그레이드 작업 또는 DSA 암호 회전과 병렬로 수행할 수 없습니다.