적용 대상:
SQL Server 2019(15.x)
이 문서에서는 Active Directory 인증 모드에서 SQL Server 빅 데이터 클러스터 배포를 준비하는 방법을 설명합니다. 클러스터는 인증에 기존 AD 도메인을 사용합니다.
Important
Microsoft SQL Server 2019 빅 데이터 클러스터는 사용 중지되었습니다. SQL Server 2019 빅 데이터 클러스터에 대한 지원은 2025년 2월 28일부터 종료되었습니다. 자세한 내용은 Microsoft SQL Server 플랫폼의 공지 블로그 게시물 및 빅 데이터 옵션을 참조하세요.
Note
SQL Server 2019 CU5 릴리스 전에는 Active Directory 도메인에 대해 하나의 클러스터만 배포할 수 있도록 빅 데이터 클러스터에 제한이 있습니다. 이 제한은 CU5 릴리스에서 제거됩니다. 새 기능에 대한 자세한 내용은 개념: Active Directory 모드에서 SQL Server 빅 데이터 클러스터 배포 를 참조하세요. 이 문서의 예제는 두 배포 사용 사례를 모두 수용하도록 조정됩니다.
Background
AD(Active Directory) 인증을 사용하도록 설정하기 위해 빅 데이터 클러스터는 클러스터의 다양한 서비스에 필요한 사용자, 그룹, 컴퓨터 계정 및 SPN(서비스 사용자 이름)을 자동으로 만듭니다. 이러한 계정의 일부 포함을 제공하고 범위 지정 권한을 허용하려면 클러스터 배포 전에 OU(조직 구성 단위)를 만드는 것이 좋습니다. 모든 빅 데이터 클러스터 관련 AD 개체는 배포 중에 만들어집니다.
Prerequisites
OU(조직 구성 단위)
OU(조직 구성 단위)는 Active Directory 내에서 사용자, 그룹 및 기타 조직 구성 단위를 배치하는 하위 구성입니다. 큰 그림: 조직 구성 단위를 사용하여 조직의 기능 또는 비즈니스 구조를 미러링할 수 있습니다. 이 문서에서는 예제로 OU bdc를 만듭니다.
Note
OU(조직 구성 단위)는 관리 경계를 나타내며 고객이 데이터 관리자의 권한 범위를 제어할 수 있도록 합니다.
OU 디자인 원칙에 따라 조직 내에서 OU 작업에 가장 적합한 구조를 결정할 수 있습니다.
빅 데이터 클러스터 도메인 서비스 계정에 대한 AD 계정
Active Directory에서 필요한 모든 개체를 자동으로 만들려면 빅 데이터 클러스터에 제공된 OU(조직 구성 단위) 내에 사용자, 그룹 및 컴퓨터 계정을 만들 수 있는 특정 권한이 있는 AD 계정이 필요합니다. 이 문서에서는 이 AD 계정에 대한 권한을 구성하는 방법을 설명합니다. 이 문서에서는 bdcDSA 라 불리는 AD 계정을 예로 사용합니다.
자동 생성된 Active Directory 개체
빅 데이터 클러스터 배포는 계정 및 그룹 이름을 자동으로 생성합니다. 각 계정은 서비스를 나타내며 빅 데이터 클러스터가 사용 중인 수명 동안 빅 데이터 클러스터에서 관리됩니다. 이러한 계정은 각 서비스에 필요한 SPN(서비스 사용자 이름)을 소유합니다. 관리되는 AD 자동 생성된 계정, 그룹 및 서비스의 전체 목록은 자동 생성된 Active Directory 개체를 참조하세요.
Important
도메인 컨트롤러에 설정된 암호 만료 정책에 따라 이러한 계정의 암호가 만료 될 수 있습니다. 빅 데이터 클러스터의 모든 계정에 대한 자격 증명을 자동으로 회전하는 메커니즘은 없으므로 만료 기간이 충족되면 클러스터를 작동하지 않습니다. 빅 데이터 클러스터에 대한 자동 생성된 AD 계정의 암호를 회전하는 데 사용할 azdata bdc rotate 수 있습니다. 자세한 내용은 azdata-bdc-rotate을 참조하세요. 보안 강화 프로세스 중에 자동화 스크립트 또는 파이프라인에 이 명령을 추가합니다.
AD 개체 만들기
AD 통합을 사용하여 빅 데이터 클러스터를 배포하기 전에 다음 작업을 수행합니다.
- 모든 빅 데이터 클러스터 관련 AD 개체를 저장하는 OU(조직 구성 단위)를 만듭니다. 또는 배포 시 기존 OU를 선택할 수 있습니다.
- 빅 데이터 클러스터에 대한 AD 계정을 만들거나 기존 계정을 사용하고 이 AD 계정에 제공된 OU(조직 구성 단위) 내에서 올바른 권한을 제공합니다.
빅 데이터 클러스터 도메인 서비스 계정에 대한 AD에서 사용자 만들기
빅 데이터 클러스터에는 특정 권한이 있는 계정이 필요합니다. 계속하기 전에 기존 AD 계정이 있는지 확인하거나 빅 데이터 클러스터에서 필요한 개체를 설정하는 데 사용할 수 있는 새 계정을 만듭니다.
AD에서 새 사용자를 만들려면 도메인 또는 OU를 마우스 오른쪽 단추로 클릭하고 새>사용자를 선택할 수 있습니다.
이 사용자를 빅 데이터 클러스터 도메인 서비스 계정 또는 이 문서의 DSA 라고 합니다.
OU 만들기
도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다. 왼쪽 패널에서 OU를 만들 디렉터리를 마우스 오른쪽 단추로 클릭하고 새>조직 구성 단위를 선택한 다음 마법사의 프롬프트에 따라 OU를 만듭니다. 또는 PowerShell을 사용하여 OU를 만들 수 있습니다.
New-ADOrganizationalUnit -Name "<name>" -Path "<Distinguished name of the directory you wish to create the OU in>"
이 문서의 예제에서는 OU 이름에 사용합니다 bdc .
AD 계정에 대한 사용 권한 설정
새 AD 사용자를 만들었든 기존 AD 사용자를 사용하든 관계없이 사용자에게 필요한 특정 권한이 있습니다. 이 계정은 클러스터를 AD에 조인할 때 빅 데이터 클러스터 컨트롤러에서 사용하는 사용자 계정입니다. DSA는 OU에서 사용자, 그룹 및 컴퓨터 계정을 만들 수 있어야 합니다. 다음 단계에서는 빅 데이터 클러스터 도메인 서비스 계정의 이름을 지정했습니다 bdcDSA.
Important
DSA의 이름을 선택할 수 있지만 빅 데이터 클러스터가 배포된 후에는 계정 이름을 변경하지 않는 것이 좋습니다.
도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터를 엽니다.
왼쪽 패널에서 도메인으로 이동한 다음, 사용하는 OU
bdc로 이동합니다.OU를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
보안 탭으로 이동합니다(OU를 마우스 오른쪽 단추로 클릭하고 보기를 선택하여 고급 기능을 선택했는지 확인)
추가...를 선택하고 bdcDSA 사용자 추가
bdcDSA 사용자를 선택하고 모든 사용 권한을 지웁니다. 그런 다음 고급을 선택합니다.
Select Add
주체 선택, bdcDSA를 삽입하고, 확인을 선택하세요.
허용하도록 형식 설정
적용 대상을 이 개체 및 모든 하위 개체로 설정
아래로 스크롤하여 모두 지우기 선택
맨 위로 다시 스크롤하고 다음을 선택합니다.
- 모든 속성 읽기
- 모든 속성 쓰기
- 컴퓨터 개체 만들기
- 컴퓨터 개체 삭제
- 그룹 개체 만들기
- 그룹 개체 삭제
- 사용자 개체 만들기
- 사용자 개체 삭제
Select OK
Select Add
주체 선택, bdcDSA를 삽입하고, 확인을 선택하세요.
허용하도록 형식 설정
적용 대상을 하위 컴퓨터 개체로 설정
아래로 스크롤하여 모두 지우기 선택
맨 위로 다시 스크롤하고 암호 재설정을 선택합니다.
Select OK
Select Add
주체 선택, bdcDSA를 삽입하고, 확인을 선택하세요.
허용하도록 형식 설정
적용 대상을 하위 사용자 개체로 설정
아래로 스크롤하여 모두 지우기 선택
맨 위로 다시 스크롤하고 암호 재설정을 선택합니다.
Select OK
확인을 두 번 더 선택하여 열려 있는 대화 상자를 닫습니다.