Vorbereiten von Active Directory für die lokale Bereitstellung von Azure, Version 23H2
Gilt für: Azure Local, Version 23H2
In diesem Artikel wird beschrieben, wie Sie Ihre Active Directory-Umgebung vorbereiten, bevor Sie Azure Local, Version 23H2 bereitstellen.
Zu den Active Directory-Anforderungen für Azure Local gehören:
- Eine dedizierte Organisationseinheit (OU).
- Gruppenrichtlinienvererbung, die für das entsprechende Gruppenrichtlinienobjekt (Group Policy Object, GPO) blockiert ist.
- Ein Benutzerkonto, das alle Rechte für die OU in Active Directory besitzt.
- Computer dürfen vor der Bereitstellung nicht mit Active Directory verbunden werden.
Hinweis
- Sie können Ihren vorhandenen Prozess verwenden, um die oben genannten Anforderungen zu erfüllen. Das in diesem Artikel verwendete Skript ist optional und wird bereitgestellt, um die Vorbereitung zu vereinfachen.
- Wenn die Gruppenrichtlinienvererbung auf OU-Ebene blockiert wird, werden erzwungene Gruppenrichtlinienobjekte nicht blockiert. Stellen Sie sicher, dass alle anwendbaren Gruppenrichtlinienobjekte, die erzwungen werden, auch mit anderen Methoden blockiert werden, z. B. mit WMI-Filtern oder Sicherheitsgruppen.
Informationen zum manuellen Zuweisen der erforderlichen Berechtigungen für Active Directory, Erstellen einer OE und Blockieren der GPO-Vererbung finden Sie unter "Benutzerdefinierte Active Directory-Konfiguration für Ihr lokales Azure, Version 23H2".
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Schritte ausgeführt haben:
Erfüllen Sie die Voraussetzungen für neue Bereitstellungen von Azure Local.
Laden Sie das Modul Version 2402 aus dem PowerShell-Katalog herunter, und installieren Sie es. Führen Sie den folgenden Befehl aus dem Ordner aus, in dem sich das Modul befindet:
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
Hinweis
Stellen Sie sicher, dass Sie alle früheren Versionen des Moduls deinstallieren, bevor Sie die neue Version installieren.
Sie haben Berechtigungen zum Erstellen einer OE erhalten. Wenn Sie nicht über Berechtigungen verfügen, wenden Sie sich an Ihren Active Directory-Administrator.
Wenn Sie über eine Firewall zwischen Ihrem lokalen Azure-System und Active Directory verfügen, stellen Sie sicher, dass die richtigen Firewallregeln konfiguriert sind. Spezifische Anleitungen finden Sie unter Firewallanforderungen für Active Directory-Webdienste und Active Directory-Gatewayverwaltungsdienst. Siehe auch Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen.
Active Directory-Vorbereitungsmodul
Das New-HciAdObjectsPreCreation
Cmdlet des AsHciADArtifactsPreCreationTool PowerShell-Moduls wird verwendet, um Active Directory für lokale Azure-Bereitstellungen vorzubereiten. Im Folgenden sind die erforderlichen Parameter aufgeführt, die dem Cmdlet zugeordnet sind:
Parameter | Beschreibung |
---|---|
-AzureStackLCMUserCredential |
Ein neues Benutzerobjekt, das mit den entsprechenden Berechtigungen für die Bereitstellung erstellt wird. Dieses Konto entspricht dem Benutzerkonto, das von der lokalen Azure-Bereitstellung verwendet wird. Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, contoso\username z. B. .Das Kennwort muss den Längen- und Komplexitätsanforderungen entsprechen. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist. Das Kennwort muss auch drei der vier Anforderungen enthalten: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen. Weitere Informationen finden Sie unter Kennwortkomplexitätsanforderungen. Der Name kann den Administrator als Benutzernamen verwenden. |
-AsHciOUName |
Eine neue Organisationseinheit (OE), um alle Objekte für die lokale Azure-Bereitstellung zu speichern. Vorhandene Gruppenrichtlinien und Vererbung werden in dieser OU blockiert, um sicherzustellen, dass es keinen Konflikt mit Einstellungen gibt. Die OU muss als Distinguished Name (DN) angegeben werden. Weitere Informationen finden Sie im Format von Distinguished Names. |
Hinweis
- Der
-AsHciOUName
Pfad unterstützt die folgenden Sonderzeichen nicht an einer beliebigen Stelle im Pfad:&,",',<,>
- Das Verschieben der Computerobjekte in eine andere OU nach Abschluss der Bereitstellung wird ebenfalls nicht unterstützt.
Vorbereiten von Active Directory
Wenn Sie Active Directory vorbereiten, erstellen Sie eine dedizierte Organisationseinheit (OU), um die lokalen Azure Local-Objekte wie z. B. den Bereitstellungsbenutzer zu platzieren.
Führen Sie die folgenden Schritte aus, um eine dedizierte OU zu erstellen:
Melden Sie sich bei einem Computer an, der ihrer Active Directory-Domäne beigetreten ist.
Führen Sie PowerShell als Administrator aus.
Führen Sie den folgenden Befehl aus, um die dedizierte OU zu erstellen.
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen und das Kennwort für die Bereitstellung an.
- Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten,
contoso\username
z. B. . Der Benutzername darf zwischen 1 und 64 Zeichen bestehen und darf nur Buchstaben, Zahlen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder einer Zahl beginnen. - Stellen Sie sicher, dass das Kennwort komplexitäts- und längenanforderungen erfüllt. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist und enthält: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen.
Hier ist eine Beispielausgabe aus einem erfolgreichen Abschluss des Skripts:
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>
- Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten,
Stellen Sie sicher, dass die OU erstellt wird. Wenn Sie einen Windows Server-Client verwenden, wechseln Sie zu Server-Manager > Tools > Active Directory-Benutzer und -Computer.
Eine OU mit dem angegebenen Namen sollte erstellt werden, und in dieser OU wird der Bereitstellungsbenutzer angezeigt.
Hinweis
Wenn Sie einen einzelnen Computer reparieren, löschen Sie die vorhandene OE nicht. Wenn die Computervolumes verschlüsselt sind, entfernt das Löschen der OE die BitLocker-Wiederherstellungsschlüssel.
Nächste Schritte
- Laden Sie azure Stack HCI OS, Version 23H2-Software auf jedem Computer in Ihrem System herunter.