Freigeben über

Vorbereiten von Active Directory für die lokale Azure-Bereitstellung

  • Artikel

Gilt für: Azure Local 2311.2 und höher

In diesem Artikel wird beschrieben, wie Sie Ihre Active Directory-Umgebung vorbereiten, bevor Sie Azure Local bereitstellen.

Zu den Active Directory-Anforderungen für Azure Local gehören:

  • Eine dedizierte Organisationseinheit (OU).
  • Gruppenrichtlinienvererbung, die für das entsprechende Gruppenrichtlinienobjekt (Group Policy Object, GPO) blockiert ist.
  • Ein Benutzerkonto, das alle Rechte für die OU in Active Directory besitzt.
  • Computer dürfen vor der Bereitstellung nicht mit Active Directory verbunden werden.

Hinweis

  • Sie können Ihren vorhandenen Prozess verwenden, um die oben genannten Anforderungen zu erfüllen. Das in diesem Artikel verwendete Skript ist optional und wird bereitgestellt, um die Vorbereitung zu vereinfachen.
  • Wenn die Vererbung von Gruppenrichtlinien auf OE-Ebene blockiert ist, werden GPOs mit erzwungener Option nicht blockiert. Stellen Sie ggf. sicher, dass diese GPOs mit anderen Methoden blockiert werden, z. B. mithilfe eines WMI-Filters (Windows Management Instrumentation). Wenden Sie den WMI-Filter auf alle erzwungenen GPOs an, um Computercomputerkonten für Ihre lokalen Azure-Instanzen von der Anwendung der GPOs auszuschließen. Nachdem der Filter angewendet wurde, werden erzwungene GPOs nicht angewendet, basierend auf der logik, die im WMI-Filter definiert ist.

Informationen zum manuellen Zuweisen der erforderlichen Berechtigungen für Active Directory, Erstellen einer OU und Blockieren der GPO-Vererbung finden Sie unter benutzerdefinierte Active Directory-Konfiguration für Ihre lokale Azure-.

Voraussetzungen

  • Erfüllen Sie die Voraussetzungen für neue Bereitstellungen von Azure Local.

  • Installieren Sie Version 2402 des Moduls "AsHciADArtifactsPreCreationTool". Führen Sie den folgenden Befehl aus, um das Modul aus der PowerShell Gallery zu installieren:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Hinweis

    Stellen Sie sicher, dass Sie alle früheren Versionen des Moduls deinstallieren, bevor Sie die neue Version installieren.

  • Sie benötigen Berechtigungen zum Erstellen einer OU. Wenn Sie nicht über Berechtigungen verfügen, wenden Sie sich an Ihren Active Directory-Administrator.

  • Wenn Sie über eine Firewall zwischen Ihrem lokalen Azure-System und Active Directory verfügen, stellen Sie sicher, dass die richtigen Firewallregeln konfiguriert sind. Spezifische Anleitungen finden Sie unter Firewallanforderungen für Active Directory-Webdienste und Active Directory-Gatewayverwaltungsdienst. Siehe auch Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen.

Active Directory-Vorbereitungsmodul

Das New-HciAdObjectsPreCreation Cmdlet des AsHciADArtifactsPreCreationTool PowerShell-Moduls wird verwendet, um Active Directory für lokale Azure-Bereitstellungen vorzubereiten. Im Folgenden sind die erforderlichen Parameter aufgeführt, die dem Cmdlet zugeordnet sind:

Parameter Beschreibung
-AzureStackLCMUserCredential Ein neues Benutzerobjekt, das mit den entsprechenden Berechtigungen für die Bereitstellung erstellt wird. Dieses Konto entspricht dem Benutzerkonto, das von der lokalen Azure-Bereitstellung verwendet wird.
Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, z. B. contoso\username.
Das Kennwort muss den Längen- und Komplexitätsanforderungen entsprechen. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist. Das Kennwort muss auch drei der vier Anforderungen enthalten: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen.
Weitere Informationen finden Sie unter Kennwortkomplexitätsanforderungen.
Der Name kann nicht identisch mit dem lokalen Administratorbenutzer sein.
Der Name kann admin als Benutzernamen verwenden.
-AsHciOUName Eine neue Organisationseinheit (OE), um alle Objekte für die lokale Azure-Bereitstellung zu speichern. Vorhandene Gruppenrichtlinien und Vererbung werden in dieser OU blockiert, damit es keine Einstellungskonflikte gibt. Die OU muss als Distinguished Name (DN) angegeben werden. Weitere Informationen finden Sie im Format von Distinguished Names.

Hinweis

  • Der -AsHciOUName Pfad unterstützt die folgenden Sonderzeichen nicht an einer beliebigen Stelle im Pfad: &,",',<,>
  • Nach Abschluss der Bereitstellung wird das Verschieben der Computerobjekte in eine andere OE nicht unterstützt.

Vorbereiten von Active Directory

Wenn Sie Active Directory vorbereiten, erstellen Sie eine dedizierte Organisationseinheit (OU), um die lokalen Azure Local-Objekte wie z. B. den Bereitstellungsbenutzer zu platzieren.

Führen Sie die folgenden Schritte aus, um eine dedizierte OU zu erstellen:

  1. Melden Sie sich bei einem Computer an, der ihrer Active Directory-Domäne beigetreten ist.

  2. Führen Sie PowerShell als Administrator aus.

  3. Führen Sie den folgenden Befehl aus, um die dedizierte OU zu erstellen.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen und das Kennwort für die Bereitstellung an.

    1. Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, z. B. contoso\username. Der Benutzername darf zwischen 1 und 64 Zeichen bestehen und darf nur Buchstaben, Zahlen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder einer Zahl beginnen.
    2. Stellen Sie sicher, dass das Kennwort komplexitäts- und längenanforderungen erfüllt. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist und enthält: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen.

    Hier ist eine Beispielausgabe nach erfolgreicher Ausführung des Skripts.

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Stellen Sie sicher, dass die OU erstellt wird. Wenn Sie einen Windows Server-Client verwenden, wechseln Sie zu Server-Manager > Tools > Active Directory-Benutzer und -Computer.

  6. Eine OU mit dem angegebenen Namen wird erstellt. Diese OU enthält das neue Lifecycle Manager (LCM)-Bereitstellungsbenutzerkonto.

    Screenshot des Fensters

Hinweis

Wenn Sie einen einzelnen Computer reparieren, löschen Sie die vorhandene OE nicht. Wenn die Computervolumes verschlüsselt sind, entfernt das Löschen der OU die BitLocker-Wiederherstellungsschlüssel.

Überlegungen zu umfangreichen Bereitstellungen

Das LCM-Benutzerkonto wird während wartungsrelevanter Vorgänge verwendet, z. B. das Anwenden von Updates über PowerShell. Dieses Konto wird auch verwendet, wenn Aktionen für den Domänenbeitritt für Ihr AD ausgeführt werden, z. B. Knoten reparieren oder Knoten hinzufügen. Dies erfordert die LCM-Benutzeridentität mit delegierten Berechtigungen zum Hinzufügen von Computerkonten zur Ziel-OU in der lokalen Domäne.

Während der Cloudbereitstellung von Azure Local wird das LCM-Benutzerkonto der lokalen Administratorgruppe der physischen Knoten hinzugefügt. Um das Risiko eines kompromittierten LCM-Benutzerkontos zu verringern, empfehlen wir, ein dediziertes LCM-Benutzerkonto mit einem eindeutigen Kennwort für jede lokale Azure-Instanz zu verwenden. Diese Empfehlung beschränkt den Umfang und die Auswirkungen eines kompromittierten LCM-Kontos auf eine einzelne Instanz.

Es wird empfohlen, diese bewährten Methoden für die OU-Erstellung zu befolgen. Diese Empfehlungen werden automatisch durchgeführt, wenn Sie das Cmdlet New-HciAdObjectsPreCreation verwenden, um Active Directory vorzubereiten.

  • Erstellen Sie für jede lokale Azure-Instanz eine einzelne OU in Active Directory. Dieser Ansatz hilft beim Verwalten des LCM-Benutzerkontos, der Computerkonten der physischen Computer und des Clusternamenobjekts (Cluster Name Object, CNO) im Bereich einer einzelnen ORGANISATIONSeinheit für jede Instanz.
  • Bei der Bereitstellung mehrerer Instanzen im großen Maßstab, um die Verwaltung zu vereinfachen:
    • Erstellen Sie unter einer einzelnen übergeordneten OE eine OE für jede Instanz.
    • Aktivieren Sie die Option Vererbung blockieren sowohl auf der Ebene der übergeordneten als auch der untergeordneten OU.
    • Um ein Gruppenrichtlinienobjekt auf alle Azure Local-Instanzen anzuwenden, beispielsweise zum Verschachteln einer Domänengruppe in der lokalen Administratorgruppe, verknüpfen Sie das Gruppenrichtlinienobjekt mit der übergeordneten OU und aktivieren Sie die Option Erzwingen. Dadurch wenden Sie die Konfiguration auf alle untergeordneten OUs, auch wenn Vererbung blockieren aktiviert ist.

Wenn die Prozesse und Verfahren Ihrer Organisation Abweichungen von diesen Empfehlungen erfordern, sind sie zulässig. Es ist jedoch wichtig, die Auswirkungen auf die Sicherheit und Verwaltbarkeit Ihres Designs zu berücksichtigen, wobei diese Faktoren berücksichtigt werden.

Nächste Schritte