Freigeben über

Vorbereiten von Active Directory für die lokale Bereitstellung von Azure, Version 23H2

  • Artikel

Gilt für: Azure Local 2311.2 und höher

In diesem Artikel wird beschrieben, wie Sie Ihre Active Directory-Umgebung vorbereiten, bevor Sie Azure Local, Version 23H2 bereitstellen.

Zu den Active Directory-Anforderungen für Azure Local gehören:

  • Eine dedizierte Organisationseinheit (OU).
  • Gruppenrichtlinienvererbung, die für das entsprechende Gruppenrichtlinienobjekt (Group Policy Object, GPO) blockiert ist.
  • Ein Benutzerkonto, das alle Rechte für die OU in Active Directory besitzt.
  • Computer dürfen vor der Bereitstellung nicht mit Active Directory verbunden werden.

Hinweis

  • Sie können Ihren vorhandenen Prozess verwenden, um die oben genannten Anforderungen zu erfüllen. Das in diesem Artikel verwendete Skript ist optional und wird bereitgestellt, um die Vorbereitung zu vereinfachen.
  • Wenn die Vererbung von Gruppenrichtlinien auf OE-Ebene blockiert ist, werden GPOs mit erzwungener Option nicht blockiert. Stellen Sie ggf. sicher, dass diese GPOs mit anderen Methoden blockiert werden, z. B. mithilfe eines WMI-Filters (Windows Management Instrumentation). Wenden Sie den WMI-Filter auf alle erzwungenen GPOs an, um Computercomputerkonten für Ihre lokalen Azure-Instanzen von der Anwendung der GPOs auszuschließen. Nachdem der Filter angewendet wurde, werden erzwungene GPOs nicht angewendet, basierend auf der logik, die im WMI-Filter definiert ist.

Informationen zum manuellen Zuweisen der erforderlichen Berechtigungen für Active Directory, Erstellen einer OE und Blockieren der GPO-Vererbung finden Sie unter "Benutzerdefinierte Active Directory-Konfiguration für Ihr lokales Azure, Version 23H2".

Voraussetzungen

  • Erfüllen Sie die Voraussetzungen für neue Bereitstellungen von Azure Local.

  • Installieren Sie Version 2402 des Moduls "AsHciADArtifactsPreCreationTool". Führen Sie den folgenden Befehl aus, um das Modul aus der PowerShell Gallery zu installieren:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Hinweis

    Stellen Sie sicher, dass Sie alle früheren Versionen des Moduls deinstallieren, bevor Sie die neue Version installieren.

  • Sie benötigen Berechtigungen zum Erstellen einer OU. Wenn Sie nicht über Berechtigungen verfügen, wenden Sie sich an Ihren Active Directory-Administrator.

  • Wenn Sie über eine Firewall zwischen Ihrem lokalen Azure-System und Active Directory verfügen, stellen Sie sicher, dass die richtigen Firewallregeln konfiguriert sind. Spezifische Anleitungen finden Sie unter Firewallanforderungen für Active Directory-Webdienste und Active Directory-Gatewayverwaltungsdienst. Siehe auch Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen.

Active Directory-Vorbereitungsmodul

Das New-HciAdObjectsPreCreation Cmdlet des AsHciADArtifactsPreCreationTool PowerShell-Moduls wird verwendet, um Active Directory für lokale Azure-Bereitstellungen vorzubereiten. Im Folgenden sind die erforderlichen Parameter aufgeführt, die dem Cmdlet zugeordnet sind:

Parameter Beschreibung
-AzureStackLCMUserCredential Ein neues Benutzerobjekt, das mit den entsprechenden Berechtigungen für die Bereitstellung erstellt wird. Dieses Konto entspricht dem Benutzerkonto, das von der lokalen Azure-Bereitstellung verwendet wird.
Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, z. B. contoso\username.
Das Kennwort muss den Längen- und Komplexitätsanforderungen entsprechen. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist. Das Kennwort muss auch drei der vier Anforderungen enthalten: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen.
Weitere Informationen finden Sie unter Kennwortkomplexitätsanforderungen.
Der Name kann nicht identisch mit dem lokalen Administratorbenutzer sein.
Der Name kann den Administrator als Benutzernamen verwenden.
-AsHciOUName Eine neue Organisationseinheit (OE), um alle Objekte für die lokale Azure-Bereitstellung zu speichern. Vorhandene Gruppenrichtlinien und Vererbung werden in dieser OU blockiert, um sicherzustellen, dass es keinen Konflikt mit Einstellungen gibt. Die OU muss als Distinguished Name (DN) angegeben werden. Weitere Informationen finden Sie im Format von Distinguished Names.

Hinweis

  • Der -AsHciOUName Pfad unterstützt die folgenden Sonderzeichen nicht an einer beliebigen Stelle im Pfad: &,",',<,>
  • Nach Abschluss der Bereitstellung wird das Verschieben der Computerobjekte in eine andere OE nicht unterstützt.

Vorbereiten von Active Directory

Wenn Sie Active Directory vorbereiten, erstellen Sie eine dedizierte Organisationseinheit (OU), um die lokalen Azure Local-Objekte wie z. B. den Bereitstellungsbenutzer zu platzieren.

Führen Sie die folgenden Schritte aus, um eine dedizierte OU zu erstellen:

  1. Melden Sie sich bei einem Computer an, der ihrer Active Directory-Domäne beigetreten ist.

  2. Führen Sie PowerShell als Administrator aus.

  3. Führen Sie den folgenden Befehl aus, um die dedizierte OU zu erstellen.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen und das Kennwort für die Bereitstellung an.

    1. Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, z. B. contoso\username. Der Benutzername darf zwischen 1 und 64 Zeichen bestehen und darf nur Buchstaben, Zahlen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder einer Zahl beginnen.
    2. Stellen Sie sicher, dass das Kennwort komplexitäts- und längenanforderungen erfüllt. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist und enthält: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen.

    Hier ist eine Beispielausgabe nach erfolgreicher Ausführung des Skripts.

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Stellen Sie sicher, dass die OU erstellt wird. Wenn Sie einen Windows Server-Client verwenden, wechseln Sie zu Server-Manager > Tools > Active Directory-Benutzer und -Computer.

  6. Eine OU mit dem angegebenen Namen wird erstellt. Diese OE enthält das neue Benutzerkonto für die LCM-Bereitstellung.

    Screenshot des Fensters

Hinweis

Wenn Sie einen einzelnen Computer reparieren, löschen Sie die vorhandene OE nicht. Wenn die Computervolumes verschlüsselt sind, entfernt das Löschen der OE die BitLocker-Wiederherstellungsschlüssel.

Überlegungen zu umfangreichen Bereitstellungen

Das Lifecycle Manager (LCM)-Benutzerkonto wird während der Bereitstellung lokaler Azure-Instanzen verwendet, die Active Directory (AD) verwenden, oder für add-node/repair-Vorgänge für vorhandene Instanzen. Das LCM-Benutzerkonto ist für die Durchführung von Domänenbeitrittsaktionen verantwortlich, was die LCM-Benutzeridentität mit delegierten Berechtigungen erfordert, um Computerkonten zur Zielorganisationseinheit (OU) in der lokalen Domäne hinzuzufügen. Während der Bereitstellung von Azure Local wird das LCM-Benutzerkonto der lokalen Administratorgruppe der physischen Computer hinzugefügt.

Um das Risiko einer kompromittierten LCM-Benutzerkontoanmeldeinformationen zu verringern, empfehlen wir, dass Sie für jede lokale Azure-Instanz über ein dediziertes LCM-Benutzerkonto mit einem eindeutigen Kennwort verfügen.

Es wird empfohlen, die folgenden bewährten Methoden für die OU-Erstellung zu befolgen:

  • Erstellen Sie für jede lokale Azure-Instanz eine einzelne OU in Active Directory. Dieser Ansatz hilft beim Verwalten des Computerkontos, CNO, des LCM-Benutzerkontos und der physischen Computerkonten innerhalb einer einzelnen Organisationseinheit für jede Instanz.
  • Bei der Bereitstellung mehrerer Instanzen im großen Maßstab, um die Verwaltung zu vereinfachen:
    • Erstellen Sie unter einer einzelnen übergeordneten OE eine OE für jede Instanz.
    • Deaktivieren Sie die GPO-Vererbung auf übergeordneter OE-Ebene.

Die oben genannten Empfehlungen sind automatisiert, wenn Sie das Cmdlet New-HciAdObjectsPreCreation zum Vorbereiten von Active Directory verwenden.

Nächste Schritte