Compartir a través de

Preparación de Active Directory para la implementación de Azure Local, versión 23H2

  • Artículo

Se aplica a: Azure Local 2311.2 y versiones posteriores

En este artículo se describe cómo preparar el entorno de Active Directory antes de implementar Azure Local, versión 23H2.

Los requisitos de Active Directory para Azure Local incluyen:

  • Una unidad organizativa (UO) dedicada.
  • Herencia de directiva de grupo bloqueada para el objeto de directiva de grupo (GPO) aplicable.
  • Una cuenta de usuario que tiene todos los derechos de la unidad organizativa en Active Directory.
  • Las máquinas no deben unirse a Active Directory antes de la implementación.

Nota:

  • Puede usar el proceso existente para cumplir los requisitos anteriores. El script usado en este artículo es opcional y se proporciona para simplificar la preparación.
  • Cuando la herencia de directivas de grupo se bloquea en el nivel de unidad organizativa, no se bloquean los GPO con la opción aplicada habilitada. Si procede, asegúrese de que estos GPO están bloqueados mediante otros métodos, por ejemplo, usando un filtro de Instrumental de administración de Windows (WMI). Aplique el filtro WMI a cualquier GPO impuesto, para excluir las cuentas de equipo de sus instancias de Azure Local de la aplicación de los GPO. Una vez aplicado el filtro, los GPO aplicados no se aplicarán de acuerdo con la lógica definida en el filtro WMI.

Para asignar manualmente los permisos necesarios para Active Directory, cree una unidad organizativa y bloquee la herencia de GPO, consulte Configuración personalizada de Active Directory para la versión 23H2 de Azure Local.

Requisitos previos

  • Complete los requisitos previos para las nuevas implementaciones de Azure Local.

  • Instale la versión 2402 del módulo "AsHciADArtifactsPreCreationTool". Ejecute el siguiente comando para instalar el módulo desde la Galería de PowerShell:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Nota:

    Asegúrese de desinstalar las versiones anteriores del módulo antes de instalar la nueva versión.

  • Necesita permisos para crear una unidad organizativa (OU). Si no tiene permisos, póngase en contacto con el administrador de Active Directory.

  • Si tiene un firewall entre el sistema local de Azure y Active Directory, asegúrese de que están configuradas las reglas de firewall adecuadas. Para obtener instrucciones específicas, consulte Requisitos de firewall para servicios web de Active Directory y Servicio de administración de puertas de enlace de Active Directory. Consulte también Configuración de un firewall para dominios y confianzas de Active Directory.

Módulo de preparación de Active Directory

El New-HciAdObjectsPreCreation cmdlet del módulo de PowerShell AsHciADArtifactsPreCreationTool se usa para preparar Active Directory para las implementaciones locales de Azure. Estos son los parámetros necesarios asociados al cmdlet :

Parámetro Descripción
-AzureStackLCMUserCredential Nuevo objeto de usuario que se crea con los permisos adecuados para la implementación. Esta cuenta es la misma que la cuenta de usuario que usa la implementación local de Azure.
Asegúrese de que solo se proporciona el nombre de usuario. El nombre no debe incluir el nombre de dominio, por ejemplo, contoso\username.
La contraseña debe cumplir los requisitos de longitud y complejidad. Use una contraseña que tenga al menos 12 caracteres de longitud. La contraseña también debe contener tres de los cuatro requisitos: un carácter en minúsculas, un carácter en mayúsculas, un número y un carácter especial.
Para obtener más información, consulte Requisitos de complejidad de contraseñas.
El nombre no puede ser exactamente el mismo que el usuario administrador local.
El nombre puede usar admin como nombre de usuario.
-AsHciOUName Nueva unidad organizativa (UO) para almacenar todos los objetos de la implementación local de Azure. Las directivas de grupo y la herencia existentes se bloquean en esta unidad organizativa para asegurarse de que no haya ningún conflicto de configuración. La unidad organizativa debe especificarse como nombre distintivo (DN). Para obtener más información, vea el formato de Nombres distintivos.

Nota:

  • La -AsHciOUName ruta de acceso no admite los siguientes caracteres especiales en ninguna parte de la ruta de acceso: &,",',<,>.
  • Una vez completada la implementación, no se admite el traslado de los objetos de equipo a una unidad organizativa diferente.

Preparación de Active Directory

Al preparar Active Directory, se crea una unidad organizativa (OU) dedicada para colocar los objetos relacionados con Azure Local, como el usuario de implementación.

Para crear una unidad organizativa dedicada, siga estos pasos:

  1. Inicie sesión en un equipo unido al dominio de Active Directory.

  2. Ejecute PowerShell como administrador.

  3. Ejecute el siguiente comando para crear la unidad organizativa dedicada.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Cuando se le solicite, proporcione el nombre de usuario y la contraseña de la implementación.

    1. Asegúrese de que solo se proporciona el nombre de usuario. El nombre no debe incluir el nombre de dominio, por ejemplo, contoso\username. El nombre de usuario debe tener entre 1 y 64 caracteres y solo contener letras, números, guiones y caracteres de subrayado, y puede que no empiece por un guión o un número.
    2. Asegúrese de que la contraseña cumple los requisitos de complejidad y longitud. Use una contraseña que tenga al menos 12 caracteres y contenga: un carácter en minúsculas, un carácter en mayúsculas, un número y un carácter especial.

    Esta es una salida de ejemplo de una finalización correcta del script:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Compruebe que se ha creado la unidad organizativa. Si usa un cliente de Windows Server, vaya a Administrador del servidor > Tools > Usuarios y equipos de Active Directory.

  6. Se crea una unidad organizativa con el nombre especificado. Esta unidad organizativa contiene la nueva cuenta de usuario de implementación de LCM.

    Captura de pantalla de la ventana Equipos y usuarios de Active Directory.

Nota:

Si va a reparar una sola máquina, no elimine la OU existente. Si los volúmenes de la máquina están cifrados, al eliminar la unidad organizativa se quitan las claves de recuperación de BitLocker.

Consideraciones para implementaciones a gran escala

La cuenta de usuario del Administrador de ciclo de vida (LCM) se usa durante las implementaciones de instancias locales de Azure que usan Active Directory (AD) o para cualquier operación de reparación o nodo de complemento para instancias existentes. La cuenta de usuario LCM es responsable de realizar acciones de unión a un dominio, lo que requiere que la identidad de usuario LCM tenga permisos delegados para agregar cuentas de equipo a la unidad organizativa (OU) de destino en el dominio local. Durante la implementación de Azure Local, la cuenta de usuario LCM se agrega al grupo de administradores locales de las máquinas físicas.

Para mitigar el riesgo de una credencial de cuenta de usuario LCM en peligro, se recomienda que para cada instancia local de Azure tenga una cuenta de usuario LCM dedicada con una contraseña única.

Se recomienda seguir estos procedimientos recomendados para la creación de unidades organizativas:

  • Para cada instancia local de Azure, cree una unidad organizativa individual dentro de Active Directory. Este enfoque ayuda a administrar cuentas de equipo, CNO, cuenta de usuario LCM y cuentas de equipo físicos dentro del ámbito de una sola unidad organizativa para cada instancia.
  • Al implementar varias instancias a escala, para facilitar la administración:
    • Cree una unidad organizativa bajo una única unidad organizativa principal para cada instancia.
    • Deshabilite la herencia de GPO en el nivel de unidad organizativa principal.

Las recomendaciones anteriores se aplican automáticamente cuando se usa el cmdlet New-HciAdObjectsPreCreation para Preparar Active Directory.

Pasos siguientes

  • Descargue el software del sistema operativo Azure Stack HCI, versión 23H2 en cada máquina del sistema.