Préparer Active Directory pour le déploiement local Azure

S’applique à : Azure Local 2311.2 et les versions ultérieures

Cet article explique comment préparer votre environnement Active Directory avant de déployer Azure Local.

Les exigences d’Active Directory pour Azure Local sont les suivantes :

• Unité d’organisation dédiée (UO).
• L’héritage des stratégies de groupe qui est bloqué pour l’objet de stratégie de groupe (GPO) applicable.
• Un compte d’utilisateur disposant de tous les droits relatifs à l’unité d’organisation dans Active Directory.
• Les machines ne doivent pas être jointes à Active Directory avant le déploiement.

Remarque

• Vous pouvez utiliser votre processus existant pour répondre aux exigences ci-dessus. Le script utilisé dans cet article est facultatif et est fourni pour simplifier la préparation.
• Lorsque l'héritage des stratégies de groupe est bloqué au niveau de l'OU, les GPO dont l'option exécutée est activée ne sont pas bloquées Le cas échéant, assurez-vous que ces GPO sont bloqués par d'autres méthodes, par exemple à l'aide d'un filtre WMI (Windows Management Instrumentation). Appliquez le filtre WMI à toutes les GPO appliquées, afin d'exclure les comptes d'ordinateur machine de vos instances Azure Local de l'application des GPO. Une fois le filtre appliqué, les GPO imposées ne s'appliqueront pas, selon la logique définie dans le filtre WMI.

Pour affecter manuellement les autorisations requises pour Active Directory, créer une unité d’organisation (UO) et bloquer l’héritage des GPO, consultez la configuration Active Directory personnalisée pour votre Azure Local.

Prérequis

• Remplissez les conditions préalables pour les nouveaux déploiements d’Azure Local.

• Installez la version 2402 du module « AsHciADArtifactsPreCreationTool ». Exécutez la commande suivante pour installer le module à partir de PowerShell Gallery :

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Remarque

  Veillez à désinstaller toutes les versions précédentes du module avant d’installer la nouvelle version.

• Vous avez besoin d’autorisations pour créer une unité organisationnelle. Si vous n’avez pas d’autorisations, contactez votre administrateur Active Directory.

• Si vous disposez d’un pare-feu entre votre système local Azure et Active Directory, vérifiez que les règles de pare-feu appropriées sont configurées. Pour obtenir des conseils spécifiques, consultez les exigences de pare-feu pour les services web Active Directory et le service de gestion de passerelle Active Directory. Consultez également Comment configurer un pare-feu pour les domaines et approbations Active Directory.

Module de préparation Active Directory

L’applet New-HciAdObjectsPreCreation de commande du module PowerShell AsHciADArtifactsPreCreationTool est utilisée pour préparer Active Directory pour les déploiements locaux Azure. Voici les paramètres requis associés à l’applet de commande :

Paramètre	Description
-AzureStackLCMUserCredential	Objet utilisateur créé avec les autorisations appropriées pour le déploiement. Ce compte est identique au compte d’utilisateur utilisé par le déploiement local Azure. Assurez-vous que seul le nom d’utilisateur est fourni. Le nom ne doit pas inclure le nom de domaine, par exemple, contoso\username. Le mot de passe doit être conforme aux exigences de longueur et de complexité. Utilisez un mot de passe d’au moins 12 caractères. Le mot de passe doit également contenir trois des quatre exigences : un caractère minuscule, un caractère majuscule, un chiffre et un caractère spécial. Pour plus d’informations, consultez les exigences de complexité du mot de passe. Le nom ne peut pas être exactement identique à celui de l’utilisateur administrateur local. Le nom peut utiliser l’administrateur comme nom d’utilisateur.
-AsHciOUName	Nouvelle unité d’organisation (UO) pour stocker tous les objets du déploiement local Azure. Les stratégies de groupe existantes et l’héritage sont bloqués dans cette UO pour assurer qu’il n’y a pas de conflit de paramètres. L’UO doit être spécifiée en tant que nom unique (DN). Pour plus d’informations, consultez le format des noms uniques.

Remarque

• Les caractères spéciaux suivants ne peuvent figurer nulle part dans le chemin -AsHciOUName car ils ne sont pas pris en charge : &,",',<,>.
• Une fois le déploiement terminé, le déplacement des objets ordinateur vers une unité d’organisation différente n’est pas pris en charge.

Préparation du système Active Directory

Lorsque vous préparez Active Directory, vous créez une unité d’organisation dédiée pour placer les objets locaux Azure tels que l’utilisateur de déploiement.

Pour créer une unité d’organisation dédiée, procédez comme suit :

1. Connectez-vous à un ordinateur joint à votre domaine Active Directory.

2. Démarrez PowerShell en tant qu'administrateur.

3. Exécutez la commande suivante pour créer l’unité d’organisation dédiée.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. Lorsque vous y êtes invité, indiquez le nom d’utilisateur et le mot de passe du déploiement.

   1. Assurez-vous que seul le nom d’utilisateur est fourni. Le nom ne doit pas inclure le nom de domaine, par exemple, contoso\username. Le nom d’utilisateur doit comporter entre 1 et 64 caractères et contenir uniquement des lettres, des chiffres, des traits d’union et des traits de soulignement et ne peut pas commencer par un trait d’union ou un nombre.
   2. Assurez-vous que le mot de passe répond aux exigences de complexité et de longueur. Utilisez un mot de passe d’au moins 12 caractères et contient : un caractère minuscule, un caractère majuscule, un chiffre et un caractère spécial.

   Voici un exemple de sortie à partir d’une exécution réussie du script :

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Vérifiez que l’UO est créée. Si vous utilisez un client Windows Server, accédez à Gestionnaire de serveur > Outils > Utilisateurs et ordinateurs Active Directory.

6. Une unité d’organisation portant le nom spécifié est créée. Cette UO contient le nouveau compte utilisateur de déploiement du Gestionnaire de cycle de vie (LCM).

   

Remarque

Si vous réparez un seul ordinateur, ne supprimez pas l’unité d’organisation existante. Si les volumes de l’ordinateur sont chiffrés, la suppression de l'OU supprime les clés de récupération BitLocker.

Considérations relatives aux déploiements à grande échelle

Le compte d’utilisateur LCM est utilisé pendant les opérations de maintenance, comme l’application de mises à jour via PowerShell. Ce compte est également utilisé lors de l’exécution d’actions de jointure de domaine sur votre AD, telles que réparer un nœud ou ajouter un nœud. Cela nécessite que l’identité de l’utilisateur LCM dispose d’autorisations déléguées pour ajouter des comptes d’ordinateur à l’unité d’organisation cible dans le domaine local.

Pendant le déploiement cloud d’Azure Local, le compte d’utilisateur LCM est ajouté au groupe d’administrateurs locaux des nœuds physiques. Pour atténuer le risque d’un compte d’utilisateur LCM compromis, nous vous recommandons d’avoir un compte d’utilisateur LCM dédié avec un mot de passe unique pour chaque instance locale Azure. Cette recommandation limite l’étendue et l’impact d’un compte LCM compromis à une seule instance.

Nous vous recommandons de suivre ces bonnes pratiques pour la création de l’unité d’organisation. Ces recommandations sont automatisées lorsque vous utilisez l’applet de commande New-HciAdObjectsPreCreation pour préparer Active Directory.

• Pour chaque instance locale Azure, créez une unité d’organisation individuelle dans Active Directory. Cette approche permet de gérer le compte d’utilisateur LCM, les comptes d’ordinateur des machines physiques et l’objet de nom de cluster (CNO) dans l’étendue d’une unité d’organisation unique pour chaque instance.
• Lors du déploiement de plusieurs instances à grande échelle, pour faciliter la gestion :
  • Créez une OU sous une OU parent unique pour chaque instance.
  • Activez l’option Bloquer l’héritage au niveau de l’UO parente et des sous-unités d’organisation.
  • Pour appliquer un GPO à toutes les instances Azure Local, telles que l’imbrication d’un groupe de domaines dans le groupe d’administrateurs locaux, liez le GPO à l’UO parente et activez l’option Appliqué. En faisant cela, vous appliquez la configuration à toutes les sous-unités d’organisation, même avec l’option Bloquer l’héritage activée.

Si les processus et procédures de votre organisation nécessitent des écarts par rapport à ces recommandations, ils sont autorisés. Toutefois, il est important de prendre en compte les implications de sécurité et de facilité de gestion de votre conception en tenant compte de ces facteurs.

Étapes suivantes

• Téléchargez le système d’exploitation Azure Stack HCI version 23H2 sur chaque ordinateur de votre système.