Préparer Active Directory pour le déploiement Azure Local version 23H2
S’applique à : Azure Local, version 23H2
Cet article explique comment préparer votre environnement Active Directory avant de déployer Azure Local version 23H2.
Les exigences d’Active Directory pour Azure Local sont les suivantes :
- Unité d’organisation dédiée (UO).
- Héritage de stratégie de groupe bloqué pour l’objet de stratégie de groupe applicable.
- Un compte d’utilisateur disposant de tous les droits relatifs à l’unité d’organisation dans Active Directory.
- Les machines ne doivent pas être jointes à Active Directory avant le déploiement.
Remarque
- Vous pouvez utiliser votre processus existant pour répondre aux exigences ci-dessus. Le script utilisé dans cet article est facultatif et est fourni pour simplifier la préparation.
- Lorsque l’héritage de stratégie de groupe est bloqué au niveau de l’unité d’organisation, les objets de stratégie de groupe appliqués ne sont pas bloqués. Vérifiez que tous les objets de stratégie de groupe applicables, appliqués, sont également bloqués à l’aide d’autres méthodes, par exemple à l’aide de filtres WMI ou de groupes de sécurité.
Pour affecter manuellement les autorisations requises pour Active Directory, créez une unité d’organisation et bloquez l’héritage des objets de stratégie de groupe, consultez la configuration d’Active Directory personnalisée pour votre instance Azure Local, version 23H2.
Prérequis
Avant de commencer, vérifiez que vous avez effectué les opérations suivantes :
Remplissez les conditions préalables pour les nouveaux déploiements d’Azure Local.
Téléchargez et installez le module version 2402 à partir de PowerShell Gallery. Exécutez la commande suivante à partir du dossier où se trouve le module :
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
Remarque
Veillez à désinstaller toutes les versions précédentes du module avant d’installer la nouvelle version.
Vous avez obtenu des autorisations pour créer une unité d’organisation. Si vous n’avez pas d’autorisations, contactez votre administrateur Active Directory.
Si vous disposez d’un pare-feu entre votre système local Azure et Active Directory, vérifiez que les règles de pare-feu appropriées sont configurées. Pour obtenir des conseils spécifiques, consultez les exigences de pare-feu pour les services web Active Directory et le service de gestion de passerelle Active Directory. Consultez également Comment configurer un pare-feu pour les domaines et approbations Active Directory.
Module de préparation Active Directory
L’applet New-HciAdObjectsPreCreation
de commande du module PowerShell AsHciADArtifactsPreCreationTool est utilisée pour préparer Active Directory pour les déploiements locaux Azure. Voici les paramètres requis associés à l’applet de commande :
Paramètre | Description |
---|---|
-AzureStackLCMUserCredential |
Objet utilisateur créé avec les autorisations appropriées pour le déploiement. Ce compte est identique au compte d’utilisateur utilisé par le déploiement local Azure. Assurez-vous que seul le nom d’utilisateur est fourni. Le nom ne doit pas inclure le nom de domaine, par exemple contoso\username .Le mot de passe doit être conforme aux exigences de longueur et de complexité. Utilisez un mot de passe d’au moins 12 caractères. Le mot de passe doit également contenir trois des quatre exigences : un caractère minuscule, un caractère majuscule, un chiffre et un caractère spécial. Pour plus d’informations, consultez les exigences de complexité du mot de passe. Le nom peut utiliser l’administrateur comme nom d’utilisateur. |
-AsHciOUName |
Nouvelle unité d’organisation (UO) pour stocker tous les objets du déploiement local Azure. Les stratégies de groupe et l’héritage existants sont bloquées dans cette unité d’organisation pour s’assurer qu’il n’existe aucun conflit de paramètres. L’unité d’organisation doit être spécifiée en tant que nom unique (DN). Pour plus d’informations, consultez le format des noms uniques. |
Remarque
- Le
-AsHciOUName
chemin d’accès ne prend pas en charge les caractères spéciaux suivants n’importe où dans le chemin d’accès :&,",',<,>
. - Le déplacement des objets ordinateur vers une unité d’organisation différente une fois le déploiement terminé n’est pas non plus pris en charge.
Préparation du système Active Directory
Lorsque vous préparez Active Directory, vous créez une unité d’organisation dédiée pour placer les objets locaux Azure tels que l’utilisateur de déploiement.
Pour créer une unité d’organisation dédiée, procédez comme suit :
Connectez-vous à un ordinateur joint à votre domaine Active Directory.
Démarrez PowerShell en tant qu'administrateur.
Exécutez la commande suivante pour créer l’unité d’organisation dédiée.
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
Lorsque vous y êtes invité, indiquez le nom d’utilisateur et le mot de passe du déploiement.
- Assurez-vous que seul le nom d’utilisateur est fourni. Le nom ne doit pas inclure le nom de domaine, par exemple
contoso\username
. Le nom d’utilisateur doit comporter entre 1 et 64 caractères et contenir uniquement des lettres, des chiffres, des traits d’union et des traits de soulignement et ne peut pas commencer par un trait d’union ou un nombre. - Assurez-vous que le mot de passe répond aux exigences de complexité et de longueur. Utilisez un mot de passe d’au moins 12 caractères et contient : un caractère minuscule, un caractère majuscule, un chiffre et un caractère spécial.
Voici un exemple de sortie à partir d’une fin réussie du script :
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>
- Assurez-vous que seul le nom d’utilisateur est fourni. Le nom ne doit pas inclure le nom de domaine, par exemple
Vérifiez que l’unité d’organisation est créée. Si vous utilisez un client Windows Server, accédez à Gestionnaire de serveur > Outils > Utilisateurs et ordinateurs Active Directory.
Une unité d’organisation portant le nom spécifié doit être créée et dans cette unité d’organisation, vous verrez l’utilisateur de déploiement.
Remarque
Si vous réparez un seul ordinateur, ne supprimez pas l’unité d’organisation existante. Si les volumes de l’ordinateur sont chiffrés, la suppression de l’unité d’organisation supprime les clés de récupération BitLocker.
Étapes suivantes
- Téléchargez le système d’exploitation Azure Stack HCI version 23H2 sur chaque ordinateur de votre système.