Configuration Active Directory personnalisée pour votre instance Azure Local, version 23H2
S’applique à : Azure Local, version 23H2
Cet article décrit les autorisations et les enregistrements DNS requis pour le déploiement Azure Local version 23H2. L’article utilise également des exemples avec des étapes détaillées sur l’attribution manuelle d’autorisations et la création d’enregistrements DNS pour votre environnement Active Directory.
La solution Locale Azure est déployée dans de grands répertoires actifs avec des processus et des outils établis pour l’attribution d’autorisations. Microsoft fournit un script de préparation Active Directory qui peut être utilisé éventuellement pour le déploiement local Azure. Les autorisations requises pour Active Directory, la création de l’unité d’organisation et le blocage de l’héritage des objets de stratégie de groupe peuvent tous être configurés manuellement.
Vous avez également le choix du serveur DNS à utiliser, par exemple, vous pouvez utiliser des serveurs DNS Microsoft qui prennent en charge l’intégration à Active Directory pour tirer parti des mises à jour dynamiques sécurisées. Si les serveurs DNS Microsoft ne sont pas utilisés, vous devez créer un ensemble d’enregistrements DNS pour le déploiement et la mise à jour de la solution locale Azure.
À propos des exigences d’Active Directory
Voici quelques-unes des exigences d’Active Directory pour le déploiement local Azure.
Une unité d’organisation dédiée (UO) est nécessaire pour optimiser les temps de requête pour la découverte d’objets. Cette optimisation est essentielle pour les grands répertoires actifs couvrant plusieurs sites. Cette unité d’organisation dédiée est requise uniquement pour les objets ordinateur et l’no du cluster de basculement Windows.
L’utilisateur (également appelé utilisateur de déploiement) nécessite les autorisations nécessaires sur l’unité d’organisation dédiée. L’utilisateur peut résider n’importe où dans le répertoire.
Le blocage de l’héritage de stratégie de groupe est nécessaire pour empêcher les conflits de paramètres provenant d’objets de stratégie de groupe. Le nouveau moteur introduit avec Azure Local, version 23H2 gère les paramètres de sécurité par défaut, notamment la protection contre la dérive. Pour plus d’informations, consultez Fonctionnalités de sécurité pour Azure Local, version 23H2.
Les objets de compte d’ordinateur et le CNO de cluster peuvent être précréés à l’aide de l’utilisateur de déploiement comme alternative au déploiement lui-même qui les crée.
Autorisations requises
Les autorisations requises par l’objet utilisateur référencé en tant qu’utilisateur de déploiement sont limitées pour être applicables uniquement à l’unité d’organisation dédiée. Les autorisations peuvent être résumées en tant qu’objets de lecture, de création et de suppression d’ordinateurs avec la possibilité de récupérer les informations de récupération BitLocker.
Voici une table qui contient les autorisations requises pour l’utilisateur de déploiement et le cluster CNO sur l’unité d’organisation et tous les objets descendants.
| Rôle | Description des autorisations attribuées |
|---|---|
| Utilisateur de déploiement sur l’unité d’organisation et tous les objets descendants | Répertorier le contenu. Lisez toutes les propriétés. Autorisations de lecture. Créez des objets d’ordinateur. Supprimez les objets d’ordinateur. |
| Utilisateur de déploiement sur unité d’organisation, mais appliqué uniquement aux objets msFVE-Recoveryinformation descendants | Contrôle total. Répertorier le contenu. Lisez toutes les propriétés. Écrivez toutes les propriétés. Supprimer. Autorisations de lecture. Modifiez les autorisations. Modifiez le propriétaire. Toutes les écritures validées. |
| Cluster CNO sur l’unité d’organisation appliquée à cet objet et à tous les objets descendants | Lisez toutes les propriétés. Créer des objets ordinateur. |
Attribuer des autorisations à l’aide de PowerShell
Vous pouvez utiliser des applets de commande PowerShell pour attribuer les autorisations appropriées au déploiement de l’utilisateur sur l’unité d’organisation. L’exemple suivant montre comment affecter les autorisations requises à un utilisateur de déploiement sur l’unité d’organisation HCI001 qui réside dans le domaine Active Directory contoso.com.
Remarque
Le script vous oblige à précréer l’objet utilisateur New-ADUser et l’unité d’organisation dans votre Annuaire Active Directory. Pour plus d’informations sur la façon de bloquer l’héritage de stratégie de groupe, consultez Set-GPInheritance.
Exécutez les applets de commande PowerShell suivantes pour importer le module Active Directory et attribuer les autorisations requises :
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Enregistrements DNS requis
Si votre serveur DNS ne prend pas en charge les mises à jour dynamiques sécurisées, vous devez créer des enregistrements DNS requis avant de déployer votre système local Azure.
Le tableau suivant contient les enregistrements et types DNS requis :
| Object | Type |
|---|---|
| Nom de la machine | Hôte A |
| Cluster CNO | Hôte A |
| Cluster VCO | Hôte A |
Remarque
Chaque ordinateur qui devient une partie du système local Azure nécessite un enregistrement DNS.
Exemple : vérifier que l’enregistrement DNS existe
Pour vérifier que l’enregistrement DNS existe, exécutez la commande suivante :
nslookup "machine name"
Espace de noms disjoint
Un espace de noms disjoint se produit lorsque le suffixe DNS principal d’un ou plusieurs ordinateurs membres de domaine ne correspond pas au nom DNS de leur domaine Active Directory. Par exemple, si un ordinateur a un nom DNS de corp.contoso.com mais fait partie d’un domaine Active Directory appelé na.corp.contoso.com, il utilise un espace de noms disjoint.
Avant de déployer Azure Local, version 23H2, vous devez :
- Ajoutez le suffixe DNS à l’adaptateur de gestion de chaque nœud.
- Vérifiez que vous pouvez résoudre le nom d’hôte en nom de domaine complet du répertoire Active Directory.
Exemple : ajouter le suffixe DNS
Pour ajouter le suffixe DNS, exécutez la commande suivante :
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Exemple : résoudre le nom d’hôte en nom de domaine complet
Pour résoudre le nom d’hôte au nom de domaine complet, exécutez la commande suivante :
nslookup node1.na.corp.contoso.com
Remarque
Vous ne pouvez pas utiliser de stratégies de groupe pour configurer la liste de suffixes DNS avec Azure Local, version 23H2.
Mise à jour prenant en charge le cluster (CAU)
La mise à jour prenant en charge le cluster applique un point d’accès client (objet ordinateur virtuel) qui nécessite un enregistrement DNS.
Dans les environnements où les mises à jour sécurisées dynamiques ne sont pas possibles, vous devez créer manuellement l’objet ordinateur virtuel (VCO). Pour plus d’informations sur la création du VCO, consultez Les objets d’ordinateur de cluster Prestage dans services de domaine Active Directory.
Remarque
Veillez à désactiver la mise à jour DNS dynamique dans le client DNS Windows. Ce paramètre est protégé par le contrôle de dérive et est intégré à l’ATC réseau. Créez le VCO immédiatement après avoir désactivé les mises à jour dynamiques pour éviter la restauration de dérive. Pour plus d’informations sur la modification de ce paramètre protégé, consultez Modifier les paramètres de sécurité par défaut.
Exemple : désactiver la mise à jour dynamique
Pour désactiver la mise à jour dynamique, exécutez la commande suivante :
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Étapes suivantes
Passez à :
- Téléchargez le logiciel du système d’exploitation Azure Stack HCI.
- Installez le logiciel du système d’exploitation Azure Stack HCI.