Preparare Active Directory per la distribuzione locale di Azure

Si applica a: Azure Local 2311.2 e versioni successive

Questo articolo descrive come preparare l'ambiente Active Directory prima di distribuire Azure Local.

I requisiti di Active Directory per Azure Local includono:

• Unità organizzativa dedicata.
• L'ereditarietà dei criteri di gruppo è bloccata per l'oggetto dei criteri di gruppo applicabile.
• Un account utente con tutti i diritti per l'unità organizzativa in Active Directory.
• I computer non devono essere aggiunti ad Active Directory prima della distribuzione.

Nota

• È possibile usare il processo esistente per soddisfare i requisiti precedenti. Lo script usato in questo articolo è facoltativo e viene fornito per semplificare la preparazione.
• Quando l'ereditarietà dei criteri di gruppo è bloccata a livello di unità organizzativa, gli oggetti di Criteri di gruppo con l'opzione forzata abilitata non sono bloccati. Se applicabile, assicurarsi che questi oggetti Criteri di gruppo siano bloccati usando altri metodi, ad esempio usando un filtro WMI (Windows Management Instrumentation) . Applicare il filtro WMI a qualsiasi oggetto Criteri di gruppo forzato per escludere dall'applicazione degli oggetti Criteri di gruppo gli account computer delle macchine nelle istanze locali di Azure. Una volta applicato il filtro, gli oggetti Criteri di gruppo forzati non verranno applicati, in base alla logica definita nel filtro WMI.

Per assegnare manualmente le autorizzazioni richieste per Active Directory, creare un'Unità Organizzativa e bloccare l'ereditarietà dei Criteri di gruppo, consultare configurazione di Active Directory personalizzata per l'locale di Azure.

Prerequisiti

• Completare i prerequisiti per le nuove distribuzioni di Azure Locale.

• Installare la versione 2402 del modulo 'AsHciADArtifactsPreCreationTool'. Eseguire il comando seguente per installare il modulo da PowerShell Gallery:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Nota

  Assicurarsi di disinstallare le versioni precedenti del modulo prima di installare la nuova versione.

• Sono necessarie le autorizzazioni per creare un'unità organizzativa. Se non si dispone delle autorizzazioni, contattare l'amministratore di Active Directory.

• Se si dispone di un firewall tra il sistema locale di Azure e Active Directory, assicurarsi che siano configurate le regole del firewall appropriate. Per indicazioni specifiche, vedere Requisiti del firewall per Servizi Web Active Directory e Servizio di gestione gateway Active Directory. Vedere anche Come configurare un firewall per domini e trust di Active Directory.

Modulo di preparazione di Active Directory

Il New-HciAdObjectsPreCreation cmdlet del modulo PowerShell AsHciADArtifactsPreCreationTool viene usato per preparare Active Directory per le distribuzioni locali di Azure. Ecco i parametri obbligatori associati al cmdlet :

Parametro	Descrizione
-AzureStackLCMUserCredential	Nuovo oggetto utente creato con le autorizzazioni appropriate per la distribuzione. Questo account corrisponde all'account utente usato dalla distribuzione locale di Azure. Assicurarsi che sia specificato solo il nome utente. Il nome non deve includere il nome di dominio, ad esempio contoso\username. La password deve essere conforme ai requisiti di lunghezza e complessità. Usare una password lunga almeno 12 caratteri. La password deve contenere anche tre dei quattro requisiti: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale. Per altre informazioni, vedere Requisiti di complessità delle password. Il nome non può essere esattamente uguale all'utente amministratore locale. Il nome può usare admin come nome utente.
-AsHciOUName	Nuova unità organizzativa (OU) per archiviare tutti gli oggetti per la distribuzione locale di Azure. I criteri di gruppo e l'ereditarietà esistenti vengono bloccati in questa unità organizzativa per assicurarsi che non vi sia alcun conflitto di impostazioni. L'unità organizzativa deve essere specificata come nome distinto (DN). Per altre informazioni, vedere il formato dei nomi distinti.

Nota

• Il percorso -AsHciOUName non supporta i seguenti caratteri speciali: &,",',<,>.
• Al termine della distribuzione, lo spostamento degli oggetti del computer verso un'altra unità organizzativa non è supportato.

Preparare Active Directory

Quando si prepara Active Directory, si crea un'unità organizzativa dedicata per inserire gli oggetti correlati a Locale di Azure, ad esempio l'utente di distribuzione.

Per creare un'unità organizzativa dedicata, seguire questa procedura:

1. Effettua l'accesso a un computer aggiunto al tuo dominio di Active Directory.

2. Eseguire PowerShell come amministratore.

3. Eseguire il comando seguente per creare l'unità organizzativa dedicata.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. Quando richiesto, specificare il nome utente e la password per la distribuzione.

   1. Assicurarsi che sia specificato solo il nome utente. Il nome non deve includere il nome di dominio, ad esempio contoso\username. Il nome utente deve essere compreso tra 1 e 64 caratteri e contenere solo lettere, numeri, trattini e caratteri di sottolineatura e potrebbe non iniziare con un trattino o un numero.
   2. Assicurarsi che la password soddisfi i requisiti di complessità e lunghezza. Usare una password lunga almeno 12 caratteri e contiene: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale.

   Di seguito è riportato un output di esempio di completamento dello script:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Verificare che l'unità organizzativa sia stata creata. Se si usa un client Windows Server, passare a Strumenti > di Server Manager > Utenti e computer di Active Directory.

6. Viene creata un'unità organizzativa con il nome specificato. Questa unità organizzativa contiene il nuovo account utente per la distribuzione del Gestore del Ciclo di Vita (LCM).

   

Nota

Se si ripara un singolo computer, non eliminare l'unità organizzativa esistente. Se i volumi del computer sono crittografati, l'eliminazione dell'OU rimuove le chiavi di ripristino di BitLocker.

Considerazioni sulle distribuzioni su larga scala

L'account utente LCM (Local Configuration Manager) viene utilizzato durante le operazioni di manutenzione, come l'applicazione di aggiornamenti tramite PowerShell. Questo account viene usato anche quando si eseguono azioni di aggiunta al dominio in Active Directory, ad esempio il ripristino di un nodo o l'aggiunta di un nodo. Ciò richiede che l'identità utente LCM abbia autorizzazioni delegate per aggiungere account computer all'unità organizzativa di destinazione nel dominio on-premises.

Durante la distribuzione cloud di Azure Local, l'account utente LCM viene aggiunto al gruppo amministratori locale dei nodi fisici. Per ridurre il rischio di un account utente di Gestione configurazione locale compromessa, è consigliabile avere un account utente LCM dedicato con una password univoca per ogni istanza locale di Azure. Questa raccomandazione limita l'ambito e l'impatto di un account Gestione configurazione locale compromessa a una singola istanza.

È consigliabile seguire queste buone pratiche per la creazione di unità organizzative. Queste raccomandazioni vengono generate automaticamente quando si usa il cmdlet New-HciAdObjectsPreCreation per preparare Active Directory.

• Per ogni istanza locale di Azure, creare una singola unità organizzativa all'interno di Active Directory. Questo approccio consente di gestire l'account utente LCM, gli account computer delle macchine fisiche e l'oggetto nome cluster (CNO) nell'ambito di un'unica unità organizzativa per ogni istanza.
• Quando si distribuiscono più istanze su larga scala, per semplificare la gestione:
  • Creare un'unità organizzativa (OU) all'interno di un'unica OU padre per ogni istanza.
  • Abilitare l'opzione Blocco ereditarietà sia a livello di unità organizzativa padre che a livello di unità organizzativa secondaria.
  • Per applicare un oggetto Criteri di gruppo a tutte le istanze locali di Azure, come per annidare un gruppo di dominio nel gruppo di amministratori locali, collegare l'oggetto Criteri di gruppo all'unità organizzativa principale e abilitare l'opzione Applicato. In questo modo, si applica la configurazione a tutte le unità organizzative secondarie, anche con blocco ereditarietà abilitato.

Se i processi e le procedure dell'organizzazione richiedono deviazioni da queste raccomandazioni, sono consentite. Tuttavia, è importante considerare le implicazioni relative alla sicurezza e alla gestibilità della progettazione prendendo in considerazione questi fattori.

Passaggi successivi

• Scaricare il sistema operativo Azure Stack HCI versione 23H2 in ogni computer del sistema.