Configurazione personalizzata di Active Directory per l'istanza locale di Azure
Si applica a: Azure Local 2311.2 e versioni successive
Questo articolo descrive le autorizzazioni e i record DNS necessari per la distribuzione dell'istanza locale di Azure. L'articolo usa anche esempi con passaggi dettagliati su come assegnare manualmente le autorizzazioni e creare record DNS per l'ambiente Active Directory.
La soluzione locale di Azure viene distribuita in active directory di grandi dimensioni con processi e strumenti stabiliti per l'assegnazione delle autorizzazioni. Microsoft fornisce uno script di preparazione di Active Directory che può essere usato facoltativamente per la distribuzione locale di Azure. Le autorizzazioni necessarie per Active Directory, la creazione dell'unità organizzativa e il blocco dell'ereditarietà delle GPO possono essere configurate anche manualmente.
Si ha anche la scelta del server DNS da usare, ad esempio, è possibile usare i server DNS Microsoft che supportano l'integrazione con Active Directory per sfruttare i vantaggi degli aggiornamenti dinamici sicuri. Se i server DNS Microsoft non vengono usati, è necessario creare un set di record DNS per la distribuzione e l'aggiornamento della soluzione locale di Azure.
Informazioni sui requisiti di Active Directory
Ecco alcuni dei requisiti di Active Directory per la distribuzione locale di Azure.
Per ottimizzare i tempi di query per l'individuazione degli oggetti, è necessaria un'unità organizzativa dedicata. Questa ottimizzazione è fondamentale per active directory di grandi dimensioni che si estendono su più siti. Questa unità organizzativa dedicata è necessaria esclusivamente per gli oggetti del computer e il CNO del cluster di failover di Windows.
L'utente (noto anche come utente di distribuzione) richiede le autorizzazioni necessarie per l'unità organizzativa dedicata. L'utente può risiedere ovunque nella directory.
Per evitare conflitti di impostazioni provenienti da oggetti Criteri di gruppo, è necessario bloccare l'ereditarietà dei criteri di gruppo. Il nuovo motore introdotto con Azure Local gestisce le impostazioni predefinite di sicurezza, inclusa la protezione dall'alterazione. Per altre informazioni, vedere Funzionalità di sicurezza per l'istanza locale di Azure.
Gli oggetti account computer e il cluster CNO possono essere precreati usando l'utente di distribuzione come alternativa alla distribuzione stessa che li crea.
Autorizzazioni necessarie
Le autorizzazioni richieste dall'oggetto utente a cui si fa riferimento come utente di distribuzione sono applicabili solo all'unità organizzativa dedicata. Le autorizzazioni possono essere riepilogate come leggere, creare ed eliminare oggetti computer con la possibilità di recuperare le informazioni di ripristino di BitLocker.
Ecco una tabella che contiene le autorizzazioni necessarie per l'utente di distribuzione e il CNO del cluster sull'unità organizzativa e su tutti gli oggetti discendenti.
| Ruolo | Descrizione delle autorizzazioni assegnate |
|---|---|
| Utente di distribuzione su unità organizzativa e tutti gli oggetti discendenti | Contenuto dell'elenco. Leggi tutte le proprietà. Autorizzazioni di lettura. Creare degli oggetti del computer. Eliminare oggetti del computer. |
| Distribuzione dell'utente su un'unità organizzativa, ma applicabile solo agli oggetti discendenti msFVE-Recoveryinformation | Controllo completo. Contenuto dell'elenco. Leggere tutte le proprietà Scrivere tutte le proprietà. Eliminare. Autorizzazioni di lettura. Modificare le autorizzazioni. Modificare il proprietario. Tutte le operazioni di scrittura convalidate. |
| Cluster CNO sopra l'unità organizzativa applicata a questo oggetto e a tutti gli oggetti discendenti | Leggere tutte le proprietà. Creare oggetti Computer. |
Assegnare autorizzazioni con PowerShell
È possibile usare i cmdlet di PowerShell per assegnare autorizzazioni appropriate all'utente di distribuzione sull'unità organizzativa. Nell'esempio seguente viene illustrato come assegnare le autorizzazioni necessarie a un utente di distribuzione nell'unità organizzativa HCI001 che risiede nel dominio di Active Directory contoso.com.
Nota
Lo script richiede di creare preventivamente l'oggetto utente New-ADUser e l'unità organizzativa OU nel tuo Active Directory. Per altre informazioni su come bloccare l'ereditarietà dei criteri di gruppo, vedere Set-GPInheritance.
Eseguire i cmdlet di PowerShell seguenti per importare il modulo di Active Directory e assegnare le autorizzazioni necessarie:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Record DNS obbligatori
Se il server DNS non supporta aggiornamenti dinamici sicuri, è necessario creare record DNS necessari prima di distribuire il sistema locale di Azure.
La tabella seguente contiene i record e i tipi DNS necessari:
| Oggetto | Tipo |
|---|---|
| Nome macchina | Host A |
| Cluster CNO | Host A |
| Cluster VCO | Host A |
Nota
Ogni computer che diventa parte del sistema locale di Azure richiede un record DNS.
Esempio: verificare che il record DNS esista
Per verificare che il record DNS esista, eseguire il comando seguente:
nslookup "machine name"
Namespace disgiunto
Uno spazio dei nomi non contiguo si verifica quando il suffisso DNS primario di uno o più computer membri di dominio non corrisponde al nome DNS del dominio Active Directory. Ad esempio, se un computer ha un nome DNS di corp.contoso.com ma fa parte di un dominio di Active Directory denominato na.corp.contoso.com, usa uno spazio dei nomi non contiguo.
Prima di distribuire un'istanza locale di Azure, è necessario:
- Aggiungere il suffisso DNS all'adattatore di gestione di ogni nodo. Il suffisso DNS deve corrispondere al nome di dominio di Active Directory.
- Verificare che sia possibile risolvere il nome host nell'FQDN di Active Directory.
Esempio: aggiungere il suffisso DNS
Per aggiungere il suffisso DNS, eseguire il comando seguente:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Esempio: risolvere il nome host nel nome di dominio completo
Per risolvere il nome host nel nome di dominio completo, eseguire il comando seguente:
nslookup node1.na.corp.contoso.com
Nota
Non è possibile usare i criteri di gruppo per configurare l'elenco di suffissi DNS con l'istanza locale di Azure.
Aggiornamento ottimizzato per cluster
L'aggiornamento compatibile con cluster applica un punto di accesso client (oggetto computer virtuale) che richiede un record DNS.
Negli ambienti in cui gli aggiornamenti sicuri dinamici non sono possibili, è necessario creare manualmente l'oggetto computer virtuale ( VCO). Per ulteriori informazioni su come creare l'oggetto VCO, vedere Prestaging degli oggetti computer del cluster nei Servizi di dominio Active Directory.
Nota
Assicurarsi di disabilitare l'aggiornamento DNS dinamico nel client DNS Windows. Questa impostazione è protetta dal controllo deriva ed è incorporata in Network ATC. Creare il VCO immediatamente dopo aver disabilitato gli aggiornamenti dinamici per evitare il ripristino della deriva. Per altre informazioni su come modificare questa impostazione protetta, vedere Modificare le impostazioni predefinite di sicurezza.
Esempio: disabilitare l'aggiornamento dinamico
Per disabilitare l'aggiornamento dinamico, eseguire il comando seguente:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Passaggi successivi
Procedi a:
- Scaricare il software del sistema operativo Azure Stack HCI.
- Installare il software del sistema operativo Azure Stack HCI.