Configurazione personalizzata di Active Directory per Azure Locale, versione 23H2
Si applica a: Azure Local 2311.2 e versioni successive
Questo articolo descrive le autorizzazioni e i record DNS necessari per la distribuzione locale di Azure, versione 23H2. L'articolo usa anche esempi con passaggi dettagliati su come assegnare manualmente le autorizzazioni e creare record DNS per l'ambiente Active Directory.
La soluzione locale di Azure viene distribuita in active directory di grandi dimensioni con processi e strumenti stabiliti per l'assegnazione delle autorizzazioni. Microsoft fornisce uno script di preparazione di Active Directory che può essere usato facoltativamente per la distribuzione locale di Azure. Le autorizzazioni necessarie per Active Directory, la creazione dell'unità organizzativa e il blocco dell'ereditarietà degli oggetti Criteri di gruppo, possono essere configurate anche manualmente.
Si ha anche la scelta del server DNS da usare, ad esempio, è possibile usare i server DNS Microsoft che supportano l'integrazione con Active Directory per sfruttare i vantaggi degli aggiornamenti dinamici sicuri. Se i server DNS Microsoft non vengono usati, è necessario creare un set di record DNS per la distribuzione e l'aggiornamento della soluzione locale di Azure.
Informazioni sui requisiti di Active Directory
Ecco alcuni dei requisiti di Active Directory per la distribuzione locale di Azure.
Per ottimizzare i tempi di query per l'individuazione degli oggetti, è necessaria un'unità organizzativa dedicata. Questa ottimizzazione è fondamentale per active directory di grandi dimensioni che si estendono su più siti. Questa unità organizzativa dedicata è necessaria solo per gli oggetti computer e il CNO del cluster di failover di Windows.
L'utente (noto anche come utente di distribuzione) richiede le autorizzazioni necessarie per l'unità organizzativa dedicata. L'utente può risiedere ovunque nella directory.
Per evitare conflitti di impostazioni provenienti da oggetti Criteri di gruppo, è necessario bloccare l'ereditarietà dei criteri di gruppo. Il nuovo motore introdotto con La versione 23H2 di Azure gestisce le impostazioni predefinite per la sicurezza, inclusa la protezione dalla deriva. Per altre informazioni, vedere Funzionalità di sicurezza per Azure Local, versione 23H2.
Gli oggetti account computer e il cluster CNO possono essere precreati usando l'utente di distribuzione come alternativa alla distribuzione stessa che li crea.
Autorizzazioni necessarie
Le autorizzazioni richieste dall'oggetto utente a cui si fa riferimento come utente di distribuzione sono applicabili solo all'unità organizzativa dedicata. Le autorizzazioni possono essere riepilogate come leggere, creare ed eliminare oggetti computer con la possibilità di recuperare le informazioni di ripristino di BitLocker.
Ecco una tabella che contiene le autorizzazioni necessarie per l'utente di distribuzione e il CNO del cluster sull'unità organizzativa e su tutti gli oggetti discendenti.
| Ruolo | Descrizione delle autorizzazioni assegnate |
|---|---|
| Utente della distribuzione tramite unità organizzativa e tutti gli oggetti discendenti | Contenuto dell'elenco. Leggere tutte le proprietà. Autorizzazioni di lettura. Creare oggetti computer. Eliminare oggetti computer. |
| Utente della distribuzione tramite unità organizzativa ma applicato solo agli oggetti msFVE-Recoveryinformation discendenti | Controllo completo. Contenuto dell'elenco. Leggere tutte le proprietà. Scrivere tutte le proprietà. Eliminare. Autorizzazioni di lettura. Modificare le autorizzazioni. Modificare il proprietario. Tutte le scritture convalidate. |
| Cluster CNO sull'unità organizzativa applicata a questo oggetto e a tutti gli oggetti discendenti | Leggere tutte le proprietà. Creare oggetti Computer. |
Assegnare autorizzazioni con PowerShell
È possibile usare i cmdlet di PowerShell per assegnare autorizzazioni appropriate all'utente di distribuzione tramite unità organizzativa. Nell'esempio seguente viene illustrato come assegnare le autorizzazioni necessarie a un utente di distribuzione nell'unità organizzativa HCI001 che risiede nel dominio di Active Directory contoso.com.
Nota
Lo script richiede di precreare l'oggetto utente New-ADUser e l'unità organizzativa in Active Directory. Per altre informazioni su come bloccare l'ereditarietà dei criteri di gruppo, vedere Set-GPInheritance.
Eseguire i cmdlet di PowerShell seguenti per importare il modulo di Active Directory e assegnare le autorizzazioni necessarie:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Record DNS obbligatori
Se il server DNS non supporta aggiornamenti dinamici sicuri, è necessario creare record DNS necessari prima di distribuire il sistema locale di Azure.
La tabella seguente contiene i record e i tipi DNS necessari:
| Object | Type |
|---|---|
| Nome computer | Host A |
| Cluster CNO | Host A |
| Cluster VCO | Host A |
Nota
Ogni computer che diventa parte del sistema locale di Azure richiede un record DNS.
Esempio: verificare che il record DNS esista
Per verificare che il record DNS esista, eseguire il comando seguente:
nslookup "machine name"
Spazio dei nomi non contiguo
Uno spazio dei nomi non contiguo si verifica quando il suffisso DNS primario di uno o più computer membri di dominio non corrisponde al nome DNS del dominio Active Directory. Ad esempio, se un computer ha un nome DNS di corp.contoso.com ma fa parte di un dominio di Active Directory denominato na.corp.contoso.com, usa uno spazio dei nomi non contiguo.
Prima di distribuire Azure Local, versione 23H2, è necessario:
- Aggiungere il suffisso DNS all'adattatore di gestione di ogni nodo.
- Verificare che sia possibile risolvere il nome host nell'FQDN di Active Directory.
Esempio: aggiungere il suffisso DNS
Per aggiungere il suffisso DNS, eseguire il comando seguente:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Esempio: risolvere il nome host nel nome di dominio completo
Per risolvere il nome host nel nome di dominio completo, eseguire il comando seguente:
nslookup node1.na.corp.contoso.com
Nota
Non è possibile usare i criteri di gruppo per configurare l'elenco dei suffissi DNS con Azure Local, versione 23H2.
Aggiornamento compatibile con cluster
L'aggiornamento compatibile con cluster applica un punto di accesso client (oggetto computer virtuale) che richiede un record DNS.
Negli ambienti in cui gli aggiornamenti sicuri dinamici non sono possibili, è necessario creare manualmente l'oggetto computer virtuale ( VCO). Per altre informazioni su come creare l'oggetto VCO, vedere Pre-installare oggetti computer cluster in Dominio di Active Directory Services.
Nota
Assicurarsi di disabilitare l'aggiornamento DNS dinamico nel client DNS Windows. Questa impostazione è protetta dal controllo deriva ed è incorporata in Network ATC. Creare l'oggetto VCO immediatamente dopo la disabilitazione degli aggiornamenti dinamici per evitare il rollback della deriva. Per altre informazioni su come modificare questa impostazione protetta, vedere Modificare le impostazioni predefinite di sicurezza.
Esempio: disabilitare l'aggiornamento dinamico
Per disabilitare l'aggiornamento dinamico, eseguire il comando seguente:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Passaggi successivi
Procedere con:
- Scaricare il software del sistema operativo Azure Stack HCI.
- Installare il software del sistema operativo Azure Stack HCI.