Active Directory voorbereiden voor implementatie van Azure Local, versie 23H2

Van toepassing op: Azure Local, versie 23H2

In dit artikel wordt beschreven hoe u uw Active Directory-omgeving voorbereidt voordat u Azure Local, versie 23H2 implementeert.

Active Directory-vereisten voor Azure Local zijn onder andere:

• Een toegewezen organisatie-eenheid (OE).
• Overname van groepsbeleid die wordt geblokkeerd voor het toepasselijke groepsbeleidsobject (GPO).
• Een gebruikersaccount met alle rechten voor de organisatie-eenheid in Active Directory.
• Machines mogen vóór de implementatie niet aan Active Directory worden toegevoegd.

Notitie

• U kunt uw bestaande proces gebruiken om te voldoen aan de bovenstaande vereisten. Het script dat in dit artikel wordt gebruikt, is optioneel en wordt geleverd om de voorbereiding te vereenvoudigen.
• Wanneer overname van groepsbeleid wordt geblokkeerd op organisatie-eenheidsniveau, worden afgedwongen groepsbeleidsobjecten niet geblokkeerd. Zorg ervoor dat alle toepasselijke groepsbeleidsobjecten, die worden afgedwongen, ook worden geblokkeerd met behulp van andere methoden, bijvoorbeeld met behulp van WMI-filters of beveiligingsgroepen.

Als u handmatig de vereiste machtigingen voor Active Directory wilt toewijzen, een organisatie-eenheid wilt maken en GPO-overname wilt blokkeren, raadpleegt u de aangepaste Active Directory-configuratie voor uw Lokale Versie 23H2 van Azure.

Vereisten

Voordat u begint, controleert u of u het volgende hebt gedaan:

• Voldoen aan de vereisten voor nieuwe implementaties van Azure Local.

• Download en installeer de versie 2402-module vanuit de PowerShell Gallery. Voer de volgende opdracht uit vanuit de map waarin de module zich bevindt:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Notitie

  Zorg ervoor dat u eerdere versies van de module verwijdert voordat u de nieuwe versie installeert.

• U hebt machtigingen verkregen om een organisatie-eenheid te maken. Als u geen machtigingen hebt, neemt u contact op met uw Active Directory-beheerder.

• Als u een firewall hebt tussen uw lokale Azure-systeem en Active Directory, moet u ervoor zorgen dat de juiste firewallregels zijn geconfigureerd. Zie firewallvereisten voor Active Directory Web Services en Active Directory Gateway Management Service voor specifieke richtlijnen. Zie ook Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties.

Active Directory-voorbereidingsmodule

De New-HciAdObjectsPreCreation cmdlet van de PowerShell-module AsHciADArtifactsPreCreationTool wordt gebruikt om Active Directory voor te bereiden op lokale Azure-implementaties. Dit zijn de vereiste parameters die zijn gekoppeld aan de cmdlet:

Parameter	Description
-AzureStackLCMUserCredential	Een nieuw gebruikersobject dat is gemaakt met de juiste machtigingen voor implementatie. Dit account is hetzelfde als het gebruikersaccount dat wordt gebruikt door de lokale Implementatie van Azure. Zorg ervoor dat alleen de gebruikersnaam is opgegeven. De naam mag bijvoorbeeld contoso\usernameniet de domeinnaam bevatten. Het wachtwoord moet voldoen aan de lengte- en complexiteitsvereisten. Gebruik een wachtwoord dat minimaal 12 tekens lang is. Het wachtwoord moet ook drie van de vier vereisten bevatten: een kleine letter, een hoofdletter, een cijfer en een speciaal teken. Zie vereisten voor wachtwoordcomplexiteit voor meer informatie. De naam kan de beheerder gebruiken als gebruikersnaam.
-AsHciOUName	Een nieuwe organisatie-eenheid (OE) voor het opslaan van alle objecten voor de lokale Azure-implementatie. Bestaande groepsbeleid en overname worden geblokkeerd in deze organisatie-eenheid om ervoor te zorgen dat er geen conflict met instellingen is. De OE moet worden opgegeven als DN (DN). Zie de indeling van DN-namen voor meer informatie.

Notitie

• Het -AsHciOUName pad biedt geen ondersteuning voor de volgende speciale tekens binnen het pad: &,",',<,>.
• Het verplaatsen van de computerobjecten naar een andere organisatie-eenheid nadat de implementatie is voltooid, wordt ook niet ondersteund.

Active Directory voorbereiden

Wanneer u Active Directory voorbereidt, maakt u een toegewezen organisatie-eenheid (OE) om de lokale azure-gerelateerde objecten, zoals de implementatiegebruiker, te plaatsen.

Voer de volgende stappen uit om een toegewezen organisatie-eenheid te maken:

1. Meld u aan bij een computer die is gekoppeld aan uw Active Directory-domein.

2. Voer PowerShell uit als beheerder.

3. Voer de volgende opdracht uit om de toegewezen organisatie-eenheid te maken.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. Geef de gebruikersnaam en het wachtwoord voor de implementatie op wanneer u hierom wordt gevraagd.

   1. Zorg ervoor dat alleen de gebruikersnaam is opgegeven. De naam mag bijvoorbeeld contoso\usernameniet de domeinnaam bevatten. De gebruikersnaam moet tussen 1 en 64 tekens zijn en mag alleen letters, cijfers, afbreekstreepjes en onderstrepingstekens bevatten en mag niet beginnen met een afbreekstreepje of cijfer.
   2. Zorg ervoor dat het wachtwoord voldoet aan de complexiteits- en lengtevereisten. Gebruik een wachtwoord dat minstens 12 tekens lang is en bevat: een kleine letter, een hoofdletter, een cijfer en een speciaal teken.

   Hier volgt een voorbeelduitvoer van een geslaagde voltooiing van het script:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Controleer of de organisatie-eenheid is gemaakt. Als u een Windows Server-client gebruikt, gaat u naar Serverbeheer > Tools > Active Directory.

6. Er moet een organisatie-eenheid met de opgegeven naam worden gemaakt en binnen die organisatie-eenheid ziet u de implementatiegebruiker.

   

Notitie

Als u één machine herstelt, verwijdert u de bestaande organisatie-eenheid niet. Als de machinevolumes zijn versleuteld, verwijdert u de BitLocker-herstelsleutels als u de OE verwijdert.

Volgende stappen

• Download het Azure Stack HCI-besturingssysteem, versie 23H2-software op elke computer in uw systeem.