Przygotowywanie usługi Active Directory do wdrożenia lokalnego platformy Azure

Dotyczy: Azure Local 2311.2 i nowsze

W tym artykule opisano sposób przygotowywania środowiska usługi Active Directory przed wdrożeniem usługi Azure Local.

Wymagania usługi Active Directory dotyczące usługi Azure Local obejmują:

• Dedykowana jednostka organizacyjna (OU).
• Dziedziczenie zasad grupowych, które jest zablokowane dla dotyczącego obiektu zasad grupowych (GPO).
• Konto użytkownika, które ma wszystkie prawa do jednostki organizacyjnej w usłudze Active Directory.
• Maszyny nie mogą być przyłączone do usługi Active Directory przed wdrożeniem.

Uwaga

• Możesz użyć istniejącego procesu, aby spełnić powyższe wymagania. Skrypt używany w tym artykule jest opcjonalny i jest udostępniany w celu uproszczenia przygotowania.
• Gdy dziedziczenie zasad grupy jest blokowane na poziomie jednostki organizacyjnej, obiekty zasad grupy z włączoną wymuszoną opcją nie są blokowane. Jeśli ma to zastosowanie, upewnij się, że te obiekty zasad grupy są blokowane przy użyciu innych metod, na przykład przy użyciu filtru Instrumentacja zarządzania Windows (WMI). Zastosuj filtr WMI do wszystkich wymuszonych obiektów zasad grupy, aby wykluczyć konta komputerów dla lokalnych wystąpień usługi Azure z zastosowania tych obiektów zasad grupy. Po zastosowaniu filtru Zasady Grupy wymuszone nie będą stosowane, zgodnie z logiką określoną w filtrze WMI.

Aby ręcznie przypisać wymagane uprawnienia dla Active Directory, utwórz jednostkę organizacyjną (OU) i zablokuj dziedziczenie zasad GPO, zobacz Niestandardowa konfiguracja Active Directory dla lokalnej wersji Azure.

Wymagania wstępne

• Ukończ wymagania wstępne dla nowych wdrożeń usługi Azure Local.

• Zainstaluj wersję 2402 modułu „AsHciADArtifactsPreCreationTool”. Uruchom następujące polecenie, aby zainstalować moduł z galerii programu PowerShell:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Uwaga

  Przed zainstalowaniem nowej wersji należy odinstalować wszystkie poprzednie wersje modułu.

• Wymagane są uprawnienia do tworzenia jednostki organizacyjnej. Jeśli nie masz uprawnień, skontaktuj się z administratorem usługi Active Directory.

• Jeśli masz zaporę między systemem lokalnym platformy Azure i usługą Active Directory, upewnij się, że skonfigurowano odpowiednie reguły zapory. Aby uzyskać szczegółowe wskazówki, zobacz Wymagania dotyczące zapory dla usług sieci Web Active Directory i usługi zarządzania bramą Active Directory. Zobacz również How to configure a firewall for Active Directory domains and trusts (Jak skonfigurować zaporę dla domen i zaufania usługi Active Directory).

Moduł przygotowywania usługi Active Directory

Polecenie New-HciAdObjectsPreCreation cmdlet modułu AsHciADArtifactsPreCreationTool programu PowerShell służy do przygotowywania usługi Active Directory do wdrożeń lokalnych platformy Azure. Poniżej przedstawiono wymagane parametry skojarzone z poleceniem cmdlet:

Parametr	Opis
-AzureStackLCMUserCredential	Nowy obiekt użytkownika utworzony z odpowiednimi uprawnieniami do wdrożenia. To konto jest takie samo jak konto użytkownika używane przez wdrożenie lokalne platformy Azure. Upewnij się, że podano tylko nazwę użytkownika. Nazwa nie powinna zawierać nazwy domeny, na przykład contoso\username. Hasło musi być zgodne z wymaganiami dotyczącymi długości i złożoności. Użyj hasła, które ma długość co najmniej 12 znaków. Hasło musi również zawierać trzy z czterech wymagań: małe litery, wielkie litery, cyfrę i znak specjalny. Aby uzyskać więcej informacji, zobacz wymagania dotyczące złożoności haseł. Nazwa nie może być dokładnie taka sama jak użytkownik administratora lokalnego. Nazwa może mieć admin jako nazwę użytkownika.
-AsHciOUName	Nowa jednostka organizacyjna do przechowywania wszystkich obiektów dla wdrożenia lokalnego platformy Azure. Istniejące zasady grupowe i dziedziczenie są blokowane w tej jednostce organizacyjnej, aby zapewnić brak konfliktu ustawień. Jednostka organizacyjna (OU) musi być określona jako wyróżniająca nazwa (DN). Aby uzyskać więcej informacji, zobacz format nazw wyróżniających.

Uwaga

• Ścieżka -AsHciOUName nie obsługuje następujących znaków specjalnych w dowolnym miejscu w ścieżce: &,",',<,>.
• Po zakończeniu wdrażania przenoszenie obiektów komputera do innej jednostki organizacyjnej nie jest obsługiwane.

Przygotowywanie usługi Active Directory

Podczas przygotowywania usługi Active Directory należy utworzyć dedykowaną jednostkę organizacyjną (OU), aby umieścić obiekty związane z Azure Local, takie jak użytkownik wdrażania.

Aby utworzyć dedykowaną jednostkę organizacyjną, wykonaj następujące kroki:

1. Zaloguj się do komputera przyłączonego do domeny usługi Active Directory.

2. Uruchom program PowerShell jako administrator.

3. Uruchom następujące polecenie, aby utworzyć dedykowaną jednostkę organizacyjną.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. Po wyświetleniu monitu podaj nazwę użytkownika i hasło wdrożenia.

   1. Upewnij się, że podano tylko nazwę użytkownika. Nazwa nie powinna zawierać nazwy domeny, na przykład contoso\username. Nazwa użytkownika musi zawierać od 1 do 64 znaków i zawierać tylko litery, cyfry, łączniki i podkreślenia, a nie może zaczynać się od łącznika lub liczby.
   2. Upewnij się, że hasło spełnia wymagania dotyczące złożoności i długości. Użyj hasła o długości co najmniej 12 znaków i zawiera: małe litery, wielkie litery, cyfrę i znak specjalny.

   Oto przykładowe dane wyjściowe z pomyślnego ukończenia skryptu:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Sprawdź, czy jednostka organizacyjna została utworzona. Jeśli używasz klienta systemu Windows Server, przejdź do Menedżer serwera> Narzędzia> Użytkownicy i komputery usługi Active Directory.

6. Jednostka organizacyjna o określonej nazwie jest tworzona. Ta jednostka organizacyjna zawiera nowe konto użytkownika wdrożenia Menedżera cyklu życia (LCM).

   

Uwaga

Jeśli naprawiasz jedną maszynę, nie usuwaj istniejącej jednostki organizacyjnej. Jeśli woluminy maszyny są szyfrowane, usunięcie OU (jednostki organizacyjnej) spowoduje usunięcie kluczy odzyskiwania BitLocker.

Zagadnienia dotyczące wdrożeń na dużą skalę

Konto użytkownika LCM jest używane podczas operacji obsługi, takich jak stosowanie aktualizacji za pośrednictwem programu PowerShell. To konto jest również używane podczas wykonywania akcji przyłączania domeny do usługi AD, takich jak naprawianie węzła lub dodawanie węzła. Wymaga to tożsamości użytkownika LCM z delegowanymi uprawnieniami do dodawania kont komputerów do docelowej jednostki organizacyjnej w domenie lokalnej.

Podczas wdrażania chmury usługi Azure Local konto użytkownika LCM jest dodawane do lokalnej grupy administratorów węzłów fizycznych. Aby zminimalizować ryzyko naruszenia zabezpieczeń konta użytkownika LCM, zalecamy posiadanie dedykowanego konta użytkownika LCM z unikatowym hasłem dla każdego wystąpienia lokalnego platformy Azure. To zalecenie ogranicza zakres i wpływ naruszonego konta LCM na pojedyncze wystąpienie.

Zalecamy stosowanie tych najlepszych rozwiązań dotyczących tworzenia jednostki organizacyjnej. Te zalecenia są zautomatyzowane w przypadku używania polecenia cmdlet New-HciAdObjectsPreCreation do przygotowania Active Directory.

• Dla każdej instancji lokalnej Azure utwórz pojedynczą jednostkę organizacyjną w Active Directory. Takie podejście pomaga zarządzać kontem użytkownika LCM, kontami komputerów maszyn fizycznych i obiektem nazwy klastra (CNO) w zakresie pojedynczej jednostki organizacyjnej dla każdego wystąpienia.
• Aby łatwiej zarządzać wdrażaniem wielu instancji na dużą skalę, zrób to w następujący sposób:
  • Utwórz jednostkę organizacyjną dla każdego wystąpienia w ramach pojedynczej nadrzędnej jednostki organizacyjnej.
  • Włącz opcję Blokuj dziedziczenie zarówno na poziomie nadrzędnej jednostki organizacyjnej, jak i podrzędnej.
  • Aby zastosować GPO do wszystkich lokalnych instancji Azure, na przykład w celu zagnieżdżania grupy domenowej w lokalnej grupie administratorów, połącz GPO z nadrzędną OU (jednostką organizacyjną) i włącz opcję Wymuszone. W ten sposób stosujesz konfigurację do wszystkich jednostek organizacyjnych podrzędnych, nawet jeśli włączono Blokuj Dziedziczenie.

Jeśli procesy i procedury organizacji wymagają odchyleń od tych zaleceń, są one dozwolone. Ważne jest jednak, aby wziąć pod uwagę konsekwencje związane z bezpieczeństwem i możliwościami zarządzania w projekcie, biorąc pod uwagę te czynniki.

Następne kroki

• Pobierz system operacyjny Azure Stack HCI w wersji 23H2 na każdej maszynie w systemie.