Niestandardowa konfiguracja usługi Active Directory dla lokalnej platformy Azure w wersji 23H2
Dotyczy: Azure Local, wersja 23H2
W tym artykule opisano uprawnienia i rekordy DNS wymagane do wdrożenia usługi Azure Local w wersji 23H2. W tym artykule użyto również przykładów ze szczegółowymi instrukcjami dotyczącymi ręcznego przypisywania uprawnień i tworzenia rekordów DNS dla środowiska usługi Active Directory.
Rozwiązanie lokalne platformy Azure jest wdrażane w dużych katalogach Active Directory z ustalonymi procesami i narzędziami do przypisywania uprawnień. Firma Microsoft udostępnia skrypt przygotowywania usługi Active Directory, który można opcjonalnie użyć do wdrożenia lokalnego platformy Azure. Wymagane uprawnienia dla usługi Active Directory, tworzenie jednostki organizacyjnej i blokowanie dziedziczenia obiektów zasad grupy — można również skonfigurować ręcznie.
Istnieje również wybór serwera DNS do użycia, na przykład można użyć serwerów DNS firmy Microsoft, które obsługują integrację z usługą Active Directory, aby korzystać z bezpiecznych aktualizacji dynamicznych. Jeśli serwery DNS firmy Microsoft nie są używane, należy utworzyć zestaw rekordów DNS dla wdrożenia i aktualizacji rozwiązania lokalnego platformy Azure.
Informacje o wymaganiach usługi Active Directory
Poniżej przedstawiono niektóre wymagania usługi Active Directory dotyczące wdrożenia lokalnego platformy Azure.
Dedykowana jednostka organizacyjna (OU) jest wymagana do zoptymalizowania czasów zapytań na potrzeby odnajdywania obiektów. Ta optymalizacja ma kluczowe znaczenie dla dużych katalogów aktywnych obejmujących wiele lokacji. Ta dedykowana jednostka organizacyjna jest wymagana tylko dla obiektów komputera i obiektu CNO klastra trybu failover systemu Windows.
Użytkownik (znany również jako użytkownik wdrożenia) wymaga niezbędnych uprawnień do dedykowanej jednostki organizacyjnej. Użytkownik może znajdować się w dowolnym miejscu w katalogu.
Blokowanie dziedziczenia zasad grupy jest wymagane, aby zapobiec konfliktom ustawień pochodzących z obiektów zasad grupy. Nowy aparat wprowadzony w usłudze Azure Local w wersji 23H2 zarządza ustawieniami domyślnymi zabezpieczeń, w tym ochroną dryfu. Aby uzyskać więcej informacji, zobacz Funkcje zabezpieczeń dla platformy Azure w wersji 23H2.
Obiekty konta komputera i obiekt CNO klastra można wstępnie utworzyć przy użyciu użytkownika wdrożenia jako alternatywy dla samego wdrożenia.
Wymagane uprawnienia
Uprawnienia wymagane przez obiekt użytkownika, do których odwołuje się użytkownik wdrożenia, mają zakres, który ma zastosowanie tylko do dedykowanej jednostki organizacyjnej. Uprawnienia można podsumować jako odczyt, tworzenie i usuwanie obiektów komputerów z możliwością pobierania informacji odzyskiwania funkcji BitLocker.
Oto tabela zawierająca uprawnienia wymagane dla użytkownika wdrożenia i obiektu CNO klastra przez jednostkę organizacyjną i wszystkie obiekty potomne.
| Rola | Opis przypisanych uprawnień |
|---|---|
| Użytkownik wdrożenia za pośrednictwem jednostki organizacyjnej i wszystkich obiektów potomnych | Lista zawartości. Odczytaj wszystkie właściwości. Uprawnienia do odczytu. Tworzenie obiektów komputerów. Usuń obiekty komputera. |
| Użytkownik wdrożenia za pośrednictwem jednostki organizacyjnej, ale stosowany tylko do obiektów potomnych msFVE-Recoveryinformation | Pełna kontrola. Lista zawartości. Odczytaj wszystkie właściwości. Zapisz wszystkie właściwości. Usuwanie. Uprawnienia do odczytu. Modyfikowanie uprawnień. Zmodyfikuj właściciela. Wszystkie zweryfikowane zapisy. |
| Obiekt CNO klastra za pośrednictwem jednostki organizacyjnej zastosowanej do tego obiektu i wszystkich obiektów potomnych | Odczytaj wszystkie właściwości. Utwórz obiekty komputera. |
Przypisywanie uprawnień przy użyciu programu PowerShell
Polecenia cmdlet programu PowerShell umożliwiają przypisanie odpowiednich uprawnień do użytkownika wdrożenia za pośrednictwem jednostki organizacyjnej. W poniższym przykładzie pokazano, jak przypisać wymagane uprawnienia do użytkownika wdrożenia za pośrednictwem pakietu OU HCI001 , który znajduje się w domenie usługi Active Directory contoso.com.
Uwaga
Skrypt wymaga wstępnie utworzenia obiektu użytkownika New-ADUser i jednostki organizacyjnej w usłudze Active Directory. Aby uzyskać więcej informacji na temat blokowania dziedziczenia zasad grupy, zobacz Set-GPInheritance.
Uruchom następujące polecenia cmdlet programu PowerShell, aby zaimportować moduł usługi Active Directory i przypisać wymagane uprawnienia:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Wymagane rekordy DNS
Jeśli serwer DNS nie obsługuje bezpiecznych aktualizacji dynamicznych, należy utworzyć wymagane rekordy DNS przed wdrożeniem systemu lokalnego platformy Azure.
Poniższa tabela zawiera wymagane rekordy i typy DNS:
| Objekt | Typ |
|---|---|
| Nazwa maszyny | Host A |
| Klaster CNO | Host A |
| Klaster VCO | Host A |
Uwaga
Każda maszyna, która staje się częścią systemu lokalnego platformy Azure, wymaga rekordu DNS.
Przykład — sprawdzanie, czy istnieje rekord DNS
Aby sprawdzić, czy rekord DNS istnieje, uruchom następujące polecenie:
nslookup "machine name"
Rozłączna przestrzeń nazw
Rozłączna przestrzeń nazw występuje, gdy podstawowy sufiks DNS jednego lub większej liczby komputerów członkowskich domeny nie jest zgodny z nazwą DNS domeny usługi Active Directory. Jeśli na przykład komputer ma nazwę DNS corp.contoso.com ale jest częścią domeny usługi Active Directory o nazwie na.corp.contoso.com, używa rozłącznej przestrzeni nazw.
Przed wdrożeniem usługi Azure Local w wersji 23H2 należy wykonać następujące czynności:
- Dołącz sufiks DNS do karty zarządzania każdego węzła.
- Sprawdź, czy możesz rozpoznać nazwę hosta w nazwie FQDN usługi Active Directory.
Przykład — dołączanie sufiksu DNS
Aby dołączyć sufiks DNS, uruchom następujące polecenie:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Przykład — rozpoznawanie nazwy hosta do nazwy FQDN
Aby rozpoznać nazwę hosta w nazwie FQDN, uruchom następujące polecenie:
nslookup node1.na.corp.contoso.com
Uwaga
Nie można użyć zasad grupy do skonfigurowania listy sufiksów DNS za pomocą usługi Azure Local w wersji 23H2.
Aktualizowanie klastra (CAU)
Aktualizowanie obsługujące klaster stosuje punkt dostępu klienta (obiekt komputera wirtualnego), który wymaga rekordu DNS.
W środowiskach, w których dynamiczne aktualizacje zabezpieczeń nie są możliwe, należy ręcznie utworzyć obiekt komputera wirtualnego (VCO). Aby uzyskać więcej informacji na temat tworzenia obiektu VCO, zobacz Wstępne przygotowanie obiektów komputerów klastra w usługach domena usługi Active Directory.
Uwaga
Pamiętaj, aby wyłączyć dynamiczną aktualizację DNS w kliencie DNS systemu Windows. To ustawienie jest chronione przez kontrolkę dryfu i jest wbudowane w usługę Network ATC. Utwórz obiekt VCO natychmiast po wyłączeniu aktualizacji dynamicznych, aby uniknąć wycofywania dryfu. Aby uzyskać więcej informacji na temat zmiany tego ustawienia chronionego, zobacz Modyfikowanie ustawień domyślnych zabezpieczeń.
Przykład — wyłączanie aktualizacji dynamicznej
Aby wyłączyć aktualizację dynamiczną, uruchom następujące polecenie:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Następne kroki
Przejdź do:
- Pobierz oprogramowanie systemu operacyjnego Azure Stack HCI.
- Zainstaluj oprogramowanie systemu operacyjnego Azure Stack HCI.