Niestandardowa konfiguracja Active Directory dla lokalnej instancji Azure
Dotyczy: Azure Local 2311.2 i nowsze
W tym artykule opisano uprawnienia i rekordy DNS wymagane do wdrożenia lokalnej instancji Azure. W tym artykule użyto również przykładów ze szczegółowymi instrukcjami dotyczącymi ręcznego przypisywania uprawnień i tworzenia rekordów DNS dla środowiska usługi Active Directory.
Rozwiązanie lokalne platformy Azure jest wdrażane w dużych katalogach Active Directory z ustalonymi procesami i narzędziami do przypisywania uprawnień. Firma Microsoft udostępnia skrypt przygotowywania usługi Active Directory, który można opcjonalnie użyć do wdrożenia lokalnego platformy Azure. Wymagane uprawnienia dla usługi Active Directory, tworzenie jednostki organizacyjnej oraz blokowanie dziedziczenia obiektów zasad grupy można również skonfigurować ręcznie.
Istnieje również wybór serwera DNS do użycia, na przykład można użyć serwerów DNS firmy Microsoft, które obsługują integrację z usługą Active Directory, aby korzystać z bezpiecznych aktualizacji dynamicznych. Jeśli serwery DNS firmy Microsoft nie są używane, należy utworzyć zestaw rekordów DNS dla wdrożenia i aktualizacji rozwiązania lokalnego platformy Azure.
Informacje o wymaganiach usługi Active Directory
Poniżej przedstawiono niektóre wymagania usługi Active Directory dotyczące wdrożenia lokalnego platformy Azure.
Dedykowana jednostka organizacyjna (OU) jest wymagana do zoptymalizowania czasów zapytań na potrzeby odnajdywania obiektów. Ta optymalizacja ma kluczowe znaczenie dla dużych katalogów aktywnych obejmujących wiele lokacji. Ta dedykowana jednostka organizacyjna jest wymagana tylko dla obiektów komputerowych i klastra Windows w trybie failover z obiektem CNO.
Użytkownik (znany również jako użytkownik wdrożenia) wymaga niezbędnych uprawnień do dedykowanej jednostki organizacyjnej. Użytkownik może znajdować się w dowolnym miejscu w katalogu.
Blokowanie dziedziczenia zasad grupy jest wymagane, aby zapobiec konfliktom ustawień pochodzących z obiektów zasad grupy. Nowy silnik wprowadzony w usłudze Azure Local zarządza domyślnymi ustawieniami zabezpieczeń, w tym ochroną dryfu. Aby uzyskać więcej informacji, zobacz Funkcje zabezpieczeń dla wystąpienia lokalnego platformy Azure.
Obiekty kont konta komputerów i klastrowe obiekty CNO można wstępnie utworzyć przy użyciu użytkownika wdrożenia, stanowiąc alternatywę dla samego procesu wdrożenia.
Wymagane uprawnienia
Uprawnienia wymagane przez obiekt użytkownika, do których odwołuje się użytkownik wdrożenia, mają zakres, który ma zastosowanie tylko do dedykowanej jednostki organizacyjnej. Uprawnienia można podsumować jako odczyt, tworzenie i usuwanie obiektów komputerowych z możliwością pobierania informacji o odzyskiwaniu danych z BitLocker.
Oto tabela zawierająca uprawnienia wymagane dla użytkownika wdrożenia i CNO klastra nad jednostką organizacyjną i wszystkimi obiektami potomnymi.
| Rola | Opis przypisanych uprawnień |
|---|---|
| Użytkownik do wdrożenia nad jednostką organizacyjną oraz wszystkimi obiektami potomnymi | Lista zawartości. Odczytaj wszystkie właściwości. Uprawnienia do odczytu. Tworzenie obiektów komputerów. Usuń obiekty komputera. |
| Użytkownik wdrożenia nad jednostką organizacyjną, ale stosowany tylko do obiektów potomnych msFVE-Recoveryinformation | Pełna kontrola. Lista zawartości. Przeczytaj wszystkie właściwości. Zapisz wszystkie właściwości. Usuwanie. Uprawnienia do odczytu. Modyfikowanie uprawnień. Zmodyfikuj właściciela. Wszystkie zweryfikowane zapisy. |
| Klastr CNO za pośrednictwem jednostki organizacyjnej zastosowany do tego obiektu i wszystkich obiektów potomnych | Odczytaj wszystkie właściwości. Utwórz obiekty komputera. |
Przypisywanie uprawnień przy użyciu programu PowerShell
Polecenia cmdlet programu PowerShell umożliwiają przypisanie odpowiednich uprawnień użytkownikowi wdrożenia nad jednostką organizacyjną. W poniższym przykładzie pokazano, jak przypisać wymagane uprawnienia użytkownikowi deploymentuser dla jednostki organizacyjnej HCI001, która znajduje się w domenie Active Directory contoso.com.
Uwaga
Skrypt wymaga, abyś wcześniej utworzył obiekt użytkownika za pomocą polecenia New-ADUser oraz jednostkę organizacyjną OU w swoim systemie Active Directory. Aby uzyskać więcej informacji na temat blokowania dziedziczenia zasad grupy, zobacz Set-GPInheritance.
Uruchom następujące polecenia cmdlet programu PowerShell, aby zaimportować moduł usługi Active Directory i przypisać wymagane uprawnienia:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Wymagane rekordy DNS
Jeśli serwer DNS nie obsługuje bezpiecznych aktualizacji dynamicznych, należy utworzyć wymagane rekordy DNS przed wdrożeniem systemu lokalnego platformy Azure.
Poniższa tabela zawiera wymagane rekordy i typy DNS:
| Objekt | Typ |
|---|---|
| Nazwa maszyny | Host A |
| Klaster CNO | Host A |
| Klaster VCO | Host A |
Uwaga
Każda maszyna, która staje się częścią systemu lokalnego platformy Azure, wymaga rekordu DNS.
Przykład — sprawdzanie, czy istnieje rekord DNS
Aby sprawdzić, czy rekord DNS istnieje, uruchom następujące polecenie:
nslookup "machine name"
Rozłączna przestrzeń nazw
Rozłączna przestrzeń nazw występuje, gdy podstawowy sufiks DNS jednego lub większej liczby komputerów członkowskich domeny nie jest zgodny z nazwą DNS domeny usługi Active Directory. Jeśli na przykład komputer ma nazwę DNS corp.contoso.com ale jest częścią domeny usługi Active Directory o nazwie na.corp.contoso.com, używa rozłącznej przestrzeni nazw.
Przed wdrożeniem lokalnej instancji Azure wykonaj następujące kroki:
- Dołącz sufiks DNS do adaptera zarządzania każdego węzła. Sufiks DNS musi być zgodny z nazwą domeny usługi Active Directory.
- Sprawdź, czy możesz rozpoznać nazwę hosta w nazwie FQDN usługi Active Directory.
Przykład — dołączanie sufiksu DNS
Aby dołączyć sufiks DNS, uruchom następujące polecenie:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Przykład — zamiana nazwy hosta na FQDN
Aby rozpoznać nazwę hosta w nazwie FQDN, uruchom następujące polecenie:
nslookup node1.na.corp.contoso.com
Uwaga
Nie można użyć zasad grupy do skonfigurowania listy sufiksów DNS z lokalnym wystąpieniem usługi Azure.
Aktualizowanie świadome klastrów (CAU)
Aktualizacje z obsługą klastra stosują punkt dostępu dla klienta (obiekt komputera wirtualnego), który wymaga rekordu DNS.
W środowiskach, w których dynamiczne aktualizacje zabezpieczeń nie są możliwe, należy ręcznie utworzyć obiekt komputera wirtualnego (VCO). Aby uzyskać więcej informacji na temat tworzenia obiektu VCO, zobacz Przygotowanie wstępne obiektów komputerów klastra w usługach domenowych Active Directory.
Uwaga
Pamiętaj, aby wyłączyć dynamiczną aktualizację DNS w kliencie DNS systemu Windows. To ustawienie jest chronione przez kontrolkę dryfu i jest wbudowane w usługę Network ATC. Utwórz obiekt VCO natychmiast po wyłączeniu aktualizacji dynamicznych, aby uniknąć przywracania dryfu. Aby uzyskać więcej informacji na temat zmiany tego ustawienia chronionego, zobacz Modyfikowanie ustawień domyślnych zabezpieczeń.
Przykład — wyłączanie aktualizacji dynamicznej
Aby wyłączyć aktualizację dynamiczną, uruchom następujące polecenie:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Następne kroki
Przejdź do:
- Pobierz oprogramowanie systemu operacyjnego Azure Stack HCI.
- Zainstaluj oprogramowanie systemu operacyjnego Azure Stack HCI.