Compartilhar via

Preparar o Active Directory para implantação do Azure Local, versão 23H2

  • Artigo

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como preparar seu ambiente do Active Directory antes de implantar o Azure Local, versão 23H2.

Os requisitos do Active Directory para o Azure Local incluem:

  • Uma unidade organizacional (UO) dedicada.
  • Herança de política de grupo bloqueada para o GPO (Objeto de Política de Grupo) aplicável.
  • Uma conta de usuário que tem todos os direitos para a UO no Active Directory.
  • Os computadores não devem ser ingressados no Active Directory antes da implantação.

Observação

  • Você pode usar seu processo existente para atender aos requisitos acima. O script usado neste artigo é opcional e é fornecido para simplificar a preparação.
  • Quando a herança da política de grupo é bloqueada no nível da UO, os GPOs com a opção imposta habilitada não são bloqueados. Se aplicável, verifique se esses GPOs estão bloqueados usando outros métodos, por exemplo, usando um Filtro de WMI (Instrumentação de Gerenciamento do Windows). Aplique o filtro WMI a qualquer GPO imposto, para excluir contas de computador da máquina das suas instâncias locais do Azure de receberem a aplicação dos GPOs. Depois que o filtro for aplicado, os GPOs impostos não serão aplicados, com base na lógica definida no filtro WMI.

Para atribuir manualmente as permissões necessárias para o Active Directory, criar uma UO e bloquear a herança de GPO, consulte Configuração personalizada do Active Directory para o Azure Local, versão 23H2.

Pré-requisitos

  • Conclua os pré-requisitos para novas implantações do Azure Local.

  • Instale a versão 2402 do módulo 'AsHciADArtifactsPreCreationTool'. Execute o seguinte comando para instalar o módulo da Galeria do PowerShell:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Observação

    Certifique-se de desinstalar todas as versões anteriores do módulo antes de instalar a nova versão.

  • Você precisa de permissões para criar uma UO. Se você não tiver permissões, entre em contato com o administrador do Active Directory.

  • Se você tiver um firewall entre o sistema local do Azure e o Active Directory, verifique se as regras de firewall adequadas estão configuradas. Para obter diretrizes específicas, consulte Requisitos de firewall para Serviços Web do Active Directory e Serviço de Gerenciamento de Gateway do Active Directory. Consulte também Como configurar um firewall para domínios e relações de confiança do Active Directory.

Módulo de preparação do Active Directory

O New-HciAdObjectsPreCreation cmdlet do módulo AsHciADArtifactsPreCreationTool do PowerShell é usado para preparar o Active Directory para implantações locais do Azure. Aqui estão os parâmetros necessários associados ao cmdlet:

Parâmetro Descrição
-AzureStackLCMUserCredential Um novo objeto de usuário criado com as permissões apropriadas para implantação. Essa conta é a mesma que a conta de usuário usada pela implantação local do Azure.
Certifique-se de que apenas o nome de usuário seja fornecido. O nome não deve incluir o nome de domínio, por exemplo, contoso\username.
A senha deve estar em conformidade com os requisitos de comprimento e complexidade. Use uma senha com pelo menos 12 caracteres. A senha também deve conter três dos quatro requisitos: um caractere minúsculo, um caractere maiúsculo, um numeral e um caractere especial.
Para obter mais informações, consulte requisitos de complexidade de senha.
O nome não pode ser exatamente o mesmo que o usuário administrador local.
O nome pode usar admin como nome de usuário.
-AsHciOUName Uma nova UO (Unidade Organizacional) para armazenar todos os objetos para a implantação local do Azure. As políticas de grupo e a herança existentes são bloqueadas nesta UO para garantir que não haja conflito de configurações. A UO deve ser especificada como o nome distinto (DN). Para obter mais informações, consulte o formato de Nomes distintos.

Observação

  • O -AsHciOUName caminho não dá suporte aos seguintes caracteres especiais em nenhum lugar dentro do caminho: &,",',<,>.
  • Após a conclusão da implantação, não há suporte para mover os objetos do computador para uma UO diferente.

Preparar o Active Directory

Ao preparar o Active Directory, você cria uma UO (Unidade Organizacional) dedicada para colocar os objetos relacionados ao Azure Local, como o usuário de implantação.

Para criar uma UO dedicada, siga estas etapas:

  1. Entre em um computador que ingressou no seu domínio do Active Directory.

  2. Execute o PowerShell como administrador.

  3. Execute o comando a seguir para criar a UO dedicada.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Quando solicitado, forneça o nome de usuário e a senha para a implantação.

    1. Certifique-se de que apenas o nome de usuário seja fornecido. O nome não deve incluir o nome de domínio, por exemplo, contoso\username. O nome de usuário deve ter entre 1 e 64 caracteres e conter apenas letras, números, hífens e sublinhados e não pode começar com um hífen ou número.
    2. Certifique-se de que a senha atenda aos requisitos de complexidade e comprimento. Use uma senha com pelo menos 12 caracteres e que contenha: um caractere minúsculo, um caractere maiúsculo, um numeral e um caractere especial.

    Aqui está um exemplo de resultado de uma execução bem-sucedida do script:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Verifique se a UO foi criada. Se estiver usando um cliente Windows Server, vá para >>.

  6. Uma UO com o nome especificado é criada. Essa UO contém a nova conta de usuário de implantação do LCM.

    Captura de tela da janela Computadores e usuários do Active Directory.

Observação

Se você estiver reparando um único computador, não exclua a UO existente. Se os volumes do computador estiverem criptografados, a exclusão da UO removerá as chaves de recuperação do BitLocker.

Considerações sobre implantações em larga escala

A conta de usuário do LCM (Lifecycle Manager) é utilizada durante implantações de instância local do Azure que usam o AD (Active Directory) ou para quaisquer operações de adição/reparo para instâncias existentes. A conta de usuário LCM é responsável por executar ações de junção de domínio, o que exige que a identidade do usuário LCM tenha permissões delegadas para adicionar contas de computador à UO (Unidade Organizacional) de destino no domínio local. Durante a implantação do Azure Local, a conta de usuário do LCM é adicionada ao grupo de administradores locais dos computadores físicos.

Para atenuar o risco de uma credencial de conta de usuário LCM comprometida, aconselhamos que, para cada instância local do Azure, você tenha uma conta de usuário LCM dedicada com uma senha exclusiva.

Recomendamos que você siga estas melhores práticas para a criação de Unidades Organizacionais (UO):

  • Para cada instância local do Azure, crie uma UO individual no Active Directory. Essa abordagem ajuda a gerenciar contas de computador, CNO, conta de usuário do LCM e contas de computador físico no escopo de uma única UO para cada instância.
  • Ao implantar várias instâncias em larga escala, para tornar o gerenciamento mais fácil:
    • Crie uma UO em uma UO pai única para cada instância.
    • Desabilite a herança de GPO no nível da UO pai.

As recomendações anteriores são automatizadas, quando você usa o cmdlet New-HciAdObjectsPreCreation para Preparar o Active Directory.

Próximas etapas

  • Baixe o software Azure Stack HCI OS, versão 23H2 em cada computador em seu sistema.