Partilhar via

Preparar o Ative Directory para a implantação do Azure Local

  • Artigo

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como preparar seu ambiente do Ative Directory antes de implantar o Azure Local.

Os requisitos do Ative Directory para o Azure Local incluem:

  • Uma Unidade Organizacional (UO) dedicada.
  • A herança de diretiva de grupo está bloqueada para o Objeto de Diretiva de Grupo (GPO) aplicável.
  • Uma conta de utilizador que tem todos os direitos sobre a OU no Active Directory.
  • As máquinas não devem ser associadas ao Ative Directory antes da implantação.

Nota

  • Você pode usar seu processo existente para atender aos requisitos acima. O script usado neste artigo é opcional e é fornecido para simplificar a preparação.
  • Quando a herança de política de grupo é bloqueada ao nível da UO, os GPOs com a opção imposta ativada não são bloqueados. Se aplicável, certifique-se de que esses GPOs sejam bloqueados usando outros métodos, por exemplo, usando um Filtro WMI (Instrumentação de Gerenciamento do Windows). Aplique o filtro WMI a quaisquer GPOs impostos, para excluir as contas de computador das suas instâncias locais do Azure da aplicação dos GPOs. Depois que o filtro for aplicado, os GPOs impostos não serão aplicados, com base na lógica definida no filtro WMI.

Para atribuir manualmente as permissões necessárias para o Active Directory, criar uma OU e bloquear a herança de GPO, consulte Configuração Personalizada do Active Directory para o seu Azure Local.

Pré-requisitos

  • Conclua os pré-requisitos para novas implementações do Azure Local.

  • Instale a versão 2402 do módulo 'AsHciADArtifactsPreCreationTool'. Execute o seguinte comando para instalar o módulo da Galeria do PowerShell:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Nota

    Certifique-se de desinstalar todas as versões anteriores do módulo antes de instalar a nova versão.

  • Você precisa de permissões para criar uma UO. Se você não tiver permissões, entre em contato com o administrador do Ative Directory.

  • Se você tiver um firewall entre o sistema Local do Azure e o Ative Directory, verifique se as regras de firewall adequadas estão configuradas. Para obter orientações específicas, consulte Requisitos de firewall para Serviços Web do Ative Directory e Serviço de Gerenciamento de Gateway do Ative Directory. Consulte também Como configurar um firewall para domínios e relações de confiança do Ative Directory.

Módulo de preparação do Ative Directory

O New-HciAdObjectsPreCreation cmdlet do módulo PowerShell AsHciADArtifactsPreCreationTool é usado para preparar o Active Directory para implementações locais do Azure. Aqui estão os parâmetros necessários associados ao cmdlet:

Parâmetro Descrição
-AzureStackLCMUserCredential Um novo objeto de usuário que é criado com as permissões apropriadas para implantação. Essa conta é igual à conta de usuário usada pela implantação Local do Azure.
Certifique-se de que apenas o nome de usuário é fornecido. O nome não deve incluir o nome de domínio, por exemplo, contoso\username.
A senha deve estar em conformidade com os requisitos de comprimento e complexidade. Use uma senha com pelo menos 12 caracteres. A senha também deve conter três dos quatro requisitos: um caractere minúsculo, um caractere maiúsculo, um numeral e um caractere especial.
Para obter mais informações, consulte Requisitos de complexidade de senha.
O nome não pode ser exatamente o mesmo que o usuário administrador local.
O nome pode usar admin como o nome de usuário.
-AsHciOUName Uma nova Unidade Organizacional (UO) para armazenar todos os objetos para a implantação Local do Azure. As políticas de grupo e a herança existentes são bloqueadas nesta UO para garantir que não haja conflito de configurações. A UO deve ser especificada como Nome Distinto (DN). Para obter mais informações, consulte o formato de Nomes Distintos.

Nota

  • O -AsHciOUName caminho não suporta os seguintes caracteres especiais em nenhuma parte do caminho: &,",',<,>.
  • Após a conclusão da implantação, não há suporte para mover os objetos de computador para uma UO diferente.

Preparar o Active Directory

Ao preparar o Ative Directory, você cria uma Unidade Organizacional (UO) dedicada para colocar os objetos relacionados ao Azure Local, como usuário de implantação.

Para criar uma unidade organizacional dedicada, siga estes passos:

  1. Entre em um(a) computador(a) que está ligado ao seu domínio do Active Directory.

  2. Execute o PowerShell como administrador.

  3. Executa o seguinte comando para criar uma UO dedicada.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Quando solicitado, forneça o nome de usuário e a senha para a implantação.

    1. Certifique-se de que apenas o nome de usuário é fornecido. O nome não deve incluir o nome de domínio, por exemplo, contoso\username. O nome de usuário deve ter entre 1 e 64 caracteres e conter apenas letras, números, hífenes e sublinhados, não podendo começar com hífen ou número.
    2. Certifique-se de que a senha atenda aos requisitos de complexidade e comprimento. Use uma senha que tenha pelo menos 12 caracteres e contenha: um caractere minúsculo, um caractere maiúsculo, um numeral e um caractere especial.

    Aqui está um exemplo de saída de uma conclusão bem-sucedida do script:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Verifique se a UO foi criada. Se estiver a usar um cliente Windows Server, vá a Gestor de Servidores > Ferramentas > Utilizadores e Computadores do Active Directory.

  6. Uma UO (Unidade Organizacional) com o nome especificado é criada. Esta UO contém a nova conta de usuário de implantação do Lifecycle Manager (LCM).

    Captura de ecrã da janela Computadores e Utilizadores do Ative Directory.

Nota

Se estiver a reparar uma única máquina, não apague a unidade organizacional existente. Se os volumes da máquina estiverem criptografados, excluir a UO removerá as chaves de recuperação do BitLocker.

Considerações para implantações em grande escala

A conta de usuário do LCM é usada durante operações de manutenção, como a aplicação de atualizações por meio do PowerShell. Esta conta também é usada ao executar ações de associação de domínio no seu AD, como reparar um nó ou adicionar um nó. Isso requer que a identidade de usuário do LCM tenha permissões delegadas para adicionar contas de computador à UO de destino no domínio local.

Durante a implantação na nuvem do Azure Local, a conta de usuário do LCM é adicionada ao grupo de administradores locais dos nós físicos. Para reduzir o risco de uma conta de usuário LCM comprometida, recomendamos ter uma conta de usuário LCM dedicada com uma senha exclusiva para cada instância Local do Azure. Esta recomendação limita o escopo e o impacto de uma conta LCM comprometida a uma única instância.

Recomendamos que siga as melhores práticas para a criação de OU. Essas recomendações são automatizadas quando se usa o cmdlet New-HciAdObjectsPreCreation para Preparar o Active Directory.

  • Para cada instância Local do Azure, crie uma UO individual no Ative Directory. Essa abordagem ajuda a gerenciar a conta de usuário do LCM, as contas de computador das máquinas físicas e o objeto de nome do cluster (CNO) dentro do escopo de uma única UO para cada instância.
  • Ao implementar várias instâncias em grande escala, para simplificar a gestão:
    • Crie uma UO dentro de uma única UO mãe para cada instância.
    • Ative a opção Bloquear Herança nos níveis de UO principal e sub-UO.
    • Para aplicar um GPO a todas as instâncias locais do Azure, como aninhar um grupo de domínio no grupo de administradores locais, vincule o GPO à OU principal e ative a opção Forçado. Ao fazer isso, aplica a configuração a todas as sub UOs, mesmo com Bloquear herança ativada.

Se os processos e procedimentos da sua organização exigirem desvios dessas recomendações, eles serão permitidos. No entanto, é importante considerar as implicações de segurança e capacidade de gerenciamento do seu projeto levando esses fatores em consideração.

Próximos passos