Preparar o Ative Directory para implantação do Azure Local, versão 23H2

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como preparar seu ambiente do Ative Directory antes de implantar o Azure Local, versão 23H2.

Os requisitos do Ative Directory para o Azure Local incluem:

• Uma Unidade Organizacional (UO) dedicada.
• Herança de diretiva de grupo bloqueada para o GPO (Objeto de Diretiva de Grupo) aplicável.
• Uma conta de usuário que tem todos os direitos para a UO no Ative Directory.
• As máquinas não devem ser associadas ao Ative Directory antes da implantação.

Nota

• Você pode usar seu processo existente para atender aos requisitos acima. O script usado neste artigo é opcional e é fornecido para simplificar a preparação.
• Quando a herança de política de grupo é bloqueada no nível da UO, os GPOs com a opção imposta habilitada não são bloqueados. Se aplicável, certifique-se de que esses GPOs sejam bloqueados usando outros métodos, por exemplo, usando um Filtro WMI (Instrumentação de Gerenciamento do Windows). Aplique o filtro WMI a quaisquer GPOs impostos, para excluir as contas de computador das suas instâncias locais do Azure da aplicação dos GPOs. Depois que o filtro for aplicado, os GPOs impostos não serão aplicados, com base na lógica definida no filtro WMI.

Para atribuir manualmente as permissões necessárias para o Ative Directory, criar uma UO e bloquear a herança de GPO, consulte Configuração personalizada do Ative Directory para seu Azure Local, versão 23H2.

Pré-requisitos

• Conclua os pré-requisitos para novas implementações do Azure Local.

• Instale a versão 2402 do módulo 'AsHciADArtifactsPreCreationTool'. Execute o seguinte comando para instalar o módulo da Galeria do PowerShell:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Nota

  Certifique-se de desinstalar todas as versões anteriores do módulo antes de instalar a nova versão.

• Você precisa de permissões para criar uma UO. Se você não tiver permissões, entre em contato com o administrador do Ative Directory.

• Se você tiver um firewall entre o sistema Local do Azure e o Ative Directory, verifique se as regras de firewall adequadas estão configuradas. Para obter orientações específicas, consulte Requisitos de firewall para Serviços Web do Ative Directory e Serviço de Gerenciamento de Gateway do Ative Directory. Consulte também Como configurar um firewall para domínios e relações de confiança do Ative Directory.

Módulo de preparação do Ative Directory

O New-HciAdObjectsPreCreation cmdlet do módulo PowerShell AsHciADArtifactsPreCreationTool é usado para preparar o Ative Directory para implantações locais do Azure. Aqui estão os parâmetros necessários associados ao cmdlet:

Parâmetro	Description
-AzureStackLCMUserCredential	Um novo objeto de usuário que é criado com as permissões apropriadas para implantação. Essa conta é igual à conta de usuário usada pela implantação Local do Azure. Certifique-se de que apenas o nome de usuário é fornecido. O nome não deve incluir o nome de domínio, por exemplo, contoso\username. A senha deve estar em conformidade com os requisitos de comprimento e complexidade. Use uma senha com pelo menos 12 caracteres. A senha também deve conter três dos quatro requisitos: um caractere minúsculo, um caractere maiúsculo, um numeral e um caractere especial. Para obter mais informações, consulte Requisitos de complexidade de senha. O nome não pode ser exatamente o mesmo que o usuário administrador local. O nome pode usar admin como o nome de usuário.
-AsHciOUName	Uma nova Unidade Organizacional (UO) para armazenar todos os objetos para a implantação Local do Azure. As políticas de grupo e a herança existentes são bloqueadas nesta UO para garantir que não haja conflito de configurações. A UO deve ser especificada como o nome distinto (DN). Para obter mais informações, consulte o formato de Nomes Distintos.

Nota

• O -AsHciOUName caminho não suporta os seguintes caracteres especiais em qualquer lugar dentro do caminho: &,",',<,>.
• Após a conclusão da implantação, não há suporte para mover os objetos de computador para uma UO diferente.

Preparar o Ative Directory

Ao preparar o Ative Directory, você cria uma Unidade Organizacional (UO) dedicada para colocar os objetos relacionados ao Azure Local, como usuário de implantação.

Para criar uma UO dedicada, siga estes passos:

1. Entre em um computador que ingressou no seu domínio do Ative Directory.

2. Execute o PowerShell como administrador.

3. Execute o seguinte comando para criar a UO dedicada.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. Quando solicitado, forneça o nome de usuário e a senha para a implantação.

   1. Certifique-se de que apenas o nome de usuário é fornecido. O nome não deve incluir o nome de domínio, por exemplo, contoso\username. O nome de usuário deve ter entre 1 e 64 caracteres e conter apenas letras, números, hífenes e sublinhados, não podendo começar com hífen ou número.
   2. Certifique-se de que a senha atenda aos requisitos de complexidade e comprimento. Use uma senha que tenha pelo menos 12 caracteres e contenha: um caractere minúsculo, um caractere maiúsculo, um numeral e um caractere especial.

   Aqui está um exemplo de saída de uma conclusão bem-sucedida do script:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Verifique se a UO foi criada. Se estiver usando um cliente Windows Server, vá para > Ative > Directory.

6. Uma UO com o nome especificado é criada. Esta UO contém a nova conta de usuário de implantação do LCM.

   

Nota

Se estiver reparando uma única máquina, não apague a UO existente. Se os volumes da máquina estiverem criptografados, excluir a UO removerá as chaves de recuperação do BitLocker.

Considerações para implantações em grande escala

A conta de usuário do Lifecycle Manager (LCM) é utilizada durante implantações de instância local do Azure que usam o Ative Directory (AD) ou para quaisquer operações de complemento/reparo para instâncias existentes. A conta de usuário do LCM é responsável por executar ações de associação de domínio, o que requer que a identidade do usuário do LCM tenha permissões delegadas para adicionar contas de computador à Unidade Organizacional (UO) de destino no domínio local. Durante a implantação do Azure Local, a conta de usuário do LCM é adicionada ao grupo de administradores locais das máquinas físicas.

Para reduzir o risco de uma credencial de conta de usuário LCM comprometida, recomendamos que, para cada instância Local do Azure, você tenha uma conta de usuário LCM dedicada com uma senha exclusiva.

Recomendamos que você siga estas práticas recomendadas para a criação de UO:

• Para cada instância Local do Azure, crie uma UO individual no Ative Directory. Essa abordagem ajuda a gerenciar contas de computador, CNO, conta de usuário LCM e contas de computador de máquina física dentro do escopo de uma única UO para cada instância.
• Ao implantar várias instâncias em escala, para facilitar o gerenciamento:
  • Crie uma UO sob uma única UO pai para cada instância.
  • Desative a herança de GPO ao nível da unidade organizacional principal.

As recomendações anteriores são automatizadas quando o/a utilizador(a) usa o cmdlet New-HciAdObjectsPreCreation para preparar o Active Directory.

Próximos passos

• Transfira o software Azure Stack HCI OS, versão 23H2 em cada máquina do seu sistema.