Подготовка Active Directory для локального развертывания Azure версии 23H2

Область применения: Локальная версия Azure, версия 23H2

В этой статье описывается, как подготовить среду Active Directory перед развертыванием Локальной версии Azure 23H2.

Требования Active Directory для локальной службы Azure включают:

• Выделенное подразделение организации (OU).
• Наследование групповой политики, заблокированное для применимого объекта групповой политики (GPO).
• Учетная запись пользователя, которая имеет все права на подразделение в Active Directory.
• Перед развертыванием компьютеры не должны быть присоединены к Active Directory.

Примечание.

• Существующий процесс можно использовать для удовлетворения указанных выше требований. Скрипт, используемый в этой статье, является необязательным и предоставляется для упрощения подготовки.
• Если наследование групповой политики блокируется на уровне подразделения, принудительное выполнение групповой политики не блокируется. Убедитесь, что все применимые GPO, которые применяются, также блокируются с помощью других методов, например с помощью фильтров WMI или групп безопасности.

Чтобы вручную назначить необходимые разрешения для Active Directory, создайте подразделение и блокируйте наследование объектов групповой политики, см . сведения о настройке Custom Active Directory для локальной службы Azure версии 23H2.

Необходимые компоненты

Прежде чем начать, убедитесь, что вы сделали следующее:

• Выполните необходимые условия для новых развертываний Azure Local.

• Скачайте и установите модуль версии 2402 из коллекция PowerShell. Выполните следующую команду из папки, в которой находится модуль:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Примечание.

  Прежде чем устанавливать новую версию, удалите все предыдущие версии модуля.

• Вы получили разрешения на создание подразделения. Если у вас нет разрешений, обратитесь к администратору Active Directory.

• Если у вас есть брандмауэр между локальной системой Azure и Active Directory, убедитесь, что настроены правильные правила брандмауэра. Дополнительные сведения см. в разделе "Требования к брандмауэру" для веб-служб Active Directory и службы управления шлюзом Active Directory. См. также инструкции по настройке брандмауэра для доменов и доверия Active Directory.

Модуль подготовки Active Directory

Командлет New-HciAdObjectsPreCreation модуля PowerShell AsHciADArtifactsPreCreationTool используется для подготовки Active Directory к локальным развертываниям Azure. Ниже приведены необходимые параметры, связанные с командлетом:

Параметр	Описание
-AzureStackLCMUserCredential	Новый объект пользователя, созданный с соответствующими разрешениями для развертывания. Эта учетная запись совпадает с учетной записью пользователя, используемой локальным развертыванием Azure. Убедитесь, что указан только имя пользователя. Имя не должно включать доменное имя, например contoso\username. Пароль должен соответствовать требованиям к длине и сложности. Используйте пароль, длиной по крайней мере 12 символов. Пароль также должен содержать три из четырех требований: строчный символ, верхний регистр, число и специальный символ. Дополнительные сведения см. в разделе "Требования к сложности паролей". Имя может использовать администратора в качестве имени пользователя.
-AsHciOUName	Новое подразделение организации для хранения всех объектов для локального развертывания Azure. Существующие групповые политики и наследование блокируются в этом подразделении, чтобы гарантировать отсутствие конфликта параметров. Подразделение должно быть указано в качестве различающегося имени (DN). Дополнительные сведения см. в формате различающихся имен.

Примечание.

• -AsHciOUName Путь не поддерживает следующие специальные символы в пределах пути: &,",',<,>
• Перемещение объектов компьютера в другую подразделение после завершения развертывания также не поддерживается.

Подготовка Active Directory

При подготовке Active Directory вы создадите выделенное подразделение организации для размещения локальных связанных объектов Azure, таких как пользователь развертывания.

Чтобы создать выделенную подразделение, выполните следующие действия.

1. Войдите на компьютер, присоединенный к домену Active Directory.

2. Запустите оболочку PowerShell от имени администратора.

3. Выполните следующую команду, чтобы создать выделенную подразделение.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. При появлении запроса укажите имя пользователя и пароль для развертывания.

   1. Убедитесь, что указан только имя пользователя. Имя не должно включать доменное имя, например contoso\username. Имя пользователя должно быть от 1 до 64 символов и содержать только буквы, цифры, дефисы и знаки подчеркивания и не могут начинаться с дефиса или номера.
   2. Убедитесь, что пароль соответствует требованиям к сложности и длине. Используйте пароль, длиной по крайней мере 12 символов и содержащий: строчный символ, верхний регистр, числовой и специальный символ.

   Ниже приведен пример выходных данных из успешного завершения скрипта:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Убедитесь, что подразделение создано. Если используется клиент Windows Server, перейдите к диспетчер сервера > tools > Пользователи и компьютеры Active Directory.

6. Подразделение с указанным именем должно быть создано и в пределах этого подразделения вы увидите пользователя развертывания.

   

Примечание.

Если вы восстанавливаете один компьютер, не удаляйте существующую подразделение. Если тома компьютера шифруются, удаление подразделения удаляет ключи восстановления BitLocker.

Следующие шаги

• Скачайте ОС Azure Stack HCI версии 23H2 на каждом компьютере в вашей системе.