Подготовка Active Directory для локального развертывания Azure версии 23H2

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как подготовить среду Active Directory перед развертыванием Локальной версии Azure 23H2.

Требования Active Directory для локальной службы Azure включают:

• Выделенное подразделение организации (OU).
• Наследование групповой политики, заблокированное для применимого объекта групповой политики (GPO).
• Учетная запись пользователя, которая имеет все права на подразделение в Active Directory.
• Перед развертыванием компьютеры не должны быть присоединены к Active Directory.

Примечание.

• Существующий процесс можно использовать для удовлетворения указанных выше требований. Скрипт, используемый в этой статье, является необязательным и предоставляется для упрощения подготовки.
• Если наследование групповой политики блокируется на уровне подразделения, объекты групповой политики с включённым параметром принудительного применения не блокируются. Если применимо, убедитесь, что эти объекты групповой политики блокируются с помощью других методов, например с использованием фильтра Windows Management Instrumentation (WMI) . Примените фильтр WMI к любым принудительно примененным объектам групповой политики (ОГП), чтобы исключить учетные записи компьютеров локальных экземпляров Azure из применения этих ОГП. После применения фильтра принудительно примененные объекты групповой политики не будут применяться на основе логики, определенной в фильтре WMI.

Чтобы вручную назначить необходимые разрешения для Active Directory, создайте подразделение и блокируйте наследование объектов групповой политики, см . сведения о настройке Custom Active Directory для локальной службы Azure версии 23H2.

Необходимые компоненты

• Выполните предварительные требования для новых развертываний Локальной службы Azure.

• Установите версию 2402 модуля "AsHciADArtifactsPreCreationTool". Выполните следующую команду, чтобы установить модуль из коллекции PowerShell:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Примечание.

  Прежде чем устанавливать новую версию, удалите все предыдущие версии модуля.

• Для создания подразделения (организационная единица, OU) требуются разрешения. Если у вас нет разрешений, обратитесь к администратору Active Directory.

• Если у вас есть брандмауэр между локальной системой Azure и Active Directory, убедитесь, что настроены правильные правила брандмауэра. Дополнительные сведения см. в разделе "Требования к брандмауэру" для веб-служб Active Directory и службы управления шлюзом Active Directory. См. также инструкции по настройке брандмауэра для доменов и доверия Active Directory.

Модуль подготовки Active Directory

Командлет New-HciAdObjectsPreCreation модуля PowerShell AsHciADArtifactsPreCreationTool используется для подготовки Active Directory к локальным развертываниям Azure. Ниже приведены необходимые параметры, связанные с командлетом:

Параметр	Описание
-AzureStackLCMUserCredential	Новый объект пользователя, созданный с соответствующими разрешениями для развертывания. Эта учетная запись совпадает с учетной записью пользователя, используемой локальным развертыванием Azure. Убедитесь, что указан только имя пользователя. Имя не должно включать доменное имя, например contoso\username. Пароль должен соответствовать требованиям к длине и сложности. Используйте пароль, длиной по крайней мере 12 символов. Пароль также должен содержать три из четырех требований: строчный символ, верхний регистр, число и специальный символ. Дополнительные сведения см. в разделе "Требования к сложности паролей". Имя не может совпадать с именем локального администратора. Имя может использовать администратора в качестве имени пользователя.
-AsHciOUName	Новое подразделение организации для хранения всех объектов для локального развертывания Azure. Существующие групповые политики и наследование блокируются в этом подразделении, чтобы гарантировать отсутствие конфликта параметров. Подразделение должно быть указано в качестве различающегося имени (DN). Дополнительные сведения см. в формате различающихся имен.

Примечание.

• -AsHciOUName Путь не поддерживает следующие специальные символы в пределах пути: &,",',<,>
• После завершения развертывания перемещение объектов компьютера в другое подразделение не поддерживается.

Подготовка Active Directory

При подготовке Active Directory вы создадите выделенное подразделение организации для размещения локальных связанных объектов Azure, таких как пользователь развертывания.

Чтобы создать выделенную подразделение, выполните следующие действия.

1. Войдите на компьютер, присоединенный к домену Active Directory.

2. Запустите оболочку PowerShell от имени администратора.

3. Выполните следующую команду, чтобы создать выделенную подразделение.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. При появлении запроса укажите имя пользователя и пароль для развертывания.

   1. Убедитесь, что указан только имя пользователя. Имя не должно включать доменное имя, например contoso\username. Имя пользователя должно быть от 1 до 64 символов и содержать только буквы, цифры, дефисы и знаки подчеркивания и не могут начинаться с дефиса или номера.
   2. Убедитесь, что пароль соответствует требованиям к сложности и длине. Используйте пароль, длиной по крайней мере 12 символов и содержащий: строчный символ, верхний регистр, числовой и специальный символ.

   Ниже приведен пример выходных данных из успешного завершения скрипта:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Убедитесь, что подразделение создано. Если используется клиент Windows Server, перейдите к диспетчер сервера > tools > Пользователи и компьютеры Active Directory.

6. Создаётся организационная единица с указанным именем. Эта организационная единица содержит новую учетную запись пользователя для развертывания LCM.

   

Примечание.

Если вы ремонтируете один компьютер, не удаляйте существующую организационную единицу. Если тома компьютера шифруются, удаление подразделения удаляет ключи восстановления BitLocker.

Рекомендации по крупномасштабным развертываниям

Учетная запись пользователя Диспетчера жизненного цикла (LCM) используется во время развертываний локального экземпляра Azure, использующих Active Directory (AD), или для любых операций надстройки или восстановления для существующих экземпляров. Учетная запись пользователя LCM отвечает за выполнение действий по присоединению к домену, что требует наличия у учетной записи пользователя LCM делегированных разрешений для добавления учетных записей компьютеров в целевое подразделение организации (OU) в локальном домене. Во время развертывания Локальной службы Azure учетная запись пользователя LCM добавляется в группу локальных администраторов физических компьютеров.

Для снижения риска компрометации учетных данных пользователя LCM, мы советуем, чтобы для каждого локального экземпляра Azure у вас была выделенная учетная запись пользователя LCM с уникальным паролем.

Мы рекомендуем следовать этим лучшим практикам для создания организационных единиц:

• Для каждого локального экземпляра Azure создайте отдельные OU в Active Directory. Этот подход помогает управлять учетной записью компьютера, учетной записью CNO, учетной записью LCM и учетными записями физической машины в пределах одной организационной единицы для каждого экземпляра.
• При развертывании нескольких экземпляров в масштабе для упрощения управления:
  • Создайте подразделение под единственным родительским подразделением для каждой инстанции.
  • Отключите наследование групповых политик в родительском организационном подразделении.

Рекомендации выше автоматизированы при использовании командлета New-HciAdObjectsPreCreation, чтобы подготовитьActive Directory.

Следующие шаги

• Скачайте ОС Azure Stack HCI версии 23H2 на каждом компьютере в вашей системе.