Настраиваемая конфигурация Active Directory для локального экземпляра Azure
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье описываются разрешения и записи DNS, необходимые для развертывания локального экземпляра Azure. В статье также используются примеры с подробными инструкциями по назначению разрешений вручную и созданию записей DNS для среды Active Directory.
Локальное решение Azure развертывается в крупных активных каталогах с установленными процессами и инструментами для назначения разрешений. Корпорация Майкрософт предоставляет скрипт подготовки Active Directory, который можно использовать при необходимости для локального развертывания Azure. Необходимые разрешения для Active Directory, создание организационной единицы и блокировка наследования объектов групповой политики можно настроить вручную.
Вы также можете использовать DNS-сервер, например, серверы Microsoft DNS, поддерживающие интеграцию с Active Directory, чтобы воспользоваться преимуществами безопасных динамических обновлений. Если DNS-серверы Майкрософт не используются, необходимо создать набор записей DNS для развертывания и обновления локального решения Azure.
Сведения о требованиях Active Directory
Ниже приведены некоторые требования Active Directory для локального развертывания Azure.
Для оптимизации времени запроса для обнаружения объектов требуется выделенное подразделение организации. Эта оптимизация важна для крупных активных каталогов, охватывающих несколько сайтов. Эта выделенная организационная единица требуется только для объектов компьютеров и CNO отказоустойчивого кластера Windows.
Пользователю (также известному как пользователь развертывания) требуются необходимые разрешения для выделенной организационной единицы. Пользователь может находиться в любом месте каталога.
Блокировка наследования групповой политики необходима, чтобы предотвратить конфликты параметров, поступающих из объектов групповой политики. Новый модуль, представленный в Azure Local, управляет безопасностью по умолчанию, включая защиту от смещения. Дополнительные сведения см. в разделе Функции безопасности для локального экземпляра Azure.
Объекты учетной записи компьютера и CNO кластера можно предварительно создать с помощью пользователя развертывания в качестве альтернативы самому развертыванию.
Необходимые разрешения
Разрешения, необходимые пользователю объекта, упомянутого как пользователь развертывания, применяются только к выделенному УО. Разрешения можно суммировать как чтение, создание и удаление объектов компьютера с возможностью получения сведений о восстановлении BitLocker.
Ниже приведена таблица, содержащая разрешения, необходимые для пользователя развертывания и кластера CNO над подразделением и всеми объектами-потомками.
Роль | Описание назначенных разрешений |
---|---|
Развёртывание пользователя над организацией и всеми объектами-потомками | Список содержимого. Прочитать все свойства. Разрешения на чтение. Создание объектов компьютера. Удаление объектов компьютера. |
Пользователь развертывания по подразделению OU, но применяется только к объектам-потомкам msFVE-Recoveryinformation | Полный контроль. Список содержимого. Прочитайте все свойства. Напишите все свойства. Удалить. Разрешения на чтение. Изменение разрешений. Измените владельца. Все проверенные записи. |
Кластер CNO по подразделению, примененный к этому объекту и всем объектам-потомком | Прочитайте все свойства. Создание объектов компьютера. |
Назначение разрешений с помощью PowerShell
Вы можете использовать командлеты PowerShell для назначения соответствующих разрешений пользователю развертывания на организационное подразделение. В следующем примере показано, как назначить пользователю развертывания необходимые разрешения для объекта OU HCI001, который находится в домене contoso.com в Active Directory.
Примечание.
Сценарий требует предварительно создать объект пользователя New-ADUser и организационную единицу (OU) в вашей Active Directory. Дополнительные сведения о блокировке наследования групповой политики см. в разделе Set-GPInheritance.
Выполните следующие командлеты PowerShell, чтобы импортировать модуль Active Directory и назначить необходимые разрешения:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Обязательные записи DNS
Если DNS-сервер не поддерживает безопасные динамические обновления, необходимо создать необходимые записи DNS перед развертыванием локальной системы Azure.
В следующей таблице содержатся необходимые записи и типы DNS:
Объект | Тип |
---|---|
Имя машины | Хост A |
CNO кластера | Узел A |
VCO кластера | Хост A |
Примечание.
Для каждого компьютера, который становится частью локальной системы Azure, требуется запись DNS.
Пример. Проверка наличия записи DNS
Чтобы убедиться, что запись DNS существует, выполните следующую команду:
nslookup "machine name"
Несвязанное пространство имен
Несвязанное пространство имен возникает, когда основной DNS-суффикс одного или нескольких компьютеров-членов домена не соответствует DNS-имени своего домена Active Directory. Например, если у компьютера есть DNS-имя corp.contoso.com, но он является частью домена Active Directory с именем na.corp.contoso.com, он использует разрозненные пространства имен.
Перед развертыванием локального экземпляра Azure необходимо:
- Добавьте DNS-суффикс к адаптеру управления каждого узла. Dns-суффикс должен совпадать с доменным именем Active Directory.
- Убедитесь, что имя узла можно разрешить в ПДИ (полное доменное имя) Active Directory.
Пример. Добавление DNS-суффикса
Чтобы добавить DNS-суффикс, выполните следующую команду:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Пример. Разрешение имени узла в полное доменное имя
Чтобы преобразовать имя узла в полное доменное имя, выполните следующую команду:
nslookup node1.na.corp.contoso.com
Примечание.
Нельзя использовать групповые политики для настройки списка DNS-суффиксов с помощью локального экземпляра Azure.
Обновление с учетом кластера (CAU)
Обновление, поддерживающее кластер, применяет точку доступа клиента (объект виртуального компьютера), требующую записи DNS.
В средах, где динамические безопасные обновления недоступны, необходимо вручную создать объект виртуального компьютера (VCO). Дополнительные сведения о создании виртуальных кластерных объектов см. в разделе Предварительная подготовка компьютерных объектов кластера в Службы доменов Active Directory.
Примечание.
Не забудьте отключить динамическое обновление DNS в dns-клиенте Windows. Этот параметр защищен контролем смещения и встроен в Network ATC. Создайте VCO сразу после отключения динамических обновлений, чтобы избежать отката смещения. Дополнительные сведения об изменении этого защищенного параметра см. в разделе "Изменение значений безопасности по умолчанию".
Пример. Отключение динамического обновления
Чтобы отключить динамическое обновление, выполните следующую команду:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Следующие шаги
Перейдите к:
- Скачайте программное обеспечение ОС Azure Stack HCI.
- Установите программное обеспечение ОС Azure Stack HCI.