Настраиваемая конфигурация Active Directory для локальной версии Azure версии 23H2
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье описываются разрешения и записи DNS, необходимые для локального развертывания Azure версии 23H2. В статье также используются примеры с подробными инструкциями по назначению разрешений вручную и созданию записей DNS для среды Active Directory.
Локальное решение Azure развертывается в крупных активных каталогах с установленными процессами и инструментами для назначения разрешений. Корпорация Майкрософт предоставляет скрипт подготовки Active Directory, который можно использовать при необходимости для локального развертывания Azure. Необходимые разрешения для Active Directory, создание подразделения и блокировка наследования объектов групповой политики можно настроить вручную.
Вы также можете использовать DNS-сервер, например, серверы Microsoft DNS, поддерживающие интеграцию с Active Directory, чтобы воспользоваться преимуществами безопасных динамических обновлений. Если DNS-серверы Майкрософт не используются, необходимо создать набор записей DNS для развертывания и обновления локального решения Azure.
Сведения о требованиях Active Directory
Ниже приведены некоторые требования Active Directory для локального развертывания Azure.
Для оптимизации времени запроса для обнаружения объектов требуется выделенное подразделение организации. Эта оптимизация важна для крупных активных каталогов, охватывающих несколько сайтов. Эта выделенная подразделение требуется только для объектов компьютера и CNO отказоустойчивого кластера Windows.
Пользователю (также известному как пользователь развертывания) требуются необходимые разрешения для выделенного подразделения. Пользователь может находиться в любом месте каталога.
Блокировка наследования групповой политики необходима, чтобы предотвратить конфликты параметров, поступающих из объектов групповой политики. Новый модуль, представленный в Azure Local, версия 23H2 управляет параметрами безопасности по умолчанию, включая защиту от смещения. Дополнительные сведения см. в разделе "Функции безопасности для локальной службы Azure" версии 23H2.
Объекты учетной записи компьютера и CNO кластера можно предварительно создать с помощью пользователя развертывания в качестве альтернативы самому развертыванию.
Необходимые разрешения
Разрешения, необходимые объекту пользователя, на который ссылается пользователь развертывания, применяются только к выделенному подразделению. Разрешения можно суммировать как чтение, создание и удаление объектов компьютера с возможностью получения сведений о восстановлении BitLocker.
Ниже приведена таблица, содержащая разрешения, необходимые для пользователя развертывания и кластера CNO по подразделению и всем объектам-потомкам.
| Роль | Описание назначенных разрешений |
|---|---|
| Развертывание пользователя через подразделение и все объекты-потомки | Перечисление содержимого. Чтение всех свойств. Разрешения на чтение. Создание объектов компьютера. Удаление объектов компьютера. |
| Пользователь развертывания по подразделению, но применяется только к объектам msFVE-Recoveryinformation | Полный контроль. Перечисление содержимого. Чтение всех свойств. Запись всех свойств. Удалить. Разрешения на чтение. Изменение разрешений. Измените владельца. Все проверенные записи. |
| Кластер CNO по подразделению, примененный к этому объекту и всем объектам-потомком | Чтение всех свойств. Создание объектов компьютера. |
Назначение разрешений с помощью PowerShell
Командлеты PowerShell можно использовать для назначения соответствующих разрешений пользователю развертывания через подразделение. В следующем примере показано, как назначить необходимые разрешения для развертывания через OU HCI001 , который находится в домене Active Directory contoso.com.
Примечание.
Сценарий требует предварительного создания пользовательского объекта New-ADUser и подразделения в Active Directory. Дополнительные сведения о блокировке наследования групповой политики см. в разделе Set-GPInheritance.
Выполните следующие командлеты PowerShell, чтобы импортировать модуль Active Directory и назначить необходимые разрешения:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Обязательные записи DNS
Если DNS-сервер не поддерживает безопасные динамические обновления, необходимо создать необходимые записи DNS перед развертыванием локальной системы Azure.
В следующей таблице содержатся необходимые записи и типы DNS:
| Object | Тип |
|---|---|
| Имя машины | Узел A |
| CNO кластера | Узел A |
| VCO кластера | Узел A |
Примечание.
Для каждого компьютера, который становится частью локальной системы Azure, требуется запись DNS.
Пример. Проверка наличия записи DNS
Чтобы убедиться, что запись DNS существует, выполните следующую команду:
nslookup "machine name"
Несвязанное пространство имен
Несвязанное пространство имен возникает, когда основной DNS-суффикс одного или нескольких компьютеров-членов домена не соответствует DNS-имени своего домена Active Directory. Например, если у компьютера есть DNS-имя corp.contoso.com, но он является частью домена Active Directory с именем na.corp.contoso.com, он использует разрозненные пространства имен.
Перед развертыванием Локальной версии Azure 23H2 необходимо:
- Добавьте DNS-суффикс к адаптеру управления каждого узла.
- Убедитесь, что имя узла можно разрешить полное доменное имя Active Directory.
Пример. Добавление DNS-суффикса
Чтобы добавить DNS-суффикс, выполните следующую команду:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Пример. Разрешение имени узла в полное доменное имя
Чтобы разрешить имя узла в полное доменное имя, выполните следующую команду:
nslookup node1.na.corp.contoso.com
Примечание.
Нельзя использовать групповые политики для настройки списка DNS-суффиксов в локальной версии Azure версии 23H2.
Обновление с учетом кластера (CAU)
Обновление, поддерживающее кластер, применяет точку доступа клиента (объект виртуального компьютера), требующую записи DNS.
В средах, где динамические безопасные обновления недоступны, необходимо вручную создать объект виртуального компьютера (VCO). Дополнительные сведения о создании виртуальной машины см. в разделе Prestage cluster computer objects in домен Active Directory Services.
Примечание.
Не забудьте отключить динамическое обновление DNS в dns-клиенте Windows. Этот параметр защищен элементом управления смещения и встроен в сетевой ATC. Создайте виртуальную сеть сразу после отключения динамических обновлений, чтобы избежать отката смещения. Дополнительные сведения об изменении этого защищенного параметра см. в разделе "Изменение значений безопасности по умолчанию".
Пример. Отключение динамического обновления
Чтобы отключить динамическое обновление, выполните следующую команду:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Следующие шаги
Перейдите к:
- Скачайте программное обеспечение ОС Azure Stack HCI.
- Установите программное обеспечение ОС Azure Stack HCI.