Anpassad Active Directory-konfiguration för din Azure Local, version 23H2
Gäller för: Azure Local 2311.2 och senare
Den här artikeln beskriver de behörigheter och DNS-poster som krävs för distributionen av Azure Local version 23H2. Artikeln använder också exempel med detaljerade steg om hur du manuellt tilldelar behörigheter och skapar DNS-poster för din Active Directory-miljö.
Den lokala Azure-lösningen distribueras i stora aktiva kataloger med etablerade processer och verktyg för att tilldela behörigheter. Microsoft tillhandahåller ett Active Directory-förberedelseskript som kan användas för den lokala Azure-distributionen. De behörigheter som krävs för Active Directory, skapandet av organisationsenheten och blockering av arv av grupprincipobjekt – kan också konfigureras manuellt.
Du kan också välja vilken DNS-server du vill använda, till exempel kan du använda Microsoft DNS-servrar som stöder integrering med Active Directory för att dra nytta av säkra dynamiska uppdateringar. Om Microsoft DNS-servrar inte används måste du skapa en uppsättning DNS-poster för distribution och uppdatering av den lokala Azure-lösningen.
Om Active Directory-krav
Här följer några av Active Directory-kraven för den lokala Azure-distributionen.
En dedikerad organisationsenhet (OU) krävs för att optimera frågetiderna för objektidentifieringen. Den här optimeringen är viktig för stora aktiva kataloger som sträcker sig över flera platser. Den här dedikerade organisationsenheten krävs endast för datorobjekten och Windows-redundansklustrets CNO.
Användaren (även kallad distributionsanvändare) kräver nödvändiga behörigheter för den dedikerade organisationsenheten. Användaren kan finnas var som helst i katalogen.
Blockering av arv av grupprinciper krävs för att förhindra konflikter mellan inställningar som kommer från grupprincipobjekt. Den nya motorn som introducerades med Azure Local version 23H2 hanterar säkerhetsstandarder, inklusive driftskydd. Mer information finns i Säkerhetsfunktioner för Azure Local, version 23H2.
Datorkontoobjekt och kluster-CNO kan skapas i förväg med hjälp av distributionsanvändaren som ett alternativ till att själva distributionen skapar dem.
Behörigheter som krävs
De behörigheter som krävs av användarobjektet som refereras till som distributionsanvändare är begränsade till att endast gälla för den dedikerade organisationsenheten. Behörigheterna kan sammanfattas som att läsa, skapa och ta bort datorobjekt med möjlighet att hämta BitLocker-återställningsinformation.
Här är en tabell som innehåller de behörigheter som krävs för distributionsanvändaren och klustrets CNO över organisationsenheten och alla underordnade objekt.
| Roll | Beskrivning av tilldelade behörigheter |
|---|---|
| Distributionsanvändare över organisationsenhet och alla underordnade objekt | Visa en lista med innehåll. Läs alla egenskaper. Läsbehörigheter. Skapa datorobjekt. Ta bort datorobjekt. |
| Distributionsanvändare över organisationsenhet men tillämpas endast på underordnade msFVE-Recoveryinformationsobjekt | Fullständig kontroll. Visa en lista med innehåll. Läs alla egenskaper. Skriv alla egenskaper. Ta bort. Läsbehörigheter. Ändra behörigheter. Ändra ägare. Alla verifierade skrivningar. |
| Kluster-CNO över den organisationsenhet som tillämpas på det här objektet och alla underordnade objekt | Läs alla egenskaper. Skapa datorobjekt. |
Tilldela behörigheter med PowerShell
Du kan använda PowerShell-cmdletar för att tilldela lämpliga behörigheter till distributionsanvändare via OU. I följande exempel visas hur du kan tilldela nödvändiga behörigheter till en distributionsanvändare via OU HCI001 som finns i Active Directory-domänen contoso.com.
Kommentar
Skriptet kräver att du skapar användarobjektet New-ADUser och OU i Active Directory i förväg. Mer information om hur du blockerar arv av grupprinciper finns i Set-GPInheritance.
Kör följande PowerShell-cmdletar för att importera Active Directory-modulen och tilldela nödvändiga behörigheter:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Nödvändiga DNS-poster
Om DNS-servern inte stöder säkra dynamiska uppdateringar måste du skapa nödvändiga DNS-poster innan du distribuerar ditt lokala Azure-system.
Följande tabell innehåller de DNS-poster och typer som krävs:
| Objekt | Typ |
|---|---|
| Datornamn | Värd A |
| CNO för kluster | Värd A |
| Kluster-VCO | Värd A |
Kommentar
Varje dator som blir en del av Det lokala Azure-systemet kräver en DNS-post.
Exempel – kontrollera att DNS-posten finns
Kontrollera att DNS-posten finns genom att köra följande kommando:
nslookup "machine name"
Uppdelad namnrymd
Ett disjoint namnområde inträffar när det primära DNS-suffixet för en eller flera domänmedlemsdatorer inte matchar DNS-namnet på deras Active Directory-domän. Om en dator till exempel har ett DNS-namn på corp.contoso.com men är en del av en Active Directory-domän som heter na.corp.contoso.com, använder den ett osammanhängande namnområde.
Innan du distribuerar Azure Local version 23H2 måste du:
- Lägg till DNS-suffixet i hanteringskortet för varje nod.
- Kontrollera att du kan matcha värdnamnet till det fullständiga domännamnet för Active Directory.
Exempel – lägga till DNS-suffixet
Om du vill lägga till DNS-suffixet kör du följande kommando:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Exempel – matcha värdnamnet till FQDN
Kör följande kommando för att matcha värdnamnet till det fullständiga domännamnet:
nslookup node1.na.corp.contoso.com
Kommentar
Du kan inte använda grupprinciper för att konfigurera DNS-suffixlistan med Azure Local, version 23H2.
Klustermedveten uppdatering (CAU)
Klustermedveten uppdatering tillämpar en klientåtkomstpunkt (virtuellt datorobjekt) som kräver en DNS-post.
I miljöer där dynamiska säkra uppdateringar inte är möjliga måste du manuellt skapa VCO-objektet (Virtual Computer Object). Mer information om hur du skapar VCO finns i Förinstallera klusterdatorobjekt i Active Directory-domän Services.
Kommentar
Se till att inaktivera dynamisk DNS-uppdatering i Windows DNS-klienten. Den här inställningen skyddas av driftkontrollen och är inbyggd i nätverks-ATC. Skapa VCO omedelbart efter att du har inaktiverat dynamiska uppdateringar för att undvika återställningen av driften. Mer information om hur du ändrar den här skyddade inställningen finns i Ändra säkerhetsstandarder.
Exempel – inaktivera dynamisk uppdatering
Om du vill inaktivera dynamisk uppdatering kör du följande kommando:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Nästa steg
Fortsätt till: