Příprava Active Directory na nasazení Azure Stack HCI verze 23H2
Platí pro: Azure Stack HCI verze 23H2
Tento článek popisuje, jak připravit prostředí Active Directory před nasazením Azure Stack HCI verze 23H2.
Požadavky služby Active Directory pro Azure Stack HCI zahrnují:
- Vyhrazená organizační jednotka (OU).
- Dědičnost zásad skupiny blokovaná pro příslušný objekt zásad skupiny (GPO).
- Uživatelský účet, který má všechna práva na organizační jednotky ve službě Active Directory.
- Počítače nesmí být před nasazením připojené ke službě Active Directory.
Poznámka:
- Ke splnění výše uvedených požadavků můžete použít stávající proces. Skript použitý v tomto článku je volitelný a poskytuje se ke zjednodušení přípravy.
- Pokud je dědičnost zásad skupiny blokovaná na úrovni organizační jednotky, vynucené objekty zásad skupiny nejsou blokované. Ujistěte se, že všechny platné objekty zásad skupiny, které jsou vynucené, jsou také blokované pomocí jiných metod, například pomocí filtrů WMI nebo skupin zabezpečení.
Požadavky
Než začnete, ujistěte se, že jste provedli následující kroky:
Splnění požadavků pro nová nasazení Azure Stack HCI
Stáhněte a nainstalujte modul verze 2402 z Galerie prostředí PowerShell. Ve složce, ve které se nachází modul, spusťte následující příkaz:
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
Poznámka:
Před instalací nové verze nezapomeňte odinstalovat všechny předchozí verze modulu.
Získali jste oprávnění k vytvoření organizační jednotky. Pokud nemáte oprávnění, obraťte se na správce služby Active Directory.
Pokud máte bránu firewall mezi systémem Azure Stack HCI a službou Active Directory, ujistěte se, že jsou nakonfigurovaná správná pravidla brány firewall. Konkrétní pokyny najdete v tématu Postup konfigurace brány firewall pro domény a vztahy důvěryhodnosti služby Active Directory.
Modul přípravy služby Active Directory
Rutina New-HciAdObjectsPreCreation
modulu PowerShellu AsHciADArtifactsPreCreationTool slouží k přípravě Active Directory na nasazení Azure Stack HCI. Tady jsou požadované parametry přidružené k rutině:
Parametr | Popis |
---|---|
-AzureStackLCMUserCredential |
Nový objekt uživatele, který je vytvořen s příslušnými oprávněními pro nasazení. Tento účet je stejný jako uživatelský účet používaný nasazením Azure Stack HCI. Ujistěte se, že je zadané jenom uživatelské jméno. Název by neměl obsahovat název domény, contoso\username například .Heslo musí odpovídat požadavkům na délku a složitost. Použijte heslo, které má délku nejméně 12 znaků. Heslo musí obsahovat také tři z těchto čtyř požadavků: malá písmena, velká písmena, číslice a speciální znak. Další informace najdete v požadavcích na složitost hesla. Jméno může jako uživatelské jméno použít správce . |
-AsHciOUName |
Nová organizační jednotka (OU) pro uložení všech objektů pro nasazení Azure Stack HCI. Stávající zásady skupiny a dědičnost jsou v této organizační lekci blokované, aby nedošlo ke konfliktu nastavení. Organizační jednotky musí být zadány jako rozlišující název (DN). Další informace naleznete ve formátu rozlišující názvy. |
Poznámka:
- Cesta
-AsHciOUName
nepodporuje následující speciální znaky kdekoli v cestě:&,",',<,>
. - Přesunutí objektů počítače do jiné organizační jednotky po dokončení nasazení se také nepodporuje.
Příprava služby Active Directory
Při přípravě služby Active Directory vytvoříte vyhrazenou organizační jednotku (OU), která umístí objekty související s Azure Stack HCI, jako je uživatel nasazení.
Pokud chcete vytvořit vyhrazenou organizační jednotky, postupujte takto:
Přihlaste se k počítači, který je připojený k vaší doméně služby Active Directory.
Spusťte PowerShell jako správce.
Spuštěním následujícího příkazu vytvořte vyhrazenou organizační jednotky.
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
Po zobrazení výzvy zadejte uživatelské jméno a heslo pro nasazení.
- Ujistěte se, že je zadané jenom uživatelské jméno. Název by neměl obsahovat název domény,
contoso\username
například . Uživatelské jméno musí mít délku 1 až 64 znaků a musí obsahovat jenom písmena, číslice, pomlčky a podtržítka a nesmí začínat spojovníkem nebo číslem. - Ujistěte se, že heslo splňuje požadavky na složitost a délku. Použijte heslo, které má délku nejméně 12 znaků a obsahuje: malá písmena, velká písmena, číslice a speciální znak.
Tady je ukázkový výstup z úspěšného dokončení skriptu:
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>
- Ujistěte se, že je zadané jenom uživatelské jméno. Název by neměl obsahovat název domény,
Ověřte, že je OJ vytvořená. Pokud používáte klienta Windows Serveru, přejděte na Správce serveru Tools > Uživatelé a počítače služby Active Directory>.
Organizační jednotky se zadaným názvem by se měly vytvořit a v rámci této organizační jednotky uvidíte uživatele nasazení.
Poznámka:
Pokud opravujete jeden server, neodstraňovat stávající organizační jednotky. Pokud jsou svazky serveru šifrované, odstraněním organizační jednotky odeberete obnovovací klíče BitLockeru.
Další kroky
- Stáhněte si software Azure Stack HCI verze 23H2 na každém serveru v clusteru.