Vorbereiten von Active Directory für die Bereitstellung von Azure Stack HCI, Version 23H2

  • Artikel

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie Ihre Active Directory-Umgebung vorbereiten, bevor Sie Azure Stack HCI, Version 23H2 bereitstellen.

Zu den Active Directory-Anforderungen für Azure Stack HCI gehören:

  • Eine dedizierte Organisationseinheit( OU).
  • Gruppenrichtlinienvererbung, die für das anwendbare Gruppenrichtlinie Object (GPO) blockiert ist.
  • Ein Benutzerkonto, das über alle Rechte für die Organisationseinheit in Active Directory verfügt.

Hinweis

  • Sie können Ihren vorhandenen Prozess verwenden, um die oben genannten Anforderungen zu erfüllen. Das in diesem Artikel verwendete Skript ist optional und wird bereitgestellt, um die Vorbereitung zu vereinfachen.
  • Wenn die Vererbung von Gruppenrichtlinien auf Organisationseinheitsebene blockiert wird, werden erzwungene Gruppenrichtlinienobjekte nicht blockiert. Stellen Sie sicher, dass alle anwendbaren Gruppenrichtlinienrichtlinien, die erzwungen werden, auch mit anderen Methoden blockiert werden, z. B. mithilfe von WMI-Filtern oder Sicherheitsgruppen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes getan haben:

  • Erfüllen Sie die Voraussetzungen für neue Bereitstellungen von Azure Stack HCI.

  • Laden Sie das Modul 2402 aus dem PowerShell-Katalog herunter, und installieren Sie es. Führen Sie den folgenden Befehl aus dem Ordner aus, in dem sich das Modul befindet:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Hinweis

    Deinstallieren Sie alle früheren Versionen des Moduls, bevor Sie die neue Version installieren.

  • Sie haben Berechtigungen zum Erstellen einer Organisationseinheit erhalten. Wenn Sie nicht über Berechtigungen verfügen, wenden Sie sich an Ihren Active Directory-Administrator.

Active Directory-Vorbereitungsmodul

Das modulAsHciADArtifactsPreCreationTool.ps1 wird verwendet, um Active Directory vorzubereiten. Hier sind die erforderlichen Parameter aufgeführt, die dem Cmdlet zugeordnet sind:

Parameter BESCHREIBUNG
-AzureStackLCMUserCredential Ein neues Benutzerobjekt, das mit den entsprechenden Berechtigungen für die Bereitstellung erstellt wird. Dieses Konto entspricht dem Benutzerkonto, das von der Azure Stack HCI-Bereitstellung verwendet wird.
Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, z. B contoso\username. .
Das Kennwort muss den Anforderungen an Länge und Komplexität entsprechen. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist. Das Kennwort muss außerdem drei der vier Anforderungen enthalten: ein Kleinbuchstaben, ein Großbuchstaben, eine Zahl und ein Sonderzeichen.
Weitere Informationen finden Sie unter Anforderungen an die Kennwortkomplexität.
Der Name kann administrator als Benutzername verwenden.
-AsHciOUName Eine neue Organisationseinheit zum Speichern aller Objekte für die Azure Stack HCI-Bereitstellung. Vorhandene Gruppenrichtlinien und Vererbung werden in dieser Organisationseinheit blockiert, um sicherzustellen, dass es keinen Konflikt mit Einstellungen gibt. Die Organisationseinheit muss als Distinguished Name (DN) angegeben werden. Weitere Informationen finden Sie im Format von Distinguished Names.

Hinweis

  • Der -AsHciOUName Pfad unterstützt die folgenden Sonderzeichen nicht innerhalb des Pfads - &,”,’,<,>.
  • Das Verschieben der Computerobjekte in eine andere Organisationseinheit nach Abschluss der Bereitstellung wird ebenfalls nicht unterstützt.

Vorbereiten von Active Directory

Wenn Sie Active Directory vorbereiten, erstellen Sie eine dedizierte Organisationseinheit (OU), um die mit Azure Stack HCI verknüpften Objekte wie z. B. einen Bereitstellungsbenutzer zu platzieren.

Führen Sie die folgenden Schritte aus, um eine dedizierte Organisationseinheit zu erstellen:

  1. Melden Sie sich bei einem Computer an, der Ihrer Active Directory-Domäne angehört.

  2. Führen Sie PowerShell als Administrator aus.

  3. Führen Sie den folgenden Befehl aus, um die dedizierte Organisationseinheit zu erstellen.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen und das Kennwort für die Bereitstellung an.

    1. Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, z. B contoso\username. . Der Benutzername darf zwischen 1 und 64 Zeichen lang sein und nur Buchstaben, Zahlen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder einer Zahl beginnen.
    2. Stellen Sie sicher, dass das Kennwort die Komplexitäts- und Längenanforderungen erfüllt. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist und folgendes enthält: ein Kleinbuchstaben, ein Großbuchstaben, eine Zahl und ein Sonderzeichen.

    Hier sehen Sie eine Beispielausgabe nach einem erfolgreichen Abschluss des Skripts:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Überprüfen Sie, ob die Organisationseinheit erstellt wurde. Wenn Sie einen Windows Server-Client verwenden, wechseln Sie zu Server-Manager > Tools > Active Directory-Benutzer und -Computer.

  6. Eine Organisationseinheit mit dem angegebenen Namen sollte erstellt werden, und innerhalb dieser Organisationseinheit wird der Bereitstellungsbenutzer angezeigt.

    Screenshot des Fensters

Hinweis

Wenn Sie einen einzelnen Server reparieren, löschen Sie nicht die vorhandene Organisationseinheit. Wenn die Servervolumes verschlüsselt sind, werden beim Löschen der Organisationseinheit die BitLocker-Wiederherstellungsschlüssel entfernt.

Nächste Schritte