Compartir a través de


Preparación de Active Directory para la implementación local de Azure

Se aplica a: Azure Local 2311.2 y versiones posteriores

En este artículo se describe cómo preparar el entorno de Active Directory antes de implementar Azure Local.

Los requisitos de Active Directory para Azure Local incluyen:

  • Una unidad organizativa (UO) dedicada.
  • Herencia de directiva de grupo bloqueada para el objeto de directiva de grupo (GPO) aplicable.
  • Una cuenta de usuario que tiene todos los derechos de la unidad organizativa en Active Directory.
  • Las máquinas no deben unirse a Active Directory antes de la implementación.

Nota:

  • Puede usar el proceso existente para cumplir los requisitos anteriores. El script usado en este artículo es opcional y se proporciona para simplificar la preparación.
  • Cuando la herencia de directivas de grupo se bloquea en el nivel de unidad organizativa, no se bloquean los GPO con la opción aplicada habilitada. Si procede, asegúrese de que estos GPO están bloqueados mediante otros métodos, por ejemplo, mediante un filtro de Instrumental de administración de Windows (WMI). Aplique el filtro WMI a los GPO aplicados para excluir las cuentas de equipo de la máquina de las instancias locales de Azure para aplicar los GPO. Una vez aplicado el filtro, los GPO aplicados no se aplicarán en función de la lógica definida en el filtro WMI.

Para asignar manualmente los permisos necesarios para Active Directory, cree una unidad organizativa y bloquee la herencia de GPO, consulte Configuración personalizada de Active Directory para Azure Local.

Requisitos previos

  • Complete los requisitos previos para las nuevas implementaciones de Azure Local.

  • Instale la versión 2402 del módulo "AsHciADArtifactsPreCreationTool". Ejecute el siguiente comando para instalar el módulo desde la Galería de PowerShell:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
    

    Nota:

    Asegúrese de desinstalar las versiones anteriores del módulo antes de instalar la nueva versión.

  • Necesita permisos para crear una unidad organizativa (OU). Si no tiene permisos, póngase en contacto con el administrador de Active Directory.

  • Si tiene un firewall entre el sistema local de Azure y Active Directory, asegúrese de que están configuradas las reglas de firewall adecuadas. Para obtener instrucciones específicas, consulte Requisitos de firewall para servicios web de Active Directory y Servicio de administración de puertas de enlace de Active Directory. Consulte también Configuración de un firewall para dominios y confianzas de Active Directory.

Módulo de preparación de Active Directory

El New-HciAdObjectsPreCreation cmdlet del módulo de PowerShell AsHciADArtifactsPreCreationTool se usa para preparar Active Directory para las implementaciones locales de Azure. Estos son los parámetros necesarios asociados al cmdlet :

Parámetro Descripción
-AzureStackLCMUserCredential Nuevo objeto de usuario que se crea con los permisos adecuados para la implementación. Esta cuenta es la misma que la cuenta de usuario que usa la implementación local de Azure.
Asegúrese de que solo se proporciona el nombre de usuario. El nombre no debe incluir el nombre de dominio, por ejemplo, contoso\username.
La contraseña debe cumplir los requisitos de longitud y complejidad. Use una contraseña que tenga al menos 14 caracteres de longitud. La contraseña también debe contener tres de los cuatro requisitos: un carácter en minúsculas, un carácter en mayúsculas, un número y un carácter especial.
Para obtener más información, consulte Requisitos de complejidad de contraseñas.
El nombre no puede ser exactamente el mismo que el usuario administrador local.
El nombre puede usar admin como nombre de usuario.
-AsHciOUName Nueva unidad organizativa (UO) para almacenar todos los objetos de la implementación local de Azure. Las directivas de grupo y la herencia existentes se bloquean en esta unidad organizativa para asegurarse de que no haya ningún conflicto de configuración. La OU debe ser especificada como nombre distintivo (DN). Para obtener más información, consulte el formato de Distinguished Names.

Nota:

  • La -AsHciOUName ruta no admite los siguientes caracteres especiales en ninguna parte de ella: &,",',<,>.
  • Una vez completada la implementación, no se admite el traslado de los objetos de equipo a una unidad organizativa diferente.

Preparación de Active Directory

Al preparar Active Directory, se crea una unidad organizativa (OU) dedicada para colocar los objetos relacionados con Azure Local, como el usuario de implementación.

Para crear una unidad organizativa dedicada, siga estos pasos:

  1. Inicie sesión en un equipo unido al dominio de Active Directory.

  2. Ejecute PowerShell como administrador.

  3. Ejecute el siguiente comando para crear la unidad organizativa dedicada.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
    
    
  4. Cuando se le solicite, proporcione el nombre de usuario y la contraseña de la implementación.

    1. Asegúrese de que solo se proporciona el nombre de usuario. El nombre no debe incluir el nombre de dominio, por ejemplo, contoso\username. El nombre de usuario debe tener entre 1 y 64 caracteres y solo contener letras, números, guiones y caracteres de subrayado, y puede que no empiece por un guión o un número.
    2. Asegúrese de que la contraseña cumple los requisitos de complejidad y longitud. Use una contraseña que tenga al menos 14 caracteres y contenga: un carácter en minúsculas, un carácter en mayúsculas, un número y un carácter especial.

    Esta es una salida de ejemplo de una finalización correcta del script:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
    PS C:\work> $user = "ms309deployuser"
    PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
    PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
    PS C:\work>
    
  5. Compruebe que se ha creado la unidad organizativa. Si usa un cliente de Windows Server, vaya a Administrador del servidor > Tools > Usuarios y equipos de Active Directory.

  6. Se crea una unidad organizativa con el nombre especificado. Esta unidad organizativa contiene la nueva cuenta de usuario de implementación del Administrador de ciclo de vida (LCM).

    Captura de pantalla de la ventana Equipos y usuarios de Active Directory.

Nota:

Si va a reparar una sola máquina, no elimine la OU existente. Si los volúmenes de la máquina están cifrados, al eliminar la unidad organizativa se quitan las claves de recuperación de BitLocker.

Consideraciones para implementaciones a gran escala

La cuenta de usuario LCM se usa durante las operaciones de mantenimiento, como la aplicación de actualizaciones a través de PowerShell. Esta cuenta también se usa al realizar acciones de unión a un dominio en AD, como reparar un nodo o agregar un nodo. Esto requiere que la identidad de usuario LCM tenga permisos delegados para agregar cuentas de equipo a la unidad organizativa de destino en el dominio local.

Durante la implementación en la nube de Azure Local, la cuenta de usuario LCM se agrega al grupo de administradores locales de los nodos físicos. Para mitigar el riesgo de una cuenta de usuario LCM en peligro, se recomienda tener una cuenta de usuario LCM dedicada con una contraseña única para cada instancia local de Azure. Esta recomendación limita el ámbito y el impacto de una cuenta LCM en peligro a una sola instancia.

Se recomienda seguir estos procedimientos recomendados para la creación de unidades organizativas. Estas recomendaciones se automatizan cuando se usa el New-HciAdObjectsPreCreation cmdlet para preparar Active Directory.

  • Para cada instancia local de Azure, cree una unidad organizativa individual dentro de Active Directory. Este enfoque ayuda a administrar la cuenta de usuario LCM, las cuentas de equipo de las máquinas físicas y el objeto de nombre de clúster (CNO) dentro del ámbito de una sola unidad organizativa para cada instancia.
  • Al implementar varias instancias a escala, para facilitar la administración:
    • Cree una unidad organizativa en una unidad organizativa primaria única para cada instancia.
    • Habilite la opción Bloquear herencia en los niveles de la unidad organizativa principal y la subunidad organizativa.
    • Para aplicar un GPO a todas las instancias locales de Azure, como para anidar un grupo de dominio en el grupo de administradores locales, vincule el GPO a la unidad organizativa principal y habilite la opción Enforced. Al hacerlo, se aplica la configuración a todas las unidades organizativas secundarias, incluso con la herencia de bloques habilitada.

Si los procesos y procedimientos de la organización requieren desviaciones de estas recomendaciones, se permiten. Sin embargo, es importante tener en cuenta las implicaciones de seguridad y manejabilidad del diseño teniendo en cuenta estos factores.

Pasos siguientes