Compartir vía

Preparación de Active Directory para la implementación de Azure Stack HCI, versión 23H2

  • Artículo

Se aplica a: Azure Stack HCI, versión 23H2

En este artículo se describe cómo preparar el entorno de Active Directory antes de implementar Azure Stack HCI, versión 23H2.

Los requisitos de Active Directory para Azure Stack HCI incluyen:

  • Una unidad organizativa (UO) dedicada.
  • Herencia de directiva de grupo bloqueada para el objeto de directiva de grupo (GPO) aplicable.
  • Una cuenta de usuario que tiene todos los derechos de la unidad organizativa en Active Directory.
  • Las máquinas no deben unirse a Active Directory antes de la implementación.

Nota:

  • Puede usar el proceso existente para cumplir los requisitos anteriores. El script usado en este artículo es opcional y se proporciona para simplificar la preparación.
  • Cuando se bloquea la herencia de directivas de grupo en el nivel de unidad organizativa, no se bloquean los GPO aplicados. Asegúrese de que cualquier GPO aplicable, que se aplica, también se bloquee mediante otros métodos, por ejemplo, mediante filtros WMI o grupos de seguridad.

Requisitos previos

Antes de comenzar, asegúrese de que ha hecho lo siguiente:

  • Cumpla los requisitos previos para las nuevas implementaciones de Azure Stack HCI.

  • Descargue e instale el módulo versión 2402 desde el Galería de PowerShell. Ejecute el siguiente comando desde la carpeta donde se encuentra el módulo:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Nota:

    Asegúrese de desinstalar las versiones anteriores del módulo antes de instalar la nueva versión.

  • Ha obtenido permisos para crear una unidad organizativa. Si no tiene permisos, póngase en contacto con el administrador de Active Directory.

  • Si tiene un firewall entre el sistema de Azure Stack HCI y Active Directory, asegúrese de que están configuradas las reglas de firewall adecuadas. Para obtener instrucciones específicas, consulte Configuración de un firewall para dominios y confianzas de Active Directory.

Módulo de preparación de Active Directory

El módulo AsHciADArtifactsPreCreationTool.ps1 se usa para preparar Active Directory. Estos son los parámetros necesarios asociados al cmdlet :

Parámetro Descripción
-AzureStackLCMUserCredential Nuevo objeto de usuario que se crea con los permisos adecuados para la implementación. Esta cuenta es la misma que la cuenta de usuario que usa la implementación de Azure Stack HCI.
Asegúrese de que solo se proporciona el nombre de usuario. El nombre no debe incluir el nombre de dominio, por ejemplo, contoso\username.
La contraseña debe cumplir los requisitos de longitud y complejidad. Use una contraseña que tenga al menos 12 caracteres de longitud. La contraseña también debe contener tres de los cuatro requisitos: un carácter en minúsculas, un carácter en mayúsculas, un número y un carácter especial.
Para obtener más información, consulte Requisitos de complejidad de contraseñas.
El nombre puede usar admin como nombre de usuario.
-AsHciOUName Nueva unidad organizativa (OU) para almacenar todos los objetos de la implementación de Azure Stack HCI. Las directivas de grupo y la herencia existentes se bloquean en esta unidad organizativa para asegurarse de que no haya ningún conflicto de configuración. La unidad organizativa debe especificarse como nombre distintivo (DN). Para obtener más información, vea el formato de Nombres distintivos.

Nota:

  • La -AsHciOUName ruta de acceso no admite los siguientes caracteres especiales en ningún lugar de la ruta de acceso - &,”,’,<,>.
  • Tampoco se admite mover los objetos de equipo a otra unidad organizativa una vez completada la implementación.

Preparación de Active Directory

Al preparar Active Directory, se crea una unidad organizativa (OU) dedicada para colocar los objetos relacionados con Azure Stack HCI, como el usuario de implementación.

Para crear una unidad organizativa dedicada, siga estos pasos:

  1. Inicie sesión en un equipo unido al dominio de Active Directory.

  2. Ejecute PowerShell como administrador.

  3. Ejecute el siguiente comando para crear la unidad organizativa dedicada.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Cuando se le solicite, proporcione el nombre de usuario y la contraseña de la implementación.

    1. Asegúrese de que solo se proporciona el nombre de usuario. El nombre no debe incluir el nombre de dominio, por ejemplo, contoso\username. El nombre de usuario debe tener entre 1 y 64 caracteres y solo contener letras, números, guiones y caracteres de subrayado, y puede que no empiece por un guión o un número.
    2. Asegúrese de que la contraseña cumple los requisitos de complejidad y longitud. Use una contraseña que tenga al menos 12 caracteres y contenga: un carácter en minúsculas, un carácter en mayúsculas, un número y un carácter especial.

    Esta es una salida de ejemplo de una finalización correcta del script:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Compruebe que se ha creado la unidad organizativa. Si usa un cliente de Windows Server, vaya a Administrador del servidor > Tools > Usuarios y equipos de Active Directory.

  6. Se debe crear una unidad organizativa con el nombre especificado y, dentro de esa unidad organizativa, verá el usuario de implementación.

    Captura de pantalla de la ventana Equipos y usuarios de Active Directory.

Nota:

Si va a reparar un solo servidor, no elimine la unidad organizativa existente. Si los volúmenes del servidor están cifrados, al eliminar la unidad organizativa se quitan las claves de recuperación de BitLocker.

Pasos siguientes