Menyiapkan Active Directory untuk Azure Stack HCI, penyebaran versi 23H2

Berlaku untuk: Azure Stack HCI, versi 23H2

Artikel ini menjelaskan cara menyiapkan lingkungan Direktori Aktif sebelum Anda menyebarkan Azure Stack HCI, versi 23H2.

Persyaratan Direktori Aktif untuk Azure Stack HCI meliputi:

• Unit Organisasi (OU) khusus.
• Pewarisan kebijakan grup yang diblokir untuk Objek Kebijakan Grup (GPO) yang berlaku.
• Akun pengguna yang memiliki semua hak atas unit organisasi di Direktori Aktif.
• Komputer tidak boleh bergabung ke Direktori Aktif sebelum penyebaran.

Catatan

• Anda dapat menggunakan proses yang ada untuk memenuhi persyaratan di atas. Skrip yang digunakan dalam artikel ini bersifat opsional dan disediakan untuk menyederhanakan persiapan.
• Ketika pewarisan kebijakan grup diblokir di tingkat OU, GPO yang diberlakukan tidak diblokir. Pastikan bahwa setiap GPO yang berlaku, yang diberlakukan, juga diblokir menggunakan metode lain, misalnya, menggunakan Filter WMI atau kelompok keamanan.

Untuk menetapkan izin yang diperlukan secara manual untuk Direktori Aktif, buat unit organisasi, dan blokir pewarisan GPO, lihat Konfigurasi Direktori Aktif Kustom untuk Azure Stack HCI Anda, versi 23H2.

Prasyarat

Sebelum memulai, pastikan Anda telah melakukan hal berikut:

• Memenuhi prasyarat untuk penyebaran baru Azure Stack HCI.

• Unduh dan instal modul versi 2402 dari Galeri PowerShell. Jalankan perintah berikut dari folder tempat modul berada:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Catatan

  Pastikan untuk menghapus instalan versi modul sebelumnya sebelum menginstal versi baru.

• Anda telah mendapatkan izin untuk membuat unit organisasi. Jika Anda tidak memiliki izin, hubungi administrator Direktori Aktif Anda.

• Jika Anda memiliki firewall antara sistem Azure Stack HCI dan Direktori Aktif, pastikan bahwa aturan firewall yang tepat dikonfigurasi. Untuk panduan khusus, lihat Persyaratan firewall untuk Layanan Web Direktori Aktif dan Layanan Manajemen Gateway Direktori Aktif. Lihat juga Cara mengonfigurasi firewall untuk domain dan kepercayaan Direktori Aktif.

Modul persiapan Direktori Aktif

New-HciAdObjectsPreCreation Cmdlet modul PowerShell AsHciADArtifactsPreCreationTool digunakan untuk menyiapkan Direktori Aktif untuk penyebaran Azure Stack HCI. Berikut adalah parameter yang diperlukan yang terkait dengan cmdlet:

Parameter	Deskripsi
-AzureStackLCMUserCredential	Objek pengguna baru yang dibuat dengan izin yang sesuai untuk penyebaran. Akun ini sama dengan akun pengguna yang digunakan oleh penyebaran Azure Stack HCI. Pastikan hanya nama pengguna yang disediakan. Nama tidak boleh menyertakan nama domain, misalnya, contoso\username. Kata sandi harus sesuai dengan persyaratan panjang dan kompleksitas. Gunakan kata sandi yang panjangnya minimal 12 karakter. Kata sandi juga harus berisi tiga dari empat persyaratan: karakter huruf kecil, karakter huruf besar, angka, dan karakter khusus. Untuk informasi selengkapnya, lihat persyaratan kompleksitas kata sandi. Nama dapat menggunakan admin sebagai nama pengguna.
-AsHciOUName	Unit Organisasi (OU) baru untuk menyimpan semua objek untuk penyebaran Azure Stack HCI. Kebijakan grup dan pewarisan yang ada diblokir di unit organisasi ini untuk memastikan tidak ada konflik pengaturan. Unit organisasi harus ditentukan sebagai nama khusus (DN). Untuk informasi selengkapnya, lihat format Nama Khusus.

Catatan

• Jalur -AsHciOUName tidak mendukung karakter khusus berikut di mana saja dalam jalur: &,",',<,>.
• Memindahkan objek komputer ke unit organisasi yang berbeda setelah penyebaran selesai juga tidak didukung.

Menyiapkan Active Directory

Saat menyiapkan Direktori Aktif, Anda membuat Unit Organisasi (OU) khusus untuk menempatkan objek terkait Azure Stack HCI seperti pengguna penyebaran.

Untuk membuat unit organisasi khusus, ikuti langkah-langkah berikut:

1. Masuk ke komputer yang bergabung ke domain Direktori Aktif Anda.

2. Jalankan PowerShell sebagai administrator.

3. Jalankan perintah berikut untuk membuat unit organisasi khusus.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. Saat diminta, berikan nama pengguna dan kata sandi untuk penyebaran.

   1. Pastikan hanya nama pengguna yang disediakan. Nama tidak boleh menyertakan nama domain, misalnya, contoso\username. Nama pengguna harus antara 1 hingga 64 karakter dan hanya berisi huruf, angka, tanda hubung, dan garis bawah dan mungkin tidak dimulai dengan tanda hubung atau angka.
   2. Pastikan kata sandi memenuhi persyaratan kompleksitas dan panjang. Gunakan kata sandi yang panjangnya setidaknya 12 karakter dan berisi: karakter huruf kecil, karakter huruf besar, angka, dan karakter khusus.

   Berikut adalah contoh output dari keberhasilan penyelesaian skrip:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Verifikasi bahwa unit organisasi dibuat. Jika menggunakan klien Windows Server, buka Alat > Manajer > Server Pengguna Direktori Aktif dan Komputer.

6. Unit organisasi dengan nama yang ditentukan harus dibuat dan dalam unit organisasi tersebut, Anda akan melihat pengguna penyebaran.

   

Catatan

Jika Anda memperbaiki satu server, jangan hapus unit organisasi yang ada. Jika volume server dienkripsi, menghapus unit organisasi akan menghapus kunci pemulihan BitLocker.

Langkah berikutnya

• Unduh Azure Stack HCI, perangkat lunak versi 23H2 di setiap server di kluster Anda.