Active Directory voorbereiden voor Azure Stack HCI, versie 23H2-implementatie

Van toepassing op: Azure Stack HCI, versie 23H2

In dit artikel wordt beschreven hoe u uw Active Directory-omgeving voorbereidt voordat u Azure Stack HCI, versie 23H2, implementeert.

Active Directory-vereisten voor Azure Stack HCI zijn onder andere:

• Een toegewezen organisatie-eenheid (OE).
• Overname van groepsbeleid die wordt geblokkeerd voor het toepasselijke groepsbeleidsobject (GPO).
• Een gebruikersaccount met alle rechten voor de organisatie-eenheid in Active Directory.
• Machines mogen vóór de implementatie niet aan Active Directory worden toegevoegd.

Notitie

• U kunt uw bestaande proces gebruiken om te voldoen aan de bovenstaande vereisten. Het script dat in dit artikel wordt gebruikt, is optioneel en wordt geleverd om de voorbereiding te vereenvoudigen.
• Wanneer overname van groepsbeleid wordt geblokkeerd op organisatie-eenheidsniveau, worden afgedwongen groepsbeleidsobjecten niet geblokkeerd. Zorg ervoor dat alle toepasselijke groepsbeleidsobjecten, die worden afgedwongen, ook worden geblokkeerd met behulp van andere methoden, bijvoorbeeld met behulp van WMI-filters of beveiligingsgroepen.

Vereisten

Voordat u begint, controleert u of u het volgende hebt gedaan:

• Voldoen aan de vereisten voor nieuwe implementaties van Azure Stack HCI.

• Download en installeer de versie 2402-module vanuit de PowerShell Gallery. Voer de volgende opdracht uit vanuit de map waarin de module zich bevindt:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Notitie

  Zorg ervoor dat u eerdere versies van de module verwijdert voordat u de nieuwe versie installeert.

• U hebt machtigingen verkregen om een organisatie-eenheid te maken. Als u geen machtigingen hebt, neemt u contact op met uw Active Directory-beheerder.

• Als u een firewall hebt tussen uw Azure Stack HCI-systeem en Active Directory, moet u ervoor zorgen dat de juiste firewallregels zijn geconfigureerd. Zie Een firewall configureren voor Active Directory-domeinen en -vertrouwensrelaties voor specifieke richtlijnen.

Active Directory-voorbereidingsmodule

De module AsHciADArtifactsPreCreationTool.ps1 wordt gebruikt om Active Directory voor te bereiden. Dit zijn de vereiste parameters die zijn gekoppeld aan de cmdlet:

Parameter	Description
-AzureStackLCMUserCredential	Een nieuw gebruikersobject dat is gemaakt met de juiste machtigingen voor implementatie. Dit account is hetzelfde als het gebruikersaccount dat wordt gebruikt door de Azure Stack HCI-implementatie. Zorg ervoor dat alleen de gebruikersnaam is opgegeven. De naam mag bijvoorbeeld contoso\usernameniet de domeinnaam bevatten. Het wachtwoord moet voldoen aan de lengte- en complexiteitsvereisten. Gebruik een wachtwoord dat minimaal 12 tekens lang is. Het wachtwoord moet ook drie van de vier vereisten bevatten: een kleine letter, een hoofdletter, een cijfer en een speciaal teken. Zie vereisten voor wachtwoordcomplexiteit voor meer informatie. De naam kan de beheerder gebruiken als gebruikersnaam.
-AsHciOUName	Een nieuwe organisatie-eenheid (OE) voor het opslaan van alle objecten voor de Azure Stack HCI-implementatie. Bestaande groepsbeleid en overname worden geblokkeerd in deze organisatie-eenheid om ervoor te zorgen dat er geen conflict met instellingen is. De OE moet worden opgegeven als DN (DN). Zie de indeling van DN-namen voor meer informatie.

Notitie

• Het -AsHciOUName pad biedt geen ondersteuning voor de volgende speciale tekens ergens in het pad - &,”,’,<,>.
• Het verplaatsen van de computerobjecten naar een andere organisatie-eenheid nadat de implementatie is voltooid, wordt ook niet ondersteund.

Active Directory voorbereiden

Wanneer u Active Directory voorbereidt, maakt u een toegewezen organisatie-eenheid (OE) om de aan Azure Stack HCI gerelateerde objecten, zoals de implementatiegebruiker, te plaatsen.

Voer de volgende stappen uit om een toegewezen organisatie-eenheid te maken:

1. Meld u aan bij een computer die is gekoppeld aan uw Active Directory-domein.

2. Voer PowerShell uit als beheerder.

3. Voer de volgende opdracht uit om de toegewezen organisatie-eenheid te maken.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. Geef de gebruikersnaam en het wachtwoord voor de implementatie op wanneer u hierom wordt gevraagd.

   1. Zorg ervoor dat alleen de gebruikersnaam is opgegeven. De naam mag bijvoorbeeld contoso\usernameniet de domeinnaam bevatten. De gebruikersnaam moet tussen 1 en 64 tekens zijn en mag alleen letters, cijfers, afbreekstreepjes en onderstrepingstekens bevatten en mag niet beginnen met een afbreekstreepje of cijfer.
   2. Zorg ervoor dat het wachtwoord voldoet aan de complexiteits- en lengtevereisten. Gebruik een wachtwoord dat minstens 12 tekens lang is en bevat: een kleine letter, een hoofdletter, een cijfer en een speciaal teken.

   Hier volgt een voorbeelduitvoer van een geslaagde voltooiing van het script:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Controleer of de organisatie-eenheid is gemaakt. Als u een Windows Server-client gebruikt, gaat u naar Serverbeheer > Tools > Active Directory.

6. Er moet een organisatie-eenheid met de opgegeven naam worden gemaakt en binnen die organisatie-eenheid ziet u de implementatiegebruiker.

   

Notitie

Als u één server herstelt, verwijdert u de bestaande organisatie-eenheid niet. Als de servervolumes zijn versleuteld, verwijdert u de BitLocker-herstelsleutels als u de OE verwijdert.

Volgende stappen

• Download Azure Stack HCI, versie 23H2-software op elke server in uw cluster.