Active Directory voorbereiden voor implementatie van Azure Stack HCI versie 23H2

Van toepassing op: Azure Stack HCI, versie 23H2

In dit artikel wordt beschreven hoe u uw Active Directory-omgeving voorbereidt voordat u Azure Stack HCI, versie 23H2 implementeert.

Vereisten

Voordat u begint, controleert u of u het volgende hebt gedaan:

  • Verkrijgt domeinbeheerderstoegang tot de Active Directory-domeinserver.

Active Directory-voorbereidingsmodule

De moduleAsHciADArtifactsPreCreationTool.ps1 wordt gebruikt om Active Directory voor te bereiden. Dit zijn de vereiste parameters die zijn gekoppeld aan de cmdlet:

Parameter Beschrijving
-AzureStackLCMUserCredential Een nieuw gebruikersobject dat is gemaakt met de juiste machtigingen voor implementatie. Dit account is hetzelfde als het gebruikersaccount dat wordt gebruikt door de Azure Stack HCI-implementatie.
Zorg ervoor dat alleen de gebruikersnaam wordt opgegeven. De naam mag niet de domeinnaam bevatten, bijvoorbeeld contoso\username.
Het wachtwoord moet voldoen aan de vereisten voor lengte en complexiteit. Gebruik een wachtwoord dat minstens 12 tekens lang is. Het wachtwoord moet ook drie van de vier vereisten bevatten: een kleine letter, een hoofdletter, een cijfer en een speciaal teken.
Zie Vereisten voor wachtwoordcomplexiteit voor meer informatie.
De naam moet uniek zijn voor elke implementatie en u kunt de beheerder niet als gebruikersnaam gebruiken.
-AsHciOUName Een nieuwe organisatie-eenheid (OE) voor het opslaan van alle objecten voor de Azure Stack HCI-implementatie. Bestaande groepsbeleidsregels en overname worden geblokkeerd in deze organisatie-eenheid om ervoor te zorgen dat er geen conflict met instellingen is. De OE moet worden opgegeven als de DN(DN). Zie de indeling van DN-namen voor meer informatie.
-AsHciPhysicalNodeList Een lijst met computernamen die worden gemaakt voor de fysieke clusterservers.
-DomainFQDN Fully Qualified Domain Name (FQDN) van het Active Directory-domein.
-AsHciClusterName De naam voor het nieuwe CLUSTER AD-object.
-AsHciDeploymentPrefix Het voorvoegsel dat wordt gebruikt voor alle AD-objecten die zijn gemaakt voor de Azure Stack HCI-implementatie.
Het voorvoegsel mag niet langer zijn dan 8 tekens.
-Deploy Selecteer dit scenario voor een gloednieuwe implementatie in plaats van een upgrade van een bestaand systeem.

Active Directory voorbereiden

Wanneer u Active Directory voorbereidt, maakt u een toegewezen organisatie-eenheid (OE) om alle aan Azure Stack HCI gerelateerde objecten, zoals computeraccounts en gebruikersgroepen, te plaatsen.

Notitie

In deze release wordt alleen de Active Directory ondersteund die is voorbereid via de opgegeven module.

Volg deze stappen om Active Directory voor te bereiden en te configureren:

  1. Meld u als domeinbeheerder aan bij een computer die is toegevoegd aan uw Active Directory-domein.

  2. Voer PowerShell uit als beheerder.

  3. Voer de volgende opdracht uit om de toegewezen organisatie-eenheid te maken.

    New-HciAdObjectsPreCreation -Deploy -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>" -AsHciPhysicalNodeList @("<Server name>") -DomainFQDN "<FQDN for the Active Directory domain>" -AsHciClusterName "<Cluster name for deployment>" -AsHciDeploymentPrefix "<Deployment prefix>"
    
    
  4. Geef desgevraagd de gebruikersnaam en het wachtwoord voor de implementatie op.

    1. Zorg ervoor dat alleen de gebruikersnaam wordt opgegeven. De naam mag niet de domeinnaam bevatten, bijvoorbeeld contoso\username. De gebruikersnaam moet tussen de 1 en 64 tekens zijn en mag alleen letters, cijfers, afbreekstreepjes en onderstrepingstekens bevatten en mag niet beginnen met een afbreekstreepje of cijfer.
    2. Zorg ervoor dat het wachtwoord voldoet aan de complexiteits- en lengtevereisten. Gebruik een wachtwoord dat ten minste 12 tekens lang is en bestaat uit: een kleine letter, een hoofdletter, een cijfer en een speciaal teken.

    Hier volgt een voorbeeld van uitvoer van een geslaagde voltooiing van het script:

    PS C:\work> ConvertTo-SecureString '<password>' -AsPlainText -Force
    PS C:\work> "ms309deployuser"
    PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
    PS C:\work> New-HciAdObjectsPreCreation -Deploy -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" -AsHciPhysicalNodeList @("ms309host") -DomainFQDN "PLab8.nttest.microsoft.com" -AsHciClusterName "ms309cluster" -AsHciDeploymentPrefix "ms309"    
    
    ActiveDirectoryRights : ReadProperty
    InheritanceType       : All
    ObjectType            : 00000000-0000-0000-0000-000000000000
    InheritedObjectType   : 00000000-0000-0000-0000-000000000000
    ObjectFlags           : None
    AccessControlType     : Allow
    IdentityReference     : PLAB8\ms309cluster$
    IsInherited           : False
    InheritanceFlags      : ContainerInherit
    PropagationFlags      : None
    
    ActiveDirectoryRights : CreateChild
    InheritanceType       : All
    ObjectType            : bf967a86-0de6-11d0-a285-00aa003049e2
    InheritedObjectType   : 00000000-0000-0000-0000-000000000000
    ObjectFlags           : ObjectAceTypePresent
    AccessControlType     : Allow
    IdentityReference     : PLAB8\ms309cluster$
    IsInherited           : False
    InheritanceFlags      : ContainerInherit
    PropagationFlags      : None
    
    PS C:\temp>
    
    
  5. Controleer of de organisatie-eenheid en de bijbehorende computers en gebruikers-objecten zijn gemaakt. Als u een Windows Server-client gebruikt, gaat u naar Serverbeheer > Extra > Active Directory: gebruikers en computers.

  6. Er moet een organisatie-eenheid met de opgegeven naam worden gemaakt en binnen die organisatie-eenheid ziet u Computers en gebruikers-objecten .

    Schermopname van het venster Active Directory-computers en -gebruikers.

  7. Het object Computers moet één computeraccount bevatten voor elk serverknooppunt en één account voor het clusternaamobject.

    Schermopname van het venster Active Directory-clusternaamobject.

  8. Het object Gebruikers moet één gebruikersgroep bevatten die overeenkomt met de gebruiker die u hebt opgegeven tijdens het maken, en twee beveiligingsgroepen : domein lokaal met deze naamindeling: Active Directory-objectvoorvoegsel-OpsAdmin en Active Directory-objectvoorvoegsel Sto-SG. Bijvoorbeeld: ms309-OpsAdmin en ms309-Sto-SG.

    Schermopname van het venster Active Directory-gebruikersobject.

Notitie

  • Als u een tweede implementatie wilt uitvoeren, voert u de voorbereidingsstap uit met een ander voorvoegsel en een andere organisatie-eenheidsnaam.
  • Als u één server herstelt, moet u de bestaande organisatie-eenheid niet verwijderen. Als de servervolumes zijn versleuteld, worden de BitLocker-herstelsleutels verwijderd wanneer u de OE verwijdert.

Volgende stappen