Przygotowywanie usługi Active Directory do wdrożenia usługi Azure Stack HCI w wersji 23H2

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób przygotowania środowiska usługi Active Directory przed wdrożeniem rozwiązania Azure Stack HCI w wersji 23H2.

Wymagania usługi Active Directory dotyczące usługi Azure Stack HCI obejmują:

• Dedykowana jednostka organizacyjna (OU).
• Dziedziczenie zasad grupy, które jest zablokowane dla odpowiedniego obiektu zasady grupy (GPO).
• Konto użytkownika, które ma wszystkie prawa do jednostki organizacyjnej w usłudze Active Directory.

Uwaga

• Możesz użyć istniejącego procesu, aby spełnić powyższe wymagania. Skrypt używany w tym artykule jest opcjonalny i jest udostępniany w celu uproszczenia przygotowania.
• Gdy dziedziczenie zasad grupy jest blokowane na poziomie jednostki organizacyjnej, wymuszane obiektu zasad grupy nie są blokowane. Upewnij się, że wszystkie odpowiednie obiekty zasad grupy, które są wymuszane, są również blokowane przy użyciu innych metod, na przykład przy użyciu filtrów usługi WMI lub grup zabezpieczeń.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że wykonano następujące czynności:

• Spełnij wymagania wstępne dotyczące nowych wdrożeń rozwiązania Azure Stack HCI.

• Pobierz i zainstaluj moduł w wersji 2402 z Galeria programu PowerShell. Uruchom następujące polecenie z folderu, w którym znajduje się moduł:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Uwaga

  Przed zainstalowaniem nowej wersji należy odinstalować wszystkie poprzednie wersje modułu.

• Masz uprawnienia do tworzenia jednostki organizacyjnej. Jeśli nie masz uprawnień, skontaktuj się z administratorem usługi Active Directory.

• Jeśli masz zaporę między systemem Azure Stack HCI i usługą Active Directory, upewnij się, że skonfigurowano odpowiednie reguły zapory. Aby uzyskać szczegółowe wskazówki, zobacz How to configure a firewall for Active Directory domains and trusts (Jak skonfigurować zaporę dla domen i relacji zaufania usługi Active Directory).

Moduł przygotowywania usługi Active Directory

Moduł AsHciADArtifactsPreCreationTool.ps1 służy do przygotowywania usługi Active Directory. Poniżej przedstawiono wymagane parametry skojarzone z poleceniem cmdlet:

Parametr	Opis
-AzureStackLCMUserCredential	Nowy obiekt użytkownika utworzony z odpowiednimi uprawnieniami do wdrożenia. To konto jest takie samo jak konto użytkownika używane przez wdrożenie rozwiązania Azure Stack HCI. Upewnij się, że podano tylko nazwę użytkownika. Nazwa nie powinna zawierać nazwy domeny, na przykład contoso\username. Hasło musi być zgodne z wymaganiami dotyczącymi długości i złożoności. Użyj hasła o długości co najmniej 12 znaków. Hasło musi również zawierać trzy z czterech wymagań: małe litery, wielkie litery, cyfrę i znak specjalny. Aby uzyskać więcej informacji, zobacz wymagania dotyczące złożoności haseł. Nazwa może używać administratora jako nazwy użytkownika.
-AsHciOUName	Nowa jednostka organizacyjna do przechowywania wszystkich obiektów wdrożenia rozwiązania Azure Stack HCI. Istniejące zasady grupy i dziedziczenie są blokowane w tej jednostki organizacyjnej, aby upewnić się, że nie ma konfliktu ustawień. Jednostki organizacyjnej należy określić jako nazwę wyróżniającą. Aby uzyskać więcej informacji, zobacz format nazw wyróżniających.

Uwaga

• Ścieżka -AsHciOUName nie obsługuje następujących znaków specjalnych w dowolnym miejscu w ścieżce - &,”,’,<,>.
• Przenoszenie obiektów komputera do innej jednostki organizacyjnej po zakończeniu wdrażania również nie jest obsługiwane.

Przygotowywanie usługi Active Directory

Podczas przygotowywania usługi Active Directory należy utworzyć dedykowaną jednostkę organizacyjną (OU), aby umieścić obiekty powiązane z rozwiązaniem Azure Stack HCI, takie jak użytkownik wdrożenia.

Aby utworzyć dedykowaną jednostkę organizacyjną, wykonaj następujące kroki:

1. Zaloguj się do komputera przyłączonego do domeny usługi Active Directory.

2. Uruchom program PowerShell jako administrator.

3. Uruchom następujące polecenie, aby utworzyć dedykowaną jednostkę organizacyjną.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. Po wyświetleniu monitu podaj nazwę użytkownika i hasło wdrożenia.

   1. Upewnij się, że podano tylko nazwę użytkownika. Nazwa nie powinna zawierać nazwy domeny, na przykład contoso\username. Nazwa użytkownika musi zawierać od 1 do 64 znaków i zawierać tylko litery, cyfry, łączniki i podkreślenia i nie mogą rozpoczynać się od łącznika lub liczby.
   2. Upewnij się, że hasło spełnia wymagania dotyczące złożoności i długości. Użyj hasła o długości co najmniej 12 znaków i zawiera: małe litery, wielkie litery, cyfrę i znak specjalny.

   Oto przykładowe dane wyjściowe z pomyślnego ukończenia skryptu:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Sprawdź, czy utworzono jednostkę organizacyjną. Jeśli używasz klienta systemu Windows Server, przejdź do Menedżer serwera > Tools > Użytkownicy i komputery usługi Active Directory.

6. Jednostkę organizacyjną o określonej nazwie należy utworzyć i w ramach tej jednostki organizacyjnej zobaczysz użytkownika wdrożenia.

   

Uwaga

Jeśli naprawiasz pojedynczy serwer, nie usuwaj istniejącej jednostki organizacyjnej. Jeśli woluminy serwera są szyfrowane, usunięcie jednostki organizacyjnej spowoduje usunięcie kluczy odzyskiwania funkcji BitLocker.

Następne kroki

• Pobierz oprogramowanie Azure Stack HCI w wersji 23H2 na każdym serwerze w klastrze.