Поделиться через


Подготовка Active Directory к развертыванию Azure Stack HCI версии 23H2

Область применения: Azure Stack HCI версии 23H2

В этой статье описывается, как подготовить среду Active Directory перед развертыванием Azure Stack HCI версии 23H2.

Требования Active Directory для Azure Stack HCI включают:

  • Выделенное подразделение организации (OU).
  • Наследование групповой политики, заблокированное для применимого объекта групповой политики (GPO).
  • Учетная запись пользователя, которая имеет все права на подразделение в Active Directory.
  • Перед развертыванием компьютеры не должны быть присоединены к Active Directory.

Примечание.

  • Существующий процесс можно использовать для удовлетворения указанных выше требований. Скрипт, используемый в этой статье, является необязательным и предоставляется для упрощения подготовки.
  • Если наследование групповой политики блокируется на уровне подразделения, принудительное выполнение групповой политики не блокируется. Убедитесь, что все применимые GPO, которые применяются, также блокируются с помощью других методов, например с помощью фильтров WMI или групп безопасности.

Необходимые компоненты

Прежде чем начать, убедитесь, что вы сделали следующее:

  • Выполните необходимые условия для новых развертываний Azure Stack HCI.

  • Скачайте и установите модуль версии 2402 из коллекция PowerShell. Выполните следующую команду из папки, в которой находится модуль:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
    

    Примечание.

    Прежде чем устанавливать новую версию, удалите все предыдущие версии модуля.

  • Вы получили разрешения на создание подразделения. Если у вас нет разрешений, обратитесь к администратору Active Directory.

  • Если у вас есть брандмауэр между системой Azure Stack HCI и Active Directory, убедитесь, что настроены правильные правила брандмауэра. Дополнительные сведения см. в статье "Настройка брандмауэра для доменов и доверия Active Directory".

Модуль подготовки Active Directory

Модуль AsHciADArtifactsPreCreationTool.ps1 используется для подготовки Active Directory. Ниже приведены необходимые параметры, связанные с командлетом:

Параметр Описание
-AzureStackLCMUserCredential Новый объект пользователя, созданный с соответствующими разрешениями для развертывания. Эта учетная запись совпадает с учетной записью пользователя, используемой развертыванием Azure Stack HCI.
Убедитесь, что указан только имя пользователя. Имя не должно включать доменное имя, например contoso\username.
Пароль должен соответствовать требованиям к длине и сложности. Используйте пароль, длиной по крайней мере 12 символов. Пароль также должен содержать три из четырех требований: строчный символ, верхний регистр, число и специальный символ.
Дополнительные сведения см. в разделе "Требования к сложности паролей".
Имя может использовать администратора в качестве имени пользователя.
-AsHciOUName Новое подразделение организации для хранения всех объектов для развертывания Azure Stack HCI. Существующие групповые политики и наследование блокируются в этом подразделении, чтобы гарантировать отсутствие конфликта параметров. Подразделение должно быть указано в качестве различающегося имени (DN). Дополнительные сведения см. в формате различающихся имен.

Примечание.

  • -AsHciOUName Путь не поддерживает следующие специальные символы в любом месте пути- &,”,’,<,>.
  • Перемещение объектов компьютера в другую подразделение после завершения развертывания также не поддерживается.

Подготовка Active Directory

При подготовке Active Directory необходимо создать выделенное подразделение организации для размещения связанных объектов Azure Stack HCI, таких как пользователь развертывания.

Чтобы создать выделенную подразделение, выполните следующие действия.

  1. Войдите на компьютер, присоединенный к домену Active Directory.

  2. Запустите оболочку PowerShell от имени администратора.

  3. Выполните следующую команду, чтобы создать выделенную подразделение.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
    
    
  4. При появлении запроса укажите имя пользователя и пароль для развертывания.

    1. Убедитесь, что указан только имя пользователя. Имя не должно включать доменное имя, например contoso\username. Имя пользователя должно быть от 1 до 64 символов и содержать только буквы, цифры, дефисы и знаки подчеркивания и не могут начинаться с дефиса или номера.
    2. Убедитесь, что пароль соответствует требованиям к сложности и длине. Используйте пароль, длиной по крайней мере 12 символов и содержащий: строчный символ, верхний регистр, числовой и специальный символ.

    Ниже приведен пример выходных данных из успешного завершения скрипта:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
    PS C:\work> $user = "ms309deployuser"
    PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
    PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
    PS C:\work>
    
  5. Убедитесь, что подразделение создано. Если используется клиент Windows Server, перейдите к диспетчер сервера > tools > Пользователи и компьютеры Active Directory.

  6. Подразделение с указанным именем должно быть создано и в пределах этого подразделения вы увидите пользователя развертывания.

    Снимок экрана: окно

Примечание.

При восстановлении одного сервера не удаляйте существующую подразделение. Если тома сервера шифруются, удаление подразделения удаляет ключи восстановления BitLocker.

Следующие шаги