Förbereda Active Directory för Azure Stack HCI, version 23H2-distribution

Gäller för: Azure Stack HCI, version 23H2

Den här artikeln beskriver hur du förbereder din Active Directory-miljö innan du distribuerar Azure Stack HCI version 23H2.

Active Directory-kraven för Azure Stack HCI omfattar:

• En dedikerad organisationsenhet (OU).
• Arv av grupprincip som blockeras för det tillämpliga grupprincipobjektet (GPO).
• Ett användarkonto som har alla rättigheter till organisationsenheten i Active Directory.
• Datorer får inte vara anslutna till Active Directory före distributionen.

Kommentar

• Du kan använda din befintliga process för att uppfylla ovanstående krav. Skriptet som används i den här artikeln är valfritt och tillhandahålls för att förenkla förberedelsen.
• När grupprinciparv blockeras på organisationsenhetsnivå blockeras inte framtvingade grupprincipobjekt. Se till att alla tillämpliga grupprincipobjekt, som tillämpas, också blockeras med hjälp av andra metoder, till exempel med hjälp av WMI-filter eller säkerhetsgrupper.

Om du vill tilldela nödvändiga behörigheter för Active Directory manuellt skapar du en organisationsenhet och blockerar GPO-arv i Anpassad Active Directory-konfiguration för din Azure Stack HCI, version 23H2.

Förutsättningar

Kontrollera att du har gjort följande innan du börjar:

• Uppfylla kraven för nya distributioner av Azure Stack HCI.

• Ladda ned och installera modulen version 2402 från PowerShell-galleriet. Kör följande kommando från mappen där modulen finns:

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  Kommentar

  Se till att avinstallera tidigare versioner av modulen innan du installerar den nya versionen.

• Du har fått behörighet att skapa en organisationsenhet. Kontakta Active Directory-administratören om du inte har behörigheter.

• Om du har en brandvägg mellan ditt Azure Stack HCI-system och Active Directory kontrollerar du att rätt brandväggsregler har konfigurerats. Specifik vägledning finns i Brandväggskrav för Active Directory Web Services och Active Directory Gateway Management Service. Se även Så här konfigurerar du en brandvägg för Active Directory-domäner och -förtroenden.

Active Directory-förberedelsemodul

Cmdleten New-HciAdObjectsPreCreation för PowerShell-modulen AsHciADArtifactsPreCreationTool används för att förbereda Active Directory för Azure Stack HCI-distributioner. Här är de obligatoriska parametrarna som är associerade med cmdleten:

Parameter	Description
-AzureStackLCMUserCredential	Ett nytt användarobjekt som skapas med rätt behörigheter för distribution. Det här kontot är detsamma som det användarkonto som används av Azure Stack HCI-distributionen. Kontrollera att endast användarnamnet har angetts. Namnet ska inte innehålla domännamnet, contoso\usernametill exempel . Lösenordet måste uppfylla kraven på längd och komplexitet. Använd ett lösenord som är minst 12 tecken långt. Lösenordet måste också innehålla tre av de fyra kraven: ett gemener, ett versalt tecken, ett tal och ett specialtecken. Mer information finns i krav på lösenordskomplexitet. Namnet kan använda administratören som användarnamn.
-AsHciOUName	En ny organisationsenhet (OU) som lagrar alla objekt för Azure Stack HCI-distributionen. Befintliga grupprinciper och arv blockeras i den här organisationsenheten för att säkerställa att det inte finns någon konflikt med inställningarna. Organisationsenheten måste anges som det unika namnet (DN). Mer information finns i formatet Distinguished Names (Unika namn).

Kommentar

• Sökvägen -AsHciOUName stöder inte följande specialtecken någonstans i sökvägen: &,",',<,>.
• Det går inte heller att flytta datorobjekten till en annan organisationsenhet när distributionen är klar.

Förbereda Active Directory

När du förbereder Active Directory skapar du en dedikerad organisationsenhet (OU) för att placera Azure Stack HCI-relaterade objekt, till exempel distributionsanvändare.

Följ dessa steg för att skapa en dedikerad organisationsenhet:

1. Logga in på en dator som är ansluten till din Active Directory-domän.

2. Kör PowerShell som administratör.

3. Kör följande kommando för att skapa den dedikerade organisationsenheten.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. När du uppmanas till det anger du användarnamnet och lösenordet för distributionen.

   1. Kontrollera att endast användarnamnet har angetts. Namnet ska inte innehålla domännamnet, contoso\usernametill exempel . Användarnamnet måste innehålla mellan 1 och 64 tecken och får endast innehålla bokstäver, siffror, bindestreck och understreck och får inte börja med ett bindestreck eller tal.
   2. Kontrollera att lösenordet uppfyller kraven på komplexitet och längd. Använd ett lösenord som är minst 12 tecken långt och innehåller: ett gemener, ett versalt tecken, ett tal och ett specialtecken.

   Här är ett exempel på utdata från ett lyckat slutförande av skriptet:

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. Kontrollera att organisationsenheten har skapats. Om du använder en Windows Server-klient går du till Server Manager > Tools > Active Directory Användare och datorer.

6. En organisationsenhet med det angivna namnet ska skapas och inom den organisationsenheten visas distributionsanvändaren.

   

Kommentar

Om du reparerar en enskild server ska du inte ta bort den befintliga organisationsenheten. Om servervolymerna är krypterade tar OU bort BitLocker-återställningsnycklarna.

Nästa steg

• Ladda ned Azure Stack HCI, version 23H2-programvara på varje server i klustret.