Active Directory'yi Azure Stack HCI, sürüm 23H2 dağıtımı için hazırlama
Şunlar için geçerlidir: Azure Stack HCI, sürüm 23H2
Bu makalede, Azure Stack HCI, sürüm 23H2'yi dağıtmadan önce Active Directory ortamınızı nasıl hazırlayabileceğiniz açıklanır.
Azure Stack HCI için Active Directory gereksinimleri şunlardır:
- Ayrılmış bir Kuruluş Birimi (OU).
- İlgili Grup İlkesi Nesnesi (GPO) için engellenen grup ilkesi devralma.
- Active Directory'deki OU üzerinde tüm hakları olan bir kullanıcı hesabı.
- Makinelerin dağıtımdan önce Active Directory'ye katılmaması gerekir.
Not
- Yukarıdaki gereksinimleri karşılamak için mevcut sürecinizi kullanabilirsiniz. Bu makalede kullanılan betik isteğe bağlıdır ve hazırlığı basitleştirmek için sağlanır.
- Grup ilkesi devralma OU düzeyinde engellendiğinde, zorlanan GPO'lar engellenmez. Uygulanan tüm geçerli GPO'ların, wmi filtreleri veya güvenlik grupları gibi başka yöntemler kullanılarak da engellenmesini sağlayın.
Active Directory için gerekli izinleri el ile atamak, bir OU oluşturmak ve GPO devralmayı engellemek için bkz . Azure Stack HCI'niz için özel Active Directory yapılandırması, sürüm 23H2.
Önkoşullar
Başlamadan önce aşağıdakileri yaptığınızdan emin olun:
Azure Stack HCI'nin yeni dağıtımları için önkoşulları karşılar.
PowerShell Galerisi sürüm 2402 modülünü indirin ve yükleyin. Modülün bulunduğu klasörden aşağıdaki komutu çalıştırın:
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
Not
Yeni sürümü yüklemeden önce modülün önceki sürümlerini kaldırdığınızdan emin olun.
OU oluşturmak için izinler edindiniz. İzinleriniz yoksa Active Directory yöneticinize başvurun.
Azure Stack HCI sisteminizle Active Directory arasında bir güvenlik duvarınız varsa, uygun güvenlik duvarı kurallarının yapılandırıldığından emin olun. Belirli yönergeler için bkz . Active Directory Web Hizmetleri ve Active Directory Ağ Geçidi Yönetim Hizmeti için güvenlik duvarı gereksinimleri. Ayrıca bkz. Active Directory etki alanları ve güvenleri için güvenlik duvarı yapılandırma.
Active Directory hazırlık modülü
New-HciAdObjectsPreCreation
AsHciADArtifactsPreCreationTool PowerShell modülünün cmdlet'i, Active Directory'yi Azure Stack HCI dağıtımlarına hazırlamak için kullanılır. cmdlet'iyle ilişkili gerekli parametreler şunlardır:
Parametre | Açıklama |
---|---|
-AzureStackLCMUserCredential |
Dağıtım için uygun izinlerle oluşturulan yeni bir kullanıcı nesnesi. Bu hesap, Azure Stack HCI dağıtımı tarafından kullanılan kullanıcı hesabıyla aynıdır. Yalnızca kullanıcı adının sağlandığından emin olun. Ad, etki alanı adını (örneğin, contoso\username ) içermemelidir.Parolanın uzunluk ve karmaşıklık gereksinimlerine uygun olması gerekir. En az 12 karakter uzunluğunda bir parola kullanın. Parola ayrıca dört gereksinimden üç tane içermelidir: küçük harf karakter, büyük harf karakter, sayı ve özel karakter. Daha fazla bilgi için bkz . Parola karmaşıklığı gereksinimleri. Ad, kullanıcı adı olarak admin kullanabilir. |
-AsHciOUName |
Azure Stack HCI dağıtımına yönelik tüm nesneleri depolamak için yeni bir Kuruluş Birimi (OU). Ayarlarda çakışma olmadığından emin olmak için bu OU'da mevcut grup ilkeleri ve devralma engellenir. OU ayırt edici ad (DN) olarak belirtilmelidir. Daha fazla bilgi için Bkz. Ayırt Edici Adlar biçimi. |
Not
- Yol,
-AsHciOUName
yolun herhangi bir yerinde aşağıdaki özel karakterleri desteklemez:&,",',<,>
. - Dağıtım tamamlandıktan sonra bilgisayar nesnelerinin farklı bir OU'ya taşınması da desteklenmez.
Active Directory'i hazırlama
Active Directory'yi hazırlarken, dağıtım kullanıcısı gibi Azure Stack HCI ile ilgili nesneleri yerleştirmek için ayrılmış bir Kuruluş Birimi (OU) oluşturursunuz.
Ayrılmış bir OU oluşturmak için şu adımları izleyin:
Active Directory etki alanınıza katılmış bir bilgisayarda oturum açın.
PowerShell'i yönetici olarak çalıştırın.
Ayrılmış OU'ları oluşturmak için aşağıdaki komutu çalıştırın.
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
İstendiğinde, dağıtım için kullanıcı adını ve parolayı belirtin.
- Yalnızca kullanıcı adının sağlandığından emin olun. Ad, etki alanı adını (örneğin,
contoso\username
) içermemelidir. Kullanıcı adı 1 ile 64 karakter arasında olmalı ve yalnızca harf, sayı, kısa çizgi ve alt çizgi içermelidir ve kısa çizgi veya sayıyla başlanmamalıdır. - Parolanın karmaşıklık ve uzunluk gereksinimlerini karşıladığından emin olun. En az 12 karakter uzunluğunda ve şunu içeren bir parola kullanın: küçük harf karakter, büyük harf karakter, sayı ve özel karakter.
Betiğin başarıyla tamamlanmasının örnek çıktısı aşağıda verilmiştir:
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>
- Yalnızca kullanıcı adının sağlandığından emin olun. Ad, etki alanı adını (örneğin,
OU'nin oluşturulduğunu doğrulayın. Windows Server istemcisi kullanıyorsanız Sunucu Yöneticisi Araçları > Active Directory Kullanıcıları ve Bilgisayarları'ne> gidin.
Belirtilen ada sahip bir OU oluşturulmalıdır ve bu OU'nun içinde dağıtım kullanıcısını görürsünüz.
Not
Tek bir sunucuyu onarıyorsanız, mevcut OU'yu silmeyin. Sunucu birimleri şifrelenirse, OU silindiğinde BitLocker kurtarma anahtarları kaldırılır.