Benutzerdefinierte Active Directory-Konfiguration für Ihr lokales Azure, Version 23H2
Gilt für: Azure Local, Version 23H2
In diesem Artikel werden die Berechtigungen und die DNS-Einträge beschrieben, die für die lokale Azure-Bereitstellung, Version 23H2, erforderlich sind. Der Artikel verwendet außerdem Beispiele mit detaillierten Schritten zum manuellen Zuweisen von Berechtigungen und Erstellen von DNS-Einträgen für Ihre Active Directory-Umgebung.
Die lokale Azure-Lösung wird in großen Active Verzeichnissen mit etablierten Prozessen und Tools zum Zuweisen von Berechtigungen bereitgestellt. Microsoft stellt ein Active Directory-Vorbereitungsskript bereit, das optional für die lokale Azure-Bereitstellung verwendet werden kann. Die erforderlichen Berechtigungen für Active Directory, die Erstellung der Organisationseinheit und das Blockieren der Vererbung von GPOs können alle auch manuell konfiguriert werden.
Sie haben auch die Wahl, den DNS-Server zu verwenden, z. B. können Sie Microsoft DNS-Server verwenden, die die Integration in Active Directory unterstützen, um sichere dynamische Updates zu nutzen. Wenn Microsoft DNS-Server nicht verwendet werden, müssen Sie eine Reihe von DNS-Einträgen für die Bereitstellung und Aktualisierung der lokalen Azure-Lösung erstellen.
Informationen zu Active Directory-Anforderungen
Hier sind einige der Active Directory-Anforderungen für die lokale Azure-Bereitstellung.
Eine dedizierte Organisationseinheit (OU) ist erforderlich, um Abfragezeiten für die Objektermittlung zu optimieren. Diese Optimierung ist für große Aktive Verzeichnisse von entscheidender Bedeutung, die mehrere Websites umfassen. Diese dedizierte OU ist nur für die Computerobjekte und den Windows-Failovercluster CNO erforderlich.
Der Benutzer (auch als Bereitstellungsbenutzer bezeichnet) erfordert die erforderlichen Berechtigungen für die dedizierte OU. Der Benutzer kann sich an einer beliebigen Stelle im Verzeichnis befinden.
Das Blockieren der Vererbung von Gruppenrichtlinien ist erforderlich, um Konflikte mit Einstellungen aus Gruppenrichtlinienobjekten zu verhindern. Das neue Modul, das mit Azure Local, Version 23H2 eingeführt wurde, verwaltet Sicherheitsstandardwerte, einschließlich des Driftschutzes. Weitere Informationen finden Sie unter Sicherheitsfeatures für Azure Local, Version 23H2.
Computerkontoobjekte und Cluster-CNO können mithilfe des Bereitstellungsbenutzers als Alternative zur Bereitstellung selbst erstellt werden.
Erforderliche Berechtigungen
Die Berechtigungen, die für das Benutzerobjekt erforderlich sind, auf das als Bereitstellungsbenutzer verwiesen wird, gilt nur für die dedizierte OE. Die Berechtigungen können als Gelesene, Erstellung und Löschung von Computerobjekten zusammengefasst werden, mit der Möglichkeit, BitLocker-Wiederherstellungsinformationen abzurufen.
Hier ist eine Tabelle, die die berechtigungen enthält, die für den Bereitstellungsbenutzer und den Cluster-CNO über die OU und alle untergeordneten Objekte erforderlich sind.
| Role | Beschreibung der zugewiesenen Berechtigungen |
|---|---|
| Bereitstellungsbenutzer über OU und alle untergeordneten Objekte | Listeninhalt. Alle Eigenschaften lesen. Leseberechtigungen. Erstellen Sie Computerobjekte. Computerobjekte löschen. |
| Bereitstellungsbenutzer über OU, jedoch nur auf untergeordnete msFVE-Recoveryinformationsobjekte angewendet | Volle Kontrolle. Listeninhalt. Alle Eigenschaften lesen. Schreiben Sie alle Eigenschaften. Löschen Leseberechtigungen. Berechtigungen ändern. Besitzer ändern. Alle überprüften Schreibvorgänge. |
| Cluster-CNO über die OU, die auf dieses Objekt und alle untergeordneten Objekte angewendet wurde | Alle Eigenschaften lesen. Erstellen sie Computerobjekte. |
Zuweisen von Berechtigungen mithilfe von PowerShell
Sie können PowerShell-Cmdlets verwenden, um den Bereitstellungsbenutzern über ou entsprechende Berechtigungen zuzuweisen. Das folgende Beispiel zeigt, wie Sie einem DeploymentUser die erforderlichen Berechtigungen für die OU HCI001 zuweisen können, die sich in der Active Directory-Domäne contoso.com befindet.
Hinweis
Für das Skript müssen Sie das Benutzerobjekt "New-ADUser " und " OU " in Active Directory vorab erstellen. Weitere Informationen zum Blockieren der Vererbung von Gruppenrichtlinien finden Sie unter Set-GPInheritance.
Führen Sie die folgenden PowerShell-Cmdlets aus, um das Active Directory-Modul zu importieren und erforderliche Berechtigungen zuzuweisen:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Erforderliche DNS-Einträge
Wenn Ihr DNS-Server keine sicheren dynamischen Updates unterstützt, müssen Sie erforderliche DNS-Einträge erstellen, bevor Sie Ihr lokales Azure-System bereitstellen.
Die folgende Tabelle enthält die erforderlichen DNS-Einträge und -Typen:
| Objekt | type |
|---|---|
| Computername | Host A |
| Cluster-CNO | Host A |
| Cluster-VCO | Host A |
Hinweis
Jeder Computer, der Teil des lokalen Azure-Systems wird, erfordert einen DNS-Eintrag.
Beispiel: Überprüfen, ob der DNS-Eintrag vorhanden ist
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der DNS-Eintrag vorhanden ist:
nslookup "machine name"
Nicht zusammenhängender Namespace
Ein nicht zusammenhängender Namespace tritt auf, wenn das primäre DNS-Suffix eines oder mehrerer Domänenmitgliedscomputer nicht mit dem DNS-Namen ihrer Active Directory-Domäne übereinstimmt. Wenn ein Computer beispielsweise einen DNS-Namen von corp.contoso.com hat, aber Teil einer Active Directory-Domäne mit dem Namen na.corp.contoso.com ist, wird ein nicht zusammenhängender Namespace verwendet.
Vor der Bereitstellung von Azure Local, Version 23H2, müssen Sie:
- Fügen Sie das DNS-Suffix an den Verwaltungsadapter jedes Knotens an.
- Überprüfen Sie, ob Sie den Hostnamen in den FQDN des Active Directory auflösen können.
Beispiel: Anfügen des DNS-Suffixes
Führen Sie den folgenden Befehl aus, um das DNS-Suffix anzufügen:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Beispiel: Auflösen des Hostnamens in den FQDN
Führen Sie den folgenden Befehl aus, um den Hostnamen in den FQDN aufzulösen:
nslookup node1.na.corp.contoso.com
Hinweis
Sie können gruppenrichtlinien nicht verwenden, um die DNS-Suffixliste mit Azure Local, Version 23H2, zu konfigurieren.
Clusterfähige Aktualisierung (CAU)
Cluster aware updating applies a client access point (Virtual Computer Object) that requires a DNS record.
In Umgebungen, in denen dynamische sichere Updates nicht möglich sind, müssen Sie das Virtuelle Computerobjekt (Virtual Computer Object, VCO) manuell erstellen. Weitere Informationen zum Erstellen des VCO finden Sie unter Prestage-Clustercomputerobjekte in Active Directory-Domäne Services.
Hinweis
Deaktivieren Sie das dynamische DNS-Update im Windows-DNS-Client. Diese Einstellung wird durch das Driftsteuerelement geschützt und ist in das Netzwerk-ATC integriert. Erstellen Sie die VCO unmittelbar nach dem Deaktivieren dynamischer Updates, um den Driftrollback zu vermeiden. Weitere Informationen zum Ändern dieser geschützten Einstellung finden Sie unter "Ändern von Sicherheitsstandardeinstellungen".
Beispiel : Dynamisches Update deaktivieren
Führen Sie zum Deaktivieren der dynamischen Aktualisierung den folgenden Befehl aus:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Nächste Schritte
Sich begeben zu: