Preparare Active Directory per la distribuzione locale di Azure, versione 23H2
Si applica a: Locale di Azure, versione 23H2
Questo articolo descrive come preparare l'ambiente Active Directory prima di distribuire Azure Local, versione 23H2.
I requisiti di Active Directory per Azure Local includono:
- Unità organizzativa dedicata.
- Ereditarietà dei criteri di gruppo bloccata per l'oggetto Criteri di gruppo applicabile.
- Un account utente con tutti i diritti per l'unità organizzativa in Active Directory.
- I computer non devono essere aggiunti ad Active Directory prima della distribuzione.
Nota
- È possibile usare il processo esistente per soddisfare i requisiti precedenti. Lo script usato in questo articolo è facoltativo e viene fornito per semplificare la preparazione.
- Quando l'ereditarietà dei criteri di gruppo viene bloccata a livello di unità organizzativa, gli oggetti Criteri di gruppo applicati non vengono bloccati. Assicurarsi che qualsiasi oggetto Criteri di gruppo applicabile, applicato, venga bloccato anche usando altri metodi, ad esempio usando filtri WMI o gruppi di sicurezza.
Per assegnare manualmente le autorizzazioni necessarie per Active Directory, creare un'unità organizzativa e bloccare l'ereditarietà degli oggetti Criteri di gruppo, vedere Configurazione di Active Directory personalizzata per l'istanza locale di Azure, versione 23H2.
Prerequisiti
Prima di iniziare, assicurarsi di aver eseguito le operazioni seguenti:
Soddisfare i prerequisiti per le nuove distribuzioni di Azure Local.
Scaricare e installare il modulo versione 2402 da PowerShell Gallery. Eseguire il comando seguente dalla cartella in cui si trova il modulo:
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
Nota
Assicurarsi di disinstallare le versioni precedenti del modulo prima di installare la nuova versione.
Sono state ottenute le autorizzazioni per creare un'unità organizzativa. Se non si dispone delle autorizzazioni, contattare l'amministratore di Active Directory.
Se si dispone di un firewall tra il sistema locale di Azure e Active Directory, assicurarsi che siano configurate le regole del firewall appropriate. Per indicazioni specifiche, vedere Requisiti del firewall per Servizi Web Active Directory e Servizio di gestione gateway Active Directory. Vedere anche Come configurare un firewall per domini e trust di Active Directory.
Modulo di preparazione di Active Directory
Il New-HciAdObjectsPreCreation
cmdlet del modulo PowerShell AsHciADArtifactsPreCreationTool viene usato per preparare Active Directory per le distribuzioni locali di Azure. Ecco i parametri obbligatori associati al cmdlet :
Parametro | Descrizione |
---|---|
-AzureStackLCMUserCredential |
Nuovo oggetto utente creato con le autorizzazioni appropriate per la distribuzione. Questo account corrisponde all'account utente usato dalla distribuzione locale di Azure. Assicurarsi che sia specificato solo il nome utente. Il nome non deve includere il nome di dominio, contoso\username ad esempio .La password deve essere conforme ai requisiti di lunghezza e complessità. Usare una password lunga almeno 12 caratteri. La password deve contenere anche tre dei quattro requisiti: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale. Per altre informazioni, vedere Requisiti di complessità delle password. Il nome può usare admin come nome utente. |
-AsHciOUName |
Nuova unità organizzativa (OU) per archiviare tutti gli oggetti per la distribuzione locale di Azure. I criteri di gruppo e l'ereditarietà esistenti vengono bloccati in questa unità organizzativa per assicurarsi che non vi sia alcun conflitto di impostazioni. L'unità organizzativa deve essere specificata come nome distinto (DN). Per altre informazioni, vedere il formato dei nomi distinti. |
Nota
- Il
-AsHciOUName
percorso non supporta i caratteri speciali seguenti all'interno del percorso:&,",',<,>
. - Anche lo spostamento degli oggetti computer in un'unità organizzativa diversa dopo il completamento della distribuzione non è supportato.
Preparare Active Directory
Quando si prepara Active Directory, si crea un'unità organizzativa dedicata per inserire gli oggetti correlati a Locale di Azure, ad esempio l'utente di distribuzione.
Per creare un'unità organizzativa dedicata, seguire questa procedura:
Accedere a un computer aggiunto al dominio di Active Directory.
Eseguire PowerShell come amministratore.
Eseguire il comando seguente per creare l'unità organizzativa dedicata.
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
Quando richiesto, specificare il nome utente e la password per la distribuzione.
- Assicurarsi che sia specificato solo il nome utente. Il nome non deve includere il nome di dominio,
contoso\username
ad esempio . Il nome utente deve essere compreso tra 1 e 64 caratteri e contenere solo lettere, numeri, trattini e caratteri di sottolineatura e potrebbe non iniziare con un trattino o un numero. - Assicurarsi che la password soddisfi i requisiti di complessità e lunghezza. Usare una password lunga almeno 12 caratteri e contiene: un carattere minuscolo, un carattere maiuscolo, un numero e un carattere speciale.
Di seguito è riportato un output di esempio di completamento dello script:
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>
- Assicurarsi che sia specificato solo il nome utente. Il nome non deve includere il nome di dominio,
Verificare che l'unità organizzativa sia stata creata. Se si usa un client Windows Server, passare a Strumenti > di Server Manager > Utenti e computer di Active Directory.
Verrà creata un'unità organizzativa con il nome specificato e all'interno dell'unità organizzativa verrà visualizzato l'utente della distribuzione.
Nota
Se si ripristina un singolo computer, non eliminare l'unità organizzativa esistente. Se i volumi del computer sono crittografati, l'eliminazione dell'unità organizzativa rimuove le chiavi di ripristino di BitLocker.
Passaggi successivi
- Scaricare il sistema operativo Azure Stack HCI versione 23H2 in ogni computer del sistema.