Vorbereiten von Active Directory für die Bereitstellung von Azure Stack HCI, Version 23H2

  • Artikel

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie Ihre Active Directory-Umgebung vorbereiten, bevor Sie Azure Stack HCI, Version 23H2, bereitstellen.

Zu den Active Directory-Anforderungen für Azure Stack HCI gehören:

  • Eine dedizierte Organisationseinheit (OU).
  • Gruppenrichtlinienvererbung, die für das entsprechende Gruppenrichtlinienobjekt (Group Policy Object, GPO) blockiert ist.
  • Ein Benutzerkonto, das alle Rechte für die OU in Active Directory besitzt.
  • Computer dürfen vor der Bereitstellung nicht mit Active Directory verbunden werden.

Hinweis

  • Sie können Ihren vorhandenen Prozess verwenden, um die oben genannten Anforderungen zu erfüllen. Das in diesem Artikel verwendete Skript ist optional und wird bereitgestellt, um die Vorbereitung zu vereinfachen.
  • Wenn die Gruppenrichtlinienvererbung auf OU-Ebene blockiert wird, werden erzwungene Gruppenrichtlinienobjekte nicht blockiert. Stellen Sie sicher, dass alle anwendbaren Gruppenrichtlinienobjekte, die erzwungen werden, auch mit anderen Methoden blockiert werden, z. B. mit WMI-Filtern oder Sicherheitsgruppen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Schritte ausgeführt haben:

  • Erfüllen Sie die Voraussetzungen für neue Bereitstellungen von Azure Stack HCI.

  • Laden Sie das Modul Version 2402 aus dem PowerShell-Katalog herunter, und installieren Sie es. Führen Sie den folgenden Befehl aus dem Ordner aus, in dem sich das Modul befindet:

    Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force

    Hinweis

    Stellen Sie sicher, dass Sie alle früheren Versionen des Moduls deinstallieren, bevor Sie die neue Version installieren.

  • Sie haben Berechtigungen zum Erstellen einer OE erhalten. Wenn Sie nicht über Berechtigungen verfügen, wenden Sie sich an Ihren Active Directory-Administrator.

  • Wenn Sie über eine Firewall zwischen Ihrem Azure Stack HCI-System und Active Directory verfügen, stellen Sie sicher, dass die richtigen Firewallregeln konfiguriert sind. Spezifische Anleitungen finden Sie unter Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen.

Active Directory-Vorbereitungsmodul

Das New-HciAdObjectsPreCreation Cmdlet des AsHciADArtifactsPreCreationTool PowerShell-Moduls wird verwendet, um Active Directory für Azure Stack HCI-Bereitstellungen vorzubereiten. Im Folgenden sind die erforderlichen Parameter aufgeführt, die dem Cmdlet zugeordnet sind:

Parameter Beschreibung
-AzureStackLCMUserCredential Ein neues Benutzerobjekt, das mit den entsprechenden Berechtigungen für die Bereitstellung erstellt wird. Dieses Konto entspricht dem Benutzerkonto, das von der Azure Stack HCI-Bereitstellung verwendet wird.
Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, contoso\usernamez. B. .
Das Kennwort muss den Längen- und Komplexitätsanforderungen entsprechen. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist. Das Kennwort muss auch drei der vier Anforderungen enthalten: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen.
Weitere Informationen finden Sie unter Kennwortkomplexitätsanforderungen.
Der Name kann den Administrator als Benutzernamen verwenden.
-AsHciOUName Eine neue Organisationseinheit (OU), um alle Objekte für die Azure Stack HCI-Bereitstellung zu speichern. Vorhandene Gruppenrichtlinien und Vererbung werden in dieser OU blockiert, um sicherzustellen, dass es keinen Konflikt mit Einstellungen gibt. Die OU muss als Distinguished Name (DN) angegeben werden. Weitere Informationen finden Sie im Format von Distinguished Names.

Hinweis

  • Der -AsHciOUName Pfad unterstützt die folgenden Sonderzeichen nicht an einer beliebigen Stelle im Pfad: &,",',<,>
  • Das Verschieben der Computerobjekte in eine andere OU nach Abschluss der Bereitstellung wird ebenfalls nicht unterstützt.

Vorbereiten von Active Directory

Wenn Sie Active Directory vorbereiten, erstellen Sie eine dedizierte Organisationseinheit (OU), um die mit Azure Stack HCI zusammenhängenden Objekte wie z. B. Bereitstellungsbenutzer zu platzieren.

Führen Sie die folgenden Schritte aus, um eine dedizierte OU zu erstellen:

  1. Melden Sie sich bei einem Computer an, der ihrer Active Directory-Domäne beigetreten ist.

  2. Führen Sie PowerShell als Administrator aus.

  3. Führen Sie den folgenden Befehl aus, um die dedizierte OU zu erstellen.

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. Wenn Sie dazu aufgefordert werden, geben Sie den Benutzernamen und das Kennwort für die Bereitstellung an.

    1. Stellen Sie sicher, dass nur der Benutzername angegeben wird. Der Name sollte nicht den Domänennamen enthalten, contoso\usernamez. B. . Der Benutzername darf zwischen 1 und 64 Zeichen bestehen und darf nur Buchstaben, Zahlen, Bindestriche und Unterstriche enthalten und darf nicht mit einem Bindestrich oder einer Zahl beginnen.
    2. Stellen Sie sicher, dass das Kennwort komplexitäts- und längenanforderungen erfüllt. Verwenden Sie ein Kennwort, das mindestens 12 Zeichen lang ist und enthält: ein Kleinbuchstaben, ein Großbuchstaben, ein Zahlenzeichen und ein Sonderzeichen.

    Hier ist eine Beispielausgabe aus einem erfolgreichen Abschluss des Skripts:

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. Stellen Sie sicher, dass die OU erstellt wird. Wenn Sie einen Windows Server-Client verwenden, wechseln Sie zu Server-Manager > Tools > Active Directory-Benutzer und -Computer.

  6. Eine OU mit dem angegebenen Namen sollte erstellt werden, und in dieser OU wird der Bereitstellungsbenutzer angezeigt.

    Screenshot des Fensters

Hinweis

Wenn Sie einen einzelnen Server reparieren, löschen Sie die vorhandene OE nicht. Wenn die Servervolumes verschlüsselt sind, entfernt das Löschen der OE die BitLocker-Wiederherstellungsschlüssel.

Nächste Schritte