Configuração personalizada do Active Directory para o Azure Stack HCI, versão 23H2
Aplica-se a: Azure Stack HCI, versão 23H2
Este artigo descreve as permissões e os registros DNS necessários para a implantação do Azure Stack HCI, versão 23H2. O artigo também usa exemplos com etapas detalhadas sobre como atribuir permissões manualmente e criar registros DNS para seu ambiente do Active Directory.
A solução Azure Stack HCI é implantada em grandes Active Directories com processos e ferramentas estabelecidos para atribuir permissões. A Microsoft fornece um script de preparação do Active Directory que pode ser usado opcionalmente para a implantação do Azure Stack HCI. As permissões necessárias para o Active Directory, a criação da unidade organizacional e o bloqueio da herança de GPOs também podem ser configuradas manualmente.
Você também tem a opção do servidor DNS a ser usado, por exemplo, você pode usar servidores DNS da Microsoft que suportam a integração com o Active Directory para aproveitar as atualizações dinâmicas seguras. Se os servidores DNS da Microsoft não forem usados, você deverá criar um conjunto de registros DNS para a implantação e atualização da solução Azure Stack HCI.
Sobre os requisitos do Active Directory
Aqui estão alguns dos requisitos do Active Directory para a implantação do Azure Stack HCI.
Uma unidade organizacional (UO) dedicada é necessária para otimizar os tempos de consulta para a descoberta de objetos. Essa otimização é crítica para grandes Active Directories que abrangem vários sites. Essa UO dedicada só é necessária para os objetos de computador e o CNO do cluster de failover do Windows.
O usuário (também conhecido como usuário de implantação) requer as permissões necessárias na UO dedicada. O usuário pode residir em qualquer lugar do diretório.
O bloqueio da herança de diretiva de grupo é necessário para evitar conflitos de configurações provenientes de objetos de diretiva de grupo. O novo mecanismo introduzido com o Azure Stack HCI, versão 23H2, gerencia os padrões de segurança, incluindo a proteção contra desvios. Para obter mais informações, consulte Recursos de segurança do Azure Stack HCI, versão 23H2.
Os objetos de conta de computador e o cluster CNO podem ser pré-criados usando o usuário de implantação como uma alternativa à própria implantação que os cria.
Permissões necessárias
As permissões exigidas pelo objeto de usuário referenciado como usuário de implantação têm escopo para serem aplicáveis somente à UO dedicada. As permissões podem ser resumidas como ler, criar e excluir objetos de computador com a capacidade de recuperar informações de recuperação do BitLocker.
Aqui está uma tabela que contém as permissões necessárias para o usuário de implantação e o CNO do cluster sobre a UO e todos os objetos descendentes.
| Função | Descrição das permissões atribuídas |
|---|---|
| Usuário de implantação sobre UO e todos os objetos descendentes | Listar conteúdo. Leia todas as propriedades. Permissões de leitura. Crie objetos de computador. Exclua objetos de computador. |
| Usuário de implantação sobre UO, mas aplicado apenas a objetos msFVE-Recoveryinformation descendentes | Controle total. Listar conteúdo. Leia todas as propriedades. Escreva todas as propriedades. Delete. Permissões de leitura. Modifique as permissões. Modifique o proprietário. Todas as gravações validadas. |
| Agrupe o CNO sobre a UO aplicada a este objeto e a todos os objetos descendentes | Leia todas as propriedades. Crie objetos de computador. |
Atribuir permissões usando o PowerShell
Você pode usar cmdlets do PowerShell para atribuir permissões apropriadas ao usuário de implantação na UO. O exemplo a seguir mostra como você pode atribuir as permissões necessárias a um deploymentuser na UO HCI001 que reside no domínio do Active Directory contoso.com.
Observação
O script exige que você pré-crie o objeto de usuário New-ADUser e a UO no Active Directory. Para obter mais informações sobre como bloquear a herança de política de grupo, consulte Set-GPInheritance.
Execute os seguintes cmdlets do PowerShell para importar o módulo do Active Directory e atribuir as permissões necessárias:
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
Registros DNS necessários
Se o servidor DNS não der suporte a atualizações dinâmicas seguras, você deverá criar os registros DNS necessários antes de implantar o sistema Azure Stack HCI.
A tabela a seguir contém os registros e tipos de DNS necessários:
| Objeto | Tipo |
|---|---|
| Nome do computador | Anfitrião A |
| Cluster CNO | Anfitrião A |
| Cluster VCO | Anfitrião A |
Observação
Cada computador que se torna parte do cluster do Azure Stack HCI requer um registro DNS.
Exemplo - verifique se o registro DNS existe
Para verificar se o registro DNS existe, execute o seguinte comando:
nslookup "machine name"
Namespace não contíguo
Um namespace não contíguo ocorre quando o sufixo DNS primário de um ou mais computadores membros do domínio não corresponde ao nome DNS do domínio do Active Directory. Por exemplo, se um computador tiver um nome DNS de corp.contoso.com mas fizer parte de um domínio do Active Directory chamado na.corp.contoso.com, ele estará usando um namespace não contíguo.
Antes de implantar o Azure Stack HCI versão 23H2, você deve:
- Anexe o sufixo DNS ao adaptador de gerenciamento de cada nó.
- Verifique se você pode resolver o nome do host para o FQDN do Active Directory.
Exemplo - anexar o sufixo DNS
Para acrescentar o sufixo DNS, execute o seguinte comando:
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
Exemplo - resolver o nome do host para o FQDN
Para resolver o nome do host para o FQDN, execute o seguinte comando:
nslookup node1.na.corp.contoso.com
Observação
Você não pode usar políticas de grupo para configurar a lista de sufixos DNS com o Azure Stack HCI, versão 23H2.
CAU (Atualização com reconhecimento de cluster)
A atualização com reconhecimento de cluster aplica um ponto de acesso do cliente (Objeto de Computador Virtual) que requer um registro DNS.
Em ambientes em que as atualizações dinâmicas seguras não são possíveis, é necessário criar manualmente o VCO (Objeto de Computador Virtual). Para obter mais informações sobre como criar o VCO, consulte Pré-configurar objetos de computador de cluster nos Serviços de Domínio Active Directory.
Observação
Certifique-se de desabilitar a atualização de DNS dinâmico no cliente DNS do Windows. Essa configuração é protegida pelo controle de descompasso e é incorporada à ATC de Rede. Crie o VCO imediatamente após desabilitar as atualizações dinâmicas para evitar a reversão de desvios. Para obter mais informações sobre como alterar essa configuração protegida, consulte Modificar padrões de segurança.
Exemplo – desabilitar atualização dinâmica
Para desativar a atualização dinâmica, execute o seguinte comando:
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
Próximas etapas
Prossiga para:
- Baixe o software do sistema operacional do Azure Stack HCI.
- Instale o software do sistema operacional do Azure Stack HCI.