Verifiera Azure-identitet
Använd Azure Stack Hub Readiness Checker (AzsReadinessChecker) för att verifiera att din Azure Active Directory (Azure AD) är redo att användas med Azure Stack Hub. Verifiera din Azure-identitetslösning innan du påbörjar en Azure Stack Hub distribution.
Beredskapskontrollen verifierar:
- Azure AD som identitetsprovider för Azure Stack Hub.
- Det Azure AD-konto som du planerar att använda kan logga in som global administratör för din Azure AD.
Verifieringen säkerställer att din miljö är Azure Stack Hub att lagra information om användare, program, grupper och tjänstens huvudnamn från Azure Stack Hub i Azure AD.
Hämta beredskapskontrollverktyget
Ladda ned den senaste versionen av Azure Stack Hub Readiness Checker(AzsReadinessChecker) från PowerShell-galleriet.
Installera och konfigurera
Förutsättningar
Följande krav är uppfyllda:
Az PowerShell-moduler
Du måste ha Az PowerShell-modulerna installerade. Instruktioner finns i Installera PowerShell Az preview-modulen.
Azure Active Directory (Azure AD)-miljö
- Identifiera det Azure AD-konto som ska Azure Stack Hub och se till att det är en global Azure AD-administratör.
- Identifiera namnet på din Azure AD-klientorganisation. Klientnamnet måste vara det primära domännamnet för din Azure AD. Till exempel contoso.onmicrosoft.com.
Steg för att verifiera Azure-identitet
På en dator som uppfyller kraven öppnar du en upphöjd PowerShell-kommandotolk och kör sedan följande kommando för att installera AzsReadinessChecker:
Install-Module -Name Az.BootStrapper -Force -AllowPrerelease Install-AzProfile -Profile 2020-09-01-hybrid -Force Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrereleaseKör följande kommando från PowerShell-prompten. Ersätt
contoso.onmicrosoft.commed namnet på din Azure AD-klientorganisation:Connect-AzAccount -tenant contoso.onmicrosoft.comKör följande kommando från PowerShell-prompten för att starta valideringen av Azure AD. Ersätt
contoso.onmicrosoft.commed namnet på din Azure AD-klientorganisation:Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.comGranska utdata när verktyget har körs. Bekräfta att statusen är OK för installationskraven. En lyckad validering visas som i följande exempel:
Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started. Starting Azure Identity Validation Checking Installation Requirements: OK Finished Azure Identity Validation Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json Invoke-AzsAzureIdentityValidation Completed
Rapport- och loggfil
Varje gång valideringen körs loggar den resultat till AzsReadinessChecker.log och AzsReadinessCheckerReport.json. Platsen för de här filerna visas med valideringsresultaten i PowerShell.
De här filerna kan hjälpa dig att dela valideringsstatus innan du Azure Stack Hub eller undersöka verifieringsproblem. Båda filerna sparar resultaten från varje efterföljande valideringskontroll. Rapporten ger distributionsteamet en bekräftelse på identitetskonfigurationen. Loggfilen kan hjälpa ditt distributions- eller supportteam att undersöka verifieringsproblem.
Som standard skrivs båda filerna till C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.
-OutputPath <path>Använd parametern i slutet av kommandoraden för att ange en annan rapportplats.-CleanReportAnvänd parametern i slutet av körningskommandot för att rensa information om tidigare körningar av verktyget från-CleanReport.
Mer information finns i Azure Stack Hub verifieringsrapport.
Valideringsfel
Om en valideringskontroll misslyckas visas information om felet i PowerShell-fönstret. Verktyget loggar också information till filen AzsReadinessChecker.log.
Följande exempel ger vägledning om vanliga verifieringsfel.
Lösenordet har upphört att gälla eller är tillfälligt
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Orsak – Kontot kan inte logga in eftersom lösenordet antingen har upphört att gälla eller är tillfälligt.
Lösning – Kör följande kommando i PowerShell och följ sedan anvisningarna för att återställa lösenordet:
Login-AzureRMAccount
Ett annat sätt är att logga in Azure Portal som kontoägare och användaren tvingas ändra lösenordet.
Okänd användartyp
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Orsak – Kontot kan inte logga in på angiven Azure AD (AADDirectoryTenantName). I det här exemplet anges AzureChinaCloud som AzureEnvironment.
Lösning – Bekräfta att kontot är giltigt för den angivna Azure-miljön. Kör följande kommando i PowerShell för att verifiera att kontot är giltigt för en specifik miljö:
Login-AzureRmAccount -EnvironmentName AzureChinaCloud
Kontot är inte en administratör
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Orsak – Även om kontot kan logga in är kontot inte administratör för Azure AD (AADDirectoryTenantName).
Lösning – Logga in på Azure Portal som kontoägare, gå till Azure Active Directory, sedan Användare och välj användaren. Välj sedan Katalogroll och se till att användaren är en Global administratör. Om kontot är en användare går dutill Azure Active DirectoryAnpassade domännamn och bekräftar att det namn som du angav för AADDirectoryTenantName är markerat som primärt domännamn för den här katalogen. I det här exemplet är det contoso.onmicrosoft.com.
Azure Stack Hub kräver att domännamnet är det primära domännamnet.
Nästa steg
Verifiera Azure-registrering
Visa beredskapsrapporten
Allmänna Azure Stack Hub för integrering