为 Azure Stack HCI 版本 23H2 部署准备 Active Directory

适用于：Azure Stack HCI 版本 23H2

本文介绍如何在部署 Azure Stack HCI 版本 23H2 之前准备 Active Directory 环境。

Azure Stack HCI 的 Active Directory 要求包括：

• 专用组织单位 (OU) 。
• 为适用的 组策略 对象 (GPO) 阻止的组策略继承。
• 对 Active Directory 中的 OU 拥有所有权限的用户帐户。

注意

• 可以使用现有流程来满足上述要求。 本文中使用的脚本是可选的，提供该脚本以简化准备工作。
• 在 OU 级别阻止组策略继承时，不会阻止强制实施的 GPO。 确保使用其他方法（例如，使用 WMI 筛选器 或 安全组）阻止强制实施的任何适用 GPO。

先决条件

在开始之前，请确保已完成以下操作：

• 满足新部署 Azure Stack HCI 的 先决条件 。

• 从 PowerShell 库下载并安装版本 2402 模块。 从模块所在的文件夹中运行以下命令：

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  注意

  在安装新版本之前，请确保卸载该模块的任何早期版本。

• 你已获得创建 OU 的权限。 如果没有权限，请与 Active Directory 管理员联系。

• 如果 Azure Stack HCI 系统和 Active Directory 之间有防火墙，请确保配置了正确的防火墙规则。 有关具体指南，请参阅 如何为 Active Directory 域和信任配置防火墙。

Active Directory 准备模块

AsHciADArtifactsPreCreationTool.ps1 模块用于准备 Active Directory。 下面是与 cmdlet 关联的必需参数：

参数	说明
-AzureStackLCMUserCredential	使用适当的部署权限创建的新用户对象。 此帐户与 Azure Stack HCI 部署使用的用户帐户相同。 请确保仅提供用户名。 该名称不应包含域名，例如 contoso\username。 密码必须符合长度和复杂性要求。 使用长度至少为 12 个字符的密码。 密码还必须包含四个要求中的三个：小写字符、大写字符、数字和特殊字符。 有关详细信息，请参阅 密码复杂性要求。 该名称可以使用 admin 作为用户名。
-AsHciOUName	新的组织单位 (OU) 存储 Azure Stack HCI 部署的所有对象。 此 OU 中会阻止现有的组策略和继承，以确保没有设置冲突。 必须将 OU 指定为 DN) (可分辨名称。 有关详细信息，请参阅 可分辨名称的格式。

注意

• 路径 -AsHciOUName 不支持路径 - &,”,’,<,>中的任意位置的以下特殊字符。
• 也不支持在部署完成后将计算机对象移动到其他 OU。

准备 Active Directory

准备 Active Directory 时，请创建专用组织单位 (OU) 来放置与 Azure Stack HCI 相关的对象，例如部署用户。

若要创建专用 OU，请执行以下步骤：

1. 登录到已加入 Active Directory 域的计算机。

2. 以管理员身份运行 PowerShell。

3. 运行以下命令以创建专用 OU。

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. 出现提示时，提供部署的用户名和密码。

   1. 请确保仅提供用户名。 该名称不应包含域名，例如 contoso\username。 用户名必须介于 1 到 64 个字符之间，并且只能包含字母、数字、连字符和下划线，并且不能以连字符或数字开头。
   2. 确保密码满足复杂性和长度要求。 使用长度至少为 12 个字符且包含的密码：小写字符、大写字符、数字和特殊字符。

   下面是成功完成脚本的示例输出：

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. 验证是否已创建 OU。 如果使用 Windows Server 客户端，请转到 服务器管理器 > 工具>Active Directory 用户和计算机。

6. 应创建具有指定名称的 OU，在该 OU 中，你将看到部署用户。

   

注意

如果要修复单个服务器，请不要删除现有 OU。 如果服务器卷已加密，则删除 OU 会删除 BitLocker 恢复密钥。

后续步骤

• 在群集中的每个服务器上下载 Azure Stack HCI 版本 23H2 软件。