Azure Stack HCI バージョン 23H2 デプロイ用に Active Directory を準備する
適用対象: Azure Stack HCI バージョン 23H2
この記事では、Azure Stack HCI バージョン 23H2 をデプロイする前に Active Directory 環境を準備する方法について説明します。
Azure Stack HCI の Active Directory の要件は次のとおりです。
- 専用の組織単位 (OU)。
- 該当するグループ ポリシー オブジェクト (GPO) に対してブロックされているグループ ポリシーの継承。
- Active Directory 内の OU に対するすべての権限を持つユーザー アカウント。
- 展開前に、マシンを Active Directory に参加させる必要はありません。
Note
- 既存のプロセスを使用して、上記の要件を満たすことができます。 この記事で使用するスクリプトは省略可能であり、準備を簡略化するために用意されています。
- グループ ポリシーの継承が OU レベルでブロックされている場合、適用された GPO はブロックされません。 適用される該当する GPO も、 WMI フィルター、 セキュリティ グループの使用など、他の方法を使用してブロックされていることを確認。
Active Directory に必要なアクセス許可を手動で割り当て、OU を作成し、GPO の継承をブロックするには、Azure Stack HCI バージョン 23H2 の Custom Active Directory 構成を参照してください。
前提条件
開始する前に、次の作業が完了していることを確認します。
Azure Stack HCI の新しいデプロイの 前提条件 を満たす。
PowerShell ギャラリーからバージョン 2402 モジュールをダウンロードしてインストールします。 モジュールが配置されているフォルダーから次のコマンドを実行します。
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -ForceNote
新しいバージョンをインストールする前に、モジュールの以前のバージョンをアンインストールしてください。
OU を作成するためのアクセス許可を取得しました。 アクセス許可がない場合は、Active Directory 管理者に問い合わせてください。
Azure Stack HCI システムと Active Directory の間にファイアウォールがある場合は、適切なファイアウォール規則が構成されていることを確認します。 具体的なガイダンスについては、「 Active Directory Web サービスと Active Directory ゲートウェイ管理サービスのファイアウォール要件を参照してください。 「 Active Directory ドメインと信頼のファイアウォールを構成する方法も参照してください。
Active Directory 準備モジュール
AsHciADArtifactsPreCreationTool PowerShell モジュールの New-HciAdObjectsPreCreation コマンドレットは、Azure Stack HCI デプロイ用に Active Directory を準備するために使用されます。 コマンドレットに関連付けられている必須パラメーターを次に示します。
| パラメーター | 説明 |
|---|---|
-AzureStackLCMUserCredential |
デプロイに適したアクセス許可で作成された新しいユーザー オブジェクト。 このアカウントは、Azure Stack HCI デプロイで使用されるユーザー アカウントと同じです。 ユーザー名のみが指定されていることを確認します。 contoso\usernameなど、ドメイン名を含めないようにする必要があります。パスワードは、長さと複雑さの要件に準拠している必要があります。 12 文字以上のパスワードを使用します。 パスワードには、小文字、大文字、数字、特殊文字の 4 つの要件のうち 3 つも含まれている必要があります。 詳細については、 password の複雑さの要件を参照してください。 名前はユーザー名として admin を使用できます。 |
-AsHciOUName |
Azure Stack HCI デプロイのすべてのオブジェクトを格納する新しい組織単位 (OU)。 設定の競合がないように、この OU では既存のグループ ポリシーと継承がブロックされます。 OU は識別名 (DN) として指定する必要があります。 詳細については、 区別された名前の形式を参照してください。 |
Note
-AsHciOUNameパスでは、パス内の任意の場所で次の特殊文字をサポートしていません:&,",',<,>。- 展開が完了した後にコンピューター オブジェクトを別の OU に移動することもサポートされていません。
Active Directory の準備
Active Directory を準備するときは、専用の組織単位 (OU) を作成して、デプロイ ユーザーなどの Azure Stack HCI 関連オブジェクトを配置します。
専用 OU を作成するには、次の手順に従います。
Active Directory ドメインに参加しているコンピューターにサインインします。
PowerShell を管理者として実行します。
次のコマンドを実行して、専用 OU を作成します。
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"メッセージが表示されたら、デプロイのユーザー名とパスワードを指定します。
- ユーザー名のみが指定されていることを確認します。
contoso\usernameなど、ドメイン名を含めないようにする必要があります。 ユーザー名は 1 ~ 64 文字にする必要があり、文字、数字、ハイフン、アンダースコアのみを含む必要があり、ハイフンまたは数字で始まる場合はありません。 - パスワードが複雑さと長さの要件を満たしていることを確認します。 12 文字以上で、小文字、大文字、数字、特殊文字を含むパスワードを使用します。
スクリプトが正常に完了した場合の出力例を次に示します。
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>- ユーザー名のみが指定されていることを確認します。
OU が作成されていることを確認します。 Windows Server クライアントを使用している場合は、サーバー マネージャー > Tools > Active Directory ユーザーとコンピューターに移動します。
指定した名前の OU を作成する必要があり、その OU 内に展開ユーザーが表示されます。
![[Active Directory コンピューターとユーザー] ウィンドウのスクリーンショット。](media/deployment-prep-active-directory/active-directory-11.png)
![[Active Directory コンピューターとユーザー] ウィンドウのスクリーンショット。](media/deployment-prep-active-directory/active-directory-11.png#lightbox)
Note
1 つのサーバーを修復する場合は、既存の OU を削除しないでください。 サーバー ボリュームが暗号化されている場合、OU を削除すると、BitLocker 回復キーが削除されます。
次のステップ
- クラスター内の各サーバーで、Azure Stack HCI バージョン 23H2 ソフトウェア をダウンロードします。