Azure Stack HCI バージョン 23H2 のカスタム Active Directory 構成
適用対象: Azure Stack HCI バージョン 23H2
この記事では、Azure Stack HCI バージョン 23H2 のデプロイに必要なアクセス許可と DNS レコードについて説明します。 また、この記事では、Active Directory 環境のアクセス許可を手動で割り当て、DNS レコードを作成する方法の詳細な手順を示す例も使用します。
Azure Stack HCI ソリューションは、アクセス許可を割り当てるための確立されたプロセスとツールを使用して、大規模な Active Directory にデプロイされます。 Microsoft では、必要に応じて Azure Stack HCI デプロイに使用できる Active Directory 準備スクリプト を提供しています。 Active Directory に必要なアクセス許可、組織単位の作成、GPO の継承のブロックは、すべて手動で構成することもできます。
また、使用する DNS サーバーを選択することもできます。たとえば、Active Directory との統合をサポートする Microsoft DNS サーバーを使用して、セキュリティで保護された動的更新を利用できます。 Microsoft DNS サーバーを使用しない場合は、Azure Stack HCI ソリューションのデプロイと更新のために一連の DNS レコードを作成する必要があります。
Active Directory の要件について
Azure Stack HCI デプロイの Active Directory 要件の一部を次に示します。
オブジェクト検出のクエリ時間を最適化するには、専用の組織単位 (OU) が必要です。 この最適化は、複数のサイトにまたがる大規模な Active Directory に不可欠です。 この専用 OU は、コンピューター オブジェクトと Windows フェールオーバー クラスター CNO にのみ必要です。
ユーザー (デプロイ ユーザーとも呼ばれます) には、専用 OU に対する必要なアクセス許可が必要です。 ユーザーはディレクトリ内の任意の場所に存在できます。
グループ ポリシー オブジェクトからの設定の競合を防ぐために、グループ ポリシーの継承をブロックする必要があります。 Azure Stack HCI バージョン 23H2 で導入された新しいエンジンは、ドリフト保護を含むセキュリティの既定値を管理します。 詳細については、「 Azure Stack HCI バージョン 23H2 のセキュリティ機能を参照してください。
コンピューター アカウント オブジェクトとクラスター CNO 作成できます 展開自体の代わりに、展開ユーザーを使用して作成できます。
必要なアクセス許可
展開ユーザーとして参照されるユーザー オブジェクトに必要なアクセス許可のスコープは、専用 OU にのみ適用されます。 アクセス許可は、BitLocker 回復情報を取得する機能を持つコンピューター オブジェクトの読み取り、作成、および削除として要約できます。
OU とすべての子孫オブジェクトに対するデプロイ ユーザーとクラスター CNO に必要なアクセス許可を含むテーブルを次に示します。
| ロール | 割り当てられたアクセス許可の説明 |
|---|---|
| OU とすべての子孫オブジェクトに対するユーザーのデプロイ | コンテンツを一覧表示します。 すべてのプロパティを読み取る。 読み取りアクセス許可。 コンピューター オブジェクトを作成します。 コンピューター オブジェクトを削除します。 |
| OU 経由でユーザーをデプロイしますが、子孫 msFVE-Recoveryinformation オブジェクトにのみ適用されます | フル コントロール。 コンテンツを一覧表示します。 すべてのプロパティを読み取る。 すべてのプロパティを書き込みます。 削除します。 読み取りアクセス許可。 アクセス許可を変更します。 所有者を変更します。 検証されたすべての書き込み。 |
| このオブジェクトとすべての子孫オブジェクトに適用される OU 上のクラスター CNO | すべてのプロパティを読み取る。 Computer オブジェクトを作成します。 |
PowerShell を使用して権限を割り当てます
PowerShell コマンドレットを使用して、OU 経由で展開ユーザーに適切なアクセス許可を割り当てることができます。 次の例は、Active Directory ドメイン contoso.comに存在する OU HCI001 を介して、必要なアクセス許可を deploymentuser に割り当てる方法を示しています。
Note
このスクリプトでは、Active Directory New-ADUser および OU にユーザー オブジェクトを事前に作成する必要があります。 グループ ポリシーの継承をブロックする方法の詳細については、「 Set-GPInheritanceを参照してください。
次の PowerShell コマンドレットを実行して Active Directory モジュールをインポートし、必要なアクセス許可を割り当てます。
#Import required module
import-module ActiveDirectory
#Input parameters
$ouPath ="OU=HCI001,DC=contoso,DC=com"
$DeploymentUser="deploymentuser"
#Assign required permissions
$userSecurityIdentifier = Get-ADuser -Identity $Deploymentuser
$userSID = [System.Security.Principal.SecurityIdentifier] $userSecurityIdentifier.SID
$acl = Get-Acl -Path $ouPath
$userIdentityReference = [System.Security.Principal.IdentityReference] $userSID
$adRight = [System.DirectoryServices.ActiveDirectoryRights]::CreateChild -bor [System.DirectoryServices.ActiveDirectoryRights]::DeleteChild
$genericAllRight = [System.DirectoryServices.ActiveDirectoryRights]::GenericAll
$readPropertyRight = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$type = [System.Security.AccessControl.AccessControlType]::Allow
$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$allObjectType = [System.Guid]::Empty
#Set computers object GUID, this is a well-known ID
$computersObjectType = [System.Guid]::New('bf967a86-0de6-11d0-a285-00aa003049e2')
#Set msFVE-RecoveryInformation GUID,this is a well-known ID
$msfveRecoveryGuid = [System.Guid]::New('ea715d30-8f53-40d0-bd1e-6109186d782c')
$rule1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $adRight, $type, $computersObjectType, $inheritanceType)
$rule2 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $readPropertyRight, $type, $allObjectType , $inheritanceType)
$rule3 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($userIdentityReference, $genericAllRight, $type, $inheritanceType, $msfveRecoveryGuid)
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
$acl.AddAccessRule($rule3)
Set-Acl -Path $ouPath -AclObject $acl
必要な DNS レコード
DNS サーバーがセキュリティで保護された動的更新をサポートしていない場合は、Azure Stack HCI システムをデプロイする前に、必要な DNS レコードを作成する必要があります。
次の表に、必要な DNS レコードと種類を示します。
| Object | Type |
|---|---|
| コンピューター名 | ホスト A |
| クラスター CNO | ホスト A |
| クラスター VCO | ホスト A |
Note
Azure Stack HCI クラスターの一部になるすべてのマシンには、DNS レコードが必要です。
例 - DNS レコードが存在することを確認する
DNS レコードが存在することを確認するには、次のコマンドを実行します。
nslookup "machine name"
不整合な名前空間
不整合な名前空間は、1 つ以上のドメイン メンバー コンピューターのプライマリ DNS サフィックスが Active Directory ドメインの DNS 名と一致しない場合に発生します。 たとえば、コンピューターに corp.contoso.com の DNS 名があるが、na.corp.contoso.com という Active Directory ドメインの一部である場合は、不整合な名前空間を使用します。
Azure Stack HCI バージョン 23H2 をデプロイする前に、次の作業を行う必要があります。
- すべてのノードの管理アダプターに DNS サフィックスを追加します。
- ホスト名を Active Directory の FQDN に解決できることを確認します。
例 - DNS サフィックスを追加する
DNS サフィックスを追加するには、次のコマンドを実行します。
Set-DnsClient -InterfaceIndex 12 -ConnectionSpecificSuffix "na.corp.contoso.com"
例 - ホスト名を FQDN に解決する
ホスト名を FQDN に解決するには、次のコマンドを実行します。
nslookup node1.na.corp.contoso.com
Note
グループ ポリシーを使用して、Azure Stack HCI バージョン 23H2 で DNS サフィックスリストを構成することはできません。
クラスター対応更新 (CAU)
クラスター対応の更新では、DNS レコードを必要とするクライアント アクセス ポイント (仮想コンピューター オブジェクト) が適用されます。
動的にセキュリティで保護された更新プログラムを実行できない環境では、仮想コンピューター オブジェクト (VCO) を手動で作成する必要があります。 VCO を作成する方法の詳細については、「Active Directory ドメイン Services クラスター コンピューター オブジェクトを準備するを参照してください。
Note
Windows DNS クライアントで動的 DNS 更新を無効にしてください。 この設定はドリフト制御によって保護され、ネットワーク ATC に組み込まれています。 動的更新を無効にした直後に VCO を作成して、誤差のロールバックを回避します。 この保護された設定を変更する方法の詳細については、「 Modify セキュリティの既定値を参照してください。
例 - 動的更新を無効にする
動的更新を無効にするには、次のコマンドを実行します。
Get-NetAdapter "vManagement*"|Set-DnsClient -RegisterThisConnectionsAddress $false
次のステップ
次の手順に進みます。