Azure 로컬, 버전 23H2 배포를 위한 Active Directory 준비

적용 대상: Azure Local 2311.2 이상

이 문서에서는 Azure Local 버전 23H2를 배포하기 전에 Active Directory 환경을 준비하는 방법을 설명합니다.

Azure 로컬에 대한 Active Directory 요구 사항은 다음과 같습니다.

• OU(전용 조직 구성 단위)입니다.
• 해당 GPO(그룹 정책 개체)에 대해 차단된 그룹 정책 상속입니다.
• Active Directory의 OU에 대한 모든 권한이 있는 사용자 계정입니다.
• 컴퓨터를 배포하기 전에 Active Directory에 조인하면 안 됩니다.

참고 항목

• 기존 프로세스를 사용하여 위의 요구 사항을 충족할 수 있습니다. 이 문서에서 사용되는 스크립트는 선택 사항이며 준비를 간소화하기 위해 제공됩니다.
• 그룹 정책 상속이 OU 수준에서 차단되면 적용된 옵션이 설정된 GPO는 차단되지 않습니다. 해당하는 경우 WMI(Windows Management Instrumentation) 필터사용하는 등 다른 방법을 사용하여 이러한 GPO가 차단되었는지 확인합니다. 적용된 모든 GPO에 WMI 필터를 적용하여 Azure 로컬 인스턴스에 대한 컴퓨터 컴퓨터 계정을 GPO 적용에서 제외합니다. 필터가 적용되면 WMI 필터에 정의된 논리에 따라 GPO가 강제 적용되지 않습니다.

Active Directory에 필요한 권한을 수동으로 할당하고, OU를 만들고, GPO 상속을 차단하려면 Azure Local 버전 23H2에 대한 사용자 지정 Active Directory 구성을 참조하세요.

필수 조건

• Azure Local의 새 배포를 위한 필수 구성 요소 완료합니다.

• 'AsHciADArtifactsPreCreationTool' 모듈의 버전 2402를 설치합니다. 다음 명령을 실행하여 PowerShell 갤러리에서 모듈을 설치합니다.

  Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
  

  참고 항목

  새 버전을 설치하기 전에 이전 버전의 모듈을 제거해야 합니다.

• OU를 만들려면 권한이 필요합니다. 권한이 없는 경우 Active Directory 관리자에게 문의하세요.

• Azure 로컬 시스템과 Active Directory 사이에 방화벽이 있는 경우 적절한 방화벽 규칙이 구성되어 있는지 확인합니다. 특정 지침은 Active Directory 웹 서비스 및 Active Directory 게이트웨이 관리 서비스에 대한 방화벽 요구 사항을 참조 하세요. Active Directory 도메인 및 트러스트에 대한 방화벽을 구성하는 방법도 참조하세요.

Active Directory 준비 모듈

New-HciAdObjectsPreCreation AsHciADArtifactsPreCreationTool PowerShell 모듈의 cmdlet은 Azure 로컬 배포를 위한 Active Directory를 준비하는 데 사용됩니다. cmdlet과 연결된 필수 매개 변수는 다음과 같습니다.

매개 변수	설명
-AzureStackLCMUserCredential	배포에 대한 적절한 권한으로 만든 새 사용자 개체입니다. 이 계정은 Azure 로컬 배포에서 사용하는 사용자 계정과 동일합니다. 사용자 이름만 제공되었는지 확인합니다. 이름에는 도메인 이름(예: contoso\username)이 포함되어서는 안 됩니다. 암호는 길이 및 복잡성 요구 사항을 준수해야 합니다. 12자 이상인 암호를 사용합니다. 암호에는 소문자, 대문자, 숫자 및 특수 문자의 네 가지 요구 사항 중 세 가지가 포함되어야 합니다. 자세한 내용은 암호 복잡성 요구 사항을 참조 하세요. 이름은 로컬 관리자 사용자와 정확히 같을 수 없습니다. 이름은 관리자를 사용자 이름으로 사용할 수 있습니다.
-AsHciOUName	Azure 로컬 배포에 대한 모든 개체를 저장하는 새 OU(조직 구성 단위)입니다. 설정 충돌이 없도록 이 OU에서 기존 그룹 정책 및 상속이 차단됩니다. OU는 DN(고유 이름)으로 지정해야 합니다. 자세한 내용은 고유 이름의 형식을 참조하세요.

참고 항목

• 경로 내에서 -AsHciOUName 는 다음과 같은 특수 문자를 &,",',<,>지원하지 않습니다.
• 배포가 완료되면 컴퓨터 개체를 다른 OU로 이동하는 것은 지원되지 않습니다.

Active Directory 준비

Active Directory를 준비할 때 배포 사용자와 같은 Azure 로컬 관련 개체를 배치하는 전용 OU(조직 구성 단위)를 만듭니다.

전용 OU를 만들려면 다음 단계를 수행합니다.

1. Active Directory 도메인에 가입된 컴퓨터에 로그인합니다.

2. 관리자 권한으로 PowerShell을 실행합니다.

3. 다음 명령을 실행하여 전용 OU를 만듭니다.

   New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
   
   

4. 메시지가 표시되면 배포에 대한 사용자 이름 및 암호를 제공합니다.

   1. 사용자 이름만 제공되었는지 확인합니다. 이름에는 도메인 이름(예: contoso\username)이 포함되어서는 안 됩니다. 사용자 이름은 1~64자 사이여야 하며 문자, 숫자, 하이픈 및 밑줄만 포함해야 하며 하이픈 또는 숫자로 시작할 수 없습니다.
   2. 암호가 복잡성 및 길이 요구 사항을 충족하는지 확인합니다. 12자 이상이며 소문자, 대문자, 숫자 및 특수 문자가 포함된 암호를 사용합니다.

   스크립트를 성공적으로 완료한 샘플 출력은 다음과 같습니다.

   PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
   PS C:\work> $user = "ms309deployuser"
   PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
   PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
   PS C:\work>
   

5. OU가 생성되었는지 확인합니다. Windows Server 클라이언트를 사용하는 경우 서버 관리자 > 도구 > Active Directory 사용자 및 컴퓨터 이동합니다.

6. 지정된 이름의 OU가 만들어집니다. 이 OU에는 새 LCM 배포 사용자 계정이 포함됩니다.

   

참고 항목

단일 컴퓨터를 복구하는 경우 기존 OU를 삭제하지 마세요. 컴퓨터 볼륨이 암호화되면 OU를 삭제하면 BitLocker 복구 키가 제거됩니다.

대규모 배포에 대한 고려 사항

LCM(수명 주기 관리자) 사용자 계정은 AD(Active Directory)를 사용하는 Azure 로컬 인스턴스 배포 중 또는 기존 인스턴스에 대한 추가 노드/복구 작업에 사용됩니다. LCM 사용자 계정은 도메인 조인 작업을 수행해야 하며, 이를 위해서는 온-프레미스 도메인의 대상 OU(조직 구성 단위)에 컴퓨터 계정을 추가할 수 있는 위임된 권한이 있는 LCM 사용자 ID가 필요합니다. Azure Local을 배포하는 동안 LCM 사용자 계정이 물리적 컴퓨터의 로컬 관리자 그룹에 추가됩니다.

손상된 LCM 사용자 계정 자격 증명의 위험을 완화하기 위해 각 Azure 로컬 인스턴스에 고유한 암호를 가진 전용 LCM 사용자 계정이 있는 것이 좋습니다.

다음 모범 사례를 따라 OU를 만드는 것이 좋습니다.

• 각 Azure 로컬 인스턴스에 대해 Active Directory 내에 개별 OU를 만듭니다. 이 방법은 각 인스턴스에 대한 단일 OU 범위 내에서 컴퓨터 계정, CNO, LCM 사용자 계정 및 물리적 컴퓨터 계정을 관리하는 데 도움이 됩니다.
• 대규모로 여러 인스턴스를 배포하는 경우 보다 쉽게 관리할 수 있습니다.
  • 단일 부모 OU 아래에 각 인스턴스에 대한 OU를 만듭니다.
  • 부모 OU 수준에서 GPO 상속을 사용하지 않도록 설정합니다.

New-HciAdObjectsPreCreation cmdlet을 사용하여 Active Directory 준비 경우 위의 권장 사항이 자동화됩니다.

다음 단계

• 시스템의 각 컴퓨터에서 Azure Stack HCI OS 버전 23H2 소프트웨어를 다운로드합니다.