Azure Stack HCI バージョン 23H2 デプロイ用に Active Directory を準備する

[アーティクル]
05/17/2024

適用対象: Azure Stack HCI バージョン 23H2

この記事では、Azure Stack HCI バージョン 23H2 をデプロイする前に、Active Directory 環境を準備する方法について説明します。

Azure Stack HCI の Active Directory 要件は次のとおりです。

専用の組織単位 (OU)。
該当するグループポリシーオブジェクト (GPO) に対してブロックされているグループポリシーの継承。
Active Directory 内の OU に対するすべての権限を持つユーザーアカウント。

注意

既存のプロセスを使用して、上記の要件を満たすことができます。この記事で使用するスクリプトは省略可能であり、準備を簡略化するために用意されています。
グループポリシーの継承が OU レベルでブロックされている場合、適用された GPO はブロックされません。適用される該当する GPO も、 WMI フィルターやセキュリティグループなどの他の方法を使用してブロックされていることを確認します。

前提条件

開始する前に、次の作業が完了していることを確認してください。

Azure Stack HCI の新しいデプロイの前提条件を満たす。
PowerShell ギャラリーからバージョン 2402 モジュールをダウンロードしてインストールします。モジュールが配置されているフォルダーから次のコマンドを実行します。
```
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
```
注意

新しいバージョンをインストールする前に、モジュールの以前のバージョンをアンインストールしてください。
OU を作成するためのアクセス許可を取得しました。アクセス許可がない場合は、Active Directory 管理者に問い合わせてください。
Azure Stack HCI システムと Active Directory の間にファイアウォールがある場合は、適切なファイアウォール規則が構成されていることを確認します。具体的なガイダンスについては、「 Active Directory ドメインと信頼のファイアウォールを構成する方法」を参照してください。

Active Directory 準備モジュール

AsHciADArtifactsPreCreationTool.ps1 モジュールは、Active Directory の準備に使用されます。コマンドレットに関連付けられている必須パラメーターを次に示します。

パラメーター説明

-AzureStackLCMUserCredential デプロイ用の適切なアクセス許可を使用して作成された新しいユーザーオブジェクト。このアカウントは、Azure Stack HCI デプロイで使用されるユーザーアカウントと同じです。
ユーザー名のみが指定されていることを確認します。この名前には、ドメイン名を含めてはなりません (例: contoso\username)。
パスワードは、長さと複雑さの要件に準拠している必要があります。 12 文字以上のパスワードを使用します。また、パスワードには、小文字、大文字、数字、特殊文字の 4 つの要件のうち 3 つが含まれている必要があります。
詳細については、「パスワードの複雑さの要件」を参照してください。
名前には、ユーザー名として admin を使用できます。

-AsHciOUName Azure Stack HCI デプロイのすべてのオブジェクトを格納する新しい組織単位 (OU)。設定の競合がないように、この OU では既存のグループポリシーと継承がブロックされます。 OU は識別名 (DN) として指定する必要があります。詳細については、識別名の形式に関するページを参照してください。

パラメーター	説明
`-AzureStackLCMUserCredential`	デプロイ用の適切なアクセス許可を使用して作成された新しいユーザーオブジェクト。このアカウントは、Azure Stack HCI デプロイで使用されるユーザーアカウントと同じです。ユーザー名のみが指定されていることを確認します。この名前には、ドメイン名を含めてはなりません (例: `contoso\username`)。パスワードは、長さと複雑さの要件に準拠している必要があります。 12 文字以上のパスワードを使用します。また、パスワードには、小文字、大文字、数字、特殊文字の 4 つの要件のうち 3 つが含まれている必要があります。詳細については、「パスワードの複雑さの要件」を参照してください。名前には、ユーザー名として admin を使用できます。
`-AsHciOUName`	Azure Stack HCI デプロイのすべてのオブジェクトを格納する新しい組織単位 (OU)。設定の競合がないように、この OU では既存のグループポリシーと継承がブロックされます。 OU は識別名 (DN) として指定する必要があります。詳細については、識別名の形式に関するページを参照してください。

注意

パスでは -AsHciOUName 、パス内の任意の場所で次の特殊文字は - &,”,’,<,>サポートされていません。
展開が完了した後にコンピューターオブジェクトを別の OU に移動することもサポートされていません。

Active Directory の準備

Active Directory を準備するときは、専用の組織単位 (OU) を作成して、デプロイユーザーなどの Azure Stack HCI 関連オブジェクトを配置します。

専用 OU を作成するには、次の手順に従います。

Active Directory ドメインに参加しているコンピューターにサインインします。
PowerShell を管理者として実行します。

次のコマンドを実行して、専用 OU を作成します。

New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

メッセージが表示されたら、デプロイのユーザー名とパスワードを指定します。
1. ユーザー名のみが指定されていることを確認します。この名前には、ドメイン名を含めてはなりません (例: contoso\username)。ユーザー名は 1 ~ 64 文字にする必要があり、文字、数字、ハイフン、アンダースコアのみを含む必要があり、ハイフンまたは数字で始まるわけではありません。
2. パスワードが複雑さと長さの要件を満たしていることを確認します。 12 文字以上で、小文字、大文字、数字、特殊文字を含むパスワードを使用します。
スクリプトが正常に完了した場合の出力例を次に示します。
```
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>
```
OU が作成されていることを確認します。 Windows Server クライアントを使用している場合は、[サーバーマネージャーツール>] > Active Directory ユーザーとコンピューターに移動します。
指定した名前の OU を作成する必要があり、その OU 内に展開ユーザーが表示されます。

注意

1 台のサーバーを修復する場合は、既存の OU を削除しないでください。サーバーボリュームが暗号化されている場合、OU を削除すると、BitLocker 回復キーが削除されます。

次の手順

クラスター内の各サーバーに Azure Stack HCI バージョン 23H2 ソフトウェアをダウンロードします。

Share via