適用対象: Azure Local 2311.2 以降
この記事では、Azure Local をデプロイする前に Active Directory 環境を準備する方法について説明します。
Azure Local をデプロイするには、事前に Active Directory 側の構成を以下のとおり整えておく必要があります。
- Active Directory 内に Azure Loal 専用の組織単位 (OU) が作成されていること。
- 対象のグループ ポリシー オブジェクト (GPO) に対してグループ ポリシーが継承されないように、継承が無効化されていること。
- Active Directory 内の OU に対してすべての権限を持つ 1 つのユーザー アカウントが作成されていること。
- デプロイ前に、デプロイ対象のマシンを Active Directory に追加しないでください。
注
- 上記の要件は、通常の運用手順で対応できます。 この記事で使用するスクリプトは、準備作業を簡素化するためのものであり、使用は必須ではありません。
- OU レベルでグループ ポリシーの継承がブロックされている場合、適用されたオプションが有効になっている GPO はブロックされません。 該当する場合は、別の方法を使用して、例えば Windows Management Instrumentation (WMI) フィルターを使用して、これらの GPO がブロックされていることを確認してください。 適用されている GPO に WMI フィルターを適用して、Azure ローカル インスタンスのコンピューター アカウントが GPO の適用から除外されるようにします。 フィルターが適用されると、WMI フィルターで定義されているロジックに基づいて、適用された GPO は適用されません。
Active Directory に必要なアクセス許可を手動で割り当て、OU を作成し、GPO の継承をブロックするには、「 Azure Local のカスタム Active Directory 構成」を参照してください。
前提条件
Azure Local の新しいデプロイの 前提条件 を完了します。
'AsHciADArtifactsPreCreationTool' モジュールのバージョン 2402 をインストールします。 次のコマンドを実行して、PowerShell ギャラリーからモジュールをインストールします。
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
注
新しいバージョンをインストールする前に、モジュールの旧バージョンをアンインストールしておきます。
OU を作成するにはアクセス許可が必要です。 権限がない場合は、Active Directory 管理者に問い合わせます。
Azure Local システムと Active Directory の間にファイアウォールがある場合は、必要なファイアウォール規則が構成されていることを確認します。 詳細については、「 Active Directory Web サービスと Active Directory ゲートウェイ管理サービスのファイアウォール要件」を参照してください。 「Active Directory ドメインと信頼のファイアウォールを構成する方法」も併せて参照してください。
Active Directory 準備モジュール
AsHciADArtifactsPreCreationTool PowerShell モジュールの New-HciAdObjectsPreCreation
コマンドレットを使用して、Azure Local のデプロイに備えて Active Directory を準備します。 コマンドレットに関連付けられている必須パラメーターは次のとおりです。
パラメーター | 説明 |
---|---|
-AzureStackLCMUserCredential |
デプロイ用に、適切な権限を付与して作成される新しいユーザー オブジェクト。 このアカウントは、Azure ローカル デプロイで使用されるユーザー アカウントと同じです。 ユーザー名のみを指定します。 contoso\username など、ドメイン名を名前に含めることはできません。パスワードは、長さと複雑性の要件を満たしている必要があります。 14 文字以上のパスワードを使用します。 また、パスワードには 4 要素 (小文字、大文字、数字、特殊文字) のうち少なくとも 3 つを含める必要があります。 詳細については、「パスワード の複雑さの要件」を参照してください。 名前をローカル管理者ユーザーとまったく同じにすることはできません。 この管理用のアカウントには、admin などの名前を付けることをお勧めします。 |
-AsHciOUName |
Azure ローカル デプロイのすべてのオブジェクトを格納する新しい組織単位 (OU)。 この OU は、設定の競合が発生しないように、既存のグループ ポリシーと継承を無効化しておきます。 OU の指定には、識別名 (DN) を使用する必要があります。 詳細については、「識別名の形式」に関する記事を参照してください。 |
注
-AsHciOUName
パス内では、特殊文字&,",',<,>
は、一切使用できません。- 展開が完了した後、コンピューター オブジェクトを別の OU に移動することはできません。
Active Directory の準備
Active Directory を準備するときは、デプロイ ユーザーなどの Azure ローカル関連オブジェクトを配置する専用の組織単位 (OU) を作成します。
専用 OU を作成するには、次の手順を実行します。
Active Directory ドメインに参加しているコンピューターにサインインします。
PowerShell を管理者として実行します。
以下のコマンドを実行して、専用 OU を作成します。
New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"
プロンプトが表示されたら、デプロイに使用するユーザー名とパスワードを入力します。
- ユーザー名のみを指定します。
contoso\username
など、ドメイン名を名前に含めることはできません。 ユーザー名は 1〜64 文字で、英字、数字、ハイフン、アンダースコアのみを使用できます。先頭にハイフンまたは数字を使用することはできません。 - パスワードが複雑さと長さの要件を満たしていることを確認します。 14 文字以上で、小文字、大文字、数字、特殊文字を含むパスワードを使用します。
スクリプトが正常に完了した場合の出力例を次に示します。
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force PS C:\work> $user = "ms309deployuser" PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password) PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com" PS C:\work>
- ユーザー名のみを指定します。
OU が作成されたことを確認します。 Windows Server クライアントを使用している場合は、[z]> [ツール]>[Active Directory ユーザーとコンピューター] に移動します。
指定した名前の OU が作成されます。 この OU には、新しいライフサイクル マネージャー (LCM) デプロイ ユーザー アカウントが含まれています。
注
1 台のコンピューターを修復する場合は、既存の OU を削除しないでください。 マシンのボリュームが暗号化されている場合、OU を削除すると、BitLocker 回復キーも削除されます。
大規模なデプロイに関する考慮事項
LCM ユーザー アカウントは、PowerShell による更新プログラムの適用などのサービス操作中に使用されます。 このアカウントは、 ノードの修復やノード の追加など、AD に対してドメイン参加アクションを実行するときにも使用 されます。 これには、オンプレミス ドメイン内のターゲット OU にコンピューター アカウントを追加するための委任されたアクセス許可を持つ LCM ユーザー ID が必要です。
Azure Local のクラウド デプロイ中に、LCM ユーザー アカウントが物理ノードのローカル管理者グループに追加されます。 LCM ユーザー アカウントが侵害されるリスクを軽減するには、 Azure ローカル インスタンスごとに一意のパスワードを持つ専用の LCM ユーザー アカウントを用意することをお勧めします。 この推奨事項では、侵害された LCM アカウントのスコープと影響を 1 つのインスタンスに制限します。
OU の作成については、次のベスト プラクティスに従うことをお勧めします。 これらの推奨事項は、 New-HciAdObjectsPreCreation
コマンドレットを使用して Active Directory を準備するときに自動化されます。
- Azure ローカル インスタンスごとに、Active Directory 内に個別の OU を作成します。 この方法は、LCM ユーザー アカウント、物理マシンのコンピューター アカウント、およびインスタンスごとに 1 つの OU のスコープ内のクラスター名オブジェクト (CNO) を管理するのに役立ちます。
- 管理を容易にするために、複数のインスタンスを大規模にデプロイする場合:
- インスタンスごとに、単一の親 OU の下に OU を作成します。
- 親 OU レベルとサブ OU レベルの両方で [継承のブロック ] オプションを有効にします。
- ローカル管理者グループ内のドメイン グループの入れ子など、すべての Azure ローカル インスタンスに GPO を適用するには、GPO を親 OU にリンクし、[ 適用] オプションを有効にします。 これにより、 ブロック継承 が有効になっている場合でも、すべてのサブ OU に構成を適用します。
組織のプロセスと手順でこれらの推奨事項からの逸脱が必要な場合は、許可されます。 ただし、これらの要素を考慮して、設計のセキュリティと管理容易性への影響を考慮することが重要です。
次のステップ
- システム内の各マシンに Azure ローカル デプロイ用のオペレーティング システムをダウンロードします。