追加の HGS ノードを構成する
運用環境では、HGS ノードがダウンした場合でも、シールドされた VM を起動できるように、高可用性クラスターで HGS を設定する必要があります。 テスト環境では、セカンダリ HGS ノードは必要ありません。
これらの方法のいずれかを使用して、使用環境に最適な HGS ノードを追加します。
| 環境 | 方法 1 | 方法 2 |
|---|---|---|
| 新しい HGS フォレスト | PFX ファイルの使用 | 証明書のサムプリントの使用 |
| 既存の要塞フォレスト | PFX ファイルの使用 | 証明書のサムプリントの使用 |
前提条件
次の各ノードが追加されていることを確認してください。
- プライマリ ノードと同じハードウェアとソフトウェアの構成
- 他の HGS サーバーと同じネットワークに接続されている
- 他の HGS サーバーを DNS 名で解決できる
PFX 証明書を持つ専用の HGS フォレスト
- HGS ノードをドメイン コントローラーに昇格させる
- HGS サーバーを初期化する
HGS ノードをドメイン コントローラーに昇格させる
Install-HgsServer を実行してドメインに参加し、ノードをドメイン コントローラーに昇格させます。
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restartサーバーが再起動したら、ドメイン管理者アカウントでログ インします。
HGS サーバーを初期化する
次のコマンドを実行して、既存の HGS クラスターに参加します。
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
証明書のサムプリントを持つ専用の HGS フォレスト
- HGS ノードをドメイン コントローラーに昇格させる
- HGS サーバーを初期化する
- 証明書の秘密キーをインストールします
HGS ノードをドメイン コントローラーに昇格させる
Install-HgsServer を実行してドメインに参加し、ノードをドメイン コントローラーに昇格させます。
$adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force $cred = Get-Credential 'relecloud\Administrator' Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restartサーバーが再起動したら、ドメイン管理者アカウントでログ インします。
HGS サーバーを初期化する
次のコマンドを実行して、既存の HGS クラスターに参加します。
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
証明書の秘密キーをインストールします
最初の HGS サーバーで暗号化証明書または署名証明書の PFX ファイルを指定しなかった場合は、公開キーのみがこのサーバーにレプリケートされます。 秘密キーを含む PFX ファイルをローカル証明書ストアにインポートすることによって、秘密キーをインストールする必要があります。 HSM がサポートされている場合は、キー記憶域プロバイダーを構成し、 HSM の製造元の指示に従って証明書に関連付けます。
PFX 証明書を持つ既存の要塞フォレスト
- 既存のドメインにノードを参加させます
- コンピューターに gMSA パスワードを取得して、 Install-ADServiceAccount を実行するための権限を付与します
- HGS サーバーを初期化する
既存のドメインにノードを参加させます
- ノード上の少なくとも1つの NIC が、最初の HGS サーバーで DNS サーバーを使用するように構成されていることを確認します。
- 新しい HGS ノードを最初の HGS ノードと同じドメインに参加させます。
コンピューターに gMSA パスワードを取得して、 Install-ADServiceAccount を実行するための権限を付与します
ディレクトリ サービス管理者に、新しいノードのコンピューター アカウントを、それらのサーバーが HGS gMSA アカウントを使用することを許可されているすべての HGS サーバーを含むセキュリティ グループに追加するように依頼します。
新しいノードを再起動して、そのセキュリティ グループのコンピューターのメンバーシップを含む新しい Kerberos チケットを取得します。 再起動が完了したら、コンピューターのローカル管理者グループに属するドメイン ID を使用してサイン インします。
HGS グループの管理されたサービス アカウントをノードにインストールします。
Install-ADServiceAccount -Identity <HGSgMSAAccount>
HGS サーバーを初期化する
次のコマンドを実行して、既存の HGS クラスターに参加します。
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
証明書のサムプリントがある既存の要塞フォレスト
- 既存のドメインにノードを参加させます
- コンピューターに gMSA パスワードを取得して、 Install-ADServiceAccount を実行するための権限を付与します
- HGS サーバーを初期化する
- 証明書の秘密キーをインストールします
既存のドメインにノードを参加させます
- ノード上の少なくとも1つの NIC が、最初の HGS サーバーで DNS サーバーを使用するように構成されていることを確認します。
- 新しい HGS ノードを最初の HGS ノードと同じドメインに参加させます。
コンピューターに gMSA パスワードを取得して、 Install-ADServiceAccount を実行するための権限を付与します
ディレクトリ サービス管理者に、新しいノードのコンピューター アカウントを、それらのサーバーが HGS gMSA アカウントを使用することを許可されているすべての HGS サーバーを含むセキュリティ グループに追加するように依頼します。
新しいノードを再起動して、そのセキュリティ グループのコンピューターのメンバーシップを含む新しい Kerberos チケットを取得します。 再起動が完了したら、コンピューターのローカル管理者グループに属するドメイン ID を使用してサイン インします。
HGS グループの管理されたサービス アカウントをノードにインストールします。
Install-ADServiceAccount -Identity <HGSgMSAAccount>
HGS サーバーを初期化する
次のコマンドを実行して、既存の HGS クラスターに参加します。
Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>
最初の HGS サーバーからの暗号化証明書と署名証明書がこのノードにレプリケートされるまで、最大で10分かかります。
証明書の秘密キーをインストールします
最初の HGS サーバーで暗号化証明書または署名証明書の PFX ファイルを指定しなかった場合は、公開キーのみがこのサーバーにレプリケートされます。 秘密キーを含む PFX ファイルをローカル証明書ストアにインポートすることによって、秘密キーをインストールする必要があります。 HSM がサポートされている場合は、キー記憶域プロバイダーを構成し、 HSM の製造元の指示に従って証明書に関連付けます。
HGS を HTTPS 通信用に構成する
SSL 証明書を使用して HGS エンドポイントをセキュリティで保護する場合は、このノード、および HGS クラスター内の他のすべてのノードで SSL 証明書を構成する必要があります。 SSL 証明書は HGS によってレプリケートされず、すべてのノードに同じキーを使用する必要はありません (つまり、ノードごとに異なる SSL 証明書を持つことができます)。
SSL 証明書を要求するときは、クラスターの完全修飾ドメイン名 ( Get-HgsServer の出力に示されているとおり) が、証明書のサブジェクト共通名であるか、サブジェクト代替 DNS 名として含まれていることを確認します。
証明機関から証明書を取得したら、 Set-HgsServeで使用するように HGS を構成できます。
$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword
証明書をローカル証明書ストアに既にインストールしてサムプリントで参照する場合は、次のコマンドを代わりに実行します。
Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'
HGS は通信用に HTTP と HTTPS の両方のポートを常に公開します。 IIS で HTTP バインドの削除はサポートされていませんが、Windows ファイアウォールまたはその他のネットワーク ファイアウォール テクノロジを使用して、ポート 80 での通信をブロックできます。
HGS ノードの使用を停止する
HGS ノードを使用停止にするには。
-
これにより、クラスターからノードが削除され、構成証明とキー保護サービスがアンインストールされます。 クラスター内の最後のノードについては、最後のノードを削除して Active Directory 内のクラスターを破棄することを示すために -Force を使用する必要があります。
HGS が要塞フォレスト (既定) に展開されている場合、これは唯一の手順です。 必要に応じて、ドメインからコンピューターの参加を解除し、 Active Directory から gMSA アカウントを削除できます。
HGS が独自のドメインを作成した場合は、 HGS をアンインストールしてドメインへの参加を解除し、ドメイン コントローラーを降格する必要もあります。