既存の bastion フォレストで AD モードを使用して HGS クラスターを初期化する
重要
管理者によって信頼された構成証明 (AD モード) は、Windows Server 2019 以降では非推奨とされます。 TPM 構成証明ができない環境では、ホスト キーの構成証明を構成します。 ホスト キーの構成証明では、AD モードと同様の保証が提供され、設定はより簡単です。
コンピューターには Active Directory Domain Services がインストールされますが、未構成のままにしておく必要があります。
HGS のガーディアン証明書を見つけます。 HGS クラスターを初期化するには、署名証明書が 1 つと暗号化証明書が 1 つ必要になります。 HGS に証明書を提供する最も簡単な方法は、公開キーと秘密キーの両方を含む証明書ごとに、パスワードで保護された PFX ファイルを作成することです。 HSM ベースのキーまたはその他のエクスポートできない証明書を使おうとしている場合は、続行する前に、その証明書がローカル コンピューターの証明書ストアにインストールされていることを確認してください。 どの証明書を使用するかの詳細については、「HGS の証明書を取得する」を参照してください。
続行する前に、ホスト ガーディアン サービスのためにクラスター オブジェクトを事前設定しており、Active Directory で、VCO および CNO オブジェクトに対するフル コントロールを、ログインするユーザーに付与済みであることを確認してください。
仮想コンピューターのオブジェクト名を -HgsServiceName パラメーターに渡し、クラスター名を -ClusterName パラメーターに渡す必要があります。
ヒント
続行する前に、クラスター オブジェクトがすべての DC に確実にレプリケートされるように、AD ドメイン コントローラーを再確認してください。
PFX ベースの証明書を使用する予定の場合は、HGS サーバーで次のコマンドを実行します。
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
ローカル マシンにインストールされている証明書 (HSM ベースの証明書やエクスポートできない証明書など) を使用する予定の場合は、代わりに -SigningCertificateThumbprint および -EncryptionCertificateThumbprint パラメーターを使用します。