次の方法で共有


新しい専用フォレストで AD モードを使用して HGS クラスターを初期化する (既定値)

重要

管理者によって信頼された構成証明 (AD モード) は、Windows Server 2019 以降では非推奨とされます。 TPM 構成証明ができない環境では、ホスト キーの構成証明を構成します。 ホスト キーの構成証明では、AD モードと同様の保証が提供され、設定はより簡単です。

  1. クライアントは、フェールオーバー クラスタリングの分散ネットワーク名 (DNN) を使用して、任意の HGS ノードに簡単に接続できます。 DNN を選択する必要があります。 この名前は HGS DNS サービスに登録されます。 たとえば、ホスト名が HGS01、HGS02、HGS03 である 3 つの HGS ノードがある場合は、DNN のために "hgs" や "HgsCluster" を選択できます。

  2. HGS のガーディアン証明書を見つけます。 HGS クラスターを初期化するには、署名証明書が 1 つと暗号化証明書が 1 つ必要になります。 HGS に証明書を提供する最も簡単な方法は、公開キーと秘密キーの両方を含む証明書ごとに、パスワードで保護された PFX ファイルを作成することです。 HSM ベースのキーまたはその他のエクスポートできない証明書を使おうとしている場合は、続行する前に、その証明書がローカル コンピューターの証明書ストアにインストールされていることを確認してください。 どの証明書を使用するかの詳細については、「HGS の証明書を取得する」を参照してください。

  3. 最初の HGS ノードに対して、管理者特権の PowerShell ウィンドウで Initialize-HgsServer を実行します。 このコマンドレットの構文では、さまざまな入力がサポートされていますが、以下に、最も一般的な呼び出しを 2 つ示します。

    • 署名と暗号化の証明書のために PFX ファイルを使おうとしている場合は、次のコマンドを実行します。

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
      $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
      
      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
      
    • ローカル証明書ストアにインストールされている、エクスポートできない証明書を使おうとしている場合は、次のコマンドを実行します。 証明書の拇印が分からない場合は、Get-ChildItem Cert:\LocalMachine\My を実行して、使用できる証明書を一覧表示できます。

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustActiveDirectory
      
  4. 拇印を使用して HGS に証明書を提供した場合は、それらの証明書のプライベート キーへの読み取りアクセスを HGS に付与するように指示されます。 デスクトップ エクスペリエンスがインストールされているサーバーで、以下の手順を完了します。

    1. ローカル コンピューターの証明書マネージャー (certlm.msc) を開きます
    2. 証明書を見つけて右クリックし、[すべてのタスク] > [プライベート キーの管理] と選択します
    3. [追加] をクリックします。
    4. オブジェクト選択ウィンドウで、[オブジェクトの種類] をクリックし、サービス アカウントを有効にします
    5. Initialize-HgsServer からの警告テキストに記載されているサービス アカウントの名前を入力します
    6. gMSA に、プライベート キーに対する "読み取り" アクセスがあることを確認します。

    サーバー コアでは、プライベート キーのアクセス許可の設定に役立つように、PowerShell モジュールをダウンロードする必要があります。

    1. インターネット接続がある場合は、HGS サーバーで Install-Module GuardedFabricTools を実行します。または、別のコンピューターで Save-Module GuardedFabricTools を実行し、モジュールを HGS サーバーにコピーします。

    2. Import-Module GuardedFabricTools を実行します。 これで、PowerShell で見つかった証明書オブジェクトに、追加のプロパティが加えられます。

    3. PowerShell で Get-ChildItem Cert:\LocalMachine\My を使用して、証明書の拇印を見つけます

    4. 拇印を自分のものに置き換え、次のコードの gMSA アカウントを、Initialize-HgsServer の警告テキストに記載されていたアカウントに置き換えて、ACL を更新します。

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
      $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
      

    HSM ベースの証明書やサード パーティのキー ストレージ プロバイダーに格納されている証明書を使おうとしている場合、これらの手順は当てはまらない可能性があります。 お使いのキー ストレージ プロバイダーのドキュメントを調べて、プライベート キーに対するアクセス許可を管理する方法を確認してください。 場合によっては、承認が存在しなかったり、証明書がインストールされるときにコンピューター全体に承認が提供されたりします。

  5. これで完了です。 運用環境では、引き続き追加の HGS ノードをクラスターに加える必要があります。

次のステップ