既存の bastion フォレストで TPM モードを使用して HGS クラスターを初期化する
既存の bastion フォレストで TPM モードを使用して HGS クラスターを初期化するには、下記の手順に従います。 コンピューターには Active Directory Domain Services がインストールされますが、未構成のままにしておく必要があります。
HGS のガーディアン証明書を見つけます。 HGS クラスターを初期化するには、署名証明書が 1 つと暗号化証明書が 1 つ必要になります。 HGS に証明書を提供する最も簡単な方法は、公開キーと秘密キーの両方を含む証明書ごとに、パスワードで保護された PFX ファイルを作成することです。 HSM ベースのキーまたはその他のエクスポートできない証明書を使おうとしている場合は、続行する前に、その証明書がローカル コンピューターの証明書ストアにインストールされていることを確認してください。 どの証明書を使用するかの詳細については、「HGS の証明書を取得する」を参照してください。
続行する前に、ホスト ガーディアン サービスのためにクラスター オブジェクトを事前設定しており、Active Directory で、VCO および CNO オブジェクトに対するフル コントロールを、ログインするユーザーに付与済みであることを確認してください。
仮想コンピューターのオブジェクト名を -HgsServiceName パラメーターに渡し、クラスター名を -ClusterName パラメーターに渡す必要があります。
ヒント
続行する前に、クラスター オブジェクトがすべての DC に確実にレプリケートされるように、AD ドメイン コントローラーを再確認してください。
PFX ベースの証明書を使用する予定の場合は、HGS サーバーで次のコマンドを実行します。
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm
ローカル マシンにインストールされている証明書 (HSM ベースの証明書やエクスポートできない証明書など) を使用する予定の場合は、代わりに -SigningCertificateThumbprint および -EncryptionCertificateThumbprint パラメーターを使用します。
運用環境では、引き続き追加の HGS ノードをクラスターに加える必要があります。