シールドされた VM を実装する
Windows Server 管理者は、調査し、シールドされた VM を作成してデプロイするための手順を理解している必要があります。
シールドされた VM を実装する
シールドされた VM を実装するために必要な手順の概要を次に示します。 手順には、VMM に関連するいくつかの手順が含まれています。
タスク 1: HGS をインストールして構成する
HGS の前提条件を確認し、HGS 展開用の環境を準備します。
ハードウェアと OS が HGS の前提条件要件を満たしていることを確認します。次の点にご確認ください。
- HGS は物理マシンまたは仮想マシンで実行できますが、物理マシンをお勧めします。
- HGS を 3 ノードの物理クラスターとして実行する場合は、3 つの物理サーバーが必要です。
- 構成証明の要件:
- ホスト キーの構成証明には、v2 構成証明用に動作する Windows Server 2019 Standard または Datacenter エディションが必要です。
- TPM ベースの構成証明には、Windows Server 2019 または Windows Server 2016、Standard、または Datacenter エディションが必要です。
適切な HGS サーバーの役割をインストールし、ファブリック ドメインと HGS ドメイン間の DNS 転送を許可するようにファブリック (ホスト) ドメインを構成します。
注
HGS を展開するときに、シールドされた VM の起動に必要な機密情報を保護するために使用される署名証明書と暗号化証明書の提供を求められます。 信頼された証明機関を使用して、これら 2 つの証明書を取得することをお勧めします。ただし、自己署名証明書を使用することはできます。 これら 2 つの証明書は常に HGS ホストに残ります。
最初の HGS ノードを構成します。
- HGS を独自の専用 AD DS フォレストにインストールするか、既存の要塞フォレストにインストールするかを選択します。
環境に応じて追加の HGS ノードを構成します。
すべての HGS ノードは、同じ署名証明書と暗号化証明書にアクセスする必要があります。 次の 2 つのオプションのいずれかを選択して、それらを管理します。
- パスワードを使用して証明書を PFX ファイルにエクスポートし、HGS が証明書を管理できるようにします。
- 各 HGS ノードのローカル コンピューターの証明書ストアに証明書をインストールし、HGS に拇印を提供します。
どちらのオプションも有効ですが、ノードの追加中に少し異なる手順が必要になります。
次の 2 つのシナリオのいずれかを使用して、ノードを追加します。
新しい専用 HGS フォレストに HGS ノードを追加します。
個人情報交換 (PFX) 証明書を使用して新しい専用 HGS フォレストに HGS ノードを追加するには:
- HGS ノードをドメイン コントローラーに昇格させます。
- HGS サーバーを初期化します。
証明書の拇印を使用して新しい専用 HGS フォレストに HGS ノードを追加するには:
- HGS ノードをドメイン コントローラーに昇格させます。
- HGS サーバーを初期化します。
- 証明書の秘密キーをインストールします。
HGS ノードを既存の要塞フォレストに追加します。
PFX 証明書を使用して既存の要塞フォレストに HGS ノードを追加するには:
- ノードを既存のドメインに参加させます。
- マネージド サービス アカウント (MSA) のパスワードを取得し、
Install-ADServiceAccount実行する権限をマシンに付与します。 - HGS サーバーを初期化します。
証明書の拇印を使用して既存の要塞フォレストに HGS ノードを追加するには:
- ノードを既存のドメインに参加させます。
- MSA パスワードを取得して
Install-ADServiceAccountを実行する権限をマシンに付与します。 - HGS サーバーを初期化します。
- 証明書の秘密キーをインストールします。
注
HGS は、グループ管理サービス アカウント (gMSA) をアカウント ID として使用して、複数のノードで証明書を取得して使用します。
Von Bedeutung
運用環境では、HGS ノードがダウンした場合でも、シールドされた VM を起動できるように、高可用性クラスターで HGS を設定する必要があります。
保護されたホストが HGS クラスターを解決できるように、ファブリックの DNS を構成します。
ホストでの構成証明の前提条件を確認します。
- 選択した構成証明モード (TPM、キー、または管理者モード) のホストの前提条件を確認します。
- HGS にホストを追加します。
ホスト キー (キー モード) を作成するか、ホスト情報を収集する (TPM モード):
ホスト キー構成証明 (キー モード) を使用して Hyper-V ホストが保護されたホストになるように準備するには、ホスト キー ペアを作成し (または既存の証明書を使用して)、キーの公開半分を HGS に追加します。
TPM モード構成証明 (キー モード) を使用して Hyper-V ホストが保護されたホストになるように準備するには、ホストの TPM 識別子 (保証キー)、TPM ベースライン、および CI ポリシーをキャプチャします。
HGS 構成にホスト キー (キー モード) または TPM 情報 (TPM モード) を追加します。
HGS が保護されたホストとしてホストに対して構成証明を行っていることを確認します。
(省略可能)VMM コンピューティング ファブリックを構成して、保護されたホストとシールドされた VM Hyper-V 展開および管理します。
タスク 2: OS .vhdx ファイルを準備する
次のいずれかのオプションを使用して、OS ディスク (.vhdx ファイル) を準備します。
- Hyper-V、Windows PowerShell、または Microsoft Desktop Image Service Manager (DISM) ユーティリティを使用します。
- 空の .vhdx ファイルを使用して VM を手動で設定し、そのディスクに OS をインストールします。
Windows Update を実行して、OS ディスクに最新の更新プログラムをインストールします。
タスク 3: VMM でシールドされた VM テンプレート ディスクを作成する
シールドされたテンプレート ディスク作成ウィザードを使用して、.vhdx ファイルを準備して保護します。
- シールドされた VM でテンプレート ディスクを使用するには、シールドされたテンプレート ディスク作成ウィザードを使用して、ディスクを準備し、BitLocker で暗号化する必要があります。
テンプレート ディスクを VMM ライブラリにコピーします。
- VMM を使用する場合は、テンプレート ディスクを作成した後、VMM ライブラリ共有にコピーして、ホストが新しいシールドされた VM をプロビジョニングするときにディスクをダウンロードして使用できるようにします。
タスク 4: シールド データ ファイルを作成する
シールド データ (PDK) ファイルを作成する準備をします。
- リモート デスクトップ接続の証明書を取得します。
- 応答ファイルを作成します。
- ボリューム署名カタログ ファイルを取得します。
- 信頼されたファブリックを設定します。
シールド データ ファイルを作成します。
シールド データ ファイルを使用する権限を持つガーディアンを追加します。
タスク 5: シールドされた VM をデプロイする
Windows Azure Pack または VMM を使用してシールドされた VM をデプロイします。
- 選択したデプロイ方法 (Windows Azure Pack や VMM など) の要件に従って、シールド データ ファイルをアップロードします。
- シールドされた新しい VM をプロビジョニングします。
タスク 6: シールドされた VM を起動する
シールドされた VM を開始するプロセスは次のとおりです。
ユーザーがシールドされた VM の起動を要求します。
HGS 構成証明サービスは、保護されたホストの資格情報を検証し、保護されたホストに構成証明証明書を送信します。
保護されたホストは、構成証明証明書と KP を KPS に送信し、シールドされた VM のロックを解除するためのキーを要求します。
KPS は、構成証明証明書の有効性を判断し、KP を復号化し、シールドされた VM のロックを解除するためのキーを取得して、保護されたホストにキーを送信します。
保護されたホストは、キーを使用して、シールドされた VM のロックを解除して起動します。
注
リモート サーバー管理ツールの>シールドされた VM ツールには、サーバー マネージャーの [ツール] メニューからアクセスできるシールドされたテンプレート ディスク作成ウィザードが含まれています。