追加の HGS ノードを構成する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

運用環境では、HGS ノードがダウンした場合でも、シールドされた VM を起動できるように、高可用性クラスターで HGS を設定する必要があります。 テスト環境では、セカンダリ HGS ノードは必要ありません。

これらの方法のいずれかを使用して、使用環境に最適な HGS ノードを追加します。

環境 方法 1 方法 2
新しい HGS フォレスト PFX ファイルの使用 証明書のサムプリントの使用
既存の要塞フォレスト PFX ファイルの使用 証明書のサムプリントの使用

前提条件

次の各ノードが追加されていることを確認してください。

  • プライマリ ノードと同じハードウェアとソフトウェアの構成
  • 他の HGS サーバーと同じネットワークに接続されている
  • 他の HGS サーバーを DNS 名で解決できる

PFX 証明書を持つ専用の HGS フォレスト

  1. HGS ノードをドメイン コントローラーに昇格させる
  2. HGS サーバーを初期化する

HGS ノードをドメイン コントローラーに昇格させる

  1. Install-HgsServer を実行してドメインに参加し、ノードをドメイン コントローラーに昇格させます。

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. サーバーが再起動したら、ドメイン管理者アカウントでログ インします。

HGS サーバーを初期化する

次のコマンドを実行して、既存の HGS クラスターに参加します。

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

証明書のサムプリントを持つ専用の HGS フォレスト

  1. HGS ノードをドメイン コントローラーに昇格させる
  2. HGS サーバーを初期化する
  3. 証明書の秘密キーをインストールします

HGS ノードをドメイン コントローラーに昇格させる

  1. Install-HgsServer を実行してドメインに参加し、ノードをドメイン コントローラーに昇格させます。

    $adSafeModePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force

$cred = Get-Credential 'relecloud\Administrator'

Install-HgsServer -HgsDomainName 'bastion.local' -HgsDomainCredential $cred -SafeModeAdministratorPassword $adSafeModePassword -Restart

  2. サーバーが再起動したら、ドメイン管理者アカウントでログ インします。

HGS サーバーを初期化する

次のコマンドを実行して、既存の HGS クラスターに参加します。

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

証明書の秘密キーをインストールします

最初の HGS サーバーで暗号化証明書または署名証明書の PFX ファイルを指定しなかった場合は、公開キーのみがこのサーバーにレプリケートされます。 秘密キーを含む PFX ファイルをローカル証明書ストアにインポートすることによって、秘密キーをインストールする必要があります。 HSM がサポートされている場合は、キー記憶域プロバイダーを構成し、 HSM の製造元の指示に従って証明書に関連付けます。

PFX 証明書を持つ既存の要塞フォレスト

  1. 既存のドメインにノードを参加させます
  2. コンピューターに gMSA パスワードを取得して、 Install-ADServiceAccount を実行するための権限を付与します
  3. HGS サーバーを初期化する

既存のドメインにノードを参加させます

  1. ノード上の少なくとも1つの NIC が、最初の HGS サーバーで DNS サーバーを使用するように構成されていることを確認します。
  2. 新しい HGS ノードを最初の HGS ノードと同じドメインに参加させます。

コンピューターに gMSA パスワードを取得して、 Install-ADServiceAccount を実行するための権限を付与します

  1. ディレクトリ サービス管理者に、新しいノードのコンピューター アカウントを、それらのサーバーが HGS gMSA アカウントを使用することを許可されているすべての HGS サーバーを含むセキュリティ グループに追加するように依頼します。

  2. 新しいノードを再起動して、そのセキュリティ グループのコンピューターのメンバーシップを含む新しい Kerberos チケットを取得します。 再起動が完了したら、コンピューターのローカル管理者グループに属するドメイン ID を使用してサイン インします。

  3. HGS グループの管理されたサービス アカウントをノードにインストールします。

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

HGS サーバーを初期化する

次のコマンドを実行して、既存の HGS クラスターに参加します。

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

証明書のサムプリントがある既存の要塞フォレスト

  1. 既存のドメインにノードを参加させます
  2. コンピューターに gMSA パスワードを取得して、 Install-ADServiceAccount を実行するための権限を付与します
  3. HGS サーバーを初期化する
  4. 証明書の秘密キーをインストールします

既存のドメインにノードを参加させます

  1. ノード上の少なくとも1つの NIC が、最初の HGS サーバーで DNS サーバーを使用するように構成されていることを確認します。
  2. 新しい HGS ノードを最初の HGS ノードと同じドメインに参加させます。

コンピューターに gMSA パスワードを取得して、 Install-ADServiceAccount を実行するための権限を付与します

  1. ディレクトリ サービス管理者に、新しいノードのコンピューター アカウントを、それらのサーバーが HGS gMSA アカウントを使用することを許可されているすべての HGS サーバーを含むセキュリティ グループに追加するように依頼します。

  2. 新しいノードを再起動して、そのセキュリティ グループのコンピューターのメンバーシップを含む新しい Kerberos チケットを取得します。 再起動が完了したら、コンピューターのローカル管理者グループに属するドメイン ID を使用してサイン インします。

  3. HGS グループの管理されたサービス アカウントをノードにインストールします。

    Install-ADServiceAccount -Identity <HGSgMSAAccount>

HGS サーバーを初期化する

次のコマンドを実行して、既存の HGS クラスターに参加します。

Initialize-HgsServer -HgsServerIPAddress <IP address of first HGS Server>

最初の HGS サーバーからの暗号化証明書と署名証明書がこのノードにレプリケートされるまで、最大で10分かかります。

証明書の秘密キーをインストールします

最初の HGS サーバーで暗号化証明書または署名証明書の PFX ファイルを指定しなかった場合は、公開キーのみがこのサーバーにレプリケートされます。 秘密キーを含む PFX ファイルをローカル証明書ストアにインポートすることによって、秘密キーをインストールする必要があります。 HSM がサポートされている場合は、キー記憶域プロバイダーを構成し、 HSM の製造元の指示に従って証明書に関連付けます。

HGS を HTTPS 通信用に構成する

SSL 証明書を使用して HGS エンドポイントをセキュリティで保護する場合は、このノード、および HGS クラスター内の他のすべてのノードで SSL 証明書を構成する必要があります。 SSL 証明書は HGS によってレプリケートされず、すべてのノードに同じキーを使用する必要はありません (つまり、ノードごとに異なる SSL 証明書を持つことができます)。

SSL 証明書を要求するときは、クラスターの完全修飾ドメイン名 ( Get-HgsServer の出力に示されているとおり) が、証明書のサブジェクト共通名であるか、サブジェクト代替 DNS 名として含まれていることを確認します。 証明機関から証明書を取得したら、 Set-HgsServeで使用するように HGS を構成できます。

$sslPassword = Read-Host -AsSecureString -Prompt "SSL Certificate Password"
Set-HgsServer -Http -Https -HttpsCertificatePath 'C:\temp\HgsSSLCertificate.pfx' -HttpsCertificatePassword $sslPassword

証明書をローカル証明書ストアに既にインストールしてサムプリントで参照する場合は、次のコマンドを代わりに実行します。

Set-HgsServer -Http -Https -HttpsCertificateThumbprint 'A1B2C3D4E5F6...'

HGS は通信用に HTTP と HTTPS の両方のポートを常に公開します。 IIS で HTTP バインドの削除はサポートされていませんが、Windows ファイアウォールまたはその他のネットワーク ファイアウォール テクノロジを使用して、ポート 80 での通信をブロックできます。

HGS ノードの使用を停止する

HGS ノードを使用停止にするには。

  1. HGS の構成をクリアします

    これにより、クラスターからノードが削除され、構成証明とキー保護サービスがアンインストールされます。 クラスター内の最後のノードについては、最後のノードを削除して Active Directory 内のクラスターを破棄することを示すために -Force を使用する必要があります。

    HGS が要塞フォレスト (既定) に展開されている場合、これは唯一の手順です。 必要に応じて、ドメインからコンピューターの参加を解除し、 Active Directory から gMSA アカウントを削除できます。

  2. HGS が独自のドメインを作成した場合は、 HGS をアンインストールしてドメインへの参加を解除し、ドメイン コントローラーを降格する必要もあります。