重要
管理者によって信頼された構成証明 (AD モード) は、Windows Server 2019 以降では非推奨とされます。 TPM 構成証明ができない環境では、ホスト キーの構成証明を構成します。 ホスト キーの構成証明では、AD モードと同様の保証が提供され、設定はより簡単です。
コンピューターには Active Directory Domain Services がインストールされますが、未構成のままにしておく必要があります。
HGS のガーディアン証明書を見つけます。 HGS クラスターを初期化するには、署名証明書が 1 つと暗号化証明書が 1 つ必要になります。 HGS に証明書を提供する最も簡単な方法は、公開キーと秘密キーの両方を含む証明書ごとに、パスワードで保護された PFX ファイルを作成することです。 HSM ベースのキーまたはその他のエクスポートできない証明書を使おうとしている場合は、続行する前に、その証明書がローカル コンピューターの証明書ストアにインストールされていることを確認してください。 どの証明書を使用するかの詳細については、「HGS の証明書を取得する」を参照してください。
続行する前に、ホスト ガーディアン サービスのためにクラスター オブジェクトを事前設定しており、Active Directory で、VCO および CNO オブジェクトに対するフル コントロールを、ログインするユーザーに付与済みであることを確認してください。
仮想コンピューターのオブジェクト名を -HgsServiceName パラメーターに渡し、クラスター名を -ClusterName パラメーターに渡す必要があります。
ヒント
続行する前に、クラスター オブジェクトがすべての DC に確実にレプリケートされるように、AD ドメイン コントローラーを再確認してください。
PFX ベースの証明書を使用する予定の場合は、HGS サーバーで次のコマンドを実行します。
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -ClusterName 'HgsCluster' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustActiveDirectory
ローカル マシンにインストールされている証明書 (HSM ベースの証明書やエクスポートできない証明書など) を使用する予定の場合は、代わりに -SigningCertificateThumbprint および -EncryptionCertificateThumbprint パラメーターを使用します。