次の方法で共有

新しい専用フォレストでキー モードを使用して HGS クラスターを初期化する (既定値)

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

  1. クライアントは、フェールオーバー クラスタリングの分散ネットワーク名 (DNN) を使用して、任意の HGS ノードに簡単に接続できます。 DNN を選択する必要があります。 この名前は HGS DNS サービスに登録されます。 たとえば、ホスト名が HGS01、HGS02、HGS03 である 3 つの HGS ノードがある場合は、DNN のために "hgs" や "HgsCluster" を選択できます。

  2. HGS のガーディアン証明書を見つけます。 HGS クラスターを初期化するには、署名証明書が 1 つと暗号化証明書が 1 つ必要になります。 HGS に証明書を提供する最も簡単な方法は、公開キーと秘密キーの両方を含む証明書ごとに、パスワードで保護された PFX ファイルを作成することです。 HSM ベースのキーまたはその他のエクスポートできない証明書を使おうとしている場合は、続行する前に、その証明書がローカル コンピューターの証明書ストアにインストールされていることを確認してください。 どの証明書を使用するかの詳細については、「HGS の証明書を取得する」を参照してください。

  3. 最初の HGS ノードに対して、管理者特権の PowerShell ウィンドウで Initialize-HgsServer を実行します。 このコマンドレットの構文では、さまざまな入力がサポートされていますが、以下に、最も一般的な呼び出しを 2 つ示します。

    • 署名と暗号化の証明書のために PFX ファイルを使おうとしている場合は、次のコマンドを実行します。

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey

    • ローカル証明書ストアにインストールされている、エクスポートできない証明書を使おうとしている場合は、次のコマンドを実行します。 証明書の拇印が分からない場合は、Get-ChildItem Cert:\LocalMachine\My を実行して、使用できる証明書を一覧表示できます。

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey

  4. 拇印を使用して HGS に証明書を提供した場合は、それらの証明書のプライベート キーへの読み取りアクセスを HGS に付与するように指示されます。 デスクトップ エクスペリエンスがインストールされているサーバーで、以下の手順を完了します。

    1. ローカル コンピューターの証明書マネージャー (certlm.msc) を開きます
    2. 証明書を見つけて右クリックし、[すべてのタスク] > [プライベート キーの管理] と選択します
    3. [追加] をクリックします。
    4. オブジェクト選択ウィンドウで、[オブジェクトの種類] をクリックし、サービス アカウントを有効にします
    5. Initialize-HgsServer からの警告テキストに記載されているサービス アカウントの名前を入力します
    6. gMSA に、プライベート キーに対する "読み取り" アクセスがあることを確認します。

    サーバー コアでは、プライベート キーのアクセス許可の設定に役立つように、PowerShell モジュールをダウンロードする必要があります。

    1. インターネット接続がある場合は、HGS サーバーで Install-Module GuardedFabricTools を実行します。または、別のコンピューターで Save-Module GuardedFabricTools を実行し、モジュールを HGS サーバーにコピーします。

    2. Import-Module GuardedFabricTools を実行します。 これで、PowerShell で見つかった証明書オブジェクトに、追加のプロパティが加えられます。

    3. PowerShell で Get-ChildItem Cert:\LocalMachine\My を使用して、証明書の拇印を見つけます

    4. 拇印を自分のものに置き換え、次のコードの gMSA アカウントを、Initialize-HgsServer の警告テキストに記載されていたアカウントに置き換えて、ACL を更新します。

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
$certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow

    HSM ベースの証明書やサード パーティのキー ストレージ プロバイダーに格納されている証明書を使おうとしている場合、これらの手順は当てはまらない可能性があります。 お使いのキー ストレージ プロバイダーのドキュメントを調べて、プライベート キーに対するアクセス許可を管理する方法を確認してください。 場合によっては、承認が存在しなかったり、証明書がインストールされるときにコンピューター全体に承認が提供されたりします。

  5. これで完了です。 運用環境では、引き続き追加の HGS ノードをクラスターに加える必要があります。

次のステップ

ホスト キーを作成する