既存の要塞フォレストに HGS をインストールする

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

HGS サーバーをルートドメインに参加させる

既存の要塞フォレストでは、HGS をルートドメインに追加する必要があります。 サーバーマネージャーまたは コンピューターの追加 を使用して、HGS サーバーをルートドメインに参加させます。

HGS サーバーロールを追加する

管理者特権の PowerShell セッションで、このトピックのすべてのコマンドを実行します。

次のコマンドを実行して、ホストガーディアンサービスの役割を追加します:

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

データセンターに、HGS ノードを参加させるセキュリティで保護された要塞フォレストがある場合は、次の手順を実行します。 これらの手順を使用して、同じドメインに参加している2つ以上の独立した HGS クラスターを構成することもできます。

HGS サーバーを目的のドメインに参加させる

サーバーマネージャーまたは コンピューターの追加 を使用して、HGS サーバーを目的のドメインに参加させます。

Active Directory オブジェクトを準備する

グループの管理されたサービスアカウントと2つのセキュリティグループを作成します。 HGS を初期化するアカウントにドメイン内のコンピューターオブジェクトを作成するためのアクセス許可がない場合は、クラスターオブジェクトを事前にステージングすることもできます。

グループの管理されたサービス アカウント

グループの管理されたサービスアカウント (gMSA) は、HGS が証明書を取得して使用するために使用する id です。 gGMSA を作成するには、 New-ADServiceAccount を使用します。 ドメイン内の最初の gMSA の場合は、キー配布サービスのルートキーを追加する必要があります。

各 HGS ノードには、gMSA パスワードへのアクセスが許可されている必要があります。 これを構成する最も簡単な方法は、すべての HGS ノードを含むセキュリティグループを作成し、そのセキュリティグループに gMSA パスワードを取得するアクセス権を付与することです。

新しいグループメンバーシップが確実に取得されるようにするには、セキュリティグループに追加した後で HGS サーバーを再起動する必要があります。

# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
    # Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
    Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}

# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru

# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"

# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes

gMSA は、各 HGS サーバーのセキュリティログにイベントを生成する権限を必要とします。 グループポリシーを使用してユーザー権利の割り当てを構成する場合は、HGS サーバーで gMSA アカウントに " 監査イベントの生成" 権限 が付与されていることを確認してください。

注意

グループの管理されたサービスアカウントは、Windows Server 2012 Active Directory スキーマで開始できます。 詳細については、「グループの管理されたサービス アカウントの概要」を参照してください。

JEAセキュリティ グループ

HGS を設定すると、 十分な管理 (JEA) PowerShell エンドポイントが構成され、管理者は完全なローカル管理者特権を必要とせずに hgs を管理できるようになります。 HGS を管理するために JEA を使用する必要はありませんが、HgsServer の実行時に構成する必要があります。 JEA エンドポイントの構成は、HGS 管理者と HGS レビューアーを含む2つのセキュリティグループを指定することで構成されます。 管理者グループに属するユーザーは、HGS でポリシーを追加、変更、または削除できます。レビュー担当者は、現在の構成のみを表示できます。

Active Directory 管理ツールまたは 新しい-ADGroupを使用して、これらの JEA グループに2つのセキュリティグループを作成します。

New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal

クラスター オブジェクト

HGS のセットアップに使用しているアカウントに、ドメインに新しいコンピューターオブジェクトを作成するためのアクセス許可がない場合は、クラスターオブジェクトを事前にステージングする必要があります。 詳細については、「Active Directory Domain Services でクラスター コンピューター オブジェクトをプレステージする」を参照してください。

最初の HGS ノードを設定するには、1つのクラスター名オブジェクト (CNO) と1つの仮想コンピューターオブジェクト (VCO) を作成する必要があります。 CNO はクラスターの名前を表し、主にフェールオーバークラスタリングによって内部的に使用されます。 VCO は、クラスター上に存在する HGS サービスを表し、DNS サーバーに登録されている名前になります。

重要

Initialize-HgsServerを実行 するユーザーは、Active Directory の CNO オブジェクトと VCO オブジェクトを フルコントロールする必要があります。

CNO と VCO を簡単に事前設定するには、Active Directory 管理者で次の PowerShell コマンドを実行します:

# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru

# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru

# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl

# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing

セキュリティベースラインの例外

HGS を高度にロックされた環境に展開する場合、特定のグループポリシー設定を使用すると、HGS が正常に動作しなくなる可能性があります。 グループポリシーオブジェクトで次の設定を確認し、影響を受ける場合はガイダンスに従います:

ネットワーク ログオン

[コンピューターの構成] : Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignmentsの順に移動します

ポリシー名:ネットワークからのこのコンピューターへのアクセスを拒否する

必須の値: 値がすべてのローカルアカウントのネットワークログオンをブロックしていないことを確認します。 ただし、ローカルの管理者アカウントは安全にブロックできます。

理由: フェールオーバークラスタリングでは、CLIUSR という管理者以外のローカルアカウントを利用してクラスターノードを管理します。 このユーザーのネットワークログオンをブロックすると、クラスターが正しく動作しなくなります。

Kerberos 暗号化

ポリシーパス:Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

ポリシー名:ネットワーク セキュリティ: Kerberos で許可する暗号化の種類を構成する

アクション: このポリシーが構成されている場合、このポリシーでサポートされている暗号化の種類のみを使用するように、gMSA アカウントを ADServiceAccount に更新する必要があります。 たとえば、ポリシーで AES128_HMAC_SHA1 と AES256_HMAC_SHA1のみが許可されている場合は、Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256 を実行する必要があります。

次の手順

• TPM ベースの構成証明を設定する次の手順については、「 既存の要塞フォレストで TPM モードを使用して HGS クラスターを初期化する」を参照してください。
• TPM ベースのホストキー証明を設定する次の手順については、「 既存の要塞フォレストで key モードを使用して HGS クラスターを初期化する」を参照してください。
• 管理者ベースの構成証明をセットアップする次の手順については、「既存の要塞フォレストの AD モードを使用して HGS クラスターを初期化する」を参照してください。 (Windows Server 2019 で非推奨)。