Share via

Windows Server 2019 への保護されたファブリックのアップグレード

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

この記事では、既存の保護されたファブリックを Windows Server 2016、Windows Server バージョン 1709 または Windows Server バージョン 1803 から Windows Server 2019 にアップグレードするために必要な手順について説明します。

Windows Server 2019 の新機能

Windows Server 2019 で保護されたファブリックを実行すると、以下に示すいくつかの新機能を利用できます。

ホスト キーの構成証明は、Hyper-V ホストに TPM 構成証明で使用可能な TPM 2.0 デバイスがない場合に、シールドされた VM を簡単に実行できるように設計された最新の構成証明モードです。 ホスト キーの構成証明ではキー ペアを使用してホストを HGS で認証することにより、ホストが Active Directory ドメインに参加する必要がなくなり、HGS と企業フォレスト間の AD 信頼関係を排除して、開いているファイアウォール ポートの数を減らすことができます。 ホスト キーの構成証明は、Windows Server 2019 で非推奨とされている Active Directory 構成証明を置き換えます。

V2 構成証明バージョン - ホスト キーの構成証明と今後の新機能をサポートするために、HGS にバージョン管理を導入しました。 Windows Server 2019 に HGS を新規インストールすると、サーバーでは v2 構成証明が使用されます。すなわち、Windows Server 2019 ホストでのホスト キーの構成証明をサポートしながら、Windows Server 2016 での v1 ホストもサポートできます。 2019 にインプレース アップグレードした場合は、v2 を手動で有効にするまでバージョン v1 のままとなります。 ほとんどのコマンドレットで、-HgsVersion パラメーターを使用してレガシと最新の構成証明ポリシーのどちらを使用するかを指定できるようになりました。

Linux のシールドされた VM のサポート - Windows Server 2019 を実行している Hyper-V ホストで、Linux のシールドされた VM を実行できます。 Linux のシールドされた VM は Windows Server バージョン 1709 から存在しますが、Windows Server 2019 はそれらをサポートする最初の長期サービス チャネル リリースです。

ブランチ オフィスの機能強化 - Hyper-V ホスト上でオフラインのシールドされた VM と フォールバック構成がサポートされたことで、ブランチ オフィスでのシールドされた VM の実行が容易になりました。

TPM ホスト バインド - シールドされた VM を、それが作成された最初のホスト上でのみ実行する最も安全なワークロードを実現するために、ホストの TPM を使用して VM をそのホストにバインドできるようになりました。 これは、ホスト間での移行が必要となる一般的なデータセンターのワークロードではなく、特権アクセス ワークステーションとブランチ オフィスに最適です。

互換性マトリックス

保護されたファブリックを Windows Server 2019 にアップグレードする前に、次の互換性マトリックスを調査して、構成がサポートされているかどうかを確認してください。

WS2016 HGS WS2019 HGS
WS2016 Hyper-V ホスト サポート サポート1
WS2019 Hyper-V ホスト サポートされない2 サポート

1 Windows Server 2016 ホストは、Windows Server 2019 HGS サーバーに対して v1 構成証明プロトコルのみを使用して証明できます。 ホスト キーの構成証明を含む、v2 構成証明プロトコル限定で使用できる新機能は、Windows Server 2016 ホストではサポートされません。

2 Microsoft では、TPM 構成証明を使用している Windows Server 2019 ホストが Windows Server 2016 HGS サーバーに対して正常に証明できない問題について認識しています。 この制限は、Windows Server 2016 の今後の更新プログラムで対処されます。

HGS の Windows Server 2019 へのアップグレード

Windows Server 2016 または 2019 を実行しているすべてのホストが正常に証明し続けられるように、Hyper-V ホストをアップグレードする前に、HGS クラスターを Windows Server 2019 にアップグレードすることをお勧めします。

HGS クラスターをアップグレードするには、ノードのアップグレード時に、そのノードを 1 つずつクラスターから一時的に削除する必要があります。 これにより、Hyper-V ホストからの要求に応答するクラスターの容量が減り、応答時間が遅くなったり、テナントのサービスが停止したりする可能性があります。 HGS サーバーをアップグレードする前に、構成証明とキー解放要求を処理するのに十分な容量があることを確認します。

HGS クラスターをアップグレードするには、クラスターの各ノードに対して、一度に 1 ノードずつ次の手順を実行します。

  1. 管理者特権の PowerShell プロンプトで Clear-HgsServer を実行して、クラスターから HGS サーバーを削除します。 このコマンドレットは、HGS のレプリケートされたストア、HGS Web サイト、およびノードをフェールオーバー クラスターから削除します。
  2. HGS サーバーがドメイン コントローラーである場合 (既定の構成) は、アップグレードする最初のノードで adprep /forestprep および adprep /domainprep を実行して、OS のアップグレード用のドメインを準備する必要があります。 詳細については、Active Directory Domain Services のアップグレードに関するドキュメントを参照してください。
  3. Windows Server 2019 へのインプレース アップグレードを実行します。
  4. Initialize-HgsServer を実行して、ノードをクラスターに再び参加させます。

すべてのノードが Windows Server 2019 にアップグレードされたら、必要に応じて HGS のバージョンを v2 にアップグレードして、ホスト キーの構成証明などの新機能をサポートすることができます。

Set-HgsServerVersion  v2

Hyper-V ホストの Windows Server 2019 へのアップグレード

Hyper-V ホストを Windows Server 2019 にアップグレードする前に、HGS クラスターが Windows Server 2019 にアップグレードされていること、および Hyper-V サーバーからすべての VM を移動したことを確認してください。

  1. サーバーで Windows Defender アプリケーション制御コード整合性ポリシーを使用している場合 (TPM 構成証明を使用する場合は常に当てはまります)、サーバーのアップグレードを試行する前に、ポリシーが監査モードであるか無効になっていることを確認してください。 WDAC ポリシーを無効にする方法をご確認ください。
  2. Windows Server のアップグレードに関するコンテンツのガイダンスに従って、ホストを Windows Server 2019 にアップグレードします。 Hyper-V ホストがフェールオーバー クラスターの一部である場合は、クラスターのオペレーティング システムのローリング アップグレードを使用することを検討してください。
  3. Windows Defender アプリケーション制御ポリシーをテストしてから再び有効にします (アップグレード前に有効にした場合)。
  4. Get-HgsClientConfiguration を実行して、IsHostGuarded = True であるかどうかを確認します。これは、ホストが HGS サーバーで構成証明が正常に成功したことを意味します。
  5. TPM 構成証明を使用している場合は、構成証明を成功させるために、アップグレード後に TPM ベースラインまたはコード整合性のポリシーを再キャプチャする必要がある場合があります。
  6. ホストでシールドされた VM の実行を再び開始します。

ホスト キーの構成証明に切り替える

Active Directory ベースの構成証明を現在実行していて、ホスト キーの構成証明にアップグレードする場合は、次の手順に従います。 Active Directory ベースの構成証明は Windows Server 2019 では非推奨とされており、今後のリリースでは削除される可能性があることに注意してください。

  1. 次のコマンドを実行して、HGS サーバーが v2 構成証明モードで動作していることを確認します。 既存の v1 ホストは、HGS サーバーが v2 にアップグレードされても引き続き証明されます。

    Set-HgsServerVersion v2

  2. 各 Hyper-V ホストからホスト キーを生成し、HGS に登録します。 HGS は引き続き Active Directory モードで動作しているため、新しいホスト キーがすぐには有効にならないという警告が表示されます。 すべてのホストがホスト キーを使用して正常に証明できるようになるまでは、ホスト キー モードに変更すべきではないため、これは意図した動作です。

  3. すべてのホストに対してホスト キーが登録されたら、ホスト キー構成証明モードを使用するように HGS を構成できます。

    Set-HgsServer -TrustHostKey

    ホスト キー モードで問題が発生し、Active Directory ベースの構成証明に戻す必要がある場合は、HGS で次のコマンドを実行します。

    Set-HgsServer -TrustActiveDirectory